ODBORNÁ SKUPINA INTERNÍHO AUDITU Pracovní překlad pro vnitřní potřebu veřejné správy

ODBORNÁ SKUPINA INTERNÍHO AUDITU – Pracovní překlad pro vnitřní potřebu veřejné správy

DOBRÁ PRAXE – PŘEDLOHA MANUÁLU PRO INTERNÍ AUDIT

Stránka 1


Odborná skupina interního auditu

DOBRÁ PRAXE PŘEDLOHA MANUÁLU PRO INTERNÍ AUDIT Evropa a Střední Asie

Podpora výměny zkušeností

Řízení veřejných financí

Květen 2012


Stránka 2


OBSAH PŘEDMLUVA …………………………………………………………………………………………….. 7 PODĚKOVÁNÍ …………………………………………………………………………………………….. 7 ZKRATKY …………………………………………………………………………………………………. 8 ÚVOD ………………………………………………………………………………………………………. 9 1.

FUNKCE INTERNÍHO AUDITU – ZÁSADY 1.1. DEFINICE INTERNÍHO AUDITU

……………………………………………………………. 10

……………………………………………………………………………. 10

1.1.1. Interní audit, podvod a korupce …………………………………………………………………………. 10 1.1.2. Interní audit a ostatní oblasti finančního řízení a kontroly …………………………………………….. 10 1.2. POŽADAVKY NA INTERNÍ AUDIT …………………………………………………………………………… 11 1.2.1. Zákonné a regulatorní požadavky ………………………………………………………………………. 11 1.2.2. Legislativní orgány a orgány dohledu …………………………………………………………………… 11 1.2.3. Zodpovědnost a mandát ………………………………………………………………………………….. 11 1.3. PRAVOMOCI, ORGANIZACE A INTERAKCE S OSTATNÍMI …………………………………………….. 12 1.3.1. Pravomoci a práva k přístupu

……………………………………………………………………………. 12

1.3.1.1. Autorita …………………………………………………………………………………………... 12 1.3.1.2. Práva k přístupu ………………………………………………………………………………….. 13 1.3.2. Organizační struktura ……………………………………………………………………………………... 13 1.3.3. Interakce s ostatními ………………………………………………………………………………………. 14 1.3.3.1. Vrcholové vedení ………………………………………………………………………………... 14 1.3.3.2. Výbor pro audit ……………………………………………………………………………………14 1.3.3.3. Nejvyšší auditorská instituce1 ……………………………………………………………………. 14 1.3.3.4. Externí auditoři …………………………………………………………………………………… 14 1.3.3.5. Auditní orgán ……………………………………………………………………………………... 14 1.3.3.6. Centrální harmonizační jednotka (CHJ) ……………………………………………………….. 14 1.3.3.7. Výdajové subjekty2 ………………………………………………………………………………… 14 1.3.3.8. Ostatní poskytovatelé ujištění ……………………………………………………………………15 1.3.3.9. Externí odborníci …………………………………………………………………………………. 15 1.3.3.10. Orgány činné v trestním řízení …………………………………………………………………. .15 1.3.3.11. Služba finanční inspekce ………………………………………………………………………… 15 1.4. ROZSAH SLUŽEB …………………………………………………………………………………………………. 15

___________________________ 1 V České republice je tímto orgánem Nejvyšší kontrolní úřad. 2 Také

subjekty spotřebovávající rozpočet.


Stránka 3


2.

PRAVIDLA3 INTERNÍHO AUDITU ………………………………………………………………………………. 16 2.1. PŘEHLED ………………………………………………………………………………………………………. 16 2.2. PROFESIONÁLNÍ ETIKA ……………………………………………………………………………………… 16 2.3. PROFESIONÁLNÍ STANDARDY ……………………………………………………………………………… 16 2.4. PROFESIONÁLNÍ ODPOVĚDNOST ………………………………………………………………………….. 17 2.4.1. Nezávislost …………………………………………………………………………………………………. 17 2.4.2. Objektivita ………………………………………………………………………………………………….. 17 2.5. ODBORNOST A NÁLEŽITÁ PROFESIONÁLNÍ PÉČE …………………………………………………….. 18 2.5.1. Odbornost …………………………………………………………………………………………………. 18 2.5.1.1. Kvalifikace ………………………………………………………………………………………… 18 2.5.1.2. Nábor4 ……………………………………………………………………………………………. 18 2.5.1.3. Odborná způsobilost ……………………………………………………………………………. 18 2.5.1.4. Výcvik5 a další profesní rozvoj …………………………………………………………………. 18 2.5.1.4.1. Výcvik ………………………………………………………………………………… 19 2.5.1.4.2. Další profesní rozvoj ……………………………………………………………….. 19 2.5.1.5. Stanovení cílů a hodnocení výkonu ………………………………………………………………19 2.5.1.6. Plánování kariéry6 …………………………………………………………………………………19 2.5.1.7. Dohody a spolu-zajištění dodávky (co-sourcing)……………………………………………….. 20 2.5.2. Náležitá profesionální péče ……………………………………………………………………………….. 20

3.

POSTUPY INTERNÍHO AUDITU ………………………………………………………………………………… 20 3.1. PLÁNOVÁNÍ …………………………………………………………………………………………………….. 20 3.1.1. Audit universe7 ……………………………………………………………………………………………. 20 3.1.2. Metodika hodnocení rizik …………………………………………………………………………………. 21 3.1.3. Strategický auditní plán ……………………………………………………………………………………. 21 3.1.4. Roční auditní plán …………………………………………………………………………………………. 22 3.1.5. Roční auditní rozpočet …………………………………………………………………………………….. 22 3.1.6. Koordinace s ostatními poskytovateli ujištění …………………………………………………………….. 22 3.2. PROVÁDĚNÍ8 …………………………………………………………………………………………………… 23 3.2.1 Zapojení do plánování ………………………………………………………………………………………. 23 3.2.1.1. Obsazování auditu9 ………………………………………………………………………………. 23

____________________________________ 3

Též politiky interního auditu.

4

Též příjem nebo přijímání.

5 Též

trénink.

6 Též

plán osobního rozvoje nebo kariérní plán.

7 Též

prostor pro audit.

8

Též výkon nebo uskutečnění.

9

Též počet auditorů nebo personální zajištění auditu.


Stránka 4

ODBORNÁ SKUPINA INTERNÍHO AUDITU – Pracovní překlad pro vnitřní potřebu veřejné správy 3.2.1.2. Zahajovací schůzka10 ………………………………………………………………………………23 3.2.1.3. Nástroje ……………………………………………………………………………………………. 23 3.2.1.4. Úvodní přehled …………………………………………………………………………………… 24 3.2.2. Cíle a rozsah auditu ………………………………………………………………………………………… 24 3.2.3. Program auditu ……………………………………………………………………………………………… 25 3.2.4. Auditní práce v terénu ……………………………………………………………………………………… 25 3.2.4.1. Pracovní dokumenty ……………………………………………………………………………… 25 3.2.4.2. Provádění11 programu auditu …………………………………………………………………… 25 3.2.4.2.1. Přístupy k provádění auditu ………………………………………………………… 25 3.2.4.2.2. Techniky provádění auditu …………………………………………………………. 26 3.2.4.2.3. Hodnocení vnitřní kontroly …………………………………………………………. 26 3.2.4.2.4. Důkazní informace v auditu ………………………………………………………… 26 3.2.4.2.5. Dohled12 nad auditem ………………………………………………………………. 27 3.2.4.2.6. Seznam zjištěných skutečností …………………………………………………….. 27 3.2.4.2.7. Závěrečná setkání13 ………………………………………………………………… 27 3.2.5. Podávání zpráv o interním auditu …………………………………………………………………………. 28 3.2.5.1. Průběžná14 zpráva ………………………………………………………………………………. 28 3.2.5.2. Návrh zprávy …………………………………………………………………………………….. 28 3.2.5.3. Závěrečná zpráva ……………………………………………………………………………….. 29 3.2.5.4. Podávání zpráv o odhalených nesprávnostech (podvodech) vrcholovému vedení ……….. 30 3.2.5.5. Následná činnosti na základě doporučení zpráv z auditu ……………………………………. 30 3.2.5.6. Zprávy o činnosti ……………………………………………………………………………….. 31 3.2.5.7. Výroční stanovisko auditu (prohlášení o věrohodnosti) ……………………………………... 31 3.2.6. Uchovávání záznamů …………………………………………………………………………………….. 31 4.

KONTROLA KVALITY …………………………………………………………………………………………….. 31 4.1. PROGRAM SLEDOVÁNÍ KVALITY ……………………………………………………………………………… 31 4.2. PRŮZKUM U AUDITOVANÉHO SUBJEKTU …………………………………………………………………… 31 4.3. PRŮBĚŽNÝ15 DOHLED16 …………………………………………………………………………………………. 32

______________________ 12 Též

setkání.

12 Též

plnění programu auditu.

12 Též

supervize.

13 Též

schůzka.

14 Též

prozatímní zpráva.

15 Též

stálý.

16 Též

supervize.


Stránka 5

ODBORNÁ SKUPINA INTERNÍHO AUDITU – Pracovní překlad pro vnitřní potřebu veřejné správy 4.4. KLÍČOVÉ UKAZATELE VÝKONU17 ……………………………………………………………………………. 32 4.5. INTERNÍ HODNOCENÍ KVALITY …………………………………………………………………………….. 32 4.6. EXTERNÍ HODNOCENÍ KVALITY …………………………………………………………………………….. 33 5.

PROPAGACE18 INTERNÍHO AUDITU A MANAŽERSKÉ ZNALOSTI ……………………………….. 33 5.1. PROPAGACE18 INTERNÍHO AUDITU …………………………………………………………………………. 33 5.2. MANAŽERSKÉ ZNALOSTI ……………………………………………………………………………………... 33 5.2.1. Organizace složek ……………………………………………………………………………………….. 33 5.2.2. Referenční porovnávání …………………………………………………………………………………. 34 5.2.3. Slovníček pojmů ………………………………………………………………………………................. 34 5.2.4. Řízení veřejných výdajů – asistence při vzájemném vzdělávání (ŘVV – AVV) ……………………… 34 5.2.5. Institut interních auditorů (IIA) …………………………………………………………………………… 34 5.2.6. Členství ……………………………………………………………………………………………………. 34

PŘÍLOHY PŘÍLOHA 1 Struktura strategického plánu interního auditu ……………………………………………………………. 35 PŘÍLOHA 2 Struktura ročního plánu interního auditu …………………………………………………………………… 36 PŘÍLOHA 3 Struktura závěrečné zprávy o interním auditu …………………………………………………………….. 37 Ostatní možné přílohy __________________________ 17 Též 18

výkonnosti.

Též podpora.


Stránka 6


PŘEDMLUVA Tato předloha je produktem procesu výměny názorů a informací mezi členy odborné skupiny interního auditu (OS–IA) v rámci sítě pro podporu výměny zkušeností v oblasti řízení veřejných financí (SPVZ–ŘVF). Síť SPVZ-ŘVF, která zahájila svou činnost v roce 2006 pomocí Světové banky, je regionální subjekt, který se zaměřuje na podporu reformy veřejných výdajů a finanční řízení ve dvaceti zemích ve střední Asii a střední a východní Evropy prostřednictvím posilování kapacit a výměny informací. OS-IA je jednou ze tří odborných skupin praxe, v rámci kterých je síť organizovaná a je tvořena ze zástupců 21 zemí regionu Evropa a střední Asie. OS–IA se rozhodla, že ve svém strategickém plánu 2010 – 2012 bude sdílet své manuály interního auditu, dozví se o jejich rozdílech a podobnostech a bude rozvíjet dobrou praxi, která by mohla být sdílena mezi členy této odborné skupiny. Účelem tohoto strategického cíle je pomáhat členským zemím ke zřízení nebo zlepšení funkce interního auditu. Předloha je konečným výsledkem rozsáhlého procesu spolupráce, který zahrnoval účast zástupců členských zemí, organizovaných za účelem vývoje předlohy pro manuály interního auditu v OS–IA. OS–IA považuje síť SPZV – ŘVF za nadějí pro uživatele této předlohy, kteří v ní naleznou užitečné informace pro reformu interního auditu ve veřejném sektoru.

PODĚKOVÁNÍ Tato předloha byla sestavena kombinovaným úsilím jednotlivců a skupin, kteří se podělili o svůj čas a zkušenosti za účelem reálného výsledku. Konkrétně se jedná o tyto autory klíčových příspěvků: Albana Gjinopulli, Albánie, úřadující viceprezident OS-IA a vedoucí pracovní skupiny pro výkon, Aman Vatyan, Světová banka, vedoucí OS-IA, Cristina Scutelnic, Moldavsko, úřadující místopředseda pro činnost OS-IA a vedoucí pracovní skupiny pro výkaznictví, řízení znalostí a komunikaci s ostatními, Jacenka Micetic, Chorvatsko, vedoucí skupiny pro plánování lidí v souladu s územním principem, Joop Vrolijk, OECD / SIGMA, Ljerka Crnkovič, Chorvatsko, úřadující předseda OS – IA a vedoucí pracovní skupiny, zaměřené na základy kontroly kvality, Tomas Mičetič, dřívější předseda OS – IA


Stránka 7


ZKRATKY

VIA

Vedoucí interního auditu

CAE

Chief audit executives

CHJ

Centrální harmonizační jednotka

CHU

Central Harmonization Unit

EK

Evropská komise

EC

European Commission

EU

Evropská unie

European Union

Finanční řízení

FM&C

Financial Management and Control

GISA

Globální1 informační síť auditu

GAIN

Global Audit Information Network

LZ

Lidské zdroje

HR

Human Resources

OS IA

Odborná skupina interního auditu

IA CoP

Internal Audit Community of Practices

Mezinárodní institut interních auditorů

IIA

Institute of Internal Auditors

Mezinárodní organizace nejvyšších auditních institucí

INTOSAI

Internal Organization of Supremes Audit Institutions

Mezinárodní Rámec profesní praxe

IPPF

International Professional Practices Framework

Mezinárodní standardy Nejvyšších auditních institucí

ISSAI

Internnational Standards of Supreme Audit Institutions

Informační technologie

IT

Information Technology

Nejvyšší kontrolní úřad

NAO

Natonal Audit Office

Organizace pro hospodářskou spolupráci a rozvoj

OECD

Organization for Economic CoOperation and Development

Evropský úřad pro boj proti podvodům

OLAF

Europeant Anti – Fraud Office

SPVZ – ŘVF

Síť pro podporu výměny zkušeností v oblasti řízení veřejných financí

PEM – PAL

Public Expenditure Management Peer Assisted Learning

NKÚ

Nejvyšší kontrolní úřad

SAI

Supreme Audit Institution

Společná iniciativa EU a OECD pro podporu zlepšení správy a řízení

SIGMA

Support for Improvement in Governance and Management

NKÚ

1


Stránka 8


ÚVOD Tato předloha pro interní audit je navržena tak, aby sloužila jako referenční příručka pro odborníky2 při přípravě manuálu interního auditu v organizacích veřejného sektoru. Jejím účelem je poskytnout doporučení ohledně dobré praxe, jak přistupovat k tvorbě manuálu s cílem posílit funkci interního auditu ve veřejném sektoru a podporovat jak řádnou správu a řízení, tak i zodpovědnost. Předloha není míněna jako nařizovací či normativní, spíše by uživatelé při užití této pomůcky měli brát na zvláštní zřetel, že struktura a obsah finálního manuálu interního auditu bude záviset na velikosti a složitosti organizace. A co je nejdůležitější, že uživatelé musí zajistit, aby manuál byl založen na mezinárodně uznávaných a příslušných místních standardech, jakož i na současných osvědčených postupech3. Manuály auditu jsou živé dokumenty, které se musí přizpůsobovat změnám, probíhajícím v čase. Z tohoto důvodu by měl být manuál revidován a pravidelně aktualizování, pokud nastanou podstatné změny v právním a regulačním rámci, profesních standardech, etickém kodexu a zásadách a postupech interního auditu. I když pro řazení kapitol v této předloze neexistovala žádná předepsaná metoda, vyvinuli jsme veškerou snahu, abychom je seřadili systematicky a logicky s tím, že jsme začali zásadami interního auditu, postupovali jsme přes proces interního auditu a skončili jsme nápady, jak sdílet a spravovat znalosti. V každé části jsme se snažili zajistit, aby doporučení byla založena na základních zásadách Mezinárodního rámce profesionální praxe interního auditu, vydaného Mezinárodním institutem interních auditorů a aktuální mezinárodně uznávanou dobrou praxí. Na tuto předlohu by se mělo pohlížet jednak jako na vzorovou šablonu, vypracovanou členy odborné skupiny interního auditu (OS – IA4) pro využití v rámci sítě pro podporu výměny zkušeností v oblasti veřejných financí (SPVZ – ŘVF5), a jednak jako na nedokončenou v tom smyslu, že tato předloha bude pravidelně ověřována za účelem doplňování nových nápadů a začleňování vznikajících osvědčených postupů v rámci OS IA.

2

Též profesionálové.

3

Též dobrá praxe.

4

IA CoP – Internal Audit Community of Practices.

5

PEM – PAL Public Expenditure Management Peer Assisted Learning.


Stránka 9


1. FUNKCE INTERNÍHO AUDITU – ZÁSADY 1.1. Definice interního auditu Definice interního auditu, uvedená na začátku manuálu, slouží jako sjednocující páteř celého dokumentu. Měla by jasně stanovit cíle6 a parametry, jimiž se budou řídit politiky7 a postupy, které jsou popsány v manuálu8. Existuje více zdrojů pro definici interního auditu, včetně té, kterou vymezil Mezinárodní institut interních auditorů9. Ať je zvolena kterákoli definice, musí zahrnovat minimálně odkaz nezávislou a objektivní povahu této funkce, spolu s jejím základním účelem napomáhat organizaci dosahovat jejích cílů, tzn. řídit rizika s plněním těchto cílů spojená, zajistit účinnou kontrolu a řádnou správu organizace. 1.1.1. Interní audit, podvod a korupce Vzhledem k tomu, že často dochází k nejasnostem, pokud jde o interní audit, podvod a korupci, úloha interního auditu by měla být s ohledem na podvody a korupci vysvětlena. Ačkoli ujištění interního auditu může mít významný dopad na předcházení10 a odhalování podvodů, není interní audit zodpovědný za jakýkoliv typ podvodu nebo za protikorupční program (pokud jde o informovanost, prevenci, odhalování a šetření). Přesto může sehrát důležitou roli v některé z výše uváděných aktivit / činností nebo v rámci konzultací při tréninku posilování povědomí o podvodech nebo při šetření okolností, nasvědčujících podvodu, neboť disponuje odbornými znalostmi v oblasti kontroly. V prostředí, ve kterém se předpokládá zodpovědnost interního auditu, pokud jde o jakoukoli uvedenou oblast, je dobrou praxí detailně popsat vztah mezi interním auditem (v 3. pásmu obrany) a těmi existujícími zodpovědnostmi, týkajícími se podvodů a korupce (v 1. nebo 2. pásmu obrany). 1.1.2. Interní audit a ostatní oblasti finančního řízení a kontroly Jestliže existují nejasnosti mezi úlohou interního auditu a ostatními oblastmi finančního řízení a kontroly, nebo se očekává, že by takové nejasnosti mohly vzniknout, pak se doporučuje objasnit rizika a koncept jejich řízení, včetně doporučení k identifikaci zodpovědnosti za jejich vlastnictví / zajištění jejich ovládání. Lze odkázat na model 3. pásem obrany, u kterého mohou být vysvětleny rozdíly mezi: 1. pásmem obrany (opatření vnitřního řízení a kontroly a dozoru vrcholového vedení). 2. pásmem obrany (s podporou funkce např. finanční kontroly, řízení rizik a řízení kvality) a 3. pásmem obrany (funkce interního auditu). Kromě toho by měla být jasně definována inspekce11 a vysvětlen vztah tohoto mechanismu k funkci internímu auditu.

6

Též záměry.

Anglicky „policy“ znamená též anglicky „stratégy“ (česky strategie) nebo anglicky „stance, admission, accessibility, access“ (česky přístup). 7

8

Též návod nebo příručka.

Definice interního auditu IIA: „Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřena na přidáváni hodnoty a zdokonalováni procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejich cílů tím, že přináší systematicky metodicky přístup k hodnoceni a zlepšováni účinnosti systému řízení rizik, řídicích a kontrolních procesů a řízeni a správy organizace.“. 9

10

Též prevence.

11

Rozuměj inspekce nesprávností.


Stránka 10


1.2. Požadavek na zavedení12 funkce interního auditu Požadavek na zavedení funkce interního auditu v systému vnitřního řízení a kontroly organizace závisí na legislativních a vnitřních regulačních požadavcích, které se týkají této organizace. 1.2.1. Právní a regulační požadavky Manuál musí jasně stanovovat právní a regulatorní požadavky na interní audit. Tyto požadavky se obvykle nacházejí v různých zákonech13, prováděcích právních předpisech14, směrnicích a jiných regulačních předpisech. V manuálu by měl být proveden odkaz na příslušný předpis a v případě potřeby i na evropskou legislativu. Stejně tak by měly být začleňovány do manuálu i následné změny právního a relačního rámce. Manuál musí zahrnovat všechny subjekty veřejného sektoru, které zakládají rozpočtové výdaje, a které spadají do působnosti interního auditu podle právního a/nebo regulačního rámce. 1.2.2. Zákonodárné orgány a orgány dohledu15 Manuál by měl jasně popsat zákonodárné orgány a orgány dohledu, kterým funkce interního auditu podléhá nebo ke kterým má specifický vztah. Náležitou pozornost je třeba v manuálu věnovat popisu vztahů s příslušnými ministerstvy (např. s ministerstvem financí), centrální harmonizační jednotkou (CHJ), Národní auditní institucí (SAI) nebo Nejvyšším kontrolním úřadem (NKÚ). Kromě toho by v manuálu měly být zahrnuty všechny subjekty veřejného sektoru, které podle legislativního a regulačního rámce spadají do působnosti interního auditu. Současně by měly být vysvětleny kanály pro podávání zpráv 16 mezi interním auditem a správou organizace a jejími funkčními součástmi, až po vrcholové vedení a výbor pro audit (pokud byl zřízen), CHJ a zákonodárný sbor. Je vhodné také zmínit zpravodajské kanály směřující mimo organizaci (pokud existují). Kromě toho se doporučuje, aby v této části manuálu bylo umístěno schéma, které shrnuje výše uvedené vztahy a kanály pro podávání zpráv a obsahuje i jejich podrobnější vysvětlení. 1.2.3. Odpovědnost a mandát Mandát interního auditu by měl být náležitě upraven ve Statutu17 interního auditu, který je formálním a komplexním dokumentem.

12

Též vybavení systému vnitřního řízení a kontroly touto funkcí.

13

Přijatých zákonodárným sborem (parlamentem).

14

Např. nařízení vlády nebo ministerské vyhlášky.

15

Též dozorové orgány.

16

Též informační toky.

Statut (z lat. statutum, ustanovení, množné číslo statuta, zákoník) označuje zákon, vyhlášku či stanovy, nějaké organizace. Tento pojem bývá často zaměňován se statusem ve významu stav nebo společenské postavení. V právu se ustálily tyto významy: 17

a) označení právního předpisu (ve středověku např. městské zákony), b) vnitřní předpis právnické osoby upravující pravidla její organizace, c) označení právního řádu, který upravuje určité právní vztahy a k němuž poukazuje norma kolizní (v mezinárodním právu soukromém). DOBRÁ PRAXE – PŘEDLOHA MANUÁLU PRO INTERNÍ AUDIT

Stránka 11


Zodpovědnost funkce interního auditu by měla být v manuálu podrobněji vysvětlena, aby poskytovala komplexní zdůvodnění své existence v organizaci, tedy vedle klíčových pravidel, které poskytuje legislativní a regulační rámec. Manuál by měl popisovat, jak zavedená funkce interního auditu bude napomáhat organizaci v dosahování jejich cílů a jak bude odrážet vize vrcholového vedení pro tuto organizaci.

1.3. Autorita18 útvaru IA a jeho organizace a interakce s ostatními Význam zřizování organizačního útvaru19, zorganizování jeho činnosti a interakce s ostatními útvary organizace jsou důležitými úkony samy o sobě, neboť mají klíčový vliv na uplatňování nezávislosti funkce interního auditu v této organizaci. 1.3.1. Autorita18 a oprávnění k přístupu Manuál by měl – vedle pravomocí, vymezených ve Statutu interního auditu – dále rozvíjet formální autoritu této funkce a útvaru, a to včetně oprávnění na přístup k informacím, osobám a majetku. 1.3.1.1. Autorita V rámci organizace by mělo být postavení20 interního auditu, včetně přidělených oprávnění, jasně upraveno. Uvedená formalizace autority funkce interního auditu by měla zahrnovat i oprávnění přidělené vedoucímu interního auditu (VIA)21. Autorita VIA je výrazně ovlivněna skutečně vnímaným – nejen formálně ukotveným – postavením22 nebo vlivem, ale především i přístupem ke zdrojům. Z tohoto důvodu by VIA měl zastávat dostatečně vysoké postavení na to, aby se mohl účastnit cenných a účinných debat s vrcholovým vedením organizace o strategii 23 auditu, plánech výsledcích a doporučeních ke zlepšení. Stejně tak by měl být pro VIA dostupný adekvátní rozpočet a ostatní nezbytné zdroje, aby mohl plnit a ověřovat každoroční plán činnosti. Vedle oprávnění interního auditu v rámci organizace může být užitečné v manuálu stručně popsat shrnutí těchto oblastí. Tato část zahrnuje zodpovědnosti VIA za plnění následujících klíčových povinností24 :  Zajistit ujištění, že interní audit přidává organizaci hodnotu,  Rozvíjet konzistentní25 plány auditů, založené na hodnocení rizik,  Získávat schválení statutu, rozpočtu, a plánu vrcholovým vedením organizace a výborem pro audit,  Získávat schválení získávání odpovídajících dovedností a zdrojů pro plánované auditní zakázky26,  Rozvíjet odpovídající detailní auditorské postupy (v souladu s manuálem pro interní audit),  Koordinovat činnosti s ostatními externími a interními poskytovateli ujištění,

18

Též pravomoci.

19

Pro plnění funkce interního auditu v organizaci.

20

Též pozice.

21

Chief audit executives (CAE).

22

Též „pozice“ nebo „pracovní pozice“.

23

Též „politika“ ve smyslu angl. „policy“.

24

Jde o demonstrativní přehled klíčových – tedy ne všech – povinností VIA.

25

Znamená vyznačující se návazností.

26

Též auditorských činností.


Stránka 12


 pravidelně informovat vrcholové vedení organizace, CHJ a výbor pro audit (v případě potřeby). 1.3.1.2. Oprávnění k přístupu Interní auditoři mají neomezený přístup k informacím, osobám a majetku, a je-li úprava uvedena v zákoně nebo ve statutu interního auditu, měl by být na tato oprávnění interního auditu učiněn odkaz v manuálu. Manuál musí objasnit, v jakých konkrétních situacích se tato oprávnění uplatní, a to např. výhradně v průběhu provádění zakázky auditu. Interní auditoři mohou používat auditorský software nebo nástroje pro přístup k datům za účelem výběru27 dat. Manuál by měl uvádět podrobnosti o tom, jak používat tyto nástroje k dosažení stanovených cílů. Mělo by být dále také v manuálu uvedeno, že přístup by se neměl vztahovat na originální data, ale na jejich kopie, přičemž auditoři by měli mít vždy přístup „jen ke čtení“. Interní auditoři by měli prokazovat respekt ke kultuře a zvyklostem organizace. V Manuálu by mělo být také uvedeno, že interní auditoři by – s ohledem na svá oprávnění k neomezenému přístupu k informacím – měli dodržovat pravidla zachovávání důvěrnosti, jak je stanoveno v etickém kodexu IPPF28. Oprávnění k přístupu nemusí nutně znamenat, že interní auditoři budou oprávněni ve všech situacích stahovat nebo kopírovat citlivé či utajované informace, jako je tomu např. v případě ozbrojených složek29. V Manuálu by mělo být také konkretizováno, že co se týká neomezeného přístupu k osobám, jsou interní auditoři oprávněni k rozhovoru se zaměstnanci, aniž by museli formálně respektovat úrovně hierarchie. Konečně by měl Manuál obsahovat popis užití oprávnění interních auditorů, pokud jde o přístup majetku. Auditoři by měli respektovat postupy v organizaci, týkající se přístupu k některým aktivům, například k likvidním (peněžním) aktivům. Zpravidla organizace takový přístup poskytne pouze v doprovodu svého zaměstnance. Manuál by měl též uvádět kroky, které je třeba provést, pokud auditovaný subjekt 30 (organizace) odmítne či odepře oprávnění interních auditorů na přístup k informacím, osobám a majetku. 1.3.2. Organizační struktura Tato část by měla vysvětlit, jak je funkce interního auditu zorganizována. Zde mohou být vymezeny různé zúčastněné strany na zajišťování funkce interního auditu (vrcholové vedení organizace, výbor pro audit, rozpočtové výdaje, provozní řízení31, vztahy s NKÚ32, auditním orgánem a parlamentem). Zvláštní pozornost je třeba věnovat různým pozicím a jejich úloze, pokud se použijí při organizování funkce interního auditu. Jde o tyto klíčové pozice: VIA, manažer interního auditu, auditor senior, auditor junior, asistent auditora. Dalšími specifickými pozicemi jsou: specialisté na metodiku různých oblastí, ověřování kvality nebo audit informačních technologií (IT). Tyto specifické pozice by mohly

27 28

Též extradice dat. Zkratka IPPF pro International Professional Practices Framework, česky „Mezinárodní Rámec profesní praxe“.

29

Též armády a bezpečnostních sborů.

30

Též subjekt, který je předmětem auditu.

31

Též operativní řízení.

32

Zkratka NKÚ pro Nejvyšší kontrolní úřad, anglicky „Supreme Audit Institution“.


Stránka 13


být součástí pozic vedoucích auditorských týmu. Popis úlohy každé použitelné pozice a funkce by měl být zahrnut tak, aby tyto popisy komplexně dokumentovaly úkoly a povinnosti. Zvláštní pozornost je třeba věnovat situacím, kdy funkci interního auditu zajišťuje malý počet osob. 1.3.3. Interakce s ostatními Funkce interního auditu vyžaduje rozsáhlou interakci uvnitř a mimo organizaci s mnoha skupinami jednotlivců a zúčastněných stran. Je proto prozíravé zdokumentovat, jak takové interakce budou řízeny a prováděny. 1.3.3.1. Vrcholové vedení organizace Interní audit je tradičně manažerským nástrojem, tzn. očima a ušima managementu. Úloha interního auditu jako nástroje managementu by proto měla být vysvětlena, a to zejména s ohledem na nezávislost interního auditu. Kromě toho by měla být popsána důvěrnost vztahů a strukturovaná nebo jednorázová (ad hoc) jednání s vrcholovým vedením. 1.3.3.2. Výbor pro audit Interakce s výborem pro audit je ve veřejném sektoru stále poměrně novým fenoménem. Nicméně, pokud byly podmínky pro tento vztah upraveny33, měl by být tento vztah popsán, stejně jako rozsah povinností a odpovědnosti výboru pro audit. 1.3.3.3. Nejvyšší kontrolní úřad Nejvyšší kontrolní úřad se může spolehnout na práci interního auditu. V mnohých případech může chtít získat určité ujištění o kvalitě a nezávislosti funkce interního auditu. Proto by měl být popsaný vztah nebo spolupráce s Nejvyšším kontrolním úřadem. 1.3.3.4. Externí auditoři V některých případech (např., pokud jde o státem vlastněné společnosti), bude interní audit možná muset spolupracovat s externími auditory. Takový vztah a podmínky zakázky by měly být popsány. 1.3.3.5. Auditní orgán Čerpá-li daná země z fondů Evropské unie (EU), může interní audit také spolupracovat s Národním auditním orgánem, které je přímo podřízen Evropské komisi. Tento vztah by měl být také popsán. 1.3.3.6. Centrální harmonizační jednotka (CHJ) Centrální harmonizační jednotka (CHJ) poskytuje metodické pokyny, týkající se funkce interního auditu a sleduje kvalitu plnění této funkce. V Manuálu je třeba vysvětlit specifický vztah mezi CHJ a interním auditem, zejména s ohledem na to, co interní audit může nebo nemusí očekávat od CHJ. 1.3.3.7. Subjekty utrácející34 rozpočtové výdaje Subjekty utrácející rozpočtové výdaje jsou ve vztahu k funkci interního auditu v zásadě předmětem auditu nebo auditovaným subjektem. Tyto subjekty jsou někdy v očekávání, že interní audit je jejich poradním či konzultačním orgánem. Z tohoto důvodu by měl být V České republice byla pravidla pro zřízení výboru pro audit upravena návrhem zákona o vnitřním řízení a kontrole v roce 2015. 33

34

Též spotřebovávající.


Stránka 14


v manuálu vysvětlen vztah mezi interním auditem a auditovaným subjektem, pokud jde o ujišťovací a konzultační úlohu interního auditu. 1.3.3.8. Ostatní poskytovatelé interního ujištění S ostatními poskytovateli interního ujištění mohou být vytvořeny zvláštní vztahy. Ačkoli musí být tito ostatní poskytovatelé interního ujištění považovány za předmět auditu či auditované subjekty, jejich vztah s interním auditem je zvláštní z důvodu koordinovaného postoje ke konkrétním rizikovým oblastem. Manuál by měl podrobně popisovat, jak bude probíhat spolupráce s těmito poskytovateli. 1.3.3.9. Externí odborníci Během auditu může vzniknout potřeba interního auditu povolat externí odborníky nebo konzultanty (tzv. přizvané osoby). V Manuálu by měly být popsány vztahy s externími odborníky (pro případ potřeby). 1.3.3.10.Orgány činné v trestním řízení Měl by být popsán vtah interního auditu s orgány činnými v trestním s věnováním řádné pozornosti k právnímu rámci dané země. 1.3.3.11.Služba finanční inspekce35 Dále by měl by být popsán vztah mezi interním auditem a službami finanční inspekce, pokud jsou zřízeny, přičemž by měl brán do úvahy konkrétní právní rámec dané země.

1.4. Rozsah služeb Funkce interního auditu poskytuje obecně dvě hlavní služby:  ujišťovací (tzv. auditorské služby), nebo  konzultační (tzv. poradenské služby). Rámec pro a přístup k oběma typům uvedených služeb jsou odlišné a manuál pro interní audit musí jasně vysvětlit a popsat oba tyto typy. Audity mohou být řízeny za účelem plnění různých cílů:        

finanční, správnosti36, souladu či shody37, operací, hodnoty za peníze, systému, výsledků programu, výkonu,

Též „inspekce nesprávností“. Tento kontrolní mechanismus vnitřního řízení a kontroly byl v ČR zahrnut do úpravy úplného kontrolního procesu, avšak na základě vnějšího připomínkového řízení, vedeného jako soustředěná kampaň / nátlak připomínkových míst muselo být zpracovatelem od úpravy tohoto kontrolního mechanismu úplného kontrolního procesu, doporučovaného Světovou bankou a Evropskou komisí s ohledem na charakter kontrolního prostředí ve veřejné správě České republiky, ustoupeno. 35

Též dodržení zásady řádného finančního řízení, tj. optimálního vztahu mezi dodržením zásad hospodárnosti, účelnosti a účinnosti. 36

37

Též compliance.


Stránka 15


 IT,  podvodu38. Rozdíly v cílech a výstupech39 u každého typu auditu by měly být podrobněji a kompletně popsány. Dále by mělo být zdůrazněno, že konečná odpovědnost za následné40 kroky a za provádění výsledků / doporučení interního auditu spočívají na vrcholovém vedení41. Poradenské služby jsou založeny na konkrétních požadavcích, a proto musí být proces poradenských služeb vysvětlen, a to zejména, zda žádost o poradenské služby musí být formálně zpracována nebo zda je možné poradenské služby vyžádat neformální cestou. V manuálu by mělo být jasně uvedeno, že konečná odpovědnost za využití konzultací / rad interního auditu spočívá na vedoucích zaměstnancích, kteří si konzultace vyžádali. Tam, kde se tyto poradenské služby týkaly systému či jednotlivých mechanismů vnitřního řízení a kontroly, zůstává odpovědnost za využití těchto rad také na vedoucích zaměstnancích.

2. PRAVIDLA INTERNÍHO AUDITU 2.1. Přehled Od interních auditorů či odborníků na auditorské činnosti se vyžaduje, aby postupovali při provádění své práce v souladu s etickými a profesními standardy42. Manuál Manuál musí detailně vysvětlit etické kodexy a profesní standardy, které interní audit bude dodržovat. Pokud jde o etické kodexy a profesní standardy, v manuálu by měl být uveden přehled zdrojů, poskytujících základní informace, který může obsahovat mimo jiné: zákon o civilních službách43, služební řád, standardy vyhlášené IIA, standardy vydané INTOSAI a národními orgány, vydávajícími národní standardy.

2.2. Profesní etika Interní auditoři musí pracovat v souladu s platnými etickými kodexy. Etický kodex Mezinárodního institutu interních auditorů, který je součástí Mezinárodního rámce profesní praxe (IPPF), je povinným pravidlem, který je považován za základ profesní praxe při provádění interního auditu pro všechny členy. Manuál by měl stanovit, zda tento kodex bude dodržován, a zda bude doplněn národními profesními etickými kodexy a etickými kodexy dané organizace. Možná bude zapotřebí detailně popsat začlenění příslušných kodexů v příloze k manuálu nebo mohou být dodány k užití odkazy na webové stránky, kde by měly být udržovány.

2.3. Profesní standardy Manuál auditu by měl konkrétně stanovit profesní standardy, které budou dodržovány všemi interními auditory při plnění povinností v činnostech interního auditu. Tyto standardy by měly zahrnovat mezinárodní standardy pro profesní praxi interního auditu, jak jsou vydány Mezinárodním institutem interních auditorů.

38

Též forenzní audit.

39

Též plnění.

40

Též návazné.

41

Též na managementu.

Srovnej významné změny v celkové struktuře Mezinárodního rámce profesní praxe interního auditu z roku 2011 a 2013, provedenou Mezinárodním Institutem interních auditorů, Inc. 249 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, přeložené Českým institutem interních auditorů, o.s., Karlovo náměstí 3, 120 00 Praha 2. 42

43

V České republice např. návrh zákona o státní službě a návrhy prováděcích předpisů k tomuto návrhu zákona.


Stránka 16


Navíc by manuál měl obsahovat odkazy na příslušné národní standardy a další platné mezinárodní standardy, jako jsou mezinárodní standardy nejvyšších kontrolních institucí (ISSAI) vydané INTOSAI. Není nezbytné každý standard zahrnovat do manuálu. Příloha manuálu nebo odkaz na na příslušnou internetovou stránku bude dostačující. Také nebude možná začleňovat podrobné mezinárodní standardy do vnitrostátní legislativy, neboť tyto standardy jsou pravidelně aktualizovány, což by vyžadovalo častější změny ve vnitrostátních právních předpisech.

2.4. Profesní odpovědnost Nezávislost a objektivita jsou nezbytnými složkami 44 účinného plnění auditorských úkolů. Statut interního auditu musí zajistit zavedení organizační nezávislosti a formální autority interního auditu, na což by měl být učiněn odkaz v Manuálu. 2.4.1. Nezávislost Manuál by měl načrtnout a vysvětlit funkční a správní linie podávání zpráv a zároveň i záležitosti, týkající se jejich nezávislosti45. Funkční vztah zahrnuje rozsah interního auditu, schvalování ročních plánů auditů a rozpočet. Správní vztahy se týkají všech záležitostí mezi zaměstnavateli a zaměstnanci, např. v oblasti čerpání dovolené v kalendářním roce, odborné přípravy či schvalování pracovních cest a cestovních nákladů. Tato část manuálu pro audit by měla popisovat procesy, které souvisejí s činnostmi interních auditorů. Přitom by manuál měl poukázat na rozdíly mezi činností VIA a činnostmi ostatních interních auditorů. Kromě toho se doporučuje, aby manuál zahrnoval: jmenování interních auditorů; stanovení cílů a hodnocení výkonnosti interních auditorů; podporu46 interních auditorů; úrovně interních auditorů; a uvolnění interních auditorů z funkce. Zatímco interní auditoři nemají provozní odpovědnost, a proto nemohou ostatním zaměstnancům organizace říkat, co mají dělat, avšak jejich názor může být brán v organizaci vážně, neboť mohou být nadáni morální autoritou. Manuál by měl vysvětlit, jak by bylo možné takové vnímání mít pod kontrolou. Interní auditoři by v principu měli být nezávislí na jakýchkoli omezeních působnosti. Tato část manuálu musí stanovit postup, který je třeba dodržet v jakékoliv situaci, kdy je internímu auditu omezen rozsah jeho působnosti. 2.4.2. Objektivita Objektivita souvisí s duševním postojem, s kterým interní auditor přistupuje k auditu, a manuál by měl v této souvislosti zdůrazňovat potřebu nestranného a objektivního postoje za všech okolností. Navíc manuál musí vymezit kritické požadavky, aby bylo možné předejít střetu zájmů, který by ohrozit schopnost interních auditorů plnit své povinnosti objektivně47.

44

Též komponentami.

Srovnej mezinárodní tyto standardy IIA: Definice interního auditu, 1100 – Nezávislost a objektivita: změna interpretace, 1110 – Organizační nezávislost (přidaná nova interpretace), 1130 – Narušení nezávislosti nebo objektivity, Nezávislost: změna definice v roce 2011 „Nepřítomnost stavu, který ohrožuje schopnost interního auditu vykonávat odpovědnosti interního auditu nezaujatým způsobem.“. 45

46

Též propagaci a prosazování.

47

Též aby se předešlo předpojatosti.


Stránka 17


2.5. Odbornost48 a náležitá odborná péče49 Kvalita, účinnost a účelnost, se kterými je interní audit proveden, jsou přímo závislé na dovednostech, znalostech a odborné způsobilosti50 interních auditorů a jejich náležité odborné péči. 2.5.1. Odbornost Manuál by měla zdůraznit, že interní auditoři musí mít znalosti, dovednosti a další schopnosti (odbornou způsobilost) pro plnění svých povinností. V manuálu můžou být poskytnuty popisy příslušné kvalifikace, politiky přijímání zaměstnanců, kompetenčního rámce51, odborné přípravy a certifikace, dalšího profesního rozvoje, stanovování cílů a hodnocení výkonu, kariérního plánování a dodavatelských služeb, které by zvyšovaly odbornou způsobilost interních auditorů. 2.5.1.1. Kvalifikace Je důležité věnovat pozornost požadované kvalifikací pro interní auditory. Tato kvalifikace může být spojena s různými úrovněmi v rámci interního auditu. Ve veřejném sektoru, požadovaná kvalifikace je obvykle podporována legislativními akty. Schopnost komunikovat jasně a účinně je pro interní auditory velmi důležitá. Proto je třeba zdůraznit měkké dovednosti, které se týkají komunikace (dotazování či pohovory, prezentace a techniky či postupy podávání zpráv) a způsoby analytického myšlení. 2.5.1.2. Nábor Lze použít mnoho náborových modelů pro funkci interního auditu, přičemž talenty lze přijímat:    

přímo z univerzity (mladí absolventi), ze soukromého sektoru, s několikaletou zkušeností, z provozních oddělení v rámci organizace, aby získali určité technické dovednosti, z jiných organizací veřejného sektoru.

Nábor ve veřejném sektoru se liší podle jednotlivých států a může být upraven legislativou nebo vnitřními předpisy. Pokud se jedná o takový případ, manuál by je měl zmiňovat nebo obsahovat odkaz na webovou stránku. 2.5.1.3. Odborná způsobilost52 V závislosti na velikosti funkce interního auditu lze doporučit, aby v manuál obsahoval malý kompetenční rámec odborné způsobilosti 53. U malých útvarů interního auditu by měl být v manuálu rozebrán praktický přístup. 2.5.1.4. Výcvik / trénink a další profesní rozvoj Výchozí dovednosti a počáteční znalosti při uplatňování standardů pro interní audit, postupů a technik je třeba průběžně rozvíjet a zdokonalovat. Manuál by měl popisovat ujednání o tréninku a trvalém profesním rozvoji interních auditorů za účelem zvyšování jejich znalostí, dovedností a dalších schopností (kompetence). 48

Též odborná způsobilost.

49

Též péče řádného hospodáře.

50

Též kompetence.

51

Též rámec odborné způsobilosti.

52

Též kompetence.

53

Též kompetenční rámec.


Stránka 18


2.5.1.4.1. Trénink Manuál by měl popisovat, jak bude organizováno školení zaměstnanců, např.:  zda podle navržené vyvážené osnovy (studijního plánu) pro interní audit,  zda vzdělávací kurzy budou organizovány interně a/nebo externě, nebo  zda vzdělávací kurzy budou pro interní auditory povinné. Mezinárodní nebo národní certifikace může být požadována zákonem nebo prostřednictvím jednotlivých organizací. Měla by být uznávána následující mezinárodní certifikace:  Certifikovaný interní auditor - CIA (měl by být uveden odkaz na certifikační orgán),  Certifikát sebehodnocení kontroly (měl by být uveden odkaz na certifikační orgán),  Certifikovaný auditor informačních systémů (měl by být uveden odkaz na certifikační orgán),  Certifikovaný auditor finančních služeb (měl by být uveden odkaz na certifikační orgán),  Certifikovaný vládní auditorský profesionál - CIGAP (měl by být uveden odkaz na certifikační orgán). 2.5.1.4.2. Další profesní rozvoj Jsou-li auditoři proškoleni, organizace by se měla postarat o jejich další profesní rozvoj. Vrcholové vedení organizace musí zajistit podporu pro trvalý rozvoj interních auditorů. VIA by měl zajistit příležitosti pro systematický trénink, přičemž by měl vytvořit roční tréninkový plán, který je založen na individuálních potřebách každého auditora. Trénink by měl zahrnovat přístup k jednotlivým tématům auditu a zároveň k oblastem, které se týkají nových technologií, systémů a produktů v rámci organizace. V manuálu pro audit může být uveden minimální počet tréninkových hodin ročně na jednoho auditora. 2.5.1.5. Stanovení cílů a hodnocení výkonu Ve spolupráci s vrcholovým vedením organizace a výborem pro audit by měly rozvinout pro funkci interního auditu v této organizaci dlouhodobé a krátkodobé (roční) cíle. Cíle musí být stanoveny rovněž pro každého jednotlivého interního auditora, a jeho individuální výkon by měl být posuzován na základě těchto cílů. 2.5.1.6. Plánování kariéry Někteří interní auditoři budují svou kariéru uvnitř interního auditu a zůstávají tam dlouhou dobu, zatímco jiní použijí interní audit jako odrazový můstek ve své kariéře. V obou případech je nezbytné vytvořit kariérní plán pro všechny interní auditory. Pokud je interní audit využíván jako tréninková půda pro mladé talenty a budoucí manažery, je třeba dosáhnout dohody s vrcholovým vedením a oddělením pro lidské zdroje. Tato část je volitelná a závisí na postupech politice lidských zdrojů54 organizace.

54

Human Resources (HR).


Stránka 19


2.5.1.7. Dohody o spolu-zajištění dodávky (co-sourcing)55 Z důvodu hospodárnosti, účelnosti a účinnosti může organizace rozhodnout, že bude řešit funkci interního auditu prostřednictvím dohodou o spolu-zajišťování dodávky prostřednictvím najímání odborníků pro účely dodávky (technické) části celkového výkonu auditu spolu s interními auditory organizace. Pro všechny spolu-zajišťované funkce interního auditu by měla být vypracována smlouva. VIA může také vyzvat hostující auditory, aby se dočasně přidali k týmu kmenových auditorů organizace, a spolupracovali společně na plnění konkrétních zakázek. Hostující auditoři by měly být vždy nezávislí na procesech, které jsou předmětem auditu. Lze také uvažovat o vymezení některých specializovaných funkcích (např. audit IT), které mohou v rámci centralizovaného interního auditu sloužit pro více než jednu organizaci. 2.5.2. Náležitá odborná56 péče Náležitá odbornou péčí se rozumí úroveň dovedností, které by měl interní auditor použít při provádění činností interního auditu a standardně je dodržovat. Vztahuje se na uplatňovaní svědomitého přístupu a je obtížné ji plně popsat. Nedostatek odborné péče lze považovat za rovnocenný ve vztahu k hrubé nedbalosti a může vést selhávání nejen VIA, ale i podřízených a v některých situacích by mohl vést až k postihům nebo k trestu odnětí svobody. Rozumná či přiměřená péče neznamená neomylnost, i když je tak často vnímána, pokud dojde k podvodu. Manuál by měl popisovat několik položek, které si zaslouží zvláštní pozornost interních auditorů. Interní auditoři by měli vzít do úvahy:  co se může v určitém procesu pokazit?  Jak může osoba spáchat podvod?  Jaké jsou klíčové kontroly a jak by bylo možné je obejit? Manuál může poskytnout příklady situací, které názorně ukazují nedostatek náležité odborné péče.

3. PROCESY INTERNÍHO AUDITU 3.1. Plánování Plánování poskytuje systematický přístup k práci interního auditu a vyžaduje znalosti a kompetence ve velkém množství oblastí, jako je např. oblast rizik nebo oblast vnitřního řízení a kontroly. 3.1.1. Audit universe57 Oblast auditu je výchozím bodem pro plán interního auditu a zahrnuje všechny subjekty a činnosti, vykonávané k zajištění působnosti organizace, které mohou být předmětem auditu. Jde o celkový rozsah působnosti funkce interního auditu a zahrnuje souhrn ověřitelných procesů, funkcí a umístění či dislokace. Manuál by měl široce objasnit toho, jak vstupovat do audit uiverse (oblastí auditu). Lze zvolit přístupy  horizontální (po tocích procesů nebo operace / transakce, např. cyklus zadávání veřejných zakázek),  vertikální (v souladu s činnostmi oddělení nebo se zaměřením na vzdálené místo / lokalitu, např. pouze veškeré činnosti v rámci jednoho oddělení zadávání veřejných zakázek) nebo jako 55

Též ujednání o spolupráci.

56

Též profesní.

57

Též oblast auditu.


Stránka 20


 kombinace obou (tematický přístup na všech místech a ve všech odděleních, např. schvalování dovolených v kalendářním roce). Manuál by měl popisovat proces stanovení oblastí auditu, přičemž je třeba mít na paměti, že detailní oblast je dynamická a neustále je ovlivňována novými procesy, útvary, projekty a riziky. Proto se doporučuje, aby byl podrobný popis oblastí (audit universe) zahrnutý do manuálu jako příloha. Složky, ke kterým je třeba přihlédnout během procesu definování oblastí auditu, mohou zahrnovat:  klíčové procesy – jsou důležité pro podporu cílů organizace, např. proces výběru daní v rámci Ministerstva financí,  kritické kontrolní oblastí – např. v cyklu nákupu je kritickou kontrolní oblastí třícestný proces, probíhající mezi nákupní objednávkou, dodací listem a fakturou,  materiálová hodnota 58 – jak se tento princip uplatňuje pro výběr složek / komponent oblasti auditu. Musí být vysvětlen, pokud je použit jako kritérium. Je důležité udržovat jednotlivé složky oblasti auditu, aby bylo možné je zvládnout z hlediska auditu59. Složky, které jsou příliš velké, mohou zastínit zaměření na nejvyšší rizika, zatímco složky, které jsou příliš malé, nemusí vést k významnému závěru. 3.1.2. Metodologie hodnocení rizik Účelem hodnocení rizik pro interní audit je dát prioritu vyšším rizikům pro organizaci. Proto je metodika hodnocení rizik jedním ze základních pilířů činnosti interního auditu. V Manuálu je proto nutné podrobně popsat proces hodnocení rizik V této části manuálu nezapomeňte, že metodika by měla zahrnovat:  Identifikaci a definici příslušných kategorií rizika,  Identifikaci definici kritérií rizik pro dopad a pravděpodobnost jejich zapůsobení, které je třeba provést před hodnocením rizika. Je třeba myslet na to, že pravděpodobnost může být nahrazena náchylností, která bude možná lépe pochopitelná a zhodnotitelná.  Definici bodování rizika a vysvětlení zdůvodnění pro přidělení vysokého, středního nebo nízkého skóre rizika. Když se použije bodovací systém, je třeba se vyhnout střednímu skóre, bez ohledu na tendenci použít střední skóre ve snaze vyhnout se „osobnímu“ riziku a obtížným diskusím. Manuál by měl zdůrazňovat, že výsledek hodnocení rizika, provedený ostatními stranami v rámci organizace (např. oddělením pro řízení rizik), by měl být interním auditem brán do úvahy. Navíc by měl interní audit při provádění hodnocení rizika žádat o vstupní data od vrcholového vedení. Tato vstupní data je možné získat prostřednictvím rozhovorů nebo prostřednictvím účasti na workshopech. Manuál by měl stanovit, že veškerá rizika musí být seřazena na základě výsledků hodnocení rizika a tento seznam rizik (seřazených) musí tvořit základ pro vývoj ročního plánu interního auditu. 3.1.3. Strategický plán auditu VIA je povinen zajistit vypracování strategického 60 plánu pro plnění funkce interního auditu. Dlouhodobost strategického plánu může představovat období 3-5 let. V manuálu by dlouhodobé strategické cíle funkce interního auditu měly být plně popsány. Tyto cíle by měly být jasně spojeny s cíli organizace a měly by být v případě potřeby každoročně aktualizovány. Je vhodné, aby plněni těchto cílů či částečný nebo úplný úspěch byl měřitelný.

58

Material Value.

59

Rozuměj ověřit a zhodnotit.

60

Též dlouhodobého.


Stránka 21


Je nezbytně nutné získat vrcholové vedení organizace, senior management a výbor pro audit (pokud existuje), aby přijaly zodpovědnost za schvalování strategického plánu. Vzhledem ke komplexní povaze strategického plánu auditu, může být jako příloha manuálu připojen vzor struktury strategického plánu interního auditu. 3.1.4. Roční plán auditu VIA je zodpovědný za vypracování ročního plánu auditu založeného na riziku. Tento roční plán auditu by měl vycházet ze strategického plánu auditu, který byl zpracován na základě výsledků hodnocení rizika. Pro veškeré auditované subjekty61 se musí být odhadnut potřebný počet člověkodnů a na základě dostupných62 zdrojů by měl plánovací tým nakreslit čáru harmonogramu pracovních dnů s určením priorit, co by mělo být předmětem auditů pro nadcházející rok. Přitom je třeba zahrnout i rezervu reálného počtu člověkodnů / dnů pro ad hoc63 audity, které mohou být zařazeny do ročního plánu auditu na základě zkušeností, získaných v předchozích létech. V návaznosti na výše uvedené úkony je třeba provést odhad dodatečných nákladů (např. cestovní náklady nebo najímání externích zdrojů), aby bylo možné připravit rozpočet auditů pro nadcházející rok. Manuál by měl zdůraznit, že navrhovaný roční plán auditu má být předložen do vrcholového vedení organizace a výboru pro audit (v případě potřeby), ke schválení a / nebo ratifikaci64. Plnění ročního plánu by mělo být v průběhu roku ověřováno, pokud je to okolnostmi odůvodněno, aby bylo možné zohlednit změny v prioritách, ať již z důvodu změny rizikových faktorů nebo urgentních požadavků vrcholového vedení organizace (nebo výboru pro audit, pokud je to relevantní65). Jako příloha manuálu může být připojen vzor struktury ročního plánu interního auditu. 3.1.5. Rozpočet ročního auditu Manuál by měl objasnit, že stanovení ročního rozpočtu je povinné. Rozpočet by měl zahrnovat: počet zaměstnanců (včetně dočasných a externích zdrojů), cestovní náhrady související s auditorskými misemi, náklady na trénink a náklady IT. Navrhovaný rozpočet by měl být předložen vrcholovému vedení organizace a výboru pro audit (v případě potřeby) ke schválení a / nebo ratifikaci. 3.1.6. Součinnost s ostatními poskytovateli ujištění Při sestavování ročního plánu auditu by měl interní audit usilovat o koordinaci s ostatními poskytovateli interního a externího ujištění. Cílem této koordinace je vytvořit synergii, aniž by došlo k duplicitě nebo naopak k nepokrytí kritických mezer66. Externí poskytovatele ujištění tvoří externí auditoři, SAI67 a AO68. 61

Které se mají stát předmětem ročního plánu auditů.

62

Též disponibilních.

63

Též neplánované.

64

Slovo „ratifikace“ (z lat. ratus, platný a facere udělat) znamená závazné potvrzení platnosti zvláště důležitého dokumentu.

65

Též významné nebo důležité či vhodné.

66

Riziko zásadních nedostatků.

67

Zkratka SAI pro Supreme Audit Institution, V České republice Nejvyšší kontrolní úřad (NKÚ).

Zkratka AO pro Auditní orgán (prvek implementační struktury pro správu operačních programů spolufinancovaných z fondů Evropské unie / souhrnného rozpočtu EU). 68


Stránka 22


Poskytovatelé interního ujištění zahrnují útvary organizace, které jsou zodpovědné za 2. pásmo obrany systému vnitřního řízení a kontroly organizace (např. oblasti finanční kontroly, zajištění kvality a řízení rizik).

3.2. Provádění69 Manuál by měl zahrnovat vývojový diagram ukazující procesu provádění auditu. Dále by mě manuál zdůrazňovat navržení přísného rozpisu jednotlivých klíčových složek procesu auditu, jako jsou plánování, práce v terénu a podávání zpráv. Závěrečná zpráva by měla být vydána brzy po ukončení práce v terénu, přičemž je vhodné specifikovat v manuálu i časový rámec, ve kterém by měl být audit proveden. 3.2.1. Plánování zapojení do auditu Plánování zapojení do auditu zahrnuje seznámení se s cíli a jejich pochopení, jakož i pochopení procesů, rizik a kontrolních mechanismů auditovaného subjektu a činností, které mají být předmětem auditu. 3.2.1.1. Personální zajištění auditu Jednou ze složek, která se plánuje jako první, je složení auditorského týmu založené na požadovaných dovednostech a zkušenostech. Zodpovědnost za výběr týmu by měla být popsána v manuálu. V manuálu může být připojena kritéria pro výběr členů týmu. Před zahájením auditu musí být vydána objednávka na služby 70 (pověřovací dokument interních auditorů ze dne), ve kterém jsou uvedeni interní auditoři. Oznámení či upozornění, obsahují tyto skutečnosti, by měl být zaslán objektu, kde se bude konat audit 71. Příklad oznámení či upozornění může být připojen k manuálu. 3.2.1.2. Zahajovací schůzka72 Na začátku auditu musí být zorganizovaná zahajovací schůzka s auditovaným subjektem. Při nejmenším bude tato schůzka obsahovat cíle auditu a informace, které budou od auditovaného subjektu požadovány. Pro tento účel lze použít standardizovanou prezentaci. Na této schůzce by měly být vyžádány od auditovaného subjektu všechny informace o oblastech zájmu. Interní auditoři by si měly udělat poznámky o diskutovaných otázkách, které stanou součástí auditorského spisu. 3.2.1.3. Nástroje Existuje celá řada nástrojů, které budou interní auditoři v průběhu auditu používat, přičemž manuál by měl popsat a vysvětlit ty nejběžnější z nich. Pozornost by měla být věnována:  Vývojové diagramy – interní auditoři je mohou zvolit, aby lépe pochopili toky transakcí v procesech. Jednoduchý systém, postup nebo proces může být znázorněn pomocí vývojového diagramu, který může být připojen jako příloha manuálu. Manuál by měl vysvětlovat, které řádné symboly použít a jak používat software pro tvorbu vývojových diagramů; 69

Též výkon.

70

Též zakázka.

71

Též auditovaný subjekt.

72

Též setkání.


Stránka 23


 Nástroje pro zhodnocení rizik – interní pomůcka by měla popisovat a vysvětlovat jak se použije softwarový nástroj pro hodnocení rizik nebo zjednodušený list Excelu, pokud funkce interního auditu uplatňuje při auditu tyto nástroje pro účely sofistikovanějšího zhodnocení rizik;  Nástroje vyhledávání dat – nástroje pro vyhledávání dat se staly běžnou součástí souboru nástrojů auditorů. Manuál by měl vysvětlit, jak se používají;  Odběr vzorků pro audit – ačkoliv odběr vzorů pro audit byl v průběhu let podstatně automatizován, je nezbytné, aby auditoři věděli, kdy a kterou techniku odběru vzorku použít. Techniky odběru vzorků by měly být v manuálu vysvětleny.  Správa souborů o auditu – správa souborů o auditu musí být zajišťována v souladu s vnitrostátními právními předpisy a pravidly pro dokumentaci. Softwarové nástroje auditu mohou napomáhat funkci interního auditu řídit správu souborů od fáze plánování, přes provádění prací v terénu až po tvorbu závěrečné zprávy z auditu, a může být také připojena následná fáze. Manuál by měl popisovat procesy a postupy správy souborů o auditu, přičemž je třeba zdůraznit, že se jedná o správu originálních dokumentů a auditních souborů IT. 3.2.1.4. Předběžný73 průzkum U každé auditní zakázky musí předcházet zahajovací šetření nebo též předběžný průzkum a hlavním cílem tohoto průzkumu je dobře porozumět auditovanému subjektu a jeho činnosti. Účelem předběžného průzkumu je získat podrobnější informace o procesu (nebo částech procesu), který bude auditován, a konkrétněji o rizicích spojených s tímto procesem, jakož i o klíčových kontrolních mechanismech. Manuál by měl poskytnout seznam běžných informací, které je třeba shromáždit během předběžného průzkumu. Konkrétní informace budou záviset na cílech auditu. V průběhu předběžného průzkumu se od interních auditorů očekává, že plně pochopí kritéria (nebo standardy), které auditovaný subjekt uplatňuje při měření výkonosti v procesu, který je předmětem auditu. Pokud interní auditoři nemohou najít důkazy o adekvátních kritériích pro účely měření, manuál by měl popisovat postupy, jak zavést kritéria (založená na dobré praxi nebo na zkušenostech auditorů) a usilovat o dohodu s auditovaným subjektem na těchto kritériích. V závěru předběžného průzkumu by měl být auditorský tým schopen revidovat původní zhodnocení rizik, provedené v období přípravy ročního plánu auditu. Pokud jsou výsledky výrazně odlišné, interní auditoři musí přehodnotit své původní hodnocení tak, aby bylo možné určit jasné, resp. zostřené cíle auditu. 3.2.2. Cíle a rozsah auditu Cíle a rozsah auditu jsou klíčové složky plánu auditu a při jejich stanovování je třeba jim věnovat náležitou pozornost. Při vymezování rozsahu auditu by měli interní auditoři vyvinout veškerou snahu, aby stanovili jasné a dosažitelné cíle. Ty by měly být založené na výsledcích předběžného průzkumu interního auditu a zároveň i cílech, stanovených v ročním plánu auditu. Např., pokud se riziko vztahovalo k účinnosti určitého procesu, cíle auditu by se neměly zaměřovat na otázky dodržování předpisů74. Navíc by měl manuál poskytnout několik příkladů toho, jak vytvořit

73 74

Též zahajovací. Též záležitosti souladu či shody.


Stránka 24


dobré cíle auditu. Je nezbytné navázat cíle auditu na (obecně přijímané) cíle organizace nebo na cíle oddělení kontroly, aby vrcholové vedení mohlo uznat rizika, která byla označena jako důležitá75. Jakmile cíle auditu byly jasně definovány, interní auditoři se musí zaměřit na rozsah auditu, tzn. na oblasti, které budou v průběhu auditu ověřovány. Rozsah se může vztahovat k časovému období, odvětvím nebo k procesům IT, abychom jmenovali alespoň některé. V odpovědnosti interního auditu je rozhodnout o omezení rozsahu, ačkoli auditovaný subjekt může navrhnout, aby auditoři určitou oblast neověřovali, např. systém IT, který bude během několika měsíců vyměněn. Manuál by měl zdůrazňovat, že ve všech případech by měl být rozsah dostatečný pro dosažení cílů auditu. 3.2.3. Program auditu Jakmile jsou definovány cíle auditu a rozsah auditu, interní audit musí vytvořit program auditu Program auditu je unikátní pro každý audit, a proto se nebude používat standardizovaná šablona nebo vzor programu s výjimkou případů opakujících se auditů (např. audit regionu nebo pobočky). Manuál by měl ukazovat různé kroky, které je třeba provést tak, aby odpovídaly příslušným cílům auditu (např. použité metody a postupy, časový rozvrh, oddělení úkolů, kontrolované období a druh auditu). 3.2.4. Práce na auditu v terénu Podrobné postupy pro shromažďování, analýzu, interpretaci a dokumentování informací pro dosažení cílů auditu probíhá během na auditu terénu. 3.2.4.1. Pracovní dokumenty Interní auditoři potřebují dokumentovat auditorskou činnost, resp. její výsledky na podporu svých závěrů a ulehčit tak manažerskému ověření a supervizi. Dokumentace také usnadňuje zabezpečení kvality, vzájemná hodnocení a může poskytnout užitečné vstupní údaje pro jiné auditní mise ve stejné oblasti. Manuál by měl specifikovat obsah pracovních dokumentů, etikety a křížové odkazy a zároveň proces schvalování supervize. Dokumenty auditu mají být uchovávány v souborech, které mají být standardně organizovány, aby bylo usnadněno jejich používání manažery při kontrole pracovních dokumentů auditu, a na straně jakékoliv jiné oprávněné osoby, vyžadující přístup k nim. Tvorba rejstříku k dokumentům by měla být specifikována v manuálu. Je třeba udržovat dvě sady souborů76, a to stálý soubor a aktuální soubor  Stálý soubor – by měl obsahovat všechny informace, které jsou významné k obecnému pochopení útvaru (funkce) a nemění se v jednotlivých letech;  Aktuální soubor – by měl obsahovat jen informace vyžadované pro zdokumentování zjištění / výsledků a jako podpory závěrů konkrétního auditu. 3.2.4.2. Provádění programu auditu Při práci v terénu interní auditoři provádějí kroky, které byly odsouhlaseny a schváleny v rámci programu auditu. 3.2.4.2.1. Přístupy k provádění auditu Měl by být popsán přístup k auditům systému.

75

Též významná.

76

Též složek.


Stránka 25


3.2.4.2.2. Techniky interního auditu Manuál by měl obsahovat popis různých technik interního auditu, včetně jejich silných a slabých stránek. Tyto techniky mohou mimo jiné zahrnovat:           

ověřování 77, přepočítávání, pozorování78, interview79, dotazníky80, kontrolní seznamy81, výběr vzorku82, testování kontrol83, podstatná testování84, analytické postupy85, testování průběhu transakce86.

Podrobnější popis a přístup by měl být uveden v přílohách. 3.2.4.2.3. Hodnocení vnitřních kontrol Manuál by měl obsahovat návod, jak hodnotit přiměřenost a účinnost kontrol. Tento návod by měl zahrnovat manuální kontroly 87 , obecné kontroly IT, a specifické kontroly aplikací. Podrobné pokyny o tom, jak dosáhnout tohoto cíle, může být popsán v přílohách. 3.2.4.2.4. Důkazní informace88 auditu Tato uživatelská příručka obsahuje pokyny o tom, jak získat nejlepší dostupné důkazní informace88. V manuálu mohou být vysvětleny různé druhy důkazních informací. Verifikace (z latinského verum facere, činit pravdivým) je ověřování, kontrola konfrontací s fakty nebo ověřování platnosti úsudku formální analýzou. 77

78

Též sledování.

79

Též pohovor.

80

Též anketa.

81

Též checklist.

82

Sampling (česky vzorkování).

Výraz „Test“ znamená provedení auditorských procedur (pro některé nebo všechny položky), např. „testy spolehlivosti“ (anglicky „Tests of control“) se provádějí pro získání auditorských důkazních informací o provozní efektivnosti kontrol při zabránění nebo zjištění a opravení významných nesprávností na úrovni tvrzení. 83

84

Výrazem „Testy věcné správnosti“ (anglicky Substantive procedures“) se rozumí auditorské postupy prováděné k zjištění významných nesprávností na úrovni tvrzení (a) detailní testy druhů účetních operací, zůstatků účtů, a vykázání (b) substantivní analytické postupy. Analytické testy věcné správnosti spočívají v porovnání zaúčtovaných částek s hodnotami očekávanými auditorem. Jejich cílem je ověřit, zda zaúčtované částky nejsou významně nesprávné. Tyto testy je třeba odlišovat od předběžných analytických postupů, které jsou obvykle zaměřeny na souhrnné účetní zůstatky a vztahy mezi nimi, a které spočívají v analýze trendu a analýze poměrových ukazatelů. 85

Výraz „test průběhu transakce“ (anglicky Walk-trough test) zahrnuje sledování průběhu zpracování několika operací systémem finančního výkaznictví. 86

87

Opakem jsou automatizované kontroly.

88

Též auditní důkaz, anebo důkaz.


Stránka 26


Všechny shromážděné důkazní informace auditu musí být součástí spisu auditora. 3.2.4.2.5. Dohled89 nad auditem Dohled se vztahuje na interní audity a různé administrativní a tréninkové aspekty90. VIA musí určit, kdo a na jaké úrovni by měl provádět supervizi nad auditem, přičemž by tyto záležitosti měly obsaženy v manuálu. Nejzkušenější interní auditor v týmu (organizaci) je obvykle zodpovědný za vykonávání supervize. Dohled, vztahující se k auditním zakázkám, musí být vyznačen v pracovní dokumentaci auditu. Zvláštní pokyny by měly být poskytnuty, pokud jde o supervizi nad malými útvary interního auditu nebo nad audity prováděnými jednou osobou. 3.2.4.2.6. Seznam zjištěných skutečností91 Při práci v terénu jsou zjištění auditu často sdílena auditovaným subjektem kvůli ověření a / nebo diskusi. To umožňuje, aby byl auditovaný subjekt informován o zjištěních interních auditorů " a dává tomuto auditovanému subjektu možnost přijmout a provést nápravná opatření dříve, než audit skončí. Seznam zjištěných skutečností je možné použít, jakmile bude možné sdílet s auditovaným subjektem tyto skutečnosti ještě v průběhu auditu (před závěrečným jednání a zprávě z auditu).Seznam zjištěných skutečností by měl obsahovat:  Kritéria – co auditor očekával, že najde podle standardů a kritérií útvaru?  Stav – co auditor sledovat v průběhu své práce?  Příčina – co je pravděpodobným důvodem odchylky mezi kritérii a podmínkami? To je výsledkem auditorského výzkumu.  Účinek – jaké budou důsledky, pokud situace bude nadále existovat? To je podstatný dopad, jak ho vidí auditor? 3.2.4.2.7. Závěrečné setkání92 V závěrečné fázi práce auditora v terénu se uskuteční závěrečné setkání s auditovaným subjektem, ve kterém se s ním auditor podělí o svá zjištění, resp. o jejich shrnutí a sdělí mu svá doporučení pro řešení problémů. Závěrečné setkání je poslední příležitostí pro auditory, jak ověřit přesnost při identifikaci podmínek nebo při interpretaci kritérií. Manuál by měla zmínit, že:  Zjištění, která jsou probírána na závěrečném setkání, by neměla být nikdy pro auditovaný subjekt překvapením. Měla by být projednána již v průběhu auditu prostřednictvím Seznamů zjištěných skutečností nebo při průběžných jednání).

89

Též supervize.

90

Též aspekty odborné přípravy.

91

Též zjištění či nálezy.

92

Též závěrečná schůzka.


Stránka 27


 Závěrečné setkání by mělo být perfektní přípravou na závěrečnou zprávu z auditu pro auditovaný subjekt.  Na závěrečném setkání by mělo být dosaženo dohody o tom, jak vyřešit zjištěné problémy. 

Pro účely závěrečného setkání je možné použít standardizovanou prezentaci.

 Výtisky zápisu ze závěrečného jednání by měly být rozděleny mezi účastníky. 3.2.5. Podávání zpráv o zakázce interního auditu Je důležité mít jasný postup93 podávání zpráv. 3.2.5.1. Průběžná zpráva Naléhavé problémy, zjištěné během auditu, mohou vyžadovat průběžnou zprávu z důvodu vysoké úrovni rizika. Také audity dlouhého trvání, nebo s velkým počtem dílčích úkolů mohou být důvodem pro jejich formalizaci v průběžné zprávě. Auditoři mohou použít v rámci svého uvážení a určení takové potřeby vypracování průběžné zprávy. Manuál by měl upravit mít jasné pokyny, týkající se průběžné zprávy, včetně:  Formát zprávy – průběžná zpráva může být v písemné formě, ale její naléhavost může být důvodem pro počáteční ústní podání zprávy osobně nebo po telefonu, ještě před potvrzením v písemné zprávě.  Dokumentace – interní auditor musí zdokumentovat a doložit podání ústní zprávy.  Povinnost – průběžná zpráva neznamená, že zde neexistuje dále povinnost vydat závěrečnou zprávu na konci auditu.  Postup – průběžná zpráva, protože je urgentní, se nemusí nutně řídit standardním, procesem, kde je usilováno o dohodu s auditovaným subjektem, tzn., že může předána vrcholovému vedení. Standardní forma průběžných zpráv může být vyvinuta a zahrnuta v příloze k manuálu. 3.2.5.2. Návrh zprávy Auditor vydá návrh zprávy, aby si vyžádal připomínky a návrhy od auditovaného subjektu. Správné znění hraje klíčovou roli v přístupu auditovaného subjektu k tomu, zda přijmout nebo odmítnout částí zprávy, protože auditovaný subjekt musí být schopen i nadále zkoumat co je "dobré" v organizaci. Manuál může zahrnovat některé příklady vhodného a nevhodného znění94 v přílohách. Dobré a účinné závěrečné setkání může způsobit, že návrh zprávy bude přijatelnější. Identifikovat nejvhodnější osoby a přizvat je k závěrečnému setkání, je proto nezbytné. Manuál by měl nabízet jasné pokyny ohledně procesu přípravy a vydání návrhu zprávy. Oblasti, které je třeba zahrnout, jsou:  Formát – návrh zprávy by měl mít dohodnutý formát.  Načasování zprávy – proces "jednání" mezi návrhem a závěrečnou zprávou často prodlouží celkovou dobu auditu. Proto, pokud není stanovena lhůta v zákoně, může být 93

Přehled o jednotlivých krocích v procesu.

94

Též výrazů.


Stránka 28


vhodné s vrcholovým vedením maximální lhůtu projednat o maximálním časovém limitu pro reakci na předložený návrh zprávy. Tento časový limit by měl být zahrnut do manuálu a do procesu podávání zpráv.  Zvládání sporů95 – pokud auditovaný subjekt nesouhlasí s částmi zprávy, měly by být jasně stanoveny postupy, jak se vypořádat se spory:  pokud má auditovaný subjekt pravdu, auditor musí zprávu aktualizovat.  protože ani vrcholové vedení organizace a ani výbor pro audit neradi fungují jako rozhodčí, pokud auditovaný subjekt nesouhlasí s některým zjištěním, auditor by se měl pokusit auditovaný subjekt přesvědčit. Pokud spor pokračuje dále, auditor by měl dodat komentáře auditovanému subjektu do zprávy z auditu a vysvětlit ve zprávě z auditu, proč spor trvá.  pokud jsou komentáře pro auditovaný subjekt irelevantní96, auditor musí poskytnout odpověď nebo vysvětlení, i když to může rozrušit97 auditovaný subjekt, když obdrží závěrečnou zprávu. 3.2.5.3. Závěrečná zpráva Čtenářům zprávy by mělo být jasné, že zjištění, jak jsou ve zprávě rozpoznána, resp. popsána, jsou skutečné problémy, kterými by se měli zabývat. Je proto velmi důležité vyjasnit problémy z pohledu čtenářů, tak aby zpráva odrážela problémy, jako reálné obavy managementu spíše než jako problémy auditu. Manuál by měl stanovit, že pokud vrcholovým vedením nebo výborem pro audit vyžadováno zaměřit se pouze na zjištění, že je správnou praxí poskytnout vrcholovému vedení a výboru pro audit vyrovnaný pohled. Např. by měla zpráva zdůrazňovat, zda má organizace proces pod kontrolou. Kromě toho, pokud auditovaný subjekt začal řešit 98 problémy, obsažené v seznamu zjištěných skutečností nebo v průběžné zprávě, mělo by to být ve zprávě také uvedeno. Standardizovaný formát může být použit pro účely závěrečné zprávy a v příloze manuálu může být poskytnut příklad možné stručné struktury zprávy. Mnoho funkcí auditu používá bodovací systém pro zdůraznění významu 99 jejich zjištění. Cílem je poskytnout vrcholovému vedení a výboru pro audit jasný názor na stav kontrolních mechanismů v procesu, který spadal do auditu, a to je zřetelnou výhodou bodování.

95

Též manipulace neshody.

96

Též nevýznamné.

97

Též naštvat.

98

Též napravovat.

99

Též důležitosti.


Stránka 29


Nicméně, existují rizika související s bodováním, jako např.: (1) auditované subjekty se soustředí více na body než na obsah, když se o návrhu zprávy jedná; nebo (2) auditoři mají tendenci udělovat „střední“ nebo "neutrální" skóre, aby minimalizovali „osobní“ riziko. Pokud vrcholové vedení vyžaduje bodovací systém, je lepší mít systém bodování rizik se čtyřmi úrovněmi: nízké, střední, vysoké a významné. Body by měly sdělovat managementu odpověď na otázku: "máme vše pod kontrolou?" Manuál by měl popisovat následující parametry100 auditní zprávy:  Adresáti – manuál interního auditu musí popisovat, komu má být adresována závěrečná zpráva z auditu. V rámci organizace by se měly respektovat existující pravidla chování a je velmi důležité, aby příjemci měli pravomoc a zodpovědnost řešit problémy. VIA rozhodne s konečnou platností o adresátech závěrečné zprávy.  Shrnutí – je doporučeno zahrnout do závěrečné zprávy z auditu, protože zprávu bude číst mnoho osob s různými potřebami a cíli. Některé osoby zajímá celkový obraz (vrchové vedení a výbor pro audit), zatímco ostatní osoby zajímají detaily (provozní management – auditovaný subjekt). Manuál by měl vysvětlit, co by mělo být zahrnuto do shrnutí, a v přílohách může být uveden detailní příklad.  Doporučení – závěrečná zpráva z auditu musí obsahovat doporučení. Kromě zvýraznění problémových oblastí by měli auditoři navrhnout způsoby, jak je možné problémy vyřešit či zlepšit. Doporučení by neměla být akademické povahy, ale pragmatická a proveditelná. Doporučení auditorů jsou rady pro management, tedy nejde o rozkazy.  Akční plán – doporučuje se dohodnout s auditovaným subjektem na činnostech, které mají být provedeny. Je běžnou praxí připojit akční plán s cílovými daty, dohodnutými s auditovaným subjektem do zprávy z auditu. Příklad akčního plánu může být uveden v přílohách manuálu. 3.2.5.4. Podávání zpráv úředním činitelům v případě nesprávností (podvod) V některých zemích je od interního auditu vyžadováno podávat zprávy o zjištěných podvodech kompetentním úředním činitelům. Manuál by měl popisovat postupy pro podávání takových zpráv včetně toho, jak vyhledat právní poradu, pokud to bude nutné. 3.2.5.5. Následné činnosti na základě doporučení ve zprávě z auditu Manuál by měl popisovat požadavky na funkci interního auditu zavést systém sledování stavu plnění následných činností při zavádění doporučení interního auditu. Účelem tohoto systému je sledovat, zda se provozní management vyvinul příslušnou snahu k vyřešení problémů, identifikovaných v průběhu auditu. Interní audit bude možná potřebovat provést následný audit v závislosti na kritické povaze zjištěných problémů, aby bylo zajištěno jejich řešení, jejichž zavedení organizuje vrcholové vedení. V přílohách manuálu může být uveden detailní příklad následného mechanismu.

100

Též funkce.


Stránka 30


3.2.5.6. Zprávy o činnosti Služba interního auditu musí pravidelně, minimálně jednou ročně, prezentovat vrcholovému vedení, výboru pro audit a CHJ zprávu o činnosti. Účelem zprávy o činnosti interního auditu je porovnat skutečně provedenou auditorskou práci s plánovanou prací (plánování auditu). Mnoho zpráv o činnosti interního auditu také shrnuje hlavní překážky a zjištění (poznatky), zjištěné v uplynulém období. Zprávy vyžádané CHJ by měly být vypracovány v souladu s pokyny CHJ. 3.2.5.7. Výroční stanovisko interního auditu101 Zprávy o činnosti Mnoho funkcí interního auditu je nyní povinno vydávat výroční stanovisko interního auditu k ročnímu Prohlášení vrcholového vedení o věrohodnosti. Tento požadavek je pro mnoho funkcí interního auditu výzvou, protože audity z minulého roku pokrývají pouze část celkového audit universe, jak je popsáno v ročním plánu auditů. Interní audit potřebuje vytvořit informativní přístupy k tomu, jak reagovat na tento požadavek od vrcholového vedení a výboru pro audit, i když čelí např. omezení zdrojům. 3.2.6. Uchovávání záznamů Manuál pro interní audit by měl specifikovat na jak dlouho a v jakém formátu dokumentace interního auditu má být uchovávána. Pokud to není upraveno zákonem, je třeba usilovat o vnitřní úpravu.

4. KONTROLA KVALITY 4.1. Program sledování kvality Mnoho zainteresovaných osob, přímo či nepřímo, spoléhá na práci interního auditu. Podle mezinárodně uznávaných standardů pro interní audit a dobré profesní praxe by měl mít interní audit program zajištění kvality. Tento program by se měl skládat z:  Průběžné sledování102  Interní hodnocení kvality  Externí hodnocení kvality Manuál interního auditu by měl stručně popisovat používaní opatření k zajištění kvality. VIA by měl vrcholovému vedení, výboru pro audit a CHJ podávat zprávy o výsledcích programu sledování kvality. Tyto zprávy by měly být předkládány minimálně jednou ročně jako součást výročního vykazování činnosti interního auditu.

4.2. Průzkum u auditovaného subjektu Je dobrou praxí provést malý průzkum auditovaného subjektu na konci každého auditu. To je jedna z metod, avšak ne vždy ta nejobjektivnější, jak získat zpětnou vazbu od auditovaného subjektu o účinnosti a užitečnosti auditu. Průzkum u auditovaného subjektu je obvykle standardní formulář, který je možné přidat do příloh manuálu. Navíc se může VIA osobně setkat se představitelem auditovaného subjektu a probrat jakékoli specifické problémy s kvalitou.

101

Vrcholové vedení vydá na základě seznámení se s výročním stanoviskem interního auditu prohlášení o věrohodnosti.

102

Též monitorování.


Stránka 31


4.3. Průběžný dohled103 Dohled je nedílnou součástí programu kvality v rámci funkce interního auditu. Souvisí s průběžným monitorováním a koučováním auditorů. Mnohým pravidlům je možné naučit se předem. ale pro většinu interních auditorů probíhá skutečné školení až za chodu. V manuálu interního auditu mohou být zahrnuty konkrétní pokyny pro nadřízené, kteří mohou potřebovat specifický výcvik. Dohled se týká zakázek interního auditu, stejně jako různých administrativních a vzdělávacích aspektů. Dohled, související se zakázkami auditů, by měl být sledovatelný v pracovních dokumentech auditu. Probíhající dohled musí být považován za vlastní soubor kontrol v rámci interního auditu, který poskytuje náhled do provedené práce a kvality procesů. Měl by být začleněn do popisů pracovních míst104 a do pracovních postupů útvaru interního auditu. Zvláštní pozornost by v manuálu měla být věnována různým způsobům řešení, jak se vypořádat s konceptem105 dohledu v případě malých, nebo dokonce jednočlenných funkcí interního auditu.

4.4. Klíčové ukazatele výkonu106 Zkušenější funkce interního auditu vytvoří vlastní vyvážené výkonnostní metriky nebo klíčové ukazatele jako dobrý způsob, jak stanovit cíle a měřit vlastní výkon výkonu této funkce. Tyto ukazatele by měly být smysluplné pro zainteresované osoby služeb interního auditu. Specifické klíčové ukazatele výkonu mohou být vytvořeny s ohledem na:     

výbor pro audit a výkonný management – splnění očekávání, klienty auditu – auditované subjekty, procesy auditu – plánování a realizace zakázek, inovace a způsobilost – IT, školení, certifikace, ostatní zainteresované osoby – řízení rizik, compliance107.

4.5. Interní hodnocení kvality Interní hodnocení kvality by mělo být prováděno minimálně každé dva roky pod vedením VIA. Tento proces umožňuje pracovníkům služby interního auditu zkoumat procesy, a to konkrétně:  byl statut aktualizován, aby odrážel současné podmínky?  slouží komplexní zhodnocení jako základ pro plánování a provádění,  jsou potřeby zainteresovaných osob uspokojeny včas? Proces interního hodnocení kvality musí být popsán v manuálu. Jako součást interního hodnocení kvality může být přidán průzkum zainteresované osoby, aby byly získány informace o očekáváních, týkajících se kvality služeb interního auditu, a aby bylo zajištěno, že jsou očekávání splněna.

103

Též monitorování.

104

Též pracovních pozic.

105

Téže s koncepcí.

106

Též výkonnosti.

107

Též soulad nebo shoda.


Stránka 32


Výsledky interního hodnocení kvality by měly být předány a měl by být zaveden proces následných činností na základě případných doporučení.

4.6. Externí hodnocení kvality IIA důrazně doporučuje, aby VIA podrobili své útvary interního auditu nezávislému ověření108. Standard IIA 1312, vydaný v roce 2002, uvádí, že "... každý útvar interního auditu musí mít externí hodnocení kvality nejméně jednou za pět let prostřednictvím kvalifikovaného nezávislé hodnotitele nebo hodnotícího týmu, kteří nejsou zaměstnanci organizace.". Za určitých okolností, jako je například rychlá fluktuace zaměstnanců nebo změny ve vedení interního auditu, může být vyžadováno častější hodnocení. Jako součást externího hodnocení kvality může být také zváženo provedení průzkumu zainteresované osoby, aby byly získány informace o vnímáních týkajících se kvality služeb interního auditu a aby bylo zjištěno, zda jsou plněna očekávání. Externí hodnocení kvality může mít podobu:    

plnohodnotné externí ověření109, což může být nákladné interní hodnocení s externí validací110, vzájemné hodnocení dvěma VIA různých organizací, podpořených někým z CHJ, ověření prostřednictvím CHJ - CHJ každoročně sleduje některé aspekty provádění auditu. Toto ověření nenahrazuje nezávislé externí hodnocení, nebo  ověření prostřednictvím SAI 111 – SAI každoročně ověřuje některé aspekty práce interního auditu. Toto ověření nenahrazuje nezávislé externí hodnocení kvality. Výsledky externího hodnocení kvality by měly být předány a měl by být zaveden proces následných činností na základě jakýchkoli doporučení.

5. PODPORA112 INTERNÍHO AUDITU A ŘÍZENÍ ZNALOSTÍ 5.1. Podpora112 interního auditu Podpora či propagace funkce interního auditu probíhá v průběhu tohoto mandátu. Pro dosažení tohoto účelu by mohlo být užitečné vytvoření prezentací nebo brožury (letáku). Navíc je tam, kde je to možné, doporučeno použití nástrojů internetu a intranetu.

5.2. Řízení znalostí 5.2.1. Organizace složek Interní auditoři shromažďují celou řadu cenných informací prostřednictvím své sítě, na seminářích či na konferencích, nebo z internetu. Funkce interního auditu by měla hledat vhodný a strukturovaný způsob skladování113 a sdílení těchto informací.

108

Též přezkoumání.

109

Též kontroly.

110

Též ověřením.

111

Zkratka SAI pro Supreme Audit Institution, v české republice Nejvyšší kontrolní úřad (NKÚ).

112

Též propagace.

113

Též uchovávání nebo archivace.


Stránka 33


5.2.2. Bencharking114 Pro funkci interního auditu je dobrou praxí shromažďovat relevantní srovnávací údaje. Takovým příkladem je Celosvětová síť informací o auditu IIA (GAIN115) 5.2.3. Slovníček pojmů Interní auditoři používají mnoho technických termínů a žargon. Je užitečné přiložit k manuálu slovníček pojmů, aby bylo usnadněno souvislé používání a aplikace těchto slov na pravidelné bázi. 5.2.4. Řízení veřejných výdajů – síť pro podporu výměny zkušeností v oblasti řízení veřejných financí (SPVZ – ŘVF116) Účast v sítích, jako je např. PEM-PAL, má zjevné výhody pro všechny funkce interního auditu. V manuálu může být zdůrazněn odkaz na tyto sítě a odkaz na jejich sdílené dokumenty. 5.2.5. Institut interních auditorů IIA je celosvětová profesní organizace pro interní auditory, a většina zemí má místní pobočky IIA117. Účast na místní pobočky mohou být podpořeny organizace, protože z dostupných sítí příležitostí. Navíc, internetové stránky IIA nabízí nepřeberné množství cenných informací. 5.2.6. Institut interních auditorů Členství v různých profesních organizacích (poskytněte seznam organizací) může být podporováno nebo vyžadováno. Nejlepší je pravidla zahrnout do manuálu.

114

Též referenční srovnávání.

115

Zkratka GAIN pro Global Audt Information Network, česky Globální informační síť auditu (GISA).

Zkratka SPVZ – ŘVF pro Síť pro podporu výměny zkušeností v oblasti řízení veřejných financí, anglicky Public Expenditure Management Peer Assisted Learning.(PEM – PAL) 116

117

Většinou na základě interinstitucionální dohody.


Stránka 34


Příloha 1 Struktura strategického plánu auditu  Úvod  základní linie  právní rámec  Mise118 a cíle interního auditu  Základ pro vypracování strategického plánu auditu  Seznam auditovatelných procesů s časovým / frekvenčním119 rozvrhem120 

Organizace a rozvoj funkce interního auditu    



stávající struktura a organizace činnosti interního auditu plán rozvoje interního auditu alokace zdrojů interního auditu ostatní plánované činnosti pro funkci interního auditu

Podávání zpráv121

 výroční zpráva o interním auditu  periodické podávání zpráv o interním auditu V části „podávání zpráv“ by měl být uveden seznam všech povinných zpráv122 o interním auditu.

Též poslání (výraz pocházející z latinského slova missio znamenajícího „poslat“, je poslání, úkol, sbor osob vyslaný za nějakým účelem nebo pověřený určitým posláním, např. výkonem auditu. 118

119

Frekvence je fyzikální veličina, která udává počet opakování periodického děje za daný časový úsek.

120

Též harmonogram.

121Též 122

výkaznictví.

Též výkazů.


Stránka 35


Příloha 2 Struktura ročního plánu auditu  Úvod  základní linie  právní rámec  Úloha a účel interního auditu  Plánování a schválení ročního plánu interního auditu  Seznam vybraných auditů  seznam procesů / útvarů, u kterých má být proveden audit  cíle auditu, rozsah a alokace zdrojů pro každou plánovanou auditní misi 

Rozpočet vztahující se k plánu interního auditu



Vnitřní činnosti související s audity  trénink a další profesní rozvoj  účast na zasedání výboru pro audit  výcviková témata související s interním auditem



Činnosti (nepovinné) související s interním auditem  organizační struktura123 interního auditu  organizování práce124 interního auditu



Podávání zpráv  výroční zpráva o interním auditu  periodické podávání zpráv o interním auditu

123

Též uspořádání.

124

Též činností.


Stránka 36


Příloha 3 Struktura závěrečné zprávy o interním auditu Struktura zprávy se může skládat z těchto částí (položky, které je možné zahrnout do každé části, by měly být vysvětleny):

   

Shrnutí Úvod Zaměření125 auditu (cíle auditu, typ auditu) Zjištění auditu, rizika, dopad a doporučení (pro každý typ rizika by měly být odděleny v případě potřeby126)  Závěr (jeden závěr / názor na celou auditní zakázku)  odezva managementu Přílohy (akční plán pro realizaci doporučení, v případě potřeby) Ostatní možné přílohy           

Vývojový diagram procesu provádění auditu Příklad auditní zakázky127 Podrobný popis technik auditu Pokyny128 pro hodnocení kontrol Příklad seznamu zjištění skutečností Příklad vhodných formulací ve zprávách Příklad shrnutí Příklad následného129 systému doporučení Příklad průzkumu u auditovaného subjektu Příklad systémového / procesního diagramu Příklad metodiky hodnocení rizika

125

Též koncepce auditu (mise).

126

Též pokud je požadováno.

127

Též objednávky auditu.

128

Též návod.

129

Též navazujícího.


Stránka 37



Stránka 38

ODBORNÁ SKUPINA INTERNÍHO AUDITU Pracovní překlad pro vnitřní potřebu veřejné správy

Recommend Documents