ODBORNÁ SKUPINA INTERNÍHO AUDITU Pracovní překlad pro vnitřní potřebu veřejné správy DOBRÁ PRAXE VYHODNOCENÍ RIZIK PŘI PLÁNOVÁNÍ AUDITU

ODBORNÁ SKUPINA INTERNÍHO AUDITU – Pracovní překlad pro vnitřní potřebu veřejné správy

Odborná skupina interního auditu

DOBRÁ PRAXE VYHODNOCENÍ RIZIK PŘI PLÁNOVÁNÍ AUDITU Evropa a Střední Asie

Květen 2015

VYHODNOCENÍ RIZIK PŘI PLÁNOVÁNÍ AUDITU

Podpora výměny zkušeností

Řízení veřejných výdajů

Stránka 1


DOBRÁ PRAXE VYHODNOCENÍ RIZIK PŘI PLÁNOVÁNÍ AUDITU Manuál pro auditory: jak nejlépe vyhodnotit rizika při plánování auditorské práce

Evropa a Střední Asie

Podpora

Řízení veřejných financí

výměny zkušeností

Duben 2015 VYHODNOCENÍ RIZIK PŘI PLÁNOVÁNÍ AUDITU

Stránka 2


Obsah Obsah …………………………………………………………………………………………………………………. 3 Úvod …………………………………………………………………………………………………………………… 4 Výchozí stav a účel manuálu ……………………………………………………………………………….. 4 Proč je plánování založené na rizicích důležité pro útvar interního auditu …………………………… 4 Jak používat manuál ………………………………………………………………………………………... 5 Kapitola 1 Chápání plánování založeného na rizicích …………………………………………………………. 6 Co jsou rizika ? ……………………………………………………………………………………………… 6 Chápání rozdílů mezi řízením rizika a vyhodnocením rizik plánování auditu ……………………….. 6 Koncepční rámec pro plánování auditu založené na rizicích ………………………………………….. 7 Zohledňování procesů řízení rizik subjektu ……………………………………………………………… 8 Kroky vyžadované k implementaci plánování založeného na rizicích …………………………………. 9 Kapitola 2 Roztřídění audit universe na kategorie pro plánování založené na rizicích …………………….. 11 Co je „audit universe“, ………………………………………………………………………………………. 11 Sloní přístup – krájení audit universe na malé kousky ………………………………………………….. 11 Požádejte o názor výše postavené manažery ……………………………………………………………. 13 Kapitola 3 Identifikace rizik a vyhodnocení jejich dopadu a pravděpodobnosti ………………………………. 14 Identifikace událostí, které mohou vést ke vzniku rizik a příležitostí napříč audit universe …………. 14 Identifikace rizik ……………………………………………………………………………………………… 15 Vyhodnocení rizik z hlediska dopadu a pravděpodobnosti ……………………………………………… 16 Kritéria pro vyhodnocení dopadu …………………………………………………………………………… 17 Bodové hodnocení rizik z hlediska dopadu a pravděpodobnosti ……………………………………….. 17 Kombinace kritérií vyhodnocení do rizikové matice ……………………………………………………… 17 Kapitola 4 Vytváření strategických a ročních plánů založených na rizicích …………………………………… 19 Identifikace rizikových faktorů ……………………………………………………………………………… 19 Vytvořte kritéria k vyhodnocení důležitosti každého rizikového faktoru ……………………………… . 21 Zvažte přidání váhy ke každému rizikovému faktoru pro vytvoření rizikového indexu ……………….. 21 Kapitola 5 Psaní a aktualizace strategických a ročních plánů …………………………………………………. 23 Strategický plán ……………………………………………………………………………………………….. 23 Roční plán auditu ……………………………………………………………………………………………… 23 Aktualizace plánů – pravidelné monitorování rizik ………………………………………………………… 24 Roční přezkoumání strategického plánu ……………………………………………………………………24 Vyřizování dodatečných požadavků na audity během roku ……………………………………………… 25 Příloha A Příklad kritérií vyhodnocení rizik pro dopad …………………………………………………… 26 Příloha B Příklad bodového hodnocení rizikových faktorů ……………………………………………… 28


Stránka 3


ÚVOD Výchozí stav a účel manuálu 01 Předloha manuálu, týkajícího se dobré praxe v oboru interní audit, vypracovaná společností Internal Audit Community of Practice (IA COP) PEMPAL zdůrazňuje významnost a účinek, který má efektivní strategie auditu a plán auditu na dosažení cílů, plánů a úkolů útvaru interního auditu. Plánování zabezpečuje systematický přístup k práci interního auditu a vyžaduje znalosti, pokrývající široké spektrum otázek ve veřejné správě, včetně vyhodnocení rizik a vnitřní kontroly. 02 Tato předloha slouží k vypracování manuálů, které by: a) pomáhaly útvarům interního auditu vytvářet efektivní strategické a roční plány založené na rizicích, b) poskytly metodiku, týkající se plánování a vyhodnocení rizik, kterou by centrální harmonizační jednotky – které jsou odpovědné za poradenství v oblasti rozvoje interního auditu – mohly ve svých státech využít jako soubor zásad pro výše uvedené účely. 03 Vyvíjené manuály, vyvíjené shodě se souborem zásad podle odst. 02 písm. b), by měly být zcela konzistentní se Standardy IIA1, které se týkají plánování práce interního auditu, a to zvláště: a) Standard 2010 – Plánování (IIA), který vyžaduje: b) „Na základě vyhodnoceni rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu.”. c) Standard 2010. A1 (IIA), který vyžaduje: „Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik, které je prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a orgánů společnosti.”. d) Standard 2020 – Komunikace a schvalování (IIA), který vyžaduje: „ Vedoucí útvaru interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí interního auditu musí též informovat o dopadech vzniklých v důsledku omezení zdrojů. 04 Standardy, uvedené v odstavci 02 vyžadují, aby vedoucí útvaru interního auditu2 vytvořil plán

založený na rizicích. Vedoucí útvaru interního auditu by měl vzít v úvahu rámec řízení rizik organizace, včetně úrovní rizik, které je organizace ochotna akceptovat3, a které management stanovil pro různé činnosti nebo části organizace. Pokud rámec řízení rizik neexistuje, vedoucí útvaru interního auditu použije svůj vlastní úsudek ohledně rizik po zvážení informací od vyššího managementu a představenstva. Vedoucí útvaru interního auditu musí přezkoumat a uzpůsobit plán tak, jak je nutné, a to v reakci na změny obchodní činnosti, rizik, provozu, programů, systémů a kontrol organizace.

Proč je plánování založené na rizicích důležité pro útvar interního auditu 05 Hlavním problémem, před kterým stojí všichni interní auditoři, je to, jak omezené zdroje interního auditu přidělovat co nejefektivněji – jak vybrat auditní subjekty, které se budou zkoumat. To vyžaduje vyhodnocení rizik napříč celým audit universe4. 1

Zkratka IIA pro Mezinárodní Institut interních auditorů.

2

Nebo jmenovaná osoba vystupující v této funkci

3

Risk appetite, česky chuť riskovat.

4

Rozuměj „všechny problémy, které by mohl auditor zkoumat“.


Stránka 4


06 Cílem plánování založeného na rizicích je zajistit, aby auditor zkoumal subjekty, spojené s nejvyšším rizikem pro dosažení cílů organizace. 07 Strategické a roční auditní plány musí být vypracovány na základě výsledků identifikace a zhodnocení potencionálních rizik pro auditorská témata, které vyplývají ze stanovených priorit interního auditu5. Celá skupina potenciálních témat, kterou lze rozdělit mnoha způsoby do různých kategorií, se nazývá audit universe6. Pro každý element7 audit universe musí být vyhodnocena rizika nebo příležitosti a musí se učinit rozhodnutí o rizikových faktorech, které mohou ovlivnit prioritu, přidělenou každému elementu audit universe (cíle auditu). 08 Strategické a roční plány jsou významné dokumenty, obvykle předkládané vrcholovému managementu. Strategie a) poskytuje příležitost prezentovat práci interního auditora a výhody, které vyplynou z auditorské funkce, b) vysvětluje, co může interní audit udělat pro management, c) musí být jasně strukturovaná a dobře napsaná, přičemž by měla by managementu poskytnout přesvědčivé shrnutí logiky podporující úsudky učiněné na základě priority přidělené určitým tématům. Strukturovaný přístup k plánování založenému na rizicích je důležitým krokem směrem k uskutečňování efektivní strategie auditu.

Jak používat manuál 09 Manuál se skládá z pěti kapitol: a) Kapitola 1 „Pochopení plánování založeného na rizicích“ uvádí základní charakteristiky plánování, založeného na rizicích a koncepční rámec použitý v předloze. b) Kapitola 2 „Roztřídění audit universe na kategorie pro plánování založené na rizicích“ vysvětluje, jak roztřídit audit universe na kategorie pro plánování založené na rizicích. c) Kapitola 3 „Identifikace rizik a vyhodnocení jejich pravděpodobnosti a dopadu“ popisuje, jak identifikovat a vyhodnotit rizika z hlediska jejich pravděpodobnosti a dopadu na cíle organizace. d) Kapitola 4 „Vypracování strategických a ročních plánů založených na rizicích” uvádí, jak používat rizikové faktory a hodnotící kritéria k identifikaci auditních objektů pro zahrnutí do strategických a ročních plánů auditu. e) Kapitola 5 „Vypracování a aktualizace strategických a ročních plánů“ uvádí, jak vypracovat strategické a roční plány a jak je udržovat aktuální. 10 Manuál obsahuje obecně použitelné rady, ale také zahrnuje:

a) Příklady vzniklé z generického výzkumu o praxi interního auditu; b) Příklad praxe napříč zeměmi PEMPAL (v závislosti na výsledcích dotazníku); a c) Řadu všeobecných rad a tipů týkajících se klíčových otázek – jedná se o typ podpory, kterou by zkušený auditor předal svému méně zkušenému kolegovi. 

Všeobecné rady a tipy jsou uvedeny v oranžových políčcích.

5

Priority vyplývají zpravidla ze střednědobého plánování interního auditu.

6

Viz kapitola 3, výraz „audit universe“ lze přeložit jako „auditní prostor“.

Element (z lat. elementum, prvek, písmeno) znamená něco jednoduchého, prvotního, z čeho se složitější věci skládají nebo se z nich dají odvodit (např. elementy dráhy). 7


Stránka 5


KAPITOLA 1 – CHÁPÁNÍ PLÁNOVÁNÍ ZALOŽENÉHO NA RIZICÍCH Co jsou rizika? 11 Klíčové definice, týkající se rizik jsou: a) Událost je mimořádná událost nebo příhoda ze zdrojů uvnitř či vně subjektu, která může ovlivnit dosažení cílů. Události mohou mít negativní dopad, pozitivní dopad nebo obojí. Události s negativním dopadem představují rizika, události s pozitivním dopadem představují příležitosti. b) Riziko je možnost, že událost nastane a negativně ovlivní dosažení cíle. c) Příležitost je možnost, že událost nastane a pozitivně ovlivní dosažení cílů. d) Klíčová rizika jsou ta rizika, která – pokud se správně řídí – povedou k úspěchu organizace při dosahování jejích cílů nebo – pokud se neřídí správně – subjekt své cíle nedosáhne. e) Inherentní riziko8 je úroveň rizika před jakýmikoliv kroky ke snižování rizika, jako je například to, že kontrolní činnosti byly vzaty v úvahu9. f) Residuální riziko10 je úroveň rizika poté, co se vezmou v úvahu kroky ke snižování rizik, jako jsou například kontrolní činnosti. Auditor si dělá největší starosti s úrovní zbytkových rizik.11 g) Risk apetite12 je úroveň rizika v širokém pojetí, kterou je organizace ochotna při sledování svých cílů akceptovat.

f) Rizikové faktory je výraz používaný k popisu generických faktorů, které mohou označovat vyšší úroveň rizik a/nebo prioritu, která se přidělí jednomu elementu auditního světa.

Chápání rozdílu mezi řízením rizik a vyhodnocením rizik plánování auditu 12 Rizika berou v úvahu manažeři i auditoři a jsou definována podobně13.  Řízení rizik je (nebo by mělo být) nedílnou součástí systému vnitřní kontroly14 a je odpovědností managementu. Jde o strukturovaný proces, kde manažeři a) prozkoumávají pravděpodobné budoucí události a rizika a příležitosti, které tyto představují k dosažení svých cílů; a b) stanovují a implementují kroky ke snižování rizik (např. kontrolní činnosti).  Vyhodnocení auditních rizik je součástí plánování a procesu, kdy auditoři zvažují a) jednotlivé události a rizika a příležitosti, které tyto představují k dosažení cílů elementů audit universe; a 8

Za inherentní riziko je běžně označováno takové riziko, které nebere v úvahu již zavedená opatření snižující hrozbu, zranitelnost nebo dopad. 9

Např. inherentní riziko povodní před tím, než se vezmou v úvahu opatření prevence povodní.

Za residuální neboli zbytkové riziko je považováno takové riziko, které zbylo po implementaci opatření, a které již management odpovědný za zvládání rizik nechce dále snižovat. 10

V některých případech bude inherentní a zbytkové riziko totožné. Ovšem oblasti, které jsou dobře kontrolovány, budou mít většinou nižší úroveň zbytkového rizika. 11

12

Chuť riskovat.

Poznámka: auditoři také musí zvažovat “auditní riziko”, což je specifické riziko, které vzniká z důvodu selektivní povahy auditorské práce – možnost, že výsledky auditu nejsou správné. 13

Více informací o spojení mezi řízením rizik a vnitřní kontrolou - viz rady týkající se vnitřní kontroly vypracované Výborem sponzorských organizací Treadwayovy komise (COSO). 14


Stránka 6


b) generické rizikové faktory, které pomáhají stanovovat priority práce v oblastech s nejvyšším rizikem. Účelem vyhodnocení auditních rizik je zajistit řešení zdrojů auditu tak, aby se provedl audit oblastí s nejvyšším rizikem pro organizaci. 

Nikdo nemůže zvažovat rizika, jestliže nejsou jasné cíle. Pokud není jasné, jakého elementu auditního světa se snažíte dosáhnout, nemůžete provést vyhodnocení rizik. Ujistěte se, že rozumíte cílům různých elementů auditního světa před tím, než se pokusíte identifikovat pravděpodobné události, které mají dopad na tyto cíle a příslušná inherentní a zbytková rizika.

13 Auditorské standardy jasně uvádějí, že pokud má management fungující systém řízení rizik, auditoři by ho měli používat jako základ pro uskutečňování svého vlastního vyhodnocení rizik.15 14 I když je řízení rizik logickým procesem, mnoho organizací veřejného sektoru neřeší řízení rizik konzistentním a strukturovaným způsobem a nemají efektivní vnitřní kontrolu. V této situaci musí auditoři provést své vlastní posouzení rizik v rámci organizace. Jinými slovy: auditor musí vyhodnotit rizika pro dosažení cílů organizace, i když management to dělat nemusí. 

Pokud existuje silný proces řízení rizik, lze ho posoudit interním auditem v rámci jeho plánovacího procesu.



I když musí interní audit provést své vlastní vyhodnocení rizik, snaží se získat i informace od managementu o takových věcech, jako je například úroveň rizika, které je organizace ochotna akceptovat.



Interní audit procesů řízení rizik k podpoře lepšího řízení rizik může být pro interního auditora často velmi produktivní audit.

Koncepční rámec pro plánování auditu založené na rizicích 15 Pro vypracování plánu založeného na rizicích musí auditor zvažovat dva aspekty rizik: a) individuální události/rizika a jak tyto mohou mít dopad na dosahování cílů organizace (viz kapitola 3); a b) generické rizikové faktory, které mohou ukazovat vyšší nebo nižší úroveň rizik a které se mohou použít ke stanovení priority, která by měla být přidělena jednomu auditu v rámci audit universe. 16 Pokud má již organizace zavedeny procesy řízení rizik, auditor může prozkoumat registry rizik, aby zjistil, která jednotlivá rizika byla identifikována managementem, a kroky, které se učinily k jejich vyřešení. Pokud proces řízení rizik není zaveden, auditor bude muset identifikovat možné události, které mohou vytvářet rizika, a vyhodnotit je s ohledem na dopad a pravděpodobnost. 17 Základním koncepčním rámcem pro plánování auditu založené na rizicích má tedy pět odlišených fází: a) Stanovení a roztřídění audit universe na kategorie. (viz kapitola 2), b) Identifikace jednotlivých událostí, které mohou vést ke vzniku rizik a příležitostí napříč audit universe. (viz kapitola 3), c) Bodové hodnocení událostí z hlediska pravděpodobnosti a dopadu (přičemž se berou v úvahu kroky managementu ke snižování rizik) k identifikaci úrovně zbytkových rizik. (viz kapitola 3),

15

Srovnej např. standard 2120 – Řízení rizik: „Interní audit musí hodnotit účinnost procesů řízeni rizik a přispívat ke

zdokonalováni těchto procesů.“; standard 2120.C2 – Interní auditoři musí při hodnoceni procesu řízení rizik dané společnosti používat znalosti rizik získané v průběhu poradenských zakázek; standard 2120.C3 – Při poskytováni pomocí vedení při zavádění nebo zlepšování procesů řízení rizik, interní auditoři nesmí přijmout jakoukoli řídicí odpovědnost, která by znamenala skutečně řízení rizik; atd. VYHODNOCENÍ RIZIK PŘI PLÁNOVÁNÍ AUDITU

Stránka 7


d) Vypracování plánů auditu založených na rizicích použitím generických rizikových faktorů a hodnotících kritérií pro každý faktor k určení priority auditu všech auditních objektů v rámci audit universe. (viz kapitola 4), e) Prezentování výsledků plánování založeného na rizicích vypracováním a aktualizací strategických a ročních plánů práce. (viz kapitola 5).

Zohledňování procesů řízení rizik subjektu 18 Proces plánování musí brát v úvahu rozsah, do kterého již management vyhodnotil rizika, a to, jaké běžné elementy tohoto vyhodnocení může auditor použít. Níže uvedená tabulka 1 porovnává běžné elementy řízení rizik s typickým procesem vyhodnocení rizik při plánování auditu16: Fáze řízení rizik

Fáze plánování auditu založeného na rizicích

Cíle by měl management stanovit před provedením vyhodnocení rizik.

1. Identifikace a roztřídění audit universe na kategorie

1. Identifikace událostí, které mohou vést ke vzniku rizik a příležitostí k dosažení cílů.

2. Identifikace událostí, které mohou vést ke vzniku rizik a příležitostí napříč audit universe. Toto je v podstatě stejný proces, ale týká se audit universe.

2. Bodové hodnocení události z hlediska pravděpodobnosti a dopadu k identifikaci úrovně inherentních rizik.

Auditor bude mít velký zájem zjistit, jak management vyhodnotil inherentní rizika, ale hlavní starostí pro účely plánování je zbytkové riziko. Takže toto posouzení musí vzít v úvahu kroky 3 a 4 řízení rizik.

3. Stanovení vhodné reakce na rizika (zda toto riziko akceptovat, vyhnout se mu, převést ho na někoho jiného nebo ho kontrolovat).

Auditoři nejsou odpovědní za zavedení kroků ke snižování rizik, musí zhodnotit účinnost kontrolních činností z hlediska jejich dopadu na zbytková rizika. 3. Bodové hodnocení událostí z hlediska pravděpodobnosti a dopadu (při zohlednění kroků managementu ke snižování rizik) s cílem identifikovat úroveň zbytkových rizik. 4. Vypracování generických rizikových faktorů a kritérií pro každý faktor k identifikaci priority auditu u auditních objektů v rámci audit universe. 5. Vypracování a udržování plánů auditu založených na rizicích (strategický plán a roční plán práce).

19 Z tabulky je jasné, že existuje výrazné překrývání mezi prvními dvěma fázemi řízení rizik a druhou a třetí fází vyhodnocení rizik při plánování auditu. 20 Hlavním rozdílem je to, že manažeři musí vyhodnotit inherentní rizika tak, aby mohli stanovit a zavést kroky ke snižování rizik (včetně kontrol). Auditor však musí vyhodnotit zbytkové riziko (což je riziko, které zůstává poté, co se vezme v úvahu účinnost interních kontrol) ke stanovení oblastí, které mají pro zkoumání vysokou prioritu. 21 Jednoduchý příklad ilustruje vztah mezi kontrolními činnostmi inherentního rizika a zbytkovým rizikem. Pokud přecházíte ulici, existuje téměř nekonečný počet inherentních rizik. Jedním z inherentních rizik s vysokou pravděpodobností a velkým dopadem je to, že vás porazí auto. Takže pro snížení rizika zavedeme kontrolu tím, že se před přejitím silnice podíváme vlevo a vpravo, abychom se přesvědčili, že se neblíží auto. Tím však neodstraníme každé možné riziko a zbytková rizika zůstávají. Například vás ještě může zasáhnout meteorit, protože jste se nepodívali nahoru! 16

Založeném na rizicích.


Stránka 8


22 Důvod pro to je zřejmý. S omezenými zdroji chce auditor soustředit auditorskou práci na oblasti, kde je možnost vzniku rizika pro organizaci nejvyšší. Pokud je inherentní riziko velmi vysoké, ale jsou zavedeny dobré kontroly, pak může být zbytkové riziko nízké, a nestojí tedy za to ho zkoumat. 

Pochopit rozdíl mezi inherentním a zbytkovým rizikem: Inherentní riziko – kontrolní činnosti = zbytkové riziko

Při plánování založeném na rizicích se auditor zaměřuje na identifikaci vysoké úrovně zbytkového rizika. Pokud je organizace nová a/nebo neexistují informace o efektivnosti kontrolních činností, situace je taková: Inherentní riziko = zbytkové riziko

Kroky vyžadované k implementaci plánování založeného na rizicích 23 Níže uvedená tabulka obsahuje klíčové kroky požadované k implementaci koncepčního rámce pro plánování založené na rizicích a to, jak by se tyto kroky lišily pro organizace používající či nepoužívající systémy řízení rizik. Fáze plánování auditu založeného na rizicích 1. Stanovení a roztřídění audit univese na kategorie. (viz kapitola 2)

Používá se řízení rizik

Nepoužívá se řízení rizik

 Identifikovat kategorie pro rozdělení audit universe na samostatné auditovatelné objekty.  Diskutovat a dohodnout se na přístupu k roztřídění na kategorie s managementem.

 Identifikovat a uvést všechny auditní objekty ve svém audit unioverse podle odsouhlasené kategorie.

2. Identifikace událostí, které mohou vést ke vzniku rizik a příležitostí napříč audit universe. (viz kapitola 3)

 Prozkoumat registry rizik k pochopení událostí, které identifikovali manažeři. diskutovat s manažery o jejich názorech na ochotu organizace akceptovat rizika (risk appetite).

 Diskutovat o rizicích a příležitostech

3.

 Přezkoumat způsob, kterým management bodově zhodnotil události, a kroky zavedené k řešení klíčových rizik.

 Bodově zhodnotit události z hlediska pravděpodobnosti a dopadu (vzít v úvahu kroky managementu ke snižování rizik) s cílem identifikovat úroveň zbytkových rizik.

Bodové hodnocení událostí z hlediska pravděpodobnost i a dopadu (při zohlednění kroků managementu ke snižování rizik) k cílem identifikovat úroveň zbytkových rizik.

 Zvážit úplnost identifikovaných událostí a

 Zvážit účinnost kroků ke snižování rizik z hlediska jejich dopadu na zbytková rizika.  Identifikovat vysokou úroveň zbytkových rizik, které se musejí zapracovat do strategických a ročních plánů práce.

 Identifikovat události, které mohou vést ke vzniku rizik a příležitostí napříč audit universe. s manažery s cílem získat jejich názor na úplnost a diskutovat s manažery o jejich názorech na ochotu organizace akceptovat rizika (risk appetite).

 Diskutovat o přístupu s manažery a získat souhlas se způsobem, kterým jsou rizika bodově hodnocena.

(viz kapitola 3)


Stránka 9


4. Vypracování generických rizikových faktorů a kritérií pro každý faktor k identifikaci priority auditu u auditních objektů v rámci audit universe.

 Vytvořit první seznam rizikových faktorů.  Stanovit kritéria pro bodové hodnocení každého rizikového faktoru.  Rozhodnout se, zda přidat váhu každému rizikovému faktoru.  Diskutovat s managementem o přístupu a vyžádat si jeho názory na důležitost vybraných rizikových faktorů, kritérií, která se mají použít při bodovém hodnocení, a váhu, která se jim má přiřadit.  Bodově zhodnotit každý rizikový faktor k identifikování vysoké střední a nízké priority pro všechny auditní objekty v audit universe.

(viz kapitola 4) 5. Vypracování a udržování plánů auditu založených na rizicích (strategický plán a roční plán práce).

 Stanovit strategii a cykly pokrytí pro různé kategorie audit universe založené na počtu bodů rizikových faktorů.  Vypracovat dokument strategie, který podporuje učiněné volby a vysvětluje použitou metodologii a úsudky provedené k učinění rozhodnutí.  Vypracovat roční plán práce v souladu s identifikovanou strategií, konkrétními audity, které se mají provést, jejich názvy, načasováním a očekávanou dobou trvání.

(viz kapitola 5)


Stránka 10


KAPITOLA 2 – ROZTŘÍDĚNÍ AUDIT UNIVERSE NA KATEGORIE PRO PLÁNOVÁNÍ ZALOŽENÉ RIZICÍCH Co je „audit universe“? 24 Předloha manuálu pro interní audit vysvětluje, že audit universe je východisko pro plán interního auditu” a definuje audit universe jako: „celkový rozsah funkce interního auditu a souhrnu auditovatelných procesů, funkcí a pracovišť”. a) Výraz „audit universe“ je jednoduchý způsob označení souhrnu všech věcí, které by interní auditor mohl jednotlivě přezkoumávat. b) Audit universe se skládá ze souhrnu “auditovatelných objektů”, což je způsob identifikování a popisování samostatných částí obchodní činnosti, systému nebo procesu, které lze jednotlivě přezkoumávat. Auditovatelné objekty musí být dost velké na to, aby ospravedlnily audit, a dost malé na to, aby byly zvládnutelné.

Sloní přístup – krájení audit universe na malé kousky 25 Odpověď na otázku: „Jak sníst slona?” je „Kousek po kousku”. Tímto způsobem musíme zacházet s audit universe – nakrájet ho na specifické systémy, procesy, programy či organizační útvary, které se mohou kontrolovat – auditovatelné objekty. 26 Tradičně byly auditovatelné objekty roztříděny na kategorie podle organizační struktury a byly definované shora dolů - “vertikální” analýza. Často se auditovatelný objekt ztotožňoval s jedním či řadou organizačních útvarů. To zůstává užitečným prvním ukrojením audit universe, které většina útvarů interního auditu používá. 27 To však nemusí být nejefektivnější způsob, jak naplánovat všechny možné audity. Je tedy také důležité naplánovat pokrytí auditu z horizontálního hlediska subjektu nebo z hlediska pokrytí z různých oborů – to jsou ‘horizontální’ audity založené na celých obchodních procesech. Například lze říci, že účetnictví subjektu nebo obchodní manažerské systémy fungují horizontálně, protože ovlivňuje všechny organizační útvary. Tyto systémy mohou představovat kritická rizika napříč několika procesy a měly by být tedy zkoumány horizontálně. 28 Typicky je tedy audit universe kombinací řady částí shora dolů (vertikálních částí) a částí z různých oborů (horizontálních částí). Dodávky jsou často klíčovou činností související s různými obory. Ovšem pro účely auditu by mohly být rozděleny na pracoviště a typ nákupu. Ve Světovém potravinovém programu OSN by se například dodávky mohly rozdělit na čtyři auditní objekty:  dodávky na úrovni centrály,  dodávky na úrovni místních kanceláří,  dodávky potravin a  dodávky nepotravinářského zboží. To by bylo vhodné, protože každý element má různá pravidla, předpisy a vnitřní kontroly. 29 Existuje velké množství společných rysů ve způsobu, kterým útvary interního auditu v působnosti vlády obvykle „krájejí“ audit universe a třídí na kategorie17.

17

Viz příklady nejlepší praxe a Příloha C, kde je uveden příklad zemí PEMPAL.


Stránka 11


Příklad dobré o roztřídění auditu universe na kategorie Z průzkumu mezinárodního Institutu interních auditorů IIA ve vládním sektoru 1.

Téměř všechny útvary interního auditu mají formálně dokumentovaný audit universe (97 %).

2.

Nejčastěji používaná třídění na kategorie jsou: 

Útvary / úřady ? – 97 %



Procesy – 97 %



Organizační útvar nebo pracoviště – 81 %



Operační programy – 75 %



Položky na výkazu služeb – 75 %



Rizikové portfolio v případě řízení rizik podniků18



Ostatní – 22 %

30 Nakonec je na vedoucím útvaru interního auditu rozhodnout, jak roztřídit audit universe na kategorie a kolik “krajíců“ je logické použít. Většina útvarů interního auditu tedy bude chtít zvážit následující možnost, jako potřebnou pro minimální roztřídění na kategorie: Příklad - Interní audit Organizace pro výživu a zemědělství Spojených národů Audit universe úřadu se skládá ze zhruba 100 auditovatelných subjektů, které jsou rozděleny na 14 kategorií: 1) Správa a řízení

8) Informační systémy a technologie

2) Reformy

9) Znalosti a komunikace

3) Strategický management

10) Bezpečnost a zabezpečení

4) Speciální iniciativy / projekty

11) Lidské zdroje

5) Plánování a rozpočtování

12) Finanční řízení

6) Cyklus odborného programu

13) Dodávky, majetek a správa zařízení

7) Decentralizované kanceláře

14) Administrativní a ostatní služby



18

Možné informační zdroje pro roztřídění audit universe na kategorie: 

Manažerské informace poskytující analýzu cílů, záměrů a plánů;



Příručky pro služby subjektu;



Organizační struktury nebo adresář úřadu;



Výroční zprávy a jakékoliv cíle výkonu stanovené pro subjekt;



Plány společnosti a odborů, obchodní plány;



Rozvojové plány pro IT, ostatní infrastrukturu a budovy;



Rozpočty;

Zřejmě „veřejných podniků“ – viz návrh zákona v České republice.


Stránka 12






Externí audit a poradenství, zprávy o kontrole a prověrce;



Existující provozní a strategické auditní plány.

Roztřídění audit universe na kategorie je něco, nad čím se musí hodně přemýšlet a co se může změnit, jak se proces plánování rozvíjí a vy zvažujete jednotlivá rizika a příležitosti (fáze 2). Pamatujte, že budete prezentovat kategorie ve své strategii auditu, takže by měly být pro manažery organizace logické.

Požádejte o názor výše postavené manažery19 31 Výše postavení manažeři se musí požádat o názory na důležitost identifikovaných systémů a existující kontroly a všeobecné kontrolní prostředí. Diskuse s těmito manažery by měly probíhat otevřeně a měly by se zaměřit na:  Objasňování hlavních cílů subjektu a úlohu jednotlivých odborů při jejich dosahování;  Identifikaci hlavních rizik, kterým jsou vystaveni při dosahování cílů subjektu a jeho odborů;  Výsledky práce interního a externího auditu prováděné během roku;  Všechny oblasti obav, které manažeři mohou mít ohledně vnitřní kontroly či účinnosti v rámci svého odboru nebo priorit subjektu pro jistotu a pozornost auditu.

Rozuměj členy vrcholového vedení (v České republice např. pověřené schvalující osoby a vedoucího účetní služby správce veřejného rozpočtu podle návrhu nového zákona z roku 2015). 19


Stránka 13


KAPITOLA 3 – IDENTIFIKACE RIZIK A VYHODNOCENÍ JEJICH DOPADU A PRAVDĚPODOBNOSTI 32 Po identifikaci audit universe auditovatelných objektů je dalším krokem v procesu identifikovat konkrétní rizika. Cílem pro interní audit je důkladně pochopit rizika, kterým je vystavena organizace, a jejich potenciální dopad a pravděpodobnost tak, aby se tyto znalosti mohly použít při bodovém hodnocení generických rizikových faktorů s cílem vybrat auditní objekty pro prozkoumání (jak je vysvětleno v kapitole 4). 

Riziko je všeobecný termín, který se může obtížně chápat. Téměř každý však chápe, co je událost. Přemýšlení o událostech, které by mohly ovlivnit cíle, je nejjednodušší způsob, jak identifikovat rizika.



Spojení mezi roztříděním audit universe na kategorie a identifikací rizik.  Identifikace hlavních rizik může naznačovat změny způsobu, kterým je audit universe roztříděn na kategorie. Z tohoto důvodu se může identifikace rizik a roztřídění audit universe na kategorie provádět ve stejnou dobu nebo interaktivním způsobem.  Kategorie použité pro audit universe mohou být také užitečné při možných událostech tzv. brainstormingu.

33 Nejlepší praxe je, když se identifikace a vyhodnocení rizik20 provádí ve dvou fázích. Důvodem je to, že první fáze (identifikace rizik) je velmi podobná tzv. “brainstormingu”, kde je cílem zachytit všechna rizika. Ovšem druhá fáze je o aplikaci realistických úsudků o důležitosti a pravděpodobnosti identifikovaných rizik. Může být komplikované zkombinovat tyto dva různé způsoby přemýšlení o rizicích. 

Proveďte vyhodnocení rizik ve dvou jasných fázích. Použijte fázi 1 k identifikaci rizik a fázi 2 k (bodovému) vyhodnocení rizik z hlediska dopadu a pravděpodobnosti.

Identifikace událostí, které mohou vést ke vzniku rizik a příležitostí napříč audit universe 34 Přístup k identifikaci událostí se bude lišit, pokud má již management zavedený proces řízení rizik subjektu, který identifikuje události a hodnotí rizika.  Pokud se používá proces řízení rizik, interní audit bude muset a) prozkoumat registry rizik k pochopení událostí, které manažeři identifikovali, a pak je přezkoumat ke stanovení toho, zda vyhodnocení rizik identifikovalo všechna klíčová rizika; b) přezkoumat způsob, kterým management bodově zhodnotil události a kroky použité k řešení klíčových rizik; c) zvážit účinnost kroků ke snižování rizik z hlediska jejich dopadu na zbytková rizika; a d) identifikovat vysoké úrovně zbytkových rizik, které se musí zapracovat do strategických a ročních plánů práce.  Pokud se nepoužívá proces řízení rizik, interní audit bude muset provést samostatné cvičení k identifikaci událostí, které vedou ke vzniku rizik a příležitostí. To je obtížnější a časově náročnější, než přezkoumání vlastního vyhodnocení rizik managementu. Je důležité, aby proces zahrnoval vzájemné působení s managementem k získání jeho názorů na klíčové události a rizika mající vliv na organizaci. Bude také nutné bodově vyhodnotit události identifikované z hlediska pravděpodobnosti a dopadu k vytvoření celkového počtu bodů při vyhodnocení rizik. 35 Proces identifikace událostí a bodového hodnocení rizik v rámci samostatného cvičení se podrobněji probírá v následujících oddílech. 20

Rozuměj bodové hodnocení dopadu a pravděpodobnosti.


Stránka 14


Identifikace rizik 36 I když management neprovedl formální vyhodnocení rizik, budou často existovat jiné písemné zdroje, které mohou útvaru interního auditu pomoci identifikovat jednotlivá rizika. Ty zahrnují:  Provozní plány pro organizaci;  Dřívější zprávy interního nebo externího auditu;  Výroční zprávu organizace;  Důležitá přezkoumání funkcí nebo činností prováděná managementem nebo externími orgány21. 37 Nejčastější metodou identifikace rizik bude pohovor a diskuse s managementem. Ty by se měly vždy vést, protože názory managementu na rizika jsou velmi důležité. Je užitečné uspořádat společný workshop o vyhodnocení rizik s managementem a ten by také mohl zahrnovat krátké školení o řízení rizik. To také může vést management k tomu, aby vypracoval své vlastní procesy řízení rizik.  První část workshopu by byla věnována identifikaci rizik;  Druhá část workshopu by (bodově) ohodnotila identifikovaná rizika z hlediska dopadu a pravděpodobnosti.



38 K identifikaci rizik může být užitečné provést tzv. brainstorming týkající se různých typů událostí, které mohou vytvářet rizika pro organizaci. Příklad běžných typů událostí, které vytvářejí rizika, je uveden níže. Příklady typů událostí, které mohou vést ke vzniku rizik Provozní

IT & komunikace

Ztráta nebo nedostupnost kanceláří

Ztráta internetu

Porušení smluv

Ztráta telefonů

Nedodržování klíčové legislativy

Nejsou zaměstnanci Závady technické infrastruktury (elektřina, plyn, voda) Žádná doprava Závady důležitého zařízení/ hardwaru

Údaje nejsou k dispozici či jsou zničené Zničená data

Regulační

EU pokuty za nedodržování předpisů

Virové útoky na klíčový software Závady hardwaru Nepostradatelné záznamy jsou zničené nebo jsou nepřístupné

Finanční Zkrácení rozpočtu Ztráta příspěvku nebo financování Zcizení nebo zneužití finančních prostředků Nedostatek hotovosti na provoz

Zaměstnanci

Dobré jméno

Ztráta klíčových zaměstnanců (odstoupení, odchod do důchodu)

Negativní publicita ve sdělovacích prostředcích

Nehody týkající se zaměstnanců Nečestnost manažerů Nedostatek dovedností a kvalifikace

Úroveň služeb nižší, než se očekávalo Ztráta důvěry zainteresovaných stran kvůli provozním nedostatkům.

Ztráta dodávek a materiálů

21

Např. kontrolní mise Světové banky nebo EU


Stránka 15


Vyhodnocení rizik z hlediska dopadu a pravděpodobnosti 39 Jakmile byly identifikovány všechny významné události22, musí se ohodnotit a oznámkovat počtem bodů. Inherentní rizika by se měla ohodnotit z hlediska dopadu a pravděpodobnosti. Dopad definuje finanční či nefinanční důsledky pro organizaci, pokud vznikne riziko. Pravděpodobnost definuje možnosti, že může vzniknout riziko. Vyhodnocení dopadu rizik je složitější než vyhodnocení pravděpodobnosti, ale obě tato vyhodnocení jsou důležitými elementy vyhodnocení rizik. 40 Doporučuje se nehodnotit rizika čistě matematicky počtem bodů. Je praktičtější vyhodnotit je a opatřit počtem bodů podle předem určených kritérií pro dopad a pravděpodobnost. Nejlepší praxe často doporučuje použít tři hodnotící úrovně, ale to může vést k přidělení většího počtu bodů ve střední kategorii. Nejvhodnější tedy může být čtyřbodová stupnice (zvláště pro vyhodnocení dopadu). Zde neexistuje žádné pravidlo. Auditoři si mohou zvolit kterýkoliv hodnotící systém, který považují za vhodnější. Níže uvedený příklad používá čtyři kategorie, ale mohly by se použít i tři kategorie.

Kritéria pro vyhodnocení dopadu 41 Mohlo by existovat mnoho kritérií pro vyhodnocení dopadu rizik, ale měly by se omezit na čtyři či pět kategorií, které by se považovaly za nejdůležitější. Následující kritéria pro vyhodnocení dopadu se běžně používají a měla by se zvážit:  Finanční dopad. Finanční důsledky pro organizaci, pokud vznikne riziko.  Dopad na dobré jméno. Důsledky s ohledem na dobré jméno organizace, ministra či dokonce dobré jméno na vyšší úrovni, tedy celé země, v očích ratingových agentur, mezinárodních sponzorů, apod.  Regulační dopad. Vznik rizik může vést ke “zmrazeným“ rozpočtům či programům nebo dokonce k pokutám23.  Dopad na misi / dosažení cílů / operací. Rozsah, do kterého může být mise organizace ovlivněna vznikem rizik.  Dopad na zaměstnance. Neplánovaná ztráta klíčových zaměstnanců a dovedností může mít výrazný dopad na organizaci. 42 Pro každé kritérium dopadu rizik musí auditor definovat to, co by představovalo různé úrovně dopadu (vysoká, střední vysoká, střední nízká a nízká úroveň). To zajistí, aby byla rizika hodnocena počtem bodů společně. Níže uvedený příklad poskytuje všeobecné rady ohledně bodového hodnocení tří kritérií. Úroveň (počet bodů)

Příklad bodového hodnocení kritérií dopadu Finanční

Lidé

Operace

Nízká (1)

Finanční dopad je menší než xxx xxx.

Neplánovaná ztráta několika zaměstnanců v rámci útvaru, která může způsobit určité narušení činností útvaru.

Omezená a minimální ztráta operací. Ihned obnovitelné přerušení služeb.

Střední (2)

Závažný finanční dopad, který je větší než xxx xxx, ale menší než xxx xxx.

Neplánovaná ztráta několika klíčových zaměstnanců v jednom útvaru, která způsobí výrazné narušení činností útvaru.

Výrazná ztráta v operacích, ale omezena na určitý počet služeb/pracovišť organizace. Ihned obnovitelné přerušení služeb.

Vysoká (3)

Závažný finanční dopad, který je větší než xxx xxx, ale menší než xxx xxx.

Neplánovaná ztráta několika klíčových zaměstnanců, která způsobí výrazný dopad na činnosti jednoho nebo více odborů.

Významná ztráta v operacích, ale omezena na určitý počet služeb/pracovišť organizace. Pomalá obnova systémů.

22

Rozuměj rizika.

23

Např. fondy EU.


Stránka 16


Úroveň (počet bodů) Velmi vysoká (4)

Příklad bodového hodnocení kritérií dopadu Finanční

Lidé

Výrazný závažný finanční dopad, který je větší než xxx xxx.

Závažné zaměstnanců.

Operace zranění/smrt

Organizačně široká neschopnost pokračovat v normální činnosti. Výrazná ztráta operací. Rozsáhlé přerušení služeb. Pomalá obnova systémů.

43 V příloze A je uveden příklad kritérií dopadu rizik použitých útvarem interního auditu v agentuře OSN.

Kritéria pro vyhodnocení pravděpodobnosti 44 Auditor musí zvážit pravděpodobnost výskytu události. Například zemětřesení by mohlo mít velmi výrazný dopad, ale nedochází k němu velmi často. Dopad ztráty zaměstnanců nebo dovedností nemusí být velmi vysoký, ale může k němu docházet velmi často. Kritéria pro vyhodnocení pravděpodobnosti jsou často velmi podobná a následující by se mohlo zvážit, ale není to povinné. Úroveň

Kritéria

Počet bodů

Zřídka

Událost, jejíž vznik je velmi nepravděpodobný

1

Nepravděpodobné

Událost, u které je velice malá možnost výskytu

2

Střední

Událost, která celkem pravděpodobně nastane někdy v budoucnosti

3

Pravděpodobné

Událost pravděpodobně nastane (během 1-2 let)

4

Očekávané

Událost, která již nastala nebo jejíž vznik se očekává

5

Kritéria pro vyhodnocení pravděpodobnosti 45 Poté, co se vytvoří kritéria pro (bodové) hodnocení dopadu a pravděpodobnosti, musí se tato kritéria aplikovat na všechna identifikovaná rizika. To lze provést různými způsoby:  Zaměstnanci mohou vypracovat a používat bodovací listiny k vyhodnocení rizik a pak výsledky jednotlivých počtů bodů hodnocení zkombinovat k získání průměru napříč skupinou lidí.  Bodové hodnocení lze provést na jednání, kde každý zaměstnanec předloží svůj vlastní názor a odsouhlasí se konsenzuální počet bodů. 46 Ať už se použije kterákoli metoda, pamatujte si, že lidé hodnotí rizika různými způsoby. Někteří lidé mají od přírody averzi vůči riziku a jiní riziko přijímají. Pokud jedna osoba hodnotí riziko jako vysoké a jiná jako nízké, výsledek by neměl být jednoduše průměr. Musí se dospět ke konsensu.

Kombinace kritérií vyhodnocení do rizikové matice 47 Budou se muset učinit rozhodnutí o kombinování počtu bodů za dopad rizik s pravděpodobností rizik. Mnoho organizací používá matici a dohodne předem, které kombinace pravděpodobnosti a dopadu představují nízké střední a vysoké riziko. 48 Příklad typické matice je uveden níže. Musela by se upravit tak, aby odrážela vlastní metodu bodového hodnocení dopadu a pravděpodobnosti. Odlišné rozhodnutí se také musí učinit o tom, které kombinace klasifikovat jako nízké střední nebo vysoké.


Stránka 17


PRAVDĚPODONOST

D O P A D



Zřídka / nepravděpodobně

Nepravděpodobně

Střední

Pravděpodobně

Časté / očekávané

1

2

3

4

5

Nízký

1

Nízká

Nízká

Nízká

Nízká

Nízká

Střední nízký

2

Nízká

Nízká

Střední

Střední

Střední

Střední vysoký

3

Nízká

Střední

Střední

Vysoká

Velmi vysoká

Velmi vysoký

4

Střední

Vysoká

Vysoká

Velmi vysoká

Velmi vysoká

Pamatujte si, že cílem této fáze procesu je dobře pochopit rizika v organizaci.  Interní audit by měl pouze vyhodnotit jednotlivá rizika, pokud to již management nedělá.  Interní audit by měl vyzvat management k tomu, aby vypracoval efektivní procesy vyhodnocení rizik subjektu v rámci vnitřní kontroly.


Stránka 18


KAPITOLA 4 – VYTVÁŘENÍ STRATEGICKÝCH A ROČNÍCH PLÁNŮ ZALOŽENÝCH NA RIZICÍCH 49 Touto fází by měl auditor dobře pochopit rizika, která mohou mít dopad na organizaci. Ale jak důležitá jsou tato rizika ve vztahu k různým elementům audit universe? A jak mohou být tato rizika reflektována ve strategii auditu a ročním plánu práce? 50 Cílem této fáze procesu je určit, co se musí v rámci audit univese zkontrolovat s cílem identifikovat stavební kameny pro strategii auditu z hlediska typů a cyklů auditů, které se musí provést. Proto se tento proces také nazývá jako “vyhodnocení potřeb auditu”. 51 Poněvadž pravděpodobně existuje vysoký počet možných auditních objektů a velký počet rizik, většina auditorů používá sadu generických “rizikových faktorů” k posouzení důležitosti každého elementu audit univrse s cílem určit prioritu, která by se měla přiřadit ke každému auditovatelnému objektu. I když se používá výraz rizikové faktory, mohlo by se to také popsat jako výběrové faktory, protože účelem této fáze procesu je zvolit nejvhodnější druhy auditů k provedení. 

Může být užitečné přemýšlet o “rizikových faktorech” jako o “výběrových faktorech”, protože cílem procesu je zvolit, které auditní objekty by se měly zkontrolovat a jak často by se to mělo provádět.

Identifikace rizikových faktorů 52 Většina organizací používá pět až osm rizikových faktorů, přičemž méně než pět faktorů v průměru se používá pro interní auditory vlády24. Všechny útvary interního auditu zkoumané Institutem interních auditorů (IIA) používají stupeň finanční významnosti jako jeden z rizikových faktorů25. 53 Nejčastěji používané rizikové faktory s vysvětlujícími komentáři o tom, proč jsou důležité, jsou:  Finanční významnost. Objem finančních činností vykonávaných auditovatelným objektem je klíčový rizikový faktor. Auditní objekty s vysokým rizikem, které používají velmi malou část rozpočtu, mohou mít menší prioritu pro audit než auditní objekty se středním rizikem, které mají k dispozici 50 % rozpočtu.  Složitost činností. Složité činnosti se provádějí obtížněji, a proto pravděpodobněji nedosáhnou svých cílů, např. stavební projekty jsou často dražší, než se plánovalo, a jejich dokončení trvá déle, než se očekávalo.  Kontrolní prostředí26. Kontrolní prostředí se někdy nazývá “všeobecné etické klima”. Silné kontrolní prostředí je méně náchylné k podvodu a omylům. V silném kontrolním prostředí existují jasné cíle, úlohy a odpovědnosti organizace, jasné etické normy chování, silná ujednání o správě a řízení a efektivní postupy a praktiky řízení lidí. Slabé kontrolní prostředí je náchylnější k podvodu a omylům.  Senzitivita ve vztahu k dobrému jménu. Některé oblasti budou mít vyšší mediální profil, kdy problémy mohou vést ke vzniku vysoké úrovně rizik pro dobré jméno organizace jako celku.  Inherentní riziko. Oblasti vysokého inherentního rizika budou vyžadovat efektivní kontrolní procesy ke snížení příslušného rizika. Tyto důležité kontroly by se měly interním auditem přezkoumávat pravidelněji.  Rozsah změny. O změně je známo, že vytváří větší riziko. Například vysoká fluktuace zaměstnanců pravděpodobně sníží účinnost kontrol, protože zaměstnanci jsou méně zkušení; reorganizace funkcí nebo změna vedení / klíčových manažerů může také vytvářet nejistotu pro zaměstnance, což omezuje jejich účinnost. 24

Srovnej služby centrálního interního auditu MF podle návrhu zákona o vnitřním řízení a kontrole.

25

Viz tabulka dobré praxe.

26

Jak je definováno v COSO.


Stránka 19


 Důvěra v management. Dobří manažeři obvykle řeší problémy efektivněji a dosahují lepších výsledků než špatní manažeři a zkušenější manažeři budou s větší pravděpodobností schopni identifikovat a řešit rizika. Detašovaná pracoviště, která řídí níže postavení zaměstnanci, mohou znamenat vyšší riziko.  Potenciál podvodů. Některé systémy a funkce jsou náchylnější k podvodu a korupci, například vysoké příjmy v hotovosti a delegovaná odpovědnost udělovat pokuty.  Politická senzitivita. Některé subjekty mohou být politicky sensitivnější než jiné, a proto přitahují větší zájem zainteresovaných stran.  Doba od posledního auditu. V každém auditu existuje faktor strašení. Dokonce by se měly čas od času kontrolovat auditovatelné objekty s nízkým rizikem. Ty subjekty, které nebyly kontrolovány řadu let, se mohou stát vysoce rizikovými. 

Inherentní riziko může být generickým rizikovým faktorem. Práce provedená podle kapitoly 3 k identifikaci a bodovému hodnocení rizik se může použít k identifikaci oblastí s vysokým inherentním rizikem.

Příklad dobré praxe – běžné rizikové faktory používané útvary interního auditu Z průzkumu Institutu interních auditorů vlády Nejčastěji používaná třídění na kategorie jsou: 

Stupeň finanční významnosti – 100 %



Složitost činností - 94 %



Kontrolní prostředí – 94 %



Senzitivita ve vztahu k dobrému jménu – 92 %



Inherentní riziko – 92 %



Rozsah změny – 89 %



Důvěra v management – 83 %



Potenciál podvodu – 81 %



Doba od posledního auditu – 78 %



Objem transakcí – 78 %



Stupeň automatizace – 72 %

Viz Příloha C – příklad zemí PEMPAL. 54 Rozhodnutí o tom, které rizikové faktory použít, je důležité a mělo by zahrnovat alespoň některé z hlavních rizikových faktorů všeobecně používaných interními auditory. 

Udržujte počet rizikových faktorů mezi 4 a 8. Příliš málo rizikových faktorů bude omezovat účinnost cvičení; příliš velký počet prodlouží dobu, po kterou bude cvičení trvat, a neposkytne podstatně lepší výsledky. Pamatujte, že musíte vytvořit kritéria k vyhodnocení každého faktoru a bodově je ohodnotit.



Vyberte rizikové faktory, které jsou pro organizaci, kterou kontrolujete, nejlogičtější. Nepoužívejte pouze výše uvedený seznam, pokud existují další faktory, které jsou důležitější.


Stránka 20


Vytvořte kritéria k vyhodnocení důležitosti každého rizikového faktoru 55 Po identifikaci řady rizikových faktorů je běžnou praxí vypracovat soubor kritérií, která se mohou použít k bodovému hodnocení, a tedy seřadit relativní potřebu provést audit u každého z možných auditních objektů v rámci audit universe. Vytvoření kritérií může být poměrně jednoduché nebo docela složité. Ovšem mnoho faktorů používá určitý stupeň úsudku, takže může být jednodušší definovat pouze nejnižší nebo nejvyšší počet bodů hodnocení a zbytek nechat na posouzení. Níže uvedený příklad poskytuje možná kritéria pro čtyři běžné rizikové faktory, z nichž tři jsou svou povahou posuzující (kontrolní prostředí / zranitelnost, senzitivita a obavy managementu).

Příklad bodového hodnocení rizikových faktorů Každému z rizikových faktorů jsou přiřazeny body v rozmezí od 1 do 5 tak, jak je vysvětleno níže. Element

A Významnost

B Kontrolní prostředí / zranitelnost

C Sensitiva D Obavy managementu / vedení

Popis

Počet bodů

Systém se vztahuje na méně než 1 % ročního rozpočtu

0

Systém se vztahuje na 5-10 % ročního rozpočtu

2


3

Systém se vztahuje na alespoň 75 % ročního rozpočtu

5

Dobře kontrolovaný systém s malým rizikem podvodu nebo omylů

0

Docela obstojně kontrolovaný systém s určitými riziky podvodu nebo omylů

3

Systém s historií špatné kontroly s vysokým rizikem podvodu nebo omylů

5

Minimální externí profil pro systém

0

Potenciál pro některé externí potíže, pokud není systém efektivní

3

Důležité vztahy s veřejností nebo právní problémy, pokud není systém efektivní

5

Systém s nízkým profilem napříč subjektem, který má malý dopad na splnění obchodních cílů

0

Systém s vysokým profilem v nedávné minulosti s řadou obav management kvůli opakujícím se závadám

5

Zvažte přidání váhy ke každému rizikovému faktoru pro vytvoření rizikového indexu 56 Ne všechny rizikové faktory budou stejně důležité. Mnoho útvarů interního auditu proto používá některý proces vážení rizikových faktorů tak, že se vyšší počet bodů přidělí těm faktorům, které se považují za nejdůležitější27. Po přiřazení faktoru váhy, který by se mohl vypracovat ve workshopu s managementem, se musí počet bodů za rizikové faktory a počet bodů váhy vynásobit k získání číselného rizikového indexu. Rizikový index se pak může použít k identifikaci auditovaných objektů s vysokou střední a nízkou prioritou. Následující příklad ukazuje, jak by se to použilo v příkladě uvedeném pro rizikové faktory.

27

Např. významnost nebo obavy managementu.


Stránka 21


Příklad vážení rizikových faktorů Krok 1

Každému z rizikových faktorů je přiřazena váha pomocí posouzení relativní důležitosti každého z rizikových faktorů. Element

Krok

Váha

A Významnost

3

B Kontrolní prostředí/zranitelnost

2

C Senzitivita

2

D Obavy managementu

4

Počet bodů faktoru a váhy se pak zkombinují do vzorce, který se může použít pro výpočet rizikového indexu. Počet bodů rizikového faktoru

Riziko / priorita

Více než 45

Velmi vysoké

40-45

Vysoké

30-40

Střední

Méně než 30

Nízké

Bylo by poměrně jednoduché upravit tento systém pro použití s širším rozsahem rizikových faktorů. Více či méně rizikových faktorů by vyžadovalo jiný počet bodů rizikového indexu pro vysokou střední a nízkou kategorii.

57 Všechny systémy bodového hodnocení rizik produkují podle definice přesná čísla. To může v procesu hodnocení vytvořit nesprávnou úroveň přesnosti. Je důležité upozornit na to, že mnoho rizikových faktorů je posuzujících a není založeno na absolutních hodnotách. Hlavní výjimkou je významnost, což je také jeden faktor, který bude mít obvykle vysokou váhu.28 

28

Ujistěte se, že počet bodů rizikového indexu a priority jsou přiměřené. a) Vypočítejte teoretické maximum před nastavením priorit indexu; a b) buďte připraveni změnit priority indexu, pokud jsou výsledky zcela zjevně nerealistické (pokud je například každý audit označen za vysokou prioritu).

Poznámka: Existuje mnoho způsobů určení významnosti, ale nejjednodušší modely obvykle používají procentuální podíl z celkových výdajů nebo příjmů.


Stránka 22


KAPITOLA 5 – PSANÍ A AKTUALIZACE STRATEGICKÝCH A ROČNÍCH PLÁNŮ 58 Komplexní strategický a roční plán činnosti interního auditu je pro úspěch interního auditu rozhodující. Po identifikaci a vyhodnocení rizik napříč audit universe je dalším krokem v procesu vypracování plánů na řešení oblastí nejvyšší důležitosti. Plánování zajišťuje systematický přístup k činnostem interního auditu a vyžaduje znalosti a kompetence v široké škále oblastí, jako je například vyhodnocení rizik a vnitřní kontrola.

Strategický plán 59 Účelem strategického plánu je zdokumentovat úsudky utvořené o “potřebách auditu” – úsudek interního auditora o systémech, činnostech a programech, které by měly podléhat auditu tak, aby se managementu poskytla přiměřená jistota o rizicích a účinnosti vnitřní kontroly. Plán musí obsahovat:  Jasně vyjádřené cíle a indikátory výkonu pro to, co funkce interního auditu dosáhne v následujících 2-4 letech, spojené případně se strategií pro organizaci.  Metodologie použitá při vypracování strategie a k tomu, jak útvar interního auditu ohodnotil rizika, která mají vliv na cíle subjektu.  Jak bude útvar interního auditu během let řešit oblasti největšího významu. Bude obyčejně potřebné identifikovat cykly pokrytí pro různé elementy audit universe. Některé systémy a procesy budou možná muset být přezkoumány každý rok. Jiné možná budou muset být přezkoumány pouze každé tři až pět let, atd.  Zdroje požadované a dostupné ke splnění těchto potřeb a dopad omezení zdrojů na ideální úroveň pokrytí auditu.  Vyhodnocení interních rizik těch událostí, které mohou mít dopad na dosažení cílů ve strategii auditu, a kroky ke snižování těchto rizik.29  Plány pro koordinaci práce s ostatními zdroji jistoty.30  Vytvořen přístup pro další sledování doporučení.  Vyšší nebo dlouhodobější cíle, kterých chce funkce interního auditu dosáhnout, ale možná je nedosáhne v krátkodobém horizontu. 

Strategický plán je pro interní audit “výkladní skříní” – používejte ho dobře. Strategie je příležitost představit managementu všechny věci, které by útvar interního auditu mohl udělat, aby organizaci pomohl dosáhnout jejích cílů. Může to být užitečný způsob, jak poskytnout podporu.

Roční plán 60 Roční plán auditu převádí strategický plán na úkoly auditu, které se mají provádět v běžném roce. Měl by definovat účel (název a cíle) a dobu trvání každého úkolu auditu a v souladu s tím přidělit pracovníky a ostatní zdroje. Plán by měl poskytnout základnu pro dohodnutí úkolů, které se mají splnit, a načasování každého úkolu s příslušnými manažery. Protože tyto úkoly se musí přizpůsobit rozpočtovým zdrojům, které jsou k dispozici, obvykle se u plánu auditu preferuje, aby se kryl s rozpočtovým obdobím. 61 Při vypracování ročního plánu by měl vedoucí interního auditu zvažovat určité informace tak, aby získal realistický plán práce poskytující organizaci přidanou hodnotu:

29

Např. nedostatek pracovníků, nedostatek dovedností a školení a ostatní kroky potřebné k řešení těchto rizik.

30

Např. externí audit.


Stránka 23


 Předpoklady strategického plánu auditu a to, zda jsou tyto předpoklady stále platné ve světle zjištění auditu.  Nejnovější roční plán (pokud existuje) při zohlednění hlavních zjištění z předchozích auditů, která ukazují změny rizik.  Organizační a časová omezení.31 (Například změny v odborech organizace; pracoviště, která nejsou dosažitelná v zimních měsících; hlavní období dovolených nebo uzavření kanceláří – Vánoce, Velikonoce, léto, implementace nových systémů informační technologie; období vysokého pracovního nasazení.  Zdroje, které by se měly vyhradit pro budoucí neplánované práce (viz níže) s cílem zabránit častým úpravám ročního plánu.  Volitelný program auditů, které se mají uskutečnit místo odložených auditních misí a/nebo menší objem neplánovaných prací, než se odhadovalo. 62 Plány by se měly vypracovat před začátkem roku. Ne všechny audity budou dokončeny během plánovacího roku, takže plán pro nadcházející rok musí vzít v úvahu práce, které pokračují i v následujícím roce. 

Plánujte zdroje, které jsou skutečně k dispozici. I když prázdné pozice se mohou během roku zaplnit, doporučuje se plánovat zdroje, o kterých víte, že je máte, ne zdroje, o kterých si myslíte, že je můžete mít.



Poskytněte dostatek času k naplánování a ohlášení dokončení práce auditu.



Nic nikdy neprobíhá podle plánu. Přijměte určité předpoklady ohledně skluzu – poskytněte managementu dostatek času pro reagování na doporučení.

Aktualizace plánů – pravidelné monitorování rizik 63 Riziko není statický koncept, v průběhu času se mění. Kromě toho události, které se skutečně stanou32, vytvoří pro organizaci nová rizika.33 64 Auditoři musí tedy monitorovat významné události, ke kterým dochází během roku (např. přezkoumáním nových oficiálních dokumentů, externích zpráv, zpráv v médiích a změny právního rámce), a dopad, který mohou mít na plán auditu.34

Roční přezkoumání strategického plánu 65 Plánování je dynamický proces. Nové systémy, aktuálnější informace a ostatní vývoj ovlivňující subjekt mohou vést k opětovnému posouzení potřeb auditu. Z tohoto důvodu by se mělo ročně přezkoumávat vyhodnocení auditních rizik i strategický plán auditu. Plán by se měl kompletně znovu posoudit ke konci cyklu. 66 Při posuzování strategického plánu auditu by měl vedoucí interního auditu zvážit:  Změny, které nastaly u subjektu, jeho činností, cílů nebo prostředí. To může ovlivňovat rizika, kterým čelí při dosahování svých cílů, a následkem toho relativní rizika každého auditovatelného systému.

Např. změny v odborech organizace; pracoviště, která nejsou dosažitelná v zimních měsících; hlavní období dovolených nebo uzavření kanceláří – Vánoce, Velikonoce, léto, implementace nových systémů informační technologie; období vysokého pracovního nasazení. 31

32

Např. výrazné snížení rozpočtu.

Např. výsledek velkého investičního projektu, který představoval malé riziko, když byly finanční prostředky k dispozici, může být vysokým rizikem v důsledku přepracování rozpočtu. 33

34

Např. změna ministra s velmi odlišnými názory na projekty v rozpočtu s nejvyšší prioritou.


Stránka 24


 Výsledky úkolů interního auditu provedených v předcházejícím roce mohou vést k originálnímu vyhodnocení rizik a přehodnocení priorit. To může naznačovat potřebu přesměrování úsilí auditu, například opětovným prohlédnutím konkrétního systému nebo přezkoumáním souvisejícího systému.  Jsou-li rozpočty stále přiměřené a zajistí poskytnutí služby efektivního interního auditu. 

Každý rok aktualizujte vyhodnocení rizik Každý rok bude obvykle zapotřebí aktualizovat formální vyhodnocení rizik a znovu prohlédnout bodové hodnocení rizikových faktorů, aby se zjistilo, zda se priorita auditních objektů během roku změnila.



Zvažte významné události, ke kterým došlo během roku Pokud během roku došlo k významné události, která má velký dopad na rizika (např. výrazné škrty v rozpočtech), může být nutné okamžitě přezkoumat vyhodnocení rizik a výběrová kritéria s cílem stanovit, zda se roční plán práce musí změnit.

Vyřizování dodatečných požadavků na audity během roku 67 Žádný plán není perfektní. Změny jsou nevyhnutelné a mohou vznikat z mnoha důvodů:  Subjekt může být reorganizován;  Noví výše postavení manažeři mohou mít jiné názory na prioritu, která se má přidělit konkrétním činnostem;  Může se zjistit velký podvod identifikující vyšší úrovně rizik v konkrétní oblasti;  Ministr může požádat o dřívější přezkoumání subjektů plánovaných ve strategii na pozdější dobu. 68 Ovšem vedoucí útvarů interního auditu také musí udržovat rovnováhu mezi kladným reagováním na takové požadavky a potřebou celkového programu práce poskytovat odpovídající úroveň jistoty ve vztahu k hlavním identifikovaným rizikům. U každého požadavku na ad hoc práci by měla proběhnout diskuse s výše postavenými manažery o přínosech reakcí na požadavek a dopadu, který to bude mít na roční program práce. Výsledky této diskuse by měly být zdokumentovány. 69 Pokud vedoucí útvaru interního auditu souhlasí s tím, že provede úkol, který není zahrnutý do ročního programu práce, zbývající část prací by se měla znovu naprogramovat a přepracovaný plán práce by se měl předložit manažerům. Ve většině případů by neměl být roční program aktualizován více než jednou za čtvrtletí. 70 Mnoho útvarů interního auditu si vyhrazuje část svých zdrojů na vyřizování neplánované nebo ad hoc práce. To je něco, co by měli vedoucí útvarů interního auditu v průběhu času zvažovat tak, jak získávají zkušenosti o pravděpodobné úrovni neplánovaných prací. 

Informujte manažery o dopadu provedení dodatečných auditů během roku. Jasně vysvětlete, co nebudete dělat, pokud se ujmete nového úkolu.


Stránka 25


Příloha A Příklad kritérií vyhodnocení rizik pro dopad Vyhodnocení rizik: Kritéria pro dopad rizik35 Úroveň (počet bodů)

Nízká (1)

Kritéria Dosažení cílů Nepředložení jednoho výsledku organizace.

Finanční Finanční dopad, který může snížit hotovostní tok (cash flow) o méně než 500 000 USD.

Dobrá pověst (bezúhonnost, odpovědnost) Nekompetentnost / špatný management nebo jiná událost, která podkope důvěru veřejnosti na místní úrovni. Krátké období obnovy. Závažná neregulérnost.

Střední (2)

Nepředložení několika výsledků organizace.

Značný finanční dopad, který může snížit hotovostní tok (cash flow) o více než 500 000 USD, ale méně než 10 mil. USD.

Nekompetentnost / špatný management nebo jiná událost, která podkope důvěru veřejnosti na regionální úrovni nebo klíčový vztah. Krátké /průměrně dlouhé období obnovy.

Personální

Činnosti

Neplánovaná ztráta několika zaměstnanců v rámci útvaru, která může způsobit určité narušení činnosti útvaru.

Omezené a minimální ztráty provozu. Rychle obnovitelné přerušení služeb.

Neplánovaná ztráta několika klíčových zaměstnanců v jednom útvaru, která způsobí výrazné narušení činnosti útvaru.

Výrazná ztráta v činnostech, ale omezená na určitý počet služeb/pracovišť organizace. Rychle obnovitelné přerušení služeb.

Neplánovaná ztráta několika klíčových zaměstnanců, která způsobí výrazný dopad na provoz jednoho či více odborů.

Důležité ztráty v provozu, ale omezené na určitý počet služeb/pracovišť organizace. Pomalé obnovení systémů.

Závažné zranění/smrt zaměstnance.

Organizačně rozsáhlá neschopnost pokračovat v běžné činnosti. Výrazné ztráty provozu. Široce rozšířené přerušení služeb. Pomalé obnovení systémů.

Podvod nebo korupce malého rozsahu. Vysoká (3)

Nesplnění jednoho strategického cíle.

Značný finanční dopad, který může snížit hotovostní tok (cash flow) o více než 10 mil. USD, ale méně než 50 mil. USD.

Nekompetentnost / špatný management nebo jiná událost, která podkope důvěru veřejnosti na mezinárodní/regionální úrovni nebo klíčový vztah. Průměrně dlouhé období obnovy. Podvod a korupce velkého rozsahu.

Velmi vysoká (4)

35

Nesplnění více než jednoho strategického cíle.

Výrazný finanční dopad, který může snížit hotovostní tok (cash flow) o více než 50 mil. USD.

Neschopnost / špatný management nebo jiná událost, která podkope důvěru veřejnosti na mezinárodní úrovni nebo klíčový vztah. Dlouhé období obnovy. Podvod, korupce a závažné neregulérnosti na úrovni vyššího managementu.

Např. z útvaru interního auditu Organizace pro výživu a zemědělství Spojených národů.


Stránka 26


Vyhodnocení rizik: Kritéria pro pravděpodobnost rizik36

36

Úroveň

Kritéria

Počet bodů

Zřídka

Událost, jejíž vznik je velmi nepravděpodobný

1

Nepravděpodobné

Událost, u které je velice malá možnost výskytu

2

Střední

Událost, která celkem pravděpodobně nastane někdy v budoucnosti

3

Pravděpodobné

Událost pravděpodobně nastane (během 1-2 let)

4

Očekávané

Událost, která již nastala nebo jejíž vznik se očekává

5

Příklad z útvaru interního auditu Organizace pro výživu a zemědělství Spojených národů.


Stránka 27


Příloha B Příklad bodového hodnocení rizikových faktorů 71 Následující příklad metodologie vyhodnocení rizik pro použití při plánování práce interního auditu vychází z manuálu týkajícího se interního auditu vlády Velké Británie. 72 Byly použity následující čtyři rizikové faktory: A Významnost (zahrnující absolutní úrovně významnosti a objem finančních prostředků procházejících systémem) B Kontrolní prostředí /zranitelnost C Senzitiva D Obavy managementu 73 Každému z těchto rizikových faktorů jsou přiřazeny body hodnocení v rozmezí od 1 do 5. Níže uvedená tabulka vysvětluje, jak by se mohla tato hodnocení použít. Element

Popis

A Významnost

Systém se vztahuje na méně než 1 % ročního rozpočtu

0


2


3

Systém se vztahuje na alespoň 75 % ročního rozpočtu

5

Dobře kontrolovaný systém s malým rizikem podvodu nebo omylů

0

Docela dobře kontrolovaný systém s určitými riziky podvodu nebo omylů

3

Systém s historií špatné kontroly s vysokým rizikem podvodu nebo omylů

5

Minimální externí profil pro systém

0

Potenciál pro některé externí potíže, pokud není systém efektivní

3

Důležité vztahy s veřejností nebo právní problémy, pokud není systém efektivní

5

Systém s nízkým profilem napříč subjektem, který má malý dopad na splnění obchodních cílů

0

Systém s vysokým profilem v nedávné minulosti s řadou obav management kvůli opakujícím se závadám

5


C Sensitivita

D Obavy managementu

Počet bodů

74 Každému z těchto rizikových faktorů je také přiřazena váha pomocí posouzení relativní důležitosti každého z faktorů. To se bude u různých typů subjektu lišit. 75 Příklad vah, které se mohou použít: Element

Váha

A Významnost

3


2

C Senzitivita

2

D Obavy managementu

4


Stránka 28


76 Počet bodů faktoru a váhy se pak zkombinují do vzorce, který se může použít pro výpočet rizikového indexu. Například: Rizikový index = (A x 3) + (B x 2) + (C x 2) + (D x 4) 77 Vzorec se potom aplikuje na každý systém, čímž se vytvoří rizikový index pro každý systém. Každý systém se pak roztřídí na kategorie vysoká, střední nebo nízká na základě rizik podle následující matice: Rizikový index

Riziková kategorie

Více než 49

Vysoká

30-49

Střední

Méně než 30

Nízká

78 Bylo by poměrně snadné změnit tento systém pro použití s širším rozsahem rizikových faktorů. Více rizikových faktorů by vyžadovalo jiný počet bodů hodnocení rizikového indexu pro vysokou střední a nízkou kategorii. 79 Všechny systémy bodového hodnocení rizik produkují podle definice přesná čísla. To může v procesu hodnocení vytvořit nesprávný dojem přesnosti. Je však důležité mít na paměti, že mnoho rizikových faktorů je posuzujících a není založeno na absolutních hodnotách. Hlavní výjimkou je významnost, což je jeden faktor, kterému by měla být vždy přiřazena vysoká váha.


Stránka 29



Stránka 30



Stránka 31

ODBORNÁ SKUPINA INTERNÍHO AUDITU Pracovní překlad pro vnitřní potřebu veřejné správy DOBRÁ PRAXE VYHODNOCENÍ RIZIK PŘI PLÁNOVÁNÍ AUDITU

Recommend Documents