Vedoucí diplomové práce

MENDELOVA ZEMĚDĚLSKÁ A LESNICKÁ UNIVERZITA V BRNĚ FAKULTA PROVOZNĚ EKONOMICKÁ Ústav marketingu a obchodu

ZAVEDENÍ SYSTÉMU VNITŘNÍCH KONTROL DLE ZÁKONA SARBANES-OXLEY Diplomová práce

Vedoucí diplomové práce Ing. Petr Procházka

Vypracoval Michal Krátký

Brno 2006

PROHLÁŠENÍ

Prohlašuji, že jsem diplomovou práci na téma Zavádění systému vnitřních kontrol ve společnosti E.ON jsem vypracoval samostatně a použil jen pramenů, které cituji a uvádím v přiloženém soupisu literatury, pod vedením vedoucího diplomové práce.

V Brně, dne 22. května 2006

………………………

2

PODĚKOVÁNÍ Chtěl bych tímto poděkovat panu Ing. Petru Procházkovi, vedoucímu diplomové práce za odborné vedení, rady a připomínky v průběhu zpracování. Rovněž bych chtěl poděkovat Ing. Pavlu Vybíralovi a kolektivu Interního auditu E.ON Czech Republic za ochotu při poskytování potřebných informací o společnosti a za čas, který mi věnoval při konzultování odborných témat v oblasti zpracovávané problematiky.

3

ANOTACE Zákon Sarbanes-Oxley ukládá každé akciové společnosti, jejíž akcie jsou obchodovány na amerických kapitálových trzích, povinnost zavést systém interních kontrol. Ne jinak je tomu u společnosti E.ON. V diplomové práci je tedy popsáno postupné zavedení tohoto systému interních rizik od počátečních rozhovorů, scopingu, až po následné testování jednotlivých procesů a kontrol. V závěru práce je zhodnoceno celkové zavádění projektu SOA a jsou zde vyzdvižena pozitiva i negativa celého projektu. Samostatné kapitoly jsou věnovány popisu energetického trhu v České republice a jeho současnému vývoji a čtenář je seznámen i se současností společnosti E.ON.

Klíčová slova: Sarbanes-Oxley Act, Interní audit, PCAOB

ABSTRACT Sarbanes-Oxley Act imposes every stock company, whose stocks are traded on American stock trade, duty of establishement the system of internal controls. Otherwise it isn´t in company E.ON. My diploma work concerns sequentials imposement of system of internal controls from inceptive discussion, scoping to consecutive testing of individual process and controls. In the end of my diploma result of implementing of project SOA is reviewed and there are underlined positives and negatives in the whole project. Individual chapters concern descripton of electricity trade in Czech republic and actual development and reader is acquianted with present of company E.ON.

Key words: Sarbanes-Oxley Act, Internal audit, PCAOB

4

Obsah: 1 Úvod a cíl práce ...................................................................................... 7 1.1

ÚVOD ............................................................................................................................ 7

1.2

CÍL PRÁCE .................................................................................................................... 8

1.3

METODIKA ................................................................................................................... 8

2 Teoretická východiska a přehled literatury............................................ 10 2.1

MARKETINGOVÉ PROSTŘEDÍ PODNIKU.................................................................... 10

2.1.1 Vnitřní prostředí podniku ........................................................................10 2.2

SPRÁVA A ŘÍZENÍ SPOLEČNOSTI ZALOŽENÁ NA PRINCIPECH OECD..................... 11

2.2.1 Vnitřní řízení a kontrola ..........................................................................11 2.2.2 Výbor pro audit .......................................................................................14 2.2.3 Interní audit ............................................................................................15 2.2.4 Práce auditorů ........................................................................................24 2.2.5 Vztah mezi interním a externím auditem ..................................................26 2.2.6 Důvody vzniku a cíle zákona Sarbanes-Oxley ..........................................26

3 Vlastní práce .......................................................................................... 32 3.1

ENERGETICKÝ TRH ................................................................................................... 33

3.1.1 Komodita ................................................................................................33 3.1.2 Legislativa v ČR, sladění právních norem s EU.......................................34 3.1.3 Vymezení trhu .........................................................................................35 3.2

E.ON ČESKÁ REPUBLIKA, A. S. ................................................................................. 37

3.2.1 Základní informace .................................................................................37 3.3

PROJEKT SOA (SARBANES – OXLEY ACT) .............................................................. 43

3.3.1 Zahájení projektu ....................................................................................43 3.3.2 Zavedení projektu SOA do společností ECR, ECD, ECE..........................44 3.3.3 Struktura projektu SOA ...........................................................................45 3.3.4 Časový harmonogram zavádění projektu SOA.........................................48 3.3.5 Zařazení relevantních jednotek a procesů - scoping ................................49 3.3.6 Generický model E.ON............................................................................52 3.3.7 Dokumentace a požadavky na dokumentaci.............................................54 3.3.8 Druhy kontrol..........................................................................................63 3.3.9 Hodnocení efektivnosti navržených kontrol..............................................67 3.3.10 Testování..............................................................................................68 5

4 Diskuse .................................................................................................. 77 5 Závěr...................................................................................................... 84 6 Seznam použité literatury ................................................................... 85 7 Přílohy ................................................................................................... 87

6

1 Úvod a cíl práce 1.1 Úvod Nové tisíciletí nezačalo pro Ameriku příliš optimisticky. Spadla burza, i přes to, že se tvrdilo, že takový pád už není možný. Důvodem tohoto pádu byl krach firmy Enron, která byla považována za prototyp pro novou podnikatelskou sféru. Krach nenastal z důvodu špatné tržní pozice nebo faktorů působících prostřednictvím trhu přímo na snižování zisku, ale odhalením podvodů ze strany představenstva a managementu při nadsazování účetních čísel a falšování účetních výkazů. Nejhorší na této věci ale bylo to, že podvody byly umožněny také nedbalou prací firmy Andersen, jedné z nejrigoróznějších auditorských firem světa. Tato kauza způsobila šok podnikatelského světa, mediální rozhořčenost způsobenou ztrátou pracovních míst a penzijního zajištění, která byla znásobena vysokým očekáváním od práce externích i interních auditorů a ztrátu důvěry investorů. Je však nutné si uvědomit, že tito lidé neměli ze začátku v úmyslu podvádět. Stejně jako investoři z celého světa, věřili tomu, že svět má nekonečné možnosti, a tak své firmy rozšiřovali s přesvědčením, že se zákazníci jen pohrnou. Skutečně věřili, že jejich rozhodnutí je správné, ale neměli pravdu. Bohužel se našli tací, kteří ze své hlouposti chtěli vytěžit co nejvíce, aby byly schopni vybrat své bonusy a prodat své opce, a to co udělali bylo trestuhodné. Po tlaku veřejnosti na Kongres USA vznikl ve vzájemné spolupráci dvou amerických orgánů Americké komise pro cenné papíry (SEC) a Výboru pro dohled nad účetnictvím veřejně obchodovaných firem (PCAOB), zákon Sarbanes-Oxley (SOA, SOX), který zabraňuje opakování těchto činností do budoucna. Hlavním motivem této úpravy tedy byla ochrana investorů, zlepšení a formalizace vládní a restrukturalizace regulace auditorů a celková transparentnost. Dle těchto nových pravidel se již některé společnosti řídí a je předpokládáno, že se jimi bude řídit stále více společností, jejich vedení, účetní i interní auditoři. SOA však nepůsobí jen v USA jak by se na první pohled mohlo zdát. Tento zákon zasahuje i do suverenity jiných zemí, což také zpočátku způsobovalo velké problémy, a to z důvodu ovlivňování chodu národních firem úřady z jiného státu. Faktem ale je, že svět, kde firmy prodávají své produkty a cenné papíry globálně, se musí řídit globálními pravidly. 7

Zákon platí pro všechny firmy zaregistrované u SEC a přebírá jej také EU. Vzhledem k tomu, že akcie firmy E.ON se obchodují na světových akciových trzích a jeho akcie jsou drženy i americkými subjekty, týká se ustanovení SEC i této firmy. Ve firmě E.ON se řízení rizik dle směrnic SOA provádí od roku 2004 a tento projekt se od svého zavedení neustále zdokonaluje a doplňuje. Zavádění tohoto projektu má za úkol útvar interního auditu, ale na jeho celkovém fungování a zdokonalování se musí podílet všichni relevantní zaměstnanci. Naformátováno: Odrážky a číslování

1.2 Cíl práce Zavedení projektu SOA do společnosti E.ON je soustavná činnost. V návaznosti na jeho složitost se na něm podílejí nejen relevantní pracovníci firmy (např. SOA manažeři, interní auditoři), ale i externí auditoři a vnější dodavatelé služeb. Pro správné fungování musí být projekt přehledný a výkladově jasný pro každou zainteresovanou osobu. Bohužel, prozatím je povědomí odborné veřejnosti o této problematice velice nízké. To dokládá i neexistence českého překladu tohoto zákona a nedostatek informací o této problematice v českém jazyce. Hlavním cílem této práce je tedy popsat zavádění jednotlivých částí projektu SOA, ukázat zavedení teorie na praktických příkladech a zadat doporučení pro zlepšení v jednotlivých oblastech. Hlavní cíl by ale nebyl úplný bez seznámení čtenáře s firmou E.ON, kde je projekt SOA zaváděn a s prostředím energetického trhu.

1.3 Metodika Diplomová práce je rozdělena na několik částí. V první části je obsaženo teoretické zdůvodnění zkoumané problematiky. K sestavení této části byla použita dostupná literatura ve formě brožur a textů. Druhá část diplomové práce je rozdělena na tři základní podkapitoly. V první podkapitole je popsán současný stav na trhu s elektrickou energií. Pro toto zpracování bylo použito dostupných informací zveřejňovaných ve firmě E.ON, jakož i použití externích internetových stránek. Druhá podkapitola popisuje historii a současnost firmy E.ON, její obchodní i mimoobchodní (sponzorské aktivity) nejen v jihomoravském regionu. Pro zpracování

8

této kapitoly byly použity výroční zprávy z let 2003 a 2004. Výroční zpráva z roku 2005 nebyla do této práce zahrnuta z důvodu vydání až v červnu tohoto roku. Třetí a nejdůležitější podkapitola se týká popisu zavádění projektu SOA do společnosti E.ON. Kapitola je sestavena dle časové souslednosti se zaváděním projektu a jeho jednotlivých částí. Zde byly použity interní materiály ve formě prezentací, zákona SOA vydaný americkou komisí SEC a PCAOB, novinových článků a odborných textů. V poslední kapitole je zhodnoceno celkové zavedení projektu SOA do společnosti pomocí jedné z jeho částí, která je nazvána Testing. Celkové výsledky za jednotlivé skupiny jsou čerpány z účastí na jednáních, zápisků, ale také ze závěrečné zprávy projektu SOA.

Naformátováno: Odrážky a číslování

9

2 Teoretická východiska a přehled literatury 2.1 Marketingové prostředí podniku Každý podnik, který provozuje svou činnost je ovlivněn prostředím, který na něho působí a ovlivňuje ho v řadě marketingových činností. Důležitou úrovní podniku je mikroprostředí, které je též označováno jako vnitřní prostředí podniku.[6] Naformátováno: Odrážky a číslování

2.1.1 Vnitřní prostředí podniku Vnitřní prostředí je tvořeno částečně kontrolovatelnými prvky, čímž se liší od vnějšího prostředí. Patří sem všechny součásti podniku (tj. vedení, výzkum a vývoj, výroba, nákup a odbyt, ekonomický útvar, doprava atd.) na straně jedné a jeho partneři (tj. dodavatelé, zprostředkovatelé, distributoři, marketingové agentury, finanční instituce, veřejnost, zákazníci a konkurence) na straně druhé. Pokud v rámci zkoumání vnitřního prostředí podniku hovoříme o faktorech, které může organizace v určitě míře ovlivňovat, jsou to v prvé řadě ty vlivy, které se týkají samotného podniku. Ten může přizpůsobovat svou organizační strukturu, předmět činnosti, výrobu, nákup a prodej, lidské a finanční zdroje a samozřejmě i celou oblast marketingu a řadu dalších faktorů, které s existencí podniku bezprostředně souvisí.[6] Dodavatelé patří k nejdůležitějším partnerům podniku, protože mu zabezpečí zdroje potřebné pro výrobu zboží nebo poskytování služeb. Ceny těchto vstupů mají bezprostřední vliv na hospodaření podniku a na ceny finálních produktů. Důležitá je však také dostupnost dodávek. Pro podnik je proto nezbyté vybudování dobrých partnerských vztahů s klíčovými dodavateli. Zprostředkovatelé jsou organizace nebo jednotlivci, kteří pomáhají společnosti při propagaci, prodeji a distribuci zboží a služeb k cílovým zákazníkům. Patří sem jak obchodníci,

kteří

pomáhají najít zákazníky nebo

s nimi uzavírat

obchody,

tak i distributoři, kteří pomáhají při skladování a přepravě zboží, agentury marketingových

služeb

(především

společnosti

zabývající

se

marketingovým

výzkumem, reklamní agentury, marketingové poradenské společnosti a další) a také finanční instituce (banky, úvěrové a další společnosti, které pomáhají financovat nebo jistit finanční rizika spojená s nákupem a prodejem zboží).

10

Konkurence je spojena s existencí volného trhu, a proto by s ní vedení každého podniku mělo při plánování své budoucí činnosti počítat. Za konkurenty můžeme označit jak organizace, které vyrábějí tentýž výrobek nebo poskytují tutéž službu, tak i společnost, jež uspokojí stejnou potřebu zákazníků nebo obslouží stejnou skupinu zákazníků. Veřejností je v podstatě chápána jakákoliv skupina lidí, která má skutečný nebo potenciální zájem ovlivňovat činnost podniku a jeho schopnost dosahovat vytyčených cílů. Zákazníci jsou pak součástí veřejnosti.[6]

2.2 Správa a řízení společnosti založená na principech OECD


Pro efektivní strategické rozhodování potřebuje vedení společnosti přesnou a aktuální znalost stavu jejího hospodaření. Tato znalost je založená na informovanosti, kterou lze definovat jako údaje poskytované efektivně v pravý čas správné osobě.[4] Je doporučováno, aby správní orgány zavedly výbory, které by dohlížely na funkci auditu, nominaci a odměňování, a tak pomáhaly jejich členům nést odpovědnost a umožnily jim informovat zasvěcené akcionáře o činnostech v jejich společnosti. Zavedení a fungování každého z těchto tří výborů by nemělo mít emocionální charakter, a proto b bylo lepší, aby se výbory skládaly hlavně, ne-li úplně z nezávislých členů. Každý výbor by měl být definovanou svou působnost, jasně popisující úkoly výboru a zavádějící jejich plnění. Výbory by se měly scházet pravidelně a všechna jednání by měla mít formální program.[4] Naformátováno: Odrážky a číslování

2.2.1 Vnitřní řízení a kontrola Význam vnitřního řízení a kontroly a řízení rizika Systém vnitřního řízení a kontroly hraje klíčovou úlohu při řízení rizik, která jsou významná pro dosahování podnikatelských cílů společnosti. Řádný systém vnitřního řízení a kontroly přispívá k ochraně investovaných prostředků akcionářů a jmění společnosti. Vnitřní řízení a kontrola přispívá k účinnosti a efektivnosti operací, napomáhá zajištění spolehlivosti podávání interních i externích zpráv a udržování souladu se zákony a předpisy.[8] Efektivní finanční řízení a kontrola včetně udržování řádných účetních záznamů jsou důležitými prvky vnitřního řízení a kontroly. Pomáhají zajistit, aby nebyla 11

společnost zbytečně vystavena finančním rizikům, kterým se lze vyhnout, a aby byly informace využívané ve vnitřním provozu i pro vydávání spolehlivé. Také přispívají k ochraně majetku včetně předcházení podvodům a zjišťování jejich výskytu. Cíle společnosti, její vnitřní organizace a prostředí, ve kterém působí, procházejí průběžným vývojem následkem toho se stále mění rizika, kterým společnost čelí. Řádný systém vnitřního řízení a kontroly proto závisí na důkladném a pravidelném vyhodnocování povahy a rozsahu rizik, kterým je společnost vystavena. Protože zisky společnosti jsou zčásti odměnou za úspěšné zvládání podnikatelských a podnikových rizik, účelem vnitřního řízení a kontroly je spíše pomáhat rizika řídit a udržovat pod kontrolou než je eliminovat.[8]

Udržování řádného systému vnitřního řízení a kontroly Řídící orgán společnosti je odpovědný za systém vnitřního řízení a kontroly společnosti. Je potřebné, aby přijal náležité koncepce vnitřního řízení a kontrol a vyhledával vhodné postupy ujištění umožňujících jejich vlastním průběhem dosvědčovat, že systém pracuje efektivně. Tento orgán dále musí zajišťovat, aby byl systém vnitřního řízení účinný také při řízení rizika, a to způsobem, který sám schválil. Když řídící orgán společnosti určuje své koncepce ohledně vnitřního řízení a kontroly a přitom posuzuje věci, které řádný systém ustavují za okolností pro danou společnost specifických, měl by zvážit tyto faktory: Povahu a rozsah rizik, kterým společnost čelí. Rozsah a kategorie rizik, která jsou považována u dané společnosti jako přijatelně únosná. Pravděpodobnost rizik, která jsou považována za uskutečnitelná. Schopnost společnosti snižovat výskyt a dopad na podnikání u těch rizik, která se uskuteční. Náklady na provozování kontrolních řídících prvků v poměru k přínosům, jaké lze získat při řízení souvisejících rizik.[8] Realizovat koncepce řídícího orgánu společnosti ve věcech rizik, řízení a kontroly je úlohou managementu. Management musí při naplňování své odpovědnosti rozpoznat a zhodnotit rizika, kterým společnost čelí, se zřetelem na koncepci řídícího orgánu rozvrhnout, provozovat a monitorovat přiměřený systém vnitřního řízení a kontroly, který uskuteční koncepci přijatou řídícím orgánem. 12


Všichni zaměstnanci mají nějaký díl odpovědnosti za vnitřní řízení a kontrolu jakožto podíl na zodpovědnosti na dosahování cílů. Zaměstnanci by měli kolektivně mít nezbytné znalosti, dovednosti, informace a autoritu, aby vytvářeli, provozovali a monitorovali systém vnitřního řízení a kontroly. Toto ovšem bude vyžadovat pochopení společnosti, jejích cílů, odvětví a trhy, ve kterých působí, a rizik, kterým čelí.[8]

Prvky řádného systému vnitřního řízení a kontroly Systém vnitřního řízení zahrnuje koncepce, procesy, úkoly, chování a další charakteristiky společnosti, které chápány jako celek umožňují: usnadnit účinné a efektivní provozování systému jeho uzpůsobením k tomu, aby náležitě reagoval na podnikatelská, provozní, finanční, právní a další rizika při usilování o dosažení cílů společnosti. To zahrnuje ochraňování majetku před jeho nesprávným užívání či ztrátami nebo podvody a zajišťování toho, aby byly závazky rozpoznávány a vyřizovány, zajišťovat soulad s příslušnými zákony a předpisy a také s vnitřními klíčovými dokumenty ve vazbě na výkon daného podnikání.[8] Řádný systém vnitřního řízení snižuje, avšak nemůže zcela vyloučit možnost chybného

úsudku

v rozhodování,

lidské

chyby,

záměrné

obcházení

řídících

a kontrolních postupů zaměstnanci i dalšími osobami, nedodržování kontrolních a řídících postupů vedením a výskyt nepředvídaných okolností. Řádný systém vnitřního řízení a kontroly proto poskytuje přiměřené – nikoli absolutní ujištění o tom, že společnost nebude zatěžována překážkami při dosahování svých podnikatelských cílů nebo ve spořádaném a zákonném výkonu svého podnikání, a to za okolností, které mohou být rozumně předvídány.[8]

Prověřování efektivnosti vnitřního řízení a kontroly Prověřování efektivnosti vnitřního systému řízení a kontroly je podstatnou součástí odpovědnosti řídícího orgánu společnosti. Tento orgán bude potřebovat vytvářet si svůj vlastní pohled na efektivnost, a to na základě náležitého a pečlivého výzkumu informací a ujištění, které jsou mu poskytnuty. Management zodpovídá řídícímu orgánu společnosti za monitorování systému a za poskytování dokladů o ujištění, že je chod věcí náležitě zabezpečen.[8] 13


Úloha výborů řídících orgánů v procesu prověřování, včetně úlohy výboru pro audit, záleží na rozhodnutí řídících orgánů a bude také záviset na takových faktorech, jako je velikost a složení řídícího orgánu společnosti, rozpětí, různorodost a složitost činností společnosti a charakter rizik, kterým společnost čelí. Pokud jde o rozsah činnosti výborů vytvořených řídícím orgánem a působících jeho jménem, je potřebné, aby u úkolů, které pokyny tohoto dokumentu připisují řídícímu orgánu, byly výsledky práce příslušných výborů řídících orgánů předkládány a jím také projednány. Řídící orgán společnosti přebírá odpovědnost za vyjádření o vnitřním řízení a kontrole ve výroční zprávě a účtech.[5] Efektivní a soustavné monitorování je podstatnou složkou řádného systému vnitřního řízení a kontroly. Řídící orgán společnosti se však nemůže spoléhat pouze na zavedené procesy monitorování uvnitř společnosti, aby pouze tímto způsobem dostál své odpovědnosti. Je nezbytné, aby si pravidelně dal předkládat a aby sám prověřoval zprávy o vnitřním řízení a kontrole. Navíc by měl provést výroční ohodnocení pro účely svého veřejného prohlášení v dané společnosti, aby zvážil všechny významné aspekty za posuzovaný rok k datu schválení výroční zprávy a finančních výkazů.[8] Naformátováno: Odrážky a číslování

2.2.2 Výbor pro audit Tento výbor má obvykle 3 až 5 členů, z nichž většina nebo všichni jsou nezávislí a scházejí se nejméně čtyřikrát do roka.

Vzorové vymezení působnosti výboru pro audit Poskytování nezávislé poradenské kapacity správních orgánů při hodnocení kvality finančního řízení společnosti pomocí revize a dohledu nad finančním výkaznictvím, správou společnosti a vnitřními kontrolními systémy. Výbor pro audit má zejména: zkoumat postupy vedení zajišťující vhodnost a efektivitu systémů a kontrol; zkoumat

postupy

uplatňované

vedením

k zajištění

dodržování

požadavků

a standardů regulačního systému; provádět dohled nad fungováním funkce vnitřního auditu (pokud je to relevantní); fungovat jako rozhraní mezi vedením a externími auditory.[4] S výkonným výborem pro audit může představenstvo odpovídat za systém vnitřní kontroly společnosti a za ověření jeho efektivnosti. Takový systém je však navržen 14


s tím, aby spíš řídil než eliminoval riziko nesplnění podnikatelských cílů a může poskytovat pouze přiměřenou, nikoliv absolutní záruku, že nedojde k významnému zkreslení nebo ztrátě.[4] Mimo činnosti jako jsou doporučení pro výběr externích auditorů a nebo obnovení jejich existujícího pověření, ochrana majetku a dohled nad vnitřním kontrolním systémem a ohodnocení všech speciálních finančních operací se závažnými důsledky pro společnost,

provádí výbor pro audit i dohled nad interním auditem

a to v těchto činnostech: Ověření vnitřních kontrol, provedení testů dodržování vnitřních kontrol, návrhy


na zlepšení. Analýza rizik, přijetí limitů rizika a soustředění na nejzávažnější rizika, která mají nebo by mohla mít negativní vliv na podnikatelskou činnost. Ověření dodržování právních požadavků a vnitřních norem. Doporučení ke zlepšení jakéhokoliv druhu. Provádění speciálních prověrek (včetně prověrek navržených na základě zpronevěry finančních prostředků), zjišťování konfliktu zájmů, ověřování dodržování etického kodexu. Ověřování účetních údajů. Hodnocení a schvalování účetních závěrek. Zajišťování efektivních informačních toků.[4] Naformátováno: Odrážky a číslování

2.2.3 Interní audit Interní audit je proces nebo procedura, který je definován několika způsoby. Tak, jak se mění podmínky, ve kterých společnost působí, vedou se o úloze interního auditu neustálé diskuse a v důsledku toho vymezení funkce interního auditu podléhá neustálému redefinování. Všechny tyto definice však mají některé atributy neoddiskutovatelné a tedy nezvratitelné.[7] Interní audit je objektivní a nezávislá činnost, při které dochází ke: zkoumání a hodnocení všech činností společnosti na všech jejich úrovních, zkoumání a hodnocení všech mechanismů, pomoci kterých probíhají ve společnosti procesy řízení a s nimi spojené kontroly. Interní audit je realizován v rozdílném prostředí jednotlivých společností, které se liší rozsahem svých činností, teritoriálním rozsahem, počtem zaměstnanců, strukturou 15


výroby i organizace, počtem produktů, úrovní managementu, ale výše uvedené atributy musí být splněny a naplněny v každé z nich. Měl by hlavně prokazovat svoji potřebu a užitečnost v rámci zvyšování kvality finančních i nefinančních procesů nejen v rámci financí.[7] Potřeba funkce interního auditu se bude měnit v závislosti na specifických faktorech pro danou společnost včetně rozsahu, rozmanitosti a složitosti činností společnosti a počtu zaměstnanců a faktorech týkajících se poměru nákladů a přínosů. Top management a příslušný řídící orgán společnosti může vyžadovat objektivní ujištění a poradenské informace ohledně rizika a řízení a kontroly. Přiměřenými prostředky vybavená funkce interního auditu může takové ujištění poskytnout. Uvnitř společnosti mohou působit další funkce poskytující ujištění a poradenské informace týkající se takových specializovaných oblastí jako jsou zdraví a bezpečnost, soulad s předpisy a zákony a otázky životního prostředí.[10] Když řídící orgán provádí své hodnocení potřeby funkce interního auditu, je také potřebné vzít v povahu, zda zde nepůsobí nějaké trendy nebo aktuální faktory týkající se činnosti společnosti, trhů nebo jiných aspektů vnějšího prostředí, které zesilují, nebo se o nich předpokládá, že zesílí rizika, jimž společnost čelí. Takový vzrůst rizika může též pocházet od vnitřních faktorů, jakými jsou změny organizační struktury, postupů podávání zpráv nebo základních informačních systémů. Dalšími záležitostmi, které je potřebné vzít v povahu, mohou být nepříznivé trendy zřejmé ze sledování systémů vnitřního řízení a kontroly nebo ze zvýšeného výskytu neočekávaných událostí.[8]

Určení interního auditu Služeb interního auditu ve fungujících ekonomikách využívají především statutární, dozorčí nebo kontrolní orgány, výbory akcionářů a vedoucí pracovníci na všech stupních řízení společnosti. Interní audit poskytuje orgánům a managementu společnosti informace o tom, zda vnitřní systémy společnosti fungují správně, účelně a efektivně, a že informace které tyto systémy zpracovávají, vytvářejí a poskytují uživatelům, jsou přesné a úplné a vyhovují jejich potřebě řízení. Z tohoto poslání interního auditu je ihned možné usoudit, že v těch společnostech, ve kterých z různých důvodů orgány nebo management nemají zájem na správném fungování vnitřních systémů společnosti, nebude útvar interního auditu zřízen.[7]

16

Interní audit může efektivně fungovat jen s podporou managementu a orgánů společnosti.

Předpoklady správné funkce interního auditu Má-li interní audit plnit svou funkci úspěšně, musí být splněny základní požadavky, které, i přes jedinečnost podmínek jednotlivých společností a proměnlivost poslání interního auditu za dobu své existence, jsou všude a stále stejně. Ve společnostech, ve kterých interní audit plní svou úlohu bezezbytku, většinou zjistíme, že interní audit: je nedílnou součástí vnitřního kontrolního systému společnosti, příslušné orgány společnosti se o závěry interního auditu intenzivně zajímají, činnosti útvaru, který interní audit provádí splňuje tři základní vlastnosti, a) nezávislost na činnostech i osobách, b) objektivita metod i závěrů a c) pravomoci pro zjištění podkladů k závěrům a pro zjištění akceptace závěrů managementem.[7]

Nezávislost auditu Základní podmínkou pro účinné fungování útvaru interního auditu je zajištění jeho nezávislosti. Nezávislost je základní podmínkou pro objektivitu interního auditu. Nezávislost musí být zajištěna jak vzhledem k činnostem prováděným ve společnosti, tak při začlenění do organizační hierarchie společnosti. Nezávislost na činnostech musí být zajištěna jak do minulosti, tak i v přítomnosti, což znamená, že auditoři nesmí hodnotit činnosti, které sami konali, a systémy, které sami realizovali a nesmí vykonávat žádné činnosti, které podléhají auditu a nesouvisí s funkcí interního auditu. Všechny takovéto aktivity by mohly následně narušovat nezávislost a objektivitu auditorů při provádění auditu. Z tohoto důvodu by také auditorská činnost neměla být prováděna osobami, které mohou mít ze subjektivních důvodů zájem na neobjektivních výsledcích. Zajištění nezávislosti při organizačním začlenění útvaru interního auditu ve společnosti znamená, že útvar interního auditu musí být zařazen tak, že jeho vedoucí je podřízen takové úrovni společnosti, aby činnost útvaru interního auditu nebylo možno nikým ovlivňovat, jeho zjištěním a doporučením byla věnována ze strany orgánů 17


nebo managementu společnosti náležitá pozornost a management musel na doporuční reagovat. Přímá podřízenost takovémuto vhodnému objektu řízení je velmi důležitá pro včasnou informovanost o takových zjištěních, nálezech a výsledcích, které mají vliv na hospodářský výsledek společnosti. Nejlepším organizačním začleněním pro dosažení nezávislosti je podřízení útvaru interního auditu výboru pro audit, představenstvu nebo dozorčí radě, méně vhodným je jeho podřízení jinému výkonnému managementu společnosti.[7]

Objektivita a pravomoci Objektivita výsledků interního auditu je nejcennější a také nejsložitější úkol, který je po útvarech interního auditu v dobře fungujících společnostech vyžadován. Objektivním je možno označit takový výsledek auditu, který byl stejný, přestože by auditovaní i auditoři byly stejné osoby. Objektivita závěrů je přímým důsledkem schopností auditorů, výše uvedených nezávislostí a objektivity použitých metod, vzorků, stupnic a případně dalších aspektů, které ovlivňují zjištěné závěry a jejich prezentaci. Pravomoci musí zajišťovat, že: auditovány mohou být všechny činnosti společnosti a všechny systémy společnosti,


závěry z těchto auditů musí být projednány na odpovídající úrovni managementu, výsledky činnosti útvaru interního auditu musí mít možnost jeho vedoucí informovat orgány a managementu společnosti. Nezávislost a s ní související objektivita a odpovídající pravomoci se musí promítat do všech činností interního auditu od plánování auditu, přes přípravu, výběr informací, zpracování zprávy o provedeném auditu, až po návrh opatření a vyžadování nápravy.[7]

Činnosti interního auditu Interní audit zkoumá a hodnotí: dodržování strategie, záměrů a úkolů společnosti, fungování řídících mechanismů uvnitř společnosti a jejich kvalita, fungování a účinnost kontrolních mechanismů uvnitř společnosti, fungování informačních toků a kvalita informací, fungování systému hodnocení a řízení rizik, 18


implementaci obecně závazných právních a regulatorních předpisů do vnitřních norem společnosti, úplnost, průkaznost a správnost vedení účetnictví, komplexnost, věrohodnost, přesnost a spolehlivost účetních dat, provozních dat a informací ve statistice a výkaznictví společnosti, funkčnost a bezpečnost automatizovaných informačních systémů a jejich ochrana, efektivnost vynakládání a využívání zdrojů společnosti, finanční řízení a finanční toky, ochranu aktiv společnosti.[7] Cíle interního auditu Při každé činnosti interního auditu by měl být dosažen jeden z následujících cílů: poskytnout objektivní, nezávislou a pravdivou informaci o zjištěném stavu


u činností, které jsou předmětem auditu, upozornit na rizika a nežádoucí skutečnosti, které ovlivňují nebo v budoucnu mohou ovlivňovat činnosti nebo úkoly společnosti, napomoci dosáhnout zlepšení zjištěného stavu, dosáhnout fixace pozitivních vlivů na průběh auditovaných činností, najít a zhodnotit rizika, která při dosahování předpokládaného stavu u nových procesů či produktů mohou vyskytnout, navrhnout takové podmínky průběhu předpokládaných činností, aby se při nich předešlo potenciálním ztrátám společnosti.[7]

Nástroje k dosažení těchto cílů jsou: Naformátováno: Odrážky a číslování

analýzy, hodnocení, sdělení, stanoviska, informace, doporučení a návrhy opatření. pro vedení společnosti podávanými formou auditorských zpráv.[7]

19

Normativní předpoklady činnosti interního auditu Aby mohl útvar interního auditu plnit, musí být jeho postavení v rámci organizační struktury společnosti pevně stanoveno. Rovněž jeho pravomoci, povinnosti, odpovědnost a omezení musí být ve společnosti definovány a formálně písemně zveřejněny ve statutu nebo ve stanovách a v organizačním řádu společnosti. Následně musí být pak všemi pracovníky společnosti respektovány. Předmět a rozsah činnosti útvaru interního auditu musí být stanoven vnitřními předpisy společnosti. Rovněž způsob provádění auditů, seznamování s výsledky auditu, přístup k informacím a oprávnění k vyžadování opatření musí mít přesná pravidla, která musí být stanovená nejvyššími orgány společnosti.[7]

Odborné předpoklady činnosti interního auditu Interní audit může být plnohodnotně prováděn pouze tehdy, jestliže interní auditoři sami nebo jako tým obsáhnou svými znalostmi a dovednostmi všechny požadavky na činnosti nutné pro řádný výkon interního auditu společnosti. Vedoucí útvaru auditu je povinen dbát o trvalé zvyšování kvalifikace auditorů a dbát o zvyšování profesionální úrovně interního auditu v rámci společnosti. Interní audit nesmí vykonávat osoby, u kterých lze mít vzhledem k jejich vztahu vůči předmětu auditu nebo vůči pracovníkům auditovaného útvaru pochybnosti o jejich nepodjatosti.[7]

Plánování činnosti interního auditu Plánování činnosti interního auditu zajišťuje optimální využití kapacit a efektivní směrování aktivit. Podstatou plánování interního auditu ve společnostech je stanovit pro určité časové období jeho úkoly a určit pořadí jednotlivých úkolů auditu. Plán sestavuje vedoucí útvaru interního auditu na základě hledisek, které si pro tento účel stanovuje. Důvodem pro zařazení do plánu a obsahem auditorské akce se mohou stát např.: aktuální problém, skutečnosti zjištěné monitoringem, náměty a požadavky orgánů a managementu společnosti, analýzy a ohodnocení rizik, náměty externího auditora, požadavky legislativy apod.

20

Plán by měl obsahovat rozsah, věcné zaměření, cíle a termín provedení. Za jeho sestavení a plnění je odpovědný vedoucí útvaru interního auditu. Vedoucí útvaru interního auditu jej předkládá vedení a orgánům společnosti.[7] Do plánu činnosti interního auditu je nutno zahrnout nejen vlastní auditorské akce, ale i zabezpečování těchto dalších aktivit: Naformátováno: Odrážky a číslování

spolupráce s externím auditorem, monitorování, školení a výcvik, komunikace a prezentace výsledků, spolupráce při tvorbě vnitřních předpisů společnosti, metodická činnost. Ve společnostech s dlouhou tradicí interního auditu je možno rozpoznat 4 druhy plánů: Strategický plán, který je zpracován na delší období – většinou tří až pětileté.


Periodický plán, který je zpracován obvykle na období jednoho kalendářního roku Operativní plán je zpracován na období čtvrt roku v členění na jednotlivé měsíce a je zaměřen na skloubení akcí za účelem optimalizace zdrojů a aktuálnosti existujících požadavků. Plán jednotlivých auditů, který je zpracován pro jednotlivé konkrétní úkoly a rozpracovává jednotlivé fáze auditu do detailních kroků za účelem zjištění jejich slabých míst, rizik, možných problémů, které se v nich mohou vyskytnout a způsobit to, že předpokládaných výsledků nebude, díky subjektivním chybám v práci auditorů, dosaženo. Těmito kroky jsou: Naformátováno: Odrážky a číslování

Příprava plánu auditu, Technická a metodická příprava auditu, Získávání, zkoumání a vyhodnocování informací – provádění auditu, Předání výsledků auditu, Ověřování zjednání nápravy.[7] Příprava realizace interního auditu Při přípravě plánu jednotlivých akcí je nutno se zabývat konkrétními metodologickými atributy procesu jako jsou: druhy auditu, které jsou při akci použity, 21


postupy, které budou v průběhu akce použity, metody, které se při sběru informací použijí, metody vyhodnocování získaných informace, způsob zpracování výsledků, forma prezentace výsledků.[7] Realizace tohoto plánu se projevuje v technické a metodické přípravě, která zahrnuje: Výběr týmu pracovníků na základě jejich odbornosti, specializace a vztahu


k auditované problematice vedoucím útvaru vnitřního auditu. Jmenování vedoucího týmu auditorů, kteří budou auditorskou akci provádět. Studium a předpokládané využití dokladů

Obecné platné právní předpisy a specifické normy,

Interní normy společnosti,

Účetní a finanční údaje z účetnictví společnosti a ze sestav, které z něj vychází,

Finanční a statistické údaje obsažené ve výkaznictví společnosti,

Organizační řád společnosti,

Organizační struktura auditovaného útvaru,

Popis činnosti auditovaného útvaru,

Personální seznamy a popis funkcí,

Vzory používaných tiskopisů a formulářů v činnosti auditovaného útvaru,

Vzory tiskopisů a formulářů používaných auditory,

Seznamy a přehledy účetních dokladů a navazujících dokumentů,

Dokumentace dříve provedených auditů,

Auditorské manuály vypracované k auditované problematice.

Zpracování pracovního postupu, ve kterém jsou z časových a věcných hledisek specifikovány jednotlivé úkoly, postupy a metody, kterými bude příslušná auditovaná oblast zkoumána. Časové, věcné a případně personální vymezení zpracování a vyhodnocení výsledků provedeného auditu. Informování vedoucího pracovníka auditovaného útvaru o připravované akci. Zajištění vhodných pracovních podmínek pro tým auditorů. Zpracování dotazníků a testů, které budou v průběhu auditu použity. Vytipování oblastí, ve kterých bude nutné provést rozhovory a připravit pro ně ústní dotazy. 22


Zhodnocení plnění doporučení a opatření, která byla přijata při předcházejícím auditu, zejména se zřetelem na nedostatky, které byly zjištěny v auditované oblasti.[7]

Realizace interního auditu Interní audit by měl být prováděn na základě písemného pověření vystaveného vedoucím útvaru interního auditu. Při provádění interního auditu se auditoři řídí připraveným plánem Auditoři při auditu provádějí tyto činnosti: Naformátováno: Odrážky a číslování

zakládají a vedou spis auditora, získávají, ověřují a analyzují informace, shromažďují podklady pro zvěry, formulují a analyzují zjištění, závěry, doporučení a návrhy na opatření. Ve spisu auditora zaznamenávají auditoři chronologicky kroky, které v průběhu auditu podnikly a zaznamenávají v něm veškeré významné skutečnosti, které při své auditorské činnosti zjistili. Potřebné podklady pro závěry získávají auditoři většinou z dokumentace, rozhovorů, pozorování, ověřování dodržování nebo porušování zásad a postupů uložených vnitřními normami, regulatorními předpisy, obecně platnými právními normami a ověřování úplnosti dokumentace.[7]

Ukončení činnosti auditorů Formy a výstupy činnosti interních auditorů mohou být různé a závisí především na vnitřních normách společnosti, aktuálnosti zjištění a na úrovni managementu, který má zajistit aplikaci doporučení a opatření.[5] Auditorská činnost na útvaru končí po posouzení a vyhodnocení získaných informací a dokumentace z hlediska úplnosti a dostatečnosti ve vztahu k cílům a úkolům, které vyplývají z programu interního auditu. Tento okamžik nastává v praxi po splnění programu auditu a pokračuje vypracováváním zprávy s použitím informací a dokumentace, které auditoři získali v průběhu auditu. Auditorská zpráva by měla obsahovat: informaci o rozsahu provedených auditorských prací, zjištěné skutečnosti a rizika, která z nich vyplývají, 23


závěry a doporučení nebo návrhy na opatření.[7] Návrh zprávy by měl být vždy projednán s vedoucím auditovaného útvaru. Vedoucí auditovaného útvaru by měl mít možnost se v podobě stanoviska k závěrům obsaženým ve zprávě, případně k doporučením a opatřením vyjádřit. Interní audit musí být oprávněn vyžadovat od vedoucího auditovaného útvaru informaci o přijetí opatření k odstranění zjištěných nedostatků a rizik a o splnění přijatých opatření. Musí mít právo ověřit plnění přijatých opatření k odstranění nedostatků a rizik.[15] Výslednou zprávu nebo její shrnutí musí mít útvar interního auditu právo předat orgánům nebo managementu společnosti. Toto právo musí útvar interního auditu vždy využívat.[7]

Následná kontrola Cílů interního auditu bude dosaženo tehdy, jestliže budou realizována doporučení, která útvar interního auditu navrhl. Skončení auditorského procesu může však nastat až tehdy, jestliže nejsou při kontrole realizace doporučení a jejich uplatnění v praxi zjištěny systémové závady. Jestliže jsou zjištěny systémové závady nebo závady v oblasti kontrolních mechanismů, je to opět příležitost pro auditory. Jen tehdy, jestliže auditovaný proces probíhá bez nedostatků a jen s úměrnými a ovládanými riziky, můžeme celý auditorský proces považovat za úspěšně ukončený. Závěry auditorů mohou však v tomto bodě být zaujaté, protože auditoři hodnotí v tomto případě i případný svůj podíl na nynějších nedostatcích a dřívějším stanovení rizik, které byly zjištěny při kontrole toho, jak byla realizována navržená doporučení. Pokud měl auditor objektivní informace, objektivně je zhodnotil, vyvodil správné závěry a navrhl doporučení, která konzultoval s auditovanými, má oprávněnou naději očekávat, že nezjistí závady systémové, ale pouze takové, které spočívají v nedodržování postupů, zaviněné lidským faktorem.[7] Naformátováno: Odrážky a číslování

2.2.4 Práce auditorů Oprávnění auditorů Pracovníci interního auditu musí být oprávněni:

24

vyžadovat od útvaru, v němž provádějí audit, vytvoření odpovídajících vhodných pracovních podmínek, vyžadovat od pracovníků auditovaného útvaru informace o veškerých skutečnostech souvisejících s auditovaných činností, vyžadovat od pracovníků auditovaného útvaru ústní nebo písemná vysvětlení


o veškerých zjištěných skutečnostech o auditované činnosti, vstupovat na všechna pracoviště společnosti, nahlížet do všech dokladů, materiálů a médií a z nich vytvořených sestav, jednat se všemi pracovníky orgánů společnosti a jejím managementem, vyhotovovat fotokopie, videozáznamy, opisy a výpisy z originálních dokladů, získávat data ze systémů výpočetní techniky a pasivně do nich vstupovat. [7] Povinnosti auditorů Pracovníci interního auditu musí být povinni: zachovávat vůči neoprávněným osobám diskrétnost a mlčenlivost o všech


skutečnostech zjištěných v průběhu auditu, respektovat specifické podmínky auditovaných útvarů a jejich pracovníků, zabezpečit veškeré získané informace proti jakémukoliv jejich zneužití nepovolanou osobou, neprodleně informovat přímého nadřízeného nebo vedoucího útvaru interního auditu o všech zjištěních závažné povahy nebo odůvodňující podezření z trestné činnosti, provádět svou auditorskou činnost v souladu s obecně platnými právními předpisy, auditorskými standardy, etickým kodexem a vnitřními předpisy společnosti, upozornit na rizika a nežádoucí skutečnosti, které ovlivňují nebo v budoucnu mohou ovlivnit činnosti nebo úkoly společnosti, provádět auditorskou činnost s náležitou profesní péčí, udržovat si odbornou kvalifikaci průběžným vzděláváním.[7] Odpovědnost auditorů Pracovníci interního auditu jsou odpovědni: za provádění své auditorské činnosti v souladu s obecně platnými právními předpisy, auditorskými standardy, etickým kodexem a vnitřními předpisy společnosti, za kvalifikované provedení auditu, 25


za objektivní zhodnocení všech zjištěných skutečností, za neprodlené informování příslušných orgánů nebo pracovníků společnosti o všech zjištěních závažné povahy.[7]

Omezení auditorů Pracovníci auditu nesmí: narušovat plynulý chod auditovaných útvarů,


při své auditorské činnosti a ve vztazích v rámci této činnosti postupovat tak, aby nemohla být zpochybněna nezávislost a objektivitu auditu, být vůči předmětu auditu nebo vůči pracovníkům auditovaného útvaru podjatí.[7]

2.2.5 Vztah mezi interním a externím auditem


Interní auditor se soustřeďuje na přidávání hodnoty a zdokonalování procesů v organizaci. Svou pozornost obrací na hodnocení a zlepšování efektivnosti systému a řízení rizik, správu a úroveň řízení organizace. Šetření se zaměřuje především na budoucnost organizace, vyhodnocuje zejména řídící a kontrolní mechanismy, které mají zajistit naplnění strategických záměrů a cílů.[10] Naproti tomu externí audit je zaměřen na vyhodnocení minulosti, posuzuje realizované transakce a jejich dopad do majetkové a důchodové situace organizace. Posouzení správnosti účetní závěrky provádí vzhledem k potřebám „třetích stran“, které potřebují spolehlivé informace. Externí i interní audit je vzájemně propojen a obě formy se navzájem podporují, i když statutární auditor je činný převážně pro třetí strany, zatímco funkce interního auditu se provádí pro vedení společností.[15]

2.2.6 Důvody vzniku a cíle zákona Sarbanes-Oxley Zákon Sarbanes-Oxley je známý také pod názvem Zákon na reformu účetnictví společností, jejichž akcie jsou obchodovatelné na veřejných burzách a ochranu investorů. Byl zpracován v roce 2002 a 30. července téhož roku se stal právně závazným poté, co jej podepsal americký prezident George W. Bush. Jedná se o velice významnou právní normu, která představuje nejobsáhlejší reformu legislativy kapitálových trhů od vydání zákonů o cenný papírech z 30. let minulého století.[11]

26


Nové předpisy pro kontrolu společností, odhalování informací a hlášení reformují hlavně Zákon o cenných papírech (Securities Act of 1933), Zákon o burze cenných papírů (Security Exchange Act of 1934), Zákon o společnostech veřejné služby (Public Utility Holding Company Act of 1935), Zákon o trustových smlouvách (Trust Indenture Act of 1939), Zákon o investičních společnostech (Investment Company Act of 1940) a Zákon o investičních poradcích (Investment Advisers Act of 1940). Lze se dokonce setkat s názorem, že se jedná o nevýznamnější zákonodárný počin v této oblasti od schválení The New Deal.[16] Návrh vzešel od senátora Paula Sarbana a poslance Michaela Oxleyho, kteří tak reagovali na sérii skandálů spojených s hospodářskou kriminalitou. Kauzy, jakými byly například Enron nebo WorldCom, otřásly v letech 2001-2002 důvěrou investorů USA a měly fatální dopad na kapitálový trh USA.[11] Zákon si klade za cíl odhalit a potrestat podvody korporací ve správě řízení a účetní podvody, zajistit spravedlnost pro ty, kteří se provinili, a chránit zájmy zaměstnanců a investorů. Tohoto cíle by mělo být dosaženo zejména zpřísněním pravidel

vykazování

v

účetních

výkazech,

zvýšením

požadavků

kladených

na nezávislost auditu či zvýšením osobní i trestní odpovědnosti pracovníků za falsifikované účty. Zákon je členěn do 11 kapitol a každá kapitola je dále členěna do sekcí a paragrafů.[16]

Zákon obsahuje tyto důležitá ustanovení: 1. Účetní standarty a pravidla musí být vysoce kvalitní a tvořeny soukromou, politicky nezávislou organizací, která bude mít svůj vlastní, politicky nezávislý zdroj financí, která má za jediný cíl sloužit investorům a zájmům veřejnosti, která bude pohotově schvalovat standardy, a tím reagovat na měnící se obchodní prostředí, a která bude podporovat mezinárodní konvergenci k jedné sadě účetních standardů. 2. Ustanovení nové instituce, nazvané Výbor pro dohled nad účetnictvím veřejně obchodovaných firem (PCAOB). Mandátem výboru je vytvořit systém, který zaručí, že auditoři budou odvádět kvalitní práci. PCAOB je nezávislá nevládní instituce s vlastním nezávislým zdrojem financování. Jako součást tohoto mandátu PCAOB bude mít právo tvořit auditorské standarty, dohlížet na činnost auditorů, vyšetřovat případná porušení vlastních pravidel a trestat je. Zákon vysloveně říká, 27

že se vztahuje na všechny auditorské firmy, které vydají své stanovisko o společnosti zaregistrované u SEC. 3. Auditorské firmy jsou povinné svůj pracovní materiál a ostatní informace související s auditem skladovat minimálně 7 let. 4. Stanovisko musí podepsat alespoň dva partneři. Jeden partner nesmí být zodpovědný za audit nebo může poskytovat druhý podpis u stejného klienta po dobu více než pět let.[16] Zákony Sarbanes-Oxley a Securities Exchange se vztahují primárně na americké společnosti, ale díky mezinárodnímu pohybu kapitálu a především v důsledku současného praktického použití Sarbanes-Oxley se jejich působnost v praxi rozšiřuje daleko za hranice USA, mimo jiné i na některé české společnosti. Šestnáct procent firem registrovaných na americké burze NYSE má hlavní sídlo a rezidentství mimo území USA. Zahraniční společnosti ze 48 zemí představují 35 % tržní kapitalizace a téměř 200 z nich pochází z evropského kontinentu. Přestože tyto podniky mají hlavní sídlo mimo USA, podléhají úpravě jak zákona Securities Exchange, tak zákona Sarbanes-Oxley z prostého důvodu, a to, že jsou obchodovány na americkém kapitálovém trhu. Z evropských firem podléhají registraci například Air France, Siemens a Allianz, z českých např. Komerční banka a Česká spořitelna.[11] Lhůta pro splnění registračních povinností je v platnosti už mnoho let. Novinkou je však zmíněná informační povinnost týkající se interních kontrolních systémů. Tato povinnost je dána účinností hlavy 404 zákona SOA. Původně se tato povinnost měla vztahovat poprvé na zahraniční podniky, jejichž fiskální rok končí 15. července 2005 nebo později. V únoru 2005 vydala Securities Exchange Commision (SEC) prohlášení, ve kterém posunuli lhůtu účinnosti hlavy 404 pro zahraniční společnosti na 15. červenec 2006. Zavádění nových pravidel do praxe ale není jednoduché, a tak se lhůty stále prodlužují. SEC proto opět odhlasovala na svém zasedání o prodloužení lhůty pro splnění požadavků zákona SOA na 15. července 2007.[12]

Hlava 302 a 404 zákona Sarbanes-Oxley Hlava 302 a 404 zákona jsou pravděpodobně oblastmi, které se dotýkají neamerických podniků nejvíce. Zákon požaduje, aby se finanční a výkonný ředitel společnosti vyjádřili ke kvalitám, charakteristikám a případným závažným nedostatkům interních kontrolních systémů. Svým výrokem a hodnocením podávají veřejnosti 28

informaci o firemních kontrolních systémech, které by měly být natolik adekvátní, efektivní a dokumentované, aby dokázaly zabezpečit pravdivé a úplné informace o podniku. Hodnocení ředitelů je pak ještě podle hlavy 404 doplněno o posouzení nezávislého auditora.[16]

Hlava 302 - odpovědnosti generálního a finančního ředitele Generální a finanční ředitel musí potvrdit: Naformátováno: Odrážky a číslování

že každou zprávu zkontrolovali, že zprávy včetně finančních výkazů dávají přesný obraz organizace (žádná opomenutí nebo nesprávné údaje), jsou odpovědní za vnitřní kontrolní a řídící mechanismy v oblasti finančních zjištění, tyto kontrolní a řídící mechanismy umožňují, že jsou informováni o každé důležité události v organizaci nebo jejich pobočkách, že prověřili účinnost těchto kontrolních a řídících

mechanismů v posledních

3 měsících. Výsledek tohoto hodnocení je součástí zprávy, zda informovali externí auditory o všech slabých místech v systému vnitřních kontrolních a řídících mechanismů nebo o zpronevěře, což může mít dopad na tyto kontrolní a řídící mechanismy. Hlava 404 zákona SOA požaduje, aby výroční zpráva obsahovala auditovaný výrok managementu ke stavu, kvalitám a charakteristikám firemních kontrolních systémů. Kromě toho je vedení podniku navíc ke konci účetního období povinno poskytnout hodnocení vývoje a změn interních kontrol, které měly nebo by v budoucnu mohli mít zásadní vliv na schopnost společnosti vykazovat finanční informace.[16]

Hlava 404 - Vnitřní kontrolní a řídící mechanismy Zákon se vztahuje na společnosti, jejichž cenné papíry, ať už majetkové nebo dluhové, jsou podle zákona z roku 1934 registrovány u SEC, tj. na tzv. „emitenty”, kteří zároveň podávají nebo podali registrační prohlášení, které dosud není účinné. Výjimku nemají ani zahraniční emitenti, jejichž cenné papíry nejsou veřejně obchodovatelné v USA.

29


Společnosti dotčené působením zákona Sarbanes-Oxley se zabývají převážně implementací sekce 404, která přináší významné změny do fungování představenstva a managementu. Mezi základní problémy, se kterými se musejí vypořádat, patří: vymezení časového rámce a zdrojů tak, aby byly dodrženy požadavky zákona,


zajištění mechanismů, které umožní managementu v souladu se zákonem hodnotit a podat zprávu o efektivitě systému vnitřních kontrol zaměřených na pravdivost, úplnost a správnost finančního hlášení, umožnění externím auditorům vyjádřit se k hodnocení efektivity vnitřních kontrol provedených managementem, vyvinutí nástrojů, pomocí kterých bude firma distribuovat tyto nové informace veřejnosti. Porušení zákona Sarbanes-Oxley se kvalifikuje jako kriminální čin.[16]

Zpráva pro SEC podle požadavků Sarbanesova zákona: Naformátováno: Odrážky a číslování

registrování zprávy

výroční zpráva,

pololetní zpráva,

čtvrtletní zpráva,

zpráva o vnitřních řídících a kontrolních mechanismech, doklad pro vyšší vedení (gen./fin. ředitel), vyhovět oddílu týkajícímu se prověrek externích auditorů.[16] Výhledy pro evropské firmy Evropské právo Kodex správy a řízení společností založený na principech OECD, Národní úpravy v evropských zemích (Francie – Financial Securities Act, Belgie – Corporate Governance Law). EU – modernizace 8. Direktivy – aplikace SOA principů podnikatelských i státních subjektů.[11]

30

do legislativy


Problémy kombinace SOA a českého práva Neexekutivní ředitelé - ve Výboru pro audit (VPA) nesmí zasednout nikdo z


představenstva, pokud je to výkonný ředitel (tzn. je placen společností i za jinou činnost než ve VPA či představenstvu). Požadavek - nezávislý finanční expert ve VPA.[13] Povinnost „registrované“ společnosti - Posílení principů corporate governance, vazba na doporučení OECD Splňovat podmínky dané SOA pro interní audit: Naformátováno: Odrážky a číslování

nastavení vnitřního kontrolního systému, nezávislost členů výboru pro audit, vztahy s externím auditem, zveřejňování a zpracování informací, pravidelné zasílání strukturovaných zpráv. Povinnosti dané SOA pro Výbor pro audit :


splňovat kritérium nezávislosti, přímá odpovědnost za výběr a odměňování a dohled nadexterním auditem, zavedení postupů přijímání, evidování a řešení stížností, schvalování rozsahu auditních a neauditních služeb.[22] Definice interní kontroly dle zákona SOA a požadavků PCAOB Interní kontrola je proces (postup) zajišťující v přiměřené míře spolehlivost finančního výkaznictví a přípravu finančních výkazů. Vztahuje se k účetním záznamům a transakcím společnosti v přiměřené míře detailu a zajišťuje soulad s relevantními účetními pravidly,

předpisy a standardy (GAAP).

Zajišťuje prevenci proti

neoprávněným transakcím s aktivy společnosti, či napomáhá odhalení takových transakcí.[16]

Koncept přiměřené záruky Posouzení interních kontrol je prováděno na úrovni přiměřené záruky – nikoli požadavkem absolutní jistoty. Existuje velmi malé riziko, že nebude zabráněno materiálním chybám nebo tyto chyby nebudou detekovány.[13]

31

Provádění auditu 1. Plánování 2. Posouzení hodnocení kontrol managementem 3. Získání porozumění systému interních kontrol 4. Testování a posouzení efektivnosti designu a fungování kontrol 5. Zformování názoru na efektivitu interních kontrol PCAOB může provádět šetření v každé z těchto oblastí a zda na sebe navazují.[16]

32



3 Vlastní práce 3.1 Energetický trh 3.1.1 Komodita Energie Energie tvoří základ života na naší planetě. Nejvýznamnějším zdrojem je energie slunečního záření, neboť dodává rostlinám i živočichům světlo a teplo, bez nichž bychom si život na Zemi dokázali jen stěží představit. Mezi další významné přírodní zdroje se řadí energie vody a větru. Postupem času se však lidé naučili získávat energii ze zdrojů, které jsou méně závislé na rozmarech přírody. Elektrická energie Za nejvýhodnější typ je dnes považována energie elektrická, na kterou dnes často převádíme i jiné druhy energie. I když příroda oplývá různými druhy energií, elektřinu zde v přímo využitelné formě nenalezneme. Člověk ji proto musí získávat přeměnou jiných druhů energie, nejčastěji energie mechanické, tepelné, světelné nebo využíváním chemických procesů. Elektřina se stala běžnou součástí každodenní činnosti člověka v moderní civilizaci. Zajišťuje světlo, dodává teplo a je zdrojem energie pro rozličné stroje a zařízení. Elektrická energie je nejčistší a nejuniverzálnější formou energie. Má však i svůj nedostatek – vázanost její výroby na spotřebu, tj. nemožnost jejího skladování. Elektřina je charakterizována zejména elektrickým proudem a elektrickým napětím. Elektřina se získává přeměnou jiné formy energie. Základem pro výrobu elektrické energie jsou přírodní zdroje, zejména uhlí, ropa, plyn, uran, etan, voda, ale také sluneční záření a vítr. Zařízení pro výrobu, přenos, rozvod a spotřebu elektrické energie tvoří soubor, nazývaný elektrizační soustavou. Ještě na počátku 20. století představovala rozvodná elektrická síť na území dnešní České republiky pouze několik desítek menších zdrojů elektrické energie a několik málo kilometrů elektrických rozvodů. S postupem času se začaly stavět výkonnější elektrárny a propojovat se elektrickými vedeními do spolupracujících soustav nejen v rámci regionu, ale i mezi jednotlivými státy. Naformátováno: Odrážky a číslování

33

3.1.2 Legislativa v ČR, sladění právních norem s EU Energetický trh se řídí zákonem č. 458/2000 Sb., o podmínkách podnikání a o výkonu státní správy v energetických odvětvích a o změně některých zákonů.

Orgány ovlivňující energetický trh (výkon státní správy): •

Ministerstvo průmyslu o obchodu – jako státní orgán pro energetiku

•

Energetický regulační úřad

•

Státní energetická inspekce

Ministerstvo dle §16 zpracovává státní energetickou koncepci, vydává souhlas s výstavbou nových zdrojů v elektroenergetice a teplárenství, státní souhlas s výstavbou přímých vedení a vybraných plynových za řízení a zabezpečuje plnění závazků vyplývajících z mezinárodních smluv, kterými je Česká republika vázána, nebo závazků vyplývajících z členství v mezinárodních organizací. Významný vliv na fungování české energetiky má Energetický regulační úřad. Základním posláním regulačního úřadu je podpora hospodářské soutěže a ochrana práv spotřebitelů v těch oblastech energetického odvětví, kde není možná konkurence, s cílem uspokojit všechny přiměřené požadavky na dodávku energií. Regulační úřad rozhoduje také o udělování licencí nezbytných pro podnikání v energetických odvětví. Energetický regulační úřad podle § 2c zákona č. 265/1991 Sb., o působnosti orgánů České republiky v oblasti cen, ve znění pozdějších předpisů, § 17 zákona č. 458/2000 Sb., o podmínkách podnikání a o výkonu státní správy v energetických odvětvích a o změně některých zákonů (energetický zákon), vydává cenové rozhodnutí o maximálních cenách elektřiny. Energetický regulační úřad tedy stanoví maximální ceny a podmínky pro dodávku elektřiny chráněným zákazníkům ze sítí vysokého napětí a ze sítí nízkého napětí. Státní energetická inspekce provádí kontrolu v energetických odvětvích.

34

Liberalizace (otvírání trhu) S nutností uskutečnit liberalizaci tržního prostředí v souladu s legislativou EU byl přijat nový energetický zákon č. 458/2000 Sb., jenž upravuje postupný přechod chráněných zákazníků k zákazníkům oprávněným a stanovuje pravidla, která platí pro otvírání trhu v ČR. V roce 2002 vstoupil český energetický sektor do nové etapy vývoje. Od 1.1. 2002 si mohlo téměř 70 největších odběratelů elektrické energie vybrat svého dodavatele. Tím započala první fáze postupného otevírání trhu s elektřinou v České republice. Postupné otevírání trhu přineslo dva nové pojmy, respektive rozdělení zákazníků do dvou skupin: Oprávnění zákazníci – ti zákazníci, kteří si dle zákona mohou vybrat svého dodavatele elektrické energie (tzv. silové elektřiny) Chránění zákazníci – ti zákazníci, kteří si nemohou vybrat svého dodavatele elektrické energie a jejichž cena za spotřebu elektřiny je stanovena jako maximální dle Cenového výměru ERÚ stanovovaný na každý rok pro monopolního regionálního dodavatele. V současné době se Česká republika nachází v poslední etapě liberalizace trhu tzn., že od 1. ledna 2005 se stali dle dosavadních předpokladů oprávněnými zákazníky všichni koneční zákazníci odebírající ze sítí vyššího než nízkého napětí a koneční zákazníci odebírající elektřinu ze sítí nízkého napětí. Dosavadní způsoby dodávky elektrické energie byly plně regulovány státem a zabezpečovány ve spolupráci s regionální distribuční společností. Ta byla v místě svého působení monopolním dodavatelem elektrické energie a zákazník neměl možnost vybrat si z více nabídek. Naformátováno: Odrážky a číslování

3.1.3 Vymezení trhu Působnost jednotlivých distribučních společností v oblasti chráněných zákazníků není již striktně vymezena předpisy vydanými ERÚ. Regionální společnosti mohou obsluhovat zákazníky pouze i regionech, ve kterých nepůsobí. Společnosti mohou prakticky působit na celém energetickém trhu ČR a získávat oprávněné zákazníky formou konkurenčního boje.

35

Obr. 1: Rozdělení působnosti energetických společností v regionech

Účastníci trhu 1. Výrobci elektrické energie – fyzické či právnické osoby, které vyrábějí elektřinu a jsou držitelem licence na výrobu elektřiny. 2. Provozovatelé přenosové soupravy – právnická osoba, která řídí toky elektřiny v přenosové soustavě a je držitelem licence na přenos elektřiny. 3. Provozovatelé distribučních soustav – fyzické nebo právnické osoby, které mají licenci na distribuci elektřiny a řídí toky elektřiny na úrovni distribučních soustav a umožňují distribuci na základě uzavřených smluv. 4. Operátor trhu – akciová společnost založená státem, která organizuje obchodování s elektrickou energií. 5. Obchodníci s elektřinou – subjekty, které mají licenci pro obchodování s elektrickou energií a nakupují elektřinu za účelem jejího dalšího prodeje. 6. Koneční zákazníci – všichni spotřebitelé elektrické energie. Jeden právní subjekt může být držitelem více licencí, který může být zároveň distributorem a obchodníkem s elektrickou energií. Aby nedocházelo ke zvýhodnění postavení vůči ostatním obchodníkům, je zákonem nařízeno vést oddělenou evidenci za každou licenci. Všem subjektům trhu je zároveň nařízeno poskytovat distribuční cesty za regulované ceny. Naformátováno: Odrážky a číslování

36

3.2 E.ON Česká republika, a. s. 3.2.1 Základní informace Naformátováno: Odrážky a číslování

Historie 1913 - 1994 Vznik společnosti je spojován se zahájením provozu elektrizační soustavy tvořené elektrárnou v Oslavanech (zahájila provoz 1. dubna 1913), soustavou přenosového vedení 44 kV, distribučními sítěmi a transformovnami v Brně a Oslavanech. Soustavu provozovala rakouská akciová společnost OELAG. V roce 1918 byla oslavanská elektrárna převedena do majetku Moravského zemského výboru v Brně. V roce 1921 vznikly na základě elektrizačního zákona Západomoravké elektrárny, akciová společnost. Ta byla k 1. lednu 1946 přeměněna na národní podnik Západomoravské elektrárny. Později bylo toto území rozděleno mezi dva nové rozvodné podniky, Brněnské a Gotwaldovské energetické rozvodné závody, n. p. letech 1954 – 1955 se oba podniky staly pouze rozvodnými závody bez právní subjektivity v rámci Energotrustu, n. p., Brno. Do roku 1960 jim byla část dřívější činnosti navrácena. V roce 1961 vznikly v rámci nového Jihomoravského kraje sloučením Energetických rozvodných závodů v Brně a Gotwaldově Jihomoravského energetické závody, n. p . Ty se staly v roce 1977 součástí koncernu ČEZ. Od roku 1988 se podřízenost projevila i v názvu, který zněl: České energetické závody, koncern – Jihomoravské energetické závody (ČEZ – JME, k. p.). V roce 1990 byly Jihomoravské energetické závody vyčleněny ze státního podniku ČEZ a zřízeny jako samostatný státní podnik. Po skončení druhé privatizační vlny vznikla v roce 1994 na základě privatizačního projektu akciová společnost Jihomoravská energetika, a. s.

1994 – 2005 V říjnu roku 1999 zakoupila téměř 19 % podíl akcií JME německá energetická společnost Isar Amperwerke AG. Díky fúzím na německém elektroenergetickém trhu se majitelem těchto akcií stává energetický koncern E.ON Energie AG. Na počátku roku 2002 byly akcie E.ON Energie AG převedeny na dceřinou společnost E.ON Czech Holding AG, která tak spolu ve shodě s jednacími subjekty získala nadpoloviční většinu hlasovacích práv k akciím JME. Po podpisu smluv mezi E.ON Czech holding AG a ČEZ v září 2003 se E.ON Czech Holding AG stává majoritním vlastníkem JME. 37

V roce

2004

nadále

probíhá

restrukturalizace

společnosti

podle

plánu

restrukturalizace v rámci projektu czech.on. Došlo k organizačnímu rozčlenění společnosti na funkční části týkající se distribuce elektřiny, výroby a obchodu s elektřinou, služeb a správy majetkových účastí. Dotčené části podniku byly vloženy do nově zakládaných společností E.ON Česká republika, a. s., E.ON Distribuce, a. s. a E.ON Energie, a. s.[1][2] Obecné informace Název společnosti: E.ON Česká republika, a. s. Používaná zkratka názvu společnosti: ECR Sídlo společnosti: Lannova16, 370 49 České Budějovice Identifikační číslo (IČ): 26078180 Datum vzniku společnosti: 20. 7. 2004 Právní forma: akciová společnost Společnost je zapsána do obchodního rejstříku vedeného u Krajského soudu v Českých Budějovicích.

Hlavní předmět činnosti: Naformátováno: Odrážky a číslování

prodej elektrické energie výroba elektrické energie nákup elektrické energie distribuce (rozvod) tranzit (přenos) dovoz a vývoz elektrické energie a poskytování služeb s tím souvisejících Další předmět činnosti (výběr z 31 činností): řízení elektrizační soustavy včetně dispečerského řízení nestátní zdravotnické zařízení projektová činnost ve výstavbě ověřování stanovených měřidel ubytovací služby a hostinská činnost měření emisí rozvod tepla pronájem průmyslového zboží 38


Licence k podnikání: Naformátováno: Odrážky a číslování

výroba elektřiny distribuce elektřiny obchod s elektřinou

Obr. 2: Společnost E.ON na východoevropském trhu

Obr. 3: Nová struktura společnosti od roku 2005 Naformátováno: Odrážky a číslování

39

Kapitálové účasti AISE – JME, s. r. o.

Zlín

obch. podíl

51,01 %

Moravská elektroenergetická

Brno

akcie

50,00 %

Teplárna Kyjov, a. s.

Kyjov

akcie

44,87 %

EFIS, a. s.

Praha

akcie

33,33 %

Aliatel, a. s.

Praha

akcie

11,44 % Naformátováno: Odrážky a číslování

Lidské zdroje V roce 2004 společnost zaměstnávala 1610 pracovníků v průměrném přepočteném stavu, což představuje meziroční pokles téměř o 6 %, který je v souladu s implementací projektu restrukturalizace O.R.I.O.N. Z celkového počtu pracovníků bylo 1193 mužů a 417 žen, přičemž 1,1 % zaměstnanců bylo zařazeno v manažerských funkcích, 67,9% ve funkcích technických, ekonomických a administrativních a 31 % zaměstnanců v dělnických profesích. V roce 2004 dosáhl průměrný výdělek zaměstnanců hodnoty 26 381 Kč a vzrostl ve srovnání s předcházejícím rokem o 7,5 %.[2] Věková struktura pracovníků

Vzdělanostní struktura pracovníků

2% základní

16% do 30 let 37% středoškolské

27% 31 - 40 let

44% středoškolské s maturitou 17% vysokoškolské

28% 41 - 50 let 29% nad 51 let

Graf č. 1: Vzdělanostní struktura pracovníků

Graf č. 2: Věková struktura pracovníků Naformátováno: Odrážky a číslování

Vztahy s veřejností E.ON jako jeden z ekonomicky nejsilnějších subjektů v regionu a v návaznosti na dlouholetou tradici se aktivně podílí na rozvoji regionu. K aktivitám společnosti patří členství v profesních, obchodních či zájmových sdruženích a organizacích. Prostředky byly podle definovaných sponzorských pravidel věnovány na projekt v těchto oblastech:


charitativní, humanitární a sociální, zdravotnictví, školství, věda a péče o mládež, životní prostředí. 40

V rámci reklamních aktivit byla podpořena řada dalších společensky přínosných projektů: Sport: •

BK Gambrinus Brno – basketbal

•

HC Znojemští orli – hokej

•

VSK Fatra Zlín – házená

•

1. FC Brno – fotbal

•

Zlatá lyže – závod Světového poháru v bězích na lyžích

Kultura: •

Moravský podzim – hudební festival

•

Národní divadlo v Brně, Městské divadlo Zlín JME a později E.ON navázala v roce 2002 na započatou spolupráci se Sdružením

pro zahraniční investice v rámci projektu, jehož cílem je zvýšení prestiže naší země v zahraničí a vytváření příznivého klimatu pro přímé zahraniční investice v České republice. Naformátováno: Odrážky a číslování

Strategie společnosti Strategie společnosti E.ON, vychází z následující vize: 1. E.ON, a. s. chce být nejlepší energetickou společností podnikající ve vybraných energiích a službách zejména na českém trhu. 2. Udržet si historické postavení v regionu, na které chce navázat i ve zcela novém, dynamickém prostředí liberalizovaného energetického trhu v rámci celé České republiky. 3. Svým zákazníkům poskytovat takové produkty a služby, které pro ně mají vyšší hodnotu než produkty a služby poskytované konkurencí. 4. Dosahovat nejlepších ekonomických výsledků mezi energetickými společnostmi v ČR, a tím zajistit kontinuální zvyšování hodnoty majetku akcionářů; zaměřit se na snižování nákladů a optimalizaci majetku. 5. Vytvořit systém řízení společnosti orientovaný na firemní procesy, díky nimž jsou nabízeny zákazníkům požadované produkty a služby v nejvyšší kvalitě. Ukazatele

41

těchto procesů průběžně měřit a vyhodnocovat, aby se neustále zlepšoval jejich průběh, a tím zvyšovala kvalita, dostupnost a efektivita produktu pro zákazníka. 6. Podporovat zvyšování kvalifikace zaměstnanců, vytvořit odpovídající pracovní podmínky a maximálně chránit zdraví všech zaměstnanců společnosti.

Jednotlivé body strategie: Být nejlepším dodavatelem elektrické energie v České republice.


U největších zákazníků – Individuálních zákazníků - o tyto zákazníky bojovat celorepublikově. U ostatních zákazníků se soustředit na spokojenost a udržení stávajících zákazníků v rámci distribučního území E.ON. Být dodavatelem komplexních služeb souvisejících s elektrickou energií, tzn. nebýt jen dodavatelem elektřiny, ale nabízet i doprovodné služby související s elektřinou nebo dodávkou elektřiny (revize, údržby, audity, úspory atd.).

Prodej elektrické energie zákazníkům E.ON, a. s. Rok 2004 rozšířil konkurenční prostředí na českém trhu s elektrickou energií. Oprávněnými zákazníky se stali odběratelé z napěťových hladin vvn a vn, jejichž odběrné místo je vybaveno průběhovým měřením spotřeby elektřiny. E.ON ztratil v průběhu roku 38 stávajících zákazníků, dva nové zákazníky získal. E.ON prodal v roce 2004 svým koncovým zákazníkům celkem 8 019 GWh (včetně elektřiny prodané zákazníkům získaných mimo distribuční území bývalé JME), což je 7,3 % méně než v roce 2003. Důvodem tohoto poklesu prodeje el. energie byla ztráta většího počtu zákazníků než byl počet zákazníků, které v tomto roce získala. Tržby z prodeje elektrické energie koncovým zákazníkům dosáhly za rok 2004 celkové výše 15.281 mil. Kč, což představuje meziroční nárůst o 1,9%. Celková průměrná cena elektrické energie vzrostla oproti roku 2003 o 8,5 % z 1695 Kč/MWh na 1839 Kč/MWh. Hlavní příčinou zvýšení průměrných prodejních cen za elektřinu byl nárůst nákladů na pořízení el. energie. (nákupní ceny elektřiny). Podíl kategorie velkoodběratelů na celkovém prodaném množství elektřiny koncovým zákazníkům se snížil z 56,3 % na 52,5 %. Podíl kategorie maloobchodníků se zvýšil z 43,7 % na 47,5 %.[2]

42


Graf č. 3: Vývoj struktury tržeb z prodeje el. energie koncovým zákazníkům

Prodej elektřiny velkoodběratelům Prodej elektrické energie velkoodběratelům v roce 2004 klesl ve srovnání s rokem 2003 o 13,7% z 4.872,9 GWh na 4.206,2 GWh. Z již výše uvedeném důvodu ztráty zákazníků. Celkové tržby za elektřinu a související služeb dosáhly 6.221,8 mil. Kč což představuje pokles o 1 % oproti roku 2003, kdy činily 6 280,8 Kč.

Prodej elektřiny maloodběratelům V kategorii maloodběratelé-podnikatelé se v roce 2004 oproti roku 2003 zvýšil prodej elektřiny o 2,7 % - z 1.712,9 GWh na 1.204,7 GWh. Tržby za elektřinu vzrostly o 3,5% z 2.620,1 mil. Kč na 2.712,1 mil. Kč. U kategorie maloodběratelé-domácnosti nastala v roce 2004 stagnace spotřeby elektřiny. V tomto roce prodal E.ON této skupině zákazníků 2.608,4 GWh, v roce 2003 2.606,3 GWh, tj. o 1 % více. Tržby vzrostly mírně o 0,9 % z 5.763,0 mil. Kč na 5.814,0 mil. Kč.[2]

3.3 Projekt SOA (Sarbanes – Oxley Act) 3.3.1 Zahájení projektu Při plánování projektu implementace sekce 404 je důležité mít na paměti komplexnost sekce. Požadavky, které jsou v této sekci kladeny, se totiž netýkají jen finančních a účetních oddělení podniku, ale také oddělení, která se zabývají výpočetní technikou, daněmi, právem i interním auditem. Sekce klade vysoké nároky na koordinaci vztahů se třetími stranami, zejména pak externími auditory a firmami,

43


které poskytují outsorcované služby. Je proto důležité vymezit dohled nad projektem a řízení projektu.

3.3.2 Zavedení projektu SOA do společností ECR, ECD, ECE


Hlavní důsledky zavedení projektu SOA pro jednotlivé sekce v podniku Představenstvo ( vrcholoví manažeři ) musí potvrdit: § 302: že zkontrolovali správnost informací uvedených ve finančních zprávách a


přílohách k nim, § 404: že zhodnotili systém finančních kontrol (externí auditor je povinen toto hodnocení ověřit a vydat příslušnou zprávu), § 906: že účetní závěrka je v souladu se zákonem o burze cenných papírů a ve všech významných souvislostech věrně zobrazuje finanční situaci emitenta a výsledky jeho hospodaření je omezeno zaměstnávání bývalých auditorů v klíčových funkcích finančního managementu.[16] V příloze k účetní závěrce je nutné zveřejňovat informace o podrozvahových položkách a o smluvních ujednáních. Společnost musí také zveřejnit svůj etický kodex.

Hlavní důsledky pro výbory pro audit Těžiště vztahu mezi auditorem a společností se přesouvá z představenstva na výbor


pro audit. Výbor hraje hlavní roli v procesu jmenování nezávislého externího auditora. Na členy výboru jsou kladeny požadavky na finanční odbornost - alespoň jeden musí být finanční odborník. Výbor musí předběžně schvalovat auditní i neauditní služby externího auditora. Hlavní důsledky pro externí auditory Vznik Rady pro dohled nad účetnictvím akciových společností (PCAOB), která je regulačním orgánem auditorské profese. Nezávislost auditora Zákon výslovně zakazuje poskytování některých neauditních služeb. Doba, po jejímž uplynutí je nutné vyměnit partnera auditního projektu, byla zkrácena a tento požadavek se rovněž týká partnerů – poradců a partnerů vedoucích audit významných dceřiných společností. 44


Hlavní důsledky pro interní auditory Naformátováno: Odrážky a číslování

Auditor informuje přímo výbor pro audit. Větší rozsah informací, o nichž je auditor povinen informovat výbor pro audit. Auditor ověřuje systém interních kontrol (§ 404).[22]


3.3.3 Struktura projektu SOA


Sekce 404 vyžaduje, aby vedení společnosti zajistilo, že na projekt budou dohlížet členové vrcholového managementu. Je vhodné, aby dohled nad projektem byl vícestupňový. Běžný každodenní dohled by měl vykonávat hlavní kontrolor nebo vedoucí řízení rizik. Další dohled by pak měl vykonávat výbor pro audit a senior management (zejména výkonný ředitel a finanční ředitel). Informační podporu by mělo zajistit oddělení interního auditu.

Řídící výbor

Externí konzultanti

E.ON Distribuce

Project management Executive Project Manager

E.ON ČR

E.ON Energie

Interní konzultanti

E.ON Holding

Obr. č. 4: Struktura projektu SOA Pro zajištění správného fungování projektu je nezbytné, aby projekt byl snadno čitelný pro všechny zaměstnance. Jedině vymezení odpovědnosti za každou stránku projektu, všechny projektem ovlivněné funkce a efektivní koordinace těchto činností umožní projektu uspět. Mezi hlavní činnosti projekt managementu patří: delegovat a řídit odpovědnost za projekt v rámci celé organizace, stanovit termíny a zajistit jejich dodržování,

45


vyvinout normy pro popis procesů, testování a reportování v rámci celé organizační jednotky, zajišťovat mechanismy pro nápravná opatření, spravovat komunikační kanály. Protože se společnost a projekt neustále vyvíjí, je nutné, aby projektový management dbal na aktualizaci dokumentace a testování před rozvahovým dnem. Klíčovou úlohou projektového managementu je proto vyvinout vhodnou infrastrukturu a metodologii pro zaznamenávání a implementaci změn ve vnitřní kontrolní činnosti. Ta by měla zajistit, aby kontroly, které management na konci roku zaznamenává a testuje, fungovaly efektivně. Hrozí jinak riziko, že chyby v mechanismu vnitřních kontrolních činností nebudou objeveny nebo budou objeveny příliš pozdě na to, aby mohla být k rozvahovému dni sjednána jejich náprava.

Organizační jednotka

SOA manager

Procesní skupina

Manager procesní skupiny

Proces

Procesní Manager

Kontroly

FSA manager

Kontrolní Manager

Kontrolní Manager

MC manager

Kontrolní Manager

Obr. č. 5: Rozdělení rolí na jednotlivé řídící úrovně Úkoly a odpovědnosti jednotlivých managerů: 1. Manager procesní skupiny – vrcholová odpovědnost za skupiny projektů

jmenovat správné lidi, kteří budou odpovědní za konkrétní procesy (Process

Managers) pro všechny jejich varianty,

garance dostatek času na práci v projektu,

vkládání údajů do SAP-MIC.

46


2. Procesní manager – odpovědnost za procesy

jmenovat správné lidi, kteří budou odpovědní za hodnocení efektivity,

vyhodnotit proces z hlediska zabezpečení proti finančním rizikům vkládání


údajů do SAP-MIC,

pořídit procesní dokumentaci a k jednotlivým krokům přiřadit:jednotlivé kontroly.

3. Kontrolní manager – odpovědnost za vyhodnocení efektivity kontrol

spolupracovat s PM na zpracování procesní / kontrolní dokumentace,

přiřadit kontrolám atributy,

vyhodnotit skutečnou efektivitu kontrol,

zpracovává dokumentaci kontroly v SAP-MIC a přiřazuje kontroly jednotlivým

Odstraněno: vkládání údajů do

rizikům a kontrolním cílům. 4. FSA Manager – odpovědnost za propojení kontrol se souvisejícími účty ve finančních výkazech

scoping účtů / skupin účtů,

propojit kontroly se souvisejícími účty,

vkládání údajů do SAP MIC.

5. MC Manager – odpovědnost za sumarizaci výsledků průzkumu názorů vybraných zaměstnanců na otázky týkající se:

prostředí kontrol,

informace a komunikace,

monitoringu.


Odstraněno: vkládání údajů do SAP MIC

47

E.ON Úroveň představenstva

Market Unit A

Pobočka A1

Procesní skupina

1. řídící úroveň

Proces

2. řídící úroveň

kontrola 1 kontrola 2

3. řídící úroveň / linioví pracovníci

kontrola 3 Obr. č. 6: Grafická ukázka vícestupňového delegování pravomocí Naformátováno: Odrážky a číslování

3.3.4 Časový harmonogram zavádění projektu SOA Činnost II.

III

IV

V

Měsíc Zahájení Scoping Pořízení dokumentace Migrace do ARIS Školení SAP-MIC Desing Assessment Náprava nedostatků Překlad dokumentace Testování

48

VI

VII

VIII

IX

X

XI

XII

3.3.5 Zařazení relevantních jednotek a procesů - scoping


Jeden z nejdůležitějších úkolů, při sestavování projektu SOA je správné určení procesů, které ve firmě probíhají ve vzájemné interakci. Jednotlivé procesy jsou zařazeny pomocí finančních výkazů, jejichž položky více méně kopíruje. Podnikový systém vnitřních kontrol by měl vycházet z vhodného a uznávaného kontrolního systému.

Zařazování relevantních obchodních jednotek do projektu SOA (Entity – scoping) Entity scoping představuje zahrnutí jednotlivých společností (entit) do projektu SOA. Toto zahrnutí se provádí na úrovni Market Unit, což v našem případě znamená na úrovni E.ON AG, která má zařazení obchodních jednotek výlučně ve své pravomoci. V roce 2005 byly do projektu SOA v České republice zahrnuty E.ON Energie, E.ON Distribuce, E.ON Česká republika a E.ON Czech Holding.

Zařazování relevantních procesů do projektu SOA (Procesní scoping) Základní principy: Kritéria pro zařazování procesů platí pro všechny organizační jednotky, na něž


se vztahuje rámec SOA článek 404 v důsledku zařazení entity tržní jednotky. Všechny údaje použité pro zařazování procesů by měly být s údaji US-GAAP a „čistými údaji“, což znamená po vyloučení mezipodnikových transakcí. Mezipodnikové transakce E.ON, které probíhají mezi různými tržními jednotkami, musí být brány v úvahu (ohledně dokumentace příslušných kontrolních aktivit) stejně jako transakce s externími stranami pro svůj význam pro segmentové reporty.

Ve společnosti E.ON se pro zařazení jednotlivých procesů postupuje podle následujících kroků: Krok 1: Identifikace významných účtů

E.ON vymezil ústřední katalog významných účtů. Procesní manager zkontroluje, které z těchto účtů se nachází ve finančních výkazech (založeno na US-GAAP) dané organizační jednotky.

49


Krok 2: Kvantitativní důvody pro zařazení

Určení jak jsou tyto účty spojené s procesy ústředního katalogu procesů a vypsání


těchto účtů spojených s procesem s číslem účtu a částkou.

Kvantitativní kritéria zařazení jednotlivých procesů Relevantní jsou všechny procesy, které se váží k účetním položkám účetních výkazů (např. nehmotná aktiva) nebo skupinám souvisejících položek (např. stálá aktiva, prodej a příjem), které představují položku ≥ 5 milionům € nebo které se váží k objemu transakčních akcií ≥ 5 milionům €. Příklad 1: Procesní skupina Stálá aktiva Nehmotná aktiva

0,2 mil. €

Majetek, podnik a vybavení

3,0 mil. €

Finanční aktiva

2,5 mil. €

Stálá aktiva

5,7 mil €

Procesní skupina „Stálá aktiva“ je relevantní (skupinové hledisko)


Příklad 2: Procesní skupina Stálá aktiva Nehmotná aktiva

0,2 mil. €

Majetek, podnik a vybavení Finanční aktiva

190,0 mil. € 6,5 mil. €

Procesní skupina Stálá aktiva a všechny obecné interní kontroly relevantní pro stálá aktiva by měly být zahrnuty (skupinové hledisko). Specifické kontroly „majetku podniku a vybavení“ a „finančních aktiv“ by měly být také dokumentovány. U nehmotných aktiv to není nezbytné, pokud by to nebylo nutné z jiných důvodů.

Příklad 3: Inventář a Nákupy a splatné pohledávky Suroviny a dodávky 31.12.03

3,5 mil. €

Suroviny a dodávky 31.12.04

3,0 mil. €

Přírůstky 1.1.04 – 31.12.04 Likvidace 1.1.04 – 31.12.04

50

100,0 mil. € 99,0 mil €


Procesní skupiny „Inventář“ a „Nákupy a splatné pohledávky“ jsou relevantní.


Toto zařazení procesů může být provedeno, pouze bereme-li v úvahu aktivitu účtů (objem transakcí) a nejen analýzu údajů v rozvaze k datu splatnosti. Další transakce a účty (např. příspěvky na penze, dárcovský účet, převody) mohou být významné z kvantitativního hlediska založeného na očekáváních odpovídajícího uživatele. Investoři se mohou například zajímat o zvláštní finanční účet, i když není kvantitativně velký, protože představuje významné měřítko účinnosti. Krok 3: Kvalitativní důvody pro zařazení •

Specifikace dodatečných kvalitativních důvodů pro zařazení/vyřazení procesů. Důvody pro vyřazení procesů musí být dostatečně podrobně vysvětleny. Dle kroku 3 se zařazují všechny procesy, které by mohly být zasaženy podvodem,

ať jsou již důležité či ne, a týkají se managementu nebo dalších zaměstnanců, kteří hrají významnou roli v interní kontrole společnosti nad finanční evidencí nebo jsou silně spjaté s kontrolním cílem ochrany aktiv. Pokud tyto procesy nejsou relevantní podle dříve zmíněných kvantitativních kritérií kontrolní dokumentace se může omezit pouze na ty kontroly, které jsou důležité z hlediska podvodu nebo ochrany aktiv. Každá organizační jednotka musí vzít v úvahu význam a důležitost následujících položek nezávisle na dříve zmíněných kvantitativních kritériích: Hodnocení rizik (procesní skupina B.01) Vedení a uzavírání hlavní účetní knihy (procesní skupina C.08) Informační technologie (procesní skupina C.09) a kontroly managementu Povinně se zařazují mzdy a personalistika Krok 4: Konečné zařazení •

Dokumentace konečného a celkového zařazení procesů. Proces zaznamenané jako zařazené musí odpovídat procesům, jež byly vybrány a přiřčeny související organizační jednotce. Veškeré zahrnuté procesy v každé relevantní organizační jednotce musí

dohromady pokrývat alespoň 80 % celkové rozvahy a všech nákladů. Toho musí být dosaženo bez ohledu na hranici zmíněných 5 mil. €. 51


Další nejvyšší hodnotové položky musí být vzaty v úvahu pro identifikaci doplňkových procesů, které musí být zahrnuty, dokud se nedosáhne hranice 80 %. Především by měl být zahrnut celý prodej, avšak management se může rozhodnout, že určité typy prodeje, které nejsou důležité pro organizační jednotku, nemusí být jednotlivě brány v úvahu. Vyřazené typy prodeje by však neměly překročit 10 % celkového prodeje organizační jednotky. Podle okolností jsou výše zmíněné procesy (celkově nebo částečně) zadány internímu nebo

externímu

poskytovateli

služeb,

což

vyžaduje

zvláštní

zřetel

k např. zařazení kontroly odkazů nebo využití zvláštních postupů pro externí poskytovatele služeb. S ohledem na zařazení však platí v zásadě stejná (důležitá) kritéria jako pro procesy, které nejsou nikomu zadány. Z pohledu E.ON jsou relevantní údaje konsolidované tržní jednotky. To znamená po vyloučení mezipodnikových transakcí E.ON a jinými tržními jednotkami.

3.3.6 Generický model E.ON Jestliže byla vybrána relevantní obchodní jednotka a relevantní proces dle metodiky scopingu, rozpracuje se tento proces stromově v generickém modelu viz. obr. č. 7, na operační cíle, cíle kontroly, rizika. Každý z těchto bodů má svůj přesně stanovený popis, aby bylo jasné co se týká jednotlivých stupňů procesu. Jedná se o obecný model, který se neřídí žádnou univerzální koncepcí, nýbrž představuje dobrý základ pro všechny společnosti skupiny bez ohledu na jejich individuální zaměření. Model vychází z charakteru typických kontrolních procesů v rámci celé skupiny E.ON. Obsahuje kontroly, které lze předpokládat bez ohledu na specifické podmínky jednotlivých společností. Představuje obecnou šablonu, která má sjednotit přístup jednotlivých společností při naplňování zákona a usnadnit tak konsolidaci údajů při jejich vykazování za koncern jako celek. Konkrétní náplň jednotlivých položek modelu je však specifická pro každou společnost. Na obecné úrovni se model skládá ze 16 operačních skupin, které se dále větví na operace, cíle kontroly, rizika a činnosti.

52

Odstraněno: Zařazují se všechny procesy, které by mohly být zasaženy podvodem, ať jsou již důležité či ne, a týkají se managementu nebo dalších zaměstnanců, kteří hrají významnou roli v interní kontrole společnosti nad finanční evidencí nebo jsou silně spjaté s kontrolním cílem ochrany aktiv.¶ Pokud tyto procesy nejsou relevantní podle dříve zmíněných kvantitativních kritérií (kritéria zařazení 1 a 2) kontrolní dokumentace se může omezit pouze na ty kontroly, které jsou důležité z hlediska podvodu nebo ochrany aktiv.¶ Další transakce/účty (např. příspěvky na penze, dárcovský účet, převody) mohou být významně z kvantitativního hlediska založeného na očekáváních odpovídajícího uživatele. Investoři se mohou například zajímat o zvláštní finanční účet, i když není kvantitativně velký, protože představuje významné měřítko účinnosti. Odstraněno: Doplňková kritéria zařazení na úrovni tržních jednotek:¶ <#>Zařazení procesů v relevantních organizačních jednotkách každé tržní jednotky musí pokrýt nejméně 75 % účetních položek finančních výkazů každé tržní jednotky (rozvaha a výkaz o hospodaření).¶ Naformátováno: Odrážky a číslování

Skupiny procesů Podnikové procesy se rozpadají na 16 skupin: A, B, D, E a C1 – C12. Těchto 16 skupin představuje nejhrubší klasifikaci, která je dále zpřesňována. Procesy označené písmeny A, D, E jsou tzv. kontroly managementu. Označení písmenem B patří kontrolám Risk managementu a skupiny C jsou procesní „klasické“ kontroly. Procesy Představují podrobnější členění operačních skupin C1 – C12. Všechny operace jsou zahrnuty v centrálním katalogu operací Je jich celkem 88 a váží se k příslušným účtům (jednomu i více) nebo účtovým skupinám. Každá podnikatelská jednotka zahrnuje pouze ty operace, které mají podstatný vliv na její účetní závěrku. Důvod vyloučení operace je nutné vysvětlit a uvést konkrétní údaje, které doloží jeho oprávněnost. Vyloučení musí schválit externí auditor. Cíle kontroly a rizika Cíle kontroly, rizika a vlastní kontroly jsou definovány v centrálním katalogu (např. kontrol je přibližně 2000). •

Cíle kontroly – cíle kontroly jsou popsány ve výkazu, který zachycuje účel kontrol v rámci procesu. Pro každý proces připadá jeden či více (tato možnost je daleko pravděpodobnější) cílů kontroly.

•

Rizika - riziko je případná událost, která negativně ovlivní požadovaný průběh procesu.

Procesní skupina

Proces

Cíl kontroly

Obr. č. 7: Generický model E.ON 53

Rizika

Činnosti kontroly

Do projektu SOA byly zařazeny tyto relevantní procesy: A.01 Řídící prostředí B.01 Hodnocení rizika – Risk Management C.01 Výnosy a pohledávky (včetně vnitropodnikových) C.02 Nákupy a závazky (včetně vnitropodnikových) C.03 Mzdy a zaměstnanecké vztahy C.04 Základní prostředky C.05 Zásoby C.06 Výroba a provoz C.07 Pokladna/finance a obchodování C.08 Vedení hlavní knihy, uzávěrka a finanční hlášení C.09 Informační technologie C.10 Daně C.11 Právní problematika C.12 Strategie a rozvoj společnosti D.01 Informace a komunikace E.01 Kontroly monitoringu Naformátováno: Odrážky a číslování

3.3.7 Dokumentace a požadavky na dokumentaci Dokumentace požadovaná projektem sekce 404 představuje základ, který pomáhá managementu při hodnocení systému vnitřní kontroly pro účely účetní závěrky. Určená pravidla hlavy 404 zdůrazňují, že povinností společnosti je popsat vnitřní kontrolní činnosti. Rozvíjení a uchovávání těchto materiálů je pro efektivní systém vnitřní kontroly nezbytné. Sestavování dokumentace je vázáno na auditorskou normu čís. 2 „Audit interní kontroly finančního výkaznictví prováděný ve spojení s auditem finančních výkazů. V návaznosti na tyto normy následně E.ON specifikuje další podmínky, které je nutné dodržet při jejím sestavování. Při zpracovávání projektu SOA je nezbytné standardizovat dokumentaci, která je základním podkladem pro následné přezkoumávání a hodnocení celkového projektu.

Požadavky

nejsou

stanoveny

na

celou

dokumentaci

ale jsou specifikovány na každou skupinu dokumentů zvlášť.

54

bez

rozdílu,

Dokumentace může mít mnoho různých forem prezentace, jako je papír, elektronické soubory nebo jiná média a může zahrnovat celou řadu různých informací jako jsou manuály s popisem metody, účetní manuály, modely procesů, bloková témata, popis prací, rozhodovací tabulky, dokumenty, formuláře, vyplněné dotazníky a interní textová sdělení týkající se postupů nebo jejich kombinace. Nevyžaduje se žádná zvláštní forma dokumentace a rozsah dokumentace se může lišit podle velikosti, povahy a složitosti společnosti a jejich procesů.

Požadovaná úroveň podrobnosti dokumentace


Specifikace musí být natolik srozumitelná, aby auditor a popř. třetí osoba tento dokument pochopila – dokumentace není vytvářena pro osobu odpovídající za její tvorbu, ale pro její další využití externími a interními uživateli. Musí se zdokumentovat jakákoliv obměna standardních postupů – nutnost oddělit rutinní a nerutinní postupy. Soulad mezi metodami, procesy a kontrolami musí být revidovatelný. Požaduje se průběžná aktualizace dokumentace

Změny v rozsahu (na úrovni společnosti a/nebo procesu), v průběhu procesu a signifikantní změny v kontrolních činnostech včetně změn personálu, změn v aplikaci, změn ve zprávách atd., vyžadují aktualizaci dokumentace, jakmile k jakékoliv změně dojde (nejpozději na čtvrtletní bázi).

Příslušné změny vyžadují dodatečné vyhodnocení efektivity návrhu a provozní efektivity v průběhu finančního roku.

Veškeré materiálové verze určitého procesu jsou pro dokumentaci relevantní


nákup plynu, služeb, nehmotných aktiv, pozemků a budov atd.

Složky účetní bilance podléhající různým rizikům nebo odlišným kontrolám


je nutno uvažovat odděleně jako potenciální signifikantní finanční výkazy. Naformátováno: Odrážky a číslování

Dokumentace procesů Pro každý zkoumaný relevantní proces musí management doložit průběh transakcí, včetně toho jak jsou transakce zahajovány, schvalovány, zaznamenávány, zpracovávány a hlášeny. Průběh transakce musí být doložen s dostatečnými podrobnostmi, aby se vyššímu managementu a interním i externím auditorům umožnilo určit klíčové procesy a postupy, které mají svůj záznam ve finančních výkazech.

55

Bez takovéto dokumentace by bylo obtížné vymezit místa procesu, se kterými je spojeno riziko vzniku významné chyby ve výkazech z důvodu omylu nebo podvodu. Stejně obtížné by bylo i vymezit kontroly pokrývající všechny důležité cíle zpracování informací a položek v účetní závěrce. Požadavky na procesní dokumentaci můžeme rozdělit do tří důležitých oblastí: 1. Přehled důležitých procesních kroků jednotlivých procesů

Inicializace, postup činností, ukončení

Autorizace, zodpovědné funkční oblasti

Důležité aplikace IT pro podporu procesu – výběr SOA relevantních aplikací

Řídící předpisy, důležité dokumenty, soubory

Dostatečné informace o průběhu procesů sloužících ke zjišťování míst, ve kterých




může docházet k výskytu věcně nesprávných údajů v důsledku omylu nebo podvodu. 2. Kontrolní aktivity musejí být v dokumentaci patrné. Návrh kontrol všech relevantních tvrzení týkající se všech signifikantních účtů a údajů ve finančních výkazech. Kontroly navrhované k prevenci nebo zjišťování podvodů, včetně těch, kdo kontroly provádějí a související oddělení povinností. Kontroly procesu finančního výkaznictví na konci období. 3. Důležité podprocesy a varianty musí být znázorněny odděleně.

Grafická dokumentace procesů je zobrazena v IT aplikaci ARIS. Zde jsou graficky zobrazeny procesy probíhající ve firmě viz. příloha. V tomto systému probíhá dekompozice těchto procesů na jednotlivé položky, které mají svůj vlastní význam a tvar. Jednotlivé objekty a ukázka sestavení procesu z těchto objektů je umístěna v příloze 2. Naformátováno: Odrážky a číslování

Dokumentace kontrol managementu Dokumentace kontrol managementu se liší od procesní dokumentace. Hlavní rozdíl je v tom, že procesní dokumentace je postavena na základě 7W otázek a tedy můžeme říci, že je více standardizovaná. Oproti tomu je dokumentace managementu postavena spíše na subjektivním pohledu jednotlivých managerů, který se posléze 56

zkoumá a hodnotí. Kontroly managementu pokrývají tři složky COSO - Řídící prostředí, Informace a komunikace a Monitoring. Skupina MC Podskupina MC

Kontroly managementu

Popis MC

Popis hodnocení

Popis testů

Popis kontrol managementu definuje kontrolní požadavky na příslušnouMC.

Popis hodnocení poskytuje instrukce pro manažera MC. „Jak mám hodnotit/validovat MC pomocí např. funkce průzkumu? Kolik „názorů“ se doporučuje?“

Popis testů obsahuje dotazy, které se rozesílají při průzkumu mínění. „Jak se MC implementuje? Jak je zajištěna efektivita?“ Naformátováno: Odrážky a číslování

Obr. č. 8: Schéma struktury kontrol managementu

Dokumentace kontrol Vytvoření jednotlivých kontrol a jejich dokumentace je jedna z nejdůležitějších činností v rámci projektu SOA. Díky těmto interním kontrolám probíhají jednotlivé procesy v podniku plynule, bez zbytečných dohledávání a závad. Jedná se o nový systematický popis probíhajících kontrol, podléhajícím jednotlivým pravidlům společnosti E.ON zaznamenávaný do jednotného systému SAP-MIC. Společnost musí popsat strukturu kontrol, které jsou součástí prevence a odhalování podvodného jednání; podchytit osoby, které jsou odpovědné za kontrolu a s ní spojené rozdělování povinností, ověřují údaje vztahující se k významným účtům a položkám účetní závěrky; do této oblasti patří dokumentace týkající

se

složek

vnitřního

kontrolního

systému,

závěrkových

operací

a celopodnikových kontrol. Dle jednotlivých přidělených rolí ji vyplňují oprávněné a zodpovědné osoby přidělené na proces, procesní skupinu nebo část procesní skupiny. 57

Dokumentace musí pokrývat všechna relevantní rizika stanovená v generickém modelu. Při hodnocení kontrol se interní audit zaměřuje na: to, zda kontroly probíhají tak, jak byly navrženy,


efektivnost struktury kontrolního systému, tj. zda kontroly poskytují přiměřenou jistotu, že všechny významné účty a údaje zveřejňované v účetní závěrce poskytují relevantní informace. Nejdůležitější při vytváření kontrol je dbát na to, aby byly pokryty, kontrolní cíle a rizika a pokrytí procesu, a zároveň všemi relevantními druhy kontroly CAVR (viz. níže).

Postup při určení kontrol z hlediska procesu a účtů Určení příslušných kontrolních mechanismů z hlediska procesu probíhá v těchto fázích: 1. Podnikové procesy (popsání procesů)

2. Určení signifikantních procesů (procesy mající vliv na důležité účty nebo skupiny účtů)

3. Určení cílů kontroly a příslušných rizik týkajících se finančního výkaznictví

4. Určení příslušných interních kontrol

V poslední fázi tohoto postupu se tedy navazují jednotlivé kontroly na stanovená rizika. Jednotlivé kontroly mohou pokrýt více rizik v jednotlivé procesní skupině např. C.05.01, ale nikoliv v rámci celého procesu např. C.05 (viz. Rozdělení procesů kap. 4.3.6). Nemůže se naopak stát, že žádné z rizik zůstane nepokryto včetně nerelevantních rizik (viz. dále). Pro formální stránku jednotlivých kontrol bylo pomocí IT oddělení vytvořen formulář pro vypisování jednotlivých kontrol, který byl přístupný pomocí vnitřního informačního systému každému, který se podílel na jejich popsání. 58


Formální stránku jednotlivých kontrol můžeme rozdělit na čtyři základní části, které jsou stejné pro všechny druhy kontrol.

1. Hlavička kontroly Hlavička obsahuje údaje nutné pro správné identifikování kontroly a k lehké orientaci při přiřazení jednotlivých kontrol ke generickému modelu (procesnímu stromu viz. kap. 4.3.6).

Obsahuje tyto údaje: •

Proces a skupinu procesu – např.: C.05.04.

•

Cíl kontroly – Výpočet je závislý na obchodní činnosti

•

Riziko – Riziko chyby nebo zpronevěry osobou provádějící inventuru

•

Varianta – zde může být několik možností, dle toho jaké části či oddělení, ve firmě E.ON, se daná kontrola týká např.: ne-energetická – oddělení které nejsou přímo spojeny s elektrickou energií, energetická – jsou spojeny s energií, doprava a facility (vozový park a nemovitosti) atd.

•

Číslo kontroly – toto číslo vygeneruje informační systém dle toho, jak jsou jednotlivé kontroly vkládány do systému ze všech oddělení a oblastí projektu SOA. Nejsou zde tedy jiná kritéria přiřazování pořadí, u každé kontroly se číslo liší.

•

Název kontroly – každé kontrole přiřazuje název, ten který kontrolu vyplňuje dle souvztažnosti s daným rizikem

•

Vytvořil – jméno vyplňujícího kontroly

2. Popis kontroly Dostatečná a přiměřená dokumentace interní kontroly představuje vyplnění odpovědí na všech sedm základních otázek (tzv. W-otázky), které byly vytvořeny interním auditem pro lepší zpracování a přehlednost. Tyto otázky zní: Kdo kontrolu provádí? – tedy konkrétní pracovní pozice dané osoby, která je za kontrolu odpovědná Co dělají (vstupy,zpracování, výstupy)? – popis toho, jak se kontrola provádí, včetně odkazu na dokumentaci zpracování Kdy se kontrola provádí? – co tuto kontrolu spouští 59

Jak často se kontrola provádí? – denně, týdně, měsíčně, čtvrtletně, pololetně či ročně Kde se kontrola provádí? – pracovní útvar nebo informační systém Jak se chyby/výjimky řeší? – jaké činnosti následují po zjištění chyby Co prokazuje, že se kontrola konala? – záznam, podpis dle podpisového řádu atd.

3. Hlavní atributy kontroly Hlavní atributy kontroly popisují, jak je zaměřen celkový charakter kontroly a jak je kontrola prováděna. V této části kontroly se tedy vyskytují tyto atributy: Naformátováno: Odrážky a číslování

Význam kontroly Definuje relevanci kontroly. U E.ON je standardně nastaveno. Patří sem procesy, a interní kontroly finančního výkaznictví.


Účel kontroly Účelem kontroly se rozumí, zda kontrola působí zpětně nebo v současnosti, tedy zda je odhalující (detektivní) či preventivní). Odhalující kontrola zjišťuje chybné údaje až poté, co chyba vznikla. Preventivní kontrola identifikuje údaje již ve stadiu vzniku. Je třeba mít vyvážený poměr detekčních a preventivních kontrol.


Automatizace kontroly Označuje stupeň automatizace kontrolní aktivity. Kontrola se provádí:

automaticky – pomocí počítačového systému nebo je vynucena nastavením systému. Je to tedy kontrola bez jakéhokoliv zásahu lidského faktoru. Inherentní kontroly – systém je naprogramován provádět kontrolu na základě standardní nebo do programované funkcionality Konfigurovatelná kontrola – systém provádí kontrolu na základě nastavení, které může být v průběhu času měněno/konfigurováno – jeden ze základních principů ERP aplikací (SAP, Oracle Financials apod.)

ručně – kontrola je prováděna osobami

poloautomaticky – automatická kontrola, kterou je nutné zahajovat a/nebo vyhodnocovat ručně Naformátováno: Odrážky a číslování

Datum nebo událost Definuje podnět ke kontrolní aktivitě. Kontrola může být spuštěna na základě události nebo termínu.


60

Frekvence kontroly Určuje četnost provádění kontrolní aktivity. Kontrola může být prováděna průběžně, denně, týdně, měsíčně, kvartálně, pololetně, ročně. Naformátováno: Odrážky a číslování

Popis události Popis události, která dala podnět ke kontrole.


Aktuální a cílová vyspělost kontroly Cílová vyspělost kontroly definuje, co se na základě modelu hodnocení od kontroly očekává. Aktuální zralost znamená hodnocení kontroly příslušnou zodpovědnou osobou.

Vyspělost je při sestavování kontrol stanovena Maticí vyspělosti

1. úroveň

2.úroveň

3. úroveň

4. úroveň

5. úroveň

Obr. č. 9: Matice vyspělosti interních kontrol Naformátováno: Odrážky a číslování

Úroveň 1 – Nespolehlivá

Nepředvídatelné

prostředí,

kde

kontrolní

činnosti

nejsou

naplánované

nebo nejsou na místě. Naformátováno: Odrážky a číslování

Úroveň 2 – Neformální Činnosti zveřejnění a kontroly jsou naplánovány a na místě, nejsou však dostatečně dokumentovány. Kontroly závisejí většinou na lidech.

Žádný formální výcvik a žádná sdělení o kontrolních činnostech. Naformátováno: Odrážky a číslování

Úroveň 3 – Standardizovaná Kontrolní činnosti jsou plánované a na místě. Kontrolní činnosti byly dokumentovány a sdělovány zaměstnancům. Odchylky od kontrolních činností nebudou pravděpodobně zjištěny.


61

Úroveň 4 – Monitorovaná Standardizované kontroly s periodickým testováním efektivnosti formy a provádění s podáváním zpráv managementu. Automatizace a nástrojů je možno používat v omezené míře k podpoře kontrolních činností. Naformátováno: Odrážky a číslování

Úroveň 5 – Optimalizovaná Rámec integrovaných interních kontrol s monitorováním Managementem v reálném čase a se zlepšováním (podnikový rozsáhlý soubor metodických postupů k odstranění či omezení rizik).

Automatizace a nástroje se používají k podpoře kontrolních činností a aby se organizaci umožnilo provádět rychlé změny kontrolních činností podle potřeby.

Obecně platí, že cílová charakteristika nižší než „standardizovaná“ není přijatelná.

Dokumentace „Skutečné charakteristiky“ Jestliže je skutečná charakteristika určité kontroly standardizovaná, potom popis kontroly musí obsahovat informace o tom, jak a kde je provedení příslušné kontroly dokumentováno. Jestliže je skutečná charakteristika určité kontroly monitorovaná, potom popis kontroly musí informovat o tom, jak a kde je provedení příslušné kontroly dokumentováno a jakým způsobem, jakož i kterou osobou je toto provedení monitorováno. Dodatečné informace o příslušném hlášení managementu musejí být doloženy. Jestliže je skutečná charakteristika určité kontroly optimalizovaná, potom popis kontroly musí informovat o tom, jak a kde je tato kontrola zařazena a musí být doloženy další informace o monitorování v reálném čase jakož i druh automatizace a příslušných nástrojů.

4. Cíle kontrol souvisejících s procesem CAVR - Completeness - Úplnost Accuracy - Přesnost Validity - Platnost Restricted Access - Omezený přístup 62


V sekci úplnost se zkoumá zda: všechny informace se zadávají a zpracovávají jen jednou (duplicita), zdvojené


transakce jsou identifikovány a odmítnuty, všechny informace se zpracovávají úplně, tzn. zpracovávány jsou všechny položky, které se zpracovat mají, odmítnuté transakce jsou zjištěny, sledovány a opraveny. V sekci validita – platnost: informace jsou zadávány a zpracovány včas.


V sekci správnost – přesnost: správný přenos dat a dokumentace dle požadavků,


transakce a aktualizace jsou autorizovány a schváleny zodpovědnými osobami, transakce odrážejí aktuální skutkový stav, transakce splňují zákonné a vnitřní požadavky. V sekci ochrana přístupu: změna informací je omezena na oprávněný personál,


majetkové hodnoty jsou chráněny před zneužitím a odcizením, oddělení operačních oblastí. Naformátováno: Odrážky a číslování

3.3.8 Druhy kontrol Vyplňování jednotlivých částí „formulářů“ jednotlivých kontrol se liší v závislosti na druzích kontrol. Podle druhů rozdělujeme tři základní kontroly: 1. Aktivní kontroly 2. Křížové kontroly (křížové odkazy) – Křížové kontroly poskytovatelů služeb Referenční kontroly 3. Kontroly na pokrytí nerelevantních rizik tzv. Fiktivní kontroly

ad. 1) Aktivní kontroly Aktivní kontroly nejsou tak striktně omezeny formou popisů jako Křížové kontroly a Fiktivní kontroly. Musí se pouze řídit formální stránkou vyplňování viz.výše.

63

ad. 2) Kontroly křížových odkazů Křížové kontroly poskytovatelů služeb Kontroly křížových odkazů musí být dokumentovány, pokud není nějaká důležitá skupina procesů / proces nebo nějaký krok týkající se předepsaných kontrolních činností prováděn organizační jednotkou samotnou, ale třetí stranou – poskytovatelem služeb. Třetí strana může být někdo ze skupiny, nebo se může jednat o externího poskytovatele služeb. Poskytovatelem služeb ze skupiny může být i mateřská společnost (např. u malých subjektů bez vlastních pracovníků). Ve směrnicích E.ON jsou chápáni jako externí poskytovatelé služeb, kteří nejsou zahrnuti do finančních výkazů skupiny E.ON, tj. i poskytovatelé služeb, kteří jsou přidruženými společnostmi. Kontroly křížových odkazů musí být dokumentovány v organizační jednotce přijímající služby (příjemce služeb). Příjemce služeb musí v SAP MIC ve své organizační jednotce vést záznamy o příslušných procesních skupinách, procesech a krocích a přiřadit je k příslušnému kontrolnímu manažerovi dané skupiny procesů/procesů/kroků. Příjemce služeb obecně stále odpovídá za postupy a příslušné kontrolní činnosti, i když jsou kontroly prováděny externím subjektem. Příjemce služeb potřebuje pravidelně (normálně jednou za rok před koncem fiskálního roku) od poskytovatele služeb potvrzení o vhodnosti a účinnosti kontrolních činností. Pokud poskytovatelé služeb provádějí pouze některé kontrolní činnosti, přičemž ostatní kontrolní činnosti si provádí organizační jednotka sama, musí organizační jednotka dokumentovat kontroly křížových odkazů spolu s vlastními kontrolními činnostmi, a to takovým způsobem, který je popsán v obecných dokumentačních požadavcích. Za předpokladu, že se na procesu podílí pouze jeden poskytovatel služeb, musí být v tomto procesu dokumentována pouze jedna kontrola křížových odkazů. Tato kontrola křížových odkazů musí být přiřazena k příslušným rizikům, na která se zaměřují příslušné kontrolní činnosti poskytovatele služeb. Pokud je do procesu zapojeno více poskytovatelů služeb, musí být kontrola křížových odkazů provedena u každého poskytovatele služeb zvlášť a každá kontrola křížových odkazů musí být přiřazena k příslušným rizikům. 64

Příklady dokumentace kontrol křížových odkazů u interního poskytovatele služeb Vedoucí procesu: jméno odpovědné osoby od příjemce služby Fáze procesu: Křížový odkaz na poskytovatele služeb ze skupiny Popis kontrolní činnosti: Rizika procesu (názvem procesu), která jsou přiřazena kontrole křížových odkazů, jsou pokryta dostatečnými kontrolními činnostmi zajištěnými poskytovatelem služby (název poskytovatele služby ze skupiny). Příslušné služby jsou obecně definované v dohodě o úrovni služeb ze dne (den.měs.rok). Dostatečnost a efektivnost příslušných kontrolních činností a jejich soulad s požadavky na dokumentaci podle oddílu 404 zákona Sarbanes-Oxley budou ověřeny (jméno poskytovatele služby ze skupiny) v písemném formuláři adresovaném (jméno příjemce potvrzení). Odpovědná kontaktní osoba u poskytovatele služeb ze skupiny/zaměstnanec oddělení odpovědné za provádění kontrol). Účel kontroly: prázdné políčko Důležitost: důležitá kontrola Automatizace: ručně Datum nebo událost: datum-řízeno Četnost: ročně Závažnost kontroly: interní kontrola finančního výkaznictví Typ kontroly: úplnost, přesnost, platnost, omezení přístupu Cíl splnění: standardizovaný viz. příloha 1 U externího poskytovatele služeb se mění ve Fázi procesu popis na Křížový odkaz na externího poskytovatele služeb a v popisu kontrolní činnosti je nahrazeno jméno poskytovatele služeb ve skupině jménem externího poskytovatele služeb. Všechny ostatní údaje zůstávají stejné. Referenční kontroly Referenční kontroly se užívají k dokumentaci odkazů na rizika v rámci obchodních jednotek. Při používání konceptu uživatelů a oprávnění se vztahují specielně na koncept uživatelů a oprávnění aplikací IT relevantních pro SOA. V mnoha procesech se rizika vztahují k neoprávněnému přístupu k neautorizovanému zadávání

65

dat. Ve stávajících případech se má za pomoci referenčních kontrol zdokumentovat, že existují kontroly krytí rizika v procesní skupině C.09. Tento postup je pouze stanoven pouze pro koncept uživatelů a oprávnění, takže z procesních skupin je možné odkazovat na proces C.09.04. K čemu má uživatel v systému přístup? Která práva má uživatel? Kontrola přístupů (zásahů)

Kdo má přístup k systému? Kontrola přístupů Suma všech pracovníků s přístupem do systému

Role

?

Role

SAP-MIC

?

Role

Příklad kontrolní dokumentace referenční kontroly Control Manager: jméno odpovědného manažera procesu Název kontroly: referenční kontrola C.09.04. Popis kontroly: Riziko existující v tomto procesu neautorizovaných přístupů jakož i zásahů na aplikace IT relevantní pro SOA používané v tomto procesu je kryto v procesní skupině C.09.04. (dílčí proces: Správa uživatelů a oprávnění). Účel kontroly: prázdné pole Signifikace: signifikantní kontrola Automatizace: manuálně Ŕízeno dle událostí a termínů: řízeno dle termínů Četnost: ročně Význam kontroly: interní kontrola finančního výkaznictví Způsob kontroly: R (CAVR – přiřazení) Cíl zralosti kontroly: standardizováno viz. příloha 1

ad. 3) Fiktivní kontroly Fiktivní kontroly se vyskytují v případě jestliže riziko či kontrolní cíl je považován za nepřípadný nebo důležitý v daném procesu s ohledem na obchodní a další individuální rizika. 66

U těchto nepřípadných rizik musí být dostatečně prokázáno, že rizika nebyla zanedbána, a že se v návrhu procesů ve skutečnosti nenacházejí žádné nedostatky. Z tohoto důvodu se vytváří fiktivní kontrolní aktivita v každém procesu SAP-MIC se standardním názvem Nepřípadná/nedůležitá rizika. Tato fiktivní aktivita může být mapována se všemi riziky procesu, která nejsou případná. V případě potřeby může být vytvořeno více fiktivních aktivit v jednom procesu, např. když se vyskytují různé důvody pro vyřazení určitých rizik. Role SAP-MIC kontrolního managera pro fiktivní kontrolní aktivity by měla být přiřčena procesnímu managerovi, protože ten je odpovědný za adekvátnost procesů. V popisu kontrolní aktivity by mělo být podáno doplňující vysvětlení, proč se riziko (nebo několik rizik) nebo kontrolní cíl(e) netýkají organizační jednotky nebo proč je management (procesový manager) přesvědčen, že riziko je nedůležité.

Příklad dokumentace fiktivních kontrol Kontrolní manažer: jméno odpovědného kontrolního managera Procesní krok: riziko nepřípadné/nedůležité Popis kontrolní aktivity: Fiktivní kontrolní aktivita zajišťující, že riziko/kontrolní cíl procesu je pro organizační jednotku nepřípadné nebo nedůležité. Cíl kontroly: volné pole Význam: důležitá kontrola Provedení: ruční Datum: určené datum Četnost: ročně Platnost kontroly: interní kontrola finančního výkaznictví Typ kontroly: žádný Úroveň: standardizovaná viz. příloha 1

3.3.9 Hodnocení efektivnosti navržených kontrol Hodnocení efektivnosti navržených kontrol má určit, zda je systém vnitřní kontroly vhodně navržen, tj. zda pomáhá včas zjistit nebo preventivně působit proti vzniku významných chyb v důležitých účtech a zveřejňovaných údajích. Toto 67

hodnocení by se mělo zaměřit jak na celopodnikové kontroly tak na všechny složky kontrolního prostředí, rizika, úroveň informací, komunikace a monitoringu. Při hodnocení efektivnosti navrhovaných kontrol by se mělo soustředit především na hodnocení: spojitosti mezi kontrolami a podnikovými a auditorskými riziky, tj. zda se


podnikové procesy a k nim se vztahující kontroly jeví jako efektivní při dosahování managementem vytyčených cílů a při řízení rizik, včasnosti kontrol, tj. zda kontroly včas odhalí nebo jsou schopny poskytnout ochranu před známými riziky, znalostí a zkušeností osob, které jsou zahrnuty do provádění kontrol, vhodného rozdělení pravomocí a odpovědností, včasnosti při zveřejňování výsledků a udělování výjimek, které vyplývají z kontrolních činností, důvěryhodnosti informací užitých při provádění kontrol, nepřetržitosti provádění kontrol. V rámci E.ONu jsou ve stanovené datum prováděny tzv. kontrolní dny, ve kterých se zkoumá procesní a kontrolní dokumentace, rozsah pokrytí rizik a kvalita vyplnění kontrol. Na závěr těchto kontrolních dnů je sestavena kontrolní zpráva. Naformátováno: Odrážky a číslování

3.3.10 Testování Aby management prokázal efektivnost systému vnitřní kontroly finančních hlášení, musí určit, zda kontroly společnosti fungují efektivně. Výsledky testování slouží managementu jako podklad pro hodnocení systému vnitřní kontroly. Fáze testování projektu sekce 404 může být rozdělena do čtyř klíčových kroků: identifikace kontrol, které budou testovány, určení, kdo bude testovat, vyvinutí a zpracování plánů testů (co, kdo a kdy testovat), vyhodnocení výsledků testů. Cílem tohoto testování je posoudit, zda existují či neexistují podstatné slabiny a odhalit případné existující závažné nedostatky. Kromě zjišťování těchto závažných nedostatků mají být testováním odhaleny i menší nedostatky týkající se například formy a dokumentace kontrol, a to pokud možno celoplošně.

68


Kontrolní nedostatek vzniká, pokud forma či realizace kontroly neumožňuje managementu či personálu v rámci běžného provozu včas rozpoznat či zabránit nesprávným údajům ve finančním výkaznictví. Kontrolní slabina se může objevit ve dvou oblastech, a to v designu kontroly a v samotném fungování kontroly. Design

kontrola pokrývající dané riziko neexistuje.

design kontroly není dostatečný pro pokrytí rizika


Fungování

dobře navržená kontrola nefunguje jak by měla

osoba provádějící kontrolu postrádá nutná oprávnění, či kvalifikaci pro efektivní


provádění. Zjištěné nedostatky jsou zpracovány a ke každému zjištění je formulován návrh opatření, aby bylo možno nedostatky dodatečně napravit. Významný kontrolní nedostatek je nedostatek či kombinace několika nedostatků, které negativně ovlivňují schopnost podniku iniciovat, autorizovat, zaznamenávat, zpracovávat a vykazovat spolehlivě externí finanční data v souladu s GAAP. Je nadmíru pravděpodobné, že chyba ve finančních výkazech větší než bezvýznamná nebude detekována (nebo ji nebude zabráněno). Materiální nedostatek je významný nedostatek či kombinace několika významných nedostatků. Je zde veliká pravděpodobnost, že se nepodaří významný nesprávný údaj v ročním nebo meziročním finančním výkaznictvím rozpoznat nebo mu zabránit. Naformátováno: Odrážky a číslování

Časový rozvrh testování Období, po které společnost testuje, musí být dostatečně dlouhé, aby zajistilo efektivnost vnitřní kontroly až do konce fiskálního období. Stejně jako projekt SOA má i testování, i z důvodu velkého rozsahu dokumentace, svůj časový harmonogram.

69

Projektový harmonogram E.ON AS (E.ON Audit Services) Týden

1.

2.

3.

4.

5.

1. Zahajovací rozhovor 2. Walkthrough procesy 3. Stanovení stěžejních testů 4. Plánování testů na bázi walkthrough v SAP-MIC 5. Realizace auditu a dokumentace výsledků auditu 6. Realizace monitoringu (Follow-up) 7. Provedení hodnocení, návrh, odsouhlasení, rozeslání zprávy Naformátováno: Odrážky a číslování

1. Zahajovací rozhovor Při zahajovacím rozhovoru se dohodnou všechny podmínky pro řádné testování a dohodnou se závazné termíny zahájení a ukončení jednotlivých procedur.

2. Walkthrough procesy a stanovení stěžejních bodů auditu Jedná se o nejdůležitější část celého testování. Tyto procesy představují projití jednotlivých procesu od jeho vzniku až po jeho zobrazení v účetnictví společnosti. Počátečním cílem je zjistit, zda byly k 1.1.2006 zahrnuty do testování všechny relevantní procesy jednotlivých společností a validace kvót pokrytí. Testování se provádí v závislosti na stanovených kritériích pro scoping (viz. kapitola 4.3.5). Provádí se analýza dodržování úkolů scopingu a hodnověrnost odůvodnění při vyloučení procesních skupin a procesů. Dále se kontroluje zda je dosažena 80 % hranice bilanční, výnosové a výdajové částky. Velice důležité v této činnosti je prověřování toho, zda byl scoping průběžné kontrolován a aktualizován. Hlavními kontrolními podklady jsou dokumentované výsledky scopingu společností, US-GAAP závěrky a procesy zřízené v SAP-MIC.

Cílem Walkthrough je projít celý proces od začátku dokonce, aby: a) bylo dosaženo shody mezi procesem a obsaženými kontrolami,

70


b) se zjistilo, zda všechna rizika související s procesem propojena kontrolami SAP-MIC, c) bylo možno posoudit prostřednictvím celkového pohledu na proces efektivnost zdokumentovaných kontrol, a zejména také zjistit, zda některé kontroly nechybí. Walkthrough procesy potvrzují: Naformátováno: Odrážky a číslování

porozumění procesu, design kontrol, kompletnost porozumění rizikům, posouzení efektivnosti designu kontrol, zda byly kontroly implementovány. Testování probíhá ve formě formální kontroly procesní dokumentace ohledně splnění požadavků na dokumentaci, v ozřejmění úplnosti zohledněných procesních variant/podprocesů a srovnání interních kontrol obsažených v procesní dokumentace s kontrolami v SAP-MIC. Jako podklady pro tuto fázi testování slouží procesní dokumentace, walkthrough, dokumentace v SAP-MIC, všeobecná podniková dokumentace (zprávy controllingu) a záznamy z jednotlivých rozhovorů.

3. Plánování testů na bázi walkthrough a hodnocení kontrol Testy mohou být podle stupně jistoty rozděleny do 4 kategorií na testy dokazováním, pozorováním, přezkoušením důkazů a opakováním. Testy dotazováním jsou testy, které zkoumají formou dotazů, zda kontroly fungují efektivně a zda poskytují dostatečné důkazy. Dotazy se kladou členům vedení firmy, osob s funkcemi dozoru a ostatních pracovníků na různých organizačních úrovních, jak bude kontrola prováděna. Pro dostatečné doložení efektivity designu jsou nutné zprávy, pracovní pokyny nebo jiné dokumenty, které jsou pro kontrolní aktivitu potřebné nebo jsou během ní vytvořeny. Testy pozorováním jsou testy, které poskytují vyšší úroveň jistoty a mohou být použity pro hodnocení automatizovaných kontrol. Pokud neexistuje dokumentace kontrolního postupu, je možné jako doklad použít sledování kontrolních aktivit a kontrolních procesů. Zkušební proces sledování je užitečný mj. pro fyzické kontroly.

71

Testy přezkoušením důkazů jsou testy, které se používají pro určení, zda jsou prováděny manuální kontroly. To zahrnuje např. prohlédnutí podkladů, které jsou generovány interním kontrolním systémem, jako jsou např. písemné vysvětlivky, kontrolní seznamy nebo jiné indikátory. Naformátováno: Odrážky a číslování

Testy opakováním jsou testy, které poskytují nejvyšší úroveň jistoty. Tab. č. 1: Kritéria zvolení velikosti testovaného vzorku Kolik testovat Typ kontrol a četnosti jejího provádění

Velikost vzorku

Rozšířený vzorek

Manuální kontrola prováděná několikrát denně

Nejméně 25

Nejméně 40

Manuální kontrola prováděná denně

Nejméně 25

Nejméně 40

Manuální kontrola prováděná týdně

Nejméně 5

Nejméně 10

Manuální kontrola prováděná měsíčně

Nejméně 2

Nejméně 4

Manuální kontrola prováděná čtvrtletně

Nejméně 2

N/A

Ročně

N/A

Test jedné kontroly pro každý typ transakce Stejné jako vzorky u manuálních kontrol

Nemusí být relevantní, jinak 25 Stejné jako u manuálních kontrol

10 %

Profesionální úsudek

Manuální kontrola prováděná ročně Automatizovaná kontrola Všeobecné IT kontroly Manuální kontroly prováděné méně než 250x za období

Zdroj: E.ON: Testování

Kontroly V roce 2005 se testovalo 5 % kontrol, z důvodu, že se nejednalo o „ostré testování“. V roce 2006 se bude testovat 30 % kontrol.

4. Monitoring a realizace auditu Monitoring je činnost, která provádí monitoring tzv. follow up výsledků z minulého testování nebo-li realizace opatření identifikovaných v předchozím roce v průběhu testování v projektu SOA. Tato zjištění se týkají dvou oblastí. První oblast se týká oblasti scopingu, kde dochází k přizpůsobení dokumentace požadavkům projektu. Jedná se hlavně o standardizaci a realizaci nových či změněných kontrolních postupů (pokrytí rizik – hlavní důraz je kladen na 100 % pokrytí rizik jakýmkoliv druhem výše zmiňovaných kontrol, dle požadavků projektu). 72

Druhá oblast zahrnuje zjištění na kontrolní úrovni. Opět se zde jedná o bod přizpůsobení dokumentace. Tyto zjištění mají také vliv na neustálé zlepšování efektivity kontrol a zavedení kontrolních výkazů. Konečným cílem monitoringu a zjištění v těchto dvou oblastech je zjistit, zda byly odstraněny významné závady z roku 2004 (např. chybějící procesy/varianty) , resp. stanoveny příslušné plány pro jejich odstranění Naformátováno: Odrážky a číslování

Stanovení realizace monitoringu: Pro zobrazení toho jak byla zjištění z předchozího projetu realizována, jsou použity následující charakteristiky: vyřízeno – Doporučení bylo přijato a realizováno, resp. je dodržováno. rozpracováno (vyřízeno) – Doporučení bylo přijato a je ve fázi zpracování. Výsledek lze očekávat v nejbližší době. další sledování ze strany E.ON AS není nutné. rozpracováno (nedokončeno) – Doporučení bylo přijato a bylo zahájeno jeho zpracování. Výsledek nelze v blízké době očekávat. E.ON AS bude jeho doporučení nadále sledovat. nedokončeno – Doporučení bylo sice přijato, nebylo však doposud zpracováno, resp. vyřízeno, z hlediska E.ON AS neuspokojivě vyřízeno nebo dotčeným úsekem zpochybněno, přičemž tímto hodnocením se E.ON AS nemůže řídit. odpadá – doporučení nebude realizováno, neboť z důvodu zmíněných rámcových podmínek už nepřichází jeho realizace v úvahu, resp. jeho realizace není, popř. i z hlediska E.ON AS, možná nemá smysl.

5. Obsah auditu – test V roce 2005 byly v ECE, ECD a ECR v rámci SOA 404 přezkoumány procesní skupiny C.01 Pohledávky, C.02 Nákupy a závazky, C.04 Fixní aktiva a C.11 Právní problematika. Dále byli zkoumány zařazení relevantních jednotek, procesů a kvóta pokrytí. Po vyplnění jednotlivých kontrol, do příslušné IT aplikace, se kontroly dále zkoumají zda splňují všechny náležitosti předepsané ve směrnicích pro vyplňování kontrol. Interní audit zkoumá, zda byly dodrženy tyto požadavky:

73


Musí být splněny všechny příkazy pro vyplňování jednotlivých kontrol (především


vyplnění tzv. W-otázek viz. výše). Dokumentované kontroly musí být přiměřené a účinné, tedy hodnocení toho zda má kontrola nějakou účinnost. Dokumentované kontroly musí být v organizaci skutečně realizovány a provedeny. Kontrola musí být průkazná. Interní audit provádí formální kontrolu úplnosti dokumentace, kontrolu účinnosti kontroly, realizace a důvěryhodnosti a ozřejmění kontrolního desingu. Pro tuto činnost potřebuje podklady z oblasti procesní dokumentace podniku, SAP-MIC dokumentace interních kontrol a podklady dle výkazů dokumentovaných v SAP-MIC.

6. Provedení hodnocení, návrh, odsouhlasení, rozeslání zprávy Naformátováno: Odrážky a číslování

1. Konvence k hodnocení kontrolních nedostatků v SAP-MIC 2. Revizní zpráva E.ON AS ad 1) Konvence k hodnocení kontrolních nedostatků v SAP-MIC Výsledek testu „odchylka“

…je automaticky

…který je

vede k doporučení opatření

převedeno do

interpretován

s prioritou…

semaforu…

následovně:

vysoká

významné nedostatky

stření/nízká

nedostatky

Výsledek testu:

bezvýznamné resp.

bez odchylky

žádné nedostatky

Rozlišení mezi „jednoduchým nedostatkem“ (žlutě) a významným nedostatkem (červeně) závisí především také na významu procesu resp. procesní varianty (možný kvantitativní vliv nedostatku na finančním výkaznictví.

74

Příklady hodnocení výsledků auditu 1. Kontrolní zjištění na úrovni organizačních jednotek Významný nedostatek

Chyby v zařazování relevantních podniků

Podstatné chyby v zařazování procesů

Podstatné chyby při identifikaci významných účtů

Nedostatky

Chyby bez významných následků, jejichž odstranění by však mohlo být sledováno

Nepodstatné resp. žádné nedostatky

Lehké, rychle napravitelné závady dokumentace

2. Kontrolní zjištění na procesní úrovni Významný nedostatek

Podstatné deficity v pokrytí kontrolních cílů, jako i příslučných rizik (chybění kontrol, nerozpoznaná rizika)

Pokrytí druhů kontrol a procesních cílů (CAVR) není úplné

Deficity v zařazování relevantních procesů (významné procesy nebo procesní varianty nejsou pokryty kontrolní dokumentací v SAP-MIC)

Nedostatek

Deficity a chyby v dokumentaci (např. průběh procesů není z překládané procesní dokumentace zcela zřejmý)

Nepodstatný resp. žádný nedostatek

Nepodstatný požadavek na přizpůsobení, doplnění a objasnění v procesní dokumentaci

Odlišný přístup je uplatňován při hodnocení kontrol managementu, jež jsou prezentovány skupinami A.01, D.01 a E.01, jak již bylo zmíněno v kapitole 4.3.6. Tyto kontroly se hodnotí dle subjektivního posouzení jednotlivých manažerů a kompetentních pracovníků. Tito pracovníci vyjadřují své názory na průběh

75

jednotlivých definovaných procesů v oblasti kontrol managementu. Relevantní vzorek pro hodnocení se pohybuje od 3 do 5 managerů.

ad 2) Revizní zpráva ze strany E.ON AS Revizní zpráva je zpracována pro každou organizační jednotku a obsahuje jejich celkové

hodnocení.

Tato

zpráva

by

měla

obsahovat

popsání

jednotlivých

kontrolovaných oblastí, hodnocení jednotlivých stěžejních bodů auditu, detailní popsání zjištěných nedostatků a návrh(y) či doporučení pro jejich odstranění. Naformátováno: Odrážky a číslování

76

4 Výsledky a diskuse V diplomové práci popisovaná problematika procesů a rizik obsažená v projektu SOA je velice komplexní a rozsáhlou záležitostí Je tedy velice důležité řídit se přesně pokyny a směrnicemi vydanými SEC a PCAOB, implementovanými do vnitřních nařízení společnosti E.ON. Tato implementace je z hlediska přesnosti velice důležitá, protože nedodržení směrnic může v konečném důsledku vést až ke stažení akcií z amerických akciových trhů a k trestní odpovědnosti jednotlivých „lidských článků“ podílejících se na projektu SOA. V předcházejících kapitolách jsme zjistili, že projekt SOA je velice složitý a obsáhlý. Tyto vlastnosti můžeme projektu přiřadit i z důvodu, že se netýká pouze společnosti jako uzavřené buňky, ale i všech externích subjektů, se kterými společnost přichází do styku ve vzájemné interakci. Projekt je pro svou složitost rozdělen do několika oblastí, které jsou poté delegovány jednotlivým managerům dle stupně řízení. Jednotlivé fáze projektu lze rozdělit dle časového harmonogramu, či na fázi přípravnou, dokumentační a testovací. Dodržování jednotlivých fází je velice důležité z hlediska celkového sladění projektu a „přizvání“ jednotlivých subjektů ke zhodnocování úspěšnosti jednotlivých fází. Hodnocení projektu probíhá v jeho celém průběhu. Zaměřuje se však pouze na jednotlivé části projektu např. hodnocení formální správnosti kontrol. Tato hodnocení jsou velice důležitá pro eliminování závažných chyb, zlepšování do budoucna a pro závěrečné hodnocení projektu jako celku (testování), které je následně zpracováno v závěrečné zprávě a auditováno E.ON AS a externí společností PwC. Velice důležité je si uvědomit, že kontroly nemají ze své podstaty možnost poskytnout absolutní jistotu, protože jsou závislé na lidském úsudku a spolehlivosti. Mohou být také záměrně obcházeny podvodným jednáním nebo anulováním managementem. Zjištění a doporučení V průběhu testování bylo zjištěno v jednotlivých oblastech několik nedostatků a byla navržena opatření pro hladký chod projektu. Tyto oblasti jsou rozděleny podle jednotlivých bodů mé diplomové práce.

77

Oblast řízení projektu V průběhu testování bylo zjištěno, že funkce Managerů skupinových procesů je nedostatečně využita, tzn. že nejsou dostatečně využity jeho stanovené úkoly a odpovědnosti. Je tedy důležité je přesněji a důrazněji definovat. Dalším nedostatkem této oblasti byla nedostatečná distribuce resp. vysvětlení nových metodických postupů pro Procesní managery, Kontrolní managery a Interní audit, kdy trvalo zavádění delší dobu nebo bylo postupováno podle staré metodiky. Pro zlepšení tohoto nedostatku je velice důležité zajistit včasný překlad a komunikaci nových metodických postupů a požadavků. Velice důležité se jevilo, že většina procesních resp. kontrolních managerů neumí bez problémů argumentovat auditorům při provádění testů, což se týká zejména pochopení širších souvislostí, vysvětlení nerelevantnosti procesu, tedy proč proces nebyl zahrnut do projektu SOA nebo po zahrnutí se zdá nerelevantní. Interní audit zde došel k závěru, že je nutné provádět kontrolní dny s důrazem na argumentační schopnost procesních a kontrolních manažerů a nutnost zastřešovat širší souvislosti prostřednictvím Managerů procesních skupin. Pro potřeby Interního a externího auditu nejsou dostatečně formalizovány výstupy řídícího výboru, není 100% dostupnost výsledků kontrolních dnů a seznamy procesních managerů nebyly pro testování k dispozici v aktuální podobě. Pro napravení těchto nedostatků je nutné lepší využití IT aplikací, kde by se formalizovaly výstupy a zvážit možnost umístění přehledu process manažerů v aplikaci ARIS. Poslední zjištěný nedostatek týkající se spíše lidského hlediska než formální stránky projektu je rozdílná aktivita jednotlivých manažerů při zpracovávání dokumentace SOA. Tento rozdíl můžeme přiřknout i rozdílnému chápání projektu SOA jako celku. Obecně můžeme říci, že existují na jedné straně manageři, kteří chápou důležitost tohoto projektu pro společnost, i pro vlastní prospěch (zjištění nedostatků ve svém oddělení, mezer v řízeném procesu a efektivnější práce). Na straně druhé jsou zde manageři, kteří chápou projekt SOA jako nedůležitý a zasahující do vlastní práce. Z tohoto důvodu je velice důležité seznámit tuto skupinu manažerů s důležitosti projektu a při kontrolních dnech provádět hodnocení přístupu jednotlivých účastníků.

78

Technická podpora projektu a metodika Technická podpora projektu se týče hlavně již zmiňovaných IT aplikací, které napomáhají hladkému a přehlednému průběhu projektu SOA. Hlavní nedostatky této oblasti byly zjištěny v nedostatečné funkčnosti SAP-MIC v regionu východ (pomalý datový přenos, blokování systému při práci s aplikací), zejména v době končících termínů pro splnění dílčích úkolů SOA. V této oblasti je nezbytný trvalý monitoring a zavedení opatření na straně IT ke zrychlení přístupu a odstranění blokování aplikace. Je třeba diferencovat termíny plnění úkolů směrem k rovnoměrnějšímu

zatížení

SAP-MIC.

Nedostatečná

se

jeví

také

podpora

v Sharepointu, hlavně z hlediska nedostatečné podpory v jazycích a přehlednosti.

Scoping Stejně jako v jiných oblastech i v oblasti scopingu je jeden z hlavních nedostatků nepřítomnost aktuální dokumentace v průběhu testování. Tento nedostatek vede v konečném důsledku k prodlužování práce auditorů a ke zhoršení ohodnocení jednotlivých sekcí SOA. Důležité v této oblasti je proškolení odpovědných osob a důslednější kontrola dodržování termínů.

Dokumentace procesů V dokumentaci procesů je nejvíce nutné upravit značení variant procesů, které není ve všech případech jednotné a úplné, sjednocením značení variant procesů a zajištění jejich důsledné užití v dokumentaci procesů i kontrol. Pro manažery je nezbytné sjednotit úroveň podrobností dokumentace v ARIS a rozhodnout o způsobu zobrazení křížových a odkazových kontrol v procesní dokumentaci a zajistit její doplnění. Nutností se jeví i zaktualizování a zpřehlednění SOA.

Dokumentace kontrol V některých případech při dokumentaci kontrol jde o naprosté nepochopení vyplňování tzv. 7W otázek, speciálně otázky Jak se kontrola provádí. Popis kontrol je v mnoha případech velice obecný a bývá často zaměňován s popisem činností. Manageři by měli opravit kontroly tak, aby dle tohoto popisu byly kontroly bez dalšího vysvětlování srozumitelné (proveditelné) i pro třetí stranu. 79

Velmi nepravděpodobné se zdá, že v celé skupině kontrol jsou dokumentovány pouze čtyři automatizované kontroly, a proto je nutné v jednotlivých procesech prověřit, zda nejsou používány signifikantní automatizované kontroly a popř. je dokumentovat. Důležitým nedostatkem se jeví nepokrytí veškerých rizik generického modelu, což je hlavní podmínka při sestavování a navazování kontrol na jednotlivá rizika. Musí se tedy zkontrolovat 100 % pokrytí rizik u relevantních procesů aktivními, fiktivními, křížovými nebo odkazovými kontrolami. Určitým prodloužením fáze dokumentace kontrol bylo pozdní navržení dokumentace křížových - referenčních kontrol. Až v průběhu testování byla k dispozici kontrola C.09.04 na zajištění omezeného přístupu. Určité zdržení způsobily nejednotné atributy kontrol, a to zejména z důvodu průběžně se měnící metodiky.

Ostatní dokumentace Posledním doporučením pro SOA managery je důkladné zpracování Kontrol managementu.

80

Celkové hodnocení projektu SOA ve společnostech E.ON ČR, E.ON Distribuce a E.ON ECE

Úroveň organizační jednotky Scoping procesů Kontroly managementu Kontrolní prostředí Informace a komunikace Dozorčí kontroly Úroveň procesu C.01 Tržby a pohledávky C.03 Mzdy/platy a sociální dávky C.04 Investiční majetek C.05 Zásoby C.09 Informační technologie C.11 Právo C.12 Strategie a vývoj podniku

Z auditu vyplynulo, že celkově existují pouze jednoduchá slabá místa. Celkové hodnocení je tedy zelená.

81

signifikantní slabé místo (slabá místa)

slabé místo (slabá místa)

Stěžejní body auditu u společnosti E.ON CR

nepatrná popř. žádná slabé místo (slabá místa)

Tab. č. 2: Hodnocení projektu ve společnosti E.ON ČR


Stěžejní body auditu



Tab. č. 3: Hodnocení projektu ve společnosti E.ON Distribuce

Úroveň organizační jednotky Scoping procesů Kontroly managementu Kontrolní prostředí Informace a komunikace Dozorčí kontroly Úroveň procesu C.01 Tržby a pohledávky Kontroly managementu C.04 Investiční majetek

Není ve Scope

C.05 Zásoby

Není ve Scope

C.09 Informační technologie C.11 Právo C.12 Strategie a vývoj podniku



82


Stěžejní body auditu u ECE



Tab. č. 4: Hodnocení projektu ve společnosti E.ON ECE

Úroveň organizační jednotky Scoping procesů Krytí Significant Accounts a Financial Statement Assertions

Není ve Scope

Kontroly managementu Kontrolní prostředí Informace a komunikace

Není ve Scope

Monitoring-kontroly Úroveň procesu C.01 Tržby a pohledávky C.03 Mzdy/platy a sociální dávky C.04 Investiční majetek C.05 Zásoby

Není ve Scope

C.09 Informační technologie C.11 Právo C.12 Strategie a vývoj podniku



83

5 Závěr Ačkoliv jsem se na oddělení Interního auditu působil čtyři měsíce a po stejnou dobu jsem se přímo podílel na projektu SOA, nebylo v mých silách obsáhnout celou problematiku jeho zavádění. Tento projekt mohu doporučit ostatním firmám, přestože je finančně velice náročný, a to z důvodu poznání procesů ve společnosti, zamezení duplicity jednotlivých činností a hlavně k zabránění hospodářské kriminality. Na závěr lze říci, že projekt SOA je proces neustálého zdokonalování a získávání nových informací a jsem velice rád, že jsem se na něm mohl aktivně podílet.


84

6 Seznam použité literatury Literatura [1] Anonym. Výroční zpráva 2003 – JME, a. s. Brno: Omega design, s. r. o., 2003. 159 s. [2] Anonym. Výroční zpráva 2004 – E.ON ČR, a. s. Brno: Omega design, s. r. o., 2004. 87 s.Porter, M. E. Competitive advantage. Creating and sustaining superior. 1. vyd. New York: Free Press, 2004. 557 s. ISBN 0-74326087-2. [3] Hammer, M. Agenda 21. Co musí každý podnik udělat pro úspěch v 21. století. Praha: Management Press, 2002. 258 s. ISBN 80-7261-074-0. [4] Ježek, F. Kodex správy a řízení společností založený na principech OECD. 1. vyd. Praha: MJF Praha, 2001. 93 s. ISBN 80-86284-08-5. [5] Látal, I. – Štajnerský, M. Bezpečnostní zásady ochrany podniků. Prevence a řešení krizových situací. 1 vyd. Praha: Prospektivum, 2001. 120 s. ISBN 80-7175-091-3. [6] Kotler, P. Marketing Management. 1. vyd. Upple Saddle River: Prentice Hall, 2003. 26 s. IBSN 0-13-049715-0. [7] Orság, F. Organizace a výkon interního auditu ve společnostech. 1. vyd. Praha: MJF Praha, 1999. 23 s. ISBN 80-86284-04-2. [8] Peřich, V. Turnbullova zpráva: vnitřní řízení a kontrola – Zásady OECD pro řízení a správu společností. 1. vyd. Praha: MJF Praha. 2001. 80 s. ISBN 80-86284-09-3. [9] Porter, M. E. Competitive advantage. Creating and sustaining superior. 1. vyd. New York: Free Press, 2004. 557 s. ISBN 0-74326087-2.

Internetové stránky [10] Clever office, s. r. o., Stanovení rizik a interní audit v organizaci. [online] [cit. 2006-11-24] URL: [11] Jech, V. Působnost zákona Sarbanes-Oxley za hranicemi USA. [online] [cit. 200511-24] URL: [12] Jech, V. Novinky v Sarbanes-Oxley: Účinnost zákona opět prodloužena. [online] [cit. 2005-11-24] URL: [13] Jech, V. Prostor pro konflikty zájmů auditorů se rapidně zmenšuje. [online] [cit. 2005-11-24] URL: [14] Mládek, R. Případ Enron: dohra (Sarbanes-Oxley Act). [online] [cit. 2006-01-10] URL: [15] Prokůpková, D. Interní audit. [online] [cit. 2006-01-10] URL: < http://upce.cz/ priloha/audit-interní-audit.htm> [16] PCAOB. Standard 2. [online] [cit. 2006-02-13] URL:

85


Interní materiály [17] E.ON AG. Zákon Sarbanes-Oxley - Dokumentace křížových kontrol. Intranet. [2004-05-25] [18] E.ON AG. Zákon Sarbanes-Oxley - Požadavky na všeobecnou dokumentaci a příslušné základní informace. Intranet. [2005-05-01] [19] E.ON AG. Zákon Sarbanes-Oxley – Management Controls. Intranet. [2004-07-01] [20] E.ON AS. Příklady dokumentace pro SAP-MIC. Intranet. [2005-03-12] [21] E.ON AS. Testování, hlavní body zaměření. Intranet. [2005-04-01] [22] Kulhavá, M. Kick-off meeting. Intranet. 2069564 kB. [2005-03-17] [23] MCG. Process-Scoping – interim result. Intranet. 744960 kB. [2005-05-25]

86


Seznam zkratek COSO

Committee of Sponsoring Organizations

ČEZ

České energetické závody

EA

Externí audit

E.ON AS

E.ON Audit Services

ECE

E.ON Energie

ECD

E.ON Distribuce

ECR

E.ON Česká republika

JME

Jihomoravská energetika

MC

Management controls

NN

Nízké napětí

NYSE

New York Stock Exchange

PCAOB

Public Company Accouting Oversight Board (Výboru pro dohled nad účetnictvím veřejně obchodovaných firem)

SEA

Security Exchange Act

SEC

Security Exchange Commission (Americká komise pro cenné papíry)

SOA

Sarbanes-Oxley Act

SOX

Sarbanes-Oxley – to samé jako v případě SOA

VPA

Výbor pro audit

VN

Vysoké napětí

VVN

Velmi vysoké napětí

87

Vedoucí diplomové práce

Recommend Documents