Mezinárodní Rámec profesní praxe interního auditu

Mezinárodní Rámec profesní praxe interního auditu Platné od ledna 2011

INTERNATIONAL Professional Practices Framework (IPPF)

The Institute of Internal Auditors, Inc. (Institut interních auditorů) je mezinárodní asociací, která se věnuje neustálému profesnímu rozvoji jednotlivých auditorů a profese interního auditu. Copyright © 2011 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All rights reserved. “Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., to publish this translation, which is the same in all material respects, as the original unless approved as changed. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc.” Veškerá práva vyhrazena. V České republice vydal Český institut interních auditorů, Institut IIA. V souladu se zákonem o autorských právech nesmí být žádná část této publikace reprodukována, uložena ve vyhledávacích systémech nebo přenášena elektronicky, mechanicky, v podobě fotokopií nebo jinak bez předchozího souhlasu vydavatele.

Překlad: Jana Báčová, Antonín Šenfeld, Jan Žižka – ITC, Pavel Caska, Petra Sokolová Odborná jazyková korektura: Jana Báčová, Antonín Šenfeld Vydavatel: Český institut interních auditorů, o. s. Vydání 6. české: leden 2011 Sazba: Typokabi.net Tisk: Reproservis s. r. o.

K získání povolení k překladu, změnám nebo reprodukci jakékoli části amerického originálu kontaktujte:

ISBN 80-86284-10-7 (1. vydání – MJF Praha) ISBN 80-86689-05-0 (2. vydání – ČIIA Praha) ISBN 80-86689-25-5 (3. vydání – ČIIA Praha) ISBN 80-86689-39-5 (4. vydání – ČIIA Praha) ISBN 80-86689-42-5 (5. vydání – ČIIA Praha)

The Institute of Internal Auditors, Inc. 249 Maitland Avenue Altamonte Springs, Florida 32701-4201, USA Phone: +1 407 830-7600, ext. 256 K získání povolení k překladu, změnám nebo reprodukci jakékoli části českého překladu kontaktujte:

ISBN 80-86689-46-8 Mezinárodní Rámec profesní praxe interního auditu Báčová, Šenfeld, leden 2011

Český institut interních auditorů, o.s. Karlovo náměstí 3, 120 00 Praha 2 Tel.: 224 920 332 Fax: 224 919 361

© Český institut interních auditorů, o. s., 2011 2

Vážení čtenáři, Další větší změny standardů se týkají vymezení organizační nezávislosti interního auditu a definice statutu interního auditu, zohledňování očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) při plánování a předávání výsledků interního auditu a prokazování odborné způsobilosti externích hodnotitelů kvality interního auditu.

dnem 1. ledna 2011 vstoupila v účinnost novela Mezinárodních standardů pro profesní praxi interního auditu (dále též „Standardy“). Jak deklaruje vydavatel - Mezinárodní institut interních auditorů (dále též „IIA“) - Standardy musí být aktuální a reagovat jak na vývoj v právním prostředí a v dalších relevantních oblastech, tak odpovídat vývoji v samotné profesi interního auditu. Proto se IIA zavázal, že bude revidovat Standardy minimálně každé 3 roky. Současná změna se týká pouze Standardů a přichází dva roky poté, co byla provedena poměrně významná změna v celkové struktuře Mezinárodního rámce profesní praxe interního auditu (dále jen „Rámec“).

Český institut interních auditorů opětovně vydává Standardy dvojjazyčně. K rychlé orientaci ve změnách slouží celkový přehled změn uvedený v textu „Co je nového ve Standardech od ledna 2011“. Z tohoto přehledu je patrné, že od r. 2009 bylo též vydáno 14 nových Doporučení pro praxi, jedno Doporučení bylo změněno a dále bylo vydáno 12 nových Praktických pomůcek.

Tentokrát není změna Standardů nijak rozsáhlá. Bylo provedeno cca 25 změn, které spočívají zejména v úpravách současného textu standardů, interpretací a pojmů ve výkladovém slovníčku. Zcela nové jsou pouze 3 standardy (2010.A2, 2070, 2450), 15 standardů bylo pozměněno, 2 standardy byly zrušeny a doplněno bylo 5 nových interpretací (ke standardům 1110, 1321, 2070, 2410.A1, 2450).

Standardy se zvýrazněnými změnami platnými od r. 2011 a ostatní součásti Rámce, tj. Doporučení pro praxi, Praktické pomůcky a Stanoviska (včetně seznamu všech doposud vydaných součástí Rámce), naleznete na přiloženém CD. Doporučení pro praxi jsou opět vydávána jak v českém, tak i v anglickém jazyce, Praktické pomůcky a Stanoviska pouze v angličtině. Překladem do českého jazyka se Český institut interních auditorů snaží zpřístupnit co nejširšímu okruhu uživatelů zejména povinné a silně doporučované součásti Rámce.

Jako podstatné hodnotí IIA především změny ve dvou oblastech: ve vymezení odpovědností při poskytování služeb interního auditu externími dodavateli a při vyjadřování závěrů a celkového názoru interního auditu k auditované oblasti. Je důležité, aby si společnost uvědomila, že i když služby interního auditu poskytuje externí dodavatel, konečnou odpovědnost za existenci účinného a efektivního interního auditu má vždy samotná společnost.

Doufáme, že novelizované vydání Rámce bude účelnou a praktickou pomůckou pro všechny interní auditory i ostatní zainteresované osoby či profese. Ing. Jana Báčová, CIA

Nový standard týkající se uvádění celkového názoru ve zprávě interního auditu stanoví, co musí takový názor zohlednit. Je třeba, aby závěry interního auditu byly transparentní a jednoznačné, a to zejména z hlediska časového období a rozsahu auditu, ke kterému se názor vztahuje a současně byly závěry podloženy dostatečnými, spolehlivými, relevantními a účelnými informacemi. 3

Content Preface

12

Definition of Internal Auditing

26

Code of Ethics

30

International Standards for the Professional Practice of Internal Auditing Introduction Attribute Standards

34

Performance Standards

50

Introduction Applicability and Enforcement Principles Rules of Conduct

30 30 30 32

1000 – Purpose, Authority, and Responsibility 1010 – Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter 1100 – Independence and Objectivity 1110 – Organizational Independence 1111 – Direct Interaction With the Board 1120 – Individual Objectivity 1130 – Impairment to Independence or Objectivity 1200 – Proficiency and Due Professional Care 1210 – Proficiency 1220 – Due Professional Care 1230 – Continuing Professional Development 1300 – Quality Assurance and Improvement Program 1310 – Requirements of the quality assurance and improvement program 1311 – Internal Assessments 1312 – External Assessments 1320 – Reporting on the quality assurance and improvement program 1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” 1322 – Disclosure of Nonconformance 2000 – Managing the Internal Audit Activity 2010 – Planning 2020 – Communication and Approval 2030 – Resource Management 2040 – Policies and Procedures 2050 – Coordination 2060 – Reporting to Senior Management and the Board 2070 – External Service Provider and Organizational Responsibility for Internal Auditing 2100 – Nature of Work 4

36 40

40 40 40 40 42 42 42 44 44 44 46 46 46 46 46 48 48 48 50 50 50 50 50 52 52 52 52

OBSAH Předmluva

13

Definice interního auditu

27

Etický kodex

31

Mezinárodní standardy pro profesní praxi interního auditu

35

Úvod ke Standardům Základní standardy

37 41

Úvod Uplatnitelnost a vymahatelnost Základní zásady Pravidla jednání

31 31 31 33

1000 – Účel, pravomoci a odpovědnosti 1010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu 1100 – Nezávislost a objektivita 1110 – Organizační nezávislost 1111 – Přímá vzájemná součinnost s orgány společnosti 1120 – Objektivita jednotlivce 1130 – Narušení nezávislosti nebo objektivity 1200 – Odbornost a náležitá profesní péče 1210 – Odbornost 1220 – Náležitá profesní péče 1230 – Průběžný profesní rozvoj 1300 – Program pro zabezpečení a zvyšování kvality interního auditu 1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality 1311 – Interní hodnocení 1312 – Externí hodnocení 1320 – Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu 1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 1322 – Informování týkající se nesouladu Standardy pro výkon interního auditu 2000 – Řízení interního auditu 2010 – Plánování 2020 – Komunikace a schvalování 2030 – Řízení zdrojů 2040 – Zásady a postupy 2050 – Koordinace 2060 – Předávání zpráv vedení a orgánům společnosti 2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu 2100 – Charakter práce

5

41 41 41 41 43 43 43 45 45 45 47 47 47 47 47 49 49 49

51

51 51 51 51 51 53 53 53 53

2110 – Governance 2120 – Risk Management 2130 – Control 2200 – Engagement Planning 2201 – Planning Considerations 2210 – Engagement Objectives 2220 – Engagement Scope 2230 – Engagement Resource Allocation 2240 – Engagement Work Program 2300 – Performing the Engagement 2310 – Identifying Information 2320 – Analysis and Evaluation 2330 – Documenting Information 2340 – Engagement Supervision 2400 – Communicating Results 2410 – Criteria for Communicating 2420 – Quality of Communications 2421 – Errors and Omissions 2430 – Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing” 2431 – Engagement Disclosure of Nonconformance 2440 – Disseminating Results 2450 – Overall Opinions 2500 – Monitoring Progress 2600 – Resolution of Senior Management’s Acceptance of Risks

Glossary

52 54 54 56 56 56 56 58 58 58 58 58 58 60 60 60 60 62 62 62 62 64 64 64

66

Only on CD: Practice Advisory: 1000−1: 1110−1: 1111−1: 1120−1: 1130−1: 1130.A1−1: 1130.A2−1: 1200-1: 1210−1: 1210.A1−1: 1220−1: 1230−1: 1300−1: 1310−1: 1311−1: 1312−1:

Internal Audit Charter Organizational Independence Board Interaction Individual Objectivity Impairments to Independence or Objectivity Assessing Operations for Which Internal Auditors Were Previously Responsible Internal Audit’s Responsibility for Other (Non-audit) Functions Proficiency and Due Professional Care Proficiency Obtaining External Service Providers to Support or Complement the Internal Audit Activity Due Professional Care Continuing Professional Development Quality Assurance and Improvement Program Requirements of the Quality Assurance and Improvement Program Internal Assessments External Assessments 6

76 78 80 80 82 84 86 88 90 92 98 100 100 104 106 108

2110 – Řízení a správa společnosti 2120 – Řízení rizik 2130 – Řízení a kontrola 2200 – Plánování zakázky 2201 – Přístup k plánování 2210 – Cíle zakázky 2220 – Rozsah zakázky 2230 – Rozvržení zdrojů v rámci zakázky 2240 – Pracovní program zakázky 2300 – Realizace zakázky 2310 – Identifikace informací 2320 – Analýza a hodnocení 2330 – Dokumentace informací 2340 – Dohled (supervize) nad prováděním zakázky 2400 – Předávání výsledků 2410 – Kritéria komunikace 2420 – Kvalita zpráv 2421 – Chyby a opomenutí 2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 2431 – Poskytnutí informací v případě nesouladu 2440 – Distribuce výsledků 2450 – Celkové názory 2500 – Monitorování 2600 – Rozhodnutí o přijetí rizika vedením společnosti

Výklad pojmů

53 55 55 57 57 57 57 59 59 59 59 59 59 61 61 61 61 63 63 63 63 65 65 65

67

Pouze na CD: Doporučení pro praxi: 1000−1: 1110−1: 1111−1: 1120−1: 1130−1: 1130.A1−1: 1130.A2−1: 1200−1: 1210−1: 1210.A1−1: 1220−1: 1230−1: 1300−1: 1310−1: 1311−1: 1312−1:

Statut interního auditu Organizační nezávislost Součinnost s orgány společnosti Objektivita jednotlivce Narušení nezávislosti nebo objektivity Posuzování operací, za které byli interní auditoři dříve odpovědni Odpovědnosti interního auditu za jiné (neauditorské) činnosti Odbornost a náležitá profesní péče Odbornost Využití externích poskytovatelů služeb pro podporu nebo doplnění činností interního auditu Náležitá profesní péče Průběžný profesní rozvoj Program pro zabezpečení a zvyšování kvality Požadavky kladené na Program pro zabezpečení a zvyšování kvality Interní hodnocení Externí hodnocení 7

77 79 81 81 83 85 87 89 91 93 99 101 101 105 107 109

1312–2 External Assessments: Self-assessment with Independent Validation 114 1321−1: Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” 118 2010−1: Linking the Audit Plan to Risk and Exposures 120 2010−2: Using the Risk Management Process in Internal Audit Planning 122 2020−1: Communication and Approval 130 2030-1: Resource Management 130 2040−1: Policies and Procedures 134 2050−1: Coordination 134 2050−2: Assurance Maps 138 2050−3: Relying on the Work of Other Assurance Providers 144 2060−1: Reporting to Senior Management and the Board 148 2110–1: Governance: Definition 152 2110−2: Governance: Relationship With Risk and Control 156 2110−3: Governance: Assessments 158 2120−1: Assessing the Adequacy of Risk Management Processes 160 2120−2: Managing the Risk of the Internal Audit Activity 166 2130−1: Assessing the Adequacy of Control Processes 174 2130.A1−1: Information Reliability and Integrity 178 2130.A1−2: Evaluating an Organization’s Privacy Framework 180 2200−1: Engagement Planning 182 2200−2: Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement 184 2210−1: 2210.A1−1: 2230−1: 2240−1: 2300−1: 2320−1: 2330−1: 2330.A1−1: 2330.A1−2: 2330.A2−1: 2340−1: 2400−1: 2410−1: 2420−1: 2440−1: 2440–2: 2440.A2–1: 2500−1: 2500.A1−1:

Engagement Objectives Risk Assessment in Engagement Planning Engagement Resource Allocation Engagement Work Program Use of Personal Information in Conducting Engagements Analytical Procedures Documenting Information Control of Engagement Records Granting Access to Engagement Records Retention of Records Engagement Supervision Legal Considerations in Communicating Results Communication Criteria Quality of Communications Disseminating Results Communicating Sensitive Information Within and Outside the Chain of Command Communications Outside the Organization Monitoring Progress Follow-up Process

8

188 188 190 192 192 194 198 200 202 204 206 208 212 216 218 220 226 228 230

1312−2: Externí hodnocení: Sebehodnocení s nezávislým potvrzením/validací 115 1321−1: Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 119 2010–1: Spojení plánu auditů s riziky a mírou rizik, jimž je společnost vystavena 121 2010−2: Využití procesu řízení rizik při plánování interního auditu 123 2020−1: Komunikace a schvalování 131 2030−1: Řízení zdrojů 131 2040−1: Zásady a postupy 135 2050−1: Koordinace 135 2050−2: Mapy ujišťovacích činností 139 2050−3: Spolehnutí se na práci ostatních dodavatelů ujištění 145 2060−1: Předávání zpráv vedení a orgánům společnosti 149 2110–1: Řízení a správa společnosti: Definice 153 2110–2: Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou 157 2110–3: Řízení a správa společnosti: Hodnocení 159 2120–1: Hodnocení přiměřenosti procesu řízení rizik 161 2120–2: Řízení rizik interního auditu 167 2130−1: Hodnocení přiměřenosti řídicích a kontrolních procesů 175 2130.A1−1: Spolehlivost a integrita informací 179 2130.A1−2: Hodnocení systému ochrany důvěrných/osobních informací v rámci organizace 181 2200–1: Plánování zakázky 183 2200–2: Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu 185 2210–1: Cíle zakázky 189 2210.A1–1: Ohodnocení rizik při plánování zakázky 191 2230–1: Rozvržení zdrojů v rámci zakázky 191 2240–1: Pracovní program zakázky 193 2300–1: Využívání osobních informací při provádění zakázek 193 2320–1: Analytické postupy 195 2330–1: Dokumentace informací 199 2330.A1–1: Řízení přístupu k záznamům pořízeným v rámci zakázky 201 2330.A1–2: Poskytování přístupu k záznamům pořízeným v rámci zakázky 203 2330.A2−1: Archivace záznamů 205 2340−1: Dohled (supervize) nad prováděním zakázky 207 2400−1: Právní aspekty při předávání výsledků 209 2410−1: Kritéria komunikace 213 2420−1: Kvalita zpráv 217 2440−1: Distribuce výsledků 219 2440–2: Předávání citlivých informací v rámci nebo vně hierarchie řízení 221 2440.A2–1: Předávání informací vně společnosti 227 2500−1: Monitorování 229 2500.A1−1: Proces následné kontroly 231

9

Position Papers The Role of Internal Auditing in Enterprise-wide Risk Management (January 2009) The Role of Internal Auditing in Resourcing the Internal Audit Activity (January 2009)

Practice Guides Assessing the Adequacy of Risk Management (December 2010) Auditing Executive Compensation and Benefits (April 2010) Auditing External Business Relationships (May 2010) CAEs – Appointment, Performance Evaluation and Termination (May 2010) Evaluating Corporate Social Responsibility/Sustainable Development (February 2010) Formulating and Expressing Internal Audit Opinions (March 2009) Internal Auditing and Fraud (December 2009) Measuring Internal Audit Effectiveness and Efficiency (December 2010) Global Technology Audit Guides (GTAG®) GTAG 1 – Information Technology Controls (March 2005) GTAG 2 – Change and Patch Management Controls: Critical for Organizational Success (June 2005) GTAG 3 – Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment (October 2005) GTAG 4 – Management of IT Auditing (March 2006) GTAG 5 – Managing and Auditing Privacy Risks (June 2006) GTAG 6 – Managing and Auditing IT Vulnerabilities (October 2006) GTAG 7 – Information Technology Outsourcing (March 2007) GTAG 8 – Auditing Application Controls (July 2007) GTAG 9 – Identity and Access Management (November 2007) GTAG 10 – Business Continuity Management (July 2008) GTAG 11 – Developing the IT Audit Plan (July 2008) GTAG 12 – Auditing IT Projects (March 2009) GTAG 13 – Fraud Prevention and Detection in an Automated World (December 2009) GTAG 14 – Auditing User-developed Applications (June 2010) GTAG 15 – Information Security Governance (June 2010) Guide to the Assessment of IT Risk (GAIT) The GAIT Methodology (August 2007) GAIT for IT General Control Deficiency Assessment (March 2008) GAIT for Business and IT Risk (GAIT-R) (March 2008) Case Studies Using GAIT-R to Scope PCI Compliance (September 2008)

10

11

PREFACE

Mandatory. Conformance is required and the guidance is developed following the appropriate due process, which includes public exposure. Conformance with the principles set forth in mandatory guidance is essential for the professional practice of internal auditing.

Given the pace of change in our global profession, in 2006 the Board of Directors (Board) of The Institute of Internal Auditors (IIA) established an international steering committee and task force to review the Professional Practices Framework (PPF) and The IIA’s guidance structure along with the related processes. The task force’s efforts were focused on reviewing the scope of the framework and increasing the transparency and consistency of the guidance’s development, review, and issuance processes. The results culminated in a new International Professional Practices Framework (IPPF) and a reengineered Professional Practices Council (PPC). The PPC coordinates the approval and issuance of IPPF guidance as stated in the council’s updated mission statement which was approved by the Board in June 2007.

Strongly Recommended. Conformance is strongly recommended, and the guidance is endorsed by The IIA. It describes practices for the effective implementation of The IIA’s Code of Ethics and the International Standards for the Professional Practice of Internal Auditing (Standards). The IPPF now comprises the following elements:

In general, a framework provides a structural blueprint of how a body of knowledge and guidance fits together. As a coherent system, a framework facilitates consistent development, interpretation, and application of concepts, methodologies, and techniques useful to a discipline or profession. Specifically, the purpose of the IPPF is to organize The IIA’s authoritative guidance in a manner that is readily accessible on a timely basis while strengthening the positioning of The IIA as the standard setting body for the internal audit profession globally. By encompassing current internal audit practice as well as allowing for future expansion, the IPPF is intended to assist practitioners and stakeholders throughout the world in being responsive to the expanding market for high quality internal audit services. As the conceptual framework that organizes guidance promulgated by The IIA, the IPPF’s scope has been narrowed to include only authoritative guidance developed by IIA international technical committees following appropriate due process. Authoritative guidance consists of two categories: 12

Předmluva

Povinné směrnice: je vyžadován soulad s těmito směrnicemi; tyto směrnice byly důkladně připraveny a následně podrobeny veřejnému připomínkovému řízení. Pro profesní praxi interního auditu je nezbytný soulad s principy stanovenými v povinných směrnicích.

V důsledku probíhajících rychlých změn v profesi interního auditu, představenstvo Institutu interních auditorů (dále též „IIA“ nebo „Institut“) ustanovilo v roce 2006 mezinárodní řídicí výbor a pracovní skupinu, jejímž cílem byla revize Rámce profesní praxe (PPF), struktury směrnic IIA a s nimi souvisejících postupů. Úsilí této pracovní skupiny bylo zaměřeno na revizi rozsahu rámce a na zvýšení transparentnosti a zlepšení vzájemné provázanosti postupů přípravy, revize a zveřejnění směrnic. Výsledkem tohoto úsilí bylo vydání nového Mezinárodního Rámce profesní praxe (IPPF; dále též „Rámec“) a podstatné změny ve struktuře Rady pro profesní praxi (PPC). Jak plyne z upraveného programového prohlášení této rady, schváleného představenstvem IIA v červnu 2007, úkolem PPC je koordinace procesu schvalování a zveřejňování směrnic IPPF.

Důrazně doporučené směrnice: je důrazně doporučen soulad s těmito směrnicemi a tyto směrnice jsou podporovány IIA. Popisují postupy účinného zavádění Definice interního auditu, Etického kodexu a Mezinárodních Standardů pro profesní praxi interního auditu vydanými IIA (dále Standardů). IPPF se skládá z následujících prvků:

Z obecného hlediska, struktura Rámce podrobně ukazuje, na jakém souboru znalostí jsou jednotlivé směrnice založeny. Rámec, jako logicky provázaný systém, usnadňuje přípravu, interpretaci a aplikaci přístupů, metodik a postupů vhodných pro obor nebo profesi interního auditu. V rámci posílení role IIA jako globálního tvůrce standardů v oblasti profese interního auditu, je konkrétním cílem IPPF včasná příprava závazných směrnic a jejich dostupnost. Díky tomu, že IPPF obsahuje současnou praxi interního auditu a zároveň je otevřen budoucím změnám, cílem IPPF je v globálním měřítku napomáhat odborníkům a všem zainteresovaným stranám, aby byli vnímaví vůči rozvíjejícímu se trhu a poptávce po vysoce kvalitních službách interního auditu. Rozsah IPPF, jenž představuje koncepční rámec pro zatřídění směrnic vytvořených IIA, byl zúžen tak, aby zahrnoval pouze závazné směrnice stanovené mezinárodními technickými výbory IIA. Další podmínkou pro zahrnutí směrnice do Rámce bylo, že musela být podrobena řádnému připomínkování. Závazné směrnice se skládají ze dvou kategorií: 13

Elements

Definition

Position Papers

The Definition of Internal Auditing states the fundamental purpose, nature, and scope of internal auditing. Code of Ethics The Code of Ethics states the principles and expectations governing behavior of individuals and organizations in the conduct of internal auditing. It describes the minimum requirements for conduct; and behavioral expectations rather than specific activities. International The Standards are principlefocused and provide a framework Standards for the for performing and promoting internal auditing. The structure of Professional Practice of the Standards includes Attribute, Performance, and Implementation Internal Auditing (The Standards. The Standards are Standards) mandatory requirements consisting of: • Statements of basic requirements for the professional practice of internal auditing and for evaluating the effectiveness of its performance, which are internationally applicable at organizational and individual levels. • Interpretations, which clarify terms or concepts within the Statements. It is necessary to consider both the Statements and their Interpretations to understand and apply the Standards correctly. The Standards employ terms that have been given specific meanings that are included in the Glossary. Definition

Practice Advisories

Practice Guides

Position Papers assist a wide range of interested parties, including those not in internal auditing profession, in understanding significant governance, risk or control issues and delineating related roles and responsibilities of internal auditing. Practice Advisories address approach, methodology and considerations, but not detailed processes and procedures. They are guidance to assist internal auditors in applying the Code of Ethics and the Standards and to promote good practices. They include practices relating to: international, country, or industry specific issues; specific types of engagements; and legal or regulatory issues. Practice Guides are detailed guidance for conducting internal audit activities. They include detailed processes and procedures, such as tools and techniques, programs, and step-by-step approaches, including examples of deliverables.

The most significant changes in the new IPPF are: • Process improvements. Enhancements to the various elements, increased transparency, and defined review cycles for all guidance. The review cycle for the IPPF has been determined to be three years. Although the guidance enunciated in the IPPF will not necessarily change every three years, The IIA is committed to ensuring that it is reviewed completely every three years and that changes are made if necessary.

14

Prvek

Definice

Stanoviska (Position Papers)

Definice interního auditu obsahuje základní cíl, charakter a rozsah působnosti interního auditu. Etický kodex Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo organizací při výkonu interního auditu. Popisuje minimální požadavky kladené na postoje a modely chování, nestanovuje však konkrétní požadované činnosti. Standardy jsou založeny Mezinárodní Standardy na základních zásadách a poskytují rámec pro výkon interního auditu pro profesní praxi interního a jeho podporu. Struktura Standardů zahrnuje Základní standardy, auditu (Standardy) Standardy pro výkon a Prováděcí standardy. Standardy jsou souborem závazných požadavků skládajících se ze: • Základních požadavků kladených na profesní praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby. • Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých požadavcích. Pro správné pochopení a používání Standardů je nezbytné se řídit jak jednotlivými požadavky, tak i jejich interpretacemi. Standardy používají řadu pojmů, jimž byl přiřazen specifický význam, který je uveden ve Výkladu pojmů. Definice

Doporučení pro praxi (Practice Advisories)

Praktické pomůcky (Practice Guides)

Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení souvisejících rolí a odpovědností interního auditu. Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém měřítku, určitých typů zakázek a právních či regulatorních otázek. Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány a postupná řešení, včetně příkladů jejich výstupů.

Nejvýznamnějšími změnami v novém IPPF jsou: • Zlepšení procesu – došlo ke zdokonalení několika prvků procesu, k dosažení vyšší transparentnosti a stanovení frekvence revizí všech směrnic. Frekvence revizí IPPF byla stanovena na 3 roky. I když není nezbytné, aby se směrnice obsažené v IPPF měnily každé tři roky, 15

• Development and Practice Aids. This element is no longer included in the framework. It previously encompassed all resources (e.g., training, publications, and research reports) that internal auditors might use in the course of their work. Because the scope of the new IPPF includes only authoritative guidance, as defined above, this category did not fit within the new framework. • Interpretations. These have been added to the Standards to provide further clarity to terms and phrases. Interpretations, where required, will immediately follow the associated Standard. • Position Papers. This element has been added to the IPPF. Position Papers are IIA statements that assist a wide range of interested parties, including those not in the internal audit profession, to understand significant governance, risk, or control issues, and delineate the related roles and responsibilities of the internal audit profession. • Practice Advisories. These have been narrowed in scope to include only the methodology and approach for implementing the Code of Ethics and the Standards. Current content that addresses tools or techniques has been moved into the Practice Guides element. • Practice Guides. This element has been added to the IPPF. Practice Guides allow guidance to be issued at the tools and techniques level, and includes detailed processes and procedures, programs, and step-by-step approaches (e.g., examples of deliverables).

These differences may affect the practice of internal auditing in each environment. The implementation of the IPPF, therefore, will be governed by the environment in which the internal audit activity carries out its assigned responsibilities. No information contained within the IPPF should be construed in a manner that conflicts with applicable laws or regulations. If a situation arises where information contained within the IPPF may be in conflict with legislation or regulation, internal auditors are encouraged to contact The IIA or legal counsel for further guidance. As indicated above, the IPPF contains two types of guidance.

1. Mandatory guidance includes: • The Definition of Internal Auditing, • The Code of Ethics, and • The Standards The mandatory nature of the Standards is emphasized by the use of the word “Must.” The Standards use the word “must” to specify an unconditional requirement. In some exceptional cases, the Standards use the terminology “Should.” The Standards use the word “should” where conformance is expected unless, when applying professional judgment, circumstances justify deviation.

By definition, internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

Conformance with the concepts enunciated in the mandatory guidance is essential before the responsibilities of internal auditors can be met. As stated in the Code of Ethics, internal auditors shall perform internal audit services in accordance with the Standards. Internal auditors refers to Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing.

Throughout the world, internal auditing is performed in diverse environments and within organizations that vary in purpose, size, and structure. In addition, the laws and customs within various countries differ from one another.

Mandatory guidance is intended to be applicable to both individuals and entities that provide internal auditing services. 16

IIA zajistí, aby byly podrobeny celkové revizi a aby byly učiněny nezbytné změny. Rozvojové a praktické pomůcky (Development and Practice Aids) – tento prvek již nebyl do rámce zahrnut. Původně obsahoval všechny zdroje (např. školení, publikace a výzkumné zprávy), využitelné interními auditory v průběhu jejich práce. Protože rozsah tohoto nového IPPF obsahuje pouze závazné směrnice, tato kategorie by byla v rozporu s obsahem nového Rámce. Interpretace – byly přidány do Standardů z důvodu vyšší srozumitelnosti pojmů a formulací. Tam, kde je to nezbytné, jsou interpretace uvedeny bezprostředně za souvisejícím Standardem. Doporučení pro praxi (Practice Advisories) – jejich rozsah byl zúžen a obsahuje pouze metodiku a postupy pro aplikaci Etického kodexu a Standardů. Text týkající se nástrojů a postupů byl přesunut do části Praktické pomůcky. Praktické pomůcky a Stanoviska (Practice Guides a Position Papers) – tyto prvky byly do IPPF nově přidány. Praktické pomůcky umožňují rozpracování směrnic na úroveň nástrojů a postupů. Zahrnují podrobné procesy a postupy, plány a postupná řešení (např. příklady jejich výstupů). Stanoviska obsahují pohled IIA na role a odpovědnosti interního auditu ve vztahu ke konkrétnímu problému.

je interní audit vykonáván, mohou mít tyto rozdíly vliv na jeho postupy. Proto aplikace IPPF závisí na prostředí, ve kterém interní audit vykonává své odpovědnosti. Žádný požadavek obsažený v IPPF by neměl být vykládán způsobem, který je v rozporu s platnými zákony nebo regulacemi. Pokud se vyskytne situace, že informace obsažená v IPPF je v rozporu s právem nebo regulacemi, interní auditoři by měli z hlediska stanovení dalšího postupu kontaktovat IIA nebo vyhledat pomoc právního poradce.

Podle své definice je interní audit nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace.

Soulad s pojetím formulovaným v závazných směrnicích je nezbytný pro účinný výkon odpovědností interních auditorů a funkci interního auditu jako takovou. Jak je uvedeno v Etickém kodexu, interní auditoři budou poskytovat služby interního auditu v souladu se Standardy. Interními auditory se rozumí členové IIA, držitelé nebo kandidáti profesních certifikací IIA a také ti, kteří poskytují služby interního auditu v rozsahu Definice interního auditu.

•

•

•

•

Jak bylo již zmíněno výše, IPPF obsahuje dva typy směrnic.

1. Závazné směrnice se skládají z: • Definice interního auditu • Etického kodexu • Standardů Závazná povaha Standardů je zdůrazněna slovem „muset“. Standardy používají slovo „muset“ pro stanovení nepodmíněného požadavku. V některých výjimečných případech Standardy používají slovo „měl by“. Standardy užívají slovo „měl by“ tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku.

Na celém světě je interní audit prováděn v rozmanitých prostředích a uvnitř organizací, které se liší svým účelem, velikostí a strukturou. Mimo to se zákony a zvyky od sebe v jednotlivých zemích liší. Z hlediska prostředí, v kterém

Závazné směrnice byly formulovány tak, aby byly použitelné jak pro jedince, tak pro entity poskytující služby interního auditu. 17

2. Recommended Guidance includes:

Professional Practices Framework Mandatory

• Position Papers • Practices Advisories • Practice Guides

Definition Code of Ethics Standards Practice Advisories Development and Practice Aids

While endorsed by The IIA and developed by an IIA international technical committee and/or institute following due process, strongly recommended guidance is not mandatory and has been developed to provide a wide range of applicable solutions to meet the requirments of The IIA’s mandadory guidance. Strongly recommended material is not intended to provide definitive answers to specific individual circumstances and as such is intended to be used as a guide. The IIA recommends that independent expert advice be sought relating directly to any specific situation. This guidance is expected to be applied by competent internal auditors, exercising professional judgment.

Strongly Recommended

Endorsed or Developed by The IIA

• • • • •

Inteernational Professional Practices Framework Mandatory

Definition Code of Ethics Standards and Interpretations Position Papers Practice Advisories Practice Guides

During the coming years, internal auditors can help to ensure that the IPPF will continue to grow more robust through their active involvement in guidance development. All interested parties are invited to provide comments and suggestions about any aspect of the IPPF. For professional guidance, comments, and suggestions, send an e-mail to [email protected]. To find out about coming updates to the IPPF, internal auditors are encouraged to monitor the Professional Guidance pages at http://www.theiia.org.

18

Strongly Recommended

• • • • • •

2. Doporučené směrnice se skládají z:

Rámec profesní praxe 2002–2008

• Stanovisek • Doporučení pro praxi • Praktických pomůcek

Definice Etický kodex Standardy Doporučení pro praxi Praktické a rozvojové pomůcky

Na základě návrhu pečlivě připraveného mezinárodním technickým výborem a samotným Institutem, schválil IIA důrazně doporučené směrnice, které však nejsou závazné. Účelem těchto doporučených směrnic je poskytnout širokou škálu použitelných řešení určených ke splnění požadavků stanovených závaznými směrnicemi IIA. Soubor důrazně doporučených směrnic nebyl připraven s cílem poskytnout rozhodující stanoviska použitelná v jednotlivých konkrétních situacích a jako takový by měl být používán spíše jako rádce/doporučení. IIA doporučuje, aby v dané konkrétní situaci, byl vyhledán nezávislý odborný poradce. Očekává se, že tyto důrazně doporučené směrnice budou využívat odborně způsobilí interní auditoři současně se svým odborným úsudkem.

Povinné Silně Schváleny/ doporučované vytvořeny IIA • • • • •

Mezinárodní rámec profesní praxe 2009 Definice Etický kodex Standardy a Interpretace Stanoviska Doporučení pro praxi Praktické pomůcky

V budoucnu mohou být interní auditoři nápomocni dalšímu rozvoji IPPF prostřednictvím jejich aktivní účasti při přípravě směrnic. Vítáme účast všech zainteresovaných stran v rámci poskytování připomínek a návrhů týkajících se jakéhokoli aspektu IPPF. V případě potřeby odborné rady, zaslání komentářů a návrhů zašlete e-mail na adresu [email protected]. Informace o chystaných aktualizacích IPPF mohou interní auditoři sledovat na stránkách http://www.theiia.org, v části „Professional Guidance“.

19

Povinné Silně doporučované • • • • • •

What’s New – Since January 2009? Standards (Released in October 2010 and to be effective January 2011): • • • • • • • • • • • • • • • • • • • • • • • • • •

1000 – Purpose, Authority, and Responsibility: Change interpretation 1100 – Independence and Objectivity: Change interpretation 1110 – Organizational Independence: Add new interpretation 1312 – External Assessments: Change interpretation 1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”: Add new interpretation 2000 – Managing the Internal Audit Activity: Change interpretation 2010.A2: Add new Standard 2070 – External Service Provider and Organizational Responsibility for Internal Auditing: Add new Standard and interpretation 2110.A2: Change Standard 2110.C1: Change to 2210.C2, change the content of the Standard 2120 – Risk Management: Change interpretation 2120.A1: Change Standard 2130.A1: Change Standard 2130.A2: Delete Standard 2130.A3: Delete Standard 2130.C1: Change to 2220.C2 2130.C2: Change to 2130.C1 2400 – Communicating Results: Change Standard 2410.A1: Change Standard, add interpretation 2450 – Overall Opinions: Add new Standard and interpretation Change the definition of Add Value Change the definition of Chief Audit Executive Change the definition of Control Environment Change the definition of Independence Change the definition of Information Technology Governance Change the definition of Objectivity

20

Co je nového ve Standardech od ledna 2009? Standardy (platné od ledna 2011): • • • • • • • • • • • • • • • • • • • • • • • • • •

1000 – Účel, pravomoci a odpovědnosti: změna interpretace 1100 – Nezávislost a objektivita: změna interpretace 1110 – Organizační nezávislost: přidána nová interpretace 1312 – Externí hodnocení: změna interpretace 1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“: přidána nová interpretace 2000 – Řízení interního auditu: změna interpretace 2010.A2: přidán nový standard 2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu: přidán nový standard a interpretace 2110.A2: změna standardu 2110.C1: přečíslováno na 2210.C2, změna obsahu standardu 2120 – Řízení rizik: změna interpretace 2120.A1: změna standardu 2130.A1: změna standardu 2130.A2: standard zrušen 2130.A3: standard zrušen 2130.C1: přečíslováno na 2220.C2 2130.C2: přečíslováno na 2130.C1 2400 – Předávání výsledků: změna standardu 2410.A1: změna standardu, přidána nová interpretace 2450 – Celkové názory: přidán nový standard a interpretace Přidaná hodnota: změna definice Vedoucí interního auditu: změna definice Kontrolní prostředí: změna definice Nezávislost: změna definice Řízení a správa informačních technologií: změna definice Objektivita: změna definice

21

Practice Advisories (PA): Add - PA 2010-2: Using the Risk Management Process in Internal Audit Planning July 2009 Add - PA 2050-2: Assurance Maps July 2009 Add - PA 2050-3: Relying on the Work of Other Assurance Providers October 2010 Change - PA 2060-1: Reporting to Senior Management and the Board May 2010 Add - PA 2110-1: Governance: Definition April 2010 Add - PA 2110-2: Governance: Relationship with Risk and Control April 2010 Add - PA 2110-3: Governance: Assessments April 2010 Add - PA 2120-2: Managing the Risk of the Internal Audit Activity April 2009 Add - PA 2200-2: Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement April 2010 Add - PA 2300-1: Use of Personal Information in Conducting Engagements May 2010 Add - PA 2320-1: Analytical Procedures May 2010 Add - PA 2330.A1-2: Granting Access to Engagement Records May 2010 Add - PA 2400-1: Legal Considerations in Communicating Results May 2010 Add - PA 2440-2: Communicating Sensitive Information Within and Outside the Chain of Command May 2010 Add - PA 2440.A2-1: Communications Outside the Organization May 2010 Practice Guides (PG): PG PG PG PG PG PG PG PG GTAG-15 GTAG-14 GTAG-13 GTAG-12

Assessing the Adequacy of Risk Management Measuring Internal Audit Effectiveness and Efficiency CAEs - Appointment, Performance Evaluation and Termination Auditing Executive Compensation and Benefits Evaluating Corporate Social Responsibility/Sustainable Development Formulating and Expressing Internal Audit Opinions Auditing External Business Relationships Internal Auditing and Fraud Information Security Governance Auditing User-developed Applications Fraud Prevention and Detection in an Automated World Auditing IT Projects

22

Dec. 2010 Dec. 2010 May 2010 April 2010 Feb. 2010 April 2009 May 2009 Dec. 2009 June 2010 June 2010 Dec. 2009 Mar. 2009

Doporučení pro praxi (DP): DP 2010–2: Využití procesu řízení rizik při plánování interního auditu vydáno v červenci 2009 DP 2050–2: Mapy ujišťovacích činností vydáno v červenci 2009 DP 2050–3: Spolehnutí se na práci ostatních dodavatelů ujištění vydáno v říjnu 2010 DP 2060–1: Předávání zpráv vedení a orgánům společnosti změna v květnu 2010 DP 2110–1: Řízení a správa společnosti: Definice vydáno v dubnu 2010 DP2110–2: Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou vydáno v dubnu 2010 DP 2110–3: Řízení a správa společnosti: Hodnocení vydáno v dubnu 2010 DP 2120–2: Řízení rizik interního auditu vydáno v dubnu 2009 DP 2200–2: Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu vydáno v dubnu 2010 DP 2300–1: Využívání osobních informací při provádění zakázek vydáno v květnu 2010 DP 2320–1: Analytické postupy vydáno v květnu 2010 DP 2330.A1–2: Poskytování přístupu k záznamům pořízeným v rámci zakázky vydáno v květnu 2010 DP 2400–1: Právní aspekty při předávání výsledků vydáno v květnu 2010 DP 2440–2: Předávání citlivých informací v rámci nebo vně hierarchie řízení vydáno v květnu 2010 DP 2440.A2–1: Předávání informací vně společnosti vydáno v květnu 2010 Praktické pomůcky: Od poslední novely Rámce profesní praxe interního auditu bylo vydáno 12 nových Praktických pomůcek.

23

Z

International standards

A ÁV

ZN

Me s

Code of Ethics

Definice

Position Papers

Practice Guides

Stanoviska

RA

Practice Advisories

Z Code of Ethics Practice Guides

Z

Do p

Z

DO

A ÁV

PO

ZN

Me s

Definice

Stanoviska

DŮ

Practice Guides

RA

NĚ

Z

Practice Advisories

Me s

Stanoviska

Code of Ethics

Position Papers

AZN

Definice

NĚ

International standards Definition

ÁV

PO

RA

Practice Advisories

DO

DŮ

Position Papers

Do p

Z

NĚ


Definition

DŮ

Definition

D

Do p

C

Stanoviska

Praktické pomůcky

RA

Mezinárodní standardy

ZNÉ S MĚRNI Mezinárodní standardy

Praktické pomůcky

Stanoviska

RA

Z

D

C

Etický kodex

Definice

NĚ

SM

E

Z

PORUČENÉ

DŮ

Practice Guides

A ÁV

ĚR

Doporučení pro praxi

Z

Code of Ethics

DO

NI

RA

nal ds

Praktické pomůcky

Stanoviska

CE

Etický kodex

Definice

NĚ

s

É SMĚRN IC

DŮ

Practice Guides

ZN VA

SM


NI

Z Code of Ethics

Á

PORUČENÉ

E

nal ds

DO

ĚR

Z


ĚR

NĚ

CE

Practice Guides

NI

Etický kodex

DŮ

Definice

CE

Z


Code of Ethics

s

s

ZNÉ S MĚRNI

E

nal ds

A ÁV

SM

Definition of Internal Auditing Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

26

Definice interního auditu Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a řízení a správy organizace.

27

Z

International standards Code of Ethics

Definition

Practice Guides

Definice

Stanoviska

Do p

Z

NĚ

Z


Code of Ethics

Definition

Practice Guides

A ÁV

PO

ZN

Me s

Definice

Stanoviska

RA

Practice Advisories

DO

DŮ

Position Papers

Me s

RA

Practice Advisories

ZN

DŮ

Position Papers

A ÁV

Do p

Z

NĚ

Z


DO

PO

N A ZMe V Á

st

Code of Ethics

Definice

Position Papers

Practice Guides

Stanoviska

RA

NĚ

Z

Practice Advisories

DŮ

Definition

D

Do p


Z

PORUČENÉ

NÉ SMĚRN ZMezinárodní A IC V standardy

Etický kodex

Practice Guides

Stanoviska

Praktické pomůcky

Z

ĚR

RA

D


NI

Definice

DŮ

Code of Ethics

NĚ

CE

SM

E

Z

ĚR


Z

Á

NI

RA

onal ds

Praktické pomůcky

CE

Etický kodex

Stanoviska

DO

C

CE

Z


Definice

NĚ

s

SM

ZNÉ S MĚRNI

DŮ

Practice Guides

A ÁV

PORUČENÉ

E

Code of Ethics

DO

NI

RA

nal ds

Praktické pomůcky

Stanoviska

NĚ

s

s

Etický kodex

Definice

DŮ

Practice Guides


ĚR

Z Code of Ethics

Á

É SMĚRN IC E

nal ds

ZN VA

SM

Code of Ethics

Applicability and Enforcement

Introduction

This Code of Ethics applies to both individuals and entities that provide internal auditing services.

The purpose of The Institute’s Code of Ethics is to promote an ethical culture in the profession of internal auditing.

For Institute members and recipients of or candidates for IIA professional certifications, breaches of the Code of Ethics will be evaluated and administered according to The Institute’s Bylaws and Administrative Guidelines. The fact that a particular conduct is not mentioned in the Rules of Conduct does not prevent it from being unacceptable or discreditable, and therefore, the member, certification holder, or candidate can be liable for disciplinary action.

Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. A code of ethics is necessary and appropriate for the profession of internal auditing, founded as it is on the trust placed in its objective assurance about risk management, control, and governance.

Principles

The Institute’s Code of Ethics extends beyond the Definition of Internal Auditing to include two essential components:

1. Integrity The integrity of internal auditors establishes trust and thus provides the basis for reliance on their judgment.

1. Principles that are relevant to the profession and practice of internal auditing; 2. Rules of Conduct that describe behavior norms expected of internal auditors. These rules are an aid to interpreting the Principles into practical applications and are intended to guide the ethical conduct of internal auditors.

2. Objectivity Internal auditors exhibit the highest level of professional objectivity in gathering, evaluating, and communicating information about the activity or process being examined. Internal auditors make a balanced assessment of all the relevant circumstances and are not unduly influenced by their own interests or by others in forming judgments

“Internal auditors” refers to Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing.

3. Confidentiality Internal auditors respect the value and ownership of information they receive and do not disclose information without appropriate authority unless there is a legal or professional obligation to do so.

Internal auditors are expected to apply and uphold the following principles:

30

ETICKÝ KODEX

Uplatnitelnost a vymahatelnost

Úvod

Tento Etický kodex se vztahuje na subjekty, které poskytují služby interního auditu, a to jak na fyzické, tak i na právnické osoby.

Cílem Etického kodexu Institutu interních auditorů (dále jen Etického kodexu) je podpora etické kultury v profesi interního auditu.

Porušení Etického kodexu členy Institutu interních auditorů, držiteli nebo kandidáty profesních certifikací IIA bude hodnoceno a při jeho řešení bude postupováno podle pravidel a administrativních směrnic Institutu. Skutečnost, že některý dílčí způsob jednání není obsažen v Pravidlech jednání, nemění nic na tom, aby toto jednání nemohlo být považováno za nepřijatelné nebo diskreditující, a tedy by mohlo být podnětem pro zahájení disciplinárního řízení vůči členu Institutu, držiteli nebo kandidátovi certifikace.

Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace. Etický kodex je nezbytný a důležitý pro profesi interního auditu, neboť ta je založena na důvěře, která je součástí objektivního ujištění poskytovaného touto profesí v oblasti řízení a správy společnosti, řízení rizik a řídicího a kontrolních systému.

Základní zásady Od interních auditorů se očekává, že budou dodržovat a uplatňovat následující základní zásady:

Tento Etický kodex přesahuje rámec Definice interního auditu a zahrnuje dvě významné části:

1. Integrita Integrita interních auditorů vytváří důvěru, která je základním prvkem víry ve spolehlivost jejich úsudků.

1. Základní zásady, které jsou důležité pro profesi a praxi interního auditu; 2. Pravidla jednání, která popisují normy chování očekávaného od interního auditora. Tato pravidla jsou pomůckou pro uplatňování Základních zásad v praxi a slouží jako návod pro etické jednání interních auditorů.

2. Objektivita Při shromažďování, hodnocení a předávání informací o prověřovaných činnostech a procesech, prokazují interní auditoři nejvyšší úroveň profesní objektivity. Interní auditoři vyváženým způsobem hodnotí všechny podstatné okolnosti a nenechají se při tvorbě svých úsudků nadměrně ovlivňovat svými vlastními zájmy nebo zájmy jiných.

„Interními auditory“ se rozumí členové Institutu a držitelé nebo kandidáti profesionální certifikace IIA a ti, kteří poskytují služby interního auditu v souladu s Definicí interního auditu.

3. Důvěrnost Interní auditoři respektují vlastnictví a hodnotu informací, které získávají při své činnosti a tyto informace neposkytují bez příslušného souhlasu, pokud neexistuje právní nebo profesní povinnost tak učinit. 31

4. Competency Internal auditors apply the knowledge, skills, and experience needed in the performance of internal auditing services.

3. Confidentiality Internal auditors: 3.1. Shall be prudent in the use and protection of information acquired in the course of their duties. 3.2. Shall not use information for any personal gain or in any manner that would be contrary to the law or detrimental to the legitimate and ethical objectives of the organization.

Rules of Conduct 1. Integrity Internal auditors:

4. Competency Internal auditors:

1.1. Shall perform their work with honesty, diligence, and responsibility. 1.2. Shall observe the law and make disclosures expected by the law and the profession. 1.3. Shall not knowingly be a party to any illegal activity, or engage in acts that are discreditable to the profession of internal auditing or to the organization. 1.4. Shall respect and contribute to the legitimate and ethical objectives of the organization.

4.1. Shall engage only in those services for which they have the necessary knowledge, skills, and experience. 4.2. Shall perform internal auditing services in accordance with the International Standards for the Professional Practice of Internal Auditing. 4.3. Shall continually improve their proficiency and the effectiveness and quality of their services.

2. Objectivity Internal auditors: 2.1. Shall not participate in any activity or relationship that may impair or be presumed to impair their unbiased assessment. This participation includes those activities or relationships that may be in conflict with the interests of the organization. 2.2. Shall not accept anything that may impair or be presumed to impair their professional judgment. 2.3. Shall disclose all material facts known to them that, if not disclosed, may distort the reporting of activities under review.

32

4. Kompetentnost Při poskytování služeb interního auditu uplatňují interní auditoři potřebné vědomosti, dovednosti a zkušenosti.

3. Důvěrnost Interní auditoři: 3.1. Budou obezřetní při použití a ochraně informací, které získají v průběhu plnění svých povinností. 3.2. Nepoužijí získané informace pro jakýkoli osobní prospěch a ani žádným jiným způsobem, který by byl v rozporu se zákonem nebo na újmu oprávněných zájmů organizace a jejích etických cílů.

Pravidla jednání 1. Integrita Interní auditoři: 1.1. Budou vykonávat svoji práci čestně, s náležitou péčí a odpovědně. 1.2. Budou dodržovat zákony a budou poskytovat informace, které jsou vyžadovány ze zákona nebo profesí interního auditu. 1.3. Nebudou se vědomě zapojovat do jakýchkoli nezákonných aktivit nebo se zúčastňovat činností, které by diskreditovaly profesi interního auditu nebo organizaci. 1.4. Budou respektovat oprávněné zájmy organizace a její etické cíle a přispívat k jejich dosažení.

4. Kompetentnost Interní auditoři: 4.1. Budou poskytovat pouze takové služby, pro které mají nezbytné vědomosti, dovednosti a zkušenosti. 4.2. Budou všechny své služby provádět v souladu s Mezinárodními standardy pro profesní praxi interního auditu. 4.3. Budou soustavně zdokonalovat svou odbornost, kvalitu a účinnost jimi poskytovaných služeb.

2. Objektivita Interní auditoři: 2.1. Nezúčastní se žádných činností nebo vztahů, které mohou narušovat nebo mohou být chápány jako narušení jejich objektivního úsudku. To se týká také činností a vztahů, které mohou být v konfliktu se zájmy organizace. 2.2. Nepřijmou nic, co by mohlo narušit nebo by mohlo být chápáno jako narušení jejich profesionálního úsudku. 2.3. Uvedou všechny významné skutečnosti, které jsou jim známy a které, pokud by nebyly uvedeny, by mohly zkreslit zprávu o činnostech, které byly předmětem auditu.

33

Z


Code of Ethics

Definition

Practice Guides

Me st

Definice

Stanoviska

RA

Practice Advisories

ZNÉ

DŮ

Position Papers

A ÁV

Do pr

Z

NĚ

Z


DO

PO

NÉ A ZMez V Á

st

Code of Ethics

Definice

Position Papers

Practice Guides

Stanoviska

RA

Practice Advisories

DŮ

Definition

Do pr

Z

NĚ

Z


DO

A ÁV

PO

ZNÉ

Code of Ethics

Definice

Position Papers

Practice Guides

Stanoviska

RA

NĚ

Z

Practice Advisories

DŮ

Definition

Me st

Do

PORUČENÉ

NÉ SMĚRN ZMezinárodní A IC V standardy

Stanoviska

Praktické pomůcky

RA

Z

PORUČENÉ

SM

ZNÉ S MĚRNI Mezinárodní standardy

C E

A ÁV

ĚR


Z

nal ds

DO

Definice

Etický kodex

Practice Guides

Stanoviska

Praktické pomůcky

Z

Doporučení

ĚR

RA

NI

DŮ

Code of Ethics

NĚ

CE

Practice Guides

NI

Etický kodex

DŮ

Definice

NĚ

CE

SM

E

Z

ĚR

Z


Code of Ethics

s

e es

Á

DO

NI

RA

onal ds

Praktické pomůcky

Stanoviska

NĚ

s

C

Etický kodex

Definice

DŮ

Practice Guides


CE

Z Code of Ethics

ZNÉ S MĚRNI

E

nal ds

A ÁV

M

Introduction

fectiveness of its performance, which are internationally applicable at organizational and individual levels. • Interpretations, which clarify terms or concepts within the Statements.

Internal audit engagements are conducted in diverse legal and cultural environments; within organizations that vary in purpose, size, complexity, and structure; and by persons within or outside the organization. While differences may affect the practice of internal auditing in each environment, conformance with The IIA’s International Standards for the Professional Practice of Internal Auditing (The Standards) is essential if the responsibilities of internal auditors are to be met. If internal auditors are prohibited by laws or regulations from conforming with certain parts of the Standards, they should conform with all other parts of the Standards and make appropriate disclosures.

The Standards employ terms that have been given specific meanings that are included in the Glossary. Specifically, the Standards use the word “must” to specify an unconditional requirement and the word “should” where conformance is expected unless, when applying professional judgment, circumstances justify deviation. It is necessary to consider both the Statements and their Interpretations and the specific meanings from the Glossary to understand and apply the Standards correctly.

If internal auditors use the Standards in conjunction with the standards issued by other authoritative bodies, they may also cite the use of other standards in their audit communications, as appropriate. If inconsistencies exist between the Standards and other standards, internal audit must conform with the Standards, and may conform with the other standards if they are more restrictive.

The structure of the Standards includes Attribute, Performance, and Implementation Standards. Attribute Standards address the attributes of organizations and individuals performing internal audit services. The Performance Standards describe the nature of internal audit services and provide quality criteria against which the performance of these services can be measured. The Attribute and Performance Standards apply to all internal audit services. The Implementation Standards expand upon the Attribute and Performance Standards, providing the requirements applicable to assurance (A) or consulting (C) activities.

The purpose of the Standards is to: 1. Delineate basic principles that represent the practice of internal auditing as it should be. 2. Provide a framework for performing and promoting a broad range of value-added internal audit activities. 3. Establish the basis for the evaluation of internal audit performance. 4. Foster improved organizational processes and operations.

Assurance services involve the internal auditor’s objective assessment of evidence to provide an independent opinion or conclusions regarding an entity, an operation, a function, a process, system, or other subject matter. The nature and scope of the assurance engagement are determined by the internal auditor. There are generally three parties involved in assurance services: (1) the person or group directly involved with the entity, operation, function, process, system, or other subject matter — the process owner, (2) the person or group making the assessment — the

The Standards are principles-focused, mandatory requirements consisting of: • Statements of basic requirements for the professional practice of internal auditing and for evaluating the ef36

Úvod ke Standardům

• Základních požadavků kladených na profesionální praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby. • Interpretací, které vysvětlují pojmy nebo pojetí použitá v textu jednotlivých požadavků.

Interní audit je vykonáván v různém právním a kulturním prostředí; uvnitř organizací lišících se zaměřením, velikostí a strukturou, prostřednictvím interních zaměstnanců i externích odborníků. Tyto rozdíly mohou sice ovlivňovat praxi interního auditu v daném prostředí, má-li však interní audit naplňovat řádně své odpovědnosti, musí být vždy jeho činnost ve shodě s Mezinárodními Standardy pro profesní praxi interního auditu vydanými IIA (dále Standardy). Pokud zákony nebo regulační opatření neumožňují interním auditorům nebo funkci interního auditu, aby postupovali ve shodě s určitou částí Standardů, je nezbytné dodržovat všechny ostatní části Standardů a řádně o této situaci informovat.

Standardy používají výrazy, kterým je přikládám specifický význam; tyto výrazy jsou obsaženy ve Výkladu pojmů. Standardy používají slovo „muset“ pro stanovení nepodmíněného požadavku a slovo „měl by“ tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku. Pro správné pochopení a používání Standardů je nezbytné řídit se formulacemi jednotlivých požadavků, jejich interpretacemi a současně i konkrétními výklady uvedenými ve Výkladu pojmů.

Pokud jsou Standardy používány ve spojení se standardy vydanými jinými odbornými organizacemi, v případech, kdy je to vhodné, mohou auditní zprávy také odkazovat na tyto standardy. Pokud v takovém případě existují rozdíly mezi Standardy a ostatními použitými standardy, interní auditoři a funkce interního auditu se musí řídit Standardy IIA; mohou se však také řídit ostatními standardy, pokud jsou jejich ustanovení přísnější než Standardy IIA.

Standardy se skládají ze Základních standardů, Standardů pro výkon interního auditu a Prováděcích standardů. Základní standardy obsahují zásadní požadavky a vlastnosti týkající se útvarů a subjektů poskytujících služby interního auditu. Standardy pro výkon interního auditu popisují charakter služeb interního auditu a poskytují kvalitativní kritéria, na jejichž základě lze činnost interního auditu hodnotit. Základní standardy a Standardy pro výkon interního auditu se vztahují na všechny služby interního auditu. Prováděcí standardy jsou nadstavbou Základních standardů a Standardů pro výkon interního auditu a obsahují požadavky týkající ujišťovacích (A) a poradenských (C) činností.

Cílem Standardů je: 1. Vymezit základní principy praxe interního auditu 2. Poskytnout rámec pro provádění a podporu širokého spektra služeb interního auditu, přinášejících přidanou hodnotu 3. Vytvořit základnu pro hodnocení výkonu interního auditu 4. Podporovat zdokonalené organizační procesy a postupy

Ujišťovací služby představují objektivní posouzení informací, jehož cílem je poskytnutí nezávislého názoru nebo závěrů ohledně určitého procesu, systému nebo jiného předmětu posouzení. Charakter a rozsah ujišťovací zakázky určuje auditor. Ujišťovací služby obvykle zahrnují tři strany: (1) Jedince nebo skupinu, kteří jsou v přímém

Standardy jsou závaznými požadavky, které vycházejí ze základních zásad. Standardy se skládají ze:

37

internal auditor, and (3) the person or group using the assessment — the user. Consulting services are advisory in nature, and are generally performed at the specific request of an engagement client. The nature and scope of the consulting engagement are subject to agreement with the engagement client. Consulting services generally involve two parties: (1) the person or group offering the advice — the internal auditor, and (2) the person or group seeking and receiving the advice — the engagement client. When performing consulting services the internal auditor should maintain objectivity and not assume management responsibility. The review and development of the Standards is an ongoing process. The Internal Audit Standards Board engages in extensive consultation and discussion prior to issuing the Standards. This includes worldwide solicitation for public comment through the exposure draft process. All exposure drafts are posted on The IIA’s Web site as well as being distributed to all IIA institues. Suggestions and comments regarding the Standards can be sent to: The Institute of Internal Auditors Standards and Guidance 247 Maitland Avenue Altamonte Springs, FL 32701-4201, USA E-mail: [email protected] Web: http://www.theiia.org

38

vztahu k dané organizační jednotce, jednotlivým činnostem, funkci, systému nebo jiné předmětné záležitosti – vlastníka procesu (2) Jedince nebo skupinu provádějící hodnocení – interního auditora (3) Jedince nebo skupinu využívající toto hodnocení – uživatele Poradenské služby mají charakter poradenství a jsou obvykle prováděny na základě specifické žádosti klienta. Charakter a rozsah poradenské zakázky je předmětem dohody s klientem. Poradenské služby obvykle zahrnují dvě strany: (1) Jedince nebo skupinu poskytující konzultaci – interního auditora (2) Jedince nebo skupinu požadující a přijímající konzultaci – klienta zakázky. Při poskytování poradenských služeb by měl interní auditor zachovávat objektivitu a nepřijímat řídicí odpovědnost. Rozvoj a revize Standardů jsou nepřetržitými procesy. Standardy jsou před jejich vydáním intenzivně diskutovány v Radě pro standardy interního auditu (Internal Audit Standards Board) a podrobeny širokému mezinárodnímu připomínkovému řízení. Všechny návrhy jsou uveřejňovány na webových stránkách IIA a jsou distribuovány všem národním institutům. Náměty a komentáře týkající se Standardů mohou být zasílány na adresu: The Institute of Internal Auditors Standards and Guidance 247 Maitland Avenue Altamonte Springs, FL 32701-4201, USA e-mail: [email protected] Web: http://www.theiia.org

39

INTERNATIONAL STANDARDS FOR THE PROFESSIONAL PRACTICE OF INTERNAL AUDITING

1010 – Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter. The mandatory nature of the Definition of Internal Auditing, the Code of Ethics, and the Standards must be recognized in the internal audit charter. The chief audit executive should discuss the Definition of Internal Auditing, the Code of Ethics, and the Standards with senior management and the board.

Attribute Standards 1000 – Purpose, Authority, and Responsibility The purpose, authority, and responsibility of the internal audit activity must be formally defined in an internal audit charter, consistent with the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive must periodically review the internal audit charter and present it to senior management and the board for approval.

1100 – Independence and Objectivity The internal audit activity must be independent, and internal auditors must be objective in performing their work. Interpretation: Independence is the freedom from conditions that threaten the ability of the internal audit activity to carry out internal audit responsibilities in an unbiased manner. To achieve the degree of independence necessary to effectively carry out the responsibilities of the internal audit activity, the chief audit executive has direct and unrestricted access to senior management and the board. This can be achieved through a dualreporting relationship. Threats to independence must be managed at the individual auditor, engagement, functional, and organizational levels.

Interpretation: The internal audit charter is a formal document that defines the internal audit activity’s purpose, authority, and responsibility. The internal audit charter establishes the internal audit activity’s position within the organization; including the nature of the chief audit executive’s functional reporting relationship with the board; authorizes access to records, personnel, and physical properties relevant to the performance of engagements; and defines the scope of internal audit activities. Final approval of the internal audit charter resides with the board.

Objectivity is an unbiased mental attitude that allows internal auditors to perform engagements in such a manner that they believe in their work product and that no quality compromises are made. Objectivity requires that internal auditors do not subordinate their judgment on audit matters to others. Threats to objectivity must be managed at the individual auditor, engagement, functional, and organizational levels.

1000.A1 – The nature of assurance services provided to the organization must be defined in the internal audit charter. If assurances are to be provided to parties outside the organization, the nature of these assurances must also be defined in the internal audit charter. 1000.C1 – The nature of consulting services must be defined in the internal audit charter.

1110 – Organizational Independence The chief audit executive must report to a level within the organization that allows the internal audit activity to fulfill its responsibilities. The chief audit executive must confirm 40

MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU

1010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu Ve statutu interního auditu musí být respektován povinný charakter Definice interního auditu, Etického kodexu a Standardů. Vedoucí interního auditu by měl obsah Definice interního auditu, Etického kodexu a Standardů prodiskutovat s vedením a orgány společnosti.

Základní standardy 1000 – Účel, pravomoci a odpovědnosti Účel, pravomoci a odpovědnosti interního auditu musí být formálně stanoveny ve statutu interního auditu, který je v souladu s Definicí interního auditu, Etickým kodexem a se Standardy. Vedoucí interního auditu musí pravidelně ověřovat aktuálnost statutu interního auditu. Vedoucí interního auditu musí předkládat Statut interního auditu vedení a orgánům společnosti ke schválení.

1100 – Nezávislost a objektivita Působení interního auditu musí být nezávislé a interní auditoři musí při výkonu své práce postupovat objektivně. Interpretace: Nezávislost znamená nepřítomnost podmínek, za kterých je ohrožena schopnost interního auditu vykonávat odpovědnosti interního auditu nezaujatým způsobem. K dosažení stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu má vedoucí interního auditu přímý a neomezený přístup k vedení a orgánům společnosti. Stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu může být dosaženo prostřednictvím dvou linií řízení. Ohrožení nezávislosti musí být řízeno na úrovni jednotlivého auditora, zakázky, funkčních a organizačních úrovní.

Interpretace: Statutem interního auditu se rozumí formální dokument, který definuje účel, pravomoci a odpovědnosti interního auditu. Statut interního auditu určuje postavení interního auditu v rámci společnosti, včetně povahy vztahu funkční podřízenosti vedoucího interního auditu vůči orgánům společnosti; dále stanoví oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje rozsah činnosti interního auditu. Konečné schválení statutu interního auditu přísluší orgánům společnosti.

Objektivita je nezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět zakázky takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně její kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům. Ohrožení objektivity musí být řízeno na úrovni jednotlivého auditora, zakázky, funkčních a organizačních úrovní.

1000.A1 – Charakter ujišťovacích služeb poskytovaných společnosti musí být definován ve statutu interního auditu. Pokud je ujištění poskytováno subjektům vně společnosti, musí být charakter těchto ujišťovacích služeb též definován ve statutu interního auditu. 1000.C1 – Charakter poradenských služeb musí být definován ve statutu interního auditu.

1110 – Organizační nezávislost Vedoucí interního auditu musí podávat zprávy takovému organizačnímu stupni ve společnosti, který internímu auditu umožňuje plnění jeho funkcí. Vedoucí interního

41

to the board, at least annually, the organizational independence of the internal audit activity.

est could impair an individual’s ability to perform his or her duties and responsibilities objectively.

Interpretation: Organizational independence is effectively achieved when the chief audit executive reports functionally to the board. Examples of functional reporting to the board involve the board: • Approving the internal audit charter; • Approving the risk based internal audit plan; • Receiving communications from the chief audit executive on the internal audit activity’s performance relative to its plan and other matters; • Approving decisions regarding the appointment and removal of the chief audit executive; and • Making appropriate inquiries of management and the chief audit executive to determine whether there are inappropriate scope or resource limitations.

1130 – Impairment to Independence or Objectivity If independence or objectivity is impaired in fact or appearance, the details of the impairment must be disclosed to appropriate parties. The nature of the disclosure will depend upon the impairment. Interpretation: Impairment to organizational independence and individual objectivity may include, but is not limited to, personal conflict of interest, scope limitations, restrictions on access to records, personnel, and properties, and resource limitations, such as funding. The determination of appropriate parties to which the details of an impairment to independence or objectivity should be disclosed is dependent upon the expectations of the internal audit activity’s and the chief audit executive’s responsibilities to senior management and the board as described in the internal audit charter, as well as the nature of the impairment.

1110.A1 – The internal audit activity must be free from interference in determining the scope of internal auditing, performing work, and communicating results. 1111 – Direct Interaction With the Board The chief audit executive must communicate and interact directly with the board.

1130.A1 – Internal auditors must refrain from assessing specific operations for which they were previously responsible. Objectivity is presumed to be impaired if an internal auditor provides assurance services for an activity for which the internal auditor had responsibility within the previous year.

1120 – Individual Objectivity Internal auditors must have an impartial, unbiased attitude and avoid any conflict of interest.

1130.A2 – Assurance engagements for functions over which the chief audit executive has responsibility must be overseen by a party outside the internal audit activity.

Interpretation: Conflict of interest is a situation in which an internal auditor, who is in a position of trust, has a competing professional or personal interest. Such competing interests can make it difficult to fulfill his or her duties impartially. A conflict of interest exists even if no unethical or improper act results. A conflict of interest can create an appearance of impropriety that can undermine confidence in the internal auditor, the internal audit activity, and the profession. A conflict of inter-

1130.C1 – Internal auditors may provide consulting services relating to operations for which they had previous responsibilities.

42

auditu musí nejméně jednou ročně potvrdit orgánům společnosti organizační nezávislost funkce interního auditu.

rušit důvěru v interního auditora, k funkci interního auditu a k této profesi. Střet zájmů by mohl narušit schopnost jedince plnit objektivně své povinnosti a odpovědnosti.

Interpretace: Organizační nezávislost je dosažena účinným způsobem tehdy, pokud je vedoucí interního auditu funkčně podřízen orgánům společnosti. Příklady funkčního podřízení orgánům společnosti zahrnují situace, kdy orgány společnosti: • schvalují Statut interního auditu, • schvalují rizikově zaměřený plán interního auditu, • dostávají od vedoucího interního auditu informace týkající se výkonnosti interního auditu ve vztahu k plánu a informace o ostatních záležitostem, • schvalují rozhodnutí ohledně jmenování a odvolání vedoucího interního auditu, a • provádějí odpovídající dotazování vedení společnosti a vedoucího interního auditu, aby zjistili, zda neexistuje nepřiměřené omezení rozsahu a zdrojů auditu.

1130 – Narušení nezávislosti nebo objektivity Pokud dojde ke zdánlivému či faktickému narušení nezávislosti nebo objektivity, musí být o této skutečnosti předány podrobné informace příslušné organizační úrovni ve společnosti. Způsob sdělení informací závisí na povaze tohoto narušení. Interpretace: Narušení organizační nezávislosti a objektivity jednotlivce může zahrnovat následující situace (které však nejsou jejich vyčerpávajícím výčtem): osobní konflikt zájmu, omezení rozsahu působnosti auditu, omezení přístupu k dokladům, osobám a majetku a omezení zdrojů, např. finančních. Stanovení příslušných subjektů, kterým musí být sděleny detaily týkající se narušení nezávislosti a objektivity, závisí na odpovědnostech očekávaných od funkce interního auditu a jeho výkonného vedení směrem k vedení a orgánům společnosti, jak je uvedeno ve statutu interního auditu a dále také závisí na charakteru tohoto narušení.

1110.A1 – Při stanovení rozsahu působnosti interního auditu, při vlastním provádění prací a při sdělování výsledků nesmí internímu auditu do těchto činností nikdo zasahovat. 1111 – Přímá vzájemná součinnost s orgány společnosti Vedoucí interního auditu musí komunikovat a být ve vzájemné součinnosti přímo s orgány společnosti.

1130.A1 – Interní auditoři nesmí hodnotit takové procesy, za jejichž provádění byli předtím odpovědni. Jestliže auditor poskytuje ujištění o činnosti, za kterou byl během předchozího roku odpovědný, znamená to, že objektivita je narušena.

1120 – Objektivita jednotlivce Interní auditoři musí postupovat nestranně a nezaujatě a musí se vyhýbat jakémukoliv střetu zájmů.

1130.A2 – Na ujišťovací zakázky (audity) činností, za jejichž provádění je odpovědný vedoucí interního auditu, musí dohlížet subjekt vně interního auditu.

Interpretace: Střet zájmů je situace, v níž má interní auditor, vystupující v roli důvěryhodné osoby, protichůdný profesní či osobní zájem. Tyto protichůdné zájmy mohou znesnadnit nestranné plnění povinností auditora. Střet zájmů existuje dokonce i v případě, kdy se nestane nic neetického nebo nesprávného. Střet zájmů může vytvořit zdání nevhodnosti, které může na-

1130.C1 – Interní auditoři mohou poskytovat poradenské služby týkající se činností, za jejichž provádění byli předtím odpovědni.

43

1130.C2 – If internal auditors have potential impairments to independence or objectivity relating to proposed consulting services, disclosure must be made to the engagement client prior to accepting the engagement.

1210.A3 – Internal auditors must have sufficient knowledge of key information technology risks and controls and available technology-based audit techniques to perform their assigned work. However, not all internal auditors are expected to have the expertise of an internal auditor whose primary responsibility is information technology auditing.

1200 – Proficiency and Due Professional Care Engagements must be performed with proficiency and due professional care.

1210.C1 – The chief audit executive must decline the consulting engagement or obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.

1210 – Proficiency Internal auditors must possess the knowledge, skills, and other competencies needed to perform their individual responsibilities. The internal audit activity collectively must possess or obtain the knowledge, skills, and other competencies needed to perform its responsibilities.

1220 – Due Professional Care Internal auditors must apply the care and skill expected of a reasonably prudent and competent internal auditor. Due professional care does not imply infallibility.

Interpretation: Knowledge, skills, and other competencies is a collective term that refers to the professional proficiency required of internal auditors to effectively carry out their professional responsibilities. Internal auditors are encouraged to demonstrate their proficiency by obtaining appropriate professional certifications and qualifications, such as the Certified Internal Auditor designation and other designations offered by The Institute of Internal Auditors and other appropriate professional organizations.

1220.A1 –Internal auditors must exercise due professional care by considering the: • Extent of work needed to achieve the engagement’s objectives; • Relative complexity, materiality, or significance of matters to which assurance procedures are applied; • Adequacy and effectiveness of governance, risk management, and control processes; • Probability of significant errors, fraud, or noncompliance; and • Cost of assurance in relation to potential benefits.

1210.A1 – The chief audit executive must obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.

1220.A2 – In exercising due professional care internal auditors must consider the use of technology-based audit and other data analysis techniques.

1210.A2 – have sufficient knowledge to evaluate the risk of fraud and the manner in which it is managed by the organization, but are not expected to have the expertise of a person whose primary responsibility is detecting and investigating fraud.

1220.A3 – Internal auditors must be alert to the significant risks that might affect objectives, operations, or resources. However, assurance procedures alone, even

44

1130.C2 – Pokud jsou interní auditoři vystaveni možnému narušení nezávislosti a objektivity ve vztahu k nabízeným poradenským službám, musí být klient o této skutečnosti informován ještě před přijetím takové zakázky.

1210.A3 – Interní auditoři musí v rámci provádění svěřených úkolů mít dostatečné znalosti klíčových rizik a řídicích a kontrolních mechanismů v oblasti informačních technologií. Dále musí mít dostatečné znalosti dostupných softwarově podporovaných auditorských postupů. Od všech interních auditorů se však neočekává taková kvalifikace jako od interního auditora, jehož hlavní odpovědností je audit informační technologie.

1200 – Odbornost a náležitá profesní péče Zakázky musí být prováděny odborně a s náležitou profesní péčí.

1210.C1 – Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro provedení poradenské zakázky jako celku nebo její části, musí vedoucí interního auditu odmítnout tuto zakázku nebo zajistit odborné poradenství a podporu.

1210 – Odbornost Interní auditoři musí mít znalosti, dovednosti a další schopnosti potřebné pro plnění svých úkolů. Funkce interního auditu jako celek musí mít nebo být schopna zajistit takové znalosti, dovednosti a další schopnosti, které jsou potřebné pro plnění jejích odpovědností.

1220 – Náležitá profesní péče Interní auditoři musí uplatňovat péči a dovednosti, jaké se očekávají od přiměřeně uvážlivého a způsobilého interního auditora. Náležitá profesní péče neznamená neomylnost.

Interpretace: Znalosti, dovednosti a další schopnosti jsou společným termínem označujícím profesní odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný výkon jejich profesních odpovědností. Interním auditorům se doporučuje, aby prokazovali svou odbornost získáním odpovídajících profesních kvalifikací a certifikací, např. osvědčení Certifikovaný Interní Auditor a další osvědčení nabízená Mezinárodním institutem interních auditorů a ostatními, pro tento účel vhodnými profesními organizacemi.

1220.A1 – Interní auditor musí při uplatňování náležité profesní péče vzít v úvahu: • rozsah práce potřebný k dosažení cílů zakázky (auditu), • relativní složitost, významnost nebo závažnost oblastí, které jsou předmětem postupů poskytujících ujištění, • přiměřenost a účinnost procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů, • pravděpodobnost výskytu významných chyb, podvodu nebo odchylek, • náklady potřebné pro poskytnutí ujištění ve vztahu k jeho možným přínosům.

1210.A1 – Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro provedení zakázky jako celku nebo její části, vedoucí interního auditu musí zajistit odborné poradenství a podporu. 1210.A2 – Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko podvodu a způsob jakým je toto riziko řízeno v rámci společnosti, ale neočekává se od nich taková kvalifikace, jako je požadována od osoby, jejíž hlavní odpovědností je odhalování a vyšetřování podvodu.

1220.A2 – Při uplatňování náležité profesní péče musí interní auditor zvážit použití softwarově podporovaných auditorských postupů a ostatních postupů analýzy dat. 45

when performed with due professional care, do not guarantee that all significant risks will be identified.

1311 – Internal Assessments Internal assessments must include:

1220.C1 – Internal auditors must exercise due professional care during a consulting engagement by considering the:

• Ongoing monitoring of the performance of the internal audit activity; and • Periodic reviews performed through self-assessment or by other persons within the organization with sufficient knowledge of internal audit practices.

• Needs and expectations of clients, including the nature, timing, and communication of engagement results; • Relative complexity and extent of work needed to achieve the engagement’s objectives; and • Cost of the consulting engagement in relation to potential benefits.

Interpretation: Ongoing monitoring is an integral part of the day-to-day supervision, review, and measurement of the internal audit activity. Ongoing monitoring is incorporated into the routine policies and practices used to manage the internal audit activity and uses processes, tools, and information considered necessary to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.

1230 – Continuing Professional Development Internal auditors must enhance their knowledge, skills, and other competencies through continuing professional development.

Periodic reviews are assessments conducted to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.

1300 – Quality Assurance and Improvement Program The chief audit executive must develop and maintain a quality assurance and improvement program that covers all aspects of the internal audit activity.

Sufficient knowledge of internal audit practices requires at least an understanding of all elements of the International Professional Practices Framework.

Interpretation: A quality assurance and improvement program is designed to enable an evaluation of the internal audit activity’s conformance with the Definition of Internal Auditing and the Standards and an evaluation of whether internal auditors apply the Code of Ethics. The program also assesses the efficiency and effectiveness of the internal audit activity and identifies opportunities for improvement.

1312 – External Assessments External assessments must be conducted at least once every five years by a qualified, independent reviewer or review team from outside the organization. The chief audit executive must discuss with the board: • The need for more frequent external assessments; and • The qualifications and independence of the external reviewer or review team, including any potential conflict of interest.

1310 – Requirements of the quality assurance and improvement program The quality assurance and improvement program must include both internal and external assessments.

46

1220.A3 – Interní auditor musí být ostražitý vůči významným rizikům, která mohou ovlivnit cíle, postupy nebo zdroje. Postupy poskytující ujištění, i když jsou prováděny s náležitou profesní péčí, však samy o sobě nezaručí, že budou odhalena všechna významná rizika.

1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality Program pro zabezpečení a zvyšování kvality musí zahrnovat jak interní, tak externí hodnocení. 1311 – Interní hodnocení Interní hodnocení musí zahrnovat:

1220.C1 – Interní auditoři při uplatňování náležité profesní péče musí v rámci poradenské zakázky vzít v úvahu:

• průběžné sledování výkonnosti funkce interního auditu, • pravidelné prověrky prováděné prostřednictvím sebehodnocení nebo s využitím jiných osob v rámci společnosti, které mají dostatečné znalosti postupů interního auditu.

• potřeby a očekávání klientů, včetně charakteru, načasování a způsobu sdělení výsledků zakázky, • relativní složitost a rozsah práce potřebné k dosažení cílů zakázky, • náklady na poradenskou zakázku ve vztahu k jejím možným přínosům.

Interpretace: Průběžné sledování je nedílnou součástí každodenního dohledu (supervize), prověřování a měření činnosti interního auditu. Průběžné sledování je začleněno do běžných zásad a postupů používaných k řízení interního auditu; průběžné sledování používá procesy, nástroje a informace, které jsou považovány za nezbytné pro hodnocení souladu s Definicí interního auditu, Etickým kodexem a Standardy.

1230 – Průběžný profesní rozvoj Interní auditoři musí zlepšovat své znalosti, dovednosti a další schopnosti prostřednictvím průběžného profesního rozvoje. 1300 – Program pro zabezpečení a zvyšování kvality interního auditu Vedoucí interního auditu musí vypracovat a pravidelně aktualizovat program pro zabezpečení a zvyšování kvality interního auditu, který zahrnuje všechna hlediska funkce interního auditu.

Pravidelné prověrky jsou definovány jako analýzy hodnotící soulad s Definicí interního auditu, s Etickým kodexem a se Standardy. Dostatečná znalost postupů interního auditu vyžaduje alespoň porozumění všem prvkům Mezinárodního rámce pro profesní praxi interního auditu.

Interpretace: Program pro zabezpečení a zvyšování kvality je navržen tak, aby umožnil hodnocení souladu činnosti interního auditu s Definicí interního auditu a se Standardy a dále umožnil hodnocení, zda se interní auditoři řídí Etickým kodexem. Tento program také hodnotí účinnost a efektivnost činností interního auditu a identifikuje příležitosti ke zlepšení.

1312 – Externí hodnocení Externí hodnocení musí být provedeno minimálně jednou za pět let odborně způsobilým a nezávislým externím hodnotitelem nebo externím hodnotícím týmem. Vedoucí interního auditu musí s orgány společnosti projednat: • potřebu častějších externích hodnocení, • odbornou způsobilost a nezávislost externího hodnotitele nebo hodnotícího týmu, včetně jakéhokoli možného konfliktu zájmů. 47

Interpretation: A qualified reviewer or review team demonstrates competence in two areas: the professional practice of internal auditing and the external assessment process. Competence can be demonstrated through a mixture of experience and theoretical learning. Experience gained in organizations of similar size, complexity, sector or industry, and technical issues is more valuable than less relevant experience. In the case of a review team, not all members of the team need to have all the competencies; it is the team as a whole that is qualified. The chief audit executive uses professional judgment when assessing whether a reviewer or review team demonstrates sufficient competence to be qualified.

1321– Use of “Conformswith the International Standards for the Professional Practice of Internal Auditing” The chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program support this statement. Interpretation: The internal audit activity conforms with the Standards when it achieves the outcomes described in the Definition of Internal Auditing, Code of Ethics, and Standards. The results of the quality assurance and improvement program include the results of both internal and external assessments. All internal audit activities will have the results of internal assessments. Internal audit activities in existence for at least five years will also have the results of external assessments.

An independent reviewer or review team means not having either a real or an apparent conflict of interest and not being a part of, or under the control of, the organization to which the internal audit activity belongs. 1320 – Reporting on the quality assurance and improvement program The chief audit executive must communicate the results of the quality assurance and improvement program to senior management and the board.

1322 – Disclosure of Nonconformance When nonconformance with the Definition of Internal Auditing, the Code of Ethics, or the Standards impacts the overall scope or operation of the internal audit activity, the chief audit executive must disclose the nonconformance and the impact to senior management and the board.

Interpretation: The form, content, and frequency of communicating the results of the quality assurance and improvement program is established through discussions with senior management and the board and considers the responsibilities of the internal audit activity and chief audit executive as contained in the internal audit charter. To demonstrate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards, the results of external and periodic internal assessments are communicated upon completion of such assessments and the results of ongoing monitoring are communicated at least annually. The results include the reviewer’s or review team’s assessment with respect to the degree of conformance.

48

Interpretace: Odborně způsobilý hodnotitel nebo hodnotící tým prokazuje způsobilost ve dvou oblastech: v profesní praxi interního auditu a v procesu externího hodnocení. Způsobilost může být prokázána kombinací zkušeností a teoretických znalostí. Zkušenosti získané ve společnostech obdobných velikostí a složitostí, v obdobném sektoru nebo odvětví, a zkušenosti v oblasti technických aspektů jsou hodnotnější než zkušenosti (z tohoto pohledu) méně relevantní. Jedná-li se o hodnotící tým, nemusí mít všichni členové týmu způsobilost ve všech oblastech, ale kvalifikovaný musí být tým jako celek. K vyhodnocení, zda hodnotitel nebo hodnotící tým prokazují dostatečnou způsobilost z hlediska kvalifikace, používá vedoucí interního auditu svůj profesní úsudek.

1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ Vedoucí interního auditu může deklarovat, že činnost interního auditu je v souladu s Mezinárodními standardy pro profesní praxi interního auditu, pouze pokud výsledky programu pro zabezpečení a zvyšování kvality tuto deklaraci podporují. Interpretace: Činnost interního auditu je v souladu se Standardy, pokud dosahuje výsledků uvedených v Definici interního auditu, Etickém kodexu a ve Standardech. Výsledky programu pro zabezpečování a zvyšování kvality obsahují jak výsledky interního, tak externího hodnocení kvality. Všechny útvary interního auditu budou mít k dispozici výsledky interního hodnocení. Útvary interního auditu, který existuje alespoň pět let, budou též disponovat výsledky externího hodnocení kvality.

Nezávislost hodnotitele nebo hodnotícího týmu znamená, že nejsou ve skutečném ani zdánlivém konfliktu zájmů a že nejsou součástí nebo nejsou ve sféře vlivu společnosti, k níž náleží funkce interního auditu.

1322 – Informování týkající se nesouladu Pokud má nesoulad s Definicí interního auditu, Etickým kodexem nebo Standardy dopad na celkový rozsah působnosti a postupy interního auditu, musí vedoucí interního auditu informovat vedení a orgány společnosti o tomto nesouladu a jeho dopadech.

1320 – Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu Vedoucí interního auditu musí informovat vedení a orgány společnosti o výsledcích programu pro zabezpečení a zvyšování kvality. Interpretace: Forma, obsah a frekvence předávání výsledků týkajících se programu pro zabezpečení a zvyšování kvality jsou stanoveny po dohodě s vedením a orgány společnosti a berou v úvahu odpovědnosti interního auditu a jeho výkonného vedení tak, jak jsou stanoveny ve statutu interního auditu. Za účelem prokázání souladu s Definicí interního auditu, s Etickým kodexem a se Standardy, jsou výsledky externích hodnocení a výsledky pravidelných interních hodnocení předávány po ukončení příslušného hodnocení. Výsledky průběžného sledování jsou sdělovány nejméně jednou ročně. Tyto výsledky obsahují hodnocení hodnotitele nebo hodnotícího týmu ohledně stupně souladu. 49

PERFORMANCE STANDARDS

sessment, undertaken at least annually. The input of senior management and the board must be considered in this process.

2000 – Managing the Internal Audit Activity The chief audit executive must effectively manage the internal audit activity to ensure it adds value to the organization.

2010.A2 – The chief audit executive must identify and consider the expectations of senior management, the board, and other stakeholders for internal audit opinions and other conclusions.

Interpretation: The internal audit activity is effectively managed when: • The results of the internal audit activity’s work achieve the purpose and responsibility included in the internal audit charter; • The internal audit activity conforms with the Definition of Internal Auditing and the Standards; and • The individuals who are part of the internal audit activity demonstrate conformance with the Code of Ethics and the Standards.

2010.C1 – The chief audit executive should consider accepting proposed consulting engagements based on the engagement’s potential to improve management of risks, add value, and improve the organization’s operations. Accepted engagements must be included in the plan.

The internal audit activity adds value to the organization (and its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes.

2020 – Communication and Approval The chief audit executive must communicate the internal audit activity’s plans and resource requirements, including significant interim changes, to senior management and the board for review and approval. The chief audit executive must also communicate the impact of resource limitations.

2010 – Planning The chief audit executive must establish risk-based plans to determine the priorities of the internal audit activity, consistent with the organization’s goals.

2030 – Resource Management The chief audit executive must ensure that internal audit resources are appropriate, sufficient, and effectively deployed to achieve the approved plan.

Interpretation: The chief audit executive is responsible for developing a riskbased plan. The chief audit executive takes into account the organization’s risk management framework, including using risk appetite levels set by management for the different activities or parts of the organization. If a framework does not exist, the chief audit executive uses his/her own judgment of risks after consultation with senior management and the board.

Interpretation: Appropriate refers to the mix of knowledge, skills, and other competencies needed to perform the plan. Sufficient refers to the quantity of resources needed to accomplish the plan. Resources are effectively deployed when they are used in a way that optimizes the achievement of the approved plan. 2040 – Policies and Procedures The chief audit executive must establish policies and procedures to guide the internal audit activity.

2010.A1 – The internal audit activity’s plan of engagements must be based on a documented risk as50

STANDARDY PRO VÝKON INTERNÍHO AUDITU

prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a orgánů společnosti.

2000 – Řízení interního auditu Vedoucí útvaru interního auditu musí účinně řídit výkon interního auditu tak, aby interní audit přinášel společnosti přidanou hodnotu.

2010.A2 – Vedoucí interního auditu musí identifikovat a vzít v úvahu, co vedení, orgány společnosti a ostatní zainteresované subjekty (stakeholders) očekávají od názorů a dalších závěrů interního auditu.

Interpretace: Činnost interního auditu je účinně řízena, pokud: • výsledky interního auditu dosahují účelu a plní odpovědnosti stanovené ve statutu interního auditu, • výkon interního auditu je realizován v souladu s Definicí interního auditu a se Standardy, • jednotlivci, účastnící se výkonu interního auditu, prokazují soulad s Etickým kodexem a se Standardy.

2010.C1 – Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek s ohledem na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet přidanou hodnotu a zdokonalovat procesy ve společnosti. Přijaté zakázky musí být zahrnuty do plánu. 2020 – Komunikace a schvalování Vedoucí útvaru interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí interního auditu musí též informovat o dopadech vzniklých v důsledku omezení zdrojů.

Interní audit přidává hodnotu společnosti a ostatním zainteresovaným subjektům (stakeholders) pokud poskytuje objektivní a náležité ujištění a přispívá k účinnosti a efektivnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů.

2030 – Řízení zdrojů Vedoucí interního auditu musí zajistit, aby zdroje interního auditu pro splnění schváleného plánu byly vhodné, dostatečné a účinně rozmístěné.

2010 – Plánování Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu.

Interpretace: Vhodnými zdroji se rozumí kombinace znalostí, dovedností a dalších schopností potřebných pro splnění plánu. Dostatečnými zdroji se rozumí množství zdrojů potřebných pro uskutečnění plánu. Zdroje jsou účinně rozmístěny, pokud jsou používány způsobem, který vede k dosažení schváleného plánu optimální cestou.

Interpretace: Vedoucí interního auditu je odpovědný za vytvoření plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije své vlastní posouzení rizik.

2040 – Zásady a postupy Vedoucí interního auditu musí stanovit zásady a postupy, kterými se řídí činnost interního auditu.

2010.A1 – Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik, které je 51

Interpretation: The form and content of policies and procedures are dependent upon the size and structure of the internal audit activity and the complexity of its work.

2100 – Nature of Work The internal audit activity must evaluate and contribute to the improvement of governance, risk management, and control processes using a systematic and disciplined approach.

2050 – Coordination The chief audit executive should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.

2110 – Governance The internal audit activity must assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives: • Promoting appropriate ethics and values within the organization; • Ensuring effective organizational performance management and accountability; • Communicating risk and control information to appropriate areas of the organization; and • Coordinating the activities of and communicating information among the board, external and internal auditors, and management.

2060 – Reporting to Senior Management and the Board The chief audit executive must report periodically to senior management and the board on the internal audit activity’s purpose, authority, responsibility, and performance relative to its plan. Reporting must also include significant risk exposures and control issues, including fraud risks, governance issues, and other matters needed or requested by senior management and the board. Interpretation: The frequency and content of reporting are determined in discussion with senior management and the board and depend on the importance of the information to be communicated and the urgency of the related actions to be taken by senior management or the board.

2110.A1 – The internal audit activity must evaluate the design, implementation, and effectiveness of the organization’s ethics-related objectives, programs, and activities. 2110.A2 – The internal audit activity must assess whether the information technology governance of the organization supports the organization’s strategies and objectives.

2070 – External Service Provider and Organizational Responsibility for Internal Auditing When an external service provider serves as the internal audit activity, the provider must make the organization aware that the organization has the responsibility for maintaining an effective internal audit activity. Interpretation This responsibility is demonstrated through the quality assurance and improvement program which assesses conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. 52

Interpretace: Forma a obsah zásad a postupů jsou závislé na velikosti a struktuře útvaru interního auditu a složitosti jeho práce.

2100 – Charakter práce Interní audit musí systematicky a metodicky hodnotit procesy řízení a správy společnosti, řízení rizik a řídicí a kontrolní procesy a přispívat k jejich zdokonalování.

2050 – Koordinace Vedoucí interního auditu by měl sdílet informace a koordinovat činnost s ostatními interními a externími dodavateli obdobných ujišťovacích a poradenských služeb tak, aby bylo zajištěno dostatečné pokrytí auditními a poradenskými činnostmi a byly minimalizovány duplicity činností.

2110 – Řízení a správa společnosti Interní audit musí hodnotit a poskytovat vhodná doporučení za účelem zdokonalení procesu řízení a správy společnosti. V této roli plní následující cíle: • podpora vhodných etických a hodnotových kritérií v rámci společnosti, • zajištění účinného řízení výkonnosti společnosti a účinného přiřazení zodpovědnosti, • předávání informací týkajících se rizik a vnitřního řídicího a kontrolního systému příslušným organizačním úrovním v rámci společnosti, • koordinace těchto činností a předávání informací mezi orgány společnosti, externími a interními auditory a vedením.

2060 – Předávání zpráv vedení a orgánům společnosti Vedoucí interního auditu musí vedení a orgánům společnosti pravidelně předávat zprávy, týkající se účelu, pravomoci, odpovědností interního auditu a jeho výkonnosti v porovnání s plánem interního auditu. Tyto zprávy musí též obsahovat zjištění týkající se významných rizik, řídicího a kontrolního systému, včetně rizik podvodu a dále zjištění ohledně řízení a správy společnosti a dalších záležitostí dle potřeb a požadavků vedení a orgánů společnosti.

2110.A1 – Interní audit musí hodnotit nastavení, realizaci a účinnost cílů, plánů a činností souvisejících s oblastí etických principů dané společnosti.

Interpretace: Četnost a obsah předávaných zpráv jsou stanoveny na základě diskuse s vedením a orgány společnosti a závisí na důležitosti předávaných informací a na naléhavosti souvisejících opatření, které mají být přijaty vedením a orgány společnosti.

2110.A2 – Interní audit musí zhodnotit, zda proces řízení a správy informačních technologií společnosti podporuje strategie a cíle společnosti.

2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu Pokud externí poskytovatel služeb provádí činnosti interního auditu, musí upozornit společnost, že odpovědnost za udržování účinného interního auditu má samotná společnost. Interpretace: Tato odpovědnost je prokazována prostřednictvím programu pro zabezpečení a zvyšování kvality, který hodnotí soulad s Definicí interního auditu, Etickým kodexem a Standardy. 53

2120.A2 – The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk.

2120 – Risk Management The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.

2120.C1 – During consulting engagements, internal auditors must address risk consistent with the engagement’s objectives and be alert to the existence of other significant risks.

Interpretation: Determining whether risk management processes are effective is a judgment resulting from the internal auditor’s assessment that: • Organizational objectives support and align with the organization’s mission; • Significant risks are identified and assessed; • Appropriate risk responses are selected that align risks with the organization’s risk appetite; and • Relevant risk information is captured and communicated in a timely manner across the organization, enabling staff, management, and the board to carry out their responsibilities.

2120.C2 – Internal auditors must incorporate knowledge of risks gained from consulting engagements into their evaluation of the organization’s risk management processes.

The internal audit activity may gather the information to support this assessment during multiple engagements. The results of these engagements, when viewed together, provide an understanding of the organization’s risk management processes and their effectiveness.

2130 – Control The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement.

Risk management processes are monitored through ongoing management activities, separate evaluations, or both.

2130.A1 – The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within the organization’s governance, operations, and information systems regarding the:

2120.C3 – When assisting management in establishing or improving risk management processes, internal auditors must refrain from assuming any management responsibility by actually managing risks.

2120.A1 – The internal audit activity must evaluate risk exposures relating to the organization’s governance, operations, and information systems regarding the:

• Reliability and integrity of financial and operational information; • Effectiveness and efficiency of operations and programs; • Safeguarding of assets; and • Compliance with laws, regulations, policies, procedures, and contracts.

• Reliability and integrity of financial and operational information. • Effectiveness and efficiency of operations and programs. • Safeguarding of assets; and • Compliance with laws, regulations, policies, procedures, and contracts. 54

2120.A2 – Interní audit musí hodnotit možnost výskytu podvodu a způsob, jakým společnost řídí riziko podvodu.

2120 – Řízení rizik Interní audit musí hodnotit účinnost procesů řízení rizik a přispívat ke zdokonalování těchto procesů.

2120.C1 – V průběhu poradenských zakázek se interní auditoři musí zabývat riziky souvisejícími s cíli zakázky a musí být obezřetní vzhledem k existenci dalších významných rizik.

Interpretace: Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem úsudku interního auditora založeném na zhodnocení, že: • cíle společnosti podporují poslání společnosti a jsou s ním v souladu, • významná rizika jsou identifikována a ohodnocena, • v reakci na rizika jsou podnikány přiměřené kroky, které dávají do souladu velikost rizika s rizikovou tolerancí společnosti, • důležité informace týkající se rizik jsou získávány a včas sdělovány napříč společností; tyto informace umožňují zaměstnancům, vedení a orgánům společnosti vykonávat jejich odpovědnosti.

2120.C2 – Interní auditoři musí při hodnocení procesu řízení rizik dané společnosti používat znalosti rizik získané v průběhu poradenských zakázek. 2120.C3 – Při poskytování pomoci vedení při zavádění nebo zlepšování procesů řízení rizik, interní auditoři nesmí přijmout jakoukoli řídicí odpovědnost, která by znamenala skutečné řízení rizik. 2130 – Řízení a kontrola Interní audit musí napomáhat společnosti udržovat účinné řídicí a kontrolní systémy tím, že hodnotí jejich účinnost a efektivnost a podporuje jejich neustálé zdokonalování:

K podpoře takového zhodnocení může interní audit získávat informace prostřednictvím několika zakázek. Společný pohled na výsledky těchto zakázek pak poskytuje porozumění procesům řízení rizik ve společnosti a jejich účinnosti.

2130.A1 – Interní audit musí v rámci procesů řízení a správy společnosti, procesů a informačních systémů společnosti hodnotit přiměřenost a účinnost řídicích a kontrolních mechanismů reagujících na rizika, a to z hlediska:

Procesy řízení rizik jsou sledovány prostřednictvím průběžných řídicích činností, samostatných hodnocení nebo prostřednictvím kombinace obou uvedených činností. 2120.A1 – Interní audit musí hodnotit rizika týkajících se řízení a správy společnosti, procesů společnosti a informačních systémů z hlediska:

• spolehlivosti a integrity finančních a provozních informací, • účinnosti a efektivnosti procesů a plánů, • ochrany aktiv, • dodržování zákonů, předpisů , zásad, postupů a smluv.

• spolehlivosti a integrity finančních a provozních informací, • účinnosti a efektivnosti procesů, a plánů, • ochrany aktiv, • dodržování zákonů, předpisů zásad, postupů a smluv.

55

2130.C1 – Internal auditors must incorporate knowledge of controls gained from consulting engagements into evaluation of the organization’s control processes.

2210 – Engagement Objectives Objectives must be established for each engagement. 2210.A1 – Internal auditors must conduct a preliminary assessment of the risks relevant to the activity under review. Engagement objectives must reflect the results of this assessment.

2200 – Engagement Planning Internal auditors must develop and document a plan for each engagement, including the engagement’s objectives, scope, timing, and resource allocations.

2210.A2 – Internal auditors must consider the probability of significant errors, fraud, noncompliance, and other exposures when developing the engagement objectives.

2201 – Planning Considerations In planning the engagement, internal auditors must consider: • The objectives of the activity being reviewed and the means by which the activity controls its performance; • The significant risks to the activity, its objectives, resources, and operations and the means by which the potential impact of risk is kept to an acceptable level; • The adequacy and effectiveness of the activity’s risk management and control processes compared to a relevant control framework or model; and • The opportunities for making significant improvements to the activity’s risk management and control processes.

2210.A3 – Adequate criteria are needed to evaluate controls. Internal auditors must ascertain the extent to which management has established adequate criteria to determine whether objectives and goals have been accomplished. If adequate, internal auditors must use such criteria in their evaluation. If inadequate, internal auditors must work with management to develop appropriate evaluation criteria. 2210.C1 – Consulting engagement objectives must address governance, risk management, and control processes to the extent agreed upon with the client.

2201.A1 – When planning an engagement for parties outside the organization, internal auditors must establish a written understanding with them about objectives, scope, respective responsibilities, and other expectations, including restrictions on distribution of the results of the engagement and access to engagement records.

2210.C2 – Consulting engagement objectives must be consistent with the organization’s values, strategies, and objectives. 2220 – Engagement Scope The established scope must be sufficient to satisfy the objectives of the engagement.

2201.C1 – Internal auditors must establish an understanding with consulting engagement clients about objectives, scope, respective responsibilities, and other client expectations. For significant engagements, this understanding must be documented.

2220.A1 – The scope of the engagement must include consideration of relevant systems, records, personnel, and physical properties, including those under the control of third parties.

56

2130.C1 – Interní auditoři musí při hodnocení řídicích a kontrolních procesů dané společnosti používat znalosti řídicích a kontrolních mechanismů, které získali v průběhu poradenských zakázek.

2210 – Cíle zakázky Každá zakázka musí mít stanoveny své cíle. 2210.A1 – Interní auditoři musí provést předběžné ohodnocení rizik souvisejících s prověřovanou činností. Cíle zakázky musí respektovat výsledky tohoto ohodnocení.

2200 – Plánování zakázky Pro každou zakázku musí interní auditoři vypracovat a zdokumentovat plán, který zahrnuje cíle zakázky včetně stanovení rozsahu, načasování a rozvržení zdrojů.

2210.A2 – Při určování cílů auditu musí interní auditoři zvážit pravděpodobnost výskytu významných chyb, podvodu, odchylek a ostatních rizik.

2201 – Přístup k plánování Při plánování jednotlivých zakázek musí interní auditoři vzít v potaz:

2210.A3 – K hodnocení řídicích a kontrolních systémů je nezbytná existence přiměřených kritérií. Interní auditoři musí zjistit, do jaké míry vedení zavedlo přiměřená kritéria, prostřednictvím kterých lze určit, zda stanovené úkoly a cíle byly splněny. Pokud jsou tato kritéria přiměřená, interní auditoři je musí použít pro svá hodnocení. Pokud nejsou tato kritéria přiměřená, interní auditoři musí ve spolupráci s vedením vytvořit vhodná hodnotící kritéria.

• cíle prověřované činnosti a prostředky, kterými je výkon této činnost řízen a kontrolován, • významná rizika související s touto činností, její cíle, zdroje, postupy a prostředky, použitím kterých je udržován možný dopad rizika na přijatelné úrovni, • přiměřenost a účinnost procesu řízení rizik a řídicích a kontrolních procesů týkajících se prověřované činnosti a jejich porovnání s celkovým rámcem nebo modelem řízení a kontroly, • příležitosti pro dosažení významných zdokonalení procesů řízení rizik prověřované činnosti a jejích řídicích a kontrolních procesů.

2210.C1 – Cíle poradenské zakázky se musí zaměřovat na procesy řízení a správy společnosti, na procesy řízení rizik a na procesy řízení a kontroly v rozsahu dohodnutém s klientem.

2201.A1 – Při plánování zakázky, která zahrnuje subjekty vně společnosti, musí interní auditoři dospět s těmito subjekty k písemné dohodě týkající se cílů, rozsahu, příslušných odpovědností a dalších očekávání, včetně omezení distribuce výsledků této zakázky a přístupu k záznamům shromážděným v rámci této zakázky.

2210.C2 – Cíle poradenské zakázky musí být stanoveny v souladu s hodnotami společnosti, jejími strategiemi a cíli. 2220 – Rozsah zakázky Stanovený rozsah zakázky musí být dostatečný ke splnění cílů zakázky.

2201.C1 – Interní auditoři musí dosáhnout shody s klienty poradenské zakázky ohledně cílů, rozsahu, příslušných odpovědností a dalších očekávání klienta. U významných zakázek musí být tato shoda zdokumentována.

2220.A1 – Při stanovení rozsahu zakázky musí být vzaty v úvahu příslušné systémy, záznamy, personál a fyzický majetek včetně majetku, který je pod kontrolou třetích stran. 57

2240.A1 – Work programs must include the procedures for identifying, analyzing, evaluating, and documenting information during the engagement. The work program must be approved prior to its implementation, and any adjustments approved promptly.

2220.A2 – If significant consulting opportunities arise during an assurance engagement, a specific written understanding as to the objectives, scope, respective responsibilities, and other expectations should be reached and the results of the consulting engagement communicated in accordance with consulting standards.

2240.C1 – Work programs for consulting engagements may vary in form and content depending upon the nature of the engagement.

2220.C1 – In performing consulting engagements, internal auditors must ensure that the scope of the engagement is sufficient to address the agreed-upon objectives. If internal auditors develop reservations about the scope during the engagement, these reservations must be discussed with the client to determine whether to continue with the engagement.

2300 – Performing the Engagement Internal auditors must identify, analyze, evaluate, and document sufficient information to achieve the engagement’s objectives.

2220.C2 – During consulting engagements, internal auditors must address controls consistent with the engagement’s objectives and be alert to significant control issues.

2310 – Identifying Information Internal auditors must identify sufficient, reliable, relevant, and useful information to achieve the engagement’s objectives.

2230 – Engagement Resource Allocation Internal auditors must determine appropriate and sufficient resources to achieve engagement objectives based on an evaluation of the nature and complexity of each engagement, time constraints, and available resources.

Interpretation: Sufficient information is factual, adequate, and convincing so that a prudent, informed person would reach the same conclusions as the auditor. Reliable information is the best attainable information through the use of appropriate engagement techniques. Relevant information supports engagement observations and recommendations and is consistent with the objectives for the engagement. Useful information helps the organization meet its goals.

2240 – Engagement Work Program Internal auditors must develop and document work programs that achieve the engagement objectives.

2320 – Analysis and Evaluation Internal auditors must base conclusions and engagement results on appropriate analyses and evaluations. 2330 – Documenting Information Internal auditors must document relevant information to support the conclusions and engagement results.

58

2220.A2 – Jestliže se v průběhu ujišťovací zakázky objeví významný prostor k poskytnutí poradenských služeb, je zapotřebí dosáhnout konkrétní písemné shody týkající se cílů, rozsahu a příslušných odpovědností a dalších očekávání. Výsledky takové poradenské zakázky by měly být předány v souladu se standardy týkajícími se poskytování poradenství.

2240.C1 – Pracovní programy poradenských zakázek se mohou lišit svou formou a obsahem, a to v závislosti na charakteru zakázky. 2300 – Realizace zakázky Za účelem splnění cílů zakázky musí interní auditoři identifikovat, analyzovat, hodnotit a dokumentovat dostatečné informace.

2220.C1 – Při provádění poradenských zakázek musí interní auditoři zajistit, aby rozsah zakázky byl dostatečný vzhledem k dohodnutým cílům zakázky. Mají-li interní auditoři během zakázky výhrady k jejímu rozsahu, musí tyto výhrady projednat s klientem a rozhodnout, zda pokračovat v práci na této zakázce.

2310 – Identifikace informací Ke splnění cílů zakázky musí interní auditoři identifikovat informace, které jsou dostatečné, spolehlivé, relevantní a účelné. Interpretace: Dostatečná informace je natolik konkrétní, odpovídající a přesvědčivá, že jakákoli uvážlivá a informovaná osoba by dospěla ke stejným závěrům jako auditor. Spolehlivá informace je informace nejlépe získatelná prostřednictvím příslušných postupů pro provedení zakázky. Relevantní informace slouží v rámci dané zakázky k podpoře pozorování a doporučení. Relevantní informace je v souladu s cíli zakázky. Účelná informace napomáhá společnosti dosahovat jejích cílů.

2220.C2 – V průběhu poradenských zakázek se interní auditoři musí zabývat řídicími a kontrolními mechanismy, které jsou v souladu s cíli zakázky a musí věnovat pozornost významným aspektům řídicího a kontrolního systému. 2230 – Rozvržení zdrojů v rámci zakázky Na základě ohodnocení povahy a složitosti každé zakázky, časových omezení a dostupnosti zdrojů musí interní auditoři určit zdroje přiměřené a vhodné ke splnění cílů zakázky.

2320 – Analýza a hodnocení Interní auditoři musí závěry a výsledky dané zakázky podložit vhodnými analýzami a hodnoceními.

2240 – Pracovní program zakázky Interní auditoři musí vypracovat pracovní programy, které vedou k dosažení cílů zakázky. Tyto plány musí být zdokumentovány.

2330 – Dokumentace informací Interní auditoři musí dokumentovat související informace, které podporují závěry a výsledky zakázky.

2240.A1 – Pracovní programy musí zahrnovat postupy pro identifikaci, analýzu, hodnocení a zaznamenávání informací v průběhu zakázky. Pracovní program musí být schválen před jeho realizací, všechny případné změny pracovního programu musí být schváleny neprodleně.

59

2330.A1 – The chief audit executive must control access to engagement records. The chief audit executive must obtain the approval of senior management and/or legal counsel prior to releasing such records to external parties, as appropriate.

2410 – Criteria for Communicating Communications must include the engagement’s objectives and scope as well as applicable conclusions, recommendations, and action plans.

2330.A2 – The chief audit executive must develop retention requirements for engagement records, regardless of the medium in which each record is stored. These retention requirements must be consistent with the organization’s guidelines and any pertinent regulatory or other requirements.

2410.A1 – Final communication of engagement results must, where appropriate, contain internal auditors’ opinion and/or conclusions. When issued, an opinion or conclusion must take account of the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information.

2330.C1 – The chief audit executive must develop policies governing the custody and retention of consulting engagement records, as well as their release to internal and external parties. These policies must be consistent with the organization’s guidelines and any pertinent regulatory or other requirements.

Interpretation: Opinions at the engagement level may be ratings, conclusions, or other descriptions of the results. Such an engagement may be in relation to controls around a specific process, risk, or business unit. The formulation of such opinions requires consideration of the engagement results and their significance.

2340 – Engagement Supervision Engagements must be properly supervised to ensure objectives are achieved, quality is assured, and staff is developed.

2410.A2 – Internal auditors are encouraged to acknowledge satisfactory performance in engagement communications. 2410.A3 – When releasing engagement results to parties outside the organization, the communication must include limitations on distribution and use of the results.

Interpretation: The extent of supervision required will depend on the proficiency and experience of internal auditors and the complexity of the engagement. The chief audit executive has overall responsibility for supervising the engagement, whether performed by or for the internal audit activity, but may designate appropriately experienced members of the internal audit activity to perform the review. Appropriate evidence of supervision is documented and retained.

2410.C1 – Communication of the progress and results of consulting engagements will vary in form and content depending upon the nature of the engagement and the needs of the client. 2420 – Quality of Communications Communications must be accurate, objective, clear, concise, constructive, complete, and timely.

2400 – Communicating Results Internal auditors must communicate the results of engagements.

60

2330.A1 – Vedoucí interního auditu musí stanovit pravidla pro přístup k záznamům pořízeným v rámci zakázky. Před zpřístupněním záznamů externím subjektům musí vedoucí interního auditu získat souhlas vedení a/nebo právního zástupce.

2410 – Kritéria komunikace Zprávy musí obsahovat cíl a rozsah zakázky, příslušné závěry, doporučení a seznam opatření navržených k odstranění nedostatků. 2410.A1 – V případech, kdy je to vhodné, musí závěrečná zpráva o výsledcích zakázky obsahovat závěry nebo názor interního auditora, popřípadě obojí. Při vydávání názoru nebo závěru se musí zohlednit očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) a názor nebo závěr musí být podloženy dostatečnou, spolehlivou, relevantní a účelnou informací.

2330.A2 – Bez ohledu na povahu média, na kterém jsou záznamy uloženy, vedoucí interního auditu musí stanovit požadavky na archivaci záznamů pořízených v rámci zakázky. Tyto požadavky musí být vypracovány v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky. 2330.C1 – Vedoucí interního auditu musí stanovit zásady pro úschovu a archivaci informací pořízených v rámci poradenské zakázky a také zásady pro jejich vydání interním a externím subjektům. Tyto zásady musí být v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky.

Interpretace: Názory uvedené v zakázce mohou mít formu ratingů, závěrů nebo dalších popisů výsledků. Taková zakázka se může týkat řídicích a kontrolních mechanismů vztahujících se ke specifickému procesu, riziku nebo odbornému útvaru. Formulace těchto názorů vyžaduje, aby byly zváženy výsledky zakázky a jejich významnost.

2340 – Dohled (supervize) nad prováděním zakázky Nad zakázkami musí být prováděn řádný dohled (supervize) tak, aby bylo zaručeno, že jsou splněny jejich cíle, je zajištěna jejich odpovídající kvalita a že kompetence zaměstnanců jsou dostatečné.

2410.A2 – Interním auditorům se doporučuje, aby v případě uspokojivého výsledku zakázky tuto skutečnost zmínili v související zprávě. 2410.A3 – Pokud jsou výsledky zakázky předávány subjektům vně společnosti, musí související zpráva obsahovat omezení týkající se distribuce a použití těchto výsledků.

Interpretace: Rozsah požadovaného dohledu bude záviset na odbornosti a zkušenostech interních auditorů a na složitosti dané zakázky. Vedoucí interního auditu má celkovou odpovědnost za dohled nad zakázkou, ať již je prováděna samotným interním auditem nebo jiným subjektem. Vedoucí interního auditu může ale též pověřit tímto prověřením dostatečně zkušené zaměstnance interního auditu. Příslušné doklady týkající se provádění dohledu jsou zdokumentovány a uchovávány.

2410.C1 – Informace/zprávy o postupu a výsledcích poradenských zakázek se budou lišit svou formou a obsahem, a to v závislosti na charakteru zakázky a potřebách klienta. 2420 – Kvalita zpráv Zprávy musí být přesné, objektivní, jasné, stručné, konstruktivní, úplné a včasné.

2400 – Předávání výsledků Interní auditoři musí předávat informace týkající se výsledků zakázky. 61

Interpretation: Accurate communications are free from errors and distortions and are faithful to the underlying facts. Objective communications are fair, impartial, and unbiased and are the result of a fair-minded and balanced assessment of all relevant facts and circumstances. Clear communications are easily understood and logical, avoiding unnecessary technical language and providing all significant and relevant information. Concise communications are to the point and avoid unnecessary elaboration, superfluous detail, redundancy, and wordiness. Constructive communications are helpful to the engagement client and the organization and lead to improvements where needed. Complete communications lack nothing that is essential to the target audience and include all significant and relevant information and observations to support recommendations and conclusions. Timely communications are opportune and expedient, depending on the significance of the issue, allowing management to take appropriate corrective action.

2431 – Engagement Disclosure of Nonconformance When nonconformance with the Definition of Internal Auditing, the Code of Ethics or the Standards impacts a specific engagement, communication of the results must disclose the: • Principle or rule of conduct of the Code of Ethics or Standard(s) with which full conformance was not achieved; • Reason(s) for nonconformance; and • Impact of nonconformance on the engagement and the communicated engagement results. 2440 – Disseminating Results The chief audit executive must communicate results to the appropriate parties. Interpretation: The chief audit executive or designee reviews and approves the final engagement communication before issuance and decides to whom and how it will be disseminated.

2421 – Errors and Omissions If a final communication contains a significant error or omission, the chief audit executive must communicate corrected information to all parties who received the original communication.

2440.A1 – The chief audit executive is responsible for communicating the final results to parties who can ensure that the results are given due consideration. 2440.A2 – If not otherwise mandated by legal, statutory, or regulatory requirements, prior to releasing results to parties outside the organization the chief audit executive must:

2430 – Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing” Internal auditors may report that their engagements are “conducted in conformance with the International Standards for the Professional Practice of Internal Auditing”, only if the results of the quality assurance and improvement program support the statement.

• Assess the potential risk to the organization; • Consult with senior management and/or legal counsel as appropriate; and • Control dissemination by restricting the use of the results. 2440.C1 – The chief audit executive is responsible for communicating the final results of consulting engagements to clients. 62

Interpretace: Přesné zprávy neobsahují chyby a zkreslení a věrným způsobem odpovídají zjištěným skutečnostem. Objektivní zprávy jsou nestranné, nezaujaté a nezkreslené a jsou výsledkem spravedlivého a vyváženého ohodnocení všech souvisejících skutečností a okolností. Jasné zprávy jsou snadno pochopitelné a logické, neobsahují nepotřebné technické výrazy a poskytují všechny významné a relevantní informace. Stručné zprávy jdou k podstatě věci a vyhýbají se nepotřebným podrobným popisům, přemíře detailů, nadbytečnosti informací a rozvláčnosti. Konstruktivní zprávy přinášejí klientovi a společnosti prospěch a zdokonalení tam, kde je to potřebné. Úplné zprávy nepostrádají nic, co by bylo nezbytné z hlediska cílové skupiny uživatelů a obsahují všechny významné a související informace a pozorování nezbytná pro zdůvodnění doporučení a závěrů. Včasné zprávy jsou dobře načasované, odpovídajícím způsobem reagující na vznik nenadálých situací a to vzhledem k důležitosti zjištěného problému. Včasné zprávy umožňují vedení přijmout odpovídající nápravné opatření.

2431 – Poskytnutí informací v případě nesouladu Pokud má nesoulad s Etickým kodexem a Standardy dopad na konkrétní zakázku, zpráva o výsledcích musí obsahovat:

2421 – Chyby a opomenutí Pokud závěrečná zpráva obsahuje závažné chyby nebo opomenutí, musí vedoucí interního auditu poskytnout opravené informace všem osobám, které obdržely původní zprávu.

2440.A1 – Vedoucí interního auditu odpovídá za předání závěrečných výsledků těm subjektům, které jsou schopny zajistit, že těmto výsledkům bude věnována odpovídající pozornost.

• výčet zásad nebo pravidel jednání obsažených v Etickém kodexu nebo ve Standardech, s kterými nebylo dosaženo souladu, • důvod(y) nesouladu, • dopad nesouladu na danou zakázku a její výsledky. 2440 – Distribuce výsledků Vedoucí interního auditu musí předat výsledky všem příslušným stranám. Interpretace: Před vydáním závěrečné zprávy o zakázce vedoucí interního auditu nebo jím pověřená osoba tuto zprávu prověří, schválí a rozhodne komu a jak bude distribuována.

2440.A2 – Pokud není právními, statutárními nebo regulatorními požadavky stanoveno jinak, vedoucí interního auditu před předáním výsledků auditu subjektům vně společnosti musí:

2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ Interním auditorům je doporučeno informovat o tom, že jejich zakázky jsou “Provedeny v souladu s Mezinárodními standardy pro profesní praxi interního auditu”. Tento výraz však mohou použít pouze tehdy, pokud výsledky programu pro zabezpečení a zvyšování kvality toto stanovisko podporují.

• zhodnotit případné riziko hrozící společnosti, • dle potřeby se poradit s vedením a/nebo s právním zástupcem, • stanovit omezení, za kterých mohou být výsledky použity a zajistit tak kontrolu nad jejich distribucí. 2440.C1 – Vedoucí interního auditu odpovídá za předání závěrečných výsledků poradenských zakázek klientům. 63

2440.C2 – During consulting engagements, governance, risk management, and control issues may be identified. Whenever these issues are significant to the organization, they must be communicated to senior management and the board.

2600 – Resolution of Senior Management’s Acceptance of Risks When the chief audit executive believes that senior management has accepted a level of residual risk that may be unacceptable to the organization, the chief audit executive must discuss the matter with senior management. If the decision regarding residual risk is not resolved, the chief audit executive must report the matter to the board for resolution.

2450 – Overall Opinions When an overall opinion is issued, it must take into account the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information. Interpretation: The communication will identify: • The scope, including the time period to which the opinion pertains; • Scope limitations; • Consideration of all related projects including t he reliance on other assurance providers; • The risk or control framework or other criteria used as a basis for the overall opinion; and • The overall opinion, judgment, or conclusion reached. The reasons for an unfavorable overall opinion must be stated. 2500 – Monitoring Progress The chief audit executive must establish and maintain a system to monitor the disposition of results communicated to management. 2500.A1 – The chief audit executive must establish a follow-up process to monitor and ensure that management actions have been effectively implemented or that senior management has accepted the risk of not taking action. 2500.C1 – The internal audit activity must monitor the disposition of results of consulting engagements to the extent agreed upon with the client.

64

2440.C2 – Při poradenských zakázkách mohou být identifikovány problémy v oblasti řízení a správy společnosti, řízení rizik, a řídicího a kontrolního systému. Pokud jsou tyto problémy pro společnost významné, musí být sděleny vedení a orgánům společnosti. 2450 – Celkové názory Když je vydáván celkový názor musí v něm být zohledněna očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) a názor musí být podložen dostatečnou, spolehlivou, relevantní a účelnou informací.

2500.C1 – Interní audit musí sledovat způsob nakládání s výsledky poradenských zakázek v rozsahu dohodnutém s klientem. 2600 – Rozhodnutí o přijetí rizika vedením společnosti Pokud se vedoucí interního auditu domnívá, že vedení společnosti přijalo takový stupeň zbytkového rizika, který by mohl být pro tuto společnost nepřijatelný, musí s vedením tuto skutečnost projednat. Pokud se nepodaří dosáhnout rozhodnutí ohledně zbytkového rizika, musí vedoucí interního auditu předat tuto záležitost k vyřešení orgánům společnosti.

Interpretace: Takové sdělení bude zahrnovat: • rozsah, včetně časového období, ke kterému se názor vztahuje, omezení rozsahu, • zvážení všech souvisejících projektů, včetně spolehnutí se na ostatní poskytovatele ujištění, • riziko nebo vnitřní řídicí a kontrolní rámec nebo další kritéria využitá jako základ pro formulaci celkového názoru, a • celkový názor, úsudek nebo závěr, ke kterým se dospělo. • Musí být uvedeny důvody vedoucí k nepříznivému celkovému názoru. 2500 – Monitorování Vedoucí interního auditu musí zavést a udržovat systém, který umožní sledovat, jak se s výsledky předanými vedení dále nakládá. 2500.A1 – Vedoucí interního auditu musí zavést proces následné kontroly, který bude sledovat a zaručovat, že nápravná opatření byla účinně provedena, nebo že vedení společnosti převzalo odpovědnost za riziko neprovedení nápravných opatření.

65

GLOSSARY

Chief Audit Executive Chief audit executive describes a person in a senior position responsible for effectively managing the internal audit activity in accordance with the internal audit charter and the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive or others reporting to the chief audit executive will have appropriate professional certifications and qualifications. The specific job title of the chief audit executive may vary across organizations.

Add Value The internal audit activity adds value to the organization (and its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes. Adequate Control Present if management has planned and organized (designed) in a manner that provides reasonable assurance that the organization’s risks have been managed effectively and that the organization’s goals and objectives will be achieved efficiently and economically.

Code of Ethics The Code of Ethics of The Institute of Internal Auditors (IIA) are Principles relevant to the profession and practice of internal auditing, and Rules of Conduct that describe behavior expected of internal auditors. The Code of Ethics applies to both parties and entities that provide internal audit services. The purpose of the Code of Ethics is to promote an ethical culture in the global profession of internal auditing.

Assurance Services An objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization. Examples may include financial, performance, compliance, system security, and due diligence engagements.

Compliance Adherence to policies, plans, procedures, laws, regulations, contracts, or other requirements.

Board A board is an organization’s governing body, such as a board of directors, supervisory board, head of an agency or legislative body, board of governors or trustees of a nonprofit organization, or any other designated body of the organization, including the audit committee to whom the chief audit executive may functionally report.

Conflict of Interest Any relationship that is, or appears to be, not in the best interest of the organization. A conflict of interest would prejudice an individual’s ability to perform his or her duties and responsibilities objectively.

Charter The internal audit charter is a formal document that defines the internal audit activity’s purpose, authority, and responsibility. The internal audit charter establishes the internal audit activity’s position within the organization; authorizes access to records, personnel, and physical properties relevant to the performance of engagements; and defines the scope of internal audit activities. 66

Výklad pojmů

společnosti, oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje rozsah činností interního auditu.

Add Value – Přinášet přidanou hodnotu Interní audit přidává hodnotu společnosti a ostatním zainteresovaným subjektům (stakeholders) pokud poskytuje objektivní a náležité ujištění a přispívá k účinnosti a efektivnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů.

Chief Audit Executive – Vedoucí interního auditu Vedoucí interního auditu je charakterizován jako osoba v seniorské pozici, která je odpovědná za účinné řízení činnosti interního auditu tak, aby byla v souladu se Statutem interního auditu, Definicí interního auditu, Etickým kodexem a se Standardy. Vedoucí interního auditu nebo ostatní, kteří jsou mu podřízeni mají odpovídající profesní certifikaci a kvalifikaci. Specifický název pro pozici vedoucího interního auditu se může v jednotlivých společnostech lišit.

Adequate control – Odpovídající kontrolní a řídicí systémy/mechanismy Odpovídající kontrolní a řídicí systémy existují, jestliže vedení společnosti postupuje (plánuje a navrhuje) takovým způsobem, který poskytuje přiměřenou jistotu, že rizika organizace jsou účinně řízena a že cíle organizace budou realizovány efektivně a hospodárně.

Code of Ethics – Etický kodex Etický kodex Institutu interních auditorů (IIA) tvoří Principy relevantní profesi a praxi interního auditu a Pravidla jednání, která popisují chování, které je od interních auditorů očekáváno. Etický kodex se týká všech jednotlivců a subjektů poskytujících služby interního auditu. Posláním Etického kodexu je celosvětová podpora etického přístupu v rámci profese interního auditu.

Assurance services – Ujišťovací služby/popř. audit Objektivní posouzení průkazného materiálu, jehož cílem je poskytnutí nezávislého zhodnocení procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních systémů dané společnosti. Příkladem jsou finanční audity, audity výkonnosti, audity souladu, bezpečností audity a audity prováděné před akvizicí nového subjektu (due diligence).

Compliance – Soulad Dodržování zásad, plánů, postupů, zákonů, regulatorních norem, smluv a dalších požadavků.

Board – Orgány společnosti Orgány společnosti jsou řídící orgány, jako jsou představenstvo, dozorčí rada, ředitel instituce nebo legislativního orgánu, řídicí orgány (rada správců) neziskových organizací nebo jakékoli jinak ustanovené řídicí orgány společnosti, včetně výboru pro audit, kterému je vedoucí interního auditu funkčně podřízen.

Conflict of Interest – Konflikt/střet zájmů Jakýkoliv vztah, který není v nejlepším zájmu dané organizace nebo se takovým jeví. Konflikt zájmů negativně ovlivňuje schopnost jednotlivce vykonávat své funkce objektivně.

Charter – Statut (vymezení funkcí a působnosti interního auditu) Statutem interního auditu se rozumí písemný dokument, který definuje účel, pravomoci a odpovědnosti interního auditu. Statut určuje postavení interního auditu v rámci 67

Consulting Services Advisory and related client service activities, the nature and scope of which are agreed with the client, are intended to add value and improve an organization’s governance, risk management, and control processes without the internal auditor assuming management responsibility. Examples include counsel, advice, facilitation, and training.

Engagement A specific internal audit assignment, task, or review activity, such as an internal audit, control self-assessment review, fraud examination, or consultancy. An engagement may include multiple tasks or activities designed to accomplish a specific set of related objectives. Engagement Objectives Broad statements developed by internal auditors that define intended engagement accomplishments.

Control Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved.

Engagement Work Program A document that lists the procedures to be followed during an engagement, designed to achieve the engagement plan.

Control Environment The attitude and actions of the board and management regarding the importance of control within the organization. The control environment provides the discipline and structure for the achievement of the primary objectives of the system of internal control. The control environment includes the following elements:

External Service Provider A person or firm outside of the organization that has special knowledge, skill, and experience in a particular discipline. Fraud Any illegal act characterized by deceit, concealment, or violation of trust. These acts are not dependent upon the threat of violence or physical force. Frauds are perpetrated by parties and organizations to obtain money, property, or services; to avoid payment or loss of services; or to secure personal or business advantage.

• Integrity and ethical values. • Management’s philosophy and operating style. • Organizational structure. • Assignment of authority and responsibility. • Human resource policies and practices. • Competence of personnel.

Governance The combination of processes and structures implemented by the board to inform, direct, manage, and monitor the activities of the organization toward the achievement of its objectives.

Control Processes The policies, procedures, and activities that are part of a control framework, designed to ensure that risks are contained within the risk tolerances established by the risk management process.

68

Consulting Services – Poradenské služby Poradenská činnost a související klientské služby, jejichž charakter a rozsah jsou dohodnuty s klientem a očekává se od nich přinášení přidané hodnoty a zdokonalení řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů, aniž by interní auditor přebíral řídicí odpovědnost. Příkladem jsou právní a jiné poradenství, podpora a školení.

Engagement – Zakázka Konkrétní zadání interního auditu, úkol nebo prověřovací činnost (jako jsou např. šetření interního auditu, prověrka sebehodnocení řídicího a kontrolního systému, vyšetřování podvodu nebo poradenství). Zakázka může zahrnovat více dílčích úkolů nebo činností, jejichž cílem je splnění konkrétních stanovených cílů. Engagement Objectives – Cíle zakázky Široce formulované tvrzení, jímž interní auditoři definují plánované výsledky zakázky.

Control – Řídicí a kontrolní mechanismus Jakékoli opatření přijaté vedením a orgány společnosti nebo dalšími subjekty s cílem řízení rizika a zvýšení pravděpodobnosti, že stanovené cíle budou splněny. Vedení plánuje, organizuje a řídí provádění jednotlivých kroků, které poskytnou přiměřenou jistotu, že cíle budou dosaženy.

Engagement Work Program – Pracovní plán zakázky Dokument obsahující postupy, které mají být použity v průběhu zakázky a které slouží ke splnění plánu zakázky. External Service Provider – Externí poskytovatel služeb Osoba nebo firma, vně dané společnosti, která má v určité oblasti specifické znalosti, dovednosti a zkušenosti.

Control Environment – Kontrolní prostředí Postoje a kroky orgánů a vedení společnosti, týkající se řídicího a kontrolního systému v dané organizaci. Řídicí a kontrolní prostředí poskytuje pravidla a strukturu pro dosažení hlavních cílů systému řízení a kontroly a zahrnuje tyto prvky: • • • • • •

Fraud – Podvod Jakákoli nezákonná činnost, při které dochází k podvodnému jednání, zatajování informací a narušení důvěry. Při této činnosti nemusí dojít k pohrůžce násilím nebo fyzickým násilím. Podvody páchají jednotlivci i společnosti s cílem získat finanční prostředky, majetek nebo služby, vyhnout se platbě za určité služby nebo jejich ztrátě a zajistit si osobní nebo podnikatelské zvýhodnění.

integritu a etické hodnoty, filosofii vedení a styl řízení, organizační strukturu, stanovení pravomocí a odpovědností, zásady a postupy řízení lidských zdrojů, kvalifikaci zaměstnanců.

Governance – Řízení a správa organizace Kombinace procesů a struktur zavedených orgány společnosti za účelem informování, kontroly, řízení a monitorování činností organizace směrem k dosažení jejích cílů.

Control Processes – Řídicí a kontrolní procesy Zásady, postupy a činnosti, které jsou součástí rámce řízení a kontroly, a které mají zajistit, že rizika jsou udržována v mezích tolerance rizika, která je stanovena prostřednictvím procesu řízení rizik.

69

Impairment Impairment to organizational independence and individual objectivity may include personal conflict of interest, scope limitations, restrictions on access to records, personnel, and properties, and resource limitations (funding).

Must The Standards use the word “must” to specify an unconditional requirement. Objectivity An unbiased mental attitude that allows internal auditors to perform engagements in such a manner that they believe in their work product and that no quality compromises are made. Objectivity requires that internal auditors do not subordinate their judgment on audit matters to others.

Independence The freedom from conditions that threaten the ability of the internal audit activity to carry out internal audit responsibilities in an unbiased manner. Information Technology Controls Controls that support business management and governance as well as provide general and technical controls over information technology infrastructures such as applications, information, infrastructure, and people.

Residual Risk The risk remaining after management takes action to reduce the impact and likelihood of an adverse event, including control activities in responding to a risk.

Information Technology Governance Consists of the leadership, organizational structures, and processes that ensure that the enterprise’s information technology sustains and supports the organization’s strategies and objectives.

Risk The possibility of an event occurring that will have an impact on the achievement of objectives. Risk is measured in terms of impact and likelihood. Risk Appetite The level of risk that an organization is willing to accept.

Internal Audit Activity A department, division, team of consultants, or other practitioner(s) that provides independent, objective assurance and consulting services designed to add value and improve an organization’s operations. The internal audit activity helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of governance, risk management and control processes.

Risk Management A process to identify, assess, manage, and control potential events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives.

International Professional Practices Framework The conceptual framework that organizes the authoritative guidance promulgated by The IIA. Authoritative Guidance is comprised of two categories – (1) mandatory and (2) endorsed and strongly recommended.

70

Impairment – Narušení Narušení organizační nezávislosti a individuální objektivity může zahrnovat osobní konflikt zájmu, omezení rozsahu, omezení přístupu k dokladům, osobám a majetku a omezení zdrojů (finančních).

International Professional Practices Framework – Mezinárodní rámec pro profesní praxi Koncepční rámec závazných směrnic stanovených IIA. Závazné směrnice sestávají ze dvou kategorií – (1) povinné a (2) podporované a důrazně doporučené.

Independence – Nezávislost Nepřítomnost stavu, který ohrožuje schopnost interního auditu vykonávat odpovědnosti interního auditu nezaujatým způsobem.

Must – Muset Standardy používají slovo „muset“ pro vyjádření bezpodmínečného požadavku. Objectivity – Objektivita Nezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět zakázky takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům.

Information Technology Controls – Kontrolní mechanismy v oblasti informačních technologií Kontrolní mechanismy, které podporují řízení společnosti a její správu, a současně poskytují celkovou a technickou kontrolu nad prvky infrastruktury informačních technologií, kterými jsou např. aplikace, informace, infrastruktura a personál.

Residual Risk – Zbytkové (reziduální) riziko Riziko přetrvávající poté, co vedení přijme opatření omezující dopad a pravděpodobnost nepříznivé události, včetně zavedení řídicích a kontrolních postupů reagujících na riziko.

Information Technology Governance – Řízení a správa informačních technologií Jejími prvky jsou řízení, organizační struktura a procesy, které zajišťují, že informační technologie trvale podporují strategii a cíle společnosti a jsou s nimi v souladu.

Risk – Riziko Možnost, že dojde k určité události, která bude mít negativní vliv na dosažení stanovených cílů. Riziko se měří na základě jeho dopadu a pravděpodobnosti výskytu.

Internal Audit Activity – Interní audit Útvar, divize, poradenský tým nebo jiní odborníci, kteří poskytují nezávislé, objektivní, ujišťovací a konzultační služby, jejichž účelem je přidávání hodnoty a zdokonalování procesů ve společnosti. Interní audit pomáhá společnosti dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zdokonalování účinnosti procesů řízení a správy společnosti, řízení rizik a procesů řízení a kontroly.

Risk Appetite – Riziková tolerance Úroveň rizika, kterou je společnost ochotna přijmout. Risk Management – Řízení rizik Proces identifikace, ohodnocení, řízení a kontroly možného výskytu událostí a situací za účelem poskytnutí přiměřeného ujištění ohledně dosažení cílů společnosti.

71

Should The Standards use the word “should” where conformance is expected unless, when applying professional judgment, circumstances justify deviation. Significance The relative importance of a matter within the context in which it is being considered, including quantitative and qualitative factors, such as magnitude, nature, effect, relevance, and impact. Professional judgment assists internal auditors when evaluating the significance of matters within the context of the relevant objectives. Standard A professional pronouncement promulgated by the Internal Audit Standards Board that delineates the requirements for performing a broad range of internal audit activities, and for evaluating internal audit performance. Technology-based Audit Techniques Any automated audit tool, such as generalized audit software, test data generators, computerized audit programs, specialized audit utilities, and computer-assisted audit techniques (CAATs).

72

Should – Měl by Standardy používají slovo „měl by“ v případech, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku. Significance – Významnost Relativní závažnost určité události v souvislostech, ve kterých je posuzována, včetně kvantitativních a kvalitativních faktorů, jako jsou např. velikost, charakter, vliv, souvislost a dopad. Při hodnocení významnosti dané záležitosti v souvislosti s příslušnými cíli napomáhá interním auditorům jejich profesní úsudek. Standard – Standard Profesní prohlášení, vydané Radou pro standardy interního auditu, které vymezuje požadavky kladené na provádění široké škály činností interního auditu a na hodnocení výkonnosti interního auditu. Technology-based Audit Techniques – Softwarově podporované auditorské postupy Jakýkoli automatizovaný auditní nástroj, jako např. všeobecný auditorský software, generátory dat pro testování, software pro auditní plány, specializované auditní obslužné programy a počítačem podporované auditorské postupy (Computer-Assisted Audit Techniques – CAATs).

73

Z


ÁV

A ZMez

st

Code of Ethics

Definice

Position Papers

Practice Guides

Stanoviska

RA

Practice Advisories

DŮ

Definition

Do pr

Z

NĚ

Z


DO

A ÁV

PO

ZNÉ

Code of Ethics

Definice

Position Papers

Practice Guides

Stanoviska

RA

NĚ

Z

Practice Advisories

DŮ

Definition

Me st

Do

D O pr PO

Stanoviska

Praktické pomůcky

RA

Z


Z

Á

PORUČENÉ

ZN VA

É SMĚRN


SM

IC E

nal ds

DO

ĚR

NĚ

Definice

Etický kodex

Practice Guides

Stanoviska

Praktické pomůcky

Z

Doporučení

ĚR

RA

NI

DŮ

Code of Ethics

NĚ

CE

Practice Guides

NI

Etický kodex

DŮ

Definice

CE

Z

standardy

Code of Ethics

s

e es

MĚ A ZMezinárodníR N I C V Á

E

onal ds

D O pro praxi É S M PORUČEN

Practice Advisory 1000−1:

ty’s purpose, authority, and responsibility, as defined in the charter, continue to be adequate to enable the activity to accomplish its objectives. The CAE is also responsible for communicating the result of this assessment to senior management and the board.

Internal Audit Charter

Primary Related Standard

1000 – Purpose, Authority, and Responsibility The purpose, authority, and responsibility of the internal audit activity must be formally defined in an internal audit charter, consistent with the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive must periodically review the internal audit charter and present it to senior management and the board for approval. Interpretation: The internal audit charter is a formal document that defines the internal audit activity’s purpose, authority, and responsibility. The internal audit charter establishes the internal audit activity’s position within the organization; authorizes access to records, personnel, and physical properties relevant to the performance of engagements; and defines the scope of internal audit activities. Final approval of the internal audit charter resides with the board. 1. Providing a formal, written internal audit charter is critical in managing the internal audit activity. The charter provides a recognized statement for review and acceptance by management and for approval, as documented in the minutes, by the board. It also facilitates a periodic assessment of the adequacy of the internal audit activity’s purpose, authority, and responsibility, which establishes the role of the internal audit activity. If a question should arise, the charter provides a formal, written agreement with management and the board about the organization’s internal audit activity. 2. The chief audit executive (CAE) is responsible for periodically assessing whether the internal audit activi76

DOPORUČENÍ PRO PRAXI 1000−1:

terního auditu, tak jak jsou definovány v jeho statutu, jsou stále adekvátní a umožňují útvaru interního auditu dosahovat jeho cílů. Vedoucí interního auditu je také odpovědný za předávání výsledků tohoto hodnocení vedení a orgánům společnosti.

Statut interního auditu

Související standard

1000 – Účel, pravomoci a odpovědnosti Účel, pravomoci a odpovědnosti interního auditu musí být formálně stanoveny ve statutu interního auditu, který je v souladu s Definicí interního auditu, Etickým kodexem a se Standardy. Vedoucí interního auditu musí pravidelně ověřovat aktuálnost statutu interního auditu. Vedoucí interního auditu musí předkládat Statut interního auditu vedení a orgánům společnosti ke schválení. Interpretace: Statutem interního auditu se rozumí formální dokument, který definuje účel, pravomoci a odpovědnosti interního auditu. Statut interního auditu určuje postavení interního auditu v rámci společnosti, oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje rozsah činnosti interního auditu. Konečné schválení statutu interního auditu přísluší orgánům společnosti. 1. Vytvoření formálního písemného statutu interního auditu je rozhodující pro řízení činnosti interního auditu. Statut interního auditu představuje formální vyjádření vhodné pro jeho posouzení a přijetí ze strany vedení a pro jeho schválení orgány společnosti. Toto schválení by mělo být dokumentováno v zápise. Statut interního auditu rovněž usnadňuje periodické posouzení adekvátnosti role interního auditu, která je tvořena účelem, pravomocemi a odpovědnostmi útvaru interního auditu. V případech pochybností/ nedorozumění představuje statut formální písemnou dohodu s vedením a orgány společnosti týkající se činnosti interního auditu uvnitř organizace. 2. Vedoucí interního auditu je odpovědný za pravidelné hodnocení, zda účel, pravomoci a odpovědnosti in77


• Approving all decisions regarding the performance evaluation, appointment, or removal of the CAE. • Approving the annual compensation and salary adjustment of the CAE. • Making appropriate inquiries of management and the CAE to determine whether there is audit scope or budgetary limitations that impede the ability of the internal audit activity to execute its responsibilities.

Organizational Independence


1110 – Organizational Independence The chief audit executive must report to a level within the organization that allows the internal audit activity to fulfill its responsibilities. The chief audit executive must confirm to the board, at least annually, the organizational independence of the internal audit activity.

4. Administrative reporting is the reporting relationship within the organization’s management structure that facilitates the day-to-day operations of the internal audit activity. Administrative reporting typically includes:

1. Support from senior management and the board assists the internal audit activity in gaining the cooperation of engagement clients and performing their work free from interference.

• Budgeting and management accounting. • Human resource administration, including personnel evaluations and compensation. • Internal communications and information flows. • Administration of the internal audit activity’s policies and procedures.

2. The chief audit executive (CAE), reporting functionally to the board and administratively to the organization’s chief executive officer, facilitates organizational independence. At a minimum the CAE needs to report to an individual in the organization with sufficient authority to promote independence and to ensure broad audit coverage, adequate consideration of engagement communications, and appropriate action on engagement recommendations.

Translation note: • Deleted paragraphs #4 & 5 above were moved to IPPF 1111-1. • Added paragraphs #3 & 4 above were extracted from PPF PA 1110-2 paragraph #1.

3. Functional reporting to the board typically involves the board: • Approving the internal audit activity’s overall charter. • Approving the internal audit risk assessment and related audit plan. • Receiving communications from the CAE on the results of the internal audit activities or other matters that the CAE determines are necessary, including private meetings with the CAE without management present, as well as annual confirmation of the internal audit activity’s organizational independence. 78


za důležité, včetně osobních schůzek bez přítomnosti vedení. Orgány společnosti rovněž přijímají, alespoň jednou ročně, ujištění o organizační nezávislosti interního auditu. • Schvalovat veškerá rozhodnutí týkající se hodnocení výkonnosti, jmenování nebo odvolání vedoucího interního auditu. • Schvalovat roční výši platu vedoucího interního auditu a její úpravy, • Klást vedení společnosti a vedoucímu interního auditu vhodné dotazy za účelem stanovení, zda neexistují omezení rozsahu činnosti interního auditu nebo rozpočtová omezení, která by bránila internímu auditu ve výkonu svých odpovědností.

Organizační nezávislost


1110 – Organizační nezávislost Vedoucí interního auditu musí podávat zprávy takovému organizačnímu stupni ve společnosti, který internímu auditu umožňuje plnění jeho funkcí. Vedoucí interního auditu musí nejméně jednou ročně potvrdit orgánům společnosti organizační nezávislost funkce interního auditu. 1. Podpora ze strany vedení a orgánů společnosti napomáhá internímu auditu při navazování spolupráce s klienty jednotlivých zakázek a při provádění jeho práce způsobem, který je prost jakýchkoli zásahů.

4. Organizační podřízenost je, v rámci řídící struktury společnosti, vztahem podřízenosti, který umožňuje každodenní chod funkce interního auditu. Organizační podřízenost obvykle zahrnuje:

2. Uspořádání, v rámci kterého vedoucí interního auditu funkčně podléhá orgánům společnosti a zároveň je organizačně začleněn pod generálního ředitele společnosti (Chief Executive Officer – CEO), napomáhá dosažení organizační nezávislosti. Je třeba, aby vedoucí interního auditu podával zprávy alespoň takovému jedinci ve společnosti, který má dostatečné pravomoci, aby zajistil nezávislost interního auditu a široké pokrytí auditními činnostmi, aby zajistil dostatečnou pozornost vůči zprávám interního auditu a aby zajistil provedení vhodných opatření reagujících na doporučení učiněná v rámci provedené zakázky.

• Tvorbu rozpočtu a manažerské účetnictví. • Správu lidských zdrojů, včetně hodnocení zaměstnanců a stanovování výše platu. • Vnitřní komunikační a informační vazby. • Správu postupů a procedur interního auditu.

3. Funkční podřízenost orgánům společnosti obvykle znamená, že orgány společnosti budou: • Schvalovat celkový statut interního auditu. • Schvalovat hodnocení rizik připravené interním auditem a schvalovat související plán auditů. • Přijímat od vedoucího interního auditu zprávy o výsledcích činnosti interního auditu nebo o dalších záležitostech, které vedoucí interního auditu považuje 79

Practice Advisory 1111−1


Board Interaction

Individual Objectivity



1111 – Direct Interaction With the Board The chief audit executive must communicate and interact directly with the board.

1120 – Individual Objectivity Internal auditors must have an impartial, unbiased attitude and avoid any conflict of interest. Interpretation: Conflict of interest is a situation in which an internal auditor, who is in a position of trust, has a competing professional or personal interest. Such competing interests can make it difficult to fulfill his or her duties impartially. A conflict of interest exists even if no unethical or improper act results. A conflict of interest can create an appearance of impropriety that can undermine confidence in the internal auditor, the internal audit activity, and the profession. A conflict of interest could impair an individual’s ability to perform his or her duties and responsibilities objectively.

1. Direct communication occurs when the chief audit executive (CAE) regularly attends and participates in board meetings that relate to the board’s oversight responsibilities for auditing, financial reporting, organizational governance, and control. The CAE’s attendance and participation at these meetings provide an opportunity to be apprised of strategic business and operational developments, and to raise high-level risk, systems, procedures, or control issues at an early stage. Meeting attendance also provides an opportunity to exchange information concerning the internal audit activity’s plans and activities and to keep each other informed on any other matters of mutual interest.

1. Individual objectivity means the internal auditors perform engagements in such a manner that they have an honest belief in their work product and that no significant quality compromises are made. Internal auditors are not to be placed in situations that could impair their ability to make objective professional judgments.

2. Such communication and interaction also occurs when the CAE meets privately with the board, at least annually. Translation note: Material above was extracted from PPF PA 1110-1 paragraphs #4 & 5.

2. Individual objectivity involves the chief audit executive (CAE) organizing staff assignments that prevent potential and actual conflict of interest and bias, periodically obtaining information from the internal audit staff concerning potential conflict of interest and bias, and, when practicable, rotating internal audit staff assignments periodically. 3. Review of internal audit work results before the related engagement communications are released assists 80



Součinnost s orgány společnosti

Objektivita jednotlivce



1111 – Přímá vzájemná součinnost s orgány společnosti Vedoucí interního auditu musí komunikovat a být ve vzájemné součinnosti přímo s orgány společnosti.

1120 – Objektivita jednotlivce Interní auditoři musí postupovat nestranně a nezaujatě a musí se vyhýbat jakémukoliv střetu zájmů. Interpretace: Střet zájmů je situace, v níž má interní auditor, vystupující v roli důvěryhodné osoby, protichůdný profesní či osobní zájem. Tyto protichůdné zájmy mohou znesnadnit nestranné plnění povinností auditora. Střet zájmů existuje dokonce i v případě, kdy se nestane nic neetického nebo nesprávného. Střet zájmů může vytvořit zdání nevhodnosti, které může narušit důvěru v interního auditora, k funkci interního auditu a k této profesi. Střet zájmů by mohl narušit schopnost jedince plnit objektivně své povinnosti a odpovědnosti.

1. Přímou komunikací se rozumí taková situace, kdy je vedoucí interního auditu pravidelně přítomen a účastní se zasedání orgánů společnosti, které se týkají jejich dohledové odpovědnosti nad auditem, finančním výkaznictvím, procesy řízení a správy společnosti a řídicím a kontrolním systémem. Účast vedoucího interního auditu a jeho přítomnost na těchto jednáních pro něj představuje příležitost být informován o dění ve strategických a provozních oblastech podnikání. Současně je také příležitostí pro včasnou identifikaci problémů v oblastech rizik vyšší úrovně, systémů, postupů a řídicích a kontrolních procesů. Účast na zasedáních také poskytuje příležitost pro výměnu informací týkajících se plánů a postupů útvaru interního auditu a pro udržování vzájemné informovanosti o jakýchkoliv ostatních záležitostech oboustranného zájmu.

1. Objektivita jednotlivce znamená, že interní auditoři provádějí zakázky takovým způsobem, který vytváří skutečnou důvěru ve výsledek jejich práce a který zamezuje přijímání kompromisů ohledně její kvality. Interní auditoři by neměli být postaveni do situace, která může narušit jejich schopnost provádět objektivní profesní posouzení.

2. Touto komunikací a součinností se také rozumí situace, kdy se vedoucí interního auditu schází, alespoň jednou ročně, k osobní schůzce s orgány společnosti.

2. Objektivita jednotlivce zahrnuje roli vedoucího interního auditu při přidělování pracovníků na jednotlivé zakázky způsobem zamezujícím výskytu a vzniku budoucího střetu zájmů nebo zaujatosti, při pravidelném získávání informací od pracovníků interního auditu ohledně možného střetu zájmu nebo zaujatosti, a při pravidelné rotaci pracovníků interního auditu, pokud je to prakticky možné. 3. Prověření výsledků práce interního auditu, které je prováděno před vydáním zprávy o zakázce, přispívá 81


inproviding reasonable assurance that the work was performed objectively.

Impairments to Independence or Objectivity

4. The internal auditor’s objectivity is not adversely affected when the auditor recommends standards of control for systems or reviews procedures before they are implemented. The auditor’s objectivity is considered to be impaired if the auditor designs, installs, drafts procedures for, or operates such systems.


1130 – Impairment to Independence or Objectivity If independence or objectivity is impaired in fact or appearance, the details of the impairment must be disclosed to appropriate parties. The nature of the disclosure will depend upon the impairment.

5. The occasional performance of non-audit work by the internal auditor, with full disclosure in the reporting process, would not necessarily impair objectivity. However, it would require careful consideration by management and the internal auditor to avoid adversely affecting the internal auditor’s objectivity.

Interpretation: Impairment to organizational independence and individual objectivity may include, but is not limited to, personal conflict of interest, scope limitations, restrictions on access to records, personnel, and properties, and resource limitations, such as funding.

Translation note: • Deleted paragraph #5 above was moved to IPPF 1130-1 paragraph #4. • Added paragraphs #4 & 5 above were extracted from PPF PA 1130.A1-1 paragraphs #4 & 5, respectively.

The determination of appropriate parties to which the details of an impairment to independence or objectivity should be disclosed is dependent upon the expectations of the internal audit activity’s and the chief audit executive’s responsibilities to senior management and the board as described in the internal audit charter, as well as the nature of the impairment. 1. Internal auditors are to report to the chief audit executive (CAE) any situations in which an actual or potential impairment to independence or objectivity may reasonably be inferred, or if they have questions about whether a situation constitutes an impairment to objectivity or independence. If the CAE determines that impairment exists or may be inferred, he or she needs to reassign the auditor(s). 2. A scope limitation is a restriction placed on the internal audit activity that precludes the activity from accomplishing its objectives and plans. Among other things, a scope limitation may restrict the:

82


k poskytnutí přiměřeného ujištění o tom, že práce byly provedeny objektivním způsobem.

Narušení nezávislosti nebo objektivity

4. Objektivita interního auditora není nepříznivě ovlivněna, jestliže auditor doporučuje standardy řídicího a kontrolního systému nebo prověřuje postupy před jejich zavedením. Objektivita auditora je narušena, jestliže auditor vytváří, zavádí a navrhuje postupy pro takové systémy nebo je přímo řídí.


1130 – Narušení nezávislosti nebo objektivity Pokud dojde ke zdánlivému či faktickému narušení nezávislosti nebo objektivity, musí být o této skutečnosti předány podrobné informace příslušné organizační úrovni ve společnosti. Způsob sdělení informací závisí na povaze tohoto narušení.

5. Příležitostné provádění neauditorských prací interními auditory neznamená nevyhnutelně ohrožení nezávislosti za předpokladu, že dojde k plnému zveřejnění této skutečnosti v rámci procesu podávání zpráv. To však znamená, aby vedení a interní auditor pečlivě posoudili tuto situaci s cílem zamezit nepříznivému ovlivnění objektivity interního auditora.

Interpretace: Narušení organizační nezávislosti a objektivity jednotlivce může zahrnovat následující situace (které však nejsou jejich vyčerpávajícím výčtem): osobní konflikt zájmu, omezení rozsahu působnosti auditu, omezení přístupu k dokladům, osobám a majetku a omezení zdrojů, např. finančních. Stanovení příslušných subjektů, kterým musí být sděleny detaily týkající se narušení nezávislosti a objektivity, závisí na odpovědnostech očekávaných od funkce interního auditu a jeho výkonného vedení směrem k vedení a orgánům společnosti, jak je uvedeno ve statutu interního auditu a dále také závisí na charakteru tohoto narušení. 1. Interní auditoři musí oznámit vedoucímu interního auditu vznik jakékoliv situace, která znamená skutečné či možné narušení nezávislosti nebo objektivity. To platí také pro případy, ve kterých mají interní auditoři pochybnosti, zda daná situace znamená narušení nezávislosti nebo objektivity. Pokud vedoucí interního auditu zjistí existenci skutečného nebo možného narušení objektivity, musí přeřadit auditora(y) na jinou práci. 2. Omezení rozsahu působnosti interního auditu je překážkou bránící útvaru interního auditu dosahovat jeho cílů a plánů. Kromě jiného, může omezení rozsahu působnosti interního auditu zúžit: 83

Practice Advisory 1130.A1−1:

• Scope defined in the internal audit charter. • Internal audit activity’s access to records, personnel, and physical properties relevant to the performance of engagements. • Approved engagement work schedule. • Performance of necessary engagement procedures. • Approved staffing plan and financial budget.

Assessing Operations for Which Internal Auditors Were Previously Responsible Primary Related Standard

1130.A1 – Internal auditors must refrain from assessing specific operations for which they were previously responsible. Objectivity is presumed to be impaired if an internal auditor provides assurance services for an activity for which the internal auditor had responsibility within the previous year.

3. A scope limitation, along with its potential effect, needs to be communicated, preferably in writing, to the board. The CAE needs to consider whether it is appropriate to inform the board regarding scope limitations that were previously communicated to and accepted by the board. This may be necessary particularly when there have been organization, board, senior management, or other changes.

1. Persons transferred to, or temporarily engaged by, the internal audit activity should not be assigned to audit those activities they previously performed or for which they had management responsibility until at least one year has elapsed. Such assignments are presumed to impair objectivity, and additional consideration should be exercised when supervising the engagement work and communicating engagement results.

4. Internal auditors are not to accept fees, gifts, or entertainment from an employee, client, customer, supplier, or business associate that may create the appearance that the auditor’s objectivity has been impaired. The appearance that objectivity has been impaired may apply to current and future engagements conducted by the auditor. The status of engagements is not to be considered as justification for receiving fees, gifts, or entertainment. The receipt of promotional items (such as pens, calendars, or samples) that are available to employees and the general public and have minimal value do not hinder internal auditors’ professional judgments. Internal auditors are to report immediately the offer of all material fees or gifts to their supervisors.

Translation note: Deleted paragraphs #4 & 5 above was moved to IPPF 11201 paragraph #4 & 5, respectively.

Translation note: Added paragraph #4 above was extracted from PPF PA 1120-1 paragraphs #5.

84

DOPORUČENÍ PRO PRAXI 1130.A1−1:

• Rozsah působnosti stanovený ve statutu interního auditu. • Přístup útvaru interního auditu k záznamům, osobám a fyzickému majetku, které souvisejí s prováděním zakázek. • Schválený harmonogram prací dané zakázky. • Postupy nezbytné pro provedení zakázky. • Schválené personální obsazení a finanční rozpočet. 3. Omezení rozsahu, spolu s jeho potenciálním dopadem, musí být sděleno, přednostně v písemné formě, orgánům společnosti. Vedoucí interního auditu musí zvážit, zda je vhodné informovat orgány společnosti o rozsahu omezení, které bylo předtím sděleno a akceptováno orgány společnosti. Tento postup může být nezbytný v případech, kdy došlo ke změnám v rámci společnosti, ke změnám orgánů a vedení společnosti nebo k jiným změnám.

Posuzování operací, za které byli interní auditoři dříve odpovědni Související standard

1130.A1 – Interní auditoři nesmí hodnotit takové procesy, za jejichž provádění byli předtím odpovědni. Jestliže auditor poskytuje ujištění o činnosti, za kterou byl během předchozího roku odpovědný, znamená to, že objektivita je narušena. 1. Osoby převedené nebo dočasně využívané útvarem interního auditu by neměly provádět audit těch činností, které předtím vykonávaly nebo za jejichž řízení byly odpovědné, a to před uplynutím časového období alespoň jednoho roku. Takovéto situace jsou považovány za narušení objektivity a proto by k nim mělo být dodatečně přihlédnuto při dohledu (supervizi) prací na zakázce a při sdělování výsledků zakázky.

4. Interní auditoři nesmí přijmout odměny, dary nebo pozvání od zaměstnance, klienta, zákazníka, dodavatele nebo kolegy za situace, která může vytvořit zdání, že byla narušena objektivita auditora. Zdánlivé narušení objektivity se může vztahovat na současné a budoucí zakázky prováděné auditorem. Stav/výsledek zakázky nesmí být považován za ospravedlnění přijímání odměn, darů a pozvání. Přijetí propagačních dárků (jako jsou pera, kalendáře nebo vzorky), které jsou k dispozici zaměstnancům a veřejnosti a mají minimální hodnotu, neovlivňují profesní úsudek interních auditorů. Interní auditoři musí okamžitě nahlásit svým nadřízeným nabídky všech významných odměn nebo darů.

85


• Significance of the operational function to the organization (in terms of revenue, expenses, reputation, and influence). • Length or duration of the assignment and scope of responsibility. • Adequacy of separation of duties. • Whether there is any history or other evidence that the internal auditor’s objectivity may be at risk.

Internal Audit’s Responsibility for Other (Nonaudit) Functions Primary Related Standard

1130.A2 – Assurance engagements for functions over which the chief audit executive has responsibility must be overseen by a party outside the internal audit activity.

3. If the internal audit charter contains specific restrictions or limiting language regarding the assignment of non-audit functions to the internal auditor, then disclosure and discussion with management of such restrictions is necessary. If management insists on such an assignment, then disclosure discussion of this matter with the board is necessary. If the charter is silent on this matter, the guidance noted in the points below are to be considered. All the points noted below are subordinate to the language of the charter.

1. Internal auditors are not to accept responsibility for non-audit functions or duties that are subject to periodic internal audit assessments. If they have this responsibility, then they are not functioning as internal auditors. 2. When the internal audit activity, chief audit executive (CAE), or individual internal auditor is responsible for, or management is considering assigning, an operational responsibility that the internal audit activity might audit, the internal auditor’s independence and objectivity may be impaired. At a minimum, the CAE needs to consider the following factors in assessing the impact on independence and objectivity:

4. When the internal audit activity accepts operational responsibilities and that operation is part of the audit plan, the CAE needs to: • Minimize the impairment to objectivity by using a contracted, third-party entity or external auditors to complete audits of those areas reporting to the CAE. • Confirm that individuals with operational responsibility for those areas reporting to the CAE do not participate in audits of the operation. • Ensure that auditors conducting the assurance engagement of those areas reporting to the CAE are supervised by, and report the results of the assessment, to senior management and the board. • Disclose the operational responsibilities of the auditor for the function, the significance of the operation to the organization (in terms of revenue, expenses, or other pertinent information), and the relationship of those who audited the function.

• Requirements of the Code of Ethics and International Standards for the Professional Practice of Internal Auditing (Standards), • Expectations of stakeholders that may include the shareholders, board of directors, audit committee, management, legislative bodies, public entities, regulatory bodies, and public interest groups. • Allowances and/or restrictions contained in the internal audit activity charter. • Disclosures required by the Standards. • Audit coverage of the activities or responsibilities undertaken by the internal auditor.

86


• Délku časového období, po kterou interní auditor vykonával danou provozní činnost a jeho rozsah odpovědnosti. • Adekvátnost oddělení rolí. • Výskyt skutečnosti vzniklé v minulosti a jakékoliv jiné skutečnosti, které mohou mít za následek, že může být ohrožena objektivita interního auditora.

Odpovědnosti interního auditu za jiné (neauditorské) činnosti Související standard

1130.A2 – Na ujišťovací zakázky (audity) činností, za jejichž provádění je odpovědný vedoucí interního auditu, musí dohlížet subjekt vně interního auditu.

3. Jestliže statut interního auditu obsahuje specifické zákazy a omezující ustanovení, upravující přidělování neauditorských činností interním auditorům, potom je nezbytné, aby tato omezení byla sdělena vedení a projednána s ním. Jestliže vedení trvá na přidělení takovéto činnosti, potom je nezbytné sdělit a projednat tuto záležitost s orgány společnosti. Pokud se statut nezmiňuje o této záležitosti, musí být vzata v úvahu doporučení uvedená níže. Všem bodům uvedeným níže jsou však nadřazena ustanovení statutu.

1. Interní auditoři nesmí přijímat odpovědnost za neauditorské činnosti nebo úkoly, které podléhají pravidelným posouzením ze strany interního auditu. Pokud interní auditoři vykonávají takovou odpovědnost, pak jejich práce není činností interních auditorů. 2. Pokud útvar interního auditu, vedoucí interního auditu nebo jednotlivý interní auditor je odpovědný za provozní činnost, nebo pokud vedení zvažuje přidělení takové provozní odpovědnosti, která by se mohla stát předmětem auditu, může být nezávislost a objektivita interního auditora narušena. Vedoucí interního auditu musí při vyhodnocování dopadu na nezávislost a objektivitu zvážit alespoň následující faktory:

4. Pokud útvar interního auditu převezme provozní odpovědnosti a pokud je provozní činnost součástí plánu auditů, vedoucí interního auditu musí: • Minimalizovat narušení objektivity prostřednictvím nasazení smluvních subjektů třetích stran nebo externích auditorů, aby provedli audit oblastí, za které je odpovědný vedoucí vnitřního auditu. • Zajistit, aby se jednotlivci mající provozní odpovědnosti v oblastech, za které je odpovědný vedoucí interního auditu, neúčastnili auditu těchto oblastí. • Zajistit, aby nad auditory provádějícími ujišťovací zakázku v oblastech, za které je odpovědný vedoucí interního auditu, byl vykonáván dohled ze strany vedení a orgánů společnosti. Dále je třeba zajistit, aby výsledky hodnocení byly sděleny vedení a orgánům společnosti. • Sdělovat informace týkající se provozních odpovědností auditora za danou činnost, informace týkající se významnosti této provozní činnosti pro společnost (z hlediska výnosů, výdajů a ostatních souvisejících in-

• Požadavky Etického kodexu IIA a Mezinárodních standardů pro profesní praxi interního auditu (Standardů). • Očekávání zainteresovaných subjektů, kam mohou patřit akcionáři, představenstva, výbor pro audit, management, legislativní orgány, veřejné právnické osoby, regulační orgány a skupiny zastupující veřejný zájem. • Ustanovení a/nebo omezení obsažená ve statutu interního auditu. • Zveřejnění údajů vyžadovaná Standardy. • Auditní pokrytí činností nebo odpovědností prováděných interním auditorem. • Význam provozních činností pro danou společnost (z hlediska výnosů, výdajů, reputace a vlivu). 87

Practice Advisory 1200-1:

5. The auditor’s operational responsibilities need to be disclosed in the related audit report of those areas reporting to the CAE and in the auditor’s standard communication to the board. Results of the audit may also be discussed with management and/or other appropriate stakeholders. Impairment disclosure does not negate the requirement that assurance engagements for functions over which the CAE has responsibility need to be overseen by a party outside the internal audit activity.

Proficiency and Due Professional Care Primary Related Standard

1200 – Proficiency and Due Professional Care Engagements must be performed with proficiency and due professional care. 1. Proficiency and due professional care are the responsibility of the chief audit executive (CAE) and each internal auditor. As such, the CAE ensures that persons assigned to each engagement collectively possess the necessary knowledge, skills, and other competencies to conduct the engagement appropriately.

Translation note: First three bullet points under PPF D above were moved up into paragraph #2 (changes not ‘tracked’ add, delete shown).

2. Due professional care includes conforming with the Code of Ethics and, as appropriate, the organization’s code of conduct as well as the codes of conduct for other professional designations the internal auditors may hold. The Code of Ethics extends beyond the Definition of Internal Auditing to include two essential components: • Principles that are relevant to the profession and practice of internal auditing: integrity, objectivity, confidentiality, and competency. • Rules of conduct that describe behavioral norms expected of internal auditors. These rules are an aid to interpreting the principles into practical applications and are intended to guide the ethical conduct of internal auditors.

88


formací) a informace týkající se vazeb mezi osobami provádějících audit dané oblasti.

Odbornost a náležitá profesní péče

5. Provozní odpovědnosti auditora je třeba uveřejnit v související auditní zprávě mapující ty oblasti, za které odpovídá vedoucí interního auditu. Dále musí být tyto odpovědnosti v rámci běžné komunikace sděleny orgánům společnosti. Výsledky auditu mohou být také projednány s vedením nebo jinými zainteresovanými subjekty. Sdělení informace o narušení objektivity však neznamená zánik požadavku, že nad ujišťovacími zakázkami týkajícími se činností, za které je odpovědný vedoucí interního auditu, musí provádět dohled subjekt nacházející se mimo útvar interního auditu.


1200 – Odbornost a náležitá profesní péče Zakázky musí být prováděny odborně a s náležitou profesní péčí. 1. Odpovědností vedoucího interního auditu a každého interního auditora je uplatňování odbornosti a náležité profesní péče. Vedoucí interního auditu zajišťuje, aby osoby přidělené na každou zakázku jako celek disponovaly potřebnými znalostmi, dovednostmi a ostatními schopnostmi, které jsou nezbytné pro provedení zakázky náležitým způsobem. 2. Náležitá profesní péče zahrnuje soulad s Etickým kodexem a, pokud je to vhodné, s pravidly chování dané organizace a také s pravidly chování ostatních profesních organizací, jimiž jsou interní auditoři členy. Etický kodex sahá za hranici Definice interního auditu a zahrnuje dvě nezbytně nutné součásti: • Základní zásady, které jsou důležité pro profesi a praxi interního auditu: integrita, objektivita, důvěrnost a kompetentnost. • Pravidla jednání, která popisují normy chování očekávaného od interního auditora. Tato pravidla jsou pomůckou pro uplatňování základních zásad v praxi a slouží jako návod pro etické jednání interních auditorů.

89


• An understanding of management principles to recognize and evaluate the materiality and significance of deviations from good business practices. An understanding means the ability to apply broad knowledge to situations likely to be encountered, to recognize significant deviations, and to be able to carry out the research necessary to arrive at reasonable solutions. • An appreciation of the fundamentals of business subjects such as accounting, economics, commercial law, taxation, finance, quantitative methods, information technology, risk management, and fraud. An appreciation means the ability to recognize the existence of problems or potential problems and to identify the additional research to be undertaken or the assistance to be obtained. • Skills in dealing with people, understanding human relations, and maintaining satisfactory relationships with engagement clients. • Skills in oral and written communications to clearly and effectively convey such matters as engagement objectives, evaluations, conclusions, and recommendations.

Proficiency


1210 – Proficiency Internal auditors must possess the knowledge, skills, and other competencies needed to perform their individual responsibilities. The internal audit activity collectively must possess or obtain the knowledge, skills, and other competencies needed to perform its responsibilities. Interpretation: Knowledge, skills, and other competencies is a collective term that refers to the professional proficiency required of internal auditors to effectively carry out their professional responsibilities. Internal auditors are encouraged to demonstrate their proficiency by obtaining appropriate professional certifications and qualifications, such as the Certified Internal Auditor designation and other designations offered by The Institute of Internal Auditors and other appropriate professional organizations.

2. Suitable criteria of education and experience for filling internal audit positions is established by the chief audit executive (CAE) who gives due consideration to the scope of work and level of responsibility and obtains reasonable assurance as to each prospective auditor’s qualifications and proficiency.

1. The knowledge, skills, and other competencies referred to in the standard include: • Proficiency in applying internal audit standards, procedures, and techniques in performing engagements. Proficiency means the ability to apply knowledge to situations likely to be encountered and to deal with them appropriately without extensive recourse to technical research and assistance. • Proficiency in accounting principles and techniques if internal auditors work extensively with financial records and reports. • Knowledge to identify the indicators of fraud. • Knowledge of key information technology risks and controls and available technology-based audit techniques.

3. The internal audit activity needs to collectively possess the knowledge, skills, and other competencies essential to the practice of the profession within the organization. Performing an annual analysis of an internal audit activity’s knowledge, skills, and other competencies helps identify areas of opportunity that can be addressed by continuing professional development, recruiting, or co-sourcing.

90


Odbornost

• Související standard

1210 – Odbornost Interní auditoři musí mít znalosti, dovednosti a další schopnosti potřebné pro plnění svých úkolů. Funkce interního auditu jako celek musí mít nebo být schopna zajistit takové znalosti, dovednosti a další schopnosti, které jsou potřebné pro plnění jejích odpovědností.

•

Interpretace: Znalosti, dovednosti a další schopnosti jsou společným termínem označujícím profesní odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný výkon jejich profesních odpovědností. Interním auditorům se doporučuje, aby prokazovali svou odbornost získáním odpovídajících profesních kvalifikací a certifikací, např. osvědčení Certifikovaný Interní Auditor a další osvědčení nabízená Mezinárodním institutem interních auditorů a ostatními, pro tento účel vhodnými profesními organizacemi.

• •

1. Znalosti, dovednosti a další schopnosti zmíněné v tomto standardu zahrnují:

dostupných softwarově podporovaných auditorských postupů. Pochopení základních zásad řízení, které je nezbytné pro rozpoznání a vyhodnocení významnosti a závažnosti odchylek od správných podnikatelských postupů. Pochopení znamená schopnost uplatnit široké spektrum znalostí v situacích, které mohou pravděpodobně vzniknout, schopnost rozpoznat závažné odchylky a schopnost uskutečnit průzkum nezbytný k nalezení přiměřeného řešení. Porozumění základům podnikatelských oborů, jako je účetnictví, ekonomie, obchodní právo, daně, finance, kvantitativní metody, informační technologie, řízení rizik a problematika podvodů. Porozumění znamená schopnost rozpoznat existující nebo potenciální problémy a schopnost stanovení, zda má být proveden další průzkum nebo zda má být vyžádána další podpora. Dovednosti v jednání s lidmi, porozumění mezilidským vztahům a udržování uspokojivých vztahů s klienty, pro které se zakázky provádí. Dovednosti v ústní a písemné komunikaci nezbytné pro jasné a účinné sdělování informací, jako jsou cíle zakázek, vyhodnocení, závěry a doporučení.

2. Vedoucí interního auditu stanovuje vhodná kritéria pro vzdělání a dosažené zkušenosti a tato kritéria používá pro obsazování pracovních míst interních auditorů, přičemž bere náležitým způsobem v potaz rozsah práce a úroveň odpovědnosti a získává přiměřené ujištění o kvalifikaci a odbornosti každého budoucího interního auditora.

• Odbornost při uplatňování standardů, postupů a metod interního auditu v rámci provádění zakázek. Odbornost znamená schopnost uplatnit znalosti v situacích, které mohou vzniknout a schopnost zvládat tyto situace náležitým způsobem bez nezbytnosti být závislý na technickém výzkumu a na podpoře. • Odbornost v oblasti účetních zásad a metod, pokud interní auditoři ve velké míře pracují s finančními záznamy a výkazy. • Znalosti nezbytné pro identifikaci indikátorů podvodu. • Znalosti klíčových rizik a řídicích a kontrolních mechanismů v oblasti informačních technologií a znalosti

3. Pracovníci interního auditu musí jako celek disponovat znalostmi, dovednostmi a ostatními schopnostmi nezbytnými k praktickému provádění své profese v rámci organizace. Provádění pravidelné roční analýzy znalostí, dovedností a o ostatních schopností útvaru interního auditu napomáhá identifikaci oblastí,

91


4. Continuing professional development is essential to help ensure internal audit staff remains proficient.

Obtaining External Service Providers to Support or Complement the Internal Audit Activity

5. The CAE may obtain assistance from experts outside the internal audit activity to support or complement areas where the internal audit activity is not sufficiently proficient.


1210.A1 – The chief audit executive must obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement. 1. Each member of the internal audit activity need not be qualified in all disciplines. The internal audit activity may use external service providers or internal resources that are qualified in disciplines such as accounting, auditing, economics, finance, statistics, information technology, engineering, taxation, law, environmental affairs, and other areas as needed to meet the internal audit activity’s responsibilities. 2. An external service provider is a person or firm, independent of the organization, who has special knowledge, skill, and experience in a particular discipline. External service providers include actuaries, accountants, appraisers, culture or language experts, environmental specialists, fraud investigators, lawyers, engineers, geologists, security specialists, statisticians, information technology specialists, the organization’s external auditors, and other audit organizations. An external service provider may be engaged by the board, senior management, or the chief audit executive (CAE). 3. External service providers may be used by the internal audit activity in connection with, among other things:

92


ve kterých existuje příležitost pro průběžný profesní rozvoj, nábor nových pracovníků a co-sourcing.

Využití externích poskytovatelů služeb pro podporu nebo doplnění činností interního auditu

4. Průběžný profesní rozvoj je nezbytný pro udržení odbornosti pracovníků interního auditu.


5. Pro podporu nebo doplnění v oblastech, ve kterých nemá útvar interního auditu požadovanou odbornost, může vedoucí interního auditu využít pomoci od odborníků nacházejících se mimo útvar interního auditu.

1210.A1 – Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro provedení zakázky jako celku nebo její části, vedoucí interního auditu musí zajistit odborné poradenství a podporu. 1. Každý z pracovníků útvaru interního auditu nemusí být kvalifikovaný ve všech odbornostech. Útvar interního auditu může využívat externí poskytovatele služeb nebo interní zdroje, kteří mají kvalifikaci v odborných oblastech, jakými jsou účetnictví, audit, ekonomie, finance, statistika, informační technologie, technologie, daně, komerční právo, otázky životního prostředí a ostatní oblasti nezbytné pro plnění odpovědností útvaru interního auditu. 2. Externím poskytovatelem služeb je osoba nebo firma, která je nezávislá na organizaci a disponuje odbornými znalostmi, dovednostmi a zkušenostmi v daném oboru. Mezi externími poskytovatele patří pojistní matematici, účetní, odhadci, jazykoví odborníci, odborníci na firemní kulturu, specialisté na životní prostředí, vyšetřovatelé podvodů, právníci, inženýři, geologové, bezpečnostní specialisté, statistici, specialisté na informační technologie, externí auditoři organizace a jiné auditorské organizace. Externího poskytovatele služeb mohou najmout orgány a vedení společnosti nebo vedoucí interního auditu. 3. Externí poskytovatelé služeb mohou být využiti útvarem interního auditu, mezi jiným, v souvislosti s(e):

93

• Achievement of the objectives in the engagement work schedule. • Audit activities where a specialized skill and knowledge are needed such as information technology, statistics, taxes, or language translations. • Valuations of assets such as land and buildings, works of art, precious gems, investments, and complex financial instruments. • Determination of quantities or physical condition of certain assets such as mineral and petroleum reserves. • Measuring the work completed and to be completed on contracts in progress. • Fraud and security investigations. • Determination of amounts by using specialized methods such as actuarial determinations of employee benefit obligations. • Interpretation of legal, technical, and regulatory requirements. • Evaluation of the internal audit activity’s quality assurance and improvement program in conformance with the International Standards for the Professional Practice of Internal Auditing (Standards). • Mergers and acquisitions. • Consulting on risk management and other matters.

5. The CAE determines that the external service provider possesses the necessary knowledge, skills, and other competencies to perform the engagementby considering: • Professional certification, license, or other recognition of the external service provider’s competence in the relevant discipline. • Membership of the external service provider in an appropriate professional organization and adherence to that organization’s code of ethics. • The reputation of the external service provider. This may include contacting others familiar with the external service provider’s work. • The external service provider’s experience in the type of work being considered. • The extent of education and training received by the external service provider in disciplines that pertain to the particular engagement. • The external service provider’s knowledge and experience in the industry in which the organization operates. 6. The CAE needs to assess the relationship of the external service provider to the organization and to the internal audit activity to ensure that independence and objectivity are maintained throughout the engagement. In performing the assessment, the CAE verifies that there are no financial, organizational, or personal relationships that will prevent the external service provider from rendering impartial and unbiased judgments and opinions when performing or reporting on the engagement.

4. When the CAE intends to use and rely on the work of an external service provider, the CAE needs to consider the competence, independence, and objectivity of the external service provider as it relates to the particular assignment to be performed. The assessment of competency, independence, and objectivity is also needed when the external service provider is selected by senior management or the board, and the CAE intends to use and rely on the external service provider’s work. When the selection is made by others and the CAE’s assessment determines that he or she should not use and rely on the work of the external service provider, communication of such results is needed to senior management or the board, as appropriate. 94

• Dosažením cílů stanovených v harmonogramu prací dané zakázky. • Auditními činnostmi, které vyžadují odborné dovednosti a znalosti, jako jsou informační technologie, statistika, daně nebo překlady do cizích jazyků. • Oceňováním aktiv (majetku), jako jsou pozemky a budovy, umělecká díla, drahokamy, investice a složité finanční instrumenty. • Stanovením velikosti nebo fyzického stavu některých aktiv, jako jsou nerostná nebo ropná ložiska. • Měřením množství provedené práce nebo množství práce, která ještě musí být provedena u smluv, jejichž předmět je právě realizován. • Vyšetřováním podvodů a bezpečnostních problémů. • Stanovením množství/částek pomocí specializovaných metod, jakými jsou metody stanovení závazků vůči zaměstnancům založené na pojistné matematice. • Interpretací právních, technických nebo regulatorních požadavků. • Vyhodnocováním programu pro zabezpečení a zvyšování kvality interního auditu v souladu s Mezinárodními standardy pro profesní praxi interního auditu (Standardy). • Fúzemi a akvizicemi. • Poradenstvím týkajícím se řízení rizik a ostatních záležitostí.

na základě tohoto posouzení závěr, že by daný externí poskytovatel neměl být využit a nemělo by být spoléháno na jeho práci, je třeba řádně sdělit tento závěr vedení nebo orgánům společnosti. 5. Vedoucí interního auditu určí, zda externí poskytovatel služeb disponuje znalostmi, dovednostmi a jinými schopnostmi nezbytnými pro provádění dané zakázky. Při tomto posouzení vedoucí interního auditu bere v úvahu následující aspekty: • Profesní certifikaci, licenci nebo jinou formu potvrzující kompetenci externího poskytovatele služeb v příslušném oboru. • Členství externího poskytovatele služeb v příslušné profesní organizaci a to, jak tento poskytovatel dodržuje etický kodex této organizace. • Pověst externího poskytovatele služeb. To může zahrnovat navázání kontaktu s jinými subjekty, kteří znají práci tohoto externího poskytovatele služeb. • Zkušenosti externího poskytovatele služeb v tom druhu práce, pro kterou se s jeho službami uvažuje. • Rozsah vzdělání a školení, které je poskytováno pracovníkům externího poskytovatele služeb v oborech, které souvisí s danou zakázkou. • Znalosti a zkušenosti externího poskytovatele služeb v odvětví, ve kterém organizace působí.

4. Jestliže má vedoucí interního auditu v úmyslu využít externího poskytovatele služeb a spoléhat se na jeho práci, je třeba vzít v úvahu kompetence, nezávislost a objektivitu daného externího poskytovatele služeb ve vztahu ke konkrétní prováděné zakázce. Posouzení kompetence, nezávislosti a objektivity je také nezbytné v případě, kdy je výběr externího poskytovatele služeb proveden vedením nebo orgány společnosti a pokud vedoucí interního auditu má v úmyslu využít tohoto externího poskytovatele služeb a spolehnout se na jeho práci. V případě výběru provedeného jiným subjektem a učiní-li vedoucí interního auditu

6. Vedoucí interního auditu musí posoudit vztahy externího poskytovatele služeb k organizaci a k útvaru interního auditu, aby se ujistil, že bude zachována nezávislost a objektivita v průběhu provádění celé zakázky. Při provádění hodnocení vedoucí interního auditu určí, zda neexistují žádné finanční, organizační nebo personální vztahy, které by bránily externímu poskytovateli služeb vyjadřovat nestranné a nezaujaté úsudky a názory během provádění zakázky nebo během vykazování jejích výsledků.

95

7. The CAE assesses the independence and objectivity of the external service provider by considering:

•

• The financial interest the external service provider may have in the organization. • The personal or professional affiliation the external service provider may have to the board, senior management, or others within the organization. • The relationship the external service provider may have had with the organization or the activities being reviewed. • The extent of other ongoing services the external service provider may be performing for the organization. • Compensation or other incentives that the external service provider may have.

• • • • • •

8. If the external service provider is also the organization’s external auditor and the nature of the engagement is extended audit services, the CAE needs to ascertain that work performed does not impair the external auditor’s independence. Extended audit services refer to those services beyond the requirements of audit standards generally accepted by external auditors. If the organization’s external auditors act or appear to act as members of senior management, management, or as employees of the organization, then their independence is impaired. Additionally, external auditors may provide the organization with other services such as tax and consulting. Independence needs to be assessed in relation to the full range of services provided to the organization.

CAE reviews the following with the external service provider: Objectives and scope of work including deliverables and time frames. Specific matters expected to be covered in the engagement communications. Access to relevant records, personnel, and physical properties. Information regarding assumptions and procedures to be employed. Ownership and custody of engagement working papers, if applicable. Confidentiality and restrictions on information obtained during the engagement. Where applicable, conformance with the Standards and the internal audit activity’s standards for working practices.

10. In reviewing the work of an external service provider, the CAE evaluates the adequacy of work performed, which includes sufficiency of information obtained to afford a reasonable basis for the conclusions reached and the resolution of exceptions or other unusual matters. 11. When the CAE issues engagement communications, and an external service provider was used, the CAE may, as appropriate, refer to such services provided. The external service provider needs to be informed and, if appropriate, concurrence should be obtained before making such reference in engagement communications.

9. To ascertain that the scope of work is adequate for the purposes of the internal audit activity, the CAE obtains sufficient information regarding the scope of the external service provider’s work. It may be prudent to document these and other matters in an engagement letter or contract. To accomplish this, the

96

7. Při posuzování nezávislosti a objektivity externího poskytovatele služeb bere vedoucí interního auditu v úvahu:

semného sdělení nebo smlouvy. Z hlediska dosažení tohoto cíle, vedoucí interního auditu posuzuje společně s externím poskytovatelem služeb následující aspekty:

• Finanční zájem, který by mohl externí poskytovatel služeb mít v organizaci. • Osobní a profesní vazby, které by mohl poskytovatel mít k orgánům společnosti, vedení nebo jiným osobám v rámci organizace. • Vztahy, které by mohl externí poskytovatel služeb mít v rámci organizace nebo vůči činnostem, které jsou prověřovány. • Rozsah jiných probíhajících služeb, které může externí poskytovatel služeb organizaci poskytovat. • Způsob odměňování nebo jiná motivační schémata, kterých může externí poskytovatel služeb využívat.

• Cíle a rozsah práce včetně konkrétní podoby výstupů a časového rámce. • Specifické záležitosti, u kterých se očekává, že budou předmětem zprávy o zakázce. • Přístup k příslušným záznamům, osobám a fyzickému majetku. • Informace týkající se předpokladů a postupů, které budou používány. • Vlastnictví a úschovu pracovní dokumentace zakázky, pokud je to potřeba. • Důvěrnost informací a omezení ohledně sdělování informací, získaných v průběhu prací na zakázce. • V případech, kdy je to vhodné, soulad se Standardy a se standardními postupy práce používanými útvarem interního auditu.

8. Jestliže je externí poskytovatel služeb rovněž externím auditorem organizace a jestliže má zakázka povahu rozšířených auditorských služeb, musí se vedoucí interního auditu ujistit, že provedená práce nenarušuje nezávislost externího auditora. Rozšířenými auditorskými službami se rozumí takové služby, které jdou nad rámec požadavků auditorských standardů, které jsou externími auditory obecně přijímány. Jestliže externí auditoři organizace působí přímo nebo nepřímo jako členové vedení nebo jako zaměstnanci organizace, potom je jejich nezávislost narušena. Kromě toho, mohou externí auditoři poskytovat organizaci další služby, jako je například daňové a jiné poradenství. Nezávislost je však třeba posuzovat ve vztahu k celému rozsahu služeb, které externí auditoři organizaci poskytují.

10. Při prověřování práce externího poskytovatele služeb vedoucí interního auditu vyhodnocuje přiměřenost provedené práce. Toto vyhodnocení zahrnuje posouzení dostatečnosti množství získaných informací z hlediska vytvoření přiměřeného základu pro učiněné závěry a způsob naložení s nalezenými odchylkami nebo jinými neobvyklými záležitostmi. 11. Pokud v případě, kdy bylo využito služeb externího poskytovatele služeb, vedoucí interního auditu vydává zprávu o zakázce, může vedoucí interního auditu, v případě potřeby, zmínit skutečnost týkající se poskytnutých služeb. Externí poskytovatel služeb musí být o této skutečnosti informován a v případě potřeby by měl být získán souhlas předtím, než se tato skutečnost objeví ve zprávě o zakázce.

9. Aby vedoucí interního auditu zjistil, že rozsah prací je přiměřený z hlediska záměrů interního auditu, vyžádá si dostatečné informace o rozsahu prací prováděných externím poskytovatelem služeb. Může být vhodné tyto a další záležitosti zdokumentovat v podobě pí97



Due Professional Care

Continuing Professional Development



1220 – Due Professional Care Internal auditors must apply the care and skill expected of a reasonably prudent and competent internal auditor. Due professional care does not imply infallibility.

1230 – Continuing Professional Development Internal auditors must enhance their knowledge, skills, and other competencies through continuing professional development.

1. Due professional care calls for the application of the care and skill expected of a reasonably prudent and competent internal auditor in the same or similar circumstances. Due professional care is therefore appropriate to the complexities of the engagement being performed. Exercising due professional care involves internal auditors being alert to the possibility of fraud, intentional wrongdoing, errors and omissions, inefficiency, waste, ineffectiveness, and conflicts of interest, as well as being alert to those conditions and activities where irregularities are most likely to occur. This also involves internal auditors identifying inadequate controls and recommending improvements to promote conformance with acceptable procedures and practices.

1. Internal auditors are responsible for continuing their education to enhance and maintain their proficiency. Internal auditors need to stay informed about improvements and current developments in internal audit standards, procedures, and techniques, including The IIA’s International Professional Practices Framework (IPPF) guidance. Continuing professional education (CPE) may be obtained through membership, participation, and volunteering in professional organizations such as The IIA; attendance at conferences, seminars, and in-house training programs; completion of college and self-study courses; and involvement in research projects. 2. Internal auditors are encouraged to demonstrate their proficiency by obtaining appropriate professional certification, such as the Certified Internal Auditor designation, other designations offered by The IIA, and additional designations related to internal auditing.

2. Due professional care implies reasonable care and competence, not infallibility or extraordinary performance. As such, due professional care requires the internal auditor to conduct examinations and verifications to a reasonable extent. Accordingly, internal auditors cannot give absolute assurance that noncompliance or irregularities do not exist. Nevertheless, the possibility of material irregularities or noncompliance needs to be considered whenever an internal auditor undertakes an internal audit assignment.

3. Internal auditors are encouraged to pursue CPE (related to their organization’s activities and industry) to maintain their proficiency with regard to the governance, risk, and control processes of their unique organization. 4. Internal auditors who perform specialized audit and consulting work — such as information technology, 98



Náležitá profesní péče

Průběžný profesní rozvoj



1220 – Náležitá profesní péče Interní auditoři musí uplatňovat péči a dovednosti, jaké se očekávají od přiměřeně uvážlivého a způsobilého interního auditora. Náležitá profesní péče neznamená neomylnost.

1230 – Průběžný profesní rozvoj Interní auditoři musí zlepšovat své znalosti, dovednosti a další schopnosti prostřednictvím průběžného profesního rozvoje. 1. Interní auditoři jsou odpovědni za své průběžné vzdělávání, a to z důvodu zdokonalení a udržení si své odbornosti. Interní auditoři musí být informováni o zlepšeních a současném vývoji v oblasti standardů interního auditu, jeho postupů a metod, včetně směrnic obsažených v Mezinárodním rámci pro profesní praxi vydaném IIA. Do průběžného profesního vzdělávání (CPE) je možné se zapojit prostřednictvím členství, účasti a dobrovolného zapojení v profesních organizacích jako je IIA; prostřednictvím účasti na konferencích, seminářích, firemních školících programech; prostřednictvím dokončení vysokoškolských kurzů a kurzů pro samouky; a rovněž prostřednictvím účasti na výzkumných projektech.

1. Náležitá profesní péče vyžaduje uplatnění péče a dovedností, které se očekávají od přiměřeně uvážlivého a způsobilého interního auditora za stejných nebo podobných podmínek. Z tohoto hlediska, náležitá profesní péče odpovídá složitosti prováděné zakázky. Uplatňování náležité profesní péče zahrnuje, aby interní auditoři věnovali pozornost možnosti podvodu, úmyslným přestupkům, chybám a opomenutím, neefektivnostem, plýtvání, neúčinnostem (neschopnosti dosáhnout cílů) a konfliktům zájmu. Rovněž musí věnovat pozornost okolnostem a činnostem, u kterých je nejvíce pravděpodobný výskyt nesrovnalostí. Tyto činnosti také vyžadují, aby interní auditoři identifikovali nepřiměřené řídicí a kontrolní mechanismy a doporučovali zlepšení za účelem podpory souladu s přijatelnými postupy a praxí.

2. Interním auditorům se doporučuje, aby prokázali svou odbornost získáním příslušného profesního osvědčení, jakými jsou například osvědčení Certifikovaný Interní Auditor, další osvědčení poskytovaná IIA a dodatečná osvědčení mající vztah k internímu auditu.

2. Náležitá profesní péče v sobě zahrnuje přiměřenou péči a způsobilost, nikoliv neomylnost nebo mimořádnou výkonnost. Náležitá profesní péče sama o sobě vyžaduje od interního auditora, aby v přiměřeném rozsahu prováděl zkoumání a ověřování. V souladu s tím nemohou interní auditoři poskytovat absolutní ujištění o neexistenci nesouladů nebo nesrovnalostí. Nicméně pravděpodobnost existence významných nesrovnalostí nebo nesouladu musí být vzata v úvahu vždy, když interní auditoři realizují zakázku interního auditu.

3. Interním auditorům se doporučuje, aby se soustavně věnovali CPE (ve vztahu k činnostem organizace a odvětví, ve kterém působí) za účelem udržování své odbornosti týkající se procesů řízení a správy společnosti, rizik, řízení a kontroly ve společnosti, ve které působí.

99


tax, actuarial, or systems design — may undertake specialized CPE to allow them to perform their internal audit work with proficiency.

quality assurance and improvement program Primary Related Standard

5. Internal auditors with professional certifications are responsible for obtaining sufficient CPE to satisfy requirements related to the professional certification held.

1300 – quality assurance and improvement program The chief audit executive must develop and maintain a quality assurance and improvement program that covers all aspects of the internal audit activity.

6. Internal auditors not presently holding appropriate certifications are encouraged to pursue an educational program and/or individual study to obtain professional certification.

Interpretation: A quality assurance and improvement program is designed to enable an evaluation of the internal audit activity’s conformance with the Definition of Internal Auditing and the Standards and an evaluation of whether internal auditors apply the Code of Ethics. The program also assesses the efficiency and effectiveness of the internal audit activity and identifies opportunities for improvement. 1. The chief audit executive (CAE) is responsible for establishing an internal audit activity whose scope of work includes the activities in the Standards and in the Definition of Internal Auditing. To ensure that this occurs, Standard 1300 requires that the CAE develop and maintain a quality assurance and improvement program (QAIP). 2. The CAE is accountable for implementing processes designed to provide reasonable assurance to the various stakeholders that the internal audit activity: • Performs in accordance with the internal audit charter, which is consistent with the Definition of Internal Auditing, the Code of Ethics, and the Standards. • Operates in an effective and efficient manner. • Is perceived by those stakeholders as adding value and improving the organization’s operations.

100


4. Interní auditoři, kteří provádějí specializované audity a poradenské zakázky – v oblastech jako např. informační technologie, daně, pojistná matematika nebo návrh systémů – mohou z hlediska zajištění odbornosti provádění prací interního auditu absolvovat specializované CPE.

Program pro zabezpečení a zvyšování kvality Související standard

1300 – Program pro zabezpečení a zvyšování kvality Vedoucí interního auditu musí vypracovat a pravidelně aktualizovat program pro zabezpečení a zvyšování kvality interního auditu, který zahrnuje všechna hlediska funkce interního auditu.

5. Interní auditoři s profesními osvědčeními jsou odpovědní za absolvování dostatečného rozsahu průběžného profesního vzdělávání (CPE), aby mohli splnit požadavky, spojené s uděleným profesním osvědčením.

Interpretace: Program pro zabezpečení a zvyšování kvality je navržen tak, aby umožnil hodnocení souladu činnosti interního auditu s Definicí interního auditu a se Standardy a dále umožnil hodnocení, zda se interní auditoři řídí Etickým kodexem. Tento program také hodnotí účinnost a efektivnost činností interního auditu a identifikuje příležitosti ke zlepšení.

6. Interním auditorům, kteří v současnosti nemají příslušná osvědčení, se doporučuje, aby se soustavně účastnili vzdělávacích programů a/nebo se věnovali samostudiu vedoucímu k získání profesního osvědčení.

1. Vedoucí interního auditu odpovídá za zřízení útvaru interního auditu, jehož rozsah působnosti zahrnuje činnosti uvedené ve Standardech a v Definici interního auditu. K zajištění uvedeného vyžaduje Standard 1300, aby vedoucí interního auditu vypracoval a pravidelně aktualizoval program pro zabezpečení a zvyšování kvality (quality assurance and improvement program – QAIP). 2. Vedoucí interního auditu zodpovídá za zavedení takových procesů, které různým zainteresovaným stranám poskytují přiměřené ujištění, že útvar interního auditu: • Provádí svou činnost v souladu se statutem interního auditu, který je v souladu s Definicí interního auditu, Etickým kodexem a Standardy. • Funguje efektivním a účinným způsobem. • Je vnímán těmito zainteresovanými stranami jako subjekt, který přináší přidanou hodnotu a zdokonaluje fungování společnosti. 101


These processes include appropriate supervision, periodic internal assessments and ongoing monitoring of quality assurance, and periodic external assessments.

Requirements of the quality assurance and improvement program

3. The QAIP needs to be sufficiently comprehensive to encompass all aspects of operation and management of an internal audit activity, as found in the Definition of Internal Auditing, the Code of Ethics, the Standards, and best practices of the profession. The QAIP process is performed by or under direct supervision of the CAE. Except in small internal audit activities, the CAE would usually delegate most QAIP responsibilities to subordinates. In large or complex environments (e.g., numerous business units and/or locations), the CAE establishes a formal QAIP function — headed by an internal audit executive — independent of the audit and consulting segments of the internal audit activity. This executive (and limited staff) administers and monitors the activities needed for a successful QAIP.


1310 – Requirements of the quality assurance and improvement program The quality assurance and improvement program must include both internal and external assessments. 1. A quality assurance and improvement program (QAIP) is an ongoing and periodic assessment of the entire spectrum of audit and consulting work performed by the internal audit activity. These ongoing and periodic assessments are composed of rigorous, comprehensive processes; continuous supervision and testing of internal audit and consulting work; and periodic validations of conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. This also includes ongoing measurements and analyses of performance metrics (e.g., internal audit plan accomplishment, cycle time, recommendations accepted, and customer satisfaction). If the assessments’ results indicate areas for improvement by the internal audit activity, the chief audit executive (CAE) will implement the improvements through the QAIP. 2. Assessments evaluate and conclude on the quality of the internal audit activity and lead to recommendations for appropriate improvements. QAIPs include an evaluation of: • Conformance with the Definition of Internal Auditing, the Code of Ethics, and Standards, including timely corrective actions to remedy any significant instances of nonconformance.

102


Tyto procesy zahrnují vykonávání přiměřeného dohledu (supervize), pravidelných interních hodnocení a průběžného sledování zajištění kvality a vykonávání pravidelných externích hodnocení.

Požadavky kladené na Program pro zabezpečení a zvyšování kvality Související standard

3. Program QAIP musí být dostatečně rozsáhlý, aby zahrnoval všechny aspekty činností a řízení útvaru interního auditu, jak jsou obsaženy v Definici interního auditu, v Etickém kodexu, ve Standardech a v nejlepší profesní praxi. Proces QAIP je vykonáván vedoucím interního auditu nebo je pod jeho přímým dohledem (supervizí). S výjimkou malých útvarů interního auditu, vedoucí interního auditu obvykle deleguje většinu odpovědností souvisejících s QAIP na své podřízené. Ve velkých společnostech nebo ve složitém prostředí (např. velký počet podnikatelských jednotek a/nebo lokalit), vedoucí interního auditu zřizuje formální útvar QAIP, který je řízen vedoucím pracovníkem interního auditu a který je nezávislý na organizačních jednotkách interního auditu, jenž poskytují auditní a poradenské služby. Tento vedoucí pracovník (a omezený počet pracovníků) vykonává a sleduje činnosti nezbytné pro úspěšné splnění QAIP.

1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality Program pro zabezpečení a zvyšování kvality musí zahrnovat jak interní, tak externí hodnocení. 1. Program pro zabezpečení a zvyšování kvality (QAIP) znamená provádění průběžného a pravidelného hodnocení celého spektra auditních a poradenských činností prováděných interním auditem. Tato průběžná a pravidelná hodnocení jsou tvořena pečlivě navrženými a ucelenými procesy, průběžným dohledem (supervizí) a testováním auditních a poradenských činností a pravidelnými ověřeními souladu s Definicí interního auditu, Etickým kodexem a Standardy. Tato hodnocení také zahrnují průběžná měření a analýzy výkonových ukazatelů (např. plnění plánu interních auditů, čas nezbytný pro dokončení zakázky, poměr přijatých doporučení a spokojenost zákazníka). Pokud výsledky těchto hodnocení vedou k identifikaci oblastí pro zlepšení v působnosti útvaru interního auditu, vedoucí interního auditu zavede tato zlepšení prostřednictvím Programu pro zabezpečení a zvyšování kvality interního auditu (QAIP). 2. Hodnocení posuzují kvalitu činností interního auditu a činí ohledně ní závěry; hodnocení vedou k doporučením vhodných zlepšení. QAIP zahrnuje posouzení: • Souladu s Definicí interního auditu, s Etickým kodexem a se Standardy, včetně včasných opatření navržených pro nápravu všech významných výskytů nesouladu.

103


• Adequacy of the internal audit activity’s charter, goals, objectives, policies, and procedures. • Contribution to the organization’s governance, risk management, and control processes. • Compliance with applicable laws, regulations, and government or industry standards. • Effectiveness of continuous improvement activities and adoption of best practices. • The extent to which the internal audit activity adds value and improves the organization’s operations.

Internal Assessments


1311 – Internal Assessments Internal assessments must include: • Ongoing monitoring of the performance of the internal audit activity; and • Periodic reviews performed through self-assessment or by other persons within the organization with sufficient knowledge of internal audit practices.

3. The QAIP efforts also include follow-up on recommendations involving appropriate and timely modification of resources, technology, processes, and procedures.

Interpretation: Ongoing monitoring is an integral part of the day-to-day supervision, review, and measurement of the internal audit activity. Ongoing monitoring is incorporated into the routine policies and practices used to manage the internal audit activity and uses processes, tools, and information considered necessary to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.

4. To provide accountability and transparency, the CAE communicates the results of external and, as appropriate, internal quality program assessments to the various stakeholders of the activity (such as senior management, the board, and external auditors). At least annually, the CAE reports to the senior management and board on the quality program efforts and results.

Periodic reviews are assessments conducted to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. Sufficient knowledge of internal audit practices requires at least an understanding of all elements of the International Professional Practices Framework. 1. The processes and tools used in ongoing internal assessments include: • Engagement supervision, • Checklists and procedures (e.g., in an audit and procedures manual) are being followed, • Feedback from audit customers and other stakeholders, • Selective peer reviews of workpapers by staff not involved in the respective audits, 104


• Přiměřenosti statutu interního auditu, jeho záměrů, cílů, zásad a postupů. • Přínosu k procesům řízení rizik, řízení a správy společnosti a řídicím a kontrolním procesům. • Souladu s platnými zákony, regulatorními normami a vládními a odvětvovými standardy. • Účinnosti průběžného zlepšování činností a používání nejlepší praxe. • Rozsahu, v jakém činnost interního auditu přináší přidanou hodnotu a zdokonaluje procesy ve společnosti.

Interní hodnocení


1311 – Interní hodnocení Interní hodnocení musí zahrnovat: • průběžné sledování výkonnosti funkce interního auditu, a • pravidelné prověrky prováděné prostřednictvím sebehodnocení nebo s využitím jiných osob v rámci společnosti, které mají dostatečné znalosti postupů interního auditu.

3. Provádění QAIP také zahrnuje následnou kontrolu doporučení, včetně vhodnosti a včasnosti modifikace zdrojů, technologií, procesů a postupů.

Interpretace: Průběžné sledování je nedílnou součástí každodenního dohledu (supervize), prověřování a měření činnosti interního auditu. Průběžné sledování je začleněno do běžných zásad a postupů používaných k řízení interního auditu; průběžné sledování používá procesy, nástroje a informace, které jsou považovány za nezbytné pro hodnocení souladu s Definicí interního auditu, Etickým kodexem a Standardy.

4. Pro zajištění zodpovědnosti a transparentnosti musí vedoucí interního auditu sdělovat výsledky externích, a pokud je to vhodné, také interních hodnocení programu kvality jednotlivým subjektům zainteresovaným na těchto činnostech (jako jsou vedení, orgány společnosti a externí auditoři). Nejméně jednou ročně předkládá vedoucí interního auditu vedení a orgánům společnosti zprávu o programu kvality a jeho výsledcích.

Pravidelné prověrky jsou definovány jako analýzy hodnotící soulad s Definicí interního auditu, s Etickým kodexem a se Standardy. Dostatečná znalost postupů interního auditu vyžaduje alespoň porozumění všem prvkům Mezinárodního rámce pro profesní praxi interního auditu. 1. Procesy a nástroje používané při průběžných interních hodnoceních zahrnují: • Dohled (supervizi) nad zakázkou. • Ověření, zda jsou kontrolní dotazníky a postupy (např. obsažené v manuálu auditních postupů) používány a dodržovány. 105

• Project budgets, timekeeping systems, audit plan completion, and cost recoveries, and/or • Analyses of other performance metrics (such as cycle time and recommendations accepted).

assessment takes the form of a self-assessment with independent validation, the periodic internal assessment can serve as the self-assessment portion of this process.

2. Conclusions are developed as to the quality of ongoing performance and follow-up action taken to ensure appropriate improvements are implemented.

6. Conclusions are developed as to quality of performance and appropriate action initiated to achieve improvements and conformity to the Standards, as necessary.

3. The IIA’s Quality Assessment Manual, or a comparable set of guidance and tools, should serve as the basis for periodic internal assessments.

7. The CAE establishes a structure for reporting results of internal assessments that maintains appropriate credibility and objectivity. Generally, those assigned responsibility for conducting ongoing and periodic reviews, report to the CAE while performing the reviews and communicate results directly to the CAE.

4. Periodic internal assessments may: • Include more in-depth interviews and surveys of stakeholder groups. • Be performed by members of the internal audit activity (self-assessment). • Be performed by Certified Internal Auditors (CIAs) or other competent audit professionals, currently assigned elsewhere in the organization. • Encompass a combination of self-assessment and preparation of materials subsequently reviewed by CIAs, or other competent audit professionals. • Include benchmarking of the internal audit activity’s practices and performance metrics against relevant best practices of the internal audit profession.

8. At least annually, the CAE reports the results of internal assessments, necessary action plans, and their successful implementation to senior management and the board.

5. A periodic internal assessment performed within a short time before an external assessment can serve to facilitate and reduce the cost of the external assessment. If the periodic internal assessment is performed by a qualified, independent external reviewer or review team, the assessment results should not communicate any assurances on the outcome of the subsequent external quality assessment. The report may offer suggestions and recommendations to enhance the internal audit activities’ practices. If the external 106

• Zpětnou vazbu od zákazníků auditu a ostatních zainteresovaných osob. • Prověření vzorku pracovní dokumentace pracovníky neúčastnícími se daného auditu. • Projektové rozpočty, systémy sledování času, plnění plánu auditů, úspory nákladů, a/nebo • Analýzy dalších výkonových ukazatelů (např. doba potřebná pro provedení zakázky, podíl přijatých doporučení).

cení a snížit jeho náklady. Pokud je pravidelné interní hodnocení provedeno kvalifikovaným a nezávislým externím hodnotitelem nebo hodnotícím týmem, neměly by výsledky hodnocení obsahovat žádná ujištění týkající se výsledku následného externího hodnocení kvality. Zpráva může obsahovat návrhy a doporučení ke zdokonalení postupů útvaru interního auditu. Pokud má externí hodnocení kvality formu sebehodnocení s nezávislým potvrzením (validací), může být pravidelné interní hodnocení použito v tomto hodnotícím procesu jako jeho sebehodnotící část.

2. Jsou učiněny závěry hodnotící kvalitu průběžného výkonu činností a jsou přijata následná opatření nezbytná pro dosažení vhodných zlepšení.

6. Musí být učiněny závěry týkající se kvality výkonu a, pokud je to nutné, musí být iniciována přiměřená opatření směřující k dosažení zlepšení a souladu se Standardy.

3. Jako základ pro pravidelná interní hodnocení slouží Manuál hodnocení kvality vydaný IIA (Quality Assessment Manual) nebo srovnatelný soubor postupů a nástrojů.

7. Vedoucí interního auditu vytváří takový systém pro předávání výsledků interních hodnocení kvality, který je trvale spolehlivý a objektivní. Obecně platí, že jednotlivci odpovědní za provádění průběžných a pravidelných hodnocení podávají při provádění těchto hodnocení zprávy vedoucímu interního auditu, kterému též přímo předávají výsledky hodnocení.

4. Pravidelná interní hodnocení mohou: • Zahrnovat větší počet hloubkových pohovorů a průzkumů mezi zainteresovanými subjekty. • Být prováděna pracovníky interního auditu (sebehodnocení). • Být prováděna držiteli osvědčení Certifikovaný interní auditor (CIA) nebo jinými způsobilými odborníky z oblasti auditu, kteří v daném okamžiku pracují na jiném pracovní místě v dané společnosti. • Zahrnovat kombinaci provedení sebehodnocení a přípravy dokumentů, které jsou následně posouzeny držiteli osvědčení CIA nebo jinými kompetentními odborníky z oblasti auditu. • Zahrnovat benchmarking postupů útvaru interního auditu a výkonových ukazatelů ve srovnání s odpovídající nejlepší praxí profese interního auditu.

8. Nejméně jednou ročně předává vedoucí interního auditu výsledky interních hodnocení, plánů nezbytných opatření a výsledky jejich úspěšné realizace vedení a orgánům společnosti.

5. Pravidelné interní hodnocení provedené krátce před externím hodnocením může usnadnit externí hodno107


de benchmarking, identification, and reporting of leading practices that could assist the internal audit activity in becoming more efficient and/or effective. This can be accomplished through either a full external assessment by a qualified, independent external reviewer or review team or a comprehensive internal self-assessment with independent validation by a qualified, independent external reviewer or review team. Nonetheless, the CAE is to ensure the scope clearly states the expected deliverables of the external assessment in each case.

External Assessments


1312 – External Assessments External assessments must be conducted at least once every five years by a qualified, independent reviewer or review team from outside the organization. The chief audit executive must discuss with the board: • The need for more frequent external assessments; and • The qualifications and independence of the external reviewer or review team, including any potential conflict of interest.

2. External assessments of an internal audit activity contain an expressed opinion as to the entire spectrum of assurance and consulting work performed (or that should have been performed based on the internal audit charter) by the internal audit activity, including its conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards and, as appropriate, includes recommendations for improvement. Apart from conformance with the Definition of Internal Auditing, the Code of Ethics, and Standards, the scope of the assessment is adjusted at the discretion of the CAE, senior management, or the board. These assessments can have considerable value to the CAE and other members of the internal audit activity, especially when benchmarking and best practices are shared.

Interpretation: A qualified reviewer or review team consists of individuals who are competent in the professional practice of internal auditing and the external assessment process. The evaluation of the competency of the reviewer and review team is a judgment that considers the professional internal audit experience and professional credentials of the individuals selected to perform the review. The evaluation of qualifications also considers the size and complexity of the organizations that the reviewers have been associated with in relation to the organization for which the internal audit activity is being assessed, as well as the need for particular sector, industry, or technical knowledge. An independent reviewer or review team means not having either a real or an apparent conflict of interest and not being a part of, or under the control of, the organization to which the internal audit activity belongs.

3. On completion of the review, a formal communication is to be given to senior management and the board.

1. External assessments cover the entire spectrum of audit and consulting work performed by the internal audit activity and should not be limited to assessing its QAIP. To achieve optimum benefits from an external assessment, the scope of work should inclu-

4. There are two approaches to external assessments. The first approach is a full external assessment conducted by a qualified, independent external reviewer or review team. This approach involves an outside team of competent professionals under the leadership of an experienced and professional project manager. 108


přínosů plynoucích z externího hodnocení, měl by rozsah práce zahrnovat benchmarking, identifikaci a sdělení informací týkajících se postupů nejlepší praxe, které mohou internímu auditu napomoci zvýšit svou účinnost a/nebo efektivnost. Tohoto cíle může být dosaženo prostřednictvím buď úplného externího hodnocení provedeného kvalifikovaným, nezávislým externím hodnotitelem nebo hodnotícím týmem, nebo prostřednictvím zevrubného interního sebehodnocení kombinovaného s nezávislou validací provedenou kvalifikovaným, nezávislým externím hodnotitelem nebo hodnotícím týmem. Vedoucí interního auditu musí nicméně zajistit, aby rozsah hodnocení vždy obsahoval jasné stanovení očekávaných výstupů z externího hodnocení.

Externí hodnocení


1312 – Externí hodnocení Externí hodnocení musí být provedeno minimálně jednou za pět let odborně způsobilým a nezávislým externím hodnotitelem nebo externím hodnotícím týmem. Vedoucí interního auditu musí s orgány společnosti projednat: • potřebu častějších externích hodnocení, • odbornou způsobilost a nezávislost externího hodnotitele nebo hodnotícího týmu, včetně jakéhokoli možného konfliktu zájmů. Interpretace: Odborně způsobilý hodnotitel nebo hodnotící tým sestává z jednotlivců, kteří jsou způsobilí v oblasti profesní praxe interního auditu a v procesu externího ohodnocení. Zhodnocení způsobilosti hodnotitele nebo hodnotícího týmu je výsledkem úsudku, který bere v potaz profesní zkušenosti z oblasti interního auditu a profesní oprávnění jednotlivců vybraných k provedení hodnocení. Posouzení odborné způsobilosti bere také v úvahu velikost a složitost společností, ve kterých tito hodnotitelé působili, a to v porovnání se společností, ve které je prováděno hodnocení činnosti interního auditu. Dále bere také v úvahu požadavky příslušného sektoru, oboru podnikání nebo požadavky na technické znalosti.

2. Součástí externích hodnocení činností interního auditu je vyjádření názoru na ucelené spektrum ujišťovacích a poradenských činností prováděných interním auditem (nebo těch činností, které měly být provedeny v souladu se statutem interního auditu), včetně jejich souladu s Definicí interního auditu, s Etickým kodexem a se Standardy. Pokud je to vhodné externí hodnocení zahrnují doporučení vedoucí ke zlepšení. S výjimkou hodnocení souladu s Definicí interního auditu, s Etickým kodexem a se Standardy, rozsah hodnocení lze modifikovat dle požadavků vedoucího interního auditu, vedení nebo orgánů společnosti. Tato hodnocení mohou mít pro vedoucího interního auditu a ostatní pracovníky interního auditu velkou hodnotu zejména pokud jsou výsledky benchmarkingu a postupy nejlepší praxe vzájemně sdíleny.

Nezávislost hodnotitele nebo hodnotícího týmu znamená, že nejsou ve skutečném ani zdánlivém konfliktu zájmů a že nejsou součástí nebo nejsou ve sféře vlivu společnosti, k níž náleží funkce interního auditu.

3. Po dokončení hodnocení musí být výsledky předány vedení a orgánům společnosti v podobě formální zprávy.

1. Externí hodnocení zahrnují celé spektrum auditních a poradenských prací prováděných útvarem interního auditu a neměla by být omezena jen na hodnocení Programu pro zabezpečení a zvyšování kvality interního auditu (QAIP). Aby bylo dosaženo optimálních

4. Existují dva přístupy k provádění externích hodnocení. První přístup zahrnuje ucelené externí hodnocení provedené kvalifikovaným nezávislým hodnotitelem 109

The second approach involves the use of a qualified, independent external reviewer or review team to conduct an independent validation of the internal self-assessment and a report completed by the internal audit activity. Independent external reviewers should be well versed in leading internal audit practices.

viewer may have due to present or past relationships with the organization or its internal audit activity, including the reviewer’s participation in internal quality assessments. • Individuals in another department of the subject organization or in a related organization, although organizationally separate from the internal audit activity, are not considered independent for purposes of conducting an external assessment. A “related organization” may be a parent organization; an affiliate in the same group of entities; or an entity with regular oversight, supervision, or quality assurance responsibilities with respect to the subject organization. • Real or apparent conflict involving peer review arrangements. Peer review arrangements between three or more organizations (e.g., within an industry or other affinity group, regional association, or other group of organizations –– except as precluded by the “related organization” definition in the previous point) may be structured in a manner that alleviates independence concerns, but care is taken to ensure that the issue of independence does not arise. Peer reviews between two organizations would not pass the independence test. • To overcome concerns of the appearance or reality of impairment of independence in instances such as those discussed in this section, one or more independent individuals could be part of the external assessment team to independently validate the work of that external assessment team.

5. Individuals who perform the external assessment are free from any obligation to, or interest in, the organization whose internal audit activity is the subject of the external assessment or the personnel of such organization. Particular matters relating to independence, which are to be considered by the CAE in consultation with the board, ¬in selecting a qualified, independent external reviewer or review team, include: • Any real or apparent conflict of interest of firms that provide: The external audit of financial statements. • Significant consulting services in the areas of governance, risk management, financial reporting, internal control, and other related areas. • Assistance to the internal audit activity. The significance and amount of work performed by the professional service provider is to be considered in the deliberation. • Any real or apparent conflict of interest of former employees of the organization who would perform the assessment. Consideration should be given to the length of time the individual has been independent of the organization. • Individuals who perform the assessment are independent of the organization whose internal audit activity is the subject of the assessment and do not have any real or apparent conflict of interest. “Independent of the organization” means not a part of, or under the control of, the organization to which the internal audit activity belongs. In the selection of a qualified, independent external reviewer or review team, consideration is to be given to any real or apparent conflict of interest the re-

6. Integrity requires reviewer(s) to be honest and candid within the constraints of confidentiality. Service and the public trust should not be subordinated to personal gain and advantage. Objectivity is a state of mind and a quality that lends value to a reviewer(s) services. The principle of objectivity imposes the obligation to be impartial, intellectually honest, and free of conflict of interest.

110

nebo hodnotícím týmem. Tento přístup využívá externího týmu kompetentních odborníků pracujících pod vedením zkušeného a profesně zdatného projektového vedoucího. Druhý přístup zahrnuje využití kvalifikovaného nezávislého externího hodnotitele nebo hodnotícího týmu, který provádí nezávislé potvrzení (validaci) interního sebehodnocení a zprávy připravené útvarem interního auditu. Nezávislí externí hodnotitelé by měli být zkušení v oblasti nejlepší praxe interního auditu.

jmu. „Nezávislost na společnosti“ znamená nebýt součástí nebo pod kontrolou společnosti, ve které je útvar interního auditu zařazen. Při výběru kvalifikovaného, nezávislého externího hodnotitele nebo hodnotícího týmu je nutné vzít v úvahu jakýkoliv skutečný nebo zdánlivý konfliktu zájmu, který by mohl hodnotitel mít s ohledem na současný nebo minulý vztah ke společnosti nebo jejímu internímu auditu, včetně účasti hodnotitele na interním hodnocení kvality interního auditu. • Jednotlivci pracující v jiném oddělení předmětné společnosti nebo ve spřízněné společnosti, ačkoli jsou organizačně odděleni od interního auditu, nejsou pro účely provádění externího hodnocení považovány za nezávislé. „Spřízněnou společností“ může být mateřská společnost, přidružená společnost v rámci jedné skupiny subjektů nebo společnost vykonávající pravidelný dohled, supervizi nebo mající odpovědnost za hodnocení kvality ve vztahu k předmětné společnosti. • Skutečný nebo zdánlivý konfliktu zájmu v rámci dohod o provádění ověření tzv. peer review. Dohody o provádění ověření uzavřené mezi třemi nebo více společnostmi (např. v rámci odvětví nebo jiné spřízněné skupiny, regionálního uskupení nebo jiné skupiny společností – vyjma „spřízněné společnosti“ definované v předcházejícím bodu) mohou být strukturovány tak, aby byly minimalizovány obavy z možné závislosti, nicméně je třeba věnovat péči tomu, aby se problém nezávislosti vůbec neobjevil. Ověření navzájem prováděné mezi dvěma společnostmi nesplňují podmínku nezávislosti. • Aby byly vyloučeny obavy plynoucí ze zdánlivého nebo skutečného narušení nezávislosti v případech uvedených v této části, externí hodnotící tým může mít ve svém středu jednoho nebo více nezávislých jednotlivců, jejichž úkolem je provedení nezávislého ověření (validace) práce externího hodnotícího týmu.

5. Jednotlivci provádějící externí hodnocení nemají vůči společnosti, jejíž interní audit je předmětem externího hodnocení, žádné závazky ani nejsou v ní jinak zainteresováni. Rovněž nemají žádné závazky vůči pracovníkům této společnosti ani nejsou vůči nim jinak zainteresováni. Při výběru kvalifikovaného a nezávislého hodnotitele nebo hodnotícího týmu musí vedoucí interního auditu, po konzultaci s orgány společnosti, vzít v úvahu následující konkrétní záležitosti související s jeho nezávislostí: • Jakýkoliv skutečný nebo zdánlivý konfliktu zájmu společností, které poskytují: • Externí audit finančních výkazů. • Významné poradenské služby v oblasti správy a řízení společnosti, řízení rizik, finančního výkaznictví, vnitřního řídicího a kontrolního systému a v ostatních souvisejících oblastech. • Podporu útvaru interního auditu. Při zvažování této otázky musí být vzat v úvahu význam a rozsah prací prováděných poskytovatelem odborných služeb. • Jakýkoliv skutečný nebo zdánlivý konflikt zájmu bývalých zaměstnanců společnosti, kteří by prováděli toto hodnocení. Zvážena by měla být délka období, po kterou jsou bývalí zaměstnanci na organizaci již nezávislí. • Jednotlivci, provádějící hodnocení jsou nezávislí na společnosti, jejíž interní audit je předmětem hodnocení, a nemají jakýkoliv skutečný nebo zdánlivý konflikt zá-

6. Integrita vyžaduje, aby hodnotitelé jednali čestně a nestranně v rámci dodržení důvěrnosti. Služba a důvěra veřejnosti by neměly být podřízeny osobní111

7. Performing and communicating the results of an external assessment require the exercise of professional judgment. Accordingly, an individual serving as an external reviewer should:

• Conformance with the Definition of Internal Auditing; the Code of Ethics; and the Standards; and the internal audit activity’s charter, plans, policies, procedures, practices, and applicable legislative and regulatory requirements, • Expectations of the internal audit activity expressed by the board, senior management, and operational managers, • Integration of the internal audit activity into the organization’s governance process, including the relationships between and among the key groups involved in the process, • Tools and techniques employed by the internal audit activity, • Mix of knowledge, experience, and disciplines within the staff, including staff focus on process improvement, and • Determination as to whether or not the internal audit activity adds value and improves the organization’s operations.

• Be a competent, certified internal audit professional who possesses current, in-depth knowledge of the Standards. • Be well versed in the best practices of the profession. • Have at least three years of recent experience in the practice of internal auditing or related consulting at a management level. Leaders of independent review teams and external reviewers who independently validate the results of the self-assessment should have an additional level of competence and experience gained from working previously as a team member on an external quality assessment, successful completion of The IIA’s quality assessment training course or similar training, and CAE or comparable senior internal audit management experience.

11. The preliminary results of the review are discussed with the CAE during, and at the conclusion of, the assessment process. Final results are communicated to the CAE, or other official, who authorized the review for the organization, preferably with copies sent directly to appropriate members of senior management and the board.

8. The reviewer(s) should possess relevant technical expertise and industry experience. Individuals with expertise in other specialized areas may assist the team. For example, specialists in enterprise risk management, IT auditing, statistical sampling, operations monitoring systems, or control self-assessment may participate in certain segments of the assessment.

12. The communication includes:

9. The CAE involves senior management and the board in selecting the approach and selection of an external quality assessment provider.

• An opinion on the internal audit activity’s conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards based on a structured rating process. The term “conformance” means the practices of the internal audit activity, taken as a whole, satisfy the requirements of the Definition of Internal Auditing, the Code of Ethics, and the Standards. Similarly, “nonconformance” means the impact and severity of

10. The external assessment consists of a broad scope of coverage that includes the following elements of the internal audit activity:

112

mu prospěchu a výhodám. Objektivita je stav mysli a kvalita, která službám hodnotitelů přidává hodnotu. Princip objektivity ukládá povinnost být nestranný, intelektuálně čestný a nemít konflikt zájmu.

ného výběru externího hodnotitele vyšší management a orgány společnosti. 10. Externí hodnocení zahrnuje širokou oblast pokrývající následující prvky činností interního auditu:

7. Provádění externího hodnocení a předávání jeho výsledků vyžaduje používání profesního úsudku. Z toho vyplývá, že externí hodnotitel by měl:

• Soulad s Definicí interního auditu, s Etickým kodexem a se Standardy, se statutem interního auditu, s plány, zásadami, postupy, a příslušnými legislativními a regulatorními požadavky. • Očekávání orgánů společnosti, jejího vedení a provozních manažerů ohledně činnosti interního auditu. • Začlenění interního auditu do procesu řízení a správy společnosti, včetně vztahů mezi jednotlivými klíčovými skupinami zúčastněnými v tomto procesu. • Nástroje a postupy používané útvarem interního auditu. • Soubor znalostí, zkušeností a kázně pracovníků interního auditu, včetně jejich zaměření na zdokonalování procesů. • Zhodnocení, zda interní audit přidává hodnotu a zdokonaluje procesy ve společnosti či nikoliv.

• Být kvalifikovaný, certifikovaný odborník z oblasti interního auditu, který disponuje aktuální a podrobnou znalostí Standardů. • Být zkušený v nejlepší praxi dané profese. • Mít alespoň tři roky předchozí praxe v interním auditu nebo v podobných poradenských službách, a to na manažerské úrovni. Vedoucí nezávislých hodnotících týmů a externí hodnotitelé, kteří provádějí nezávislé ověření (validaci) sebehodnocení, by navíc měli mít kompetence a zkušenosti, které získali jako členové týmu při předchozí účasti na externím hodnocení, v rámci úspěšného dokončení školícího kurzu hodnocení kvality organizovaném IIA nebo v rámci obdobného kurzu. Zároveň by vedoucí týmu měli mít zkušenosti z pozice vedoucího interního auditu nebo jiné srovnatelné seniorské řídicí funkce v oblasti interního auditu.

11. Předběžné výsledky hodnocení jsou projednány s vedoucím interního auditu v průběhu procesu hodnocení a v jeho závěru. Konečné výsledky jsou předány vedoucímu interního auditu nebo jinému vedoucímu pracovníkovi, který schválil v dané společnosti provedení hodnocení. Kopie hodnocení by měly být zaslány přímo odpovídajícím členům vedení a orgánům společnosti.

8. Hodnotitelé by měli mít odpovídající technické znalosti a zkušenosti v příslušném odvětví. Odborníci se znalostmi v dalších specializovaných oblastech mohou týmu pomáhat. Např. specialisté z oblasti systémů řízení rizik, auditu informačních technologií, výběru statistických vzorků, systému provozního monitorování nebo z oblasti sebehodnocení řídicích a kontrolních mechanismů se mohou účastnit určitých částí hodnocení.

12. Zpráva zahrnuje následující: • Názor na soulad činnosti interního auditu s Definicí interního auditu, s Etickým kodexem a se Standardy založený na strukturovaném procesu hodnocení. Termín „soulad“ znamená, že postupy interního auditu jako celek splňují požadavky Definice interního auditu, Etic-

9. Vedoucí interního auditu zapojí do procesu výběru způsobu provedení externího hodnocení a do samot113


the deficiencies in the practices of the internal audit activity are so significant they impair the internal audit activity’s ability to discharge its responsibilities. The degree of “partial conformance” with the Definition of Internal Auditing, the Code of Ethics, and/or individual Standards, if relevant to the overall opinion, should also be expressed in the report on the independent assessment. The expression of an opinion on the results of the external assessment requires the application of sound business judgment, integrity, and due professional care. • An assessment and evaluation of the use of best practices, both those observed during the assessment and others potentially applicable to the activity. • Recommendations for improvement, where appropriate. • Responses from the CAE that include an action plan and implementation dates.

External Assessments: Self-assessment with Independent Validation Primary Related Standard

1312 – External Assessments External assessments must be conducted at least once every five years by a qualified, independent reviewer or review team from outside the organization. The chief audit executive must discuss with the board: • The need for more frequent external assessments; and • The qualifications and independence of the external reviewer or review team, including any potential conflict of interest. Interpretation: A qualified reviewer or review team consists of individuals who are competent in the professional practice of internal auditing and the external assessment process. The evaluation of the competency of the reviewer and review team is a judgment that considers the professional internal audit experience and professional credentials of the individuals selected to perform the review. The evaluation of qualifications also considers the size and complexity of the organizations that the reviewers have been associated with in relation to the organization for which the internal audit activity is being assessed, as well as the need for particular sector, industry, or technical knowledge.

13. To provide accountability and transparency, the CAE communicates the results of external quality assessments, including specifics of planned remedial actions for significant issues and subsequent information as to accomplishment of those planned actions, with the various stakeholders of the activity, such as senior management, the board, and external auditors. Translation note: Added paragraph #4 above was extracted from PPF PA 1310-1 paragraphs #4.

An independent reviewer or review team means not having either a real or an apparent conflict of interest and not being a part of, or under the control of, the organization to which the internal audit activity belongs. 1. An external assessment by a qualified, independent reviewer or review team may be troublesome for smaller internal audit activities or there may be circumstances in other organizations where a full 114


kého kodexu a Standardů. Obdobně „nesoulad“ znamená, že důsledky a závažnost nedostatků nalezených v postupech interního auditu jsou natolik významné, že narušují schopnost interního auditu plnit své odpovědnosti. Označení „částečný soulad“ s Definicí interního auditu, s Etickým kodexem a s jednotlivými Standardy, pokud je to relevantní vzhledem k celkovému názoru, by též mělo být využito ve zprávě z nezávislého hodnocení. Vyjádření názoru na výsledky externího hodnocení je založeno na aplikaci zralého podnikatelského úsudku, integrity a náležité profesní péče. • Posouzení a hodnocení používání nejlepší praxe, které byly pozorovány během hodnocení, tak i dalších, které se mohou činností interního auditu potenciálně týkat. • Doporučení ke zlepšení v oblastech, kde je to potřebné. • Vyjádření vedoucího interního auditu, které obsahuje plán opatření a termíny jejich zavedení.

Externí hodnocení: Sebehodnocení s nezávislým potvrzením/validací Související standard

1312 – Externí hodnocení Externí hodnocení musí být provedeno minimálně jednou za pět let odborně způsobilým a nezávislým externím hodnotitelem nebo externím hodnotícím týmem. Vedoucí interního auditu musí s orgány společnosti projednat: • potřebu častějších externích hodnocení, • odbornou způsobilost a nezávislost externího hodnotitele nebo hodnotícího týmu, včetně jakéhokoli možného konfliktu zájmů. Interpretace: Odborně způsobilý hodnotitel nebo hodnotící tým sestává z jednotlivců, kteří jsou způsobilí v oblasti profesní praxe interního auditu a v procesu externího ohodnocení. Zhodnocení způsobilosti hodnotitele nebo hodnotícího týmu je výsledkem úsudku, který bere v potaz profesní zkušenosti z oblasti interního auditu a profesní oprávnění jednotlivců vybraných k provedení hodnocení. Posouzení odborné způsobilosti bere také v úvahu velikost a složitost společností, ve kterých tito hodnotitelé působili, a to v porovnání se společností, ve které je prováděno hodnocení činnosti interního auditu. Dále bere také v úvahu požadavky příslušného sektoru, oboru podnikání nebo požadavky na technické znalosti.

13. Z hlediska zajištění zodpovědnosti a transparentnosti předává vedoucí interního auditu výsledky externích hodnocení kvality, včetně podrobností týkajících se plánovaných nápravných opatření v oblastech významných problémů a následné informace o plnění těchto plánovaných opatření, osobám zainteresovaným na činnosti interního audit, kterými jsou např. vedení, orgány společnosti a externí auditoři.

Nezávislost hodnotitele nebo hodnotícího týmu znamená, že nejsou ve skutečném ani zdánlivém konfliktu zájmů a že nejsou součástí nebo nejsou ve sféře vlivu společnosti, k níž náleží funkce interního auditu. 1. Provedení externího hodnocení s využitím kvalifikovaného, nezávislého hodnotitele nebo hodnotícího týmu může být obtížné pro menší útvary interního au115

external assessment by an independent team is not deemed appropriate or necessary. For example, the internal audit activity may (a) be in an industry subject to extensive regulation and/or supervision, (b) be otherwise subject to extensive external oversight and direction relating to governance and internal controls, (c) have been recently subjected to external review(s) and/or consulting services in which there was extensive benchmarking with best practices, or (d) in the judgment of the CAE, the benefits of selfassessment for staff development and the strength of the internal QAIP currently outweigh the benefits of a quality assessment by an external team.

• Independence, integrity and objectivity, competence, approval by management and the board, scope (except for areas such as employment of tools, techniques, other best practices, career development, and value-adding activities). • Communication of results (including remedial actions and their accomplishments).

2. A self-assessment with independent [external] validation includes:

5. A qualified, independent reviewer or review team performs sufficient tests of the self-assessment so as to validate the results and express the indicated level of the activity’s conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. The independent validation follows the process outlined in The IIA’s Quality Assessment Manual or a similar comprehensive process.

4. A team under the direction of the CAE performs and fully documents the self-assessment process. A draft report, similar to that for an external assessment, is prepared including the CAE’s judgment on conformance with the Standards.

• A comprehensive and fully documented self-assessment process, which emulates the external assessment process, at least with respect to evaluation of conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. • An independent, on-site validation by a qualified, independent reviewer. • Economical time and resource requirements –– e.g., the primary focus would be on conformance with the Standards. • Limited attention to other areas –– such as benchmarking, review and consultation as to employment of leading practices, and interviews with senior and operating management — may be reduced. However, the information produced by these parts of the assessment is one of the benefits of an external assessment.

6. As part of the independent validation, the independent external reviewer — upon completion of the independent validation, including a rigorous review of the self-assessment team’s evaluation of conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards: • Reviews the draft report and attempts to reconcile unresolved issues (if any). • If in agreement with the opinion of conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standardsadds wording (as needed) to the report, concurring with the self-assessment process and opinion and –– to the extent deemed appropriate –– in the report’s findings, conclusions, and recommendations.

3. The same guidance and criteria as set forth in Practice Advisory 1312-1 would apply for: • General considerations. • Qualifications of the external reviewer or review team. 116

ditu. V jiných společnostech mohou případně nastat okolnosti, za kterých není ucelené externí hodnocení nezávislým týmem považováno za potřebné a nezbytné. Např. interní audit (a) se může nacházet v odvětví, na které je aplikován rozsáhlý dohled a supervize, (b) může být i jinak předmětem rozsáhlého externího dohledu a dozoru v oblasti řízení a správy společnosti a vnitřního řídicího a kontrolního systému, (c) mohl být v nedávné době podroben externímu hodnocení a/nebo mu byly poskytnuty poradenské služby, jejichž součástí byl rozsáhlý benchmarking a porovnání s nejlepší praxí nebo (d) vedoucího interního auditu může usoudit, že přínosy sebehodnocení z hlediska rozvoje pracovníků interního auditu a důležitost interního QAIP v současné době převyšují přínosy hodnocení kvality provedeného externím týmem.

• Obecných posouzení/úvah. • Kvalifikace externího hodnotitele nebo hodnotícího týmu. • Nezávislosti, integrity a objektivity, způsobilosti, souhlasu vedení a orgánů společnosti a rozsah (s výjimkou oblastí jako je využívání nástrojů, postupů, dalšího uplatnění nejlepší praxe, profesního rozvoje a činností přinášejících přidanou hodnotu). • Sdělování výsledků (včetně nápravných opatření a jejich plnění).

2. Sebehodnocení s nezávislým [externím] potvrzením (validací) zahrnuje:

5. Kvalifikovaný a nezávislý hodnotitel nebo hodnotící tým provede dostatečné testování tohoto sebehodnocení, a to takovým způsobem, aby ověřil jeho výsledky a vyjádřil rozsah v jakém je činnost interního auditu v souladu s Definicí interního auditu, s Etickým kodexem a se Standardy. Toto nezávislé ověření je prováděno dle procesu uvedeného v Manuálu hodnocení kvality vydaném IIA (Quality Assessment Manual) nebo dle podobného uceleného procesu.

4. Tým pod vedením vedoucího interního auditu provede a plně zdokumentuje proces sebehodnocení. Je připraven návrh zprávy, podobný zprávě z externího hodnocení a tato zpráva zahrnuje výrok vedoucího interního auditu ohledně souladu se Standardy.

• Ucelený a plně zdokumentovaný proces sebehodnocení, který je podobný procesu externího hodnocení, alespoň s ohledem na hodnocení souladu s Definicí interního auditu, s Etickým kodexem a se Standardy. • Nezávislé ověření provedené na místě kvalifikovaným hodnotitelem. • Hospodárnost vynaložení času a zdrojů – např. hlavním cílem je soulad se Standardy. • Omezenou pozornost věnovanou ostatním oblastem – jako je například benchmarking, posouzení a poradenství související s uplatněním nejlepší praxe a pohovory s vedením společnosti a provozními vedoucími. Pozornost věnovaná těmto oblastem může být snížena, nicméně informace získané v těchto částech zakázky jsou jedním z přínosů externího hodnocení.

6. Jako součást nezávislého ověření, nezávislý externí hodnotitel – po ukončení nezávislého ověření, které obsahuje důkladné posouzení hodnocení provedeného sebehodnotícím týmem v oblasti souladu s Definicí interního auditu, s Etickým kodexem a se Standardy: • Posoudí návrh zprávy a postup při řešení nedořešených záležitostí (pokud se takové vyskytly). • Pokud souhlasí s výrokem ohledně souladu s Definicí interního auditu, s Etickým kodexem a se Standardy doplní (dle potřeby) do zprávy text vyjadřující souhlas s procesem sebehodnocení a s celkovým výrokem

3. Stejné požadavky a kritéria uvedená v Doporučení pro praxi 1312-1 budou také platit pro oblast:

117


• If not in agreement with the evaluation, adds dissenting wording to the report, specifying the points of disagreement with it and –– to the extent deemed appropriate –– with the significant findings, conclusions, recommendations, and opinions in the report. • Alternatively, may prepare a separate independent validation report –– concurring or expressing disagreement as outlined above –– to accompany the report of the self-assessment.

Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” Primary Related Standard

1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” The chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program support this statement.

7. The final report(s) of the self-assessment with independent validation is signed by the self-assessment team and the qualified, independent external reviewer(s) and issued by the CAE to senior management and the board.

1. Ongoing monitoring and external and internal assessments of an internal audit activity are performed to evaluate and express an opinion as to the internal audit activity’s conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards and, as appropriate, should include recommendations for improvement.

8. To provide accountability and transparency, the CAE communicates the results of external quality assessments –– including specifics of planned remedial actions for significant issues and subsequent information as to accomplishment of those planned actions –– with the various stakeholders of the activity, such as senior management, the board, and external auditors.

2. External assessments are required to be performed every five years. 3. The phrase to be used may be: “in conformance with the Standards,” or “in conformity to the Standards.” To use one of these phrases, an external assessment is required at least once during each five-year period, along with ongoing monitoring and periodic internal assessments and these activities have concluded that the internal audit activity is in conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. Initial use of the conformance phrase is not appropriate until an external review has demonstrated that the internal audit activity is in conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. 118


a v přiměřeném rozsahu doplní i souhlas se zjištěními, závěry a doporučeními uvedenými ve této zprávě. • Pokud nesouhlasí s tímto hodnocením, doplní do zprávy text vyjadřující nesouhlasné stanovisko specifikující body, se kterými nesouhlasí a v přiměřeném rozsahu doplní i nesouhlas s významnými zjištěními, závěry, doporučeními a s výroky uvedenými v této zprávě. • Alternativně může po ukončení ověřování připravit samostatnou nezávislou zprávu, ve které vyjadřuje souhlas nebo nesouhlas způsobem uvedeným výše a která je přiložena ke zprávě ze sebehodnocení.

Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ Související standard

1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ Vedoucí interního auditu může deklarovat, že činnost interního auditu je v souladu s Mezinárodními standardy pro profesní praxi interního auditu, pouze pokud výsledky programu pro zabezpečení a zvyšování kvality tuto deklaraci podporují.

7. Závěrečná(é) zpráva(y) ze sebehodnocení s nezávislým ověřením je(jsou) podepsána(y) týmem, který provedl sebehodnocení a nezávislým(i) externím(i) hodnotitelem(li) a vedoucí interního auditu ji(je) předá vedení a orgánům společnosti.

1. Průběžné sledování a externí i interní hodnocení činnosti interního auditu se provádí za účelem zhodnocení a vyjádření názoru na soulad činnosti interního auditu s Definicí interního auditu, s Etickým kodexem a se Standardy, a pokud je to vhodné, měla by součástí těchto aktivit být i doporučení ke zlepšení.

8. Z hlediska zajištění zodpovědnosti a transparentnosti, vedoucí interního auditu předává výsledky externích hodnocení kvality, včetně podrobností týkajících se plánovaných nápravných opatření v oblastech významných problémů a následné informace o plnění těchto plánovaných opatření, osobám zainteresovaným na činnosti interního auditu, kterými jsou např. vedení, orgány společnosti a externí auditoři.

2. Externí hodnocení musí být prováděna jednou za pět let. 3. Může být použito slovní vyjádření: „v souladu se Standardy“ nebo „ve shodě se Standardy“. Podmínkou použití jednoho z těchto vyjádření je provedení externího hodnocení alespoň jednou za pět let a provádění průběžného sledování a pravidelného interního hodnocení. Další podmínkou použití uvedeného vyjádření je, aby závěrem všech těchto aktivit bylo, že činnost interního auditu je v souladu s Definicí interního auditu, Etickým kodexem a se Standardy. Výraz týkající se souladu nelze použít dokud externí posouzení neprokázalo, že interní audit je v souladu s Definicí interního auditu, s Etickým kodexem a se Standardy.

119


4. The chief audit executive (CAE) discloses instances of nonconformance that impact the overall scope or operation of the internal audit activity, including failure to obtain an external assessment within a fiveyear period, to senior management and the board.

Linking the Audit Plan to Risk and Exposures Primary Related Standard


5. Before the internal audit activity’s use of the conformance phrase, any instances of nonconformance that have been disclosed by a quality assessment (internal or external) which impair the internal audit activity’s ability to discharge its responsibilities:

Interpretation: The chief audit executive is responsible for developing a riskbased plan. The chief audit executive takes into account the organization’s risk management framework, including using risk appetite levels set by management for the different activities or parts of the organization. If a framework does not exist, the chief audit executive uses his/her own judgment of risks after consultation with senior management and the board.

• Must be adequately remedied, • Remedial actions are documented and reported to the relevant assessor(s) to obtain concurrence that the nonconformance has been adequately remedied, and • Remedial actions and agreement of the relevant assessor(s) therewith are reported to senior management and the board.

1. In developing the internal audit activity’s audit plan, many chief audit executives (CAEs) find it useful to first develop or update the audit universe. The audit universe is a list of all the possible audits that could be performed. The CAE may obtain input on the audit universe from senior management and the board. 2. The audit universe can include components from the organization’s strategic plan. By incorporating components of the organization’s strategic plan, the audit universe will consider and reflect the overall business’ objectives. Strategic plans also likely reflect the organization’s attitude toward risk and the degree of difficulty to achieving planned objectives. The audit universe will normally be influenced by the results of the risk management process. The organization’s strategic plan considers the environment in which the organization operates. These same environmental factors would likely impact the audit universe and assessment of relative risk. 120

DOPORUČENÍ PRO PRAXI 2010–1:

4. Vedoucí interního auditu sdělí vedení a orgánům společnosti skutečnost ohledně případu nesouladu, který má vliv na celkový rozsah působnosti nebo na činnost interního auditu, včetně nemožnosti v průběhu pětiletého období provést externí hodnocení.

Spojení plánu auditů s riziky a mírou rizik, jimž je společnost vystavena Související standard

2010 – Plánování Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu.

5. Předtím, než interní audit použije výraz o souladu, každý případ nesouladu, který byl nalezen v rámci hodnocení kvality (interního nebo externího) a který narušuje schopnost interního auditu plnit své odpovědnosti:

Interpretace: Vedoucí interního auditu je odpovědný za vytvoření plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije své vlastní posouzení rizik.

• Musí být odpovídajícím způsobem napraven. • Nápravná opatření jsou zdokumentována a oznámena příslušnému hodnotiteli, aby byl získán souhlas, že tento nesoulad byl odpovídajícím způsobem odstraněn. • Nápravná opatření spolu se souhlasným stanoviskem příslušného hodnotitele jsou sdělena vedení a orgánům společnosti.

1. Při přípravě plánu zakázek interního auditu, řada vedoucích interního auditu považuje za užitečné nejprve připravit nebo aktualizovat „audit universe“. „Audit universe“ je seznam všech možných auditů které by mohly být provedeny. Vedoucí interního auditu může od vedení a orgánu společnosti obdržet vstupy týkající se „audit universe“. 2. “Audit universe” může zahrnovat jednotlivé prvky strategického plánu společnosti. Díky začlenění prvků strategického plánu společnosti bude “audit universe” brát v úvahu a odrážet cíle celé společnosti. Strategické plány také velmi často obsahují postoj společnosti vůči rizikům a míru obtížnosti dosažení plánovaných cílů. Za normálních okolností bude “audit universe” ovlivněn výsledky procesu řízení rizik. Strategický plán společnosti bere v úvahu prostředí, ve kterém společnost podniká. Složky tohoto prostředí mohou

121


3. The CAE prepares the internal audit activity’s audit plan based on the audit universe, input from senior management and the board, and an assessment of risk and exposures affecting the organization. Key audit objectives are usually to provide senior management and the board with assurance and information to help them accomplish the organization’s objectives, including an assessment of the effectiveness of management’s risk management activities.

Using the Risk Management Process in Internal Audit Planning Primary Related Standard


4. The audit universe and related audit plan are updated to reflect changes in management direction, objectives, emphasis, and focus. It is advisable to assess the audit universe on at least an annual basis to reflect the most current strategies and direction of the organization. In some situations, audit plans may need to be updated more frequently (e.g., quarterly) in response to changes in the organization’s business, operations, programs, systems, and controls.

Interpretation: The chief audit executive is responsible for developing a riskbased plan. The chief audit executive takes into account the organization’s risk management framework, including using risk appetite levels set by management for the different activities or parts of the organization. If a framework does not exist, the chief audit executive uses his/her own judgment of risks after consultation with senior management and the board. 1. Risk management is a critical part of providing sound governance that touches all the organization’s activities. Many organizations are moving to adopt consistent and holistic risk management approaches that should, ideally, be fully integrated into the management of the organization. It applies at all levels — enterprise, function, and business unit — of the organization. Management typically uses a risk management framework to conduct the assessment and document the assessment results.

5. Audit work schedules are based on, among other factors, an assessment of risk and exposures. Prioritizing is needed to make decisions for applying resources. A variety of risk models exist to assist the CAE. Most risk models use risk factors such as impact, likelihood, materiality, asset liquidity, management competence, quality of and adherence to internal controls, degree of change or stability, timing and results of last audit engagement, complexity, and employee and government relations.

2. An effective risk management process can assist in identifying key controls related to significant inherent risks. Enterprise risk management (ERM) is a term in common use. The Committee of Sponsoring Organizations (COSO) of the Treadway Commission defines ERM as “a process, effected by an entity’s board of directors, management, and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect 122


mít často vliv na „audit universe“ a na vyhodnocení míry relativního rizika.

Využití procesu řízení rizik při plánování interního auditu

3. Vedoucí interního auditu připravuje plán činnosti interního auditu na základě „audit universe“, vstupů od vedení a orgánů společnosti a na základě vyhodnocení rizik a míry rizik, kterým je společnost vystavena a která ji ovlivňují. Klíčovým cílem auditu je obvykle poskytnout vedení a orgánům společnosti ujištění a informace napomáhající splnění cílů společnosti, včetně vyhodnocení účinnosti kroků managementu při řízení rizik.


2010 – Plánování Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu. 1. Řízení rizik je stěžejní součástí řádného řízení a správy společnosti, které se dotýká všech činností společnosti. Mnoho společností začíná uplatňovat důsledné a ucelené postupy řízení rizik, které by měly být v ideálním případě zcela začleněny do řízení společnosti na všech jejích úrovních – na úrovni podniku, jednotlivých hlavních činností a organizační jednotky. Vedení většinou používá rámec řízení rizik k provádění vyhodnocení a k dokumentování jeho výsledků.

4. „Audit universe“ a související plán auditů jsou aktualizovány tak, aby odrážely změny ve směrech řízení, cílech, důrazu a zaměření. Vyhodnocení „audit universe“ je vhodné provádět alespoň jednou ročně tak, aby v podstatné míře odráželo současně používané strategie a směřování dané společnosti. Za určitých situací, v reakci na změny v podnikatelském prostředí, postupech, plánech, systémech a řídicích a kontrolních mechanismech dané společnosti, může být vyžadováno, aby plán auditů byl aktualizován častěji (např. čtvrtletně).

2. Účinný proces řízení rizik může napomáhat při identifikaci klíčových řídicích a kontrolních mechanismů týkajících se významných inherentních rizik. Celopodnikový systém řízení rizik (Enterprise Risk Management – ERM) je dnes běžně používaným termínem. COSO (Committee of Sponsoring Organizations of the Treadway Commission) definuje ERM jako „proces vykonávaný orgány, vedením a ostatními zaměstnanci dané entity, využívaný při stanovení strategie napříč společností a navržený tak, aby umožnil identifikovat případné události mající dopady na tuto entitu a dále aby napomohl řízení rizik v rámci rizikové tolerance s cílem poskytnout dostatečné ujištění ohledně dosažení cílů dané entity.“ Zavedení řídicích a kontrolních mechanismů je běžně využívanou metodou, kterou může vedení využívat k řízení rizika v rámci své rizikové tolerance. Interní auditoři vyhodnocují klíčové řídicí a kontrolní mechanismy a poskytují ujištění ohledně řízení významných rizik.

5. Harmonogramy auditních prací jsou založeny, mimo jiné, na vyhodnocení rizik a jejich dopadů. Z hlediska rozhodnutí o rozvržení zdrojů je nezbytné stanovení priorit. Existuje řada modelů rizik, které napomáhají vedoucímu interního auditu. Většina modelů rizik používá složky rizikovosti jako dopad, pravděpodobnost, významnost, likviditu aktiv, kompetence vedení, kvalitu a dodržování vnitřních řídicích a kontrolních mechanismů, rozsah změn nebo stability, načasování a výsledek poslední auditní zakázky, složitost, vztahy mezi zaměstnanci a vztahy v rámci systému řízení.

123

the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” Implementation of controls is one common method management can use to manage risk within its risk appetite. Internal auditors audit the key controls and provide assurance on the management of significant risks.

that are relied upon to reduce the rating of significant risks. If a rating has not been given to inherent risk, the internal auditor estimates the inherent risk rating. When identifying key controls (and assuming the internal auditor has concluded that the risk management process is mature and reliable), the internal auditor would look for:

3. The IIA’s International Standards for the Professional Practice of Internal Auditing (Standards) defines control as “any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved.”

• Individual risk factors where there is a significant reduction from inherent to residual risk (particularly if the inherent risk was very high). This highlights controls that are important to the organization. • Controls that serve to mitigate a large number of risks. 1. Internal audit planning needs to make use of the organizational risk management process, where one has been developed. In planning an engagement, the internal auditor considers the significant risks of the activity and the means by which management mitigates the risk to an acceptable level. The internal auditor uses risk assessment techniques in developing the internal audit activity’s plan and in determining priorities for allocating internal audit resources. Risk assessment is used to examine auditable units and select areas for review to include in the internal audit activity’s plan that have the greatest risk exposure.

4. Two fundamental risk concepts are inherent risk and residual risk (also known as current risk). Financial/ external auditors have long had a concept of inherent risk that can be summarized as the susceptibility of information or data to a material misstatement, assuming that there are no related mitigating controls. The Standards define residual risk as “the risk remaining after management takes action to reduce the impact and likelihood of an adverse event, including control activities in responding to a risk.” Current risk is often defined as the risk managed within existing controls or control systems.

2. Internal auditors may not be qualified to review every risk category and the ERM process in the organization (e.g., internal audits of workplace health and safety, environmental auditing, or complex financial instruments). The chief audit executive (CAE) ensures that internal auditors with specialized expertise or external service providers are used appropriately.

5. Key controls can be defined as controls or groups of controls that help to reduce an otherwise unacceptable risk to a tolerable level. Controls can be most readily conceived as organizational processes that exist to address risks. In an effective risk management process (with adequate documentation), the key controls can be readily identified from the difference between inherent and residual risk across all affected systems

3. Risk management processes and systems are set up differently throughout the world. The maturity level of the organization related to risk management va124

3. Mezinárodní Standardy pro Profesní Praxi Interního Auditu vydané IIA (Standardy) definují řídicí a kontrolní mechanismy jako „jakékoli opatření přijaté vedením a orgány společnosti nebo dalšími subjekty s cílem řízení rizika a zvýšení pravděpodobnosti, že stanovené cíle budou splněny. Vedení plánuje, organizuje a řídí provádění jednotlivých kroků, které poskytnou přiměřenou jistotu, že cíle budou dosaženy“.

tifikaci klíčových řídicích a kontrolních mechanismů (a předpokládejme, že interní auditor došel k závěru, že proces řízení rizik je vyspělý a spolehlivý) si interní auditor bude všímat: • jednotlivých rizikových faktorů tam, kde došlo k významnému snížení inherentního rizika na zbytkové (zejména pokud bylo inherentní riziko velmi vysoké); takový postup pak zdůrazní pro společnost důležité řídicí a kontrolní mechanismy; • řídicích a kontrolních mechanismů, které snižují velké množství rizik.

4. Existují dva základní pojmy týkající se rizik – inherentní riziko a zbytkové (reziduální nebo také současné) riziko. Finanční/externí auditoři dlouhou dobu používali koncept inherentního rizika, které může být souhrnně definováno jako náchylnost informací nebo údajů k významnému zkreslení, a to za předpokladu, že neexistují žádné související kontrolní a řídicí mechanismy snižující toto riziko. Standardy definují zbytkové riziko jako “riziko přetrvávající poté, co vedení přijme opatření omezující dopad a pravděpodobnost nepříznivé události, včetně zavedení řídicích a kontrolních postupů reagujících na riziko.“ Současné riziko je často definováno jako riziko řízené v rámci existujících řídicích a kontrolních mechanismů a systémů.

1. Ve společnostech, které zavedly proces organizace řízení rizik, je třeba, aby byl tento proces využíván při plánování interního auditu. Při plánování zakázky zváží interní auditor významná rizika příslušné činnosti a prostředky, kterými vedení snižuje toto riziko na přijatelnou úroveň. Při přípravě plánu interního auditu a při určení priorit rozvržení zdrojů interního auditu používá interní auditor postupy hodnocení rizik. Hodnocení rizik je využíváno k posouzení organizačních jednotek vhodných k auditu a k výběru prověřovaných oblastí, které jsou nejvíce vystaveny riziku, a k jejich zahrnutí do plánu interního auditu.

5. Klíčové řídicí a kontrolní mechanismy mohou být definovány jako řídicí a kontrolní mechanismy nebo jejich skupiny, jež napomáhají ke snižování jinak nepřijatelného rizika na přijatelnou úroveň. Řídicí a kontrolní mechanismy si můžeme nejsnadněji představit jako organizační procesy existující s cílem reagovat na riziko. Pokud existuje účinný proces řízení rizik (s odpovídající dokumentací) mohou být klíčové řídicí a kontrolní mechanismy snadno identifikovány z rozdílu mezi inherentním a zbytkovým rizikem, a to napříč všemi dotčenými systémy, se kterými se počítá při snižování velikosti významných rizik. Pokud velikost inherentního rizika nebyla stanovena, interní auditor stupeň inherentního rizika odhadne. Při iden-

2. Interní auditoři nemusí být kvalifikováni k ověření všech rizikových kategorií a celkového ERM procesu ve společnosti (např. interní audity bezpečnosti práce a zdraví, audity životního prostředí nebo audity komplexních finančních instrumentů). Vedoucí interního auditu zajistí, aby byli náležitě využiti specializovaní interní auditoři nebo externí poskytovatelé služeb. 3. Procesy a systémy řízení rizik jsou nastaveny v různých zemích světa rozdílným způsobem. Úroveň vyspělosti společností v oblasti řízení rizik se společnost od společnosti liší. Tam, kde společnosti mají centralizovaný útvar řízení rizik, je jeho úkolem koordinovat 125

ries among organizations. Where organizations have a centralized risk management activity, the role of this activity includes coordinating with management regarding its continuous review of the internal control structure and updating the structure according to evolving risk appetites. The risk management processes in use in different parts of the world might have different logic, structures, and terminology. Internal auditors therefore make an assessment of the organization’s risk management process and determine what parts can be used in developing the internal audit activity’s plan and what parts can be used for planning individual internal audit assignments.

residual risk, management needs to be notified so that the risk can be addressed. The internal auditor will, as a result of conducting a strategic audit planning process, be able to identify different kinds of activities to include in the internal audit activity’s plan, including: • Control reviews/assurance activities — where the internal auditor reviews the adequacy and efficiency of the control systems and provides assurance that the controls are working and the risks are effectively managed. • Inquiry activities — where organizational management has an unacceptable level of uncertainty about the controls related to a business activity or identified risk area and the internal auditor performs procedures to gain a better understanding of the residual risk. • Consulting activities — where the internal auditor advises organizational management in the development of the control systems to mitigate unacceptable current risks.

4. Factors the internal auditor considers when developing the internal audit plan include: • Inherent risks — Are they identified and assessed? • Residual risks — Are they identified and assessed? • Mitigating controls, contingency plans, and monitoring activities — Are they linked to the individual events and/or risks? • Risk registers — Are they systematic, completed, and accurate? • Documentation — Are the risks and activities documented?

Internal auditors also try to identify unnecessary, redundant, excessive, or complex controls that inefficiently reduce risk. In these cases, the cost of the control may be greater than the benefit realized and therefore there is an opportunity for efficiency gains in the design of the control.

In addition, the internal auditor coordinates with other assurance providers and considers planned reliance on their work. Refer to The IIA’s Practice Advisory 2050-2: Assurance Maps.

1. To ensure relevant risks are identified, the approach to risk identification is systematic and clearly documented. Documentation can range from the use of a spreadsheet in small organizations to vendor supplied software in more sophisticated organizations. The crucial element is that the risk management framework is documented in its entirety.

1. The internal audit charter normally requires the internal audit activity to focus on areas of high risk, including both inherent and residual risk. The internal audit activity needs to identify areas of high inherent risk, high residual risks, and the key control systems upon which the organization is most reliant. If the internal audit activity identifies areas of unacceptable

2. The documentation of risk management in an organization can be at various levels below the strategic level of the risk management process. Many organizations have developed risk registers that document risks 126

s vedením společnosti průběžné ověřování struktury vnitřního řídicího a kontrolního systému a aktualizaci této struktury podle vývoje rizikové tolerance (tj. úrovně rizika, kterou je společnost ochotna přijmout). Procesy řízení rizik používané v různých částech světa mohou mít odlišnou logiku, strukturu a terminologii. Proto interní auditoři hodnotí proces řízení rizik ve společnosti a určují, které jeho části mohou být využity při tvorbě plánu interního auditu a které části mohou být použity pro plánování jednotlivých zakázek interního auditu.

lasti s nepřijatelným zbytkovým rizikem je třeba informovat vedení takovým způsobem, aby bylo možné na riziko reagovat. Výsledkem procesu strategického plánování interního auditu bude skutečnost, že interní auditor bude schopen identifikovat rozličné druhy činností, které je možné zahrnout do plánu interního auditu, a to včetně: • Ověření řídicích a kontrolních mechanismů/ujišťovacích činností – v rámci kterých interní auditor ověří přiměřenost a efektivnost řídicích a kontrolních systémů a poskytne ujištění, že tyto řídicí a kontrolní mechanismy jsou funkční a rizika jsou účinně řízena; • Dotazovací činnosti – tam, kde vedení společnosti má nepřijatelnou úroveň nejistoty ohledně řídicích a kontrolních mechanismů vztahujících se k podnikatelské činnosti nebo identifikované rizikové oblasti, interní auditor provádí postupy s cílem lepšího pochopení zbytkového rizika; • Poradenské činnosti – v rámci kterých interní auditor poskytuje vedení společnosti rady ohledně rozvoje řídicích a kontrolních systémů za účelem snížení nepřijatelných současných rizik.

4. Interní auditor při tvorbě plánu interního auditu zvažuje následující faktory: • Inherentní rizika - jsou tato rizika identifikována a ohodnocena? • Zbytková rizika - jsou tato rizika identifikována a ohodnocena? • Vnitřní řídicí a kontrolní mechanismy snižující rizika, bezpečnostní plány a monitorovací činnosti – jsou tyto činnosti navázány na jednotlivé události a/nebo rizika? • Registry (katalogy) rizik – jsou registry systematické, úplné a přesné? • Dokumentace – jsou rizika a činnosti dokumentovány?

Interní auditoři se také snaží identifikovat nepotřebné, nadbytečné, rozsáhlé nebo složité řídicí a kontrolní mechanismy, které neefektivním způsobem snižují riziko. V takových případech může být řídicí a kontrolní mechanismus nákladnější než realizovaný přínos, a proto je možné změnou nastavení tohoto řídicího a kontrolního mechanismu dosáhnout zvýšení jeho efektivity.

Navíc interní auditor koordinuje svoji činnost s ostatními poskytovateli ujišťovacích služeb a zvažuje, do jaké míry se může na jejich práci spolehnout. Viz Doporučení pro praxi 2050-2: Mapy ujišťovacích činností. 1. Statut interního auditu běžně vyžaduje, aby se činnost interního auditu zaměřila na oblasti s vysokým rizikem, a to jak inherentním, tak zbytkovým. Je třeba, aby interní audit identifikoval oblasti vysokého inherentního rizika, vysokého zbytkového rizika a klíčové řídicí a kontrolní systémy, na kterých je společnost nejvíce závislá. Pokud interní audit identifikuje ob-

1. Systematický a jasně zdokumentovaný přístup k identifikaci rizika zajišťuje, že související rizika jsou identifikována. Podoba dokumentace může být v rozmezí od použití kalkulačních tabulek v malých společnostech až po softwary poskytované externími dodavateli ve více rozvinutých společnostech. Podstatným prv-

127

below the strategic level, providing documentation of significant risks in an area and related inherent and residual risk ratings, key controls, and mitigating factors. An alignment exercise can then be undertaken to identify more direct links between risk “categories” and “aspects” described in the risk registers and, where applicable, the items already included in the audit universe documented by the internal audit activity.

• Areas where the differential is great between inherent risk and residual risk. • Areas where the inherent risk is very high. 1. When planning individual internal audits, the internal auditor identifies and assesses risks relevant to the area under review

3. Some organizations may identify several high (or higher) inherent risk areas. While these risks may warrant the internal audit activity’s attention, it is not always possible to review all of them. Where the risk register shows a high, or above, ranking for inherent risk in a particular area, and the residual risk remains largely unchanged and no action by management or the internal audit activity is planned, the CAE reports those areas separately to the board with details of the risk analysis and reasons for the lack of, or ineffectiveness of, internal controls. 4. A selection of lower risk level business unit or branch type audits need to periodically be included in the internal audit activity’s plan to give them coverage and confirm that their risks have not changed. Also, the internal audit activity establishes a method for prioritizing outstanding risks not yet subject to an internal audit. 5. An internal audit activity’s plan will normally focus on: • Unacceptable current risks where management action is required. These would be areas with minimal key controls or mitigating factors that senior management wants audited immediately. • Control systems on which the organization is most reliant.

128

kem je ale skutečnost, že rámec řízení rizik je dokumentován v celé jeho celistvosti.

význačných rizik, která doposud nebyla předmětem interního auditu.

2. Dokumentace řízení rizik může existovat na různých stupních podléhajících strategické úrovni procesu řízení rizik ve společnosti. Mnoho společností má zavedené rizikové registry, které dokumentují rizika nacházející se pod strategickou úrovní a které obsahují dokumentaci významných rizik v určité oblasti a dále ocenění souvisejících inherentních a zbytkových rizik, klíčových řídicích a kontrolních mechanismů a faktorů snižujících rizika. Může být provedeno porovnání, které identifikuje přímější vazby mezi rizikovými „kategoriemi“ a „aspekty“ popsanými v rizikovém registru a tam, kde to přichází v úvahu, identifikuje položky již dokumentované interním auditem v rámci „audit universe“.

5. Plán interního auditu se za běžné situace zaměřuje na: • Nepřijatelná současná rizika, kde je vyžadováno opatření ze strany vedení; mohou to být oblasti s minimálními klíčovými řídicími a kontrolními mechanismy nebo faktory snižujícími riziko, u kterých vedení vyžaduje okamžitý audit; • Řídicí a kontrolní systémy, na které se společnost nejvíce spoléhá; • Oblasti, kde je velký rozdíl mezi inherentním a zbytkovým rizikem; • Oblasti, ve kterých je inherentní riziko velmi vysoké. 1. Při plánování jednotlivých interních auditů interní auditor identifikuje a oceňuje rizika související s prověřovanou oblastí.

3. Některé organizace mohou identifikovat několik oblastí s vysokou (nebo vyšší) úrovní inherentních rizik. I když tato rizika mohou zasluhovat pozornost interního auditu, není možné ověřit vždy všechna tato rizika. Tam, kde rizikový registr v dané oblasti poukazuje na vysoké nebo vyšší ocenění inherentního rizika a zbytkové riziko zůstává v převažující míře na stejné úrovni a zároveň není ze strany vedení nebo interního auditu plánováno provedení žádného opatření, pak vedoucí interního auditu předává odděleným způsobem informace orgánům společnosti o těchto oblastech, včetně detailů týkajících se rizikové analýzy a příčin nedostatečnosti nebo neúčinnosti řídicích a kontrolních mechanismů. 4. Je třeba, aby do plánu činnosti interního auditu byly pravidelně zahrnovány audity útvarů nebo poboček s nižší úrovní rizika. To umožní jejich auditní pokrytí a poskytne ujištění, že jejich rizika se nezměnila. Interní audit také vytvoří postup pro stanovení priorit

129


Practice Advisory 2030-1:

Communication and Approval

Resource Management



2020 – Communication and Approval The chief audit executive must communicate the internal audit activity’s plans and resource requirements, including significant interim changes, to senior management and the board for review and approval. The chief audit executive must also communicate the impact of resource limitations.

2030 – Resource Management The chief audit executive must ensure that internal audit resources are appropriate, sufficient, and effectively deployed to achieve the approved plan. Interpretation: Appropriate refers to the mix of knowledge, skills, and other competencies needed to perform the plan. Sufficient refers to the quantity of resources needed to accomplish the plan. Resources are effectively deployed when they are used in a way that optimizes the achievement of the approved plan.

1. The chief audit executive (CAE) will submit annually to senior management and the board for review and approval a summary of the internal audit activity’s annual audit plan, work schedule, staffing plan, and financial budget. This summary will inform senior management and the board of the scope of internal audit work and of any limitations placed on that scope. The CAE will also submit all significant interim changes for approval and information.

1. The chief audit executive (CAE) is primarily responsible for the sufficiency and management of internal audit resources in a manner that ensures the fulfillment of internal audit’s responsibilities, as detailed in the internal audit charter. This includes effective communication of resource needs and reporting of status to senior management and the board. Internal audit resources may include employees, external service providers, financial support, and technologybased audit techniques. Ensuring the adequacy of internal audit resources is ultimately a responsibility of the organization’s senior management and board; the CAE should assist them in discharging this responsibility.

2. The approved engagement work schedule, staffing plan, and financial budget, along with all significant interim changes, are to contain sufficient information to enable senior management and the board to ascertain whether the internal audit activity’s objectives and plans support those of the organization and the board and are consistent with the internal audit charter.

2. The skills, capabilities, and technical knowledge of the internal audit staff are to be appropriate for the planned activities. The CAE will conduct a periodic skills assessment or inventory to determine the specific skills required to perform the internal audit activities. The skills assessment is based on and considers the various needs identified in the risk assessment 130



Komunikace a schvalování

Řízení zdrojů



2020 – Komunikace a schvalování Vedoucí útvaru interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí interního auditu musí též informovat o dopadech vzniklých v důsledku omezení zdrojů.

2030 – Řízení zdrojů Vedoucí interního auditu musí zajistit, aby zdroje interního auditu pro splnění schváleného plánu byly vhodné, dostatečné a účinně rozmístěné. Interpretace: Vhodnými zdroji se rozumí kombinace znalostí, dovedností a dalších schopností potřebných pro splnění plánu. Dostatečnými zdroji se rozumí množství zdrojů potřebných pro uskutečnění plánu. Zdroje jsou účinně rozmístěny, pokud jsou používány způsobem, který vede k dosažení schváleného plánu optimální cestou.

1. Vedoucí interního auditu každý rok předkládá vedení a orgánům společnosti k posouzení a ke schválení zprávu obsahující roční plán činnosti interního auditu, harmonogram prací, plán personálního zabezpečení a finanční rozpočet. Tato zpráva poskytuje vedení a orgánům společnosti informace o rozsahu práce interního auditu a o veškerých omezeních týkajících se tohoto rozsahu. Vedoucí interního auditu rovněž předkládá ke schválení a pro informaci všechny významné změny, které vznikly v mezidobí.

1. Vedoucí interního auditu je v první řadě odpovědný za dostatečnost a řízení zdrojů interního auditu způsobem, který zajistí splnění odpovědností interního auditu, podrobně uvedených ve statutu interního auditu. Tato odpovědnost spočívá v účinné komunikaci požadavků na zdroje a předávání zpráv o jejich stavu vedení a orgánům společnosti. Zdroje interního auditu mohou zahrnovat zaměstnance, externí poskytovatele služeb, finanční podporu a softwarově podporované auditorské postupy. Zajištění odpovídajících zdrojů interního auditu je v konečném důsledku odpovědností vedení a orgánů společnosti; vedoucí interního auditu by jim měl při výkonu této odpovědnosti být nápomocen.

2. Schválený harmonogram zakázek interního auditu, plán personálního zabezpečení a finanční rozpočet, spolu s veškerými významnými průběžnými změnami, musí obsahovat dostatek informací, které umožňují vedení a orgánům společnosti zjistit, zda cíle a plány útvaru interního auditu podporují cíle společnosti a jejích orgánů a zda jsou v souladu se statutem interního auditu.

2. Dovednosti, schopnosti a technické znalosti pracovníků interního auditu musí být odpovídající plánovaným činnostem. Vedoucí interního auditu pravidelně hodnotí dovednosti nebo provádí jejich „inventuru“ tak, aby určil potřebné dovednosti vyžadované pro výkon interního auditu. Hodnocení dovedností bere 131

and audit plan. This includes assessments of technical knowledge, language skills, business acumen, fraud detection and prevention competency, and accounting and audit expertise.

that end, the CAE develops appropriate metrics, goals, and objectives to monitor the overall adequacy of resources. This can include comparisons of resources to the annual audit plan, the impact of temporary shortages or vacancies, educational and training activities, and changes to specific skill needs based on changes in the organization’s business, operations, programs, systems, and controls.

3. Internal audit resources need to be sufficient to execute the audit activities in the breadth, depth, and timeliness expected by senior management and the board, as stated in the internal audit charter. Resource planning considerations include the audit universe, relevant risk levels, the annual audit plan, coverage expectations, and an estimate of unanticipated activities. 4. The CAE also ensures that resources are deployed effectively. This includes assigning auditors who are competent and qualified for specific assignments. It also includes developing a resourcing approach and organizational structure appropriate for the business structure, risk profile, and geographical dispersion of the organization. 5. From an overall resource management standpoint, the CAE considers succession planning, staff evaluation and development programs, and other human resource disciplines. The CAE also addresses the resourcing needs of the internal audit activity, whether those skills are present or not within the internal audit activity itself. Other approaches to addressing resource needs include external service providers, employees from other departments within the organization, or specialized consultants. 6. Because of the critical nature of resources, the CAE maintains ongoing communications and dialog with senior management and the board on the adequacy of resources for the internal audit activity. The CAE periodically presents a summary of status and adequacy of resources to senior management and the board. To 132

v úvahu a je založeno na jednotlivých požadavcích identifikovaných při vyhodnocení rizik a v plánu auditu. Tyto požadavky zahrnují vyhodnocení technických znalostí, jazykových dovedností, podnikatelské prozíravosti, odhalování a prevence podvodů, kompetentnosti a odborné způsobilosti a oblasti účetnictví a auditu.

alog s vedením a orgány společnosti, jehož obsahem je přiměřenost zdrojů z hlediska činností interního auditu. Vedoucí interního auditu pravidelně předkládá vedení a orgánům společnosti přehled o stavu a přiměřenosti zdrojů. K tomuto účelu vedoucí interního auditu vytvoří přiměřená měřítka, záměry a cíle určené pro sledování celkové přiměřenosti zdrojů. Toto sledování může zahrnovat porovnání zdrojů ve vztahu k ročnímu plánu auditů, vyhodnocení dočasného nedostatku zdrojů nebo neobsazených míst, vzdělávací a školící činnosti a změny požadavků na specifické dovednosti vyvolané změnami v podnikatelském prostředí, postupech, plánech, systémech a řídicích a kontrolních mechanismech dané společnosti.

3. Zdroje interního auditu musí být dostatečné pro výkon interního auditu z hlediska takové šíře záběru, hloubky a včasnosti, které jsou očekávány vedením a orgány společnosti a které jsou stanoveny ve statutu interního auditu. Plánování zdrojů bere v úvahu „audit universe“, velikosti souvisejících rizik, roční plán auditů, očekávání z hlediska pokrytí auditem a odhady výskytu neočekávaných činností. 4. Vedoucí interního auditu též zajistí, že zdroje jsou účinně rozmístěny. To znamená přidělení kvalifikovaných a kompetentních auditorů konkrétním zakázkám a též rozvoj koncepce týkající se zdrojů a zavádění organizační struktury vhodné z hlediska struktury společnosti, rizikového profilu a geografického rozmístění společnosti. 5. Z hlediska celkového řízení zdrojů, vedoucí interního auditu bere v úvahu plánování následnictví, hodnocení zaměstnanců a rozvojové programy a další hlediska týkající se lidských zdrojů. Vedoucí interního auditu také reaguje na personální potřeby související s výkonem interního auditu, bez ohledu na to, zda jsou tyto dovednosti k dispozici v samotném útvaru interního auditu či nikoliv. Další přístupy k zajištění potřebných zdrojů zahrnují externí poskytovatele služeb, zaměstnance z jiných oddělení dané společnosti nebo specializované konzultanty. 6. Vzhledem k rozhodující důležitosti zdrojů, vedoucí interního auditu udržuje průběžnou komunikaci a di133



Policies and Procedures

Coordination



2040 – Policies and Procedures The chief audit executive must establish policies and procedures to guide the internal audit activity.

2050 – Coordination The chief audit executive should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.

Interpretation: The form and content of policies and procedures are dependent upon the size and structure of the internal audit activity and the complexity of its work.

1. Oversight of the work of external auditors, including coordination with the internal audit activity, is the responsibility of the board. Coordination of internal and external audit work is the responsibility of the chief audit executive (CAE). The CAE obtains the support of the board to coordinate audit work effectively.

1. The chief audit executive develops policies and procedures. Formal administrative and technical audit manuals may not be needed by all internal audit activities. A small internal audit activity may be managed informally. Its audit staff may be directed and controlled through daily, close supervision and memoranda that state policies and procedures to be followed. In a large internal audit activity, more formal and comprehensive policies and procedures are essential to guide the internal audit staff in the execution of the annual audit plan.

2. Organizations may use the work of external auditors to provide assurance related to activities within the scope of internal auditing. In these cases, the CAE takes the steps necessary to understand the work performed by the external auditors, including: • The nature, extent, and timing of work planned by external auditors, to be satisfied that the external auditors’ planned work, in conjunction with the internal auditors’ planned work, satisfies the requirements of Standard 2100. • The external auditor’s assessment of risk and materiality. • The external auditors’ techniques, methods, and terminology to enable the CAE to (1) coordinate internal and external auditing work; (2) evaluate, for purposes of reliance, the external auditors’ work; and (3) communicate effectively with external auditors. • Access to the external auditors’ programs and working papers, to be satisfied that the external auditors’ work 134



Zásady a postupy

Koordinace



2040 – Zásady a postupy Vedoucí interního auditu musí stanovit zásady a postupy, kterými se řídí činnost interního auditu.


Interpretace: Forma a obsah zásad a postupů jsou závislé na velikosti a struktuře útvaru interního auditu a složitosti jeho práce. 1. Vedoucí interního auditu stanovuje zásady a postupy. Všechny útvary interního auditu nemusí nutně potřebovat písemné administrativní a technické auditní manuály. Malé útvary interního auditu mohou být řízeny neformálně. Pracovníci malých útvarů mohou být řízeni a kontrolováni prostřednictvím každodenního častého dohledu (supervize) a stručných písemných sdělení obsahujících zásady a postupy, které je třeba dodržovat. Ve velkých útvarech interního auditu je nezbytné mít více formalizované a detailní zásady a postupy, které jsou pro pracovníky interního auditu vodítkem při realizaci ročního plánu auditů.

1. Dohled nad prací externích auditorů, včetně koordinace s výkonem interního auditu, je odpovědností orgánů společnosti. Koordinace prací externího a interního auditu je odpovědností vedoucího interního auditu. Vedoucí interního auditu postupuje s podporou orgánů společnosti za účelem dosažení účinné koordinace auditorských prací. 2. Organizace mohou využívat práce externích auditorů pro ujištění ohledně činností, které jsou v působnosti interního auditu. V těchto případech, vedoucí interního auditu podnikne kroky nezbytné k tomu, aby pochopil rozsah práce provedené externími auditory, včetně: • povahy a rozsahu práce a načasování prací plánovaných externími auditory, aby se ujistil, že práce plánované externími auditory, v souvislosti s pracemi naplánovanými interními auditory, vyhovují požadavkům Standardu 2100, • vyhodnocení rizik a významnosti provedené externím auditorem, • postupů, metod a terminologie, které vedoucímu interního auditu umožňují (1) koordinovat práce interního a externího auditu; (2) hodnotit práci externích

135

can be relied upon for internal audit purposes. Internal auditors are responsible for respecting the confidentiality of those programs and working papers.

ters discussed in presentation materials and included in management letters need to be understood by the CAE and used as input to internal auditors in planning the areas to emphasize in future internal audit work. After review of management letters and initiation of any needed corrective action by appropriate members of senior management and the board, the CAE ensures that appropriate follow-up and corrective actions have been taken.

3. The external auditor may rely on the work of the internal audit activity in performing their work. In this case, the CAE needs to provide sufficient information to enable external auditors to understand the internal auditors’ techniques, methods, and terminology to facilitate reliance by external auditors on work performed. Access to the internal auditors’ programs and working papers is provided to external auditors in order for external auditors to be satisfied as to the acceptability for external audit purposes of relying on the internal auditors’ work.

7. The CAE is responsible for regular evaluations of the coordination between internal and external auditors. Such evaluations may also include assessments of the overall efficiency and effectiveness of internal and external audit activities, including aggregate audit cost. The CAE communicates the results of these evaluations to senior management and the board, including relevant comments about the performance of external auditors.

4. It may be efficient for internal and external auditors to use similar techniques, methods, and terminology to coordinate their work effectively and to rely on the work of one another. 5. Planned audit activities of internal and external auditors need to be discussed to ensure that audit coverage is coordinated and duplicate efforts are minimized where possible. Sufficient meetings are to be scheduled during the audit process to ensure coordination of audit work and efficient and timely completion of audit activities, and to determine whether observations and recommendations from work performed to date require that the scope of planned work be adjusted. 6. The internal audit activity’s final communications, management’s responses to those communications, and subsequent follow-up reviews are to be made available to external auditors. These communications assist external auditors in determining and adjusting the scope and timing of their work. In addition, internal auditors need access to the external auditors’ presentation materials and management letters. Mat136

auditorů za účelem získání důvěry k ní; a (3) účinně komunikovat s externími auditory. • přístupu k plánům a k pracovní dokumentaci externích auditorů, aby se ujistil, že se lze, z hlediska interního auditu, spolehnout na práci externích auditorů. Interní auditoři jsou odpovědni za zachovávání důvěrnosti těchto plánů a pracovní dokumentace.

je třeba zpřístupnit externím auditorům. Tyto zprávy napomáhají externím auditorům při stanovení a změnách rozsahu a načasování jejich prací. Navíc interní auditoři potřebují mít přístup k prezentačním materiálům externích auditorů a k dopisům pro vedení (management letters). Záležitosti projednávané v prezentačních materiálech a obsažené v dopisech pro vedení musí být vedoucímu interního auditu srozumitelné. Musí být rovněž využity jako vodítko, které napomáhá interním auditorům při plánování oblastí, na které je zapotřebí klást důraz při další práci interního auditu. Poté, co byl posouzen obsahu dopisů pro vedení a zahájena nezbytná nápravná opatření ze strany příslušných členů vedení a orgánů společnosti, vedoucí interního auditu zajistí, aby byla příslušným způsobem zajištěna následná kontrola a aby byla zavedena nápravná opatření.

3. Externí auditor se při provádění své práce může spolehnout na práci útvaru interního auditu. V tomto případě musí vedoucí interního auditu poskytnout dostatečné informace, které umožní externím auditorům pochopit postupy, metody a terminologii používané interními auditory a zároveň které externím auditorům umožní spolehnout se na práce provedené interními auditory. Přístup k plánům a pracovní dokumentaci interních auditorů je poskytován externím auditorům s cílem, aby se externí auditoři přesvědčili o její přijatelnosti z hlediska záměru externího auditu (kterým je spolehnutí se na práci interních auditorů).

7. Vedoucí interního auditu je odpovědný za provádění pravidelných hodnocení koordinace mezi interními a externími auditory. Tato hodnocení mohou také zahrnovat vyhodnocení celkové efektivnosti a účinnosti činností interního a externího auditu, včetně celkových nákladů na audit. Vedoucí interního auditu předává zprávy obsahující výsledky těchto hodnocení vedení a orgánům společnosti, včetně komentářů týkajících se názoru na způsob práce externího auditu.

4. Pro interní a externí auditory může být efektivní používat podobné postupy, metody a terminologii, aby mohli efektivně koordinovat svou práci a vzájemně se mohli na svou práci spoléhat. 5. Plánované auditní činnosti interních a externích auditorů musí být projednány takovým způsobem, aby bylo zajištěno, že pokrytí auditními činnostmi je koordinováno a že je minimalizován výskyt možných duplicit. V průběhu auditního procesu je třeba naplánovat dostatečný počet schůzek, jejichž cílem je zajištění koordinace auditních prací a efektivního a včasného dokončení auditních činností. Dalším cílem je rozhodnutí, zda dosud učiněná pozorování a doporučení vyžadují změnu rozsahu plánovaných prací. 6. Závěrečné zprávy útvaru interního auditu, odpovědi vedení na tyto zprávy a zprávy z následné kontroly 137


which they provide assurance, and the robustness of that assurance.

Assurance Maps

• Those who report to management and/or are part of management (management assurance), including individuals who perform control self-assessments, quality auditors, environmental auditors, and other management-designated assurance personnel. • Those who report to the board, including internal audit. • Those who report to external stakeholders (external audit assurance), which is a role traditionally fulfilled by the independent/statutory auditor.


2050 – Coordination The chief audit executive should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts. 1. One of the key responsibilities of the board is to gain assurance that processes are operating within the parameters it has established to achieve the defined objectives. It is necessary to determine whether risk management processes are working effectively and whether key or business-critical risks are being managed to an acceptable level.

The level of assurance desired, and who should provide that assurance, will vary depending on the risk. 1. There are many assurance providers for an organization.

2. Increased focus on the roles and responsibilities of senior management and boards has prompted many organizations to place a greater emphasis on assurance activities. The Standards Glossary defines assurance as “an objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization.” The board will use multiple sources to gain reliable assurance. Assurance from management is fundamental and should be complemented by the provision of objective assurance from internal audit and other third parties. Risk managers, internal auditors, and compliance practitioners are asking: “Who does what and why?” Boards in particular are beginning to question who is providing assurance, where is the delineation between the functions, and if there are any overlaps.

• Line management and employees (management provides assurance as a first line of defense over the risks and controls for which they are responsible.) • Senior management • Internal and external auditors • Compliance • Quality assurance • Risk management • Environmental auditors • Workplace health and safety auditors • Government performance auditors • Financial reporting review teams • Subcommittees of the board (e.g., audit, actuarial, credit, governance) • External assurance providers, including surveys, specialist reviews (health and safety), etc.

3. There are fundamentally three classes of assurance providers, differentiated by the stakeholders they serve, their level of independence from the activities over 138


3. V principu existují tři typy subjektů, které poskytují ujištění a které se odlišují podle toho, kterému zainteresovanému subjektu (stakeholders) slouží, podle jejich nezávislosti na činnostech, o kterých poskytují ujištění, a podle důkladnosti tohoto ujištění.

Mapy ujišťovacích činností



• Poskytovatelé ujištění, kteří podávají zprávy vedení a/ nebo jsou součástí vedení (manažerské ujištění), včetně osob provádějících sebehodnocení řídicích a kontrolních mechanismů (control self-assessment), auditorů jakosti, auditorů životního prostředí a dalších osob, které vedení pověřilo poskytováním ujištění. • Poskytovatelé ujištění, kteří podávají zprávy orgánům společnosti, včetně interního auditu. • Poskytovatelé ujištění, kteří podávají zprávy externím zainteresovaným subjektům (ujištění poskytované externím auditem); tuto úlohu plní tradičně nezávislý/ statutární auditor.

1. Jednou z hlavních odpovědností vedení a orgánů společnosti je získat ujištění, že procesy probíhají v mezích parametrů stanovených za účelem dosažení definovaných cílů. Je nezbytné určit, zda procesy řízení rizik jsou účinné a zda klíčová rizika nebo rizika stěžejní pro daný obor podnikání jsou řízena tak, aby byla na přijatelné úrovni.

Úroveň požadovaného ujištění a to, kdo by měl takové ujištění poskytnout se bude lišit v závislosti na riziku.

2. Vzrůstající zájem o oblast rolí a odpovědností vyššího vedení orgánů společnosti přiměl řadu společností ke kladení většího důrazu na ujišťovací činnosti. Výklad pojmů ke Standardům definuje ujištění jako „objektivní posouzení průkazného materiálu, jehož cílem je poskytnutí nezávislého zhodnocení procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních systémů dané společnosti“. K získání spolehlivého ujištění používají vedení a orgány společnosti různé způsoby. Ujištění poskytnuté vedením je zásadní a mělo by být doplněno objektivním ujištěním poskytnutým interním auditem a dalšími třetími stranami. Manažeři rizik, interní auditoři a pracovníci zabývající se funkcí compliance1 se dotazují: „Kdo dělá co a proč?“. Vedení a orgány společnosti se především začínají ptát, kdo poskytuje ujištění, kde je hranice mezi těmito funkcemi a zda existují nějaké překryvy.

1. Společnost může využít mnoho různých poskytovatelů ujištění: • Liniového vedení a zaměstnanců (vedení poskytuje ujištění jako prvořadou ochranu před riziky a jako ochranu řídicích a kontrolních mechanismů, za které jsou odpovědni) • Vyššího vedení • Interních a externích auditorů • Funkce compliance • Zajištění jakosti • Řízení rizik • Auditorů životního prostředí • Auditorů bezpečnosti práce a ochrany zdraví na pracovišti • Auditorů výkonu státní správy • Týmů ověřujících finanční výkazy 139

1. The internal audit activity will normally provide assurance over the entire organization, including risk management processes (both their design and operating effectiveness), management of those risks classified as “key” (including the effectiveness of the controls and other responses to them), verification of the reliability and appropriateness of the risk assessment and reporting of the risk and control status.

ure that there is a comprehensive risk and assurance process with no duplicated effort or potential gaps. 4. Often an organization will have defined the significant risk categories that make up its risk management framework. In such cases, the assurance map would be based on the structure of this framework. For example, an assurance map could have these columns:

2. With responsibility for assurance activities traditionally being shared among management, internal audit, risk management, and compliance, it is important that assurance activities be coordinated to ensure resources are used in the most efficient and effective way. Many organizations operate with traditional (and separate) internal audit, risk, and compliance activities. It is common for organizations to have a number of separate groups performing different risk management, compliance, and assurance functions independently of one another. Without effective coordination and reporting, work can be duplicated or key risks may be missed or misjudged.

• • • • • • •

Significant risk category Management role responsible for the risk (risk owner) Inherent risk rating Residual risk rating External audit coverage Internal audit coverage Other assurance provider coverage

In this example, the chief audit executive (CAE) would populate the internal audit coverage column with recent coverage. Often each significant risk has a risk owner or a person responsible for coordinating assurance activities for that risk and that person would populate the other assurance provider coverage column. Each significant unit within an organization could have its own assurance map. Alternatively, the internal audit activity may play a coordinating role in developing and completing the organization’s assurance map.

3. While many organizations monitor the activities of internal audit, risk, and compliance, not all view all their activities in a holistic way. An assurance mapping exercise involves mapping assurance coverage against the key risks in an organization. This process allows an organization to identify and address any gaps in the risk management process and gives stakeholders comfort that risks are being managed and reported on, and that regulatory and legal obligations are being met. Organizations will benefit from a streamlined approach, which ensures the information is available to management about the risks they face and how the risks are being addressed. The mapping is done across the organization to understand where the overall risk and assurance roles and accountabilities reside. The aim is to ens140

• Podvýborů orgánů společnosti (např. výbor pro audit, pojistně-matematický výbor, úvěrový výbor, výbor pro řízení a správu společnosti) • Externích poskytovatelů ujištění, včetně znaleckých posudků, speciálních prověrek (např. ochrany zdraví a bezpečnosti), atd.

se jakýmikoli mezerami v procesu řízení rizik a poskytuje všem zainteresovaným subjektům (stakeholders) ujištění, že rizika jsou řízena a jsou o nich předávány informace a že jsou dodržovány regulatorní a právní povinnosti. Pro společnost bude přínosem uplatnění účinného přístupu zajišťujícího, aby vedení společnosti mělo k dispozici informace o rizicích, kterým čelí, a o způsobu, jakým jsou tato rizika pokryta. Mapování se provádí napříč společností s cílem zjistit, kde spočívá úloha a zodpovědnosti za řízení rizik a poskytování ujištění. Cílem je zajistit, že je zaveden ucelený proces řízení rizik a poskytování ujištění, a to bez duplicit a případných mezer.

1. Za normální situace poskytuje interní audit ujištění napříč celou společností, včetně procesů řízení rizik (jak o jejich nastavení, tak o jejich provozní účinnosti), řízení rizik klasifikovaných jako klíčová (včetně účinnosti řídicích a kontrolních mechanismů a ostatních reakcí na riziko) a dále poskytuje ověření spolehlivosti a vhodnosti procesu hodnocení rizik a předávání informací o stavu rizik a stavu řídicích a kontrolních mechanismů.

4. Společnosti často disponují kategoriemi významných rizik, které tvoří rámec řízení rizik. V takových případech, bude mapa ujišťovacích činností vycházet ze struktury tohoto rámce. Mapa ujišťovacích činností může obsahovat např. následující sloupce:

2. Odpovědnost za ujišťovací služby je obvykle sdílena vedením společnosti, interním auditem, řízením rizik a funkcí compliance, a proto je důležité, aby ujišťovací činnosti byly koordinovány takovým způsobem, aby bylo zajištěno, že zdroje jsou využívány co nejúčinnějším a nejefektivnějším způsobem. Mnoho společností využívá služeb tradičního (samostatného) interního auditu, funkce řízení rizik a compliance. Je běžné, že společnosti mají určitý počet samostatných skupin zabývajících se nezávisle na sobě řízením rizik, compliance a dalšími ujišťovacími funkcemi. Bez účinné koordinace a výměny informací může dojít k duplikaci činností nebo k opomenutí nebo k nesprávnému posouzení klíčových rizik.

• • • • • • •

Kategorie významného rizika Úloha vedení odpovědného za riziko (vlastník rizika) Ohodnocení inherentního rizika Ohodnocení reziduálního (zbytkového) rizika Pokrytí externím auditem Pokrytí interním auditem Pokrytí dalšími poskytovateli ujištění

V tomto případě vedoucí interního auditu zanese do sloupce „Pokrytí interním auditem“ informaci o předcházejícím pokrytí auditními činnostmi. Často má každé významné riziko svého vlastníka nebo osobu, která je odpovědná za koordinaci ujišťovacích činností pro takové riziko a tato osoba bude vyplňovat sloupec „Pokrytí dalšími poskytovateli ujištění“. Každá významná organizační jednotka v rámci společnosti by měla mít svojí vlastní mapu ujišťovacích činností. Alternativně se může interní audit ujmout koordinace při tvorbě a sestavování mapy ujišťovacích činností v dané společnosti.

3. Zatímco mnoho společností sleduje činnosti interního auditu, řízení rizik i compliance, ne všechny společnosti nahlížejí na své činnosti v celé jejich šíři. Postup mapování ujišťovacích služeb zahrnuje mapování pokrytí ujišťovacími činnostmi z hlediska obrany proti klíčovým rizikům hrozícím dané společnosti. Tento postup umožňuje společnosti identifikovat a zabývat 141

1. Once the assurance map for the organization has been completed, significant risks with inadequate assurance coverage, or areas of duplicated assurance coverage, can be identified. Senior management and the board need to consider changes in assurance coverage for these risks. The internal audit activity needs to consider areas of inadequate coverage when developing the internal audit plan.

5. In instances where the organization does not expect an overall opinion, the CAE can act as the coordinator of assurance providers to ensure there are either no gaps in assurance, or the gaps are known and accepted. The CAE reports on any lack of input/ involvement/ oversight/assurance over other assurance providers. If the CAE believes that the assurance coverage is inadequate or ineffective, senior management and the board need to be advised accordingly.

2. It is the responsibility of the CAE to understand the independent assurance requirements of the board and the organization, to clarify the role the internal audit activity fills and the level of assurance it provides. The board needs to be confident that the overall assurance process is adequate and sufficiently robust to validate that the risks of the organization are being managed and reported on effectively.

6. The CAE is directed by Standard 2050 to coordinate activities with other assurance providers; the use of an assurance map will help achieve this. Assurance maps increasingly offer an effective way of communicating this coordination.

3. The board needs to receive information about assurance activities, both implemented and planned, in regard to each category of risk. The internal audit activity and other assurance providers offer the board the appropriate level of assurance for the nature and levels of risk that exist in the organization under the respective categories. 4. In organizations requiring an overall opinion from the CAE, the CAE needs to understand the nature, scope, and extent of the integrated assurance map to consider the work of other assurance providers (and rely on it as appropriate) before presenting an overall opinion on the organization’s governance, risk management, and control processes. The IIA’s Practice Guide Formulating and Expressing Internal Audit Opinions provides additional guidance.

142

1. Po dokončení mapy ujišťovacích činností dané společnosti, mohou být identifikována významná rizika s nedostatečným pokrytím ujišťovacími činnosti nebo oblasti, které jsou pokryty duplicitně. Vyšší vedení a orgány společnosti by měly v takových případech zvážit změny v pokrytí ujišťovacími činnosti. Interní audit musí vzít při přípravě plánu auditu v úvahu oblasti s nedostatečným pokrytím.

5. V případech, kdy společnost neočekává vyslovení celkového názoru, může vedoucí interního auditu působit jako koordinátor poskytovatelů ujištění s cílem zajistit, aby neexistovaly žádné mezery v ujištění nebo aby tyto mezery byly známy a akceptovány. Vedoucí interního auditu předává informace o jakémkoli nedostatku v přínosu/zapojení/dohledu/ujištění týkajících se ostatních poskytovatelů ujištění. Pokud je vedoucí interního auditu přesvědčen, že pokrytí ujišťovacími činnostmi je nedostatečné nebo neúčinné, je třeba toto odpovídajícím způsobem konzultovat s vyšším vedením a orgány společnosti.

2. Odpovědností vedoucího interního auditu je porozumění požadavkům společnosti a jejích orgánů ohledně nezávislého ujištění, vyjasnění úlohy interního auditu a úrovně ujištění, které poskytuje. Orgány společnosti potřebují získat jistotu, že celkový proces ujištění je odpovídající a dostatečně důkladný z hlediska potvrzení, že rizika společnosti jsou řízena a jsou o nich účinným způsobem předávány informace.

6. Vedoucímu interního auditu je prostřednictvím Standardu 2050 uloženo koordinovat činnost s ostatními poskytovateli ujištění; použití mapy ujišťovacích činností napomáhá k dosažení koordinovaného přístupu. Mapy ujišťovacích činností ve vzrůstající míře nabízejí účinný způsob, jak tuto koordinaci komunikovat.

3. Z pohledu každé kategorie rizik je třeba, aby orgány společnosti byly informovány o ujišťovacích činnostech, a to jak o již zavedených činnostech, tak i o plánovaných činnostech. Interní audit a ostatní poskytovatelé ujištění nabízejí orgánům společnosti úroveň ujištění odpovídající povaze a úrovni rizika, které ve společnosti v příslušných kategoriích existuje. 4. Ve společnostech, které vyžadují od vedoucího interního auditu vyslovení celkového názoru je třeba, aby vedoucí interního auditu před vyslovením celkového názoru na procesy řízení a správy společnosti, řízení rizik a řídicí a kontrolní systémy v dané společnosti, pochopil povahu, zaměření a rozsah integrované mapy ujišťovacích činností a mohl tak vzít v potaz práci ostatních poskytovatelů ujištění (a přiměřeným způsobem na ně spoléhat). Praktická pomůcka vydaná IIA „Formulace a vyslovení názorů interního auditu“ (IIA Practice Guide Formulating and Expressing Internal Audit Opinion) poskytuje doplňující informace.

143


4. Where the internal auditor is hiring the assurance provider, the auditor should document engagement expectations in a contract or agreement. Minimum expectations should be provided for the nature and ownership of deliverables, methods/techniques, the nature of procedures and data/information to be used, progress reports/supervision to ensure the work is adequate, and reporting requirements.

Relying on the Work of Other Assurance Providers Primary Related Standard

Primary Related Standard 2050 — Coordination The chief audit executive should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.

5. If management within the organization provides the contracting of, and direction to, a third-party assurance provider, the internal auditor should be satisfied that the instruction is appropriate, understood, and executed.

1. The internal auditor may rely on or use the work of other internal or external assurance providers in providing governance, risk management, and control assurance to the board. Internal assurance providers could include company functions such as Compliance, Information Security, Quality, and Labor Health and Safety as well as management monitoring activities. External assurance providers could include external auditors, joint venture partners, specialist reviews, or third-party audit firms, including those providing reports in accordance with International Standard on Assurance Engagements 3402: Assurance Reports on Controls at a Service Organization.

6. The internal auditor should consider the independence and objectivity of the other assurance providers when considering whether to rely on or use their work. If an assurance provider is hired by, and/ or is under the direction of, management instead of internal auditing, the impact of this arrangement on the assurance provider’s independence and objectivity should be evaluated. 7. The internal auditor should assess the competencies and qualifications of the provider performing the assurance work. Examples of competency include verifying the assurer holds appropriate professional experience and qualifications, has a current registration with the relevant professional body or institute, and has a reputation for competency and integrity in the sector.

2. The decision to rely on the work of other assurance providers can be made for a variety of reasons, including to address areas that fall outside of the competence of the internal audit activity, to gain knowledge transfer from other assurance providers, or to efficiently enhance coverage of risk beyond the internal audit plan.

8. The internal auditor should consider the other assurance provider’s elements of practice to have reasonable assurance the findings are based on sufficient, reliable, relevant, and useful information, as required by Standard 2310: Identifying Information. Standard 2310 must be met by the chief audit executive

3. An internal audit charter and/or engagement letter should specify that the internal audit activity have access to the work of other internal and external assurance providers.

144


k práci ostatních interních a externích dodavatelů ujištění.

Spolehnutí se na práci ostatních dodavatelů ujištění Související standard

2050 – Koordinace Vedoucí interního auditu by měl sdílet informace a koordinovat činnost s ostatními interními a externími dodavateli obdobných ujišťovacích a poradenských služeb tak, aby bylo zajištěno dostatečné pokrytí auditními a poradenskými činnostmi a byly minimalizovány duplicity činností. 1. Při poskytování ujištění vedení a orgánům společnosti v oblasti řízení a správy společnosti, řízení rizik a řídicího a kontrolního systému se může interní auditor spolehnout na práci interních a externích dodavatelů ujišťovacích služeb. Interními dodavateli služeb mohou být takové činnosti ve společnosti, jakými jsou např. činnost compliance, informační bezpečnost, kvalita, bezpečnost a ochrana zdraví při práci a také činnosti monitorující řízení. Externími dodavateli služeb mohou být externí auditoři, partneři ze společného podniku (joint ventures), speciální ověřovatelé nebo auditní firmy třetích stran včetně těch, které poskytují zprávy v souladu s Mezinárodním standardem o ujišťovacích zakázkách 3402: Ujišťovací zprávy týkající se řídicího a kontrolního systému v servisní společnosti. 2. Rozhodnutí o možnosti spolehnout se na ostatní dodavatele ujištění může být učiněno z různých důvodů. Těmito důvody jsou např. potřeba postihnout oblasti mimo kompetence interního auditu, získání zkušenosti od ostatních dodavatelů ujištění nebo potřeba efektivně zvýšit pokrytí rizika nad rámec plánu interního auditu. 3. Statut interního auditu a/nebo pověření k provedení zakázky by měly stanovit, že interní audit má přístup 145

4. Pokud interní auditor najímá dodavatele ujištění, měl by ve smlouvě nebo v dohodě zaznamenat očekávání související se zakázkou. Minimálně by měla být uvedena očekávání ohledně charakteru a vlastnictví výstupů zakázky, metod/postupů, povahy postupů a dat/informací, které budou použity, a dále očekávání ohledně průběžných zpráv o postupu zakázky/supervize, aby bylo zajištěno, že provedená práce bude dostatečná; měla by být uvedena též očekávání ohledně požadavků na předávání výsledků zakázky. 5. Pokud vedení uvnitř společnosti smluvně zavazuje a dává pokyny dodavateli ujištění třetí strany, pak by měl být interní auditor ujištěn, že tyto instrukce jsou přiměřené, srozumitelné a že jsou vykonávány. 6. Když interní auditor zvažuje, zda se může spolehnout na práci ostatních dodavatelů ujištění, měl by vzít v potaz jejich nezávislost a objektivitu. Pokud je dodavatel ujištění vybírán a/nebo řízen vedením společnosti a nikoliv interním auditem, mělo by být v takovém případě vyhodnoceno, jaký dopad má takové uspořádání na nezávislost a objektivitu dodavatele ujištění. 7. Interní auditor by měl ohodnotit schopnosti a odbornou způsobilost dodavatele provádějícího ujišťovací činnost. Příklady schopností např. zahrnují ověření, zda dodavatel ujištění má odpovídající profesní zkušenost a odbornou způsobilost, zda je platně registrován u odpovídající profesní organizace nebo institutu a zda má v odvětví svého podnikání dobrou pověst z hlediska svých schopností a integrity. 8. Interní auditor by měl u dodavatele ujištění zvážit i ostatní aspekty jeho činnosti, aby získal rozumné ujištění, že zjištění jsou, v souladu se Standardem 2310: Identifikace informací, založena na dostatečných, spo-

regardless of the degree to which the work of other assurance providers is used.

auditor should include reference to other assurance providers where reports rely on such information.

9. The internal auditor should ensure that the work of the other assurance provider is appropriately planned, supervised, documented, and reviewed. The auditor should consider whether the audit evidence is appropriate and sufficient to determine the extent of use and reliance on the work of the other assurance providers. Based on an assessment of the work of the other assurance provider, additional work or test procedures may be needed to gain appropriate and sufficient audit evidence. The internal auditor should be satisfied, based on knowledge of the business, environment, techniques, and information used by the assurance provider, that the findings appear to be reasonable.

12. Follow-up is a process by which internal auditors evaluate the adequacy, effectiveness, and timeliness of actions taken by management on reported observations and recommendations, including those made by other assurance providers. In reviewing actions taken to address recommendations made by other assurance providers, the internal auditor should determine whether management has implemented the recommendations or assumed the risk of not implementing them. 13. Significant findings from other assurance providers should be considered in the assurance and communications internal auditing is providing the organization. In addition, results of work performed by others may impact the internal audit risk assessment as to whether the findings impact the evaluation of risk and the level of audit work necessary in response to that risk.

10. The level of reliance that can be placed on another assurance provider will be impacted by the factors mentioned earlier: independence, objectivity, competencies, elements of practice, adequacy of execution of audit work, and sufficiency of audit evidence to support the given level of assurance. As the risk or significance of the activity reviewed by the other assurance provider increases, the internal auditor should gather more information on these factors and may need to obtain additional audit evidence to supplement the work done by the other assurance provider. To increase the level of reliance on the results, the internal audit activity may retest results of the other assurance provider.

14. In evaluating the effectiveness of, and contributing to the improvement of, risk management processes (Standard 2120: Risk Management), the internal audit activity may review the processes of these internal assurance providers, including company functions such as Compliance, Information Security, Quality, and Labor Health and Safety as well as management monitoring activities. There should be coverage of risk areas by internal auditing, but when another assurance function exists, the internal audit activity may review the performance of that process rather than duplicate the detailed specific work of that other function.

11. The internal auditor should incorporate the assurance provider’s results into the overall report of assurance that the internal auditor reports to the board or other key stakeholders. Significant issues raised by the other assurance provider can be incorporated in detail or summarized in internal audit reports. The internal

15. Assessment from the other assurance provider on significant risks should be reported to relevant are146

lehlivých, relevantních a účelných informacích. Standard 2310 musí být vedoucím interního auditu dodržen bez ohledu na to, v jaké míře je práce ostatních dodavatelů ujištění využívána.

mohou být detailně zahrnuty nebo souhrnně uvedeny ve zprávách interního auditu. Interní auditor by měl uvést odkaz na ostatní dodavatele ujištění v případě, když se zprávy opírají o informace ostatních dodavatelů ujištění.

9. Interní auditor by měl zajistit, aby práce jiného dodavatele ujištění byla řádně plánována, byl nad ní vykonáván dohled, byla dokumentována a ověřována. Auditor by měl zvážit, zda auditní důkazy jsou vhodné a dostatečné k tomu, aby byl určen rozsah, v jakém se lze spolehnout na práci ostatních dodavatelů ujištění. Na základě vyhodnocení práce jiného dodavatele ujištění může vyvstat potřeba provést dodatečné práce nebo testování, aby byl získán vhodný a dostatečný důkazní materiál. Interní auditor by měl dojít k uspokojivému závěru, že zjištění se zdají být přiměřená vzhledem ke znalostem oboru podnikání, prostředí, postupů a dalších informací použitých tímto dodavatelem ujištění.

12. Následný audit (follow-up) je proces, kterým interní auditoři hodnotí přiměřenost, účinnost a včasnost opatření přijatých vedením ve vztahu k pozorováním a doporučením, o kterých byli informováni, včetně těch učiněných ostatními dodavateli ujištění. Při ověřování opatření přijatých za účelem splnění doporučení navržených ostatními dodavateli ujištění by měl interní auditor určit, zda vedení splnilo doporučení nebo přijalo riziko jeho nesplnění. 13. Významná zjištění ostatních dodavatelů ujištění by měla být vzata v potaz v kontextu ujištění a komunikace, kterou interní audit poskytuje dané společnosti. Navíc, výsledky práce provedené ostatními mohou ovlivnit celkové vyhodnocení rizik prováděné interním auditem a to z hlediska, zda daná zjištění mají dopad na ohodnocení rizika a úroveň auditní práce nezbytné k odpovědi na toto riziko.

10. Míra, v jaké je možné se spolehnout na jiného dodavatele ujištění, bude ovlivněna faktory uvedenými dříve: nezávislost, objektivita, schopnosti, praktické zkušenosti, přiměřenost provedení auditní práce a dostatečnost auditních důkazů na podporu dané úrovně ujištění. Úměrně tomu, jak se riziko nebo významnost činnosti ověřované jiným dodavatelem ujištění zvyšuje, měl by interní auditor shromáždit více informací o výše uvedených faktorech a je též možné, že bude muset získat dodatečné auditní důkazy k doplnění práce provedené jiným dodavatelem ujištění. Aby zvýšil míru, v jaké se lze na výsledky jiného dodavatele ujištění spolehnout, může interní audit jeho výsledky znovu otestovat.

14. Při hodnocení účinnosti procesu řízení rizik a přínosů ke zlepšení tohoto procesu (Standard 2120: Řízení rizik) může interní audit ověřovat procesy interních dodavatelů ujištění, včetně takových činností ve společnosti jako jsou compliance, informační bezpečnost, kvalita, bezpečnost a ochrana zdraví při práci a také činnosti monitorující řízení. Rizikové oblasti by měly být pokryty interním auditem, ale pokud existují další ujišťovací činnosti, může interní audit ověřit výkon daného procesu spíše než opakovat detailní typickou práci těchto činností.

11. Výsledky dodavatele ujištění by měl interní auditor zahrnout do závěrečné zprávy z ujišťovací zakázky, kterou předkládá vedení a orgánům společnosti nebo ostatním zainteresovaným subjektům (stakeholders). Významné záležitosti, na které jiný dodavatel ujištění upozornil,

15. Hodnocení poskytnuté jiným dodavatelem ujištění a týkající se významných rizik by mělo být předáno odpovídajícím oblastem/úrovním ve společnosti, aby 147


as of the organization to be included in considerations regarding the organization’s risk management framework and assurance map. See Practice Advisory 2050-2: Assurance Maps.

Reporting to Senior Management and the Board Primary Related Standard

2060 – Reporting to Senior Management and the Board The chief audit executive must report periodically to senior management and the board on the internal audit activity’s purpose, authority, responsibility, and performance relative to its plan. Reporting must also include significant risk exposures and control issues, including fraud risks, governance issues, and other matters needed or requested by senior management and the board. Interpretation: The frequency and content of reporting are determined in discussion with senior management and the board and depend on the importance of the information to be communicated and the urgency of the related actions to be taken by senior management or the board. 1. The purpose of reporting is to provide assurance to senior management and the board regarding governance processes (Standard 2110), risk management (Standard 2120), and control (Standard 2130). Standard 1111 states: “The chief audit executive must communicate and interact directly with the board.” 2. The chief audit executive (CAE) should agree with the board about the frequency and nature of reporting on the internal audit activity’s charter (e.g., purpose, authority, responsibility) and performance. Performance reporting should be relative to the most recently approved plan to inform senior management and the board of significant deviations from the approved audit plan, staffing plans, and financial budgets; reasons for the deviations; and action needed or taken. Standard 1320 states: “The chief audit executive must 148


je tyto mohly zohlednit v rámci řízení rizik ve společnosti a v mapě ujištění. Viz Doporučení pro praxi 2050-2: Mapy ujištění.

Předávání zpráv vedení a orgánům společnosti Související standard

2060 – Předávání zpráv vedení a orgánům společnosti Vedoucí interního auditu musí vedení a orgánům společnosti pravidelně předávat zprávy, týkající se účelu, pravomoci, odpovědností interního auditu a jeho výkonnosti v porovnání s plánem interního auditu. Tyto zprávy musí též obsahovat zjištění týkající se významných rizik, řídicího a kontrolního systému, včetně rizik podvodu a dále zjištění ohledně řízení a správy společnosti a dalších záležitostí dle potřeb a požadavků vedení a orgánů společnosti. Interpretace: Četnost a obsah předávaných zpráv jsou stanoveny na základě diskuse s vedením a orgány společnosti a závisí na důležitosti předávaných informací a na naléhavosti souvisejících opatření, které mají být přijaty vedením a orgány společnosti. 1. Účelem předávání zpráv je poskytovat vedení a orgánům společnosti ujištění týkající se procesů řízení a správy (Standard 2110), řízení rizik (Standard 2120) a řízení a kontroly (2130). Standard 1111 uvádí: „Vedoucí interního auditu musí komunikovat a být ve vzájemné součinnosti přímo s orgány společnosti.“ 2. Vedoucí interního auditu (CAE) by měl s orgány společnosti dohodnout periodicitu a charakter předávání zpráv o statutu interního auditu (např. účel, pravomoci, odpovědnosti). Zprávy týkající se výkonnosti by měly navazovat na aktuálně schválený plán interního auditu a informovat vedení a orgány společnosti o významných odchylkách od schváleného plánu auditů, plánu zabezpečení lidských zdrojů a finančního rozpočtu a o důvodech těchto odchylek a potřebných nebo přijatých opatřeních. Standard 1320 uvádí: „Vedoucí interního auditu musí informovat vedení a or149

communicate the results of the quality assurance and improvement program to senior management and the board.”

6. If the CAE and senior management cannot reach an agreement, Standard 2600 directs the CAE to inform the board. If possible, the CAE and management should make a joint presentation about the conflicting positions. For financial reporting matters, CAEs should consider discussing these issues with the external auditors in a timely manner.

3. Significant risk exposures and control issues are those conditions that, according to the CAE’s judgment, could adversely affect the organization and its ability to achieve its strategic, financial reporting, operational, and compliance objectives. Significant issues may carry unacceptable exposure to internal and external risks, including conditions related to control weaknesses, fraud, irregularities, illegal acts, errors, inefficiency, waste, ineffectiveness, conflicts of interest, and financial viability. 4. Senior management and the board make decisions on the appropriate action to be taken regarding significant issues. They may decide to assume the risk of not correcting the reported condition because of cost or other considerations. Senior management should inform the board of decisions about all significant issues raised by internal auditing. 5. When the CAE believes that senior management has accepted a level of risk that the organization considers unacceptable, the CAE must discuss the matter with senior management as stated in Standard 2600. The CAE should understand management’s basis for the decision, identify the cause of any disagreement, and determine whether management has the authority to accept the risk. Disagreements may relate to risk likelihood and potential exposure, understanding of risk appetite, cost, and level of control. Preferably, the CAE should resolve the disagreement with senior management.

150

gány společnosti o výsledcích programu pro zabezpečení a zvyšování kvality.“

6. Pokud vedoucí interního auditu a vedení společnosti nemohou dosáhnout shody, Standard 2600 nařizuje, aby vedoucí interního auditu informoval orgány společnosti. Pokud je to možné, měli by vedoucí interního auditu a vedení vytvořit společnou prezentaci o konfliktních postojích. Ve věcech týkajících se finančního výkaznictví by měl vedoucí interního auditu zvážit včasné projednání těchto záležitostí s externím auditorem.

3. Významná rizika a problémy v oblasti řízení a kontroly představují takové situace, které by podle úsudku vedoucího interního auditu mohly nepříznivě ovlivnit organizaci a její schopnost plnit strategické a provozní cíle a dále cíle v oblasti finančního výkaznictví a souladu (compliance). Významné problémy mohou přinést nepřijatelnou expozici vůči vnitřním i vnějším rizikům, včetně situací souvisejících se slabinami v oblasti řízení a kontroly, souvisejících s podvody, nesrovnalostmi, nezákonným jednáním, chybami, neefektivností, plýtváním, neúčinností, konfliktem zájmů a finanční životaschopností. 4. Vedení a orgány společnosti rozhodují o odpovídajících opatřeních, která mají být přijata v případě významných problémů. Mohou rozhodnout o převzetí rizika plynoucího z neprovedení nahlášeného stavu vzhledem k nákladům nebo v důsledku jiných úvah. Vedení by mělo informovat orgány společnosti o rozhodnutích týkajících se všech významných problémů oznámených interním auditem. 5. Pokud se vedoucí interního auditu domnívá, že vedení přijalo úroveň rizika, která je pro společnost nepřijatelná, musí vedoucí interního auditu diskutovat tuto záležitost s vedením způsobem uvedeným ve Standardu 2600. Vedoucí interního auditu by měl pochopit důvody daného rozhodnutí poskytnutého vedením, identifikovat příčiny všech rozporů a určit, zda vedení má oprávnění dané riziko přijmout. Rozpory se mohou týkat pravděpodobnosti rizika a potenciální expozice vůči riziku, chápání rizikové tolerance, nákladů a úrovně řízení a kontroly. Přednostně by vedoucí interního auditu měl vyřešit rozpor vůči vedení společnosti.

151


3. Globally, there are a variety of governance models that have been published by other organizations and legal and regulatory bodies. For example, the Organisation for Economic Co-operation and Development (OECD) defines governance as: “...a set of relationships between a company’s management, its board, its shareholders, and other stakeholders. Corporate governance provides the structure through which the objectives of the company are set and the means of attaining those objectives and monitoring performance are determined.” The Australian Securities Exchange Corporate Governance Council defines governance as: “...the system by which companies are directed and managed. It influences how the objectives of the company are set and achieved, how risk is monitored and assessed, and how performance is optimized.” In most instances, there is an indication that governance is a process or system and is not static. What distinguishes the approach in the Standards is the specific emphasis on the board and its governance activities.

Governance: Definition


2110 – Governance The internal audit activity must assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives: • • • •

Promoting appropriate ethics and values within the organization. Ensuring effective organizational performance management and accountability. Communicating risk and control information to appropriate areas of the organization. Coordinating the activities of – and communicating information among – the board, external and internal auditors, and management.

1. The role of internal auditing as noted in the Definition of Internal Auditing includes the responsibility to evaluate and improve governance processes as part of the assurance function.

4. The frameworks and requirements for governance vary according to organization type and regulatory jurisdictions. Examples include publicly traded companies, not-for-profit organizations, associations, government or quasi-government entities, academic institutions, private companies, commissions, and stock exchanges.

2. The term governance has a range of definitions depending on a variety of environmental, structural, and cultural circumstances, as well as legal frameworks. The International Standards for the Professional Practice of Internal Auditing (Standards) define governance as: “the combination of processes and structures implemented by the board to inform, direct, manage, and monitor the activities of the organization toward the achievement of its objectives.” The chief audit executive (CAE) may use a different definition for audit purposes when the organization has adopted a different governance framework or model.

5. How an organization designs and practices the principles of effective governance also vary depending on the size, complexity, and life cycle maturity of the organization, its stakeholder structure, legal and cultural requirements, etc.

152


3. Obecně existuje řada modelů řízení a správy společnosti, které byly publikovány jinými organizacemi a právními nebo regulatorními orgány. Např. Organizace pro hospodářskou spolupráci a rozvoj (OECD) definuje řízení a správu jako „… souhrn vztahů mezi vedením společnosti, jejími orgány, akcionáři a ostatními zainteresovanými subjekty (stakeholders). Řízení a správa společnosti poskytuje strukturu, prostřednictvím které jsou stanovovány cíle společnosti, jsou určovány prostředky k jejich dosažení a k monitorování výkonu společnosti.“ Australian Securities Exchange Corporate Governance Council definuje řízení a správu jako: „… systém, prostřednictvím kterého jsou společnosti vedeny a řízeny. Tento systém ovlivňuje způsob, jakým jsou stanovovány a dosahovány cíle společnosti, jakým je monitorováno a hodnoceno riziko a jakým je optimalizován výkon společnosti.“ Ve většině případů existuje známka toho, že řízení a správa je procesem nebo systémem, který není statický. To, čím se odlišuje přístup uplatněný ve Standardech, je specifický důraz kladený na orgány společnosti a jejich činnosti při řízení a správě společnosti.

Řízení a správa společnosti: Definice Související standard

2110 – Řízení a správa společnosti Interní audit musí hodnotit a poskytovat vhodná doporučení za účelem zdokonalení procesu řízení a správy společnosti. V této roli plní následující cíle: • podpora vhodných etických a hodnotových kritérií v rámci společnosti, • zajištění účinného řízení výkonnosti společnosti a účinného přiřazení zodpovědnosti, • předávání informací týkajících se rizik a vnitřního řídicího a kontrolního systému příslušným organizačním úrovním v rámci společnosti, • koordinace těchto činností a předávání informací mezi orgány společnosti, externími a interními auditory a vedením. 1. Role interního auditu, jak je uvedena v Definici interního auditu, obsahuje, jako součást ujišťovací funkce, odpovědnost za hodnocení a zlepšování procesů řízení a správy společnosti.

4. Rámec a požadavky pro řízení a správu společnosti se liší podle typu společnosti a regulatorně-právního prostředí. Příkladem jsou veřejně obchodované společnosti, neziskové organizace, asociace, vládní nebo polo-vládní instituce, akademické instituce, soukromé společnosti, komise a akciové burzy.

2. Termín „řízení a správa společnosti“ má celou řadu definicí závisejících na souboru strukturálních a kulturních podmínek a podmínek prostředí, a také na právních rámcích. Mezinárodní standardy pro profesní praxi interního auditu (Standardy) definují řízení a správu jako: „kombinaci procesů a struktur zavedených orgány společnosti za účelem informování, kontroly, řízení a monitorování činností organizace směrem k dosažení jejích cílů“. Vedoucí interního auditu (CAE) může pro účely interního auditu používat jinou definici, pokud společnost přijala odlišný rámec nebo model řízení a správy společnosti.

5. To, jakým způsobem společnost uspořádá a uplatňuje principy účinného řízení a správy společnosti se také liší v závislosti na velikosti, složitosti a životním cyklu dané společnosti, její struktuře zainteresovaných subjektů (stakeholders), právních a kulturních požadavcích apod.

153


6. As a consequence of the variation in the design and structure of governance, the CAE should work with the board and the executive management team, as appropriate, to determine how governance should be defined for audit purposes.

Governance: Relationship With Risk and Control Primary Related Standard

2110 – Governance The internal audit activity must assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives:

7. Internal auditing is integral to the organization’s governance framework. Their unique position within the organization enables internal auditors to observe and formally assess the governance structure, its design, and its operational effectiveness while remaining independent.

• • • •

8. The relationship among governance, risk management, and internal control should be considered. This item is addressed in Practice Advisory 2110-2. Practice Advisory 2110-3 discusses assessing governance.


1. The International Standards for the Professional Practice of Internal Auditing defines governance as “the combination of processes and structures implemented by the board to inform, direct, manage, and monitor the activities of the organization toward the achievement of its objectives.” 2. Governance does not exist as a set of distinct and separate processes and structures. Rather, there are relationships among governance, risk management, and internal controls. 3. Effective governance activities consider risk when setting strategy. Conversely, risk management relies on effective governance (e.g., tone at the top, risk appetite and tolerance, risk culture, and the oversight of risk management).

154


6. V důsledku rozdílů v uspořádání a uplatňování zásad řízení a správy společnosti by měl vedoucí interního auditu odpovídajícím způsobem spolupracovat s orgány společnosti a s týmem výkonného vedení při stanovení způsobu, jakým by řízení a správa společnosti měla být definována pro účely auditu.

Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou Související standard

2110 – Řízení a správa společnosti Interní audit musí hodnotit a poskytovat vhodná doporučení za účelem zdokonalení procesu řízení a správy společnosti. V této roli plní následující cíle:

7. Interní audit je nedílnou součástí rámce řízení a správy společnosti. Unikátní postavení interních auditorů v rámci společnosti umožňuje sledovat a formálně hodnotit strukturu řízení a správy společnosti, její uspořádání a provozní účinnost, při zachování nezávislosti.

• podpora vhodných etických a hodnotových kritérií v rámci společnosti, • zajištění účinného řízení výkonnosti společnosti a účinného přiřazení zodpovědnosti, • předávání informací týkajících se rizik a vnitřního řídicího a kontrolního systému příslušným organizačním úrovním v rámci společnosti, • koordinace těchto činností a předávání informací mezi orgány společnosti, externími a interními auditory a vedením.

8. Vztahy mezi řízením a správou, řízením rizik a vnitřním kontrolním systémem společnosti by měly být vzaty v potaz. O této otázce pojednává Doporučení pro praxi 2110-2. Doporučení pro praxi 2110-3 se věnuje hodnocení řízení a správy společnosti.

1. Mezinárodní Standardy pro profesní praxi interního auditu definují řízení a správu jako „kombinaci procesů a struktur zavedených orgány společnosti za účelem informování, kontroly, řízení a monitorování činností organizace směrem k dosažení jejích cílů.“ 2. Řízení a správa neexistuje jako soustava odlišných a oddělených procesů a struktur. Spíše zde existují vztahy mezi řízením a správou, řízením rizik a vnitřním řídicím a kontrolním systémem. 3. Účinné postupy řízení a správy společnosti berou při stanovení strategie v potaz riziko. Naopak, řízení rizik závisí na účinném řízení a správě společnosti (např. „tón udávaný shora“, ochota riskovat, tolerance vůči rizikům, riziková kultura a dohled nad řízením rizik).

155


4. Effective governance relies on internal controls and communication to the board on the effectiveness of those controls.

Governance: Assessments


5. Control and risk also are related, as control is defined as “any action taken by management, the board, and other parties to manage risk and increase the likelihood that established goals will be achieved.”

2110 – Governance The internal audit activity must assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives:

6. The chief audit executive should consider these relationships in planning assessments of governance processes:

• • • •

• An audit should address those controls in governance processes that are designed to prevent or detect events that could have a negative impact on the achievement of organizational strategies, goals, and objectives; operational efficiency and effectiveness; financial reporting; or compliance with applicable laws and regulations. (See Practice Advisory 2110-3.) • Controls within governance processes are often significant in managing multiple risks across the organization. For example, controls around the code of conduct may be relied upon to manage compliance risks, fraud risks, etc. This aggregation effect should be considered when developing the scope of an audit of governance processes. • If other audits assess controls in governance processes (e.g., audits of controls over financial reporting, risk management processes, or compliance), the auditor should consider relying on the results of those audits.


1. Internal auditors can act in a number of different capacities in assessing and contributing to the improvement of governance practices. Typically, internal auditors provide independent, objective assessments of the design and operating effectiveness of the organization’s governance processes. They also may provide consulting services and advice on ways to improve those processes. In some cases, internal auditors may be called on to facilitate board self-assessments of governance practices. 2. As noted in Practice Advisory 2110-1, Governance: Definition, the definition of governance for audit purposes should be agreed upon with the board and executive management, as appropriate. In addition, the internal auditor should understand the organization’s governance processes and the relationships among governance, risk, and control (refer to Practice Advisory 2110-2, Governance: Relationship with Risk and Control). 156


4. Účinné řízení a správa společnosti se opírají o vnitřní řídicí a kontrolní systém a o předávání zpráv o účinnosti tohoto vnitřního řídicího a kontrolního systému vedení a orgánům společnosti.

Řízení a správa společnosti: Hodnocení Související standard

2110 – Řízení a správa společnosti Interní audit musí hodnotit a poskytovat vhodná doporučení za účelem zdokonalení procesu řízení a správy společnosti. V této roli plní následující cíle: • podpora vhodných etických a hodnotových kritérií v rámci společnosti, • zajištění účinného řízení výkonnosti společnosti a účinného přiřazení zodpovědnosti, • předávání informací týkajících se rizik a vnitřního řídicího a kontrolního systému příslušným organizačním úrovním v rámci společnosti, • koordinace těchto činností a předávání informací mezi orgány společnosti, externími a interními auditory a vedením.

5. Řídicí a kontrolní mechanismy/kontrola a riziko mají mezi sebou také vztah – řídicí a kontrolní mechanismus/kontrola je definován/a jako „jakékoli opatření přijaté vedením a orgány společnosti nebo dalšími subjekty s cílem řízení rizika a zvýšení pravděpodobnosti, že stanovené cíle budou splněny.“ 6. Vedoucí interního auditu by měl vzít tyto závislosti v potaz při plánování hodnocení procesů řízení a správy společnosti: • audit by se měl v rámci řízení a správy společnosti zabývat těmi řídicími a kontrolními mechanismy, které jsou navrženy za účelem prevence nebo odhalení událostí, které mohou mít negativní dopad na dosažení strategie společnosti, jejích záměrů a cílů; na účinnost a efektivnost provozních činností, na finanční výkaznictví nebo na soulad s příslušnými zákony a regulací (viz Doporučení pro praxi 2110-3), • řídicí a kontrolní mechanismy nacházející se uvnitř procesů řízení a správy jsou často důležité pro řízení několika rizik vyskytujících se napříč společností. Např. na řídicí a kontrolní mechanismy týkající se pravidel chování (code of conduct) je možné se spoléhat při řízení compliance rizik, rizika podvodu apod. Tento agregační účinek by měl být vzat v potaz při přípravě rozsahu auditu v oblasti procesů řízení a správy společnosti, • pokud jiné audity hodnotí řídicí a kontrolní mechanismy nacházející se uvnitř procesů řízení a správy společnosti (např. audity řídicích a kontrolních mechanismů ve finančním výkaznictví, v procesech řízení rizik nebo v oblasti compliance), pak by měl auditor vzít v potaz možnost spolehnout se na výsledky těchto auditů.

1. Interní auditoři mohou působit v řadě různých rolí spočívajících v hodnocení postupů řízení a správy společnosti a v přispívání k jejich zlepšování. Většinou poskytují interní auditoři nezávislé a objektivní hodnocení toho, jak je uspořádán proces řízení a správy společnosti a jaká je jeho provozní účinnost. Mohou také poskytovat poradenské služby a rady ohledně způsobů, jak tyto procesy zlepšit. V některých případech mohou být interní auditoři vyzváni, aby napomohli vedení a orgánům společnosti při sebehodnocení postupů řízení a správy společnosti. 2. Jak je uvedeno v Doporučení pro praxi 2110-1: Řízení a správa společnosti: Definice, může být definice řízení a správy společnosti pro účely auditu přiměřeným způsobem dohodnuta s výkonným vedením a orgány společnosti. Navíc by měl interní auditor porozumět procesům řízení a správy společnosti a vztahům mezi řízením a správou, rizikem a řízením a kontrolou (viz Doporučení pro praxi 2110-2: Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou). 157

3. The audit plan should be developed based on an assessment of risks to the organization. All governance processes should be considered in the risk assessment. The plan should include the higher risk governance processes, and inclusion of an assessment of processes or risk areas where the board or executive management has requested work be performed should be considered. The plan should define the nature of the work to be performed, the governance processes to be addressed, and the nature of the assessments that will be made (i.e., macro — considering the entire governance framework, or micro — considering specific risks, processes, or activities, or some combination of both).

• Other information on governance issues such as adverse incidents indicating an opportunity to improve governance processes. 1. During the planning, evaluating, and reporting phases, the internal auditor should be sensitive to the potential nature and ramifications of the results and ensure appropriate communications with the board and executive management. The internal auditor should consider consulting legal counsel both before initiating the audit and before finalizing the report. 2. The internal audit activity is an essential part of the governance process. The board and executive management should be able to rely on the quality assurance and improvement program of the internal audit activity in conjunction with external quality assessments performed in accordance with the International Standards for the Professional Practice of Internal Auditing for assurance on its effectiveness.

4. When there are known control issues or the governance process is not mature, the chief audit executive could consider different methods for improving the control or governance processes through consulting services instead of, or in addition to, formal assessments. 5. Internal audit assessments regarding governance processes are likely to be based on information obtained from numerous audit assignments over time. The internal auditor should consider: • The results of audits of specific governance processes (e.g., the whistleblower process, the strategy management process). • Governance issues arising from audits that are not specifically focused on governance (e.g., audits of the risk management process, internal control over financial reporting, fraud risks). • The results of other internal and external assurance providers’ work (e.g., a firm engaged by the general counsel to review the investigation process). Refer to Practice Advisory 2050, Coordination.

158

3. Plán auditu by měl být vypracován na základě hodnocení rizik, kterým je společnost vystavena. Při hodnocení rizik by měly být zváženy všechny procesy řízení a správy. Plán by měl zahrnovat vysoce rizikové procesy řízení a správy a mělo by se zvážit, zda do plánu bude zařazeno hodnocení těch procesů nebo rizikových oblastí vyžádaných orgány společnosti nebo výkonným vedením. Plán by měl definovat charakter práce, která má být provedena, výčet procesů řízení a správy, které mají být hodnoceny, a způsob hodnocení, které bude použito (tj. makro – týkající se celého rámce řízení a správy nebo mikro – zvažující specifická rizika, procesy nebo činnosti nebo některé kombinace obou).

vyšetřování). Viz Doporučení pro praxi 2050: Koordinace, • ostatní informace týkající se problémů řízení a správy, jako např. nepříznivé události poukazující na možnost zlepšení procesů řízení a správy společnosti. 1. Během fáze plánování, hodnocení a předávání zpráv by měl být interní auditor vnímavý vůči možnému charakteru výsledků a jejich důsledkům a měl by zajistit vhodnou komunikaci s výkonným vedením a orgány společnosti. Interní auditor by měl zvážit, zda se neporadí s právním zástupcem před zahájením tohoto auditu nebo před finalizací zprávy. 2. Činnost interního auditu je nezbytnou součástí procesu řízení a správy. Aby se výkonné vedení a orgány společnosti ujistily o účinnosti interního auditu, měly by mít možnost spolehnout se na program pro zabezpečení a zvyšování kvality interního auditu ve spojení s externím hodnocením kvality provedeném v souladu s Mezinárodními standardy pro profesní praxi interního auditu.

4. Pokud existují problémy v oblasti řízení a kontroly, nebo proces řízení a správy není vyspělý, může vzít vedoucí interního auditu v úvahu různé metody pro zlepšení kontroly nebo procesů řízení a správy společnosti, a to prostřednictvím poradenských služeb namísto formálního hodnocení nebo v návaznosti na toto formální hodnocení. 5. Hodnocení interního auditu týkající se procesů řízení a správy společnosti budou ve většině případů vycházet z informací získaných v průběhu času z různých auditních zakázek. Interní auditor by měl vzít v potaz: • výsledky auditů specifických procesů řízení a správy (např. procesu upozorňování na nesrovnalosti /whistleblowing/, procesu strategického řízení), • problémy v oblasti řízení a správy, které vzešly z auditů, jež se specificky nezaměřují na řízení a správu (např. audity procesu řízení rizik, vnitřních kontrol v procesu finančního výkaznictví a rizik podvodu), • výsledky práce dalších interních a externích poskytovatelů ujišťovacích služeb (např. firmy, která byla hlavním právníkem angažována k prověření procesu

159


2. Management and the board are responsible for their organization’s risk management and control processes. However, internal auditors acting in a consulting role can assist the organization in identifying, evaluating, and implementing risk management methodologies and controls to address those risks.

Assessing the Adequacy of Risk Management Processes Primary Related Standard


3. In situations where the organization does not have formal risk management processes, the chief audit executive (CAE) formally discusses with management and the audit committee their obligations to understand, manage, and monitor risks within the organization and the need to satisfy themselves that there are processes operating within the business, even if informal, that provide the appropriate level of visibility into the key risks and how they are being managed and monitored.

Interpretation: Determining whether risk management processes are effective is a judgment resulting from internal auditor’s assessment that: • Organizational objectives support and align with the organization’s mission. • Significant risks are identified and assessed. • Appropriate risk responses are selected that align risks with the organization’s risk appetite. • Relevant risk information is captured and communicated in a timely manner across the organization, enabling staff, management, and the board to carry out their responsibilities.

4. The CAE is to obtain an understanding of senior management’s and the board’s expectations of the internal audit activity in the organization’s risk management process. This understanding is then codified in the charters of the internal audit activity and the board. Internal auditing’s responsibilities are to be coordinated between all groups and individuals within the organization’s risk management process. The internal audit activity’s role in the risk management process of an organization can change over time and may encompass:

Risk management processes are monitored through ongoing management activities, separate evaluations, or both. 1. Risk management is a key responsibility of senior management and the board. To achieve its business objectives, management ensures that sound risk management processes are in place and functioning. Boards have an oversight role to determine that appropriate risk management processes are in place and that these processes are adequate and effective. In this role, they may direct the internal audit activity to assist them by examining, evaluating, reporting, and/or recommending improvements to the adequacy and effectiveness of management’s risk processes.

• No role. • Auditing the risk management process as part of the internal audit plan. • Active, continuous support and involvement in the risk management process such as participation on oversight committees, monitoring activities, and status reporting. • Managing and coordinating the risk management process.

160


2. Vedení a orgány společnosti odpovídají za procesy řízení rizik a řídicí a kontrolní procesy zavedené v dané organizaci. Nicméně, interní auditoři, kteří působí v poradenské roli, mohou pomáhat organizaci při identifikaci, hodnocení a zavádění metodik řízení rizik a řídicích a kontrolních mechanismů určených k působení na tato rizika.

Hodnocení přiměřenosti procesu řízení rizik Související standard

2120 – Řízení rizik Interní audit musí hodnotit účinnost procesu řízení rizik a přispívat ke zdokonalování tohoto procesu.

3. Za situace, kdy organizace nemá zavedeny formální procesy řízení rizik, vedoucí interního auditu formálním způsobem projedná s vedením a výborem pro audit jejich povinnosti týkající se porozumění procesu řízení a sledování rizik v rámci organizace. Dále vedoucí interního auditu projedná potřebu jejich ujištění ohledně existence funkčních procesů v rámci organizace, i když mají neformální podobu, které poskytují příslušný stupeň zviditelnění klíčových rizik a způsobu, jakým jsou rizika řízena a sledována.

Interpretace: Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem úsudku interního auditora založeném na zhodnocení, že: • cíle společnosti podporují poslání společnosti a jsou s ním v souladu, • významná rizika jsou identifikována a ohodnocena, • v reakci na rizika jsou podnikány přiměřené kroky, které dávají do souladu velikost rizika s rizikovou tolerancí společnosti, • důležité informace týkající se rizik jsou získávány a včas sdělovány napříč společností; tyto informace umožňují zaměstnancům, vedení a orgánům společnosti vykonávat jejich odpovědnosti.

4. Vedoucí interního auditu musí být informován o očekáváních vedení a orgánů společnosti ohledně role útvaru interního auditu v procesu řízení rizik. Tato očekávání jsou následně kodifikována ve statutu útvaru interního auditu a ve statutu orgánů společnosti. Odpovědnosti interního auditu je třeba koordinovat mezi jednotlivými skupinami a jednotlivci účastnícími se procesu řízení rizik dané organizace. Role útvaru interního auditu v procesu řízení rizik dané organizace se může měnit v průběhu času a může zahrnovat:

Procesy řízení rizik jsou sledovány prostřednictvím průběžných řídicích činností, samostatných hodnocení nebo prostřednictvím kombinace obou uvedených činností. 1. Řízení rizik je klíčovou odpovědností vedení a orgánů společnosti. Za účelem dosažení svých podnikatelských cílů, vedení zajišťuje, aby byly zavedeny spolehlivé a funkční procesy řízení rizik. Orgány společnosti mají dohledovou roli za účelem stanovení, zda jsou zavedeny příslušné procesy řízení rizik a zda jsou tyto procesy přiměřené a účinné. Orgány společnosti mohou dát pokyn útvaru interního auditu, aby jim v této roli napomáhal v oblastech zkoumání, hodnocení, předávání zpráv a/nebo předkládání doporučení ke zlepšení přiměřenosti a účinnosti procesů řízení rizik.

• žádnou roli, • provádění auditu procesu řízení rizik jako součásti plánu interního auditu, • aktivní, trvalou podporu a zapojení se do procesu řízení rizik, jako je účast v dohledových výborech, při monitorovacích činnostech a při podávání hlášení o stavu, • řízení a koordinaci procesu řízení rizik.

161

5. Ultimately, it is the role of senior management and the board to determine the role of internal auditing in the risk management process. Their view on internal auditing’s role is likely to be determined by factors such as the culture of the organization, ability of the internal audit staff, and local conditions and customs of the country. However, taking on management’s responsibility regarding the risk management process and the potential threat to the internal audit activity’s independence requires a full discussion and board approval.

cesses. In gathering such evidence, the internal auditor might consider the following audit procedures: • Research and review current developments, trends, industry information related to the business conducted by the organization, and other appropriate sources of information to determine risks and exposures that may affect the organization and related control procedures used to address, monitor, and reassess those risks. • Review corporate policies and board and audit committee minutes to determine the organization’s business strategies, risk management philosophy and methodology, appetite for risk, and acceptance of risks. • Review previous risk evaluation reports issued by management, internal auditors, external auditors, and any other sources. • Conduct interviews with line and executive management to determine business unit objectives, related risks, and management’s risk mitigation and control monitoring activities. • Assimilate information to independently evaluate the effectiveness of risk mitigation, monitoring, and communication of risks and associated control activities. • Assess the appropriateness of reporting lines for risk monitoring activities. • Review the adequacy and timeliness of reporting on risk management results. • Review the completeness of management’s risk analysis and actions taken to remedy issues raised by risk management processes, and suggest improvements. • Determine the effectiveness of management’s self-assessment processes through observations, direct tests of control and monitoring procedures, testing the accuracy of information used in monitoring activities, and other appropriate techniques. • Review risk-related issues that may indicate weakness in risk management practices and, as appropriate, discuss with senior management and the board. If the auditor believes that management has accepted a level of risk

6. The techniques used by various organizations for their risk management practices can vary significantly. Depending on the size and complexity of the organization’s business activities, risk management processes can be: • Formal or informal. • Quantitative or subjective. • Embedded in the business units or centralized at a corporate level. 7. The organization designs processes based on its culture, management style, and business objectives. For example, the use of derivatives or other sophisticated capital markets products by the organization could require the use of quantitative risk management tools. Smaller, less complex organizations could use an informal risk committee to discuss the organization’s risk profile and to initiate periodic actions. The internal auditor determines that the methodology chosen is sufficiently comprehensive and appropriate for the nature of the organization’s activities. 8. Internal auditors need to obtain sufficient and appropriate evidence to determine that the key objectives of the risk management processes are being met to form an opinion on the adequacy of risk management pro162

5. V konečném důsledku je to role vedení a orgánů společnosti, která určuje roli interního auditu v procesu řízení rizik. Jejich pohled na roli interního auditu bude pravděpodobně určen faktory, jako jsou firemní kultura dané organizace, schopnosti pracovníků interního auditu a místní podmínky a zvyklosti v dané zemi. Nicméně, převzetí odpovědnosti vedení společnosti za proces řízení rizik a možné související ohrožení nezávislosti výkonu interního auditu vyžaduje, aby bylo řádně projednáno a schváleno orgány společnosti.

ďování těchto informací může interní auditor vzít v úvahu následující auditní postupy: • prozkoumání a posouzení současného vývoje, trendů, informací z odvětví týkajících se podnikatelských činností prováděných organizací a ostatních přiměřených zdrojů informací za účelem stanovení jednotlivých rizik a jejich míry, které mohou mít na organizaci vliv a za účelem určení souvisejících kontrolních a řídicích postupů používaných k řízení, sledování a opětovnému vyhodnocení těchto rizik, • posouzení firemních zásad, zápisů z jednání orgánů společnosti a výboru pro audit za účelem získání informací o podnikatelské strategie organizace, o základní filosofii a metodice řízení rizik a o ochotě riskovat a přijímat rizika, • posouzení dříve vydaných zpráv obsahujících hodnocení rizik vydaných vedením, interními auditory, externími auditory a všemi ostatními subjekty, • provedení pohovorů s liniovým a výkonným vedením za účelem získání informací o cílech podnikatelských jednotek, o souvisejících rizicích a o činnostech managementu vedoucích ke snížení rizik a o jeho činnostech v oblasti sledování řídicích a kontrolních mechanismů, • použití informací za účelem nezávislého hodnocení účinnosti snižování rizik, sledování a předávání informací o rizicích a s tím spojených řídicích a kontrolních činností, • hodnocení vhodnosti informačních kanálů pro činnosti zajišťující sledování rizik, • posouzení přiměřenosti a včasnosti reportingu výsledků řízení rizik, • posouzení úplnosti analýz rizik provedených managementem a opatření podniknutých k nápravě problémů identifikovaných v rámci procesů řízení rizik a navržení zlepšení, • stanovení účinnosti procesů manažerského sebehodnocení s využitím pozorování, přímého testování řídicích, kontrolních a monitorovacích postupů, s využitím tes-

6. Postupy používané jednotlivými organizacemi v rámci jejich praxe v oblasti řízení rizik se mohou významně lišit. V závislosti na velikosti a složitosti podnikatelských činností organizace, proces řízení rizik může být: • formální nebo neformální, • kvantitativní nebo subjektivní, • začleněný do podnikatelských jednotek nebo centralizovaný na úrovni celé společnosti. 7. Organizace vytváří procesy založené na své firemní kultuře, stylu řízení a podnikatelských cílech. Například použití derivátů nebo jiných složitých produktů kapitálového trhu by mohlo vyžadovat, aby společnost používala kvantitativní nástroje řízení rizik. Menší, méně složité organizace by mohly zavést neformální výbor pro rizika, jehož rolí je projednat rizikový profil dané organizace a zahájit pravidelné provádění postupů. Interní auditor určí, zda zvolená metodika je dostatečná, úplná a vhodná z hlediska charakteru činností dané organizace. 8. Pro vytvoření názoru na přiměřenost procesů řízení rizik je třeba, aby interní auditoři získali dostatečné a vhodné informace za účelem stanovení, zda jsou plněny klíčové cíle procesu řízení rizik. Při shromaž-

163


that is inconsistent with the organization’s risk management strategy and policies, or that is deemed unacceptable to the organization, refer to Standard 2600 – Management’s Acceptance of Risks and related guidance for additional direction.

Managing the Risk of the Internal Audit Activity Primary Related Standard


Translation note: • Added paragraph #4 above was extracted from PPF PAs 2100-4 paragraph #3 and 2100-3 paragraph #6. • Added paragraph #5 above was extracted from PPF PA 2100-3 paragraph #7.

Interpretation: Determining whether risk management processes are effective is a judgment resulting from internal auditor’s assessment that: • Organizational objectives support and align with the organization’s mission. • Significant risks are identified and assessed. • Appropriate risk responses are selected that align risks with the organization’s risk appetite. • Relevant risk information is captured and communicated in a timely manner across the organization, enabling staff, management, and the board to carry out their responsibilities. Risk management processes are monitored through ongoing management activities, separate evaluations, or both. 1. The role and importance of internal auditing has grown tremendously and the expectations of key stakeholders (e.g., board, executive management) continue to expand. Internal audit activities have broad mandates to cover financial, operational, information technology, legal/regulatory, and strategic risks. At the same time, many internal audit activities face challenges related to the availability of qualified personnel in the global labor markets, increased compensation costs, and high demand for specialized resources (e.g., information systems, fraud, derivatives, taxes). The combination of these factors results 164


tování přesnosti informací používaných při monitorovacích činnostech a dále s využitím ostatních vhodných postupů, • posouzení problémů souvisejících s riziky, které mohou označovat nedostatky v postupech řízení rizik a, podle potřeby, jejich projednání s vedením a orgány společnosti. Jestliže se auditor domnívá, že vedení přijalo míru rizika, která není v souladu se strategií a zásadami řízení rizik v dané organizaci nebo která je nepřijatelná pro danou organizaci, dále postupuje dle Standardu 2600 Přijetí rizika vedením společnosti.

Řízení rizik interního auditu


2120 – Řízení rizik Interní audit musí hodnotit účinnost procesu řízení rizik a přispívat ke zdokonalování tohoto procesu. Interpretace: Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem úsudku interního auditora založeném na zhodnocení, že: • cíle společnosti podporují poslání společnosti a jsou s ním v souladu, • významná rizika jsou identifikována a ohodnocena, • v reakci na rizika jsou podnikány přiměřené kroky, které dávají do souladu velikost rizika s rizikovou tolerancí společnosti, • důležité informace týkající se rizik jsou získávány a včas sdělovány napříč společností; tyto informace umožňují zaměstnancům, vedení a orgánům společnosti vykonávat jejich odpovědnosti. Procesy řízení rizik jsou sledovány prostřednictvím průběžných řídicích činností, samostatných hodnocení nebo prostřednictvím kombinace obou uvedených činností. 1. Úloha a důležitost interního auditu výrazně vzrostla a očekávání klíčových zainteresovaných subjektů (stakeholders - např. orgány společnosti a výkonné vedení), stále vrůstají. Útvary interního auditu disponují širokými pravomocemi k pokrytí finančních, operačních, právních/regulatorních rizik, rizik informačních technologií a strategických rizik. Zároveň mnoho útvarů interního auditu čelí změnám souvisejícím s dostupností kvalifikovaných zaměstnanců na globálním trhu práce, se zvyšujícími se mzdovými náklady a s velkou poptávkou po specializovaných pracovnících (např. informační systémy, podvody, deriváty, daně). Z kombinace těchto faktorů vyplývá pro 165

in a high level of risk for an internal audit activity. As a result, chief audit executives (CAE) need to consider the risks related to their internal audit activities and the achievement of their objectives.

• Use of audit teams that do not have the appropriate level of competence based on experience or knowledge of high risk areas. • Failure to exercise heightened professional skepticism and extended internal audit procedures related to findings or control deficiencies. • Failure of adequate internal audit supervision. • Making the wrong decision when there was some evidence of fraud – e.g., “It’s probably not material” or “We don’t have the time or resources to deal with this issue.” • Failure to communicate suspicions to the right people. • Failure to report adequately.

2. The internal audit activity is not immune to risks. It needs to take the necessary steps to ensure that it is managing its own risks. 3. Risks to internal audit activities fall into three broad categories: audit failure, false assurance, and reputation risks. The following discussion highlights the key attributes related to these risks and some steps an internal audit activity may consider to better manage them.

1. Internal audit failures may not only be embarrassing for internal audit activities, but they can also expose an organization to significant risk. While there is no absolute assurance that audit failures will not occur, an internal audit activity can implement the following practices to mitigate such risk:

4. Every organization will experience control breakdowns. Often times when controls fail or frauds occur, someone will ask: “Where were the internal auditors?” The internal audit activity could be a contributing factor due to:

• Quality Assurance and Improvement Program: It is critical for every internal audit activity to implement an effective quality assurance and improvement program. • Periodic Review of the Audit Universe: Review the methodology to determine the completeness of the audit universe by routinely evaluating the organization’s dynamic risk profile. • Periodic Review of the Audit Plan: Review the current audit plan to assess which assignments may be of higher risk. By “flagging” the higher risk assignments, management of the internal audit activity has better visibility and may spend more time understanding the approach to the critical assignments. • Effective Planning: There is no substitute for effective audit planning. A thorough planning process that includes updating relevant facts about the client and the performance of an effective risk assessment can

• Not following the International Standards for the Professional Practice of Internal Auditing. • An inappropriate quality assurance and improvement program (Standard 1300), including procedures to monitor auditor independence and objectivity. • Lack of an effective risk assessment process to identify key audit areas during the strategic risk assessment, as well as areas of high risk during the planning of individual audits – as a result, failure to do the right audits and/or time wasted on the wrong audits. • Failure to design effective internal audit procedures to test the “real” risks and the right controls. • Failure to evaluate both the design adequacy and the control effectiveness as part of internal audit procedures.

166

činnost interního auditu vysoká úroveň rizika. Proto je třeba, aby vedoucí interního auditu zvážil rizika související s činnostmi interního auditu a s dosažením cílů interního auditu.

• Neschopnost hodnotit v rámci prováděných auditních postupů dostatečnost nastavení řídicích a kontrolních mechanismů a jejich účinnost. • Využití auditních týmů, které nemají dostatečnou úroveň způsobilosti založenou na zkušenostech nebo vědomostech týkajících se vysoce rizikových oblastí. • Neschopnost uplatňovat ve zvýšené míře profesní skepticismus a rozšířené postupy interního auditu souvisejících s nálezy a nedostatky v řídicích a kontrolních mechanismech. • Neschopnost provádět dostatečný dohled (supervizi) interního auditu. • Špatné rozhodnutí v případě existence příznaků podvodu – např. „Pravděpodobně to není významné“ nebo „Nemáme čas nebo zdroje zabývat se touto záležitostí“. • Selhání při předávání informací týkajících se podezřelých skutečností správným osobám. • Neschopnost odpovídajícím způsobem předávat informace.

2. Činnost interního auditu není vůči rizikům imunní. K tomu, aby interní audit řídil svoje vlastní rizika je třeba podniknout nezbytné kroky. 3. Rizika hrozící činnostem interního auditu spadají do tří kategorií: selhání auditní činnosti, nesprávné ujištění a reputační riziko. Následující diskuse zdůrazňuje klíčové prvky související s těmito riziky a některé kroky, které může interní audit zvážit při zlepšení jejich řízení. 4. Každá společnost má zkušenost se selháním řídicích a kontrolních mechanismů. Často, když řídicí a kontrolní mechanismy selžou nebo se objeví podvod, může se někdo zeptat: „Kde byli interní auditoři?“. Činnost interního auditu by mohla být jednou z příčin díky tomu, že:

1. Selhání interního auditu mohou být nejen rozčarováním pro samotný interní audit, ale mohou také pro společnost znamenat významné vystavení se riziku. Protože neexistuje absolutní jistota, že nemůže dojít k selháním interního auditu, může ke zmírnění takového rizika interní audit zavést následující postupy: • Program pro zabezpečení a zvyšování kvality: Je nezbytné, aby každý útvar interního auditu zavedl účinný program pro zabezpečení a zvyšování kvality. • Pravidelné prověřování „audit universe“: Pravidelné hodnocení dynamického rizikového profilu dané společnosti prověřuje metodiku používanou ke stanovení, zda je „audit universe“ kompletní. • Pravidelné prověřování plánu auditu: Prověřovat aktuální plán auditu a ohodnotit, které zakázky mohou být více rizikové. Tím, že se označí zakázky s vyšším stupněm rizika, bude mít vedení interního auditu lep-

• Nejsou dodržovány Mezinárodní standardy pro profesní praxi interního auditu. • Je nedostatečný program pro zabezpečení a zvyšování kvality (Standard 1300), včetně postupů sledování nezávislosti a objektivity auditora. • Chybí účinný proces hodnocení rizik poskytující v rámci hodnocení strategických rizik identifikaci klíčových oblastí auditu a současně v rámci plánování jednotlivých auditů chybí identifikace oblastí s vysokým stupněm rizika – důsledkem toho je neschopnost provádět správné audity a/nebo plýtvání časem věnovaným nesprávným auditům. • Neschopnost navrhovat účinné postupy interního auditu určené pro testování „skutečných“ rizik a testování správných řídicích a kontrolních mechanismů.

167

significantly reduce the risks of audit failure. In addition, understanding the scope of the assignment and the internal audit procedures to be performed are important elements of the planning process, which will reduce the risks of audit failure. Building internal audit activity management checkpoints into the process and obtaining approval of any deviation from the agreed-upon plan is also key. • Effective Audit Design: In most cases, a fair amount of time is spent understanding and analyzing the design of the system of internal controls to determine whether it provides adequate control prior to the start of testing for effectiveness. This provides a firm basis for internal audit comments that address root causes, which can sometimes be the result of poor control design, rather than addressing symptoms. It will also reduce the chance for audit failure by identifying missing controls. • Effective Management Review and Escalation Procedures: Internal audit management’s involvement in the internal audit process (i.e., before the report draft) plays an important part in mitigating the risk of audit failure. This involvement might include work paper reviews, ‘real-time’ discussions related to findings or a closing meeting. By including management of the internal audit activity in the internal audit process, potential issues may be identified and assessed earlier in the assignment. In addition, an internal audit activity may have guidance procedures outlining when and what types of issues to escalate to which level of internal auditing management. • Proper Resource Allocation: It is important to assign the right staff to each internal audit engagement. It is especially important when planning a higher risk or a very technical engagement. Making sure the appropriate competencies are available on the team can play a significant role in reducing the risk of audit failure. In addition to the right competencies, it is important to ensure the appropriate level of experience

is on the team, including strong project management skills for those leading an internal audit engagement. 1. An internal audit activity may unknowingly provide some level of false assurance. “False assurance” is a level of confidence or assurance based on perceptions or assumptions rather than fact. In many cases, the mere fact that the internal audit activity is involved in a matter may create some level of false assurance. 2. The use of internal audit resources in assisting the organization to identify and evaluate significant exposures to risk needs to be clearly defined for projects other than internal audits. For example, an internal audit activity was asked by a business unit to provide some “resources” to assist with the implementation of a new enterprise-wide computer system. The business unit deployed these resources to support some of the testing of the new system. Subsequent to the deployment, an error in the design of the system resulted in a restatement of the financial statements. When asked how this happened, the business unit responded by saying that the internal audit activity had been involved in the process and had not identified the matter. Internal auditor’s involvement created a level of false assurance that was not consistent with its actual role in the project. 3. While there is no way to mitigate all of the risk of false assurance, an internal audit activity can proactively manage its risk in this area. Frequent and clear communication is a key strategy to manage false assurance. Other leading practices include: • Proactively communicate the role and the mandate of the internal audit activity to the audit committee, senior management, and other key stakeholders. • Clearly communicate what is covered in the risk assessment, internal audit plan and internal audit engage168

ší přehled a bude moci věnovat více času pro vyjasnění přístupu k rozhodujícím zakázkám. • Účinné plánování: Účinné plánování nelze ničím nahradit. Důkladný plánovací proces, který zahrnuje aktualizaci relevantních údajů o klientovi a provedení účinného zhodnocení rizik, umožňuje významným způsobem snížit rizika selhání auditu. Pochopení rozsahu zakázky a postupů interního auditu, které mají být provedeny, je navíc důležitým prvkem plánovacího procesu, jež omezuje rizika auditního selhání. Klíčovými prvky jsou též zabudování kontrolních bodů do procesu řízení interního auditu a získání souhlasu se všemi odchylkami od schváleného plánu. • Účinný návrh provádění auditu: Ve většině případů je před tím, než je započato s testováním účinnosti systému vnitřního řízení a kontroly věnován přiměřený čas pochopení a analýze jeho nastavení z hlediska toho, zda poskytuje přiměřenou kontrolu. Tento postup poskytuje pevnou základnu pro komentáře interního auditu týkající se hlavních příčin, jež mohou někdy být důsledkem nesprávného nastavení kontrolního prostředí spíše než aby se tento postup orientoval na jeho projevy. Identifikací chybějících kontrol dojde též ke snížení možnosti auditního selhání. • Účinné manažerské prověřování a postupy pro eskalaci: Důležitou úlohu při snižování rizika auditního selhání hraje zapojení vedení interního auditu do procesu interního auditu (tj. před návrhem zprávy). Takové zapojení může zahrnovat prověrky pracovní dokumentace, diskuse o právě provedených zjištěních nebo porada na závěr auditu. Tím, že se vedení interního auditu zapojí do procesu interního auditu, mohou být dříve nalezeny a vyhodnoceny případné otázky týkající se dané zakázky. Navíc, útvar interního auditu může mít stanoveny postupy popisující, za jakých podmínek a u jakých typů problémů by mělo dojít k eskalaci na určitou úroveň vedení interního auditu.

• Správné rozvržení zdrojů: Každé zakázce interního auditu je třeba přidělit správné zaměstnance. Toto je obzvláště důležité, když plánujeme zakázku s vyšším stupněm rizika nebo zakázku s vysokým stupněm odbornosti. Při snižování rizika selhání auditu hraje významnou roli ujištění, že v auditním týmu jsou k dispozici dostatečné kompetence. Kromě správných kompetencí je třeba zajistit, aby tým disponoval i přiměřenou úrovní zkušeností, včetně výborných dovedností v oblasti řízení projektů u těch pracovníků, kteří vedou zakázku interního auditu. 1. Interní audit může do určité míry nevědomky poskytovat nesprávné ujištění. „Nesprávné ujištění“ je možno charakterizovat jako úroveň důvěry či ujištění, které je založené spíše na předpokladech a představách než na skutečnostech. V mnoha případech může pouhá skutečnost, že je interní audit zapojen do nějaké záležitosti, mít do určité míry za následek vznik nesprávného ujištění. 2. Využití zdrojů interního auditu při poskytování pomoci společnosti při identifikaci a ohodnocování významných rizik musí být jasně definováno u projektů lišících se od interních auditů. Např. útvar interního auditu byl požádán provozním útvarem, aby poskytl nějaké „zdroje“ a pomoc při zavádění nového celopodnikového výpočetního systému. Provozní útvar rozmístil tyto zdroje do oblasti testování nového systému. Následně po rozmístění zdrojů způsobila chyba v návrhu systému, že finanční výkazy musely být přepracovány. Na dotaz, jak k tomu došlo, provozní útvar odpověděl, že ačkoliv byl do procesu také zapojen útvar interního auditu, tento problém neidentifikoval. Zapojení interního auditora tak mělo za následek určitou úroveň nesprávného ujištění, které nebylo v souladu se skutečnou úlohou interního auditu v tomto projektu.

169

ment. Also explicitly communicate what is not in the scope of the risk assessment and internal audit plan. • Have a “project acceptance” process to assess the level of risk related to each project and internal audit’s role in the project. The assessment may consider: the scope of the project; the role of the internal audit activity; the reporting expectations; the competencies required; and the independence of internal auditors. • If internal auditors are used to augment the staffing of a project or initiative, document their role and scope of their involvement, as well as future objectivity and independence issues rather than using internal auditors as ‘loaned’ resources, which may create false assurance.

3. In another example, during an audit of the human resource function, the internal auditors may discover that background checks were not being reviewed appropriately. The discovery that newly hired internal auditors did not have the appropriate education background, while others had been involved in criminal activity, could seriously impact the credibility of the internal audit activity. 4. Situations like these are not only embarrassing, but they also damage the efficacy of the internal audit activity. Protecting the reputation and the “brand” of the internal audit activity is important not only to the internal audit activity, but to the entire organization. It is important that internal audit activities consider what types of risks it faces that could impact its reputation and develop mitigation strategies to address these risks.

1. The credible reputation of an internal audit activity is an essential part of its effectiveness. Internal audit activities that are viewed with high regard are able to attract talented professionals and are highly valued by their organizations. Maintaining a strong “brand” is paramount to the internal audit activities’ success and ability to contribute to the organization. In most cases, the internal audit activity’s brand has been built over several years through consistent, high quality work. Unfortunately, this brand can be destroyed instantly by one high-profile, adverse event.

5. Some practices include: • Implement a strong quality assurance and improvement program over all processes in the internal audit activity, including human resources and hiring. • Periodically perform a risk assessment for the internal audit activity to identify potential risks that might impact its “brand”. • Re-enforce code of conduct and ethical behavior standards, including The IIA’s Code of Ethics to internal auditors. • Ensure that the internal audit activity is in compliance with all applicable company policies and practices.

2. For example, an internal audit activity could be highly regarded with several of the key financial executives having had rotational assignments as internal auditors, which was viewed as a training ground for future executives. A string of significant re-statements and regulatory investigations, however, would impact the reputation of the internal audit activity. The audit committee and the board might ask if the internal audit activity has the right talent and quality assurance and improvement program to support the organization.

170

3. I když neexistuje způsob, jak snížit veškerá rizika nesprávného ujištění, může interní audit proaktivně řídit svoje rizika v této oblasti. Klíčovou strategií při zvládání rizika nesprávného ujištění je časté a jasné poskytování informací. Dalšími hlavními postupy jsou: • Proaktivní komunikace úlohy a pravomoci interního auditu směrem k výboru pro audit, vyššímu vedení a ostatním zainteresovaným subjektům (stakeholders). • Jasná komunikace o tom, co je pokryto hodnocením rizik, plánem interního auditu a zakázkou interního auditu. Současně je třeba jednoznačně komunikovat o tom, co není součástí hodnocení rizik a plánu auditu. • Zavedení procesu „projektové akceptace“ za účelem ohodnocení úrovně rizika spojeného s každým projektem a stanovení úlohy interního auditu v tomto projektu. Takové ohodnocení může zahrnovat: rozsah projektu, úlohu interního auditu, očekávání při předávání výsledků, požadované kompetence a nezávislost interních auditorů. • Pokud jsou interní auditoři využíváni k rozšíření počtu pracovníků daného projektu nebo iniciativy, je třeba zdokumentovat jejich roli a rozsah jejich zapojení a dále také budoucí problémy týkající se jejich objektivity a nezávislosti. Je to lepší způsob než považovat interní auditory za „vypůjčené“ zdroje, což může poskytnout nesprávné ujištění.

žel tato „značka“ může být okamžitě zničena jedinou velkou negativní událostí. 2. Interní audit by mohl být např. vysoce oceňován několika klíčovými finančními manažery, kteří v rámci rotačního systému zastávali dříve pozice interních auditorů, a to v případě, kdy je takový systém považován za vzdělávací základnu pro budoucí manažery. Výskyt řady významných odchylek ve finančních výkazech a regulatorních šetřeních by však měl vliv na dobré jméno (reputaci) tohoto útvaru interního auditu. Aby mohl interní audit poskytovat podporu společnosti, mohou výbor pro audit a orgány společnosti nastolit otázku, zda interní audit disponuje správně talentovanými zaměstnanci a zda má zaveden program pro zabezpečení a zvyšování kvality interního auditu. 3. V jiném případě mohou interní auditoři při auditu v oblasti lidských zdrojů zjistit, že nebyly náležitě prováděny kontroly předchozího působení. Zjištění, že nově přijatí interní auditoři neměli náležité vzdělání, a jiní byli zapojeni do trestné činnosti, může velmi vážně ovlivnit důvěryhodnost interního auditu. 4. Takové situace budí nejen rozpaky, ale také ničí účinnost interního auditu. Ochrana dobrého jména a „značky“ interního auditu je důležitá nejen pro interní audit samotný, ale pro celou společnost. Je důležité, aby interní audit zvážil jakým typům rizik, které by mohly ovlivnit jeho reputaci, čelí a vyvinout postupy, které by taková rizika zmírňovaly.

1. Nezbytnou podmínkou účinnosti útvaru interního auditu je jeho dobré jméno (reputace). Útvary interního auditu, na které je nahlíženo s vysokým respektem a jichž si společnost vysoce cení, mohou přitáhnout talentované odborníky. Udržování silné „značky“ je rozhodující pro úspěch interního auditu a jeho schopnost být prospěšným pro společnost. Ve většině případů je „značka“ interního auditu budována v průběhu několika let, důslednou a vysoce kvalitní prací. Bohu-

5. Některé využitelné postupy: • Zavedení přesvědčivého programu pro zabezpečení a zvyšování kvality interního auditu, který zahrnuje všechny procesy interního auditu, včetně oblasti lidských zdrojů a přijímání nových zaměstnanců.

171


1. To the extent that an internal audit activity experiences an event outlined above, the CAE needs to review the nature of the event and gain an understanding of the root causes. This analysis provides insight into the potential changes to be considered in the internal audit process or control environment to mitigate future occurrences.

Assessing the Adequacy of Control Processes Primary Related Standard

2130 – Control The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement. 1. An organization establishes and maintains effective risk management and control processes. The purpose of control processes is to support the organization in the management of risks and the achievement of its established and communicated objectives. The control processes are expected to ensure, among other things, that: • Financial and operational information is reliable and possesses integrity, • Operations are performed efficiently and achieve established objectives, • Assets are safeguarded, and • Actions and decisions of the organization are in compliance with laws, regulations, and contracts. 2. Senior management’s role is to oversee the establishment, administration, and assessment of the system of risk management and control processes. Among the responsibilities of the organization’s line managers is the assessment of the control processes in their respective areas. Internal auditors provide varying degrees of assurance about the effectiveness of the risk management and control processes in select activities and functions of the organization. 3. The chief audit executive (CAE) forms an overall opinion about the adequacy and effectiveness of the 172


• Pravidelné provádění rizikového hodnocení činnosti interního auditu za účelem identifikace možných rizik, která by mohla mít dopad na „značku“ interního auditu. • Připomínat interním auditorům obsah kodexu chování a standardů etického jednání, včetně Etického kodexu IIA. • Zajistit soulad činností interního auditu se zásadami a postupy používanými ve společnosti.

Hodnocení přiměřenosti řídicích a kontrolních procesů Související standard

2130 – Řízení a kontrola Interní audit musí napomáhat společnosti udržovat účinné řídicí a kontrolní systémy tím, že hodnotí jejich účinnost a efektivnost a podporuje jejich neustálé zdokonalování.

1. V případě, že v útvaru interního auditu dojde k události popsané výše, je třeba, aby vedoucí interního auditu prověřil povahu této události a nalézl její hlavní příčiny. Taková analýza ozřejmí možné změny, které by měly být zohledněny v procesu interního auditu nebo v rámci kontrolního prostředí způsobem omezujícím budoucí výskyt těchto událostí.

1. Organizace zavede a udržuje účinné procesy řízení rizik a kontrolní a řídicí procesy. Účelem kontrolních a řídicích procesů je poskytovat podporu organizaci při řízení rizik a při plnění jí stanovených a oznámených cílů. Od těchto řídicích a kontrolních procesů se očekává, aby kromě jiného zajistily, že: • finanční a provozní informace jsou spolehlivé a uchovávají si svou integritu, • provozní činnosti jsou prováděny efektivním způsobem a dosahují stanovených cílů, • je zajištěna ochrana majetku, • kroky a rozhodnutí dané organizace jsou v souladu se zákony, předpisy a smlouvami. 2. Rolí vedení společnosti je dohlížet nad vytvořením, správou a hodnocením systému řízení rizik a řídicích a kontrolních procesů. Mezi odpovědnosti liniových manažerů organizace patří hodnocení řídicích a kontrolních procesů v příslušných oblastech. Interní auditoři poskytují různé stupně ujištění ohledně účinnosti řízení rizik a řídicích a kontrolních procesů ve vybraných činnostech a funkcích dané organizace. 3. Vedoucí interního auditu vyjadřuje celkový názor na přiměřenost a účinnost řídicích a kontrolních procesů. Vyjádření názoru vedoucího interního auditu je podloženo dostatečnými auditními důkazy získanými 173

control processes. The expression of such an opinion by the CAE will be based on sufficient audit evidence obtained through the completion of audits and, where appropriate, reliance on the work of other assurance providers. The CAE communicates the opinion to senior management and the board.

scope is sufficient to enable the expression of an opinion about the organization’s risk management and control processes. The CAE should inform senior management and the board of any gaps in audit coverage that would prevent the expression of an opinion on all aspects of these processes.

4. The CAE develops a proposed annual audit plan to obtain sufficient evidence to evaluate the effectiveness of the control processes. The plan includes audit engagements and/or other procedures to obtain sufficient, appropriate audit evidence about all major operating units and business functions to be assessed, as well as a review of the major control processes operating across the organization. The plan should be flexible so that adjustments may be made during the year as a result of changes in management strategies, external conditions, major risk areas, or revised expectations about achieving the organization’s objectives.

8. A key challenge for the internal audit activity is to evaluate the effectiveness of the organization’s control processes based on the aggregation of many individual assessments. Those assessments are largely gained from internal audit engagements, reviews of management’s self-assessments, and other assurance providers’ work. As the engagements progress, internal auditors communicate, on a timely basis, the findings to the appropriate levels of management so prompt action can be taken to correct or mitigate the consequences of discovered control discrepancies or weaknesses.

5. The audit plan gives special consideration to those operations most affected by recent or unexpected changes. Changes in circumstances can result, for example, from marketplace or investment conditions, acquisitions and divestitures, organizational restructuring, new systems, and new ventures.

9. In evaluating the overall effectiveness of the organization’s control processes, the CAE considers whether: • Significant discrepancies or weaknesses were discovered, • Corrections or improvements were made after the discoveries, and • The discoveries and their potential consequences lead to a conclusion that a pervasive condition exists resulting in an unacceptable level of risk.

6. In determining the expected audit coverage for the proposed audit plan, the CAE considers relevant work performed by others who provide assurances to senior management (e.g., reliance by the CAE on the work of corporate compliance officers). The CAE’s audit plan also considers audit work completed by the external auditor and management’s own assessments of its risk management process, controls, and quality improvement processes.

10. The existence of a significant discrepancy or weakness does not necessarily lead to the judgment that it is pervasive and poses an unacceptable risk. The internal auditor considers the nature and extent of risk exposure, as well as the level of potential consequences in determining whether the effectiveness of the control processes are jeopardized and unacceptable risks exist.

7. The CAE should evaluate the breadth of coverage of the proposed audit plan to determine whether the 174

v rámci provedených auditů a, pokud to připadá v úvahu, spolehnutím se na práci ostatních poskytovatelů ujišťovacích služeb. Vedoucí interního auditu informuje o tomto celkovém názoru vedení a orgány společnosti.

rem a hodnocení procesu řízení rizik, řídicích a kontrolních procesů a procesu zvyšování kvality provedená samotným vedením společnosti. 7. Vedoucí interního auditu by měl hodnotit šíři pokrytí navrhovaného plánu auditu za účelem stanovení, zda jeho rozsah je dostatečný z hlediska vyjádření názoru ohledně řídicích a kontrolní procesů a procesů řízení rizik. Vedoucí interního auditu by měl informovat vedení a orgány společnosti o všech mezerách v pokrytí auditními činnostmi, které by zamezily vyjádření názoru na všechna hlediska těchto procesů.

4. Vedoucí interního auditu vypracovává návrh ročního plánu auditu za účelem získání dostatečných informací nezbytných pro hodnocení účinnosti řídicích a kontrolních procesů. Tento plán obsahuje auditní zakázky a/nebo ostatní postupy potřebné pro získání dostatečných, vhodných auditních důkazů týkajících se všech hlavních hodnocených provozních jednotek a podnikatelských funkcí a také obsahuje posouzení hlavních řídicích a kontrolních procesů fungujících napříč organizací. Tento plán by měl být natolik pružný, aby bylo možné během roku provádět jeho úpravy, které jsou výsledkem změn ve strategiích vedení, ve vnějších podmínkách, v hlavních rizikových oblastech a v úpravách očekávání ohledně dosažení cílů organizace.

8. Klíčovou výzvou pro interní audit je hodnocení účinnosti řídicích a kontrolních procesů dané společnosti, které vychází ze shrnutí mnoha jednotlivých vyhodnocení. Tato vyhodnocení jsou z podstatné části získávána v průběhu zakázek interního auditu, z posouzení manažerského sebehodnocení a z práce ostatních poskytovatelů ujišťovacích služeb. Během práce na auditní zakázce interní auditoři včasným způsobem informují o svých zjištěních příslušnou úroveň vedení, aby mohly být neprodleně podniknuty kroky vedoucí k nápravě nebo ke snížení dopadů zjištěných nesrovnalostí nebo slabých míst v řídicích a kontrolních mechanismech.

5. Plán auditu klade zvláštní důraz na ty provozní činnosti, které jsou nejvíce ovlivněny změnami, které se již vyskytly nebo nebyly očekávány. Tyto změny okolností mohou být důsledkem např. tržních nebo investičních podmínek, akvizicí a odprodejů majetku, restrukturalizace organizace, nových systémů a nových podniků.

9. Při hodnocení celkové účinnosti řídicích a kontrolních procesů společnosti, vedoucí interního auditu zváží, zda:

6. Při stanovení očekávaného auditního pokrytí používaného pro návrh plánu auditu, vedoucí interního auditu bere v úvahu související činnosti provedené ostatními subjekty poskytujícími ujištění vedení společnosti (např. situace, kdy se vedoucí interního auditu spoléhá na práci firemního specialisty pro oblast souladu/compliance – tzv, compliance officer). Plán auditu připravený vedoucím interního auditu také bere v potaz auditní práce vykonané externím audito-

• byly zjištěny významné nesrovnalosti nebo slabá místa, • byla po jejich zjištěních uskutečněna náprava nebo zlepšení, • tato zjištění a jejich možné důsledky vedou k závěru, že přetrvává stav, který má za následek nepřijatelně vysokou úroveň rizika. 10. Existence významných nesrovnalostí nebo slabých míst nemusí nevyhnutelně vést k úsudku, že jde o pře175


11. The CAE’s report on the organization’s control processes is normally presented once a year to senior management and the board. The report states the critical role played by the control processes in the achievement of the organization’s objectives. The report also describes the nature and extent of the work performed by the internal audit activity and the nature and extent of reliance on other assurance providers in formulating the opinion.

Information Reliability and Integrity Primary Related Standard

2130.A1 –The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within the organization’s governance, operations, and information systems regarding the: • Reliability and integrity of financial and operational information; • Effectiveness and efficiency of operations; • Safeguarding of assets; and • Compliance with laws, regulations, and contracts.

Translation note: Paragraph #5 above was extracted from paragraph #4 (see deleted sentences).

1. Internal auditors determine whether senior management and the board have a clear understanding that information reliability and integrity is a management responsibility. This responsibility includes all critical information of the organization regardless of how the information is stored. Information reliability and integrity includes accuracy, completeness, and security. 2. The chief audit executive (CAE) determines whether the internal audit activity possesses, or has access to, competent audit resources to evaluate information reliability and integrity and associated risk exposures. This includes both internal and external risk exposures, and exposures relating to the organization’s relationships with outside entities. 3. The CAE determines whether information reliability and integrity breaches and conditions that might represent a threat to the organization will promptly be made known to senior management, the board, and the internal audit activity.

176


trvávající stav, který představuje nepřijatelné riziko. Interní auditor zváží charakter a rozsah vystavení se riziku a rovněž úroveň možných důsledků, aby určil, zda je účinnost řídicích a kontrolních procesů ohrožena a zda existuje nepřijatelně vysoké riziko.

Spolehlivost a integrita informací Související standard

2130.A1 – Interní audit musí v rámci procesů řízení a správy společnosti, procesů a informačních systémů společnosti hodnotit přiměřenost a účinnost řídicích a kontrolních mechanismů reagujících na rizika, a to z hlediska:

11. Zpráva připravená vedoucím interního auditu o řídicích a kontrolních procesech dané organizace je obvykle jednou ročně předložena vedení a orgánům společnosti. Tato zpráva zdůrazňuje rozhodující úlohu, kterou sehrávají procesy řízení a kontroly při plnění cílů organizace. Tato zpráva rovněž popisuje povahu a rozsah prací provedených útvarem interního auditu a povahu a rozsah spolehnutí se na ostatní poskytovatele ujišťovacích služeb při formulování názoru.

• spolehlivosti a integrity finančních a provozních informací, • účinnosti a efektivnosti procesů, • ochrany aktiv, • dodržování zákonů, předpisů a smluv. 1. Interní auditoři určí, zda vedení a orgány společnosti jasně chápou, že spolehlivost a integrita informací je odpovědností managementu. Tato odpovědnost zahrnuje všechny podstatné informace v rámci společnosti bez ohledu na to, jakým způsobem jsou tyto informace uchovávány. Spolehlivost a integrita informací zahrnuje jejich přesnost, úplnost a bezpečnost. 2. Vedoucí interního auditu určí, zda útvar interního auditu vlastní nebo má přístup ke kompetentním auditním zdrojům potřebným pro hodnocení spolehlivosti a integrity informací a míry souvisejících rizik. Tato rizika zahrnují jak interní, tak externí rizika a rizika související se vztahy organizace vůči externím subjektům. 3. Vedoucí interního auditu určí, zda narušení spolehlivosti a integrity informací a situace, které mohou představovat hrozbu pro organizaci, budou neprodleně oznámeny vedení a orgánům společnosti a útvaru interního auditu.

177


4. Internal auditors assess the effectiveness of preventive, detective, and mitigation measures against past attacks, as appropriate, and future attempts or incidents deemed likely to occur. Internal auditors determine whether the board has been appropriately informed of threats, incidents, vulnerabilities exploited, and corrective measures.

Evaluating an Organization’s Privacy Framework Primary Related Standard

2130.A1 –The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within the organization’s governance, operations, and information systems regarding the:

5. Internal auditors periodically assess the organization’s information reliability and integrity practices and recommend, as appropriate, enhancements to, or implementation of, new controls and safeguards. Such assessments can either be conducted as separate stand-alone engagements or integrated into other audits or engagements conducted as part of the annual audit plan. The nature of the engagement will determine the most appropriate reporting process to senior management and the board.

• Reliability and integrity of financial and operational information; • Effectiveness and efficiency of operations; • Safeguarding of assets; and • Compliance with laws, regulations, and contracts. 1. The failure to protect personal information with appropriate controls can have significant consequences for an organization. The failure could damage the reputation of individuals and/or the organization, and expose an organization to risks that include legal liability and diminished consumer and/or employee trust. 2. Privacy definitions vary widely depending upon the culture, political environment, and legislative framework of the countries in which the organization operates. Risks associated with the privacy of information encompass personal privacy (physical and psychological); privacy of space (freedom from surveillance); privacy of communication (freedom from monitoring); and privacy of information (collection, use, and disclosure of personal information by others). Personal information generally refers to information associated with a specific individual, or that has identifying characteristics that, when combined with other information, can then be associated with a specific individual. It can include any factual 178


4. Interní auditoři podle potřeby hodnotí účinnost preventivních, rozpoznávacích a rizika snižujících opatření navržených vůči již vyskytnuvším se útokům a vůči budoucím pokusům nebo incidentům, ke kterým by pravděpodobně mohlo dojít. Interní auditoři určí, zda orgány společnosti byly vhodným způsobem informovány o nalezených hrozbách, incidentech, napadnutelných místech a rovněž o nápravných opatřeních.

Hodnocení systému ochrany důvěrných/ osobních informací v rámci organizace Související standard

2130.A1 – Interní audit musí v rámci procesů řízení a správy společnosti, procesů a informačních systémů společnosti hodnotit přiměřenost a účinnost řídicích a kontrolních mechanismů reagujících na rizika, a to z hlediska: • spolehlivosti a integrity finančních a provozních informací, • účinnosti a efektivnosti procesů, • ochrany aktiv, • dodržování zákonů, předpisů a smluv.

5. Interní auditoři pravidelně hodnotí postupy používané v oblasti spolehlivosti a integrity informací v rámci organizace a doporučují, pokud je to třeba, zdokonalení stávajících řídicích a kontrolních mechanismů nebo zavádění nových řídicích a kontrolních mechanismů a bezpečnostních opatření. Tato hodnocení mohou být provedena jako samostatná a s ničím nesouvisející zakázka nebo mohou být začleněna do jiných auditů nebo zakázek prováděných jako součást ročního plánu auditu. Na základě povahy související zakázky bude stanoven nejvhodnější způsob předání informací vedení a orgánům společnosti.

1. Selhání ochrany osobních informací prostřednictvím vhodných řídicích kontrolních mechanismů může mít pro organizaci závažné důsledky. Toto selhání může vést k poškození dobrého jména jednotlivců a/ nebo organizace a vystavit organizaci rizikům, jenž zahrnují zákonnou odpovědnost a ztrátu důvěry zákazníků a/nebo zaměstnanců. 2. Definice ochrany důvěrných informací se velmi liší v závislosti na kultuře, politickém prostředí a zákonodárném systému v zemích, ve kterých daná organizace působí. Rizika spojená s ochranou důvěrných informací zahrnují osobní soukromí (fyzické a psychologické), soukromí prostoru (absence sledování), soukromí komunikace (absence monitorování) a soukromí informací (shromažďování, použití a zveřejnění osobních informací jinými subjekty). Osobní informace jsou obecně informacemi, které jsou přiřazeny k určitému jednotlivci, nebo které mají takové určující parametry, které ve spojení s jinými informacemi mohou být přiřazeny určitému jednotlivci. Osobní informace mohou obsahovat jakékoliv faktické nebo subjektivní informace, ať již jsou zaznamenaná 179

• • • •

or subjective information — recorded or not — in any form of media. Personal information could include: Name, address, identification numbers, family relationships; Employee files, evaluations, comments, social status, or disciplinary actions; Credit records, income, financial status, or Medical status.

knowledge and competence to conduct an assessment of the risks and controls of the organization’s privacy framework. 7. In conducting such an evaluation of the management of the organization’s privacy framework, the internal auditor: • Considers the laws, regulations, and policies relating to privacy in the jurisdictions where the organization operates; • Liaisons with in-house legal counsel to determine the exact nature of laws, regulations, and other standards and practices applicable to the organization and the country/countries in which it operates; • Liaisons with information technology specialists to determine that information security and data protection controls are in place and regularly reviewed and assessed for appropriateness; • Considers the level or maturity of the organization’s privacy practices. Depending upon the level, the internal auditor may have differing roles. The auditor may facilitate the development and implementation of the privacy program, evaluate management’s privacy risk assessment to determine the needs and risk exposures of the organization, or provide assurance on the effectiveness of the privacy policies, practices, and controls across the organization. If the internal auditor assumes any responsibility for developing and implementing a privacy program, the internal auditor’s independence will be impaired.

3. Effective control over the protection of personal information is an essential component of the governance, risk management, and control processes of an organization. The board is ultimately accountable for identifying the principal risks to the organization and implementing appropriate control processes to mitigate those risks. This includes establishing the necessary privacy framework for the organization and monitoring its implementation. 4. The internal audit activity can contribute to good governance and risk management by assessing the adequacy of management’s identification of risks related to its privacy objectives and the adequacy of the controls established to mitigate those risks to an acceptable level. The internal auditor is well positioned to evaluate the privacy framework in their organization and identify the significant risks, as well as the appropriate recommendations for mitigation. 5. The internal audit activity identifies the types and appropriateness of information gathered by the organization that is deemed personal or private, the collection methodology used, and whether the organization’s use of that information is in accordance with its intended use and applicable legislation.

Translation note: Paragraphs #7 above were re-ordered (PPF paragraphs #8 & #9 were moved up to IPPF paragraphs #5 & #6). Track changes for paragraph #7 are shown below:

6. Given the highly technical and legal nature of privacy issues, the internal audit activity needs appropriate 180

na kterémkoliv typu média či nikoliv. Osobní informace mohou obsahovat:

6. Vzhledem k vysoce odborné a právní povaze problematiky důvěrných informací je třeba, aby útvar interního auditu disponoval znalostmi a kompetencemi nezbytnými k provedení hodnocení rizik a kontrolních a řídicích mechanismů v rámci ochrany důvěrných informací v dané organizaci.

• jméno, adresu, identifikační čísla, rodinné vztahy; • složky zaměstnanců, hodnocení, komentáře, sociální postavení či disciplinární opatření; • záznamy o úvěrech, výši příjmu, finanční postavení nebo • zdravotní stav.

7. Při provádění tohoto ohodnocení řízení rámce ochrany důvěrných informací uvnitř dané organizace interní auditor:

3. Účinné řízení a kontrola ochrany osobních informací je nezbytnou součástí procesů řízení a správy společnosti, procesu řízení rizik a řídicích a kontrolních procesů dané organizace. Orgány společnosti mají konečnou zodpovědnost za identifikaci nejdůležitějších rizik hrozících organizaci a za zavedení vhodných řídicích a kontrolních procesů, které tato rizika sníží. Tato zodpovědnost zahrnuje ustanovení nezbytného systému/ rámce ochrany důvěrných informací a sledování jeho zavádění.

• bere v úvahu zákony, nařízení a postupy, související s ochranou důvěrných informací v právních prostředích, ve kterých tato organizace uskutečňuje svoji činnost, • spolupracuje s interním právním zástupcem za účelem určení přesné podstaty zákonů, nařízení a ostatních standardů a postupů, které se vztahují na danou organizaci a zemi(ě), ve které(ých) uskutečňuje svoji činnost, • spolupracuje se specialisty z oblasti informačních technologií za účelem určení, zda jsou zavedeny řídicí a kontrolní mechanismy zajišťující bezpečnost a ochranu údajů a zda jsou pravidelně prověřovány a hodnoceny z hlediska jejich vhodnosti, • bere v úvahu úroveň nebo vyspělost postupů organizace v oblasti ochrany důvěrných informací. V závislosti na této úrovni může interní auditor plnit rozdílné role. Auditor může napomáhat při rozvoji a zavádění programu na ochranu důvěrných informací, hodnotit vyhodnocení rizik provedené managementem v oblasti ochrany důvěrných informací s cílem stanovení potřeb organizace a jejího vystavení rizikům nebo poskytnout ujištění o účinnosti zásad, postupů a řídicích a kontrolních mechanismů v oblasti ochrany důvěrných informací v rámci dané organizace. Jestliže interní auditor přijme jakoukoliv odpovědnost za rozvoj a zavádění programu ochrany důvěrných informací, bude tím narušena nezávislost interního auditora.

4. Útvar interního auditu může přispívat ke správným postupům při řízení a správě společnosti a při řízení rizik tím, že hodnotí přiměřenost identifikace rizik managementem, a to též rizik souvisejících s cíli v oblasti ochrany důvěrných informací. Rovněž může přispívat tím, že hodnotí přiměřenost kontrolních a řídicích mechanismů navržených s cílem snížení těchto rizik na přijatelnou úroveň. Interní auditor má vhodné postavení z hlediska hodnocení systému/rámce ochrany důvěrných informací v rámci své organizace a identifikace významných rizik a rovněž z hlediska navrhování vhodných doporučení ke snížení rizik. 5. Útvar interního auditu identifikuje druhy a vhodnost informací, které organizace shromažďuje a které jsou považovány za osobní nebo důvěrné, identifikuje způsoby shromažďování informací a stanoví, zda organizace tyto informace využívá v souladu s jejich zamýšleným použitím a v souladu s platnými zákony. 181


• Whether the project is staffed internally, by guest auditors, or by external service providers. • The project’s complexity and scope. • The size of the internal audit activity. • The value of documentation (e.g., whether it will be used in subsequent years).

Engagement Planning


2200 – Engagement Planning Internal auditors must develop and document a plan for each engagement, including the engagement’s objectives, scope, timing, and resource allocations.

3. The internal auditor determines the other engagement requirements, such as the period covered and estimated completion dates. The internal auditor also considers the final engagement communication format. Planning at this stage facilitates the communication process at the engagement’s completion.

1. The internal auditor plans and conducts the engagement, with supervisory review and approval. Prior to the engagement’s commencement, the internal auditor prepares an engagement program that:

4. The internal auditor informs those in management who need to know about the engagement, conductsmeetings with management responsible for the activity under review, summarizes and distributes the discussions and any conclusions reached from the meetings, and retains the documentation in the engagement working papers. Topics of discussion may include:

• States the objectives of the engagement. • Identifies technical requirements, objectives, risks, processes, and transactions that are to be examined. • States the nature and extent of testing required. • Documents the internal auditor’s procedures for collecting, analyzing, interpreting, and documenting information during the engagement. • Is modified, as appropriate, during the engagement with the approval of the chief audit executive (CAE), or his designee.

• Planned engagement objectives and scope of work. • The resources and timing of engagement work. • Key factors affecting business conditions and operations of the areas being reviewed, including recent changes in internal and external environment. • Concerns or requests from management.

2. The CAE should require a level of formality and documentation (e.g., of the results of planning meetings, risk assessment procedures, level of detail in the work program, etc.) that is appropriate to the organization. Factors to consider would include:

5. The CAE determines how, when, and to whom engagement results will be communicated. The internal auditor documents this and communicates it to management, to the extent deemed appropriate, during the planning phase of the engagement. The internal auditor communicates to management subsequent changes that affect the timing or reporting of engagement results.

• Whether the work performed and/or the results of the engagement will be relied upon by others (e.g., external auditors, regulators, or management). • Whether the work relates to matters that may be involved in potential or current litigation. • The experience level of the internal audit staff and the level of direct supervision required.

Translation note: PPF paragraphs #2 was re-ordered to IPPF paragraph #5 (changes not ‘tracked’ add, delete shown). 182


• zda je zakázka uskutečňována s použitím vlastních pracovníků, hostujících auditorů nebo externích poskytovatelů služeb, • složitost a rozsah zakázky, • velikost útvaru interního auditu, • přínos dokumentace (např. zda bude využita v následujících letech).

Plánování zakázky


2200 – Plánování zakázky Pro každou zakázku musí interní auditoři vypracovat a zdokumentovat plán, který zahrnuje cíle zakázky včetně stanovení rozsahu, načasování a rozvržení zdrojů.

3. Interní auditor stanovuje další požadavky týkající se dané zakázky, jako je auditované období a předpokládaný časový termín dokončení auditu. Interní auditor také vezme v úvahu podobu závěrečné zprávy o zakázce. Plánování v tomto stadiu usnadní proces komunikace při dokončení zakázky.

1. Interní auditor plánuje a provádí danou zakázku, která podléhá dohledu/supervizi a schválení ze strany subjektu provádějícího supervizi. Před zahájením zakázky interní auditor připravuje program zakázky, který:

4. Interní auditor informuje ty členy managementu, kteří musí být informováni o dané zakázce, organizuje schůzky s managementem odpovědným za činnost, která je prověřována, provádí shrnutí diskutovaných oblastí a všech závěrů dosažených v průběhu schůzek a provádí jejich distribuci a uchovává evidenci informací v rámci pracovní dokumentace zakázky. Projednávaná témata mohou obsahovat:

• stanovuje cíle zakázky, • identifikuje technické požadavky, cíle, rizika, procesy a transakce, které budou prověřovány, • stanovuje povahu a rozsah požadovaných testů, • dokumentuje postupy, které použije interní auditor při sběru, analýze, interpretaci a dokumentování informací v průběhu zakázky, • je, dle potřeby, v průběhu zakázky modifikován a tyto modifikace jsou schváleny vedoucím interního auditu nebo osobou jím pověřenou.

• plánované cíle zakázky a rozsah prací, • zdroje a načasování prací na zakázce, • klíčové faktory mající vliv na podnikatelské prostředí a provozní činnosti v prověřovaných oblastech, včetně nedávných změn v interním nebo externím prostředí, • zájmy nebo požadavky managementu.

2. Vedoucí interního auditu by měl vyžadovat takový stupeň formalizace a dokumentace (např. výsledků plánovaných schůzek, postupů hodnocení rizik, úrovně podrobnosti pracovního programu atd.), který je vhodný z hlediska dané organizace. Hlediska, která by měla být vzata v úvahu, zahrnují:

5. Vedoucí interního auditu určí způsob jak, kdy a komu budou výsledky zakázky sděleny. Interní auditor zdokumentuje tyto skutečnosti a sdělí je v průběhu plánovací fáze zakázky managementu způsobem, který je považován za vhodný. Interní auditor sdělí managementu následné změny, které ovlivní načasování nebo předkládání zpráv o výsledcích zakázky.

• zda se ostatní subjekty (např. externí auditoři, regulátoři nebo vedení) mohou spolehnout na výsledky a práce provedené v rámci zakázky, • zda tyto činnosti souvisejí se záležitostmi, které mohou být předmětem probíhajících nebo potenciálních sporů, • úroveň zkušenosti pracovníků interního auditu a úroveň vyžadovaného přímého dohledu (supervize), 183


4. A system of internal control typically includes both manual and automated controls. (Note that this applies to controls at every level — entity, business process, and information technology (IT) general controls — and in every layer of the control framework; for example, activities in the control environment, monitoring, or risk assessment layers may also be automated.) Both types of controls need to be assessed to determine whether business risks are effectively managed. In particular, the internal auditor needs to assess whether there is an appropriate combination of controls, including those related to IT, to mitigate business risks within organizational tolerances. The internal auditor needs to consider including procedures to assess and confirm that risk tolerances are current and appropriate.

Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement Primary Related Standard

2200 – Engagement Planning Internal auditors must develop and document a plan for each engagement, including the engagement’s objectives, scope, timing, and resource allocations. 1. Read this practice advisory in conjunction with Practice Advisories 2010-2: Using the Risk Management Process in Internal Audit Planning, 2210-1: Engagement Objectives, and 2210.A1-1: Risk Assessment in Engagement Planning and the Practice Guide GAIT for Business and IT Risk (GAIT-R).

5. The internal audit scope needs to include all the controls required to provide reasonable assurance that the risks are effectively managed (subject to the comments in paragraph 9, below). These controls are referred to as key controls — those necessary to manage risk associated with a critical business objective. Only the key controls need to be assessed, although the internal auditor can choose to include an assessment of non-key controls (e.g., redundant, duplicative controls) if there is value to the business in providing such assurance. The internal auditor may also discuss with management whether the non-key controls are required.

2. This practice advisory assumes that the objectives for the internal audit engagement have been determined and the risks to be addressed have been identified in the internal audit planning process. It provides guidance on the use of a top-down, risk-based approach to identify and include in the internal audit scope (per Standard 2220) the key controls relied upon to manage the risks. 3. “Top-down” refers to basing the scope definition on the more significant risks to the organization. This is in contrast to developing the scope based on the risks at a specific location, which may not be significant to the organization as a whole. A top-down approach ensures that internal auditing is focused, as noted in Practice Advisory 2010-2, on “providing assurance on the management of significant risks.”

6. Note that where the organization has a mature and effective risk management program, the key controls relied upon to manage each risk will have been identified. In these cases, the internal auditor needs to assess whether management’s identification and assessment of the key controls is adequate.

184


si, že toto se týká kontrolních a řídicích mechanismů na každé úrovni – organizační jednotky, podnikatelského procesu a obecných IT kontrolních a řídicích mechanismů – a na každé úrovni rámce řízení a kontroly; např. činnosti na úrovni celého kontrolního prostředí, monitorování nebo rizikového ohodnocení mohou být i automatizovány.) Aby bylo možné určit, zda jsou podnikatelská rizika účinně řízena, je třeba hodnotit oba typy kontrol. Interní auditoři musí zejména zhodnotit, zda je používána odpovídající kombinace kontrol, včetně IT kontrol, za účelem zmírnění podnikatelských rizik na úroveň rizikové tolerance společnosti. Interní auditor musí zvážit využití postupů určených pro ohodnocení rizikových tolerancí a pro ujištění se, zda rizikové tolerance jsou aktuální a přiměřené.

Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu Související standard

2200 – Plánování zakázky Pro každou zakázku musí interní auditoři vypracovat a zdokumentovat plán, který zahrnuje cíle zakázky včetně stanovení rozsahu, načasování a rozvržení zdrojů. 1. Čtěte toto Doporučení pro praxi v souvislosti s Doporučením pro praxi 2010-2: Využití procesu řízení rizik při plánování interního auditu, 2210-1: Cíle zakázky a 2210.A1-1: Ohodnocení rizik při plánování zakázky a Praktickou pomůckou GAIT pro obchodní a IT rizika (GAIT-R).

5. Rozsah interního auditu musí zahrnovat všechny řídicí a kontrolní mechanismy vyžadované za účelem poskytnutí odpovídajícího ujištění, že rizika jsou účinně řízena (spolu s komentářem uvedeným v odst. 9 níže). Tyto řídicí a kontrolní mechanismy jsou považovány za klíčové – jsou to ty, které jsou nezbytné pro řízení rizika spojeného s rozhodujícím obchodním cílem. Je třeba hodnotit jen klíčové řídicí a kontrolní mechanismy. Interní auditor si může nicméně vybrat a zahrnout do hodnocení i řídicí a kontrolní mechanismy, které nejsou klíčové (např. nadbytečné nebo duplicitní kontroly), a to pokud poskytnutí takového ujištění má pro danou společnost přidanou hodnotu. Interní auditor může také s vedením prodiskutovat, zda jsou řídicí a kontrolní mechanismy, které nejsou klíčové, vyžadovány.

2. Toto Doporučení pro praxi předpokládá, že v průběhu plánování zakázky interním auditem byly určeny cíle auditní zakázky a byla identifikována rizika, na která se zakázka zaměří. Toto Doporučení poskytuje návod k využití rizikově zaměřeného přístupu „shora dolů“ takovým způsobem, aby byly identifikovány a do rozsahu interního auditu zahrnuty takové klíčové kontrolní a řídicí mechanismy, na které se při řízení rizik spoléhá. 3. Přístup „shora dolů“ znamená, že východiskem pro definování rozsahu auditu jsou významnější rizika dané společnosti. Takový přístup se liší od postupu, kdy rozsah auditu vychází z rizik ve specifické oblasti, která nemusí být významná z pohledu společnosti jako celku. Přístup „shora-dolů“ zajišťuje, aby byl interní audit zaměřen (jak je uvedeno v Doporučení pro praxi 2010-2) na „poskytování ujištění ohledně řízení významných rizik“. 4. Systém vnitřního řízení a kontroly běžně zahrnuje jak manuální, tak automatizované kontroly. (Povšimněte

6. Povšimněte si, že ve společnostech, které mají vyspělý a účinný program řízení rizik, byly identifikovány ty klíčové řídicí a kontrolní mechanismy, na které se při řízení rizik spoléhá. V těchto případech je třeba, aby interní auditor zhodnotil, zda identifikace a ohodnocení klíčových rizik provedené vedením je odpovídající. 185

7. The key controls can be in the form of:

dress the key controls performed by business process users, while another covers the key IT general controls, and a third assesses related controls that operate at the entity level. This is common where the same controls (especially those at the entity level or within IT general controls) are relied upon for more than one risk area.

• Entity-level controls (e.g., employees are trained and take a test to confirm their understanding of the code of conduct). The entity-level controls may be manual, fully automated, or partly automated. • Manual controls within a business process (e.g., the performance of a physical inventory). Fully automated controls within a business process (e.g., matching or updating accounts in the general ledger). • Partly automated controls within a business process (also called “hybrid” or IT-dependent controls), where an otherwise manual control relies on application functionality such as an exception report. If an error in that functionality would not be detected, the entire control could be ineffective. For example, a key control to detect duplicate payments might include the review of a system generated report. The manual part of the control would not ensure the report is complete. Therefore, the application functionality that generated the report should be in scope.

3. As noted in paragraph 5, before providing an opinion on the effective management of the risks covered by the internal audit scope, it is necessary to assess the combination of all key controls. Even if multiple internal audit engagements are performed, each addressing some key controls, the internal auditor needs to include in the scope of at least one internal audit engagement an assessment of the design of the key controls as a whole (i.e., across all the related internal audit engagements) and whether it is sufficient to manage risks within organizational tolerances. 4. If the internal audit scope (considering other internal audit engagements as discussed in paragraph 9) includes some, but not all, key controls required to manage the targeted risks, a scope limitation should be considered and clearly communicated in the internal audit notification and final report.

The internal auditor may use other methods or frameworks, as long as all the key controls relied upon to manage the risks are identified and assessed, including manual controls, automated controls, and controls within IT general control processes. 1. Fully and partly automated controls — whether at the entity level or within a business process — generally rely on the proper design and effective operation of IT general controls. GAIT-R discusses the recommended process for identifying key IT general controls. 2. The assessment of key controls may be performed in a single, integrated internal audit engagement or in a combination of internal audit engagements. For example, one internal audit engagement may ad186

7. Klíčové řídicí a kontrolní mechanismy mohou mít podobu:

a řídicích mechanismů v oblasti IT. GAIT-R pojednává o doporučeném procesu identifikace klíčových obecných kontrolních a řídicích mechanismů v oblasti IT.

• řídicích a kontrolních mechanismů na úrovni celé společnosti (např. zaměstnanci jsou proškolování a poté absolvovují testy, které potvrzují, že rozumějí kodexu chování). Řídicí a kontrolní mechanismy na úrovni společnosti mohou být manuální, plně nebo částečně automatizované, • manuálních řídicích a kontrolních mechanismů v rámci podnikatelského procesu (např. provádění fyzické inventury), • plně automatizovaných řídicích a kontrolních mechanismů v rámci podnikatelského procesu (též nazývaných „hybridními“ nebo řídicími a kontrolními mechanismy závislým na IT), kde jinak manuální řídicí a kontrolní mechanismů jsou závislé na funkčnosti aplikace, kterou mohou např. být chybová hlášení. Pokud by nebyla odhalena chyba ve této funkci, může být celý kontrolní systém neúčinný. Např. klíčový řídicí a kontrolní mechanismus určený k odhalení duplicitních plateb by mohl zahrnovat prověření systému generování výkazů. Manuální část tohoto řídicího a kontrolního mechanismu nezajišťuje, že je tento výkaz úplný. Proto by do rozsahu zakázky měla být zahrnuta funkčnost aplikace, která předmětný výkaz vytváří.

2. Ohodnocení klíčových kontrolních a řídicích mechanismů může být provedeno v rámci jedné ucelené auditní zakázky nebo prostřednictvím kombinace několika auditních zakázek. Např. jedna auditní zakázka může obsáhnout klíčové kontrolní a řídicí mechanismy prováděné uživateli podnikatelského procesu, zatímco druhá pokryje klíčové obecné IT kontrolní a řídicí mechanismy a třetí ohodnotí související kontrolní mechanismy, které jsou zavedeny na úrovni společnosti jako celku. Tento postup je běžný v prostředí, kde na stejné kontrolní a řídicí mechanismy (zejména ty na úrovni celé společnosti nebo v oblasti obecných IT kontrolních mechanismů), je spoléháno ve více než jedné rizikové oblasti. 3. Jak je uvedeno v odst. 5, předtím než je poskytnut názor na účinnost řízení rizik, která jsou předmětem auditu, je nezbytné ohodnotit kombinaci všech klíčových kontrolních a řídicích mechanismů. I v případě, že je provedeno několik auditních zakázek, z nichž každá pokrývá určité klíčové kontrolní a řídicí mechanismy, je potřeba, aby interní auditor alespoň u jedné auditní zakázky zahrnul do rozsahu auditu ohodnocení uspořádání klíčových kontrolních a řídicích mechanismů jako celku (tj. napříč všemi souvisejícími auditními zakázkami) a stanovil, zda jejich uspořádání je dostatečné pro řízení rizik v rámci tolerancí dané společnosti.

Interní auditor může použít jiné metody nebo rámce, a to dokud nejsou identifikovány a ohodnoceny všechny klíčové řídicí a kontrolní mechanismy, na které je spoléháno při řízení rizik, včetně manuálních, automatizovaných řídicích a kontrolních mechanismů a řídicích a kontrolních mechanismů v rámci obecných IT procesů řízení a kontroly.

4. Pokud rozsah interního auditu (zvažujeme-li i ostatní auditní zakázky – viz odst. 9) zahrnuje jen některé, ale ne všechny, klíčové kontrolní a řídicí mechanismy vyžadované pro řízení vybraných rizik, mělo by být vzato v potaz omezení rozsahu auditu a toto omezení by mělo být jasně komunikováno v oznámení interního auditu i v závěrečné zprávě.

1. Plně a částečně automatizované kontrolní a řídicí mechanismy, ať již na úrovni celé společnosti nebo podnikatelského procesu, obecně závisí na vhodném návrhu a účinném fungování obecných kontrolních 187



Engagement Objectives

Risk Assessment in Engagement Planning



2210.A1 – Internal auditors must conduct a preliminary assessment of the risks relevant to the activity under review. Engagement objectives must reflect the results of this assessment.

2210 – Engagement Objectives Objectives must be established for each engagement. 1. Internal auditors establish engagement objectives toaddress the risks associated with the activity under review. For planned engagements, the objectives proceed and align to those initially identified during the risk assessment process from which the annual audit plan is derived. For unplanned engagements, the objectives are established prior to the start of the engagement and are designed to address the specific issue that prompted the engagement.

1. Internal auditors consider management’s assessment of risks relevant to the activity under review. The internal auditor also considers: • The reliability of management’s assessment of risk. • Management’s process for monitoring, reporting, and resolvingrisk and control issues. • Management’s reporting of events that exceeded the limits of the organization’s risk appetite and management’s response to those reports. • Risks in related activities relevant to the activity under review.

2. The risk assessment during the engagement’s planning phase is used to further define the initial objectives and identify other significant areas of concern. 3. After identifying the risks, the auditor determines the procedures to be performed and the scope (nature, timing, and extent) of those procedures. Engagement procedures performed in appropriate scope are the means to derive conclusions related to the engagement objectives.

2. Internal auditors obtain or update background information about the activities to be reviewed to determine the impact on the engagement objectives and scope. 3. If appropriate, internal auditors conduct a survey to become familiar with the activities, risks, and controls to identify areas for engagement emphasis, and to invite comments and suggestions from engagement clients. 4. Internal auditors summarize the results from the reviews of management’s assessment of risk, the background information, and any survey work. The summary includes:

188


DOPORUČENÍ PRO PRAXI 2210.A1–1:

Cíle zakázky

Ohodnocení rizik při plánování zakázky



2210 – Cíle zakázky Každá zakázka musí mít stanoveny své cíle.

2210.A1 – Interní auditoři musí provést předběžné ohodnocení rizik souvisejících s prověřovanou činností. Cíle zakázky musí respektovat výsledky tohoto ohodnocení.

1. Interní auditoři stanovují cíle zakázky způsobem zaměřujícím se na rizika spojená s prověřovanou činností. U plánovaných zakázek tyto cíle vycházejí a jsou v souladu s cíli původně stanovenými v rámci procesu hodnocení rizik, na základě kterého byl připraven roční plán auditu. U neplánovaných zakázek jsou tyto cíle stanoveny před zahájením zakázky a jsou navrženy způsobem, který reaguje na specifické problémy, které vyvolaly tuto zakázku.

1. Interní auditoři berou v úvahu managementem provedené ohodnocení rizik souvisejících s prověřovanou činností. Interní auditor bere dále v úvahu: • spolehlivost ohodnocení rizik provedeného managementem, • proces zavedený managementem pro sledování, vykazování a řešení problémů v oblasti rizik a řídicích a kontrolních mechanismů, • informace předávané managementem ohledně událostí, při kterých byly překročeny limity rizikové tolerance stanovené organizací a reakci vedení na tyto informace, • rizika obsažená v souvisejících činnostech relevantních prověřované činnosti.

2. Hodnocení rizik provedené v průběhu plánovací fáze zakázky je využito pro podrobnější stanovení počátečních cílů a pro identifikaci ostatních významných oblastí zkoumání. 3. Po provedené identifikace rizik auditor určuje, jaké postupy je třeba provést a stanovuje rozsah (charakter, načasování a dosah) těchto postupů. Postupy provedené ve vhodném rozsahu v rámci dané zakázky jsou prostředkem pro odvození závěrů souvisejících s cíli zakázky.

2. Interní auditoři si vyžádají nebo aktualizují podkladové informace týkající se prověřovaných činností, aby určili dopad na cíle a rozsah zakázky. 3. Jestliže je to vhodné, interní auditoři provedou průzkum za účelem seznámení se s činnostmi, riziky a řídicími a kontrolními mechanismy s cílem identifikace oblastí, na které by měl být kladen důraz při provádění zakázky; a dále za účelem vyžádání si připomínek a návrhů ze strany klientů zakázky. 4. Interní auditoři připravují souhrn výsledků na základě prověrek manažerského hodnocení rizik, podkladových informací a na základě všech provedených průzkumných činností. Tento souhrn obsahuje:

189


• Significant engagement issues and reasons for pursuing them in more depth. • Engagement objectives and procedures. • Methodologies to be used, such as technology-based audit and sampling techniques. • Potential critical control points, control deficiencies, and/or excess controls. • When applicable, reasons for not continuing the engagement or for significantly modifying engagement objectives.

Engagement Resource Allocation Primary Related Standard

2230 – Engagement Resource Allocation Internal auditors must determine appropriate and sufficient resources to achieve engagement objectives based on an evaluation of the nature and complexity of each engagement, time constraints, and available resources. 1. Internal auditors consider the following when determining the appropriateness and sufficiency of resources: • The number and experience level of the internal audit staff. • Knowledge, skills, and other competencies of the internal audit staff when selecting internal auditors for the engagement. • Availability of external resources where additional knowledge and competencies are required. • Training needs of internal auditors as each engagement assignment serves as a basis for meeting the internal audit activity’s developmental needs.

190


• významné problémy zjištěné v průběhu zakázky a důvody jejich zkoumání do větší hloubky, • cíle a postupy dané zakázky, • metodiku, která by měla být použita, jako např. softwarově podporované auditorské postupy a postupy pro výběr vzorků, • potenciální kritická místa řídicích a kontrolních mechanismů, nedostatky řídicích a kontrolních mechanismů a/nebo nadbytečné řídicí a kontrolní mechanismy, • pokud je třeba, důvody, proč není nutno v zakázce pokračovat, nebo důvody, proč byly významným způsobem modifikovány cíle zakázky.

Rozvržení zdrojů v rámci zakázky Související standard

2230 – Rozvržení zdrojů v rámci zakázky Na základě ohodnocení povahy a složitosti každé zakázky, časových omezení a dostupnosti zdrojů musí interní auditoři určit zdroje přiměřené a vhodné ke splnění cílů zakázky. 1. Při určení vhodnosti a dostatečnosti zdrojů interní auditoři vezmou v úvahu následující skutečnosti: • počet pracovníků a úroveň zkušeností pracovníků interního auditu, • znalosti, dovednosti a ostatní kompetence pracovníků interního auditu při výběru interních auditorů pro danou zakázku, • dostupnost externích zdrojů v případech, kdy jsou vyžadovány dodatečné znalosti a kompetence, • potřeby školení/zvyšování kvalifikace jednotlivých interních auditorů, protože každá zakázka je podkladem pro plnění rozvojových potřeb útvaru interního auditu.

191



Engagement Work Program

Use of Personal Information in Conducting Engagements



2240 – Engagement Work Program Internal auditors must develop and document work programs that achieve the engagement objectives.

2330 – Documenting Information Internal auditors must document relevant information to support the conclusions and engagement results.

1. Internal auditors develop and obtain documented approval of work programs before commencing the internal audit engagement. The work program includes methodologies to be used, such as technology-based audit and sampling techniques.

1. Internal auditors need to consider concerns relating to the protection of personally identifiable information gathered during audit engagements as advances in information technology and communications continue to present privacy risks and threats. Privacy controls are legal requirements in many jurisdictions.

2. The process of collecting, analyzing, interpreting, and documenting information is to be supervised to provide reasonable assurance that engagement objectives are met and that the internal auditor’s objectivity is maintained.

2. Personal information generally refers to data associated with a specific individual or data that has identifying characteristics that may be combined with other information. It includes any factual or subjective information, recorded or not, in any form or media. Personal information includes: • Name, address, identification numbers, income, blood type. • Evaluations, social status, disciplinary actions. • Employee files and credit and loan records. • Employee health and medical data. 1. In many jurisdictions, laws require organizations to identify the purposes for which personal information is collected at or before the time of collection. These laws also prohibit using and disclosing personal information for purposes other than those for which it was collected except with the individual’s consent or as required by law.

192



Pracovní program zakázky

Využívání osobních informací při provádění zakázek



2240 – Pracovní program zakázky Interní auditoři musí vypracovat pracovní programy, které vedou k dosažení cílů zakázky. Tyto plány musí být zdokumentovány.

2300 – Realizace zakázky Za účelem splnění cílů zakázky musí interní auditoři identifikovat, analyzovat, hodnotit a dokumentovat dostatečné informace.

1. Před zahájením zakázky interního auditu připravují interní auditoři pracovní programy; schválení pracovních programů je dokumentováno. Pracovní program obsahuje použité metodiky, jako např. softwarově podporované auditorské postupy a postupy pro výběr vzorků.

1. Interní auditoři musí zvážit záležitosti týkající se ochrany informací přiřaditelných ke konkrétní osobě a získaných během auditní zakázky, protože postupy v informačních technologiích a komunikacích stále představují rizika a hrozby v oblasti ochrany osobních/důvěrných informací. Kontroly v oblasti ochrany osobních/důvěrných informací jsou v mnoha právních systémech vyžadovány zákonem.

2. Nad procesem shromažďování, analýzy, interpretace a dokumentace informací by měl být vykonáván dohled (supervize) za účelem přiměřeného ujištění, že jsou plněny cíle zakázky a že je zachována objektivita interního auditora.

2. Osobní informace je obecně jakýmkoli údajem, který lze spojit s určitou osobou nebo údajem a který má charakter identifikace, jež může být spojena s dalšími informacemi. Jedná se o jakékoli faktické nebo subjektivní informace, ať již zaznamenané či nikoli, v jakékoli formě a na jakémkoli médiu. Osobní informace zahrnují: • jméno, adresu, identifikační čísla, příjem, krevní skupinu, • hodnocení, sociální postavení, disciplinární opatření, • zaměstnanecké složky a úvěrové záznamy, • zdraví zaměstnance a zdravotní údaje. 1. V mnoha právních systémech je vyžadováno zákonem, aby společnosti stanovily účel shromažďování osobních informací, a to v době jejich shromažďování nebo před tím než je shromažďování zahájeno. Tyto zákony též zakazují používání a zveřejňování osobních informací pro jiné účely než ty, pro které byly shro193


2. It is important that internal auditors understand and comply with all laws regarding the use of personal information in their jurisdiction and in those jurisdictions where their organizations conduct business.

Analytical Procedures


2320 – Analysis and Evaluation Internal auditors must base conclusions and engagement results on appropriate analyses and evaluations.

3. It may be inappropriate, and in some cases illegal, to access, retrieve, review, manipulate, or use personal information in conducting certain internal audit engagements. If the internal auditor accesses personal information, it may be necessary to develop procedures to safeguard this information. For example, the internal auditor may decide not to record personal information in engagement records in some situations.

1. Internal auditors may use analytical procedures to obtain audit evidence. Analytical procedures involve studying and comparing relationships among both financial and nonfinancial information. The application of analytical procedures is based on the premise that, in the absence of known conditions to the contrary, relationships among information may reasonably be expected to exist and continue. Examples of contrary conditions include unusual or nonrecurring transactions or events; accounting, organizational, operational, environmental, and technological changes; inefficiencies; ineffectiveness; errors; fraud; or illegal acts.

4. The internal auditor may seek advice from legal counsel before beginning audit work if there are questions or concerns about access to personal information.

2. Analytical procedures often provide the internal auditor with an efficient and effective means of obtaining evidence. The assessment results from comparing information with expectations identified or developed by the internal auditor. Analytical procedures are useful in identifying: • • • • •

194

Unexpected differences. The absence of differences when they are expected. Potential errors. Potential fraud or illegal acts. Other unusual or nonrecurring transactions or events.


mažďovány, kromě případů, kdy je udělen individuální souhlas nebo za podmínek stanovených zákonem.

Analytické postupy

2. Je důležité, aby interní auditoři porozuměli a vyvíjeli svoji činnost v souladu se všemi zákony týkajícími se použití osobních informací v jejich právních systémech a dále v těch právních systémech, kde jejich společnost podniká.


2320 – Analýza a hodnocení Interní auditoři musí závěry a výsledky dané zakázky podložit vhodnými analýzami a hodnoceními. 1. Pro získání důkazů mohou interní auditoři používat analytické postupy. Analytické postupy představují studium a porovnání vztahů jak mezi finančními, tak nefinančními informacemi. Používání analytických postupů je založeno na předpokladu, že pokud se sledovaný stav neodchyluje od standardu, odůvodněně se očekává, že vztahy mezi informacemi budou existovat a trvat. Příklady nestandardních podmínek zahrnují neobvyklé a neopakující se transakce nebo události; změny účetní, organizační, technologické, změny v postupech a okolním prostředí; neúčinnosti, neefektivnosti, chyby, podvody a nezákonné postupy.

3. V některých případech může být nevhodné nebo nelegální zpřístupnit, získávat, prověřovat, pozměňovat nebo využívat osobní informace při provádění určité auditní zakázky. Pokud interní auditor má přístup k osobním informacím, může být nezbytné vytvořit postupy vedoucí k zajištění takových informací. Např. interní auditor se může za určitých okolností rozhodnout, že nebude zaznamenávat osobní informace v dokumentaci zakázky. 4. Pokud existují otázky nebo záležitosti týkající se přístupu k osobním informacím, interní auditor může před zahájením auditních prací vyhledat radu u právního poradce.

2. Analytické postupy často poskytují interním auditorům efektivní a účinné prostředky pro získání důkazů. Hodnocení vychází z porovnání informací s očekáváními, které interní auditoři nalezli nebo stanovili. Analytické postupy jsou užitečné při identifikaci: • • • • •

neočekávaných rozdílů, chybějících rozdílů v případech, kdy jsou čekávány, možných chyb, možného podvodu nebo nezákonného postupu, jiných neobvyklých nebo neopakujících se transakcí nebo událostí.

1. Analytické postupy zahrnují: • porovnání informací pocházejících z aktuálního období s očekáváními založenými na podobných informacích pocházejících z předcházejících období, a také s rozpočty a předpověďmi, 195

1. Analytical audit procedures include:

• Availability and reliability of financial and nonfinancial information. • Precision with which the results of analytical audit procedures can be predicted. • Availability and comparability of information regarding the industry in which the organization operates. • Extent to which other procedures provide evidence.

• Comparing current period information with expectations based on similar information for prior periods as well as budgets or forecasts. • Studying relationships between financial and appropriate nonfinancial information (e.g., recorded payroll expense compared to changes in average number of employees). • Studying relationships among elements of information (e.g., fluctuation in recorded interest expense compared to changes in related debt balances). • Comparing information with expectations based on similar information for other organizational units as well as for the industry in which the organization operates.

1. When analytical audit procedures identify unexpected results or relationships, the internal auditor evaluates such results or relationships. This evaluation includes determining whether the difference from expectations could be a result of fraud, error, or a change in conditions. The auditor may ask management about the reasons for the difference and would corroborate management’s explanation, for example, by modifying expectations and recalculating the difference or by applying other audit procedures. In particular, the internal auditor needs to be satisfied that the explanation considers both the direction of the change (e.g., sales decreased) and the amount of the difference (e.g., sales decreased by 10 percent). Unexplained results or relationships from applying analytical procedures may be indicative of a significant problem (e.g., a potential error, fraud, or illegal act). Results or relationships that are not adequately explained may indicate a situation to be communicated to senior management and the board in accordance with Standard 2060. Depending on the circumstances, the internal auditor may recommend appropriate action.

1. Internal auditors may perform analytical procedures using monetary amounts, physical quantities, ratios, or percentages. Specific analytical procedures include ratio, trend, and regression analysis; reasonableness tests; period-to-period comparisons; comparisons with budgets; forecasts; and external economic information. Analytical procedures assist internal auditors in identifying conditions that may require additional audit procedures. An internal auditor uses analytical procedures in planning the engagement in accordance with the guidelines contained in Standard 2200. 2. Internal auditors may use analytical procedures to generate evidence during the audit engagement. When determining the extent of analytical procedures, the internal auditor considers the: • Significance of the area being audited. • Assessment of risk management in the area being audited. • Adequacy of the internal control system.

196

• studium vztahů mezi finančními a odpovídajícími nefinančními informacemi (např. mezi zaznamenanými výdaji na mzdy a změnami v průměrném počtu zaměstnanců), • studium vztahů mezi prvky informací (např. pohyb v zaznamenaných úrokových výdajích porovnaný se změnami souvisejících dluhových sald), • porovnání informací s očekáváními založenými na podobných informacích z ostatních organizačních jednotek nebo z odvětví, ve kterém daná společnost podniká.

• rozsah, v jakém jsou ostatní používané postupy schopny poskytnout důkaz. 1. Pokud analytické auditní postupy identifikují neočekávané výsledky nebo vztahy, pak interní auditor takové výsledky nebo vztahy bude hodnotit. Takové hodnocení zahrnuje stanovení, zda odchylka od očekávání může být důsledkem podvodu, chyby nebo změny podmínek. Auditor se může dotázat vedení na původ těchto rozdílů a měl by si toto vysvětlení poskytnuté vedení potvrdit, např. tím, že očekávání modifikuje a znovu propočítá odchylku nebo použije jiný auditní postup. Interní auditor by měl být s poskytnutým vysvětlením spokojen zejména v případech, kdy se týká jak směru změny (např. pokles prodeje), tak velikosti rozdílu (např. prodeje klesly o 10%). Nevysvětlené výsledky nebo vztahy plynoucí z použitých analytických postupů mohou poukazovat na významný problém (např. potenciální chybu, podvod nebo nezákonný postup). Výsledky nebo vztahy, které nejsou dostatečně vysvětleny, mohou znamenat situaci, která musí být sdělena vedení a orgánům společnosti tak, jak je stanoveno ve Standardu 2060. V závislosti na okolnostech může interní auditor doporučit odpovídající opatření.

1. Interní auditoři mohou při provádění analytických postupů využívat měnové částky, fyzické součty, poměrové ukazatele nebo procentní údaje. Specifické analytické postupy zahrnují poměry, trendy, a regresní analýzy, testy přiměřenosti, srovnání mezi obdobími, porovnání s rozpočty, předpověďmi a vnějšími ekonomickými informacemi. Analytické postupy pomáhají interním auditorům při nalezení stavů, které mohou vyžadovat dodatečné auditní postupy. Interní auditor používá analytické postupy při plánování zakázky v souladu s pokyny uvedenými ve Standardu 2200. 2. Interní auditoři mohou používat během auditní zakázky analytické postupy k vytvoření důkazů. Při určení rozsahu analytických postupů interní auditor vezme v potaz: • významnost auditované oblasti, • ohodnocení řízení rizik v auditované oblasti, • adekvátnost vnitřního řídicího a kontrolního systému, • dostupnost a spolehlivost finančních a nefinančních informací, • přesnost, s jakou lze výsledky analytických auditních postupů předpovědět, • dostupnost a porovnatelnost informací týkajících se odvětví, ve kterém společnost podniká, 197


the engagement’s efficiency and facilitate the delegation of engagement work. Engagement working papers may be categorized as permanent or carry-forward engagement files that contain information of continuing importance.

Documenting Information


2330 – Documenting Information Internal auditors must document relevant information to support the conclusions and engagement results. 1. Internal auditors prepare working papers. Working papers document the information obtained, the analyses made, and the support for the conclusions and engagement results. Internal audit management reviews the prepared working papers. 2. Engagement working papers generally: • Aid in the planning, performance, and review of engagements. • Provide the principal support for engagement results. • Document whether engagement objectives were achieved. • Support the accuracy and completeness of the work performed. • Provide a basis for the internal audit activity’s quality assurance and improvement program. • Facilitate third-party reviews. 3. The organization, design, and content of engagement working papers depend on the engagement’s nature and objectives and the organization’s needs. Engagement working papers document all aspects of the engagement process from planning to communicating results. The internal audit activity determines the media used to document and store working papers. 4. The chief audit executive establishes working paper policies for the various types of engagements performed. Standardized engagement working papers, such as questionnaires and audit programs, may improve 198


ní programy mohou zlepšit účinnost dané zakázky a usnadnit delegování prací v rámci zakázky. Pracovní dokumentace zakázky může být dle svého typu rozdělena na stálé soubory nebo na soubory, které jsou dále aktualizovány a které obsahují informace stálé důležitosti.

Dokumentace informací


2330 – Dokumentace informací Interní auditoři musí dokumentovat související informace, které podporují závěry a výsledky zakázky. 1. Interní auditoři připravují pracovní dokumentaci. Pracovní dokumentace zachycuje získané informace, provedené analýzy a poskytuje podporu pro závěry a výsledky dané zakázky. Vedení interního auditu prověřuje připravenou pracovní dokumentaci. 2. Pracovní dokumentace zakázky obecně: • napomáhá při plánování, realizaci a prověřování zakázek, • poskytuje hlavní podporu výsledkům zakázky, • dokumentuje, zda cíle zakázky byly dosaženy, • podporuje přesnost a úplnost provedených prací, • poskytuje základnu pro program pro zabezpečení a zvyšování kvality interního auditu, • usnadňuje prověrky provedené třetími stranami. 3. Organizace, uspořádání a obsah pracovní dokumentace zakázky závisí na povaze a cílech zakázky a na potřebách dané organizace. Pracovní dokumentace zakázky zachycuje všechna hlediska procesu provádění zakázky: počínaje plánováním a konče předáváním výsledků. Útvar interního auditu stanoví druh média používaného pro dokumentaci a uchovávání pracovní dokumentace. 4. Vedoucí interního auditu stanoví pro různé druhy prováděných zakázek zásady týkající se pracovní dokumentace. Standardizovaná pracovní dokumentace zakázky, jako jsou například dotazníky a audit199


4. Management and other members of the organization may request access to all or specific engagement working papers. Such access may be necessary to substantiate or explain engagement observations and recommendations or for other business purposes. The chief audit executive (CAE) approves these requests.

Control of Engagement Records



5. The CAE approves access to engagement working papers by external auditors. 6. There are circumstances where parties outside the organization, other than external auditors, request access to engagement working papers and reports. Prior to releasing the documentation, the CAE obtains the approval of senior management and/or legal counsel, as appropriate.

1. Internal audit engagement records include reports, supporting documentation, review notes, and correspondence, regardless of storage media. Engagement records or working papers are the property of the organization. The internal audit activity controls engagement working papers and provides access to authorized personnel only.

7. Potentially, internal audit records that are not specifically protected may be accessed in legal proceedings. Legal requirements vary significantly in different jurisdictions. When there is a specific request for engagement records in relation to a legal proceeding, the CAE works closely with legal counsel in deciding what to provide.

2. Internal auditors may educate management and the board about access to engagement records by external parties. Policies relating to access to engagement records, handling of access requests, and procedures to be followed when an engagement warrants an investigation, need to be reviewed by the board. 3. Internal audit policies explain who in the organization is responsible for ensuring the control and security of the activity’s records, which internal or external parties can be granted access to engagement records, and how requests for access to those records need to be handled. These policies will vary depending on the nature of the organization, practices followed in the industry, and access privileges established by law.

200


4. Vedení a ostatní členové organizace mohou požádat o přístup k pracovní dokumentaci zakázky jako k celku nebo jen k určité její části. Tento přístup může být nezbytný pro zdůvodnění nebo vysvětlení pozorování a doporučení učiněných v rámci zakázky nebo může být nezbytný pro jiné podnikatelské účely. Tyto požadavky schvaluje vedoucí interního auditu.

Řízení přístupu k záznamům pořízeným v rámci zakázky Související standard


5. Vedoucí interního auditu schvaluje přístup externích auditorů k pracovní dokumentaci zakázky. 6. Existují okolnosti, za kterých požadují přístup k pracovní dokumentaci a zprávám o dané zakázce subjekty nacházející se mimo organizaci, a to jiné subjekty než externí auditoři. Před zpřístupněním této dokumentace vedoucí interního auditu získá souhlas vedení a/ nebo právního zástupce, dle toho, co je v dané situaci vhodnější.

1. Záznamy interního auditu zahrnují zprávy, podpůrnou dokumentaci, připomínky a korespondenci, a to bez ohledu na médium, na kterém jsou uchovány. Záznamy pořízené v rámci zakázky nebo pracovní dokumentace jsou majetkem organizace. Útvar interního auditu řídí přístup k pracovní dokumentaci zakázky a přístup poskytuje pouze oprávněným osobám.

7. Potenciálně, do záznamů interního auditu, které nejsou specificky chráněny, může být nahlíženo v rámci soudního řízení. Právní požadavky se významným způsobem liší v jednotlivých právních systémech. Pokud se v rámci soudního řízení vyskytne specifický požadavek na přístup k záznamům zakázky, vedoucí interního auditu při rozhodování o tom, které záznamy poskytne, úzce spolupracuje s právním zástupcem.

2. Interní auditoři mohou předat vedení a orgánům společnosti pokyny týkající se přístupu externích subjektů k záznamům pořízeným v rámci zakázky. Zásady týkající se přístupu k záznamům zakázky, způsobu zpracování požadavků na přístup a postupů, které musí být dodrženy v případě, že zakázka vyžaduje provedení vyšetřování, musí být posouzeny orgány společnosti. 3. Zásady interního auditu vysvětlují, kdo je v rámci organizace odpovědný za zajištění bezpečnosti a řízení přístupu k záznamům útvaru interního auditu, které interní nebo externí subjekty mohou dostat přidělen přístup k záznamům zakázky a jak musí být zpracovávány požadavky na přístup k těmto záznamům. Tyto zásady budou záviset na charakteru organizace, postupech požívaných v rámci daného odvětví a oprávnění k přístupu k informacím stanovená v zákonech.

201


2. Explicit practices of the internal audit activity may increase the control of access to engagement records.

Granting Access to Engagement Records

3. The internal audit activity may address access to, and control of, internal audit records regardless of the media used for storage.



4. The internal audit activity’s policies should cover what to include in engagement records and specify the content and format of the engagement records and how internal auditors handle resolved review notes. The policies also should specify how long internal audit records are to be retained. The chief audit executive (CAE), when specifying the length of retention for engagement records, should consider the organization’s needs as well as legal requirements.

Caution: Internal auditors are encouraged to consult legal counsel in matters involving legal issues as requirements may vary significantly in different jurisdictions. The guidance contained in this practice advisory is based primarily on the legal systems that protect information and work performed for, or communicated to, an engaged attorney (i.e., attorney–client privilege), such as the legal system in the United States of America. PA 2400-1 discusses attorney–client privilege.

5. The internal audit activity’s policies may document who in the organization is responsible for the control and security of internal audit records, who can be granted access to engagement records, and how requests for access to those records are to be handled. These policies depend on the practices followed in the organization’s industry or legal jurisdiction. The CAE should be aware of changing practices in the industry and changing legal precedents. When developing policies, the CAE should consider who may seek access to internal audit records.

1. Internal audit engagement records include reports, supporting documentation, review notes, and correspondence, regardless of storage media. Engagement records are generally produced under the presumption that their contents are confidential and may contain a mix of facts and opinions. However, those who are not familiar with the organization or its internal audit process may misunderstand those facts and opinions. Outside parties may seek access to engagement records in different types of proceedings, including criminal prosecutions, civil litigation, tax audits, regulatory reviews, government contract reviews, and reviews by self-regulatory organizations. Most of an organization’s records that are not protected by the attorney–client privilege may be accessible in criminal proceedings. In noncriminal proceedings, the issue of access is less clear and may vary according to the jurisdiction of the organization.

6. The policy granting access to engagement records may also address processes: • For resolving access issues. • For educating the internal audit staff concerning the risks and issues regarding access to their work products. • To determine who may seek access to the work product in the future.

202


mlčenlivosti právního zástupce, mohou být zpřístupněny pro trestní řízení. V jiných řízeních je otázka přístupu méně jasná a může se lišit podle právního systému, kterému daná společnost podléhá.

Poskytování přístupu k záznamům pořízeným v rámci zakázky Související standard

2. Určité postupy používané interním auditem mohou zvýšit úroveň řízení a kontroly nad přístupem k záznamům pořízeným v rámci zakázky.


3. Interní audit se může zabývat přístupem k záznamům interního auditu a jeho řízením, a to bez ohledu na úložné médium.

Upozornění: Interní auditorům se doporučuje, aby s právním poradcem konzultovali záležitosti zahrnující právní aspekty, protože v různých právních systémech se mohou požadavky významně lišit. Pokyny obsažené v tomto Doporučení pro praxi jsou v první řadě založeny na těch právních systémech, které poskytují ochranu pro informace a práci vykonávanou pro zastupujícího právníka nebo pro jemu sdělované informace (tj. princip zachování mlčenlivosti právního zástupce) tak, jak je tomu např. v právním systému USA. Doporučení pro praxi 2400-1 rozebírá princip zachování mlčenlivosti právního zástupce.

4. Zásady interního auditu by měly poskytnout odpověď na otázku, co je třeba zahrnout do záznamů o zakázce a specifikovat obsah a formu auditních záznamů. Rovněž by měly poskytnout odpověď na otázku, jak interní auditoři zacházejí s uzavřenými poznámkami týkajícími se prověřování. Tyto zásady by také měly určit, jak dlouho budou záznamy interního auditu uchovávány. Vedoucí interního auditu by měl při specifikaci délky uchovávání auditních záznamů zvážit jak potřeby dané společnosti, tak právní požadavky.

1. Bez ohledu na úložné médium, záznamy pořízené v rámci zakázky interního auditu obsahují zprávy, podpůrnou dokumentaci, ověřující poznámky a korespondenci. Záznamy pořízené v rámci zakázky jsou obecně vytvářeny za předpokladu, že jejich obsah je důvěrný a může obsahovat směsici faktů a názorů. Avšak ti, kdo nejsou obeznámeni se společností nebo s postupy interního auditu v této společnosti, mohou tato fakta a názory nesprávně pochopit. Subjekty vně společnosti mohou vyžadovat přístup k záznamům pořízeným v rámci zakázky z různých důvodů, včetně trestního řízení, občanských sporů, daňových auditů, regulatorního šetření, prověřování vládních kontraktů a šetření prováděné samoregulačními organizacemi (self-regulatory organizations). Většina záznamů společnosti, které nejsou chráněny v rámci zachování

5. Zásady činnosti interního auditu mohou definovat, kdo je ve společnosti odpovědný za kontrolu a bezpečnost záznamů interního auditu, komu může být přidělen k těmto záznamům přístup a jak má být s žádostí o tento přístup zacházeno. Tyto zásady závisí na postupech, kterými se odvětví dané společnosti nebo právní systém řídí. Vedoucí interního auditu by měl být informován o změnách v postupech daného odvětví a o nových judikátech (soudní rozhodnutí, které je prvním řešením daného případu, dosud právem neupraveného). Vedoucí interního auditu by měl při tvorbě zásad zvážit, kdo může k auditním záznamům požadovat přístup.

203


1. The CAE also may educate senior management and the board about the risks of access to engagement records. The board may review policies relating to who can be granted access to engagement records and how those requests are to be handled. The specific policies will vary depending upon the nature of the organization and the access privileges that have been established by law.

Retention of Records


2330.A2 – The chief audit executive must develop retention requirements for engagement records, regardless of the medium in which each record is stored. These retention requirements must be consistent with the organization’s guidelines and any pertinent regulatory or other requirements.

2. When furnishing engagement records, the CAE usually: • Provides only the specific documents as directed by legal counsel or policies. These usually exclude documents covered by attorney–client privilege. Documents that reveal attorneys’ thought processes or strategies will usually be privileged and not subject to forced disclosure. • Releases documents in a form where they cannot be changed (e.g., as an image rather than in word processing format). For paper documents, the CAE releases copies and keeps the originals. • Labels each document as confidential and places a notation that secondary distribution is not permitted without permission.

1. Engagement record retention requirements vary among jurisdictions and legal environments. 2. The chief audit executive (CAE) develops a written retention policy that meets organizational needs and legal requirements of the jurisdictions within which the organization operates. 3. The record retention policy needs to include appropriate arrangements for the retention of records related to engagements performed by external service providers.

204


6. Zásady umožňující přístup k záznamům pořízeným v rámci zakázky mohou také postihovat procesy týkající se: • řešení záležitostí týkajících se přístupu, • vzdělávání zaměstnanců interního auditu v oblasti rizik a otázek týkajících se přístupu k jejich výsledkům práce, • určení toho, kdo může v budoucnosti vyžadovat přístup k výsledkům práce.

Archivace záznamů


2330.A2 – Bez ohledu na povahu média, na kterém jsou záznamy uloženy, vedoucí interního auditu musí stanovit požadavky na archivaci záznamů pořízených v rámci zakázky. Tyto požadavky musí být vypracovány v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky.

1. Vedoucí interního auditu může předat vedení a orgánům společnosti informace týkající se rizik přístupu k záznamům pořízeným v rámci zakázky. Orgány společnosti mohou prověřit zásady určující, kdo může mít k záznamům o zakázce přístup a jak má být s žádostmi o přístup zacházeno. Tyto konkrétní zásady se budou lišit v závislosti na charakteru společnosti a ochraně přístupu, která je stanovena zákonem.

1. Požadavky na archivaci záznamů zakázky se liší v jednotlivých právních systémech a prostředích. 2. Vedoucí interního auditu připraví písemné zásady archivace, které jsou v souladu s potřebami dané organizace a v souladu s požadavky právních systémů, v rámci kterých organizace uskutečňuje svoji činnost.

2. Pokud jsou předávány záznamy o zakázce, tak vedoucí interního auditu většinou:

3. Zásady archivace záznamů musí obsahovat ustanovení, které vhodným způsobem upravuje archivaci záznamů pořízených v průběhu zakázek provedených externími poskytovateli služeb.

• poskytuje jen specifické dokumenty v souladu s právními radami nebo platnými zásadami. Tyto dokumenty obyčejně neobsahují dokumenty chráněné v rámci zachování mlčenlivosti právního zástupce. Dokumenty, které obsahují myšlenkové postupy nebo strategii právních zástupců spadají většinou do privilegované kategorie a nejsou předmětem povinného zveřejnění, • uvolňuje dokumenty ve formě, ve které nemohou být změněny (např. spíše v obrazovém než textovém formátu). V případě papírové dokumentace vedoucí interního auditu předává kopie a ponechává si originály, • označí každý dokument jako důvěrný a umístí na něj upozornění, že další distribuce není bez příslušného povolení přípustná.

205


• Providing opportunities for developing internal auditors’ knowledge, skills, and other competencies.

Engagement Supervision

2. The CAE is responsible for all internal audit engagements, whether performed by or for the internal audit activity, and all significant professional judgments made throughout the engagement. The CAE also adopts suitable means to ensure this responsibility is met. Suitable means include policies and procedures designed to:


2340 – Engagement Supervision Engagements must be properly supervised to ensure objectives are achieved, quality is assured, and staff is developed. Interpretation: The extent of supervision required will depend on the proficiency and experience of internal auditors and the complexity of the engagement. The chief audit executive has overall responsibility for supervising the engagement, whether performed by or for the internal audit activity, but may designate appropriately experienced members of the internal audit activity to perform the review. Appropriate evidence of supervision is documented and retained.

• Minimize the risk that internal auditors or others performing work for the internal audit activity make professional judgments or take other actions that are inconsistent with the CAE’s professional judgment such that the engagement is impacted adversely. • Resolve differences in professional judgment between the CAE and internal audit staff over significant issues relating to the engagement. Such means may include discussion of pertinent facts, further inquiry or research, and documentation and disposition of the differing viewpoints in engagement working papers. In instances of a difference in professional judgment over an ethical issue, suitable means may include referral of the issue to those individuals in the organization having responsibility over ethical matters.

1. The chief audit executive (CAE) or designee provides appropriate engagement supervision. Supervision is a process that begins with planning and continues throughout the engagement. The process includes: • Ensuring designated auditors collectively possess the required knowledge, skills, and other competencies to perform the engagement. • Providing appropriate instructions during the planning of the engagement and approving the engagement program. • Ensuring the approved engagement program is completed unless changes are justified and authorized. • Determining engagement working papers adequately support engagement observations, conclusions and recommendations. • Ensuring engagement communications are accurate, objective, clear, concise, constructive, and timely. • Ensuring engagement objectives are met.

3. All engagement working papers are reviewed to ensure they support engagement communications and necessary audit procedures are performed. Evidence of supervisory review consists of the reviewer initialing and dating each working paper after it is reviewed. Other techniques that provide evidence of supervisory review include completing an engagement working paper review checklist; preparing a memorandum specifying the nature, extent, and results of the review; or evaluating and accepting reviews within the working paper software.

206


• zajištění, aby zprávy o zakázkách byly přesné, objektivní, jasné, stručné, konstruktivní, úplné a včasné, • zajištění, aby cíle zakázky byly splněny, • poskytnutí příležitostí pro rozvíjení znalostí, dovedností a dalších kompetencí interních auditorů.

Dohled (supervize) nad prováděním zakázky Související standard

2340 – Dohled (supervize) nad prováděním zakázky Nad zakázkami musí být prováděn řádný dohled (supervize) tak, aby bylo zaručeno, že jsou splněny jejich cíle, je zajištěna jejich odpovídající kvalita a že kompetence zaměstnanců jsou dostatečné.

2. Vedoucí interního auditu je odpovědný za všechny zakázky interního auditu, bez ohledu na to, zda jsou realizovány útvarem interního auditu nebo pro útvar interního auditu. Vedoucí interního auditu je dále odpovědný za veškerá významná profesní rozhodnutí učiněná v průběhu zakázky. Vedoucí interního auditu také používá vhodné prostředky pro zajištění plnění této odpovědnosti. Vhodnými prostředky jsou zásady a postupy vytvořené za účelem:

Interpretace: Rozsah požadovaného dohledu bude záviset na odbornosti a zkušenostech interních auditorů a na složitosti dané zakázky. Vedoucí interního auditu má celkovou odpovědnost za dohled nad zakázkou, ať již je prováděna samotným interním auditem nebo jiným subjektem. Vedoucí interního auditu může ale též pověřit tímto prověřením dostatečně zkušené zaměstnance interního auditu. Příslušné doklady týkající se provádění dohledu jsou zdokumentovány a uchovávány.

• minimalizace rizika, že interní auditoři nebo ostatní pracovníci provádějící práci pro útvar interního auditu učiní profesní rozhodnutí nebo přijmou jiná opatření, která nejsou ve shodě s profesním úsudkem vedoucího interního auditu, což má negativní vliv na prováděnou zakázku, • vyřešení rozdílů v profesním úsudku mezi vedoucím interního auditu a pracovníky interního auditu ohledně významných problémů týkajících se prováděné zakázky. Tyto prostředky mohou zahrnovat debatu o souvisejících skutečnostech, provedení další prověrky nebo průzkumu, zdokumentování a uvedení odlišných stanovisek v pracovní dokumentaci zakázky. V případech rozdílu v profesním úsudku v oblasti etických záležitostí, vhodným prostředkem může být oznámení takové záležitosti jednotlivcům v organizaci, kteří mají odpovědnost za etické záležitosti.

1. Vedoucí interního auditu nebo jím pověřená osoba zajišťuje řádný dohled (supervizi) nad zakázkou. Supervize je proces, který začíná plánováním a pokračuje v průběhu realizace celé zakázky. Tento proces zahrnuje: • zajištění, aby přidělení auditoři, jako celek, měli požadované znalosti, dovednosti a ostatní kompetence nezbytné k provedení zakázky, • poskytnutí řádných instrukcí v průběhu fáze plánování zakázky a schválení programu zakázky, • zajištění, aby schválený program byl splněn pokud nedojde k odůvodněným a schváleným změnám programu, • určení, zda pracovní dokumentace zakázky přiměřeným způsobem podporuje pozorování, závěry a doporučení učiněná v rámci zakázky,

3. Veškerá pracovní dokumentace zakázky je prověřována, aby bylo zajištěno, že podporuje zprávy o zakázce a že byly provedeny nezbytné auditní postupy. Součástí důkazu o provedení prověrky je označení každé části pracovní dokumentace zakázky parafou osoby 207


4. Reviewers can make a written record (i.e., review notes) of questions arising from the review process. When clearing review notes, care needs to be taken to ensure working papers provide adequate evidence that questions raised during the review are resolved. Alternatives with respect to disposition of review notes are as follow:

Legal Considerations in Communicating Results Primary Related Standard

2400 – Communicating Results Internal auditors must communicate the engagement results.

• Retain the review notes as a record of the reviewer’s questions raised, the steps taken in their resolution, and the results of those steps. • Discard the review notes after the questions raised are resolved and the appropriate engagement working papers are amended to provide the information requested.

Caution: Internal auditors are encouraged to consult legal counsel in matters involving legal issues as requirements may vary significantly in different jurisdictions. The guidance contained in this practice advisory is based primarily on the legal systems that protect information and work performed for, or communicated to, an engaged attorney (i.e., attorney–client privilege), such as the legal system in the United States of America. PA 2400-1 discusses attorney–client privilege.

5. Engagement supervision also allows for training and development of staff and performance evaluation.

1. The internal auditor needs to exercise caution when communicating noncompliance with laws, regulations, and other legal issues. Developing policies and procedures regarding the handling of those matters as well as a close working relationship with other appropriate areas (e.g., legal counsel and compliance) is strongly encouraged. 2. The internal auditor gathers evidence, makes analytical judgments, reports results, and determines whether management has taken appropriate corrective action. The internal auditor’s need to prepare engagement records may conflict with legal counsel’s desire to not leave discoverable evidence that could harm the organization’s position in legal matters. For example, even if an internal auditor gathers and evaluates information properly, the facts and analyses disclosed may negatively impact the organization from a legal perspective. Proper planning and policy making — including role definition and methods of communication — are essential so that a sudden revelation 208


provádějící prověrku a uvedení data a to ihned poté, co byla prověrka provedena. Ostatními postupy prokazujícími provedení prověrky jsou vyplnění kontrolního seznamu pracovní dokumentace zakázky; vypracování sdělení/memoranda specifikujícího povahu, rozsah a výsledky prověrky; nebo hodnocení a přijetí provedených prověrek prostřednictvím software podporujícího udržování pracovní dokumentace.

Právní aspekty při předávání výsledků Související standard

2400 – Předávání výsledků Interní auditoři musí předávat informace týkající se výsledků zakázky. Upozornění: Interní auditorům se doporučuje, aby s právním poradcem konzultovali záležitosti zahrnující právní aspekty, protože v různých právních systémech se mohou požadavky významně lišit. Pokyny obsažené v tomto Doporučení pro praxi jsou v první řadě založeny na těch právních systémech, které poskytují ochranu pro informace a práci vykonávanou pro zastupujícího právníka nebo pro jemu sdělované informace (tj. princip zachování mlčenlivosti právního zástupce) tak, jak je tomu např. v právním systému USA. Doporučení pro praxi 2400-1 rozebírá princip zachování mlčenlivosti právního zástupce.

4. Pracovníci provádějící prověrku mohou vyhotovit písemný záznam (poznámky) otázek, které vznikly v průběhu prověrky. Při zpracovávání těchto poznámek z prověrky je třeba věnovat pozornost tomu, aby pracovní dokumentace poskytovala přiměřené důkazy o tom, že otázky vzniklé v průběhu prověrky byly vyřešeny. Možnosti uchovávání poznámek z prověrky jsou následující: • uchovávat poznámky o prověrce jako záznam obsahující znění otázek vznesených pracovníkem provádějícím prověrku, informace o krocích podniknutých směrem k jejich vyřešení a informace o výsledcích těchto kroků, • po vyřešení vzniklých otázek, skartovat poznámky o provedení prověrky a doplnit příslušné části pracovní dokumentace zakázky tak, aby poskytovaly požadované informace.

1. Interní auditor musí uplatňovat obezřetnost při předávání informací týkajících se nesouladu se zákony, s předpisy a týkajících se ostatních právních aspektů. Doporučuje se vytvořit zásady a postupy pro jednání v těchto záležitostech. Také se doporučuje vytvořit úzký pracovní vztah s ostatními vhodnými stranami (např. s právním poradcem a oddělením compliance).

5. Dohled (supervize) nad zakázkou je také příležitostí pro školení a rozvoj pracovníků a hodnocení jejich výkonnosti.

2. Interní auditor shromažďuje záznamy, vyhotovuje analytické posudky, předkládá výsledky a určuje, zda vedení přijalo vhodná nápravná opatření. Povinnost interního auditora připravit dokumentaci zakázky může být v konfliktu s přáním právního poradce, aby neexistovala žádná dokumentace, která by mohla být objevena a mohla by tak poškodit pozici společnosti v právních záležitostech. Např. i když auditor řádně shromáždí a vyhodnotí informace, mohou zveřejněné údaje a analýzy z právního hlediska společnost negativně ovlivnit. Proto je stěžejní odpovídající plánování 209

does not place the internal auditor and legal counsel at odds with one another. Both parties need to foster an ethical and preventive perspective throughout the organization by sensitizing and educating management about the established policies.

2. Documents intended to be protected under the workproduct doctrine usually need to be: • Some type of work product (e.g., memo, computer program). • Prepared in anticipation of litigation. • Completed by someone working at the direction of an attorney.

3. A communication made between “privileged persons” — in confidence and for the purpose of seeking, obtaining, or providing legal assistance for the client — is necessary to protect the attorney– client privilege. This privilege, which is primarily used to protect communications with attorneys, can also apply to communications with third parties working with an attorney.

1. Documents prepared and delivered to the attorney before the attorney–client relationship is established are not generally protected by the attorney–client privilege.

4. Some courts have recognized a privilege of critical selfanalysis that shields self-critical materials (e.g., audit work products) from discovery. In general, the recognition of this privilege is premised on the belief that the confidentiality of the self-analysis in these instances outweighs the valued public interest. 5. Privilege usually applies when: • The information results from a self-critical analysis undertaken by the party asserting the privilege. • The public has a strong interest in preserving the free flow of the information contained in the critical analysis. • The information is of the type whose flow would be curtailed if discovery were allowed. 1. Self-evaluative privileges are less likely to be available when a government agency — rather than a party involved in a private legal matter — seeks out the documents. Presumably, this reluctance results from recognition of the government’s stronger interest in enforcing the law.

210

a vytváření zásad, včetně definování rolí a způsobů komunikace, aby náhlé odhalení neuvedlo interního auditora a právního poradce do vzájemného sporu. Obě strany musí podporovat hlediska etiky a prevence napříč celou společností tím, že budou vychovávat vedení a zvyšovat jeho vnímavost vůči zavedeným zásadám.

dokumentům. Tato neochota je pravděpodobně způsobena silnějším zájmem vlády na prosazování zákona. 2. Dokumenty, na které by se mohl vztahovat princip ochrany podkladů připravených pro obhajobu (workproduct doctrine), by měly většinou být: • některým typem pracovního podkladu (např. memo, výpočetní program), • připraveny s výhledem na vedení sporu, • sestaveny osobou, pracující podle dispozic právního zástupce.

3. Komunikace mezi „privilegovanými osobami“ (která je důvěrná a slouží pro účely hledání, získávání nebo poskytování právní pomoci klientovi) musí poskytovat ochranu principu zachování mlčenlivosti právního zástupce. Tento princip, který je primárně využíván k ochraně komunikace s právními zástupci, se může také vztahovat na komunikaci s třetími stranami spolupracujícími s právním zástupcem.

1. Dokumenty připravené a doručené právnímu zástupci před ustavením vztahu mezi ním a klientem nejsou obecně chráněny v rámci principu zachování mlčenlivosti právního zástupce.

4. Některé soudy začaly uznávat výsadu ochrany sebehodnotících analýz, tato výsada chrání materiály sebehodnotícího charakteru (např. produkty auditorské práce) před odhalením. Obecně je uznání takovéto výsady předem založeno na přesvědčení, že důvěrnost sebehodnotících analýz v těchto případech převáží vysoce ceněný zájem veřejnosti. 5. Výsada ochrany sebehodnotících analýz se většinou uplatní, pokud: • informace pochází ze sebehodnotící analýzy provedené stranou, která si činí nárok na tuto výsadu, • veřejnost má silný zájem na zachování volného toku informací obsažených v sebehodnotících analýzách, • informace je takové povahy, že tok informací by byl zredukován, kdyby bylo umožněno její zveřejnění. 1. Výsady ochrany sebehodnotících analýz jsou s menší pravděpodobností uplatnitelné v případech, kdy se vládní instituce (spíše než strana účastnící se dané privátní právní záležitosti) snaží získat přístup k daným

211


5. Results include observations, conclusions, opinions, recommendations, and action plans.

Communication Criteria

6. Observations are pertinent statements of fact. The internal auditor communicates those observations necessary to support or prevent misunderstanding of the internal auditor’s conclusions and recommendations. The internal auditor may communicate less significant observations or recommendations informally.


2410 – Criteria for Communicating Communications must include the engagement’s objectives and scope as well as applicable conclusions, recommendations, and action plans. 1. Although the format and content of the final engagement communications varies by organization or type of engagement, they are to contain, at a minimum, the purpose, scope, and results of the engagement.

7. Engagement observations and recommendations emerge by a process of comparing criteria (the correct state) with condition (the current state). Whether or not there is a difference, the internal auditor has a foundation on which to build the report. When conditions meet the criteria, communication of satisfactory performance may be appropriate. Observations and recommendations are based on the following attributes:

2. Final engagement communications may include background information and summaries. Background information may identify the organizational units and activities reviewed and provide explanatory information. It may also include the status of observations, conclusions, and recommendations from prior reports and an indication of whether the report covers a scheduled engagement or is responding to a request. Summaries are balanced representations of the communication’s content.

• Criteria: The standards, measures, or expectations used in making an evaluation and/or verification (the correct state). • Condition: The factual evidence that the internal auditor found in the course of the examination (the current state). • Cause: The reason for the difference between expected and actual conditions. • Effect: The risk or exposure the organization and/or others encounter because the condition is not consistent with the criteria (the impact of the difference). In determining the degree of risk or exposure, internal auditors consider the effect their engagement observations and recommendations may have on the organization’s operations and financial statements. • Observations and recommendations can include engagement client accomplishments, related issues, and supportive information.

3. Purpose statements describe the engagement objectives and may inform the reader why the engagement was conducted and what it was expected to achieve. 4. Scope statements identify the audited activities and may include supportive information such as time period reviewed and related activities not reviewed to delineate the boundaries of the engagement. They may describe the nature and extent of engagement work performed.

212


6. Pozorování představují popis zjištěných skutečností. Interní auditor informuje o takových pozorováních, která jsou nezbytná pro doložení závěrů a doporučení interního auditora nebo z důvodu předcházení nedorozuměním. Méně významná pozorování nebo doporučení mohou být sdělována neformálním způsobem.

Kritéria komunikace


2410 – Kritéria komunikace Zprávy musí obsahovat cíl a rozsah zakázky, příslušné závěry, doporučení a seznam opatření navržených k odstranění nedostatků.

7. Pozorování a doporučení učiněná v rámci zakázky vznikají porovnáváním kritéria (správný stav) s danou situací (současný stav). Ať již mezi nimi existuje nějaký rozdíl či nikoliv, je to pro interního auditora základ, na kterém připravuje zprávu. V případě, že daná situace odpovídá kritériím, může být vhodné sdělit informaci týkající se uspokojivého výsledku. Pozorování a doporučení jsou založena na následujících charakteristických znacích:

1. I když se formát a obsah závěrečných zpráv o výsledcích zakázky liší u jednotlivých organizací nebo podle druhu zakázky, musí alespoň obsahovat účel, rozsah a výsledky auditu. 2. Závěrečná zpráva o výsledcích zakázky může obsahovat doplňující informace a shrnutí. Doplňující informace mohou obsahovat popis prověřovaných organizačních jednotek a činností a poskytovat vysvětlující informace. Rovněž mohou zahrnovat stav pozorování, závěrů a doporučení z předchozích zpráv a označení, zda zpráva pokrývá plánovanou zakázku nebo zda je reakcí na nějaký požadavek. Shrnutí představují vyvážená vyjádření obsahu zprávy.

• kritéria: standardy, měřítka nebo očekávání použitá při provádění hodnocení a/nebo ověřování (správný stav), • situace: faktické důkazy, které interní auditor nalezl v průběhu prověřování (současný stav), • příčina: důvod pro rozdíl mezi očekávanou a skutečnou situací, • důsledek: riziko nebo nebezpečí, kterým jsou organizace a/nebo ostatní subjekty vystaveni, protože daná situace není v souladu s kritérii (dopad tohoto rozdílu). Při stanovení míry rizika nebo stupně nebezpečí interní auditoři zváží, jaké mohou mít jejich pozorování a doporučení dopad na provoz činnosti organizace a její finanční výkazy, • pozorování a doporučení mohou zahrnovat výsledky dosažené klientem zakázky, související problémy a podpůrné údaje.

3. Prohlášení o účelu popisují cíle zakázky a mohou informovat čtenáře, proč byla daná zakázka provedena a co bylo jejím cílem. 4. Prohlášení o rozsahu obsahují popis auditovaných činností a mohou zahrnovat podpůrné informace, jako je například označení prověřovaného časového období a souvisejících činností, které nebyly prověřovány. Prohlášení o rozsahu jsou připravována za účelem vymezení hranic dané zakázky. Mohou popisovat povahu a rozsah prací provedených v rámci zakázky.

8. Závěry a výroky/názory představují vyhodnocení dopadů pozorování a doporučení na činnosti prověřované interním auditorem. Tyto závěry a názory obvykle poskytují pohled na jednotlivá pozorování a doporučení z hlediska jejich celkových důsledků. Jasným

5. Výsledky zahrnují pozorování, závěry, názory, doporučení a seznam opatření navržených k odstranění nedostatků. 213

8. Conclusions and opinions are the internal auditor’s evaluations of the effects of the observations and recommendations on the activities reviewed. They usually put the observations and recommendations in perspective based upon their overall implications. Clearly identify any engagement conclusions in the engagement report. Conclusions may encompass the entire scope of an engagement or specific aspects. They may cover, but are not limited to, whether operating or program objectives and goals conform to those of the organization, whether the organization’s objectives and goals are being met, and whether the activity under review is functioning as intended. An opinion may include an overall assessment of controls or may be limited to specific controls or aspects of the engagement.

11. The internal auditor may communicate the engagement client’s views about the internal auditor’s conclusions, opinions, or recommendations.. 12. As part of the internal auditor’s discussions with the engagement client, the internal auditor obtains agreement on the results of the engagement and on any necessary plan of action to improve operations. If the internal auditor and engagement client disagree about the engagement results, the engagement communications state both positions and the reasons for the disagreement. The engagement client’s written comments may be included as an appendix to the engagement report, in the body of the report, or in a cover letter. 13. Certain information is not appropriate for disclosure to all report recipients because it is privileged, proprietary, or related to improper or illegal acts. Disclose such information in a separate report. Distribute the report to the board if the conditions being reported involve senior management.

9. The internal auditor may communicate recommendations for improvements, acknowledgments of satisfactory performance, and corrective actions. Recommendations are based on the internal auditor’s observations and conclusions. They call for action to correct existing conditions or improve operations and may suggest approaches to correcting or enhancing performance as a guide for management in achieving desired results. Recommendations can be general or specific. For example, under some circumstances, the internal auditor may recommend a general course of action and specific suggestions for implementation. In other circumstances, the internal auditor may suggest further investigation or study.

14. Interim reports are written or oral and may be transmitted formally or informally. Use interim reports to communicate information that requires immediate attention, to communicate a change in engagement scope for the activity under review, or to keep management informed of engagement progress when engagements extend over a long period. The use of interim reports does not diminish or eliminate the need for a final report.

10. The internal auditor may communicate engagement client accomplishments, in terms of improvements since the last engagement or the establishment of a well-controlled operation. This information may be necessary to fairly present the existing conditions and to provide perspective and balance to the engagement final communications.

15. A signed report is issued after the engagement’s completion. Summary reports highlighting engagement results are appropriate for levels of management above the engagement client and can be issued separately from or in conjunction with the final report. The term “signed” means the authorized internal auditor’s name is manually or electronically signed in the report or 214

způsobem vyjmenovávají jednotlivé závěry uvedené ve zprávě. Závěry mohou pokrývat celý rozsah zakázky nebo pouze určité stránky. Mohou zahrnovat následující položky, které ale nemusí být jejich úplným výčtem: zda provozní nebo programové záměry a cíle jsou v souladu s cíli a záměry dané organizace, zda se plní záměry a cíle organizace a zda prověřovaná činnost funguje tak, jak bylo určeno. Výrok může obsahovat celkové hodnocení řídicích a kontrolních mechanismů nebo může být omezen na určité řídicí a kontrolní mechanismy nebo určité stránky dané zakázky.

12. Jako součást diskuse interního auditora s klientem zakázky, interní auditor získává souhlas s výsledky zakázky a se seznamem všech nezbytných opatření ke zlepšení provozních činností. Jestliže interní auditor a klient zakázky nedosáhnou shody o výsledcích zakázky, zpráva o zakázce uvede obě stanoviska a důvody této neshody. Písemné připomínky klienta zakázky mohou být obsaženy v příloze zprávy o zakázce, být součástí zprávy nebo průvodního/úvodního dopisu. 13. Určité informace není vhodné sdělovat všem příjemcům zprávy, z důvodu jejich výhradnosti, vlastnictví nebo z důvodu jejich souvislosti s nedovolenými nebo nezákonnými činy. Tyto informace jsou zveřejněny v samostatné zprávě. Jestliže se situace, která je předmětem zprávy, týká vedení společnosti, zpráva je zaslána orgánům společnosti.

9. Interní auditor může sdělovat doporučení ke zlepšení, ocenění uspokojivé úrovně výkonnosti a nápravná opatření. Doporučení jsou založena na pozorováních a závěrech interního auditora. Představují výzvu k zavedení opatření směřujícího k nápravě současného stavu nebo ke zlepšení provozních činností a mohou navrhovat přístupy k nápravě nebo ke zdokonalení výkonnosti, které jsou vedení oporou při dosahování žádoucích výsledků. Doporučení mohou být obecná nebo konkrétní. Například, za určitých okolností, interní auditor může doporučit obecný směr opatření a poskytnout konkrétní návrhy pro realizaci. Za jiných okolností může interní auditor navrhnout provedení dodatečné prověrky nebo zkoumání.

14. Předběžné zprávy mají písemnou nebo ústní podobu a mohou být předávány formálním nebo neformálním způsobem. Předběžné zprávy se používají ke sdělování informací, které vyžadují okamžitou pozornost, ke sdělování změn v rozsahu zakázky v rámci prověřované činnosti nebo k informování vedení o průběhu zakázky v případě, že daná zakázka trvá po dlouhé časové období. Použití předběžných zpráv nesnižuje ani nevylučuje potřebu vypracování konečné zprávy.

10. Interní auditor může sdělovat zlepšení, kterých klient zakázky dosáhl v porovnání s poslední zakázkou nebo může sdělovat skutečnosti ohledně zavedení provozních činností, které jsou dobře řízeny a kontrolovány. Tato informace může být nezbytná pro nestrannou interpretaci současného stavu a pro to, aby závěrečná zpráva o zakázce byla vyvážená.

15. Po ukončení zakázky je vydána podepsaná zpráva. Souhrnné zprávy zdůrazňující hlavní výsledky zakázky jsou vhodné pro všechny úrovně vedení nacházející se nad klientem zakázky. Mohou se vydávat samostatně nebo ve spojení s konečnou zprávou. Termín “podepsaná” znamená, že oprávněný interní auditor vlastnoručně nebo elektronicky uvede svůj podpis na této zprávě nebo na průvodním dopisu. Vedoucí interního auditu určí, který interní auditor je oprávněn podepsat danou zprávu. Jestliže jsou zprávy o zakázce dis-

11. Interní auditor může sdělovat názory klienta zakázky na závěry, názory nebo na doporučení učiněná interním auditorem.

215


on a cover letter. The chief audit executive determines which internal auditor is authorized to sign the report. If engagement reports are distributed by electronic means, a signed version of the report is kept on file by the internal audit activity.

Quality of Communications


2420 – Quality of Communications Communications must be accurate, objective, clear, concise, constructive, complete, and timely. Interpretation: Accurate communications are free from errors and distortions and are faithful to the underlying facts. Objective communications are fair, impartial, and unbiased and are the result of a fair-minded and balanced assessment of all relevant facts and circumstances. Clear communications are easily understood and logical, avoiding unnecessary technical language and providing all significant and relevant information. Concise communications are to the point and avoid unnecessary elaboration, superfluous detail, redundancy, and wordiness. Constructive communications are helpful to the engagement client and the organization and lead to improvements where needed. Complete communications lack nothing that is essential to the target audience and include all significant and relevant information and observations to support recommendations and conclusions. Timely communications are opportune and expedient, depending on the significance of the issue, allowing management to take appropriate corrective action. 1. Gather, evaluate, and summarize data and evidence with care and precision.

216


tribuovány elektronicky, podepsaná verze zprávy je uschována v archivu útvaru interního auditu.

Kvalita zpráv


2420 – Kvalita zpráv Zprávy musí být přesné, objektivní, jasné, stručné, konstruktivní, úplné a včasné. Interpretace: Přesné zprávy neobsahují chyby a zkreslení a věrným způsobem odpovídají zjištěným skutečnostem. Objektivní zprávy jsou nestranné, nezaujaté a nezkreslené a jsou výsledkem spravedlivého a vyváženého ohodnocení všech souvisejících skutečností a okolností. Jasné zprávy jsou snadno pochopitelné a logické, neobsahují nepotřebné technické výrazy a poskytují všechny významné a relevantní informace. Stručné zprávy jdou k podstatě věci a vyhýbají se nepotřebným podrobným popisům, přemíře detailů, nadbytečnosti informací a rozvláčnosti. Konstruktivní zprávy přinášejí klientovi a společnosti prospěch a zdokonalení tam, kde je to potřebné. Úplné zprávy nepostrádají nic, co by bylo nezbytné z hlediska cílové skupiny uživatelů a obsahují všechny významné a související informace a pozorování nezbytná pro zdůvodnění doporučení a závěrů. Včasné zprávy jsou dobře načasované, odpovídajícím způsobem reagující na vznik nenadálých situací a to vzhledem k důležitosti zjištěného problému. Včasné zprávy umožňují vedení přijmout odpovídající nápravné opatření. 1. Shromažďuj, hodnoť a sumarizuj informace a důkazy pečlivým a přesným způsobem. 2. Odvozuj a vyjadřuj pozorování, závěry a doporučení bez zaujatosti, snahy škodit, osobních zájmů a nepatřičného ovlivňování ze strany ostatních jedinců. 3. Zvyšuj srozumitelnost vyhýbáním se zbytečnému technickému jazyku a uvedením souvislostí se všemi významnými a relevantními informacemi. 217


2. Derive and express observations, conclusions, and recommendations without prejudice, partisanship, personal interests, and the undue influence of others. 3. Improve clarity by avoiding unnecessary technical language and providing all significant and relevant information in context.

Disseminating Results


2440 – Disseminating Results The chief audit executive must communicate results to the appropriate parties.

4. Develop communications with the objective of making each element meaningful but succinct.

Interpretation: The chief audit executive or designee reviews and approves the final engagement communication before issuance and decides to whom and how it will be disseminated.

5. Adopt a useful, positive, and well meaning content and tone that focuses on the organization’s objectives. 6. Ensure communication is consistent with the organization’s style and culture.

1. Internal auditors discuss conclusions and recommendations with appropriate levels of management before the chief audit executive (CAE) issues the final engagement communications. This is usually accomplished during the course of the engagement and/or at post-engagement meetings (i.e. exit meetings).

7. Plan the timing of the presentation of engagement results to avoid undue delay.

2. Another technique is for the management of the audited activity to review draft engagement issues, observations, and recommendations. These discussions and reviews help avoid misunderstandings or misinterpretations of fact by providing the opportunity for the engagement client to clarify specific items and express views about the observations, conclusions, and recommendations. 3. The level of participants in the discussions and reviews vary by organization and nature of the report; they generally include those individuals who are knowledgeable of detailed operations and those who can authorize the implementation of corrective action. 4. The CAE distributes the final engagement communication to the management of the audited activity and 218


4. Připravuj zprávy s cílem, aby každá její část byla smysluplná a současně stručná.

Distribuce výsledků

5. Osvoj si vhodný, pozitivní, dobře míněný obsah a akcent, který se soustřeďuje na cíle dané organizace.


2440 – Distribuce výsledků Vedoucí interního auditu musí předat výsledky všem příslušným stranám.

6. Postarej se o to, aby podoba zprávy byla ve shodě se stylem a kulturou organizace.

Interpretace: Před vydáním závěrečné zprávy o zakázce vedoucí interního auditu nebo jím pověřená osoba tuto zprávu prověří, schválí a rozhodne komu a jak bude distribuována.

7. Naplánuj načasování prezentace výsledků zakázky tak, aby nedošlo k nepřiměřenému časovému odkladu.

1. Interní auditoři projednávají závěry a doporučení na příslušné úrovni managementu předtím, než vedoucí interního auditu vydá závěrečnou zprávu o zakázce. Toho je zpravidla dosaženo v průběhu zakázky a/nebo v rámci jednání pořádaných po ukončení zakázky (tj. výstupní jednání). 2. Jiným postupem je, aby management auditované činnosti posoudil problémy, pozorování a doporučení obsažená v návrhu zprávy o zakázce. Tyto diskuse a posouzení napomáhají předcházet vzniku nedorozumění nebo nesprávných interpretací skutečností tím, že poskytují klientovi zakázky příležitost vysvětlit konkrétní položky a vyjádřit názor na pozorování, závěry a doporučení. 3. Počet účastníků diskusí a posouzení se liší dle organizace a dle povahy dané zprávy; tyto diskuse a posouzení obecně zahrnují ty jednotlivce, kteří mají znalosti detailů provozních činností a ty pracovníky, kteří mohou schválit zavedení nápravného opatření. 4. Vedoucí interního auditu distribuuje závěrečnou zprávu o zakázce managementu auditované činnosti a těm členům organizace, kteří mohou zajistit, aby byla vý219

Practice Advisory 2440–2:

to those members of the organization who can ensure engagement results are given due consideration and take corrective action or ensure that corrective action is taken. Where appropriate, the CAE may send a summary communication to higher-level members in the organization. Where required by the internal audit charter or organizational policy, the CAE also communications to other interested or affected parties such as external auditors and the board.

Communicating Sensitive Information Within and Outside the Chain of Command Primary Related Standard

2440 – Disseminating Results The chief audit executive must communicate results to the appropriate parties. 1. Internal auditors often come into possession of critically sensitive information that is substantial to the organization and poses significant potential consequences. This information may relate to exposures, threats, uncertainties, fraud, waste and mismanagement, illegal activities, abuse of power, misconduct that endangers public health or safety, or other wrongdoings. Furthermore, these matters may adversely impact the organization’s reputation, image, competitiveness, success, viability, market values, investments and intangible assets, or earnings. 2. Once the internal auditor has deemed the new information substantial and credible, he or she would normally communicate the information — in a timely manner — to senior management and the board in accordance with Standard 2060 and PA 2060-1. This communication would typically follow the normal chain of command for the internal auditor. 3. If the chief audit executive (CAE), after those discussions, concludes that senior management is exposing the organization to an unacceptable risk and is not taking appropriate action, he or she needs to present the information and the differences of opinion to the board in accordance with Standard 2600. 4. The typical chain-of-command communication scenario may be accelerated for certain types of sensitive occurrences because of laws, regulations, or com220


sledkům zakázky věnována náležitá pozornost a kteří zavedou nápravné opatření nebo zajistí, aby bylo nápravné opatření provedeno. V případech, kdy je to vhodné, vedoucí interního auditu může zaslat souhrnnou zprávu členům na vyšší řídicí úrovni v rámci organizace. V případech, kde je to vyžadováno statutem interního auditu nebo předpisy dané organizace, vedoucí interního auditu komunikuje s ostatními zainteresovanými subjekty nebo se subjekty, kterých se toto sdělení týká, jako jsou externí auditoři a orgány společnosti.

Předávání citlivých informací v rámci nebo vně hierarchie řízení Související standard

2440 – Distribuce výsledků Vedoucí interního auditu musí předat výsledky všem příslušným stranám. 1. Interní auditoři často přicházejí do kontaktu s velmi citlivými informacemi, které jsou pro společnost významné a představují potenciální významné důsledky. Tyto informace se mohou týkat rizik, hrozeb, nejistot, podvodu, plýtvání a špatné správy/hospodaření, nelegálních činností, zneužití pravomoci, pochybení, která ohrožují veřejné zdraví nebo bezpečnost nebo jiných negativních jevů. Dále tyto záležitosti mohou nepříznivě ovlivnit dobré jméno společnosti, její obraz v očích veřejnosti, konkurenceschopnost, úspěšnost, životaschopnost, tržní hodnoty, investice a nehmotná aktiva nebo zisky. 2. V okamžiku, kdy interní auditor začal považovat novou informaci za významnou a věrohodnou, měl by obvykle předat takovouto informaci včasným způsobem vedení a orgánům společnosti, což je v souladu se Standardem 2060 a Doporučením pro praxi 2060-1. Takové předání informací by běžně probíhalo z pohledu interního auditora v souladu s hierarchií řízení. 3. Pokud vedoucí interního auditu po jednání dojde k závěru, že vedení vystavuje společnost nepřijatelnému riziku a nepřijímá odpovídající opatření, je třeba, aby informace a rozdíly v názorech předložil orgánům společnosti v souladu se Standardem 2600. 4. Typický komunikační scénář v rámci hierarchie řízení může být pro určité typy citlivých událostí urychlen vzhledem k zákonům, regulacím nebo běžné praxi. 221

mon practices. For example, in the case of evidence of fraudulent financial reporting by an organization with publicly traded securities, local regulations may prescribe that the board be immediately informed of the circumstances surrounding the possibility of misleading financial reports even though senior management and the CAE may agree on which actions need to be taken. Laws and regulations in some jurisdictions specify that the board should be informed of discoveries of criminal, securities, food, drugs, or pollution laws violations as well as other illegal acts such as bribery or improper payments to government officials or to suppliers or customers.

safety, or well-being of people in the organization or community. 7. In a case where internal whistleblowing is elected as an option, an internal auditor must evaluate alternative ways of communicating the risk he or she sees to persons or groups outside the normal chain of command. Because of risks and ramifications associated with these approaches, the internal auditor needs to proceed with caution in evaluating the evidence and reasonableness of his or her conclusions, as well as examining the merits and disadvantages of each potential action. Taking this action may be appropriate if it will result in responsible action by persons in senior management or the board. 8. Many jurisdictions have laws or regulations requiring public servants with knowledge of illegal or unethical acts to inform an inspector general, other public official, or ombudsman. Some laws pertaining to whistleblowing actions protect citizens if they come forward to disclose specific types of improper activities. The activities listed in these laws and regulations include:

5. In some situations, an internal auditor may face the dilemma of considering whether to communicate the information to persons outside the normal chain of command or even outside the organization. This communication is commonly referred to as “whistleblowing.” The act of disclosing adverse information to someone within the organization but outside the internal auditor’s normal chain of command is considered internal whistleblowing, while disclosing adverse information to a government agency or other authority outside the organization is considered external whistleblowing.

• Criminal offenses and other failures to comply with legal obligations. • Acts that are considered miscarriages of justice. • Acts that endanger the health, safety, or well-being of individuals. • Acts that damage the environment. • Activities that conceal or cover up any of the above activities.

6. Most whistleblowers disclose sensitive information internally, even if outside the normal chain of command, if they trust the organization’s policies and mechanisms to investigate allegations of illegal or other improper activity and to take appropriate action. However, some persons possessing sensitive information may decide to take the information outside the organization if they fear retribution from their employer or fellow employees, have doubt that the issue will be properly investigated, believe that it will be concealed, or possess evidence about an illegal or improper activity that jeopardizes the health,

Some jurisdictions offer no guidance or protection or offer protection only to public (i.e., government) employees.

222

Např. v případě, kdy existují důkazy o podvodném finančním výkaznictví společnosti s veřejně obchodovatelnými cennými papíry, může místní regulace předepisovat, aby byly orgány společnosti neprodleně informovány o okolnostech souvisejících s možností zavádějících finančních výkazů, i když jak vedení, tak vedoucí interního auditu mohou s opatřeními, která mají být přijata, souhlasit. Zákony a regulace v některých právních systémech určují, že by vedení a orgány společnosti měly být informovány o nálezech týkajících se porušení zákonů v oblasti trestního práva, cenných papírů, potravin, drog nebo znečištění ovzduší stejně jako o jiných nelegálních činech jako jsou korupce nebo úplatky vládním představitelům, dodavatelům nebo zákazníkům.

mají pochybnosti, že by záležitost byla řádně prošetřena, domnívají se, že bude zatajena nebo mají důkazy o nezákonné nebo nepřijatelné činnosti, která ohrožuje zdraví, bezpečnost nebo blaho jednotlivců v dané organizaci nebo v určité komunitě. 7. V případě, kdy je jako možnost komunikace zvoleno upozornění na nesrovnalosti uvnitř společnosti, musí interní auditor zhodnotit alternativní cesty pro předání informace o riziku (které odhalil) osobám nebo skupinám mimo obvyklou hierarchii řízení. Vzhledem k rizikům a důsledkům spojeným s těmito přístupy, je třeba, aby interní auditor postupoval při hodnocení důkazů a odůvodněnosti svých závěrů obezřetně, stejně jako při prověření předností a nevýhod každého z možných kroků. Přijetí takového opatření může být odpovídající, pokud vyústí v odpovědné opatření přijaté osobami ve vedení nebo v orgánech společnosti.

5. V některých situacích může interní auditor čelit těžkému rozhodování, když má zvážit, zda informace předat osobám mimo obvyklou hierarchii řízení nebo dokonce mimo společnost. Takové předávání informací je všeobecně označováno za upozornění na nesrovnalosti („whistleblowing“). Zveřejnění negativní informace osobě v rámci organizace, ale mimo obvyklou hierarchii řízení z pohledu auditora, je považováno za vnitřní upozornění na nesrovnalosti, zatímco zveřejnění negativní informace vládní organizaci nebo jiné instituci vně dané organizace, je považováno za vnější upozornění na nesrovnalosti.

8. Mnohé právní systémy disponují zákony nebo regulací vyžadující, aby státní zaměstnanci, pokud ví o nezákonných nebo neetických činech, informovali státního zástupce, jiné veřejné činitele nebo ombudsmana. Některé zákony týkající se upozorňování na nesrovnalosti chrání občany v případech, kdy se odhodlají ke zveřejnění určitého typu nezákonných činností. Činnosti uvedené v těchto zákonech a regulacích zahrnují:

6. Většina osob upozorňujících na nesrovnalosti sděluje citlivé informace uvnitř organizace (i když mimo obvyklou hierarchii řízení) pokud důvěřují zásadám společnosti a mechanismu užívanému pro vyšetřování obvinění z nezákonné nebo jiné nevhodné činnosti a zajišťujícímu, že jsou přijímána odpovídající opatření. Nicméně, některé osoby disponující citlivými informacemi se však mohou rozhodnout sdělit informace vně organizace, pokud se obávají trestu ze strany svého zaměstnavatele nebo spolupracovníků,

• trestné činy a jiná porušení souladu s právními povinnostmi, • činy, které jsou považovány za justiční omyl, • činy, které ohrožují zdraví, bezpečnost a blaho jednotlivců, • činy, které poškozují životní prostředí, • činnosti, které zatajují nebo skrývají jakoukoli z výše uvedených činností.

223

1. The internal auditor should be aware of the laws and regulations of the various jurisdictions in which the organization operates. Legal counsel familiar with the legal aspects of whistleblowing can assist internal auditors confronted with this issue. The internal auditor should always obtain legal advice if he or she is uncertain of the legal requirements or consequences of engaging in internal or external whistleblowing.

4. Ultimately, the internal auditor makes a professional decision about his or her obligations to the employer. The decision to communicate outside the normal chain of command needs to be based on a well-informed opinion that the wrongdoing is supported by substantial, credible evidence and that a legal or regulatory imperative, or a professional or ethical obligation, requires further action.

2. Many professional associations hold their members accountable for disclosing illegal or unethical activities. A distinguishing mark of a profession is its acceptance of broad responsibilities to the public and its protection of the general welfare. In addition to examining the legal requirements, IIA members and all certified internal auditors must follow the requirements presented in The IIA’s Code of Ethics. 3. An internal auditor has a professional duty and an ethical responsibility to carefully evaluate all evidence and the reasonableness of his or her conclusions and decide whether further actions are needed to protect the organization’s interests and stakeholders, the outside community, or the institutions of society. Also, the auditor will need to consider the duty of confidentiality imposed by The IIA’s Code of Ethics to respect the value and ownership of information and avoid disclosing it without appropriate authority unless there is a legal or professional obligation to do so. During this evaluation process, the auditor may seek the advice of legal counsel and, if appropriate, other experts. Those discussions may be helpful in providing a different perspective on the circumstances as well as offering opinions about the potential impact and consequences of possible actions. The manner in which the internal auditor seeks to resolve this type of complex and sensitive situation may create reprisals and potential liability.

224

Některé právní systémy nenabízejí žádná vodítka nebo ochranu, nebo nabízejí pouze ochranu státním zaměstnancům.

na poskytnuté názory týkající se možného dopadu a následků potenciálních kroků. Způsob, jakým interní auditor řeší tento typ složité a citlivé situace, může mít za následek vznik odvetných opatření a vyvození možné odpovědnosti.

1. Interní auditor by si měl být vědom zákonů a regulací platných v různých právních systémech, ve kterých daná společnost podniká. Právní poradce, který je obeznámen s právními aspekty upozorňování na nesrovnalosti může pomáhat interním auditorům v případech, kdy se s touto záležitostí setkají. Interní auditor by měl vždy získat právní radu, pokud si není jistý ohledně právních požadavků nebo důsledků zapojení se do vnitřního nebo vnějšího upozorňování na nesrovnalosti.

4. V konečném důsledku, interní auditor činí profesní rozhodnutí ohledně svých odpovědností vůči zaměstnavateli. Rozhodnutí předat informace mimo obvyklou hierarchii řízení musí být založeno na dobře podloženém názoru, že negativní jev je založen na podstatných a věrohodných důkazech a že jsou právními a regulatorními nařízeními nebo profesními či etickými povinnostmi vyžadovány další kroky.

2. Mnohá profesní sdružení činí své členy zodpovědnými za zveřejnění nezákonných nebo neetických činností. Odlišujícím znakem profesionality je přijetí široké odpovědnosti vůči veřejnosti a způsob, jakým chrání obecné/veřejné blaho. Nad rámec prošetřování právních požadavků, musí členové IIA a všichni certifikovaní interní auditoři dodržovat požadavky uvedené v Etickém kodexu IIA. 3. Interní auditor má profesní povinnost a etickou odpovědnost pečlivě hodnotit všechny důkazy a odůvodněnost svých závěrů a rozhodnout, zda jsou potřebná další opatření k ochraně zájmů společnosti a osob zainteresovaných na dané společnosti (stakeholders), vnější komunity nebo společenských institucí. Interní auditor musí též vzít v potaz povinnost mlčenlivosti stanovenou Etickým kodexem IIA tak, aby byla respektována hodnota a vlastnictví informací a zamezeno jejich zveřejnění bez odpovídajícího schválení, pokud neexistuje zákonná nebo profesní povinnost tak učinit. V průběhu tohoto hodnotícího procesu si auditor může vyžádat radu právního poradce a, pokud je to vhodné, i ostatních znalců. Tyto diskuse mohou pomoci poskytnout jiný pohled jak na okolnosti, tak 225

Practice Advisory 2440.A2–1:

Communications Outside the Organization Primary Related Standard

2440.A2 If not otherwise mandated by legal, statutory, or regulatory requirements, prior to releasing results to parties outside the organization, the chief audit executive must: • Assess the potential risk to the organization. • Consult with senior management and/or legal counsel as appropriate. • Control dissemination by restricting the use of the results.

1. Requests can relate to information that already exists (e.g., a previously issued internal audit report) as well as for information to be created or determined, which results in a new internal audit engagement or report. If the request relates to information or a report that already exists, the internal auditor needs to determine whether it is suitable for dissemination outside the organization. 2. In certain situations, it may be possible to create a special-purpose report based on an existing report or information to make the report suitable for dissemination outside the organization. 3. Some matters to consider when reporting information outside the organization include:

1. The internal audit activity’s charter, the board’s charter, organizational policies, or the engagement agreement may contain guidance related to reporting information outside the organization. If such guidance does not exist, the chief audit executive (CAE) may facilitate adoption of appropriate policies that may include:

• Usefulness of a written agreement with the intended recipient concerning the information to be reported and the internal auditor’s responsibilities. • Identification of information providers, sources, report signers, recipients, and related persons to the disseminated report or information. • Identification of objectives, scope, and procedures to be performed in generating applicable information. • Nature of report or other communication including opinions, inclusion or exclusion of recommendations, disclaimers, limitations, and type of assurance or assertions to be provided. • Copyright issues, intended use of the information, and limitations on further distribution or sharing of the information.

• Authorization required for reporting information outside the organization. • Process for seeking approval to report information outside the organization. • Guidelines for permissible and nonpermissible information that may be reported. • Outside persons authorized to receive information and the types of information they may receive. • Related privacy regulations, regulatory requirements, and legal considerations for reporting information outside the organization. • Nature of assurances, advice, recommendations, opinions, guidance, and other information that may be included in communicating information outside the organization.

1. If the internal auditor discovers information reportable to senior management or the board while conducting engagements that require dissemination of information outside the organization, the CAE needs to provide suitable communication to the board.

226


1. Požadavky se mohou týkat informací, které již existují (např. již vydané auditní zprávy) nebo informací, které budou vytvořeny nebo nalezeny a které vyústí v novou zakázku interního auditu nebo povedou k nové zprávě. Pokud se požadavek týká již existující informace nebo zprávy, je třeba, aby interní auditor určil, zda je vhodné její uvolnění mimo společnost.

Předávání informací vně společnosti Související standard

2440.A2 Pokud není právními, statutárními nebo regulatorními požadavky stanoveno jinak, vedoucí interního auditu před předáním výsledků auditu subjektům vně společnosti musí: • zhodnotit případné riziko hrozící společnosti, • dle potřeby se poradit s vedením a/nebo s právním zástupcem, • stanovit omezení, za kterých mohou být výsledky použity a zajistit tak kontrolu nad jejich distribucí.

2. V určitých situacích je možné vytvořit zvláštní zprávu, která bude vycházet z již existující zprávy nebo informace a bude vhodná pro uvolnění vně společnosti. 3. V případě předávání informací vně společnosti by měly být zváženy některé aspekty, např.: • užitečnost písemné dohody s předpokládaným příjemcem týkající se informací, které mají být předány a odpovědností interního auditora, • identifikace poskytovatelů informací, zdrojů, příjemců zprávy a těch, co zprávu podepisují a osob souvisejících s uvolňovanou zprávou nebo informací, • identifikace cílů, rozsahu a postupů, které jsou při vytváření dané informace provedeny/uskutečněny, • charakter zprávy nebo jiné formy předávaného sdělení včetně názorů, zahrnutí nebo vypuštění jednotlivých doporučení, odmítnutí, omezení a zvážení typu ujištění nebo tvrzení, • otázky autorských práv, zamýšlené použití informace a omezení další distribuce nebo sdílení této informace.

1. Statut interního auditu, statut orgánů společnosti, zásady společnosti nebo dohoda o zakázce mohou obsahovat postup týkající se předávání informací vně společnosti. Pokud takový postup neexistuje, může vedoucí interního auditu napomoci při přijetí vhodných zásad; tyto mohou zahrnovat: • požadavek schválení předání informací vně společnosti, • stanovení procesu pro vyžádání souhlasu s předáním zpráv vně společnosti, • definici zásad, jaké informace jsou pro předávání přípustné a jaké nepřípustné, • stanovení okruhu osob vně společnosti, které jsou oprávněny k přijímání informací a typy informací, které mohou přijímat, • související nařízení v oblasti ochrany důvěrných/ osobních informací, regulatorní požadavky a právní rozbory týkajících se předávání informací vně společnosti, • charakter ujištění, rad, doporučení, názorů, návodů a ostatních informací, které mohou být zahrnuty do informací předávaných vně společnosti.

1. Pokud interní auditor v průběhu zakázek odhalí informaci, která může být oznámena vedení nebo orgánům společnosti a která současně vyžaduje uvolnění vně společnosti, je třeba, aby vedoucí interního auditu vhodným způsobem informoval orgány společnosti.

227


• Receiving and evaluating management responses and proposed action plan to engagement observations and recommendations during the engagement or within a reasonable time period after the engagement results are communicated. Responses are more useful if they include sufficient information for the CAE to evaluate the adequacy and timeliness of proposed actions. • Receiving periodic updates from management to evaluate the status of its efforts to correct observations and/ or implement recommendations. • Receiving and evaluating information from other organizational units assigned responsibility for follow-up or corrective actions. • Reporting to senior management and/or the board on the status of responses to engagement observations and recommendations.

Monitoring Progress


2500 – Monitoring Progress The chief audit executive must establish and maintain a system to monitor the disposition of results communicated to management. 1. To effectively monitor the disposition of results, the chief audit executive (CAE) establishes procedures to include: • The timeframe within which management’s response to the engagement observations and recommendations is required. • Evaluation of management’s response. • Verification of the response (if appropriate). • Performance of a follow-up engagement (if appropriate). • A communications process that escalates unsatisfactory responses/actions, including the assumption of risk, to the appropriate levels of senior management or the board. 2. If certain reported observations and recommendations are significant enough to require immediate action by management or the board, the internal audit activity monitors actions taken until the observation is corrected or the recommendation implemented. 3. The internal audit activity may effectively monitor progress by: • Addressing engagement observations and recommendations to appropriate levels of management responsible for taking action.

228


váním a doporučením učiněným v průběhu provádění zakázky nebo v přiměřeném časovém období poté, co byly výsledky zakázky sděleny. Odpovědi mají vyšší hodnotu, pokud obsahují informace dostatečné pro to, aby vedoucí interního auditu vyhodnotil přiměřenost a včasnost navržených opatření, • vyžádání si od managementu pravidelných aktualizací za účelem vyhodnocení stavu jeho úsilí o nápravu pozorování a/nebo úsilí o zavádění doporučení, • vyžádání si a vyhodnocení informací od dalších organizačních jednotek, kterým byla přidělena odpovědnost za následnou kontrolu nápravných opatření, • předkládání zpráv vedení a/nebo orgánům společnosti o stavu reakcí na pozorování a doporučení vyplývajících z provedených zakázek.

Monitorování


2500 – Monitorování Vedoucí interního auditu musí zavést a udržovat systém, který umožní sledovat, jak se s výsledky předanými vedení dále nakládá. 1. Za účelem účinného sledování nakládání s výsledky zavede vedoucí interního auditu postupy, které budou zahrnovat následující body: • časový rámec, ve kterém je vyžadována reakce managementu na pozorování a doporučení dané zakázky, • vyhodnocení reakce managementu, • ověření těchto reakcí (v případě potřeby), • provedení zakázky s cílem následné kontroly plnění doporučení (v případě potřeby), • komunikační proces, který eskaluje neuspokojivé odpovědi/opatření, včetně neuspokojivého přijetí rizika, na vhodnou řídicí úroveň nebo na orgány společnosti. 2. Pokud jsou určitá oznámená pozorování a doporučení natolik významná, že vyžadují okamžité kroky ze strany vedení nebo orgánů společnosti, útvar interního auditu sleduje podniknutá opatření až do chvíle, kdy dojde k nápravě pozorování nebo kdy je dané doporučení zavedeno. 3. Útvar interního auditu může účinným způsobem sledovat postup pomocí: • adresování pozorování a doporučení dané zakázky na vhodnou řídicí úroveň, která je odpovědná za provedení opatření, • vyžádání si a vyhodnocení reakcí managementu a navrženého seznamu opatření vztahujících se k pozoro229


4. The CAE is responsible for scheduling follow-up activities as part of developing engagement work schedules. Scheduling of follow-up is based on the risk and exposure involved, as well as the degree of difficulty and the significance of timing in implementing corrective action.

Follow-up Process


2500.A1 – The chief audit executive must establish a follow-up process to monitor and ensure that management actions have been effectively implemented or that senior management has accepted the risk of not taking action.

5. Where the CAE judges that management’s oral or written response indicates that action taken is sufficient when weighed against the relative importance of the observation or recommendation, internal auditors may follow up as part of the next engagement.

1. Internal auditors determine whether management has taken action or implemented the recommendation. The internal auditor determines whether the desired results were achieved or if senior management or the board has assumed the risk of not taking action or implementing the recommendation.

6. Internal auditors ascertain whether actions taken on observations and recommendations remedy the underlying conditions. Follow-up activities should be appropriately documented.

2. Follow-up is a process by which internal auditors evaluate the adequacy, effectiveness, and timeliness of actions taken by management on reported observations and recommendations, including those made by external auditors and others. This process also includes determining whether senior management and/or the board have assumed the risk of not taking corrective action on reported observations. 3. The internal audit activity’s charter should define the responsibility for follow-up. The chief audit executive (CAE) determines the nature, timing, and extent of follow-up , considering the following factors: • Significance of the reported observation or recommendation. • Degree of effort and cost needed to correct the reported condition. • Impact that may result should the corrective action fail. • Complexity of the corrective action. • Time period involved.

230


4. Vedoucí interního auditu je odpovědný za naplánování činností následné kontroly jako součásti přípravy harmonogramů zakázek. Naplánování následné kontroly je založeno na riziku a na míře rizika, která s ním souvisí, stejně jako na stupni obtížnosti a důležitosti přesného načasování realizace nápravného opatření.

Proces následné kontroly


2500.A1 – Vedoucí interního auditu musí zavést proces následné kontroly, který bude sledovat a zaručovat, že nápravná opatření byla účinně provedena, nebo že vedení společnosti převzalo odpovědnost za riziko neprovedení nápravných opatření.

5. V případech, kdy vedoucí interního auditu dojde k úsudku, že ústní nebo písemná odpověď managementu prokazuje, že přijaté opatření je dostatečné v porovnání s relativní důležitostí daného pozorování nebo doporučení, interní auditoři mohou provést následnou kontrolu jako součást příští zakázky.

1. Interní auditoři určí, zda vedení reagovalo, nebo zda zavedlo dané doporučení. Interní auditor stanoví, zda bylo dosaženo očekávaných výsledků nebo zda vedení nebo orgány společnosti převzaly na sebe riziko nepodnikat žádná opatření nebo nezavádět dané doporučení.

6. Interní auditoři zjistí, zda kroky přijaté na základě pozorování nebo doporučení vedou k nápravě související situace. Činnosti následné kontroly by měly být vhodným způsobem dokumentovány.

2. Následná kontrola je procesem, jehož pomocí interní auditoři hodnotí přiměřenost, účinnost a včasnost opatření přijatých managementem na základě pozorování a doporučení, včetně těch, které učinili externí auditoři nebo ostatní subjekty. Tento proces také zahrnuje stanovení, zda vedení a/nebo orgány společnosti přijaly riziko neprovedení nápravného opatření souvisejícího s předloženými zjištěními. 3. Statut interního auditu by měl definovat odpovědnost za následnou kontrolu. Vedoucí interního auditu stanoví charakter, načasování a rozsah následné kontroly na základě následujících faktorů: • významnosti nahlášeného pozorování nebo doporučení, • míry úsilí a nákladů potřebných na nápravu nahlášeného stavu, • dopadu selhání nápravného opatření, • složitosti nápravného opatření, • souvisejícího časového období.

231

Mezinárodní Rámec profesní praxe interního auditu

Recommend Documents