Mezinárodní standardy připravované změny ve Standardech pro praxi interního auditora Ing. Martin Vohnický odbor interního auditu a supervize MV
Právní opora v zákonné úpravě § 5 zákona č. 320/2001 Sb., o finanční kontrole, ve znění pozdějších předpisů (Organizační zajištění finanční kontroly) „Odpovědnost za organizování, řízení a zajištění přiměřenosti a účinnosti finanční kontroly mají vedoucí orgánů veřejné správy v rámci své řídící pravomoci. Při zavádění a řízení finanční kontroly v orgánech veřejné správy jejich vedoucí vycházejí z mezinárodně uznávaných standardů,...“
Struktura Rámce profesionální praxe interního auditu • Definice interního auditu • Etický kodex • Standardy pro profesionální praxi interního auditu • Doporučení pro praxi • Rozvojové a praktické pomůcky
Členění Standardů 1. Základní standardy (řada 1000) → požadavky a vlastnosti útvarů interního auditu 2. Standardy pro výkon interního auditu (řada 2000) → kvalitativní kritéria, na jejichž základě lze činnost interního auditu hodnotit 3. Prováděcí standardy → rozpracovávají požadavky výše uvedených dvou druhů
Původ změn ve Standardech na mezinárodní úrovni Zkušenosti z interního auditu → nový Mezinárodní rámec pro profesionální praxi interního auditu → nové Standardy → celosvětové připomínkové řízení do 31. března 2008 → vydání Mezinárodního rámce v lednu 2009 → český překlad schváleného znění nových Standardů od 1. března 2009
Účel změn ve Standardech • vyjasnění stávajících požadavků, • přímější napojení na orgány společnosti (vedoucího orgánu veřejné správy), • srozumitelnost, • jednoznačnost, • poskytnutí souvislostí a vysvětlení.
Základní standard –nové znění 1000 – Účel, pravomoci a odpovědnosti Účel, pravomoci a odpovědnosti interního auditu musí být oficiálně definovány, v souladu s Definicí interního auditu, Etickým kodexem a se Standardy, ve statutu interního auditu. Vedoucí interního auditu musí pravidelně posuzovat statut interního auditu a předkládat ho vedení společnosti a orgánům společnosti ke schválení.
Prováděcí standard k základnímu standardu – nové znění 1000.A1 - Charakter ujišťovacích služeb poskytovaných společnosti musí být definován ve statutu interního auditu. Pokud je ujištění poskytováno subjektům vně společnosti, musí být charakter těchto ujišťovacích služeb též definován ve statutu interního auditu.
Prováděcí standard k základnímu standardu – nové znění 1000.C1 - Charakter poradenských služeb musí být definován ve statutu interního auditu.
Základní standard – nový 1010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu Ve statutu interního auditu musí být dán najevo povinný charakter Definice interního auditu, Etického kodexu a Standardů. Vedoucí interního auditu by měl diskutovat Definici interního auditu, Etický kodex a Standardy s vedením a orgány společnosti.
Základní standard –nové znění 1110 – Organizační nezávislost Vedoucí interního auditu musí podávat zprávy takovému organizačnímu stupni ve společnosti, který internímu auditu umožní plnění jeho odpovědností. Vedoucí interního auditu musí nejméně jednou ročně potvrdit orgánům společnosti organizační nezávislost funkce interního auditu.
Základní standard – nový 1111 – Přímá vzájemná součinnost s orgány společnosti Vedoucí interního auditu musí komunikovat a být ve vzájemné součinnosti přímo s orgány společnosti.
Základní standard –nové znění 1130 – Narušení nezávislosti nebo objektivity Pokud dojde ke zdánlivému či faktickému narušení nezávislosti nebo objektivity, musí být o této skutečnosti předány podrobné informace příslušné organizační úrovni ve společnosti. Způsob sdělení informací závisí na povaze tohoto narušení.
Prováděcí standard k základnímu standardu – nové znění 1210.A1 – Pokud nemají zaměstnanci interního auditu znalosti, dovednosti a další schopnosti potřebné pro plnění zadaného úkolu jako celku nebo jeho části, vedoucí interního auditu musí zajistit odpovídající poradenství a asistenci.
Prováděcí standard k základnímu standardu – nové znění 1210.C1 - Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro plnění zakázky jako celku nebo její části, vedoucí interního auditu musí odmítnout poradenskou zakázku nebo zajistit odpovídající poradenství a asistenci.
Prováděcí standard k základnímu standardu – nové znění 1220.A2 – Při uplatňování náležité profesionální péče interní auditor musí zvážit použití auditních technik využívajících informační technologie a ostatní techniky analýzy údajů.
Prováděcí standard k základnímu standardu – nové znění 1220.A3 – Interní auditor musí upozornit na významná rizika, která mohou negativně ovlivnit cíle, procesy nebo zdroje. Samotný audit (ujišťovací postupy), i když se provádí s náležitou profesionální péčí, však sám o sobě nezaručí, že budou odhalena všechna významná rizika.
Základní standard –nové znění 1230 – Průběžný profesní rozvoj Interní auditoři si musí zvyšovat své znalosti, dovednosti a další schopnosti průběžným profesním rozvojem.
Základní standard –nové znění 1300 – Program pro zabezpečení a zvyšování kvality interního auditu Vedoucí interního auditu musí vypracovat a pravidelně aktualizovat program pro zabezpečení a zvyšování kvality interního auditu, který zahrne všechny aspekty činnosti interního auditu.
Základní standard –nové znění 1310 – Požadavky na Program pro zabezpečení a zvyšování kvality Program pro zabezpečení a zvyšování kvality musí zahrnovat jak interní tak externí hodnocení.
Základní standard –nové znění 1311 – Interní hodnocení Interní hodnocení musí zahrnovat: • průběžné sledování (monitoring) výkonu interního auditu, • pravidelné prověřování na základě využití zásad sebehodnocení nebo s využitím jiných osob v rámci společnosti, které jsou dostatečně obeznámeny se Standardy a praxí interního auditu.
Základní standard –nové znění 1312 – Externí hodnocení Externí hodnocení musí být provedeno minimálně jednou za pět let kvalifikovanou a nezávislou externí osobou (hodnotitelem) nebo externím kontrolním (hodnotícím) týmem. Vedoucí interního auditu musí projednat s orgány společnosti: – potřebu častějšího externího hodnocení, – kvalifikaci a nezávislost externího hodnotitele nebo týmu, včetně jakéhokoli potenciálního konfliktu zájmů.
Základní standard –nové znění 1320 – Podávání zpráv o Programu pro zabezpečení a zvyšování kvality Vedoucí interního auditu musí informovat vedení a orgány společnosti o výsledcích programu pro zabezpečení a zvyšování kvality.
Základní standard –nové znění 1321 – Užívání výrazu “Soulad s Mezinárodními standardy pro profesionální praxi interního auditu”
Vedoucí interního auditu může prohlásit, že činnost interního auditu je v souladu s Mezinárodními standardy pro profesionální praxi interního auditu pouze pokud výsledky programu pro zabezpečení a zvyšování kvality toto prohlášení potvrzují.
Standard pro výkon interního auditu – nové znění 2000 – Řízení interního auditu Vedoucí útvaru interního auditu musí účinně řídit činnost interního auditu tak, aby interní audit přidával hodnotu společnosti.
Standard pro výkon interního auditu – nové znění 2010 – Plánování Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu zajišťovat tvorbu plánů interního auditu, které v souladu s cíli společnosti stanoví priority činnosti interního auditu.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2010.A1 – Plán interního auditu musí být založen na vyhodnocení rizik, které je prováděno nejméně jednou ročně. V tomto procesu jsou vzaty v úvahu návrhy vedení a orgánů společnosti.
Standard pro výkon interního auditu – nové znění 2020 – Komunikace a schvalování Vedoucí útvaru interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí interního auditu musí též informovat o možných vlivech zapříčiněných omezenými zdroji.
Standard pro výkon interního auditu – nové znění 2040 – Zásady a postupy Vedoucí interního auditu musí stanovit zásady a postupy, kterými se řídí činnost interního auditu.
Standard pro výkon interního auditu – nové znění 2060 – Předávání zpráv vedení a orgánům společnosti Vedoucí interního auditu musí pravidelně podávat zprávy vedení a orgánům společnosti o účelu, pravomocích, odpovědnostech a výkonu interního auditu ve vztahu k plánu interního auditu. Tyto zprávy musí též obsahovat zjištění týkající se významných rizik, řídicích a kontrolních mechanismů, včetně rizik podvodů, řízení a správy společnosti a ostatních záležitostí, které potřebuje nebo vyžaduje vedení a orgány společnosti.
Standard pro výkon interního auditu – nové znění 2100 – Charakter práce Interní audit musí systematicky a metodicky hodnotit procesy řízení a správy, řízení rizik a řídicí a kontrolní procesy a přispívat k jejich zdokonalování.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2120. A1 – Interní audit musí hodnotit rizika spojená s řízením a správou společnosti, s procesy ve společnosti a informačními systémy z hlediska: – spolehlivosti a integrity finančních a provozních informací, – účinnosti a efektivnosti procesů, – ochrany aktiv, – dodržování zákonů, předpisů a smluv.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2120.C2 – Interní auditoři musí používat své znalosti rizik, které získali v průběhu poradenských zakázek, při hodnocení procesů řízení rizik ve společnosti.
Prováděcí standard ke standardu pro výkon interního auditu – nový
2120.C3 – Při poskytování pomoci vedení při zavádění a zlepšování procesů řízení rizik se interní auditoři musí vyhnout tomu, aby na sebe tím, že aktuálně řídí rizika vzali jakoukoli řídící odpovědnost.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění 2130.A1 – Interní audit musí hodnotit adekvátnost a účinnost řídicích a kontrolních mechanismů reagujících na rizika v rámci řízení a správy společnosti, procesů ve společnosti a informačních systémů týkajících se: – spolehlivosti a integrity finančních a provozních informací, – účinnosti a efektivnosti procesů, – ochrany aktiv,dodržování zákonů, předpisů a smluv, – dodržování zákonů, předpisů a smluv.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění 2210.A3 – K hodnocení řídicích a kontrolních systémů je nezbytná existence adekvátních kritérií. Interní auditoři musí zjišťovat do jaké míry vedení zavedlo adekvátní kriteria, prostřednictvím kterých lze určit, zda byly stanovené úkoly a cíle splněny. Pokud jsou tato kritéria adekvátní, interní auditoři je musí použít pro svá hodnocení. Pokud nejsou adekvátní, interní auditoři musí spolupracovat s vedením společnosti na tvorbě nových hodnotících kritérií.
Standard pro výkon interního auditu – nové znění 2200 – Plánování auditu Interní auditoři musí vypracovat a doložit pro každou zakázku plán, včetně stanovení cílů, rozsahu, načasování zakázky a rozvržení zdrojů.
Standard pro výkon interního auditu – nové znění 2201 – Přístup k plánování Při plánování jednotlivých auditů (zakázek) interní auditoři musí zvážit: – cíle prověřované činnosti a prostředky, kterými je tato činnost řízena a kontrolována, – významná rizika posuzované činnosti, její cíle, zdroje, postupy a prostředky, které udržují potenciální dopad daného rizika na přijatelné úrovni, – adekvátnost a účinnost procesů řízení rizik a procesů řízení a kontroly dané činnosti ve srovnání s obdobným systémem nebo modelem řízení a kontroly, – možnosti pro zavedení významných zdokonalení procesů řízení rizik a procesů řízení a kontroly.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2201.A1 - Při plánování auditu, který zahrnuje strany vně společnosti, interní auditoři musí uzavřít s těmito stranami písemnou dohodu o cílech, rozsahu, příslušných odpovědnostech a dalších očekáváních, včetně omezení týkajících se distribuce výsledků auditu a přístupu k záznamům o auditu.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2201.C1 - Interní auditoři se s klienty poradenské zakázky musí dohodnout na cílech a rozsahu zakázky, příslušných zodpovědnostech (úkolech) a dalších klientových očekáváních. U významných zakázek musí být tato dohoda zdokumentována.
Standard pro výkon interního auditu – nové znění 2230 – Rozvržení zdrojů auditu Interní auditoři musí určit přiměřené a dostatečné zdroje ke splnění cílů zakázky. Výběr zaměstnanců pro jednotlivé audity se řídí povahou a složitostí zadání, časovou náročností a dostupnými zdroji.
Standard pro výkon interního auditu – nové znění 2240 – (Pracovní) program auditu Interní auditoři musí vypracovat a doložit pracovní programy, tzv. programy zakázky, které by měly napomáhat realizaci cíle zakázky.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2240.A1 – Pracovní programy musí zahrnovat postupy pro identifikaci, analýzu, hodnocení a doložení informací během konkrétního zakázky. Program auditu musí být schválen před jeho realizací a jakékoli jeho změny jsou schváleny neprodleně.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2330.A1 – Vedoucí interního auditu musí řídit přístup k záznamům, které se týkají zakázky. Před vydáním záznamů externím subjektům si musí vedoucí interního auditu podle potřeby získat souhlas vedení a/nebo právních poradců.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění 2330.A2 – Vedoucí interního auditu musí zajistit vypracování požadavků na archivaci záznamů o zakázce bez ohledu na medium, na kterém je každý záznam uchováván. Tyto požadavky musí být vypracovány v souladu s předpisy společnosti a dalšími případnými závaznými regulatorními nebo jinými požadavky.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění 2330.C1 - Vedoucí interního auditu musí zajistit vypracování zásad, jak pro úschovu a archivaci informací o poradenské zakázce, tak pro jejich vydání interním a externím subjektům. Tyto zásady musí být vypracovány v souladu s předpisy společnosti a případnými dalšími závaznými regulatorními nebo jinými požadavky.
Standard pro výkon interního auditu – nové znění 2340 – Kontrola (supervize) auditu Jednotlivé zakázky musí být řádně kontrolovány tak, aby bylo zaručeno, že cíle zakázky jsou splněny, kvalita je zajištěna a kompetence zaměstnanců jsou dostatečné.
Standard pro výkon interního auditu – nové znění 2410 – Kritéria komunikace Komunikace (zpráva o auditu) musí zahrnovat cíl a rozsah zakázky, příslušné závěry, doporučení a rozvrh opatření vedoucích k odstranění nedostatků.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2410.A1 – V závěrečné zprávě o výsledcích auditu musí interní auditor vyjádřit svůj celkový názor nebo závěry tam, kde je to relevantní.
Standard pro výkon interního auditu – nový 2430 – Použití výrazu “Provedeno v souladu s Mezinárodními standardy pro profesionální praxi interního auditu” Doporučuje se, aby interní auditoři informovali o tom, že jejich zakázky jsou “provedeny v souladu s Mezinárodními standardy pro profesionální praxi interního auditu”. Toto prohlášení mohou však interní auditoři použít pouze tehdy, jestliže výsledky programu pro zabezpečení a zvyšování kvality prokazují, že interní audit je v souladu se Standardy.
Standard pro výkon interního auditu – nové znění 2500 – Monitorování Vedoucí interního auditu musí vytvořit a udržovat systém, který umožní sledovat, jak se s výsledky předanými vedení dále nakládá.
Prováděcí standard ke standardu pro výkon interního auditu – nové znění
2500.A1 - Vedoucí interního auditu musí vypracovat systém následné kontroly (follow-up), který bude sledovat a zaručovat, že nápravná opatření byla účinně provedena, nebo že vedení společnosti převzalo odpovědnost za riziko neprovedení nápravných opatření.
Standard pro výkon interního auditu – nové znění 2600 – Rozlišení přijetí rizika vedením společnosti Pokud se vedoucí interního auditu domnívá, že vedení společnosti přijalo takový stupeň zbytkového rizika, který by mohl být pro společnost nepřijatelný, musí s vedením tuto skutečnost projednat. Jestliže se otázka zbytkového rizika nevyřeší, musí vedoucí interního auditu předat tuto záležitost k vyřešení orgánům společnosti.
Děkuji za pozornost Ing. Martin Vohnický odbor interního auditu a supervize MV
