Vnitřní řídící a kontrolní systém interní audit v bance

Masarykova univerzita v Brně Ekonomicko-správní fakulta Studijní obor: Peněžnictví

Vnitřní řídící a kontrolní systém interní audit v bance

a

Internal managerial and control system and internal audit in a commercial bank Bakalářská práce

Vedoucí bakalářské práce: Ing. Jan Krajíček

Autor: Jaroslav Maixner

Brno, květen 2005

Masarykova univerzita v Brně Ekonomicko-správní fakulta Katedra financí Akademický rok 2003/2004

ZADÁNÍ BAKALÁŘSKÉ PRÁCE

(kombinované bakalářské studium, obor Peněžnictví, studijní směr Bankovnictví)

Pro:

Maixner Jaroslav

Obor:

Peněžnictví

Název tématu:

Vnitřní řídící a kontrolní systém a interní audit v bance Internal managerial and control system and internal audit in a commercial bank Zásady pro vypracování

Problémová oblast: Funkce a činnosti vnitřního řídícího a kontrolního systému, interního auditu a jejich odlišení. Cíl práce: Hodnocení výsledků dosažených vnitřní kontrolou a interním auditem a řízením. Vyhodnotit jejich odlišnosti a používané metody- přínos pro činnost banky. Postup práce a použité metody: 1 analýza současného stavu 2 bližší určení cílového zaměření BP 3 historický vývoj

4 5 6

současný stav hodnocení postupů a činnosti vnitřní kontroly a interního auditu výsledky BP, souhrn a závěr

Rozsah grafických prací: Rozsah práce bez příloh:

Předpoklad cca 10 tabulek a grafů 35 – 40 stran

Seznam odborné literatury: Dvořák, P.: Bankovnictví. 3. vydání, VŠE Praha, r. 1998. ISBN 80-7079-585-9. Marvanová, M., Schlossenberger: Platební styk. 2.vydání, BI Praha, r. 1998. Zákon č. 21/92 Sb., - o bankách v platném znění. Opatření ČNB č. 311/92 Sb., - pro postupy bank v platném znění. Webové stránky bank.

Vedoucí bakalářské práce: Ing. Jan Krajíček

Datum zadání bakalářské práce: Datum odevzdání bakalářské práce:

_________________ Děkan

8. 12. 2003 4. 6. 2004

_____________________ vedoucí katedry

V Brně dne 10. 12. 2004

Jméno a příjmení autora:

Název diplomové práce: Název práce v angličtině: Katedra:

Vedoucí diplomové práce: Rok obhajoby:

Jaroslav Maixner

Vnitřní řídící a kontrolní systém a interní audit v bance Internal managerial and control system and internal audit in a commercial bank financí

Ing. Jan Krajíček 2005

Anotace

Předmětem bakalářské práce „Vnitřní řídící a kontrolní systém a interní audit v bance“ je popis, stručná charakteristika a zhodnocení současného nastavení procesů a systému v bance. První a druhá část je zaměřena na popis bankovního prostředí v České republice a v posuzované bance. Část třetí a čtvrtá jsou zaměřeny na vývoj, nastavení a zhodnocení systému. V poslední části jsou pak analyzovány výsledky činnosti a jejich zohlednění v plánu činnosti pro následující období.

Annotation

The subject of my dissertation „Internal managerial and control system and internal audit in a commercial bank” is description, brief characterization and evaluation of present bank processions´ and system settings. The first and the second part are concentrated on description of the bank field in the Czech Republic and the commented bank. The third and the fourth part are focused on development, settings and system evaluation. The results of their activities are analysed in the final part of this dissertation while they are respected in the plan of activities for the following period.

Klíčová slova

Vnitřní řídící a kontrolní systém, interní audit, stručná charakteristika, procesy, nastavení systému, v plánu činností.

Keywords

Internal managerial and control system, internal audit, brief characterization, processions, system settings, in the plan of activities

Prohlášení

Prohlašuji, že jsem bakalářskou práci „Vnitřní řídící a kontrolní systém a interní audit v bance“ vypracoval samostatně pod vedením Ing. Jana Krajíčka a uvedl v seznamu literatury všechny použité literární a odborné zdroje. V Brně dne 31. května 2005

Maixner Jaroslav, v.r. vlastnoruční podpis autora

Poděkování

Na tomto místě bych rád poděkoval Ing. Janu Krajíčkovi za cenné připomínky a odborné rady, kterými přispěl k vypracování této bakalářské práce. OBSAH

Úvod ................................................................................................................................................. 8 1

Bankovní prostředí v České republice........................................................................... 9 1.1 Právní prostředí........................................................................................................... 9

2

3

4

5

6

1.2

Bankovní dohled v České republice........................................................................12

Prostředí v Bance A........................................................................................................14 2.1 Výbory správních orgánů.........................................................................................14 2.1.1 Výbory dozorčí rady ........................................................................................14 2.1.2 Výbory představenstva.....................................................................................14 2.2 Vnitřní řídící a kontrolní systém..............................................................................15 2.2.1 Původní historické nastavení systému ............................................................15 2.2.2 Současné nastavení systému............................................................................16

Prvky vnitřního řídícího a kontrolní systému ............................................................17 3.1 Kontrolní prostředí ...................................................................................................17 3.2 Kontrolní činnosti.....................................................................................................17 3.3 Informace ..................................................................................................................17 3.4 Řízení rizik................................................................................................................18 3.4.1 Úvěrové riziko ..................................................................................................18 3.4.2 Tržní riziko .......................................................................................................21 3.4.3 Úrokové riziko..................................................................................................23 3.4.4 Riziko likvidity.................................................................................................23 3.4.5 Operační riziko.................................................................................................23 3.4.6 Právní riziko .....................................................................................................24 3.5 Monitoring ................................................................................................................24

Interní audit .....................................................................................................................25 4.1 Vývoj interního auditu .............................................................................................25 4.2 Původní historický model interního auditu v Bance A ..........................................25 4.3 Současný model interního auditu v Bance A..........................................................26 4.3.1 Organizační struktura Úseku interní audit......................................................27 4.3.2 Spolupráce interního auditu s externím auditem............................................27 4.3.3 Hodnocení kvality interního auditu.................................................................28 Proces interního auditu..................................................................................................29 5.1 Plánování interního auditu .......................................................................................29 5.1.1 Systém identifikace rizik .................................................................................29 5.1.2 Problémové oblasti Systému identifikace rizik..............................................32 5.1.3 Řešení problémových oblastí Systému identifikace rizik..............................33 5.2 Příprava auditu..........................................................................................................34 5.3 Provádění auditu.......................................................................................................34 5.4 Ukončení auditu........................................................................................................34 Výsledky činnosti interního auditu ..............................................................................36

Závěr ..............................................................................................................................................41 Seznam schémat............................................................................................................................42

Seznam grafů ................................................................................................................................42 Seznam tabulek.............................................................................................................................42 Seznam použité literatury a dalších pramenů ...........................................................................43

Internetové adresy ........................................................................................................................43

Úvod S ohledem na značně problematické získávání podrobných informací týkající se oblasti vnitřního řídicího a kontrolního systému v bankách a interního auditu, které nejsou veřejně dostupné, je tato práce zaměřena zejména na vlastní poznatky autora získané z jedné z nejvýznamnějších bank v České republice, která pro účely této práce je autorem označena jako „Banka A“. Rovněž současný majoritní vlastník této Banky A je pro účely této práce označen autorem jako „Banka B“ V souvislosti se značně obsáhlou a složitou problematikou dotýkající se vnitřního řídícího a kontrolního systému v Bance A je autorem rámcově nastíněno současné nastavení a vyhodnocování tohoto systému včetně oblasti řízení rizik. Z uvedeného důvodu je klíčová část této bakalářské práce zaměřena zejména na roli, pozici, procesy a činnosti interního auditu, který je v Bance A součástí vnitřního řídícího a kontrolního systému.

Historické kořeny této banky sahají až do roku 1825, kdy sehrála důležitou roli při rozvoji obchodu, průmyslu, zemědělství a řemesel. Od roku 1992 je Banka A akciovou společností. Spolu se specializovanými dceřinými společnostmi vytváří v českém regionu jedno z nejsilnějších finančních seskupení, které pokrývá veškeré finanční potřeby klientů na jednom místě, pod jednou značkou a s propojením veškerých moderních komunikačních kanálů. Významným předělem v historii Banky A se stal březen 2000, kdy česká vláda podepsala smlouvu o prodeji majoritního státního podílu v Bance A silnému zahraničnímu investorovi, Bance B. Vzápětí poté začal náročný a ambiciózní transformační program, jehož cílem je vytvořit klientsky orientovanou banku s vysokou úrovní poskytovaných služeb. S využitím bohatým praktických zkušeností Banky B směřuje Banka A k tomu, aby byla finanční institucí, která je konkurenceschopná nejen v České republice a ve střední Evropě, ale i v celé Evropské unii. Od července 2000 do prosince 2001 procházela Banka A náročným obdobím transformace, která zasáhla do všech oblastí života této banky. Přestože klíčová část transformace již skončila, Banka A i nadále pokračuje v projektech, díky nimž se rychle mění v klientsky orientovanou, moderní a konkurenceschopnou banku evropské kvality.

Banka A klade velký důraz na úlohu vnitřního řídicího a kontrolního systému jehož součástí je mimo jiné i interní audit (dále jen IA), jenž napomáhá efektivně identifikovat, měřit, sledovat a řídit bankovní rizika v souladu s požadavky České národní banky, standardy mateřské společnosti i s obecnými principy řízení rizik. Útvary bank – Úseky interní audit, centrální řízení rizik, řízení úvěrových rizik a řízení bilance podporují řízení výnosů banky prostřednictvím identifikace, sledování a řízení jednotlivých finančních rizik, čímž umožňují efektivní alokaci zdrojů. Nejdůležitějšími orgány rozhodujícími v procesech interního auditu a řízení rizik jsou představenstvo, Výbor pro audit, Výbor úvěrových rizik, Výbor pro řízení aktiv a pasiv, Výbor finančních trhů a řízení rizik. V současné době je Úsek IA nezávislý útvar, který je organizačně oddělen od obchodních

divizí a oddělení vypořádání obchodů.

Bankovní prostředí v České republice Bankovní sektor je mimořádně citlivý na důvěru svých vkladatelů. I dobře fungující banku může zničit projev nedůvěry v její stabilitu spojený s okamžitým požadavkem na výplatu rozhodujícího množství vkladů. Pro posílení důvěry je důležitá kvalitní právní úprava podnikání bank a kontrola jejích dodržování státem určeným regulátorem. Důsledné plnění právních a jiných předpisů bankou uklidňuje klienty a ubezpečuje je o správnosti volby takové banky.

Právní prostředí

Transformace českého bankovnictví započala v roce 1989 přechodem od monobankovního modelu k tržnímu a otevřenému bankovnictví. Tento proces probíhal (a dále probíhá) před vstupem i po vstupu do Evropského společenství. Od té doby byla přijata řada novel zákonů a dalších právních předpisů, které zabezpečují přibližování českého práva k právu Evropského společenství. Bankovní prostředí není však determinováno pouze zákonem o bankách, ale ovlivňují ho i další související právní úpravy. V níže uvedeném seznamu jsou uvedeny některé vybrané právní předpisy se souvislostí k podnikání bank v České republice. 1 Zákon č. 21/1992 Sb., o bankách, v platném znění

Z právní úpravy vyplývá, že banky musí zásadně splňovat čtyři základní podmínky:

Jde o právnické osoby se sídlem v České republice založené jako akciové společnosti, přijímají vklady od veřejnosti, poskytují úvěry, k výkonu bankovní činnosti mají povolení působit jako banka. Vznik, podmínky pro udělení povolení působit jako banka, pravidla organizace banky, provozní požadavky na podnikání banky, pravidla pro vedení účetnictví a obchodní dokumentace, nápravná opatření, nucenou správu, odnětí povolení působit jak banka, likvidaci banky, problematiku bankovního tajemství a povinnosti mlčenlivosti, jakož i pojištění vkladů upravují zákon o bankách a příslušná opatření České národní banky. 1 Ústavní zákon č. 1/1993 Sb., v platném znění

Článek 98 charakterizuje Českou národní banku jako ústřední banku státu, stanoví její hlavní cíl a zakazuje zasahovat do činnosti této banky jinak než na základě zákona. 1 Zákon č. 6/1993 Sb., o České národní bance, v platném znění

Česká národní banka je ze zákona právnickou osobou, která se nezapisuje do obchodního rejstříku. Působí jako správní úřad v rozsahu stanoveném citovaným zákonem, zákonem o bankách, popř. dalšími předpisy. 1 Zákon č. 96/1993 Sb., o stavebním spoření a státní podpoře stavebního spoření a prováděcí vyhláška, v platném znění

Stavební spořitelna je považována za banku podle zákona o bankách. Stavební spořitelny mají povolení působit jako banka, ale předmět jejich podnikání je vázán pouze na určené obchodní a podnikatelské aktivity. Hlavním předmětem činnosti stavebních spořitelen je přijímání vkladů od účastníků stavebního spoření a poskytování úvěrů a příspěvků/státní podpory těmto účastníkům. 1 Zákon č. 337/1992 Sb., o správě daní a poplatků, v platném znění

Při vymáhání pohledávek státu vzniklých z daní a poplatků je pro správce těchto pohledávek nutná pomoc ze strany bank. Na informace o pohledávkách klientů za bankou se však vztahuje bankovní tajemství. Z tohoto důvodu zákon stanoví povinnost banky údaje správci daně poskytnout. 1 Zákon č. 143/2001 Sb., o ochraně hospodářské soutěže, v platném znění

Česká národní banka má určitá oprávnění sledující záměr předcházet nežádoucímu spojování bank a tím omezování volné hospodářské soutěže. 1 Občanský zákoník č. 40/1964 Sb., v platném znění

Občanský zákoník upravuje oblast soukromoprávních vztahů a v široké míře se vztahuje na jednání bank.

1 Obchodní zákoník č. 513/1991 Sb., v platném znění 19) Řada závazkových vztahů realizovaných bankami má povahu tzv. absolutního obchodu, na nějž se vztahují ustanovení obchodního zákoníků. Jde zejména o právní úpravu závazků z bankovní záruky, cestovního šeku, smlouvy o úvěru, o otevření akreditivu, o inkasu, o bankovním uložení věci, běžném a vkladovém účtu. 1 Zákon č. 248/1992 Sb., o investičních společnostech investičních fondech, v platném znění

a

24) Banky vykonávají pro investiční společnosti a fondy funkci depozitáře. Zákon upravuje zejména náležitosti depozitářské smlouvy a tím i vymezuje postavení a povinnosti depozitáře. 1 Zákon č. 42/1994 Sb., o penzijním připojištěné se státním příspěvkem, v platném znění

26) Penzijním připojištěném se rozumí shromažďování peněžních prostředků od účastníků penzijního připojištění a státu poskytnutých ve prospěch účastníků, nakládání s těmito prostředky a vyplácení dávek penzijního připojištění. Jednou z náležitostí žádosti o povolení je i uvedení banky, která bude pro penzijní fond vykonávat funkci depozitáře. 1 Zákon o cenných papírech č. 591/1992 Sb.

28) Banky mají povinnosti emitenta cenných papírů. Banky jsou zároveň i obchodníky s cennými

papíry a při dalších bankovních činnostech přicházejí do styku s cennými papíry. Právní úprava obsažená v zákoně o cenných papírech má tedy mimořádný význam pro činnost banky. 1 Zákon směnečný a šekový č. 191/1950 Sb. 31) Směnky a šeky jsou cennými papíry. Úprava jejich náležitostí a nakládání s nimi je zahrnuta do zákona směnečného a šekového. 1 Zákon o dluhopisech č. 530/1990 Sb. 33) Dluhopis je cenný papír, s nímž je spojeno právo majitele požadovat splácení dlužné částky ve jmenovitých hodnotách a vyplácení výnosů k určitému datu a povinnost osoby oprávněné vydávat dluhopisy (emitent) tyto závazky splnit. Zákon o dluhopisech stanoví zejména náležitosti a formy dluhopisů, podmínky jejich vydání a splácení.

1 Zákon o burze cenných papírů č. 214/1992 Sb. 35) Burzy cenných papírů je právnickou osobou oprávněnou organizovat na určeném místě a ve stanovenou dobu prostřednictvím oprávněných osob poprávku a nabídku cenných papírů, jakož i jiných investičních instrumentů vymezených zvláštními předpisy. Burza je akciovou společností, na kterou se vztahují ustanovení obchodního zákoníku s odchylkami stanovenými v zákoně o burze cenných papírů. Zákon vymezuje práva a povinnosti účastníků obchodu, podmínky přijetí cenného papíru k burzovnímu obchodu, určování kursu cenných papírů a pravidla pro vypořádání burzovních obchodů včetně řešení případných sporů.

1 Zákon o Komisi pro cenné papíry č. 15/1998 Sb. 37) Komise pro cenné papíry je zřízena na základě zákona jako správní úřad pro oblast kapitálového trhu. Státnímu dozoru Komise pro cenné papíry podléhá činnost bank v rozsahu, v němž vykonávají činnost obchodníka s cennými papíry a vedení částí evidence střediska cenných papírů, jakož i dalších činností jinak svěřených středisku, na základě smlouvy se střediskem, ve kterém vykonávají činnost depozitáře investičních společností a investičních fondů a vykonávají činnost spočívající ve vydávání investičních instrumentů.

1 Občanský soudní řád č. 99/1963 Sb. 40) Procesní právní předpis se dotýká banky v řadě ohledů. Banka může být věřitelem, který se domáhá splnění pohledávky. Může být dlužníkem, vůči němuž je uplatňována pohledávka na plnění.

1 Zákon o konkursu a vyrovnání č. 328/1991 Sb. 42) Banky jsou největšími věřiteli a v současných ekonomických podmínek i častými navrhovateli konkursu dlužníka – úpadce. Účelem tohoto zákona je uspořádání majetkových poměrů dlužníka, který je v úpadku. Dlužník je v úpadku, jestliže má více věřitelů a není schopen po delší dobu plnit své splatné závazky.

1 Devizový zákon č. 219/1995 Sb. 44) Podle devizového zákona jsou banka se sídlem v tuzemsku nebo pobočka zahraniční banky, které jsou v rozsahu povolení působit jako banka, uděleného podle zákona o bankách, oprávněny provádět obchod s devizovými hodnotami nebo platební styk. 1 Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a prováděcí vyhláška č. 61/1996 Sb. 47) Jde o právní úpravu směřující proti tzv. praní špinavých peněz. Institucemi, ve kterých je nutno čelit legalizaci peněz z trestné činnosti, jsou zejména banky, ale i další finanční organizace.

1 Zákon o účetnictví č. 563/1991 Sb. 50) Banka je účetní jednotkou účtující v soustavě podvojného účetnictví.

1 Zákon o auditorech a Komoře auditorů č. 254/2000 Sb., změna zákona č. 165/1998 Sb. 53) Zákon o bankách požaduje, aby banka zajistila prostřednictvím auditorů ověření účetní uzávěrky banky, ověření hospodaření banky za příslušný rok a vypracování zprávy o ověření účetní závěrky a hospodaření banky. Zákon o auditorech a Komoře auditorů České republiky stanoví pravidla, za kterých lze provést ověření a určuje, kdo může být auditorem.

1 Zákon o ochraně utajovaných skutečností a prováděcí nařízení vlády č. 148/1998 Sb. 56) Právní úprava vymezuje skutečnosti utajované v zájmu České republiky, stanoví stupeň utajení a povinnosti jednotlivých subjektů při označování, evidenci a nakládání s utajovanými skutečnostmi, atd.

Bankovní dohled v České republice

Klíčové funkce bankovního sektoru v tržní ekonomice spočívají v: 1 akumulaci úspor; 2 distribuci úspor, hlavně ve formě úvěru; 3 zajišťování platebního styku.

Kvalita a spolehlivé fungování bankovního sektoru tak podstatně ovlivňuje finanční celkovou ekonomickou stabilitu státu.

i

Požadavky kladené na bankovní systém vedly v zemích s fungující tržní ekonomikou k poznání, že podnikání v bankovnictví musí být určitým způsobem regulováno. To bylo

podnětem pro vznik instituce bankovního dohledu, která se postupem času rozvinula ve významnou a standardní součást institucionální struktury tržní ekonomiky. Výbor pro bankovní dohled při Bance pro mezinárodní platby v Basileji (BIS) vypracoval sadu 25 zásad pro efektivní výkon bankovního dohledu. Plnění těchto zásad je základem pro efektivní bankovní dohled v těchto zemích. V České republice roli bankovního dohledu zastává Česká národní banka. Zákon č. 6/1993 Sb. o České národní bance definuje poslání bankovního dohledu České národní bance následovně: „Bankovní dohled vykonává dohled nad provádění bankovních činností a pečuje o bezpečné fungování a účelný rozvoj bankovního systému v České republice“. K naplnění tohoto cíle je bankovní dohled ze zákona oprávněn:

1 stanovit základní regulatorní podmínky pro vstup do bankovního sektoru, pravidla obezřetného chování bank s cílem omezení rizik podstupovaných bankami; 2 provádět následnou kontrolu jejich dodržování prostřednictvím kontroly; 3 vyžadovat na bankách opatření k odstranění a náprav zjištěných nedostatků.

V této souvislosti je nezbytné si uvědomit, že bankovní dohled nemůže nahradit úlohu akcionářů, statutárních orgánů ani vedoucích pracovníků jednotlivých bank, kteří jsou výlučně odpovědní za výsledky hospodaření banky. Bankovnictví je podnikání, které z povahy věci nelze provozovat bez rizik, vyplývajících zejména z aktivních obchodů. Bankovní dohled jako regulatorní a kontrolní orgán nemůže zabránit přijetí nepřiměřených rizik ze strany bank a jejich orgánů, které mohou vést až k vážným finančním obtížím jednotlivých bank. Rovněž také nelze očekávat, že bankovní dohled může zabránit úpadkům bank v důsledku nelegálních aktivit a podvodných operací. Úkolem bankovního dohledu není nahrazovat funkci orgánů činných v trestném řízení a prioritně vyhledávat a dokazovat spáchání trestných činů v bankách.

Přestože bankovní dohled nemůže zabránit krachům jednotlivých bank, svou činností by měl umět včas rozpoznat a přijmout příslušná opatření s ohledem na zachování stability bankovního systému. Musí mít svoje místo v řešení takové situace, která může ohrozit fungování celé ekonomiky.

Prostředí v Bance A Výbory správních orgánů

V Bance A jsou k podpoře činnosti, k zajištění vnitřního řízení a zodpovědnosti představenstva a dozorčí rady zřízeny výbory těchto orgánů. Jednací řády jednotlivých výborů definují jejich působnost s přesně popsanými pravidly a úkoly.

1.1.1

Výbory dozorč1.1.2 í rady

V souladu s pravidly corporate governance existují v Bance A následující výbory dozorčí rady: Výbor pro audit Je poradním orgánem dozorčí rady, který spolupracuje s představenstvem, interním a externím auditem. Hlavní náplní jeho činnosti je podílení se na směřování, plánování a vyhodnocování interního auditu. Dále projednává významná zjištění interního auditu, vyjadřuje se k výběru externího auditora a sleduje průběh a procesy spojené s průběhem auditu roční účetní závěrky, dohlíží na účetnictví a finanční výkaznictví, řízení a kontrolu rizik, dodržování zákonných předpisů a opatření regulátora a na funkčnost a účinnost vnitřního řídicího a kontrolního systému. Výbor každých 6 měsíců podává dozorčí radě report o své činnosti. Výbor pro finanční trhy Hlavním úkolem tohoto výboru je dohled nad činností a systémem řízení rizik v divizi Finanční trhy. Výbor je pravidelně informován o obchodních aktivitách, o výsledcích a o expozici vůči riziku, přehodnocuje systém řízení a kontroly, hlavní zásady obchodní strategie a strategie řízení rizik v oblasti divize Finančních trhů. Jednání výboru probíhá minimálně dvakrát za rok a nejméně jedenkrát za rok je podáván report dozorčí radě. Úvěrový výbor dozorčí rady Je zejména poradním a potvrzovacím orgánem pro úvěrové angažovanosti přesahující limity schvalovacích pravomocí Úvěrového výboru představenstva. Jednání výboru probíhá minimálně

dvakrát za rok, v průběhu roku ve většině případů výbor rozhoduje formou

1.1.3

Výbory představenstva

per rollam.

Jsou poradními orgány představenstva, které je zřizuje svým rozhodnutím. Účelem výborů je iniciovat a předkládat doporučení pro představenstvo v odborných otázkách. Tyto výbory jsou odpovědné představenstvu a minimálně jedenkrát ročně podávají report o své činnosti. Úvěrový výbor Je orgán k posuzování a schvalování úvěrových obchodů a produktů, posuzování a schvalování procesu zásad obchodní politiky, systému měření a řízení úvěrového rizika a struktury úvěrového portfolia Banky A, za účelem dosažení stanovené úrovně finančních cílů, tj. k dosažení stanovené úrovně ziskovosti při zachování definované úrovně úvěrových rizik. Výbor pro řízení aktiv Jedná se o nejvyšší orgán k posuzování a schvalování procesu plánování, řízení a kontroly finančních toků a struktury aktiv a pasiv Banky A s cílem dosažení optimální kombinace ziskovosti banky a podstupovaných finančních rizik. Stanovuje strategii Banky A v této oblasti a organizačním složkám Banky A ukládá úkoly k jejímu naplnění. Výbor finančních trhů a řízení rizik Je orgánem k rozhodování o operativních otázkách procesů řízení rizik v oblasti finančních trhů. Investiční výbor Výbor je orgánem pro posuzování účelovosti a efektivnosti investičních výdajů nakupovaných výkonů.

a

Výbor pro služby klientům Zřízen pro podporu kvality služeb poskytovaných vnějším i vnitřním klientům prostřednictvím pravidelného monitorování interních a externích indikátorů. Výbor pro alokaci aktiv Je poradním orgánem člena představenstva zodpovědného za řízení oblasti finančních trhů pro doporučování investiční strategie pro alokaci různých tříd aktiv klientů (dluhopisy, měny, akcie) na finančních trzích.

Vnitřní řídící a kontrolní systém 1.1.4

Původní historické nastavení systému

Původní nastavení vnitřního kontrolního systému v Bance A, které bylo nedílnou součástí systému řízení a jehož nezastupitelnost vyplývala ze Zákona č. 21/1992 Sb. o bankách v jeho platném znění, bylo vymezeno třemi základními články. Jednalo se o:

1 Všeobecnou kontrolní povinnost vedoucích zaměstnanců 2 Provozní kontrolu 3 Následnou kontrolu, která byla plně obsažena v činnosti interního auditu

Všechny tyto články působily uvnitř Banky A jednotně a komplexně. Tento systém byl zajišťován zejména každodenním výkonem povinností vedoucích zaměstnanců na všech stupních řízení, průběžným prováděním provozní kontroly a vyhodnocováním její účinnosti, prováděním interních auditů, metodickým řízením a vyhodnocováním Vnitřního kontrolního systému.

Všeobecná kontrolní povinnost vedoucích zaměstnanců spočívala zejména v ověřování dodržování pracovních postupů a pravidel podřízenými zaměstnanci, ve vyhodnocování kvality poskytovaných služeb klientům a v neustálém uplatňování preventivního působení na všechny podřízené zaměstnance k odstraňování a snižování potencionálního rizika vzniku negativních jevů. Provozní kontrola byla vnímána jako kontrolní prvek působící před ukončením kontrolované operace či jiné činnosti, prováděný zásadně jiným pověřeným zaměstnancem než tím, který účetní doklad, písemnost, dokument vyhotovil.

Jako třetí prvek v původním systému byla vymezena následná kontrola, která byla plně obsažena v činnosti interního auditu. Z uvedeného vyplývá, že interní audit byl již v minulosti nedílnou součástí vnitřního kontrolního systému v Bance A.

1.1.5

Souč1.1.6

asné nastavení systému

V souvislosti s legislativními úpravami v oblasti vnitřního řídicího a kontrolního systému došlo v rámci Banky A k novému vymezení tohoto systému a rozšíření zejména o oblast řízení rizik a monitoring. Požadavky na vnitřní řídicí a kontrolní systém v Bance A jsou nyní vymezeny požadavky stanovenými: 2 v Zákonu č. 21/1992 Sb., o bankách, v platném znění, 3 v Opatření České národní banky č. 2 ze dne 3. února 2004 k vnitřnímu řídicímu a kontrolnímu systému banky, 4 ve Vyhlášce Komise pro cenné papíry č. 258/2004 Sb., kterou se stanoví podrobnosti dodržování pravidel obezřetného poskytování investičních služeb a podrobnější způsoby jednání obchodníka s cennými papíry se zákazníky 5 ve Stanovách Banky A. Vnitřní řídicí a kontrolní systém je v současné době tvořen všemi nástroji a procesy, které působí uvnitř banky, a které usilují o zabezpečení realizace záměrů a dosažení cílů. Jeho nezastupitelnost vyplývá ze zákona č. 21/1992 Sb., o bankách ve znění pozdějších předpisů a z Opatření České národní banky č. 2/2004.

Jednotlivé prvky vnitřního řídicího a kontrolního systému vymezují Stanovy a zahrnují všechny činnosti a útvary Banky A.

Mezi hlavními cíly, k jejichž zabezpečení je vnitřní řídicí a kontrolní systém organizován patří zejména provádění všech činností v souladu s celkovou strategií Banky A, a to při optimálním vynaložení nákladů, dále aktuálnost, spolehlivost a ucelenost informací používaných pro rozhodovací procesy a poskytovaných Bankou A třetím stranám. Současně rámcově zabezpečuje soulad činností banky s příslušnými obecně závaznými právními předpisy a interními předpisy. Veškeré rozhodovací procesy a kontrolní činnosti musí být zpětně rekonstruovatelné. K naplnění tohoto požadavku má Banka A vytvořen odpovídající systém archivace dokumentů a dat.

Vnitřní řídicí a kontrolní systém v Bance A zahrnuje pět základních prvků a vzájemnou vazbu mezi těmito prvky. Jedná se o: 1 Kontrolní prostředí 2 Kontrolní činnosti 3 Informace

4 Řízení rizik


Monitoring (sledování a vyhodnocování úč
innosti a efektivnosti řídicího a kontrolního systému a náprava nedostatků)

vnitřního

Prvky vnitřního řídícího a kontrolní systému Kontrolní prostředí

Jedná se o celkový přístup akcionářů, dozorčí rady, představenstva a všech zaměstnanců k výkonu všech činností a ke kontrole v Bance A. Tvoří základ pro ostatní prvky vnitřního řídicího a kontrolního systému. Je představován souborem faktorů působících na celkovou funkčnost systému, odvíjí se od činností a postojů akcionářů, dozorčí rady, představenstva a vrcholového managementu a dále závisí na jejich angažovanosti a způsobech, jakými uplatňují své funkce a na etických hodnotách, které vyznávají. Odrazem kvality kontrolního prostředí je i firemní kultura, která je vytvářena zejména představenstvem a vrcholovým managementem a ovlivňuje většinu aspektů řízení Banky A (strategii, strukturu, mechanismy kontroly a odměňování, způsob vzájemného chování zaměstnanců, apod.). Jedná se jak o image, tak i o to, jak Banka A pečuje o kvalitu svých vztahů s nejrůznějšími partnery (regulatorními orgány, klienty, dodavatelskými subjekty, konkurenčními společnostmi i veřejností).

Kontrolní činnosti

Tyto činnosti jsou nedílnou součástí každodenního provozu Banky A v celé organizační struktuře, na všech úrovních řízení, ve všech činnostech a u všech zaměstnanců. Lze je

charakterizovat jako procesy skládající se z pravidel, procedur a systémových opatření, která poskytují přiměřenou jistotu o plnění cílů provozních (výkonnosti, efektivnosti a účinnosti provozních operací), informačních (správnosti, aktuálnosti, spolehlivosti a úplnosti finančních a manažerských informací) a legislativních, tj. souladu se zákony (dodržování příslušných zákonů a ostatních předpisů). Kontrolní činnosti mají podobu provozní kontroly (je prováděna před ukončením kontrolované činnosti nebo operace), liniové kontroly (je prováděna po ukončení činnosti nebo operace - následná) a ostatních kontrolních činností vymezených metodikou Banky A (např. bezpečnost, kontroling, kvalita služeb a řešení stížností - činnost bankovního ombudsmana). 6 Bezpečnost – kontrolní aktivity zaměřené na stanovení systému vnitřních zásad, postupů a kontrolních opatření k předcházení legalizace výnosů z trestné činnosti, dále realizuje zajištění finanční bezpečnosti, fyzické bezpečnosti (která se zaměřuje na omezení přístupu k hmotnému majetku). 7 Kontroling – kontrolní aktivity směřují do tvorby, monitorování, vyhodnocování realizace plánů (finančního, obchodního), analyzování příčin a důsledků odchylek, včetně návrhů potřebných opatření. 8 Kvalita služeb a řešení stížností – kontrolní činnost zaměřená na monitorování a vyhodnocování kvality služeb poskytovaných klientům a ve sběru, zpracovávání a vyhodnocování stížností klientů. Pro zajištění jednotného výkonu této kontrolní aktivity jsou Bankou A vytvářeny standardy kvality služeb.

Informace

Tento prvek je vymezen požadavky na aktuálnost, spolehlivost a ucelenost informací týkajících se zejména míry podstupovaných tržních a úvěrových rizik, srovnání míry tržních a úvěrových rizik s interními a regulatorními limity, srovnání předchozích odhadů míry podstupovaného rizika se skutečnými výsledky (zpětné testování), výsledcích analýz úvěrového portfolia, měření likvidity (na denní bázi, ve stanovených časových pásmech, v jednotlivých hlavních měnách, souhrnně za všechny měny) a srovnání reálného vývoje likvidity s příslušným scénářem a limity pro řízení rizika likvidity. Součástí tohoto prvku je i vymezení požadavků na využívaný informační systém, který musí být funkční a účinný a musí pokrývat veškeré aktivity Banky A. Dle požadavků je tento systém nastaven tak, aby všichni zaměstnanci byli seznámeni se všemi důležitými procesy a informacemi, které mají vliv na jejich činnosti, odpovědnosti a pravomoci. Nelze pominout podstatnou část tohoto prvku jíž je bezpečnost informačního systému a zajištění proti jeho možnému selhání či zneužití.

Řízení rizik

Jednou z významných součástí vnitřního řídicího a kontrolního systému jsou procesy řízení rizik. Banka A je v důsledku své obchodní a jiné činnosti nevyhnutelně vystavena různým rizikům, jako je riziko úvěrové, tržní, likviditní, operační atd. V Bance A je věnována oblasti řízení rizik značná pozornost odpovídající velikosti banky, složitosti a množství produktů a

obchodních či jiných aktivit. Rovněž má Banka A vypracovanou strategii řízení rizik, schválenou představenstvem, která obsahuje zásady řízení rizik, zahrnující procesy identifikace rizik, monitorování a měření rizik, soustavy limitů a omezení. Uplatňováním těchto zásad je riziko udržováno v přijatelné míře tak, aby se zachovala efektivnost procesů řízení. V rámci Banky A je zavedena pro jednotnou informační a metodickou podporu, kategorizaci, sjednocení evidence identifikovaných rizik a jejich výstupů tzv. Knihu rizik. Proces řízení rizik je nastaven tak, aby umožňoval odhalování nových, dosud neidentifikovaných rizik v oblasti nových produktů. Na řízení rizik se podílejí:

3 Úsek centrálního řízení rizik, který je zodpovědný zejména za tržní a operační rizika a za konsolidované řízení rizik celé Finanční skupiny. 4 Úsek řízení úvěrového rizika, odpovídající za úvěrové riziko celé Finanční skupiny.

5 Úsek řízení bilance, který řídí riziko čistého úrokového příjmu bankovní knihy likviditní riziko na základě rozhodnutí Výboru řízení aktiv a pasiv.

a

Rozhodovací pravomoc v oblasti řízení rizik mají kromě představenstva i níže uvedené výbory: 1 Výbor řízení aktiv a pasiv

2 Úvěrový výbor představenstva

3 Výbor finančních trhů a řízení rizik

1.1.7

Úvěrové riziko

Za úvěrové riziko je považováno to riziko, kde protistrana nebude schopna platit včas dlužné částky v plné výši.

Toto riziko je jedním ze základních bankovních rizik, a proto Banka A klade velký důraz na jeho řízení, které zahrnuje jeho identifikaci, měření a sledování. Dále je součástí řízení tohoto rizika i predikce možných ztrát, přijímání opatření směřující ke snížení (prevenci) podstupovaného úvěrového rizika. Vzhledem k významnosti tohoto rizika je v Bance A zřízen Úsek řízení úvěrových rizik, který je zcela nezávislý na obchodních útvarech a podléhá přímo předsedovi představenstva. Proces řízení úvěrových rizik se odehrává na dvou úrovních, a to na úrovni klienta a na úrovni portfolia.

Základním nástrojem řízení úvěrového rizika na úrovni klientů je hodnocení jejich úvěrové bonity. Toto hodnocení se zaměřuje zejména na analýzu finanční situace klienta, na očekávaný vývoj jeho schopnosti splácet poskytnutý úvěr, na vyhodnocení splátkové morálky a komunikace klienta s Bankou A. Výsledné hodnocení se odráží ve stanoveném ratingu klienta. Hodnocení bonity klienta, jakož i přiřazení ratingu, se provádí před poskytnutím úvěru i v průběhu trvání smluvního vztahu s klientem.

Používané nástroje na stanovení ratingu se liší podle jednotlivých klientských segmentů (korporátní zákazníci, drobní korporátní zákazníci, komunální sféra, finanční instituce apod.), a to z důvodu jejich specifických vlastností a charakteru.

Ratingový proces je založen na konceptu interního ratingu, který zohledňuje kvantitativní aspekty (finanční ukazatele), kvalitativní aspekty (tzv. soft fakta) a další informace (bankovní informace atd.)

Banka A používá 13 stupňový interní ratingový systém, který byl zaveden v roce 2004, pro pohledávky z úvěrových obchodů. Pro pohledávky z úvěrových obchodů vůči fyzickým osobám nepodnikatelům je používán osmistupňový rating. 13 stupňový systém je používán u právnických osob – podniků, fyzických osob podnikatelů, klientů komunální sféry a u bank a finančních institucí. Interní ratingový systém je v souladu s pravidly České národní banky pro posuzování pohledávek a je na tato pravidla úzce navázán (tzn. kritéria pro posuzování pohledávek dle Opatření České národní banky č. 9/2002 Sb.) Výsledný rating klienta je převáděn pomocí pevného transformačního můstku na klasifikaci České národní banky (ČNB). Tabulka č. 1: Převodní můstek mezi interním ratingem Banky A a kategoriemi ČNB Rating Banky A

Kategorie ČNB

1–6

Standardní

R

Nestandardní

R

Sledované

7-8

Sledované

R

Pochybné

ČNB 1

ČNB 2

ČNB 3

ČNB 4

ČNB 5

Pramen: Interní předpisy Banky A Pro účely převodu ratingové stupně R na jednotlivé klasifikační stupně ČNB (rating R = ČNB 3 - 5) byla zpracována Bankou A detailnější subkategorizace stupně R. Tabulka č. 2: Subkategorizace stupně R Subkategorie

Popis

ČNB

R1a

úplné splacení nejisté, částečné splacení je vysoce pravděpodobné úplné splacení je vysoce nepravděpodobné, částečné splacení je možné a pravděpodobné

3

R1b

4

R2a R2b R2c R3 R4 R5

splátka po splatnosti 91 - 180 dní splátka po splatnosti 181 - 360 dní splátka po splatnosti 361 a více dní restrukturalizace pohledávky ztráta z úvěru (částečný nebo úplný odpis pohledávky) konkurzní nebo vyrovnávací řízení

3 4 5 3 5 5

Pramen: Interní předpisy Banky A Rating klienta se používá zejména pro hodnocení dlužníků, ale ovlivňuje rovněž některé další aktivity Banky A (např. stanovení schvalovací úrovně, tvorbu opravných položek). Hodnocení zveřejňované některými agenturami se používá pouze jako orientační informace a v žádném případě nenahrazuje hodnocení klienta a stanovení ratingu Bankou A. Pro posouzení kvality úvěrového portfolia je využíváno v zásadě tří ukazatelů: 2 Podíl klasifikovaných úvěrů (klasifikace ČNB 2-5) na celkových úvěrech

3 Podíl vysoce rizikových úvěrů (klasifikace ČNB 3-5) na celkových úvěrech

4 Podíl nevýkonných úvěrů („non performing“ – po splatnosti více než 90 dnů) na celkových úvěrech

Pro účely měření úvěrového rizika se používá několik přístupů, jejíchž nejdůležitějším faktorem je rating klienta. Základní metodou jsou tzv. migrační matice, resp. matice pravděpodobnosti přechodů.

Pro hodnocení úvěrového rizika retailových klientů je využíván bodovací systém. Podstatou této metody je posouzení úvěrové schopnosti klienta na základě standardizovaného bodování jeho relevantních charakteristik. Výsledný počet bodového ohodnocení klienta je potom rozhodujícím faktorem pro schválení či zamítnutí úvěru. Součástí úvěrového procesu je rovněž i hodnocení zajišťovacích instrumentů na základě interních předpisů. Druhou úrovní v procesu řízení úvěrových rizik je úroveň úvěrového portfolia, která zahrnuje analýzu, monitorování a výkaznictví o úvěrovém portfoliu. Celkové úvěrové portfolio je rozděleno do několika „subportfolií“, ve kterých dochází k měření rizik. V jednotlivých subportfoliích je měřena tzv. default rate. Pro závislost default rate na splatnosti se používá tzv. vintage analýza. Riziko koncentrace se měří v oblasti komerčního bankovnictví, kde dochází k vysokým úvěrovým angažovanostem vůči jednotlivým klientům. O významné koncentraci se zpravidla hovoří, pokud angažovanost vůči klientovi či skupině klientů dosahuje úrovně nad 15% kapitálu Banky A.

1.1.8

Tržní riziko

Tržní rizika vyplývají z otevřených pozic transakcí s úrokovými, měnovými a akciovými produkty, které podléhají vlivům obecných a specifických změn na trhu.

S tržním rizikem jsou spojeny zejména transakce na finančních trzích (člení všechny nástroje do obchodního a bankovního portfolia v souladu s Vyhláškou ČNB č. 333/2002 Sb., kterou se stanoví pravidla obezřetného podnikání ovládajících osob na konsolidovaném základě) a úrokové riziko aktiv a pasiv v bankovní knize. Operace obchodního portfolia na kapitálovém, peněžním i derivátovém trhu lze rozdělit do následujících oblastí: 1 Kótování klientů a obchodování s nimi, realizace jejich příkazů 2 Kótování na mezibankovním trhu

3 Aktivní uzavírání obchodů na mezibankovním trhu

4 Distribuce produktů finančních trhů drobné klientele

V Bance A se obchodují na OTC trhu („over-the-counter“ – přepážkový organizovaný mimoburzovní trh) derivátové transakce – měnové forwardy a swapy, měnové opce, úrokové swapy, asset swapy, forward rate agreements, cross-curerency swapy, úrokové opce typu swaptions, caps a floors a úvěrové deriváty. Derivátové transakce Banka A také využívá k zajištění úrokového rizika bankovní knihy (interest rate swaps, FRA, swaptions) a k refinancování rozdílu mezi cizoměnovými aktivy a pasivy (FX swaps a cross currency swaps).

Tržní riziko obchodní a bankovní knihy je sledováno a měřeno v Úseku centrálního řízení rizik. Tento úsek je zcela nezávislý na divizi Finančních trhů, a to z důvodu zamezení konfliktu zájmů a zaručení korektnosti a nezávislosti předkládaných hlášení týkajících se rizik banky.. Veškeré limity pro tržní rizika obchodního portfolia jsou navrhovány ve spolupráci Úseku centrálního řízení rizik a obchodních útvarů a dále jsou schvalovány Výborem finančních trhů a řízení rizik. Soustava tržních limitů musí být v souladu s s maximální mírou podstupovaných rizik (měřenou metodou Value at Risk tzv. VaR) schválenou představenstvem a také potvrzena mateřskou společností Banky A. Metoda VaR se využívá jako nástroj kvantifikace rizik v agregované hodnotě pro bankovní knihu a pro dceřinné společnosti Banky A podle speciálních postupů, které modelují chování aktiv a pasiv v těchto portfoliích.

Pro měření úrokového rizika transakcí finančních trhů je používán tzv. PVBP gap (Present Value of a Basis Point = současná hodnota základního bodu), neboli matice faktorů citlivosti na úrokové sazby jednotlivých měn pro individuální portfolia úrokových produktů. Tyto faktory měří citlivost tržní hodnoty portfolia na paralelním posunu příslušné výnosové křivky dané měny v rámci daného časového úseku dob do splatnosti. Systém PVBP limitů je nastaven pro jednotlivá obchodní portfolia úrokových produktů podle měn. Limity jsou porovnávány s hodnotou, která reprezentuje vyšší číslo ze součtu kladných hodnot PVBP nebo součtu záporných hodnot PVBP v absolutní hodnotě pro jednotlivé doby splatnosti. Tímto způsobem je ošetřeno nejen riziko paralelního posunu výnosové křivky, ale i případná rotace výnosové křivky. Pro hlavní měny (CZK, EUR,USD) je stanoven limit i pro prostý součet hodnot PVBP. Pro měnové opce se do PVBP limitů zahrnují i hodnoty rho a phi ekvivalentů. Banka A sleduje také další speciální limity pro úrokové opční kontrakty, a to limity typu gamma a vega pro úrokové sazby a jejich volatility.

Za měnové riziko je považováno riziko změny hodnoty finančního instrumentu z důvodu změn měnových kurzů. Citlivost měnových derivátů na pohyby devizových kurzů je měřena formou delta ekvivalentů a je zahrnuta do devizové pozice banky. Banka A sleduje speciální limity pro měnové opční kontrakty, a to limity pro citlivost delta ekvivalentu na změnu devizového kurzu ve formě gamma ekvivalentu a limity pro citlivost hodnoty opčních kontraktů na volatilitě devizového kurzu ve formě vega ekvivalentu. Dále sleduje citlivost hodnoty ocenění na dobu do maturity (theta) a úrokovou citlivost (rho), která se měří společně s ostatními úrokovými nástroji formou PVBP. Akciové riziko obchodního portfolia je sledováno pomocí delta citlivostí tržních hodnot portfolií na změny akciových cen pro jednotlivé akciové emise a také v souhrnu za jednotlivé trhy a za celé portfolio. Úsek centrálního řízení rizik používá další sofistikované postupy pro ocenění hodnoty a rizik strukturovaných produktů, jejichž ocenění nelze vyjádřit explicitně. Nejčastěji je využívaná metoda „Monte Carlo“ pro simulaci pravděpodobného rozdělení ceny a budoucího vývoje složitých transakcí. Pro agregované měření tržního rizika pro obchodní i bankovní portfolia je používána metoda Value at Risk (VaR). Hodnoty VaR jsou počítány na hladině spolehlivosti 99% pro dobu držení jednoho obchodního dne. Pro výpočet se používá KVaR+ a metody historické simulace založené na historii posledních 500 obchodních dnů. Limity VaR jsou stanoveny pro jednotlivé obchodní portfolia. Metoda VaR je doplněna tzv. zpětným testováním, které ověřuje správnost modelu. Při této metodě se porovnávají denní odhady Value at Risk s hypotetickými výsledky portfolia za předpokladu, že by nedocházelo k žádným změnám v portfoliu během obchodního dne. Výsledky zpětného testování dosud vykazují správnost nastavení modelu pro výpočet Value at Risk. Metoda VaR je rovněž využívána pro výpočet kapitálového požadavku z měnového obecného úrokového rizika, obecného a specifického akciového rizika a rizika opčních transakcí obchodního portfolia na základě schválení Českou národní bankou. Ověření a schválení ze strany České národní banky a také interního auditu obsahovalo jak kvantitativní požadavky, tak i kvalitativní aspekty řízení rizik. Banka A používá vlastní model výpočtu kapitálového požadavku z tržních rizik. Obchodní portfolio Banky A je pravidelně v měsíčních intervalech podrobováno stresovému testování. Scénáře tohoto testování jsou založeny na: 1 Na 10-15letých historických datech při použití maximálních pozitivních a negativních změn (jednodenních a desetidenních) pro úrokové sazby, akciové ceny, devizové kurzy a volatility nezávisle na sobě. 2 Value at Risk hodnota na hladině spolehlivosti 99,8% (nejhorší historický scénář z posledních 500 pozorování). 3 „What-if“ scénáře navržené oddělením analýz.

Výsledky stresových scénářů jsou porovnávány s kapitálem Banky A alokovaným podle standardní metody České národní banky a také podle vlastního modelu pro výpočet kapitálových požadavků z tržních rizik.

Kromě limitů senzitivity a VaR jsou stanoveny a sledovány denně stoploss limity pro jednotlivé obchodní portfolia. Měsíční stoploss limit je porovnáván s rozdílem mezi nejlepším výsledkem (realizovaným a nerealizovaným ziskem) v roce a aktuálním výsledkem obchodního portfolia.

Limity celistvosti, VaR a stoploss limity včetně způsobu jejich stanovení a opatření, která nastanou v případě překročení, jsou upraveny interním pokynem, který je součástí strategie řízení rizik ve smyslu Opatření České národní banky č. 2/2004 k vnitřnímu řídícímu a kontrolnímu systému banky.

1.1.9

Úrokové riziko

Banka A využívá pro řízení tohoto rizika následující metody: 2 simulace čistého úrokového výnosu

3 citlivosti čistého úrokového výnosu na změnu tržních úrokových sazeb (paralelní/neparalelní diskrétní posun výnosové křivky, stochastické simulace výnosové křivky)

4 simulace změny teoretické tržní hodnoty bankovního portfolia při posunu tržní výnosové křivky o +100 bazických bodů (včetně key rate duration) 5 durační a gapové analýzy

Aktuální výše podstupovaného úrokového rizika je měsíčně hodnocena Výborem pro řízení aktiv a pasiv v kontextu s celkovým vývojem finančních trhů, bankovního sektoru v České republice, jakož i strukturálních změn v bilanci.

Základním sledovaným parametrem úrokové citlivosti je relevantní změna očekávaného čistého úrokového výnosu banky při okamžitém paralelním poklesu/nárůstu tržních úrokových sazeb o +100/-100 bazických bodů v horizontu následujících 36 měsíců, a to za předpokladu stabilní struktury bilance (produktové struktury aktiv a pasiv).

1.1.10 Riziko likvidity

Toto riziko lze charakterizovat jako riziko, kdy banka ztratí schopnost dostát svým finančním závazkům v době, kdy se stanou splatnými, nebo nebude schopna financovat svá aktiva. Likvidita je v Bance A monitorována a řízena na základě očekávaných peněžních toků a v souvislosti s tím je upravována struktura mezibankovních depozit a úvěrů.

1.1.11 Operač1.1.12 ní riziko

Bankou A jsou vnímána operační rizika (v souladu s Opatřením České národní banky č. 2/2004 k vnitřnímu řídicímu a kontrolnímu systému banky) jako rizika ztráty vlivem nepřiměřenosti či selhání vnitřních procesů, lidského faktoru nebo systémů, či ztráty vlivem vnějších událostí. Management banky je pravidelně informován o vývoji a velikosti operačních rizik.

Ve spolupráci s externím dodavatelem vyvinula Banka aplikaci sloužící pro sběr dat o operačním riziku, která vyhovuje požadavkům kladeným na sběr dat novým konceptem kapitálové přiměřenosti Basel II. Důležitým nástrojem pro snížení ztrát v důsledku operačních rizik je i pojistný program, který Banka A využívá již od roku 2002. Program zahrnuje nejen pojištění majetkových škod, ale i rizik z bankovní činnosti a odpovědnostních rizik. Od roku 2004 je se zapojila do společného pojistného programu mateřské společnosti Banky B, který významně rozšířil pojistnou ochranu, zejména u škod se závažným dopadem na hospodářský výsledek.

1.1.13 Právní riziko

Jak v minulých letech, tak i v současné době jsou vůči Bance A vedeny soudní spory vznikající v rámci její běžné činnosti. Nutno konstatovat, že právní prostředí v České republice se neustále mění a vyvíjí, soudní procesy jsou nákladné a jejich výsledky ve většině případů nepředvídatelné. Rovněž mnoho částí současné platné legislativy zůstává nevyzkoušených a také existují nejistoty ohledně interpretace soudů v řadě oblastí. Z uvedených důvodů je značně problematické kvantifikovat rizika a vliv těchto uvedených skutečností na rozhodnutí již vzniklých či předpokládaných soudních sporů. Na základě dostupných informací mohu konstatovat, že vedení předpokládá, že různé soudní spory do kterých je Banka A zapojena, nebudou mít významný dopad na její finanční situaci.

Monitoring

Dalším ze základních prvků vnitřního řídicího a kontrolního systému Banky A je monitoring, který lze charakterizovat jako soustavné sledování a vyhodnocování činností, významných skutečností a souvislostí ve vnitřním i vnějším prostředí Banky A, které mají či mohou mít vliv na její současnou i budoucí činnost. Z hlediska vnitřního řídicího a kontrolního systému se jedná o sledování a vyhodnocování jeho účinnosti a efektivnosti včetně nápravy zjištěných nedostatků. Součástí vnitřního řídicího a kontrolního systému, který je tvořen všemi nástroji a procesy působícími uvnitř v Banky, je i interní audit.

Interní audit

Vývoj interního auditu

Interní audit lze charakterizovat jako disciplínu zaměřenou na management organizace, která se prudce rozvíjela od druhé světové války. Kdysi se tato činnost primárně zabývala otázkami financí a účetnictví, v současnosti se interní audit zabývá celým rozsahem provozních činností a vykonává k tomu odpovídající širokou škálu ujišťovacích a konzultačních služeb. Vývoj interního auditu byl podpořen rostoucí velikostí a decentralizací bank, vyšší složitostí a technickou náročností jejich činností a z toho vyplývající potřeby nalezení prostředků k nezávislému, objektivnímu způsobu vyhodnocování a zlepšování řízení rizik, řídicích a kontrolních systémů a procesů správy a řízení bank. Nutno konstatovat, že prostředí bank po celém světě, ve kterých jsou činnosti interního auditu vykonávány jsou značně odlišně.

Přihlížení k politice banky vůči veřejnosti rovněž přispělo ke zlepšení postavení interního auditu a rozšířilo prostor pro jeho činnost. Od bank se dnes již očekává, že budou mít k dispozici přiměřeně podrobné a přesné účetní záznamy a dostatečně účinný systém interní kontroly účetnictví.

Původní historický model interního auditu v Bance A

V původním pojetí byl interní audit v Bance A (od roku 1999) vnímán spíše jako následná kontrola, která plnila zejména preventivní, kontrolní a částečně i instruktážní činnost. Ještě před rokem 1999 byly kontrolní akce členěny na povinně stanovené, akce z rozhodnutí ředitele Úseku interní audit a mimořádná šetření. Od tohoto roku se začíná činnost interního auditu zabývat plánovanými audity a nadále i mimořádnými šetřeními.

Plánované audity z počátku zahrnovaly komplexní ověřování a posuzování všech činností auditovaných subjektů. S postupem doby a vývojem v bankovním sektoru, zejména s rozvojem poskytovaných bankovních produktů a služeb, bylo nezbytně nutné ustoupit od tohoto charakteru plánovaných auditů. Začaly se prosazovat audity tematické a úzce specializované.

Nezbytným předpokladem k používání těchto praktik bylo i zavedení a využívání tzv. Systému identifikace rizik v Úseku interního auditu. Na základě výstupů z tohoto systému je v současné době Úsek interního auditu schopen identifikovat rizikové oblasti, procesy a činnosti v Bance A, a svoji pozornost zaměřit zejména tímto směrem. Podstatnou roli při transformaci interního auditu sehrála i skutečnost, že některé činnosti původně prováděné interním auditem (šetření mimořádných událostí a stížností) byly převedeny do nově zřízených Úseků bezpečnosti a ombudsmana Banky A. Jako další faktor, který částečně podpořil tento vývoj, lze vnímat i značný tlak vedení Banky A na snižování počtu zaměstnanců, tedy i počtu interních auditorů.

Současný model interního auditu v Bance A

Účel, pravomoci, odpovědnosti, postavení a procesy úseku interního auditu v rámci celé finanční skupiny jsou nastaveny v souladu s požadavky uvedenými v(e):

2 v Zákonu č. 21/1992 Sb., o bankách, v platném znění 3 Opatření České národní banky č. 2 ze dne 3.2.2004 k vnitřnímu řídícímu a kontrolnímu systému banky 4 Vyhlášce Komise pro cenné papíry č. 258/2004 Sb., kterou se stanoví podrobnosti dodržování pravidel obezřetného poskytování investičních služeb a podrobnější způsoby jednání obchodníka s cennými papíry se zákazníky 5 Stanovách Banky A 6 Interních předpisech Banky A 7 Rámci profesionální praxe interního auditora, vydaného Institutem interních auditorů, včetně Etického kodexu interního auditora

Interní audit lze v současné době vnímat jako nezávislou, objektivní, ujišťovací a konzultační činnost zaměřenou na přidávání hodnoty a zdokonalování procesů. Pomáhá dosahovat Bance A cíle tím, že přináší systematický metodický přístup k hodnocení a zlepšování efektivnosti řízení rizik, řídících a kontrolních procesů a správy i řízení banky.

Své služby Úsek interní audit poskytuje formou plánovaných auditů a auditů z požadavku vedení, monitoringu a dalších činností zaměřených zejména na: 1 2 3 4 5 6 7 8 9

dosahování záměrů, plánů a strategie Banky A, funkčnost a účinnost vnitřního řídicího a kontrolního systému, funkčnost a bezpečnost informačních systémů, přesnost a spolehlivost účetních, statistických a provozních informací, přesnost a spolehlivost informací předávaných představenstvu a dozorčí radě, úplnost, průkaznost a správnost vedení účetnictví, efektivnost vynakládání zdrojů, finanční řízení, nastavení kontrolních mechanismů při zavádění nových a inovovaných produktů, procesů

a předpisů, 10 dodržování obecně závazných předpisů, regulatorních a vnitřních předpisů,

V současné době je interní audit při své činnosti nezávislý na všech ostatních činnostech Banky A. Nezávislost interního auditu prostupuje všemi fázemi jeho činnosti, zejména při identifikaci a analýze rizik, plánování a přípravě auditů, včetně výběru metod ověřování a vyhodnocování, zpracování a podání zprávy o provedeném auditu, ale i ověřování opatření a monitoringu. Dohled nad činností interního auditu v podmínkách Banky A zajišťuje Výbor pro audit a ředitel Úseku interní audit, který není členem představenstva ani dozorčí rady, je jmenován a odvoláván dozorčí radou.

1.1.14 Organizač1.1.15

ní struktura Úseku interní audit

Schéma č. 1: Organizační struktura úseku interní audit v Bance A

Pramen: Interní předpisy Banky A Tak jak se postupem doby vyvíjí a přetváří organizační struktura celé Banky A i Úsek interního auditu není výjimkou. Z původního počtu cca 350 zaměstnanců zabývajících se činností kontroly a interního auditu byl počet zaměstnanců zredukován na dnešních 85 (tj. 0,78% z celkového počtu zaměstnanců Banky A). Tato skutečnost je pod hranicí „best practice“ a jedná se o nejnižší procento interních auditorů v rámci celé bankovní skupiny jejíž součástí Banka A je.

1.1.16 Spolupráce interního auditu s externím auditem

Úsek interního auditu pravidelně hodnotí kvalitu činnosti externího auditora, se zaměřením zejména na rozsah prací (zda odpovídají uzavřené smlouvě), adekvátnost prací provedených externím auditem ve vztahu k závěrům, nezávislosti a přidané hodnoty pro Banku A.

1.1.17 Hodnocení kvality interního auditu

Jako systém zpětné vazby resp. hodnocení interního auditu je využíváno hodnocení auditu vedením auditovaného subjektu, které je zpracováváno v elektronické podobě a je zasíláno po ukončení auditu řediteli Úseku interní audit. Cílem zavedení systému hodnocení interního auditu v Bance A bylo: 2 3 4 5 6

získat zpětnou vazbu o účinnosti interního auditu, získat zpětnou vazbu o přidané hodnotě interního auditu procesům, zlepšovat kvalitu efektivitu a organizaci práce interních auditorů, podpořit profesní rozvoj a motivaci interních auditorů, zlepšovat služby pro zákazníky interního auditu

Předmětem hodnocení je zejména organizační a obsahová stránka auditu, přínos pro auditovaný subjekt a činnost auditorského týmu u každého ukončeného auditu. Systém hodnocení interního auditu dále zahrnuje periodické interní a externí hodnocení kvality a průběžné interní monitorování. Činnost Úseku interní audit je v Bance prověřována nejméně jednou za pět let nezávislým externím hodnotitelem.

Proces interního auditu V Úseku interní audit je pro potřeby maximální informovanosti zaměstnanců a mimo jiné pro přehlednou evidenci zjištění, rizik, doporučení, pro evidenci a ověřování opatření, pro evidenci rizik a jejich vyhodnocování a evidenci kapacit využívaných na auditorské aktivity, v souladu s plánem činnosti, používán Interní informační systém (dále pouze IIS) Úseku interního auditu.

Tento IIS využívá prostředí internetového prohlížeče Microsoft Internet Explorer, standardně používaného ve všech počítačích Banky A a je umístěn na serveru vyhrazeném pro potřeby Úseku interního auditu. Přístup uživatelů je s využitím vlastností operačního systému omezen pouze pro zaměstnance Úseku interní audit. IIS reaguje na neustále rostoucí potřeby interních auditorů a je průběžně inovován. V současné době v podmínkách Banky A zahrnuje proces interního auditu - plánování činnosti, přípravu auditu, provádění auditu a ukončení auditu.

Plánování interního auditu

Součástí plánování činnosti interního auditu je příprava plánu. Hlavní cíle a priority interního auditu jsou zapracovány ve strategickém a periodickém plánu. Strategický plán zajišťuje, aby

činnost interního auditu byla efektivně rozvržena na příslušné období, aby byla zohledněna strategická rozhodnutí vedení Banky A, rizikovost jednotlivých činností. Periodický plán blíže určuje cíl, předmět a termíny jednotlivých auditů. Rovněž určuje rozvržení kapacit Úseku interního auditu dle plánovaných akcí včetně vzdělávání interních auditorů.

Po přípravě plánů následuje fáze projednání a schválení. Oba návrhy plánů interního auditu jsou projednány představenstvem a schvalovány Výborem pro audit. O schváleném periodickém plánu jsou informováni manažeři Banky A. V rámci procesu plánování jsou v Úseku interní audit využívány zejména výstupy Systému identifikace rizik (dále pouze SIR).

ze

1.1.18 Systém identifikace rizik

Byl vyvinut specialisty interního auditu ve spolupráci s externími experty na matematické modelování. Jedná se o nástroj analýzy rizik pro účely plánování v Úseku interního auditu a z hlediska systémové podpory identifikace a analýzy rizik jde o ojedinělý nástroj ve finančních institucích v České republice.

SIR je nastaven tak, že nejdříve je provedena identifikace a ohodnocení rizik a teprve následně je provedena úvaha o procesech uvnitř Banky A, jež jsou riziky ovlivněny nebo mají omezovat jejich dopad. Základem SIR je tzv. Kniha rizik využívaná napříč Bankou A. Skutečnost, že Úsek centrálního řízení rizik používá v rámci systému pro analýzu operačních rizik identickou Knihu rizik je dle mého názoru zcela zásadní pro fungování celkového systému řízení rizik. Tabulka č. 3: Kniha rizik Banky A (výtah) Přehled rizik č

Úvěrová rizika Tržní rizika Ostatní rizika

Kategorie kódů rizik 10000 - Operační rizika lidského selhání 20000 - Operační rizika selhání procesů 30000 - Operační rizika selhání systémů 40000 - Operační rizika vnějších vlivů 50000 - Úvěrová rizika 60000 - Tržní rizika 70000 - Ostatní rizika

Kategorie rizik R1 R2 R3 R4 R5 R6 R7

Pramen: Interní předpisy Banky A Tento postup je v souladu s „best practice“ a v současné době je uplatňuje dle dostupných informací jenom několik technicky vyspělých útvarů interního auditu v České republice. Pro tyto účely byl Úsekem interní audit vyvinut i produktový číselník, aktivit a činností Banky A.

Tabulka č. 4: Číselník produktů, aplikací a činností Banky A (výtah) Číslo segmentu 1 2 3 4 5 6 7 8 9 10

Kód 1065 1070 1230 1015 1020 1100 1045 2065 2330 2205 3330

Název Produkty Pokladní hotovost Hotovostní operace v české a cizí měně Pohledávky za klienty Hypoteční úvěry v Kč Cenné papíry Šeky Závazky ke klientům Běžné účty v cizí měně Běžné účty v české měně Ostatní Obchody na devizovém trhu Produkty dceřinných společností Factoring Bankovní aplikace Velké bankovnictví Centrální registr úvěrů Drobné bankovnictví Pobočkový systém Elektronické bankovnictví Internet Činnosti Správní útvary, řízení úvěrových rizik Správa a řízení společnosti (Corporate Governance)

Pramen: Interní předpisy Banky A Schéma č. 2: Systém identifikace rizik Banky A

Zprávy z inte rních auditů

-

- audity plán ované - audity z pož adavku vede n í

Informace z útvarů

M onitorování

útvary centrály pobočky projekty B ank y A členové FS

Informace z útvarů

- úsek centrálního ř íz ení riz ik - říz ení úvěrov ých riz ik - říz ení bilance finanč n í skupiny

- úsek - bez peč nost - úsek - OMBUDS MAN - ostatní

SIR Informace z :






předtavenstva doz orčí rady výboru pro aud it







Vně jší zdroje : doporučení E A doporučení Č NB opatřen í Č NB ostatní

V ýkazy :






finanční obchodně-finanční plány controling

O statní zdroje

Map y rizik Podpora tvorby plánů IA

Pramen: Interní předpisy Banky A V rámci přípravy ročního plánu interního auditu jsou výsledky ze SIR podrobeny diskusi a profesionální úsudek je zcela správně konečným faktorem pro výběr rizik a příslušejících činností, produktů a aplikací v rámci Banky A pro provedení auditů v nadcházejícím roce.

Vstupy do SIR v podobě detailně vypracovaného strategického a krátkodobého plánu Banky A, které by obsahovaly detailně rozpracované cíle za jednotlivé typy služeb a produkty banky a rizika, která mohou ohrozit jejich naplnění jsou zatím omezené.

Tento nedostatek je v současné době kompenzován intenzivní komunikací návrhu ročního plánu auditů ředitelem Úseku interní audit se členy představenstva a průběžným sběrem námětů na provedení auditů od ostatních členů managementu na středních i nižších úrovních. V rámci systému je používán matematický model, který je pomůckou při hodnocení významnosti rizik. Tento model řeší ohodnocení významnosti s ohledem na opakovaný výskyt rizika, čas, který uplynul od výskytu jednorázového rizika, atd. Rozhodujícím faktorem pro konečné ohodnocení rizika ovšem zůstává velikost rizika zadaná při vstupu informací do modelu. Dle posouzení externím auditorem a Českou národní bankou používaný matematický model neobsahuje logické chyby, které by způsobovaly zkreslení výsledků.

Tento systém je využívaný pouze pro vnitřní potřebu Úseku interní audit. V rámci jeho vývoje a implementace byly a jsou uplatňovány velmi přínosné koordinační aktivity v rámci Banky A.

1.1.19 Problémové oblasti Systému identifikace rizik

Z pohledu aktivního uživatele tohoto systému, by mohlo dle mého názoru docházet k některým dílčím nedostatkům či nepřesnostem tohoto systému, a to zejména z těchto důvodů:

Informační vstupy do systému 5 Informační vstupy do SIR vycházejí především z auditů, monitoringů a ostatních činností IA. Manažeři auditovaných subjektů mají možnost se vyjádřit k ohodnocení významnosti rizik (1 až 4) identifikovaných ve zprávách z auditů a monitoringu, které je prováděno zaměstnanci interního auditu (IA). V ideálním případě by měl mít Úsek interní audit pro účely plánování k dispozici také žebříček nejvýznamnějších rizik (např. top 15) připravený odbornými útvary řízení rizik Banky.

Duplicitní vstupy do systému 7 Některé typy rizik se s ohledem na svou povahu a místo výskytu mohou do tohoto systému dostávat duplicitně, čímž se zvyšuje jejich ohodnocení v porovnání s jinými riziky (možná stejně nebo více závažnými), které se s ohledem na svou povahu dostanou do systému pouze jedenkrát. Proces hodnocení rizika 9 Stupnice pro hodnocení rizik 1 až 4 byla převzata z Úředního sdělení České národní banky a je popsána v interních pokynech. S ohledem na složitost problematiky hodnocení rizik podle mého názoru v Úseku interní audit chybí podrobný pracovní postup (manuál), kterým by se interní auditoři při hodnocení rizik řídili. Cílem by mělo být zajištění konzistentního přístupu k hodnocení rizik uplatňovaného jednotlivými zaměstnanci Úseku interní audit.

1.1.20 Řešení problémových oblastí Systému identifikace rizik

S ohledem na zdokonalení využívaného systému se mi jeví jako podstatné, aby byli do identifikace a hodnocení rizik zapojeni aktivněji manažeři z jednotlivých útvarů Banky A. I přesto, že se interní auditoři snaží během vykonávání své činnosti (auditů a monitoringu) o dosažení co možná nejúplnějšího přehledu o významných rizicích a pochopení jejich dopadu na hospodaření banky, není možné nikdy dosáhnout takové úrovně poznání problémů jako zaměstnanci odpovědní za dané oblasti. Při získávání těchto informací doporučuji využití dotazníkové formy v rámci různých úrovní managementu s cílem zjistit, která operační rizika považují manažeři za nejzávažnější. Následně tato rizika zahrnout do využívaného systému a těchto akcí využívat s pravidelnou periodicitou. Rovněž by bylo vhodné, aby byl vyvíjen postupný tlak na vrcholové vedení Banky A s cílem získat kvalitnější vstupy do systému ze strategického a krátkodobého plánu Banky A, který by obsahoval detailně rozpracované cíle za jednotlivé typy služeb a produkty banky a rizika, která mohou ohrozit jejich naplnění. V souvislosti s možností duplicitního zadání rizika se mi jeví jako nezbytné, aby byly vstupy do systému zadávány po čtvrtletních dávkách, a to až po analýze všech vstupních informací získaných za dané čtvrtletí. Tyto vstupy by byly před zadáním do systému posouzeny týmem vybraných specialistů Úseku interní audit s cílem zamezit duplicitním vstupům a dosáhnout konsensu z hlediska přiřazení významnosti od 1 do 4. Úpravou stávajícího systému, se kterými matematický model systému sice kalkuluje formou relativního snižování závažnosti, by mohla vést k objektivizaci výsledků. V rámci procesu hodnocení rizika pro účely plánování není dostatečně reflektován přístup, kdy se riziko definuje jako událost, která může negativně ovlivnit naplňování cílů Banky A. To může způsobit chybné závěry z hlediska hodnocení dopadu rizik například v případě ztrát z titulu nesplacených spotřebitelských úvěrů. Částka se může samostatně jevit jako významná, ovšem riziko nemusí být významné, pokud se ztrátovost pohybuje v rámci stanovených cílů pro daný produkt. Úsek interní audit bohužel nemá k dispozici dostatečně detailní informace o plánech a strategii banky (například dle produktů), aby mohl plně uplatnit výše popsaný přístup. Z dlouhodobého hlediska musí Úsek interní audit vyžadovat detailnější informace od managementu.

Dále není dostatečně reflektován přístup, kdy je nutné rozlišovat mezi tzv. brutto rizikem (potenciálním vlivem na hospodářský výsledek banky, pokud by vnitřní kontrolní systémy vůbec nefungovaly) a zbytkovým rizikem (potenciálním vlivem na hospodářský výsledek banky, pokud zvážíme současný stav nastavení vnitřních kontrolních systémů). Pokud se plán interního auditu sestavuje pouze na základě ohodnocení zbytkových rizik, mohou být opomenuty některé důležité vnitřní kontrolní systémy ošetřující významná brutto rizika. Tyto systémy se mohou jevit jako adekvátně nastavené, ovšem pokud interní audit neověří spolehlivost jejich fungování, může dojít k neočekávaným významným negativním dopadům na banku v případě selhání těchto systémů. Jsem si vědom skutečnosti, že ČNB klade důraz na určité oblasti fungování banky z hlediska plánování auditů a že Úsek interní audit Banky A provádí jednou za dva roky audit těchto oblastí.

S ohledem na složitost problematiky hodnocení rizik se mi jeví jako vhodné připravit podrobný pracovní postup (manuál), kterým by se interní auditoři při hodnocení rizik řídili. Cílem by mělo být zajištění konzistentního přístupu k hodnocení rizik uplatňovaného jednotlivými zaměstnanci Úseku interní audit. Výše uvedené principy by měly být v tomto manuálu zahrnuty a tým provádějící čtvrtletní validaci vstupů do SIR by je měl respektovat.

Příprava auditu

Pro každý audit je stanoven ředitelem Úseku interní audit manažer auditu, který pro každý audit určuje auditorský tým a jeho vedoucího.

Součástí individuální přípravy interních auditorů zpravidla bývá i předběžná prohlídka v auditovaném subjektu, o které je v časovém předstihu subjekt informován manažerem auditu. V rámci individuální přípravy jednotlivých auditorů zpracovává auditorský tým program auditu, ve kterém jsou blíže specifikovány z časových a věcných hledisek jednotlivé úkony, postupy a metody, kterými bude příslušná oblast ověřována. Podněty získané od vedoucího auditovaného subjektu, které směřují k dosažení cíle auditu může auditorský tým využít při zpracovávání programu auditu. Vedoucí auditovaného subjektu je informován o plánovaném zahájení auditu zaslaným oznámením, kterým je současně rámcově seznámen se zaměřením auditu a obdobím, ve kterém bude audit proveden.

Společně s oznámením o provedení auditu může být zasílán i seznam materiálů, které auditorský tým požaduje připravit ke dni zahájení auditu. V současné době není příliš tato možnost interními auditory využívána, a to zejména s ohledem na značné pracovní vytížení zaměstnanců auditovaných subjektů.

Provádění auditu

Interní audit je prováděn dle předem zpracovaného programu a na základě písemného pověření, které obsahuje základní informace o auditorském týmu. Toto pověření opravňuje interní auditory k výkonu auditorské činnosti v auditovaném subjektu.

Na základě interních předpisů a v souladu s platným pověřením jsou vedení i ostatní zaměstnanci povinni vytvořit potřebné pracovní podmínky a předložit veškeré požadované podklady a dokumentaci, tak aby auditorský tým mohl splnit cíl auditu. Při zahájení auditu je zpravidla s obsahovou náplní programu rámcově seznámen vedoucí auditovaného subjektu. Při některých auditech je týmem vyžádáno od vedoucího auditorského subjektu písemné prohlášení, ve kterém konstatuje, že byly předloženy veškeré informace a skutečnosti potřebné k provedení auditu.

Členové auditorského týmu pro každou jednotlivou akci zpracovávají auditorskou dokumentaci, která tvoří auditorský spis. Ten je veden takovým způsobem, aby byl kompletně rekonstruovatelný postup při provedeném auditu a obsahoval takové informace , aby na jejich základě přiměřeně uvážlivá a kompetentní osoba dospěla ke stejným závěrům jako interní

auditor.

Zjištěné skutečnosti auditor průběžně projednává s odpovědnými zaměstnanci auditovaného subjektu. O těchto skutečnostech následně informuje v dohodnutých termínech vedoucího auditovaného subjektu.

Ukončení auditu

Tuto závěrečnou část procesu interního auditu lze rozdělit do dvou fází, a tou je vyhotovení zprávy o výsledcích auditu a opatření k nápravě přijatá vedením auditovaného subjektu včetně jejich vyhodnocení účinnosti. Auditorský tým na základě získaných informací, analýz, konzultací a předložené dokumentace vyhotovuje zprávu pro vedení auditovaného subjektu. Součástí tohoto výstupu je zejména cíl, předmět, rozsah interního auditu a zjištění včetně navržených doporučení, která by měla směřovat k odstranění zjištěných nedostatků. Nezbytnou součástí zprávy je i názor interního auditora na míru podstupovaných rizik, identifikovaných v auditovaných činnostech. Vyhodnocení a ohodnocení rizik je prováděno v souladu s interními předpisy Banky A, a to včetně jednotně používané terminologie a klasifikace závažnosti zjištěných nedostatků. Tabulka č. 5: Velikost rizika v Bance A

Velikost Popis rizika Stupeň 1 nízká míra závažnosti nedostatek neohrožuje hospodářský výsledek a kapitál banky jedná se o méně významný nedostatek nesystémového charakteru Stupeň 2 střední míra závažnosti nedostatek neohrožuje kapitál a hospodářský výsledek banky jedná se o dílčí nedostatek systémového charakteru nebo významnější nedostatek nesystémového charakteru Stupeň 3 vysoká míra závažnosti nedostatek může ohrozit kapitál a hospodářský výsledek banky nedostatek má vliv na efektivnost a účinnost více dílčích procesů v bance jedná se o zásadní systémový nedostatek určité oblasti řízení rizik Stupeň 4 - velmi vysoká míra závažnosti nedostatek může mít vliv na další existenci banky nedostatek významným způsobem ohrožuje kapitál a hospodářský výsledek banky nedostatek má zásadní vliv na efektivnost a účinnost procesů banky Pramen: Interní předpis Banky A Návrh zprávy je zasílán k vyjádření vedoucímu auditovaného subjektu, který se může ve

stanoveném termínu k identifikovaným rizikům písemně vyjádřit. V případě, že dojde mezi vedoucím auditovaného subjektu a auditorským týmem k rozporu ohledně závěrů nebo doporučení uvedených ve zprávě, jsou tyto rozpory řešeny na úrovni ředitele úseku interního auditu.

V Bance A je zpráva o výsledcích auditu zpřístupněna představenstvu, Výboru pro audit a vedoucím věcně příslušných útvarů.

Jak již bylo výše uvedeno součástí zprávy o výsledcích interního auditu jsou i doporučení auditorského týmu směřující k odstranění zjištěných nedostatků a případně k minimalizaci či alespoň optimalizaci identifikovaných rizik. Zprávu o přijatých opatřeních, která musí být vždy konkrétní, jednoznačná, zdokladovatelná, termínovaná a s uvedením odpovědnosti za jejich plnění, zasílá vedoucí auditovaného útvaru vedoucímu auditorského týmu. Systém vyhodnocení přijatých opatření, jehož předmětem je zkoumání efektivnosti nápravných opatření, je rovněž součástí činnosti interního auditu Banky

Výsledky činnosti interního auditu

V průběhu roku 2004 bylo celkem provedeno Úsekem interní audit 23 plánovaných auditů a 11 auditů z požadavku vedení. V rámci činnosti interního auditu bylo v roce 2004 identifikováno 32 rizik v činnostech Banky A s vysokou mírou závažnosti (stupeň 3) z celkového počtu 341 identifikovaných rizik. Riziko s velmi vysokou mírou závažnosti (stupeň 4) nebylo v průběhu roku 2004 identifikováno. Ostatní identifikovaná rizika byla ohodnocena stupněm 1 nebo 2.

Ke všem rizikům byla interními auditory navržena doporučení vedoucí k odstranění zjištěných nedostatků či nežádoucího stavu. Na základě těchto doporučení byla manažery na všech úrovních řízení přijata příslušná opatření vedoucí k odstranění zjištěných nedostatků a minimalizaci či alespoň k optimalizaci podstupovaných rizik.

Interními auditory bylo v souvislosti s identifikovanými riziky za rok 2004 ověřeno celkem 341 přijatých opatření. Z tohoto počtu bylo odpovědnými osobami splněno 303 opatření. V souvislosti s vyhodnocením výsledků ověřovaných opatření je nezbytné konstatovat, že 30 případů bylo nesplněno a 8 případů vyřazeno z důvodu neaktuálnosti a překonání vývojem. Opatření, která nebyla splněna zejména z důvodů značné časové a finanční náročnosti jsou nadále předmětem zájmu a ověřování daného stavu i v následujícím období.

Pro dokreslení problematiky zde uvádím dva konkrétní příklady výsledků provedených auditů včetně zobecněných zjištění a navrhovaných doporučení: Příklad č. 1 Provedeným plánovaným auditem bezpečnosti pokladního provozu a organizace pokladní služby, jehož cílem bylo zajistit ověření operačních rizik vznikajících v souvislosti s výkonem pokladní činnosti a nastavení vnitřního řídicího a kontrolního systému ve sledované oblasti, bylo zjištěno:

2 neuzavření dohod o hmotné odpovědnosti u 10 zaměstnanců (tj. 25%) vykonávající

pokladní činnost 3 nerespektování zásad bezpečné manipulace s pokladní hotovostí 4 nerespektování zásad bezpečné úschovy rozvrhových kódů (hesel) od úschovných objektů

V souvislosti s těmito zjištěními bylo auditorským týmem identifikováno nebezpečí vzniku pracovněprávního rizika a operačních rizik typu neobjasnitelných pokladních schodků či krádeží, se střední mírou závažnosti (stupeň 2). Na základě posouzení a po důsledném zvážení zjištěných skutečností byla auditorským týmem navržena tato doporučení:

2 Doplnit chybějící dokumentaci a následně ověřit uzavření dohody o hmotné odpovědnosti se všemi zaměstnanci vykonávající pokladní činnost. Instruovat vedoucí zaměstnance OP v souvislosti s uvedeným zjištěním. 3 Ve spolupráci s příslušnými útvary centrály a s přihlédnutím k vynaloženým nákladům zajistit bezpečný pokladní provoz při manipulaci s hotovostmi, přesunech a úschově hotovostí. 4 Zajistit dodržování zásad klíčového režimu v pobočce Banky A včetně správného uložení hesel od úschovných objektů. V rámci uplatnění preventivních opatření v této oblasti zvážit i možnost změny příslušných hesel kombinačních zámků úschovných objektů.

Příklad č. 2 Na základě požadavku ředitele organizační jednotky Banky A byl uskutečněn audit přiměřenosti rizik vznikajících při uzavírání, schvalování a správě vybraných úvěrových obchodů, jehož cílem bylo ověřit přiměřenost rizik vznikajících při přípravě úvěrových obchodů, schvalovacím procesu, správě úvěrů, zajištění úvěrových pohledávek, vedení smluvní dokumentace a zadávání dat o zajištění, úročení a bilancování do databáze Banky A, a to ve vybraných jednotkách příslušné organizační jednotky. V souvislosti s uvedeným byla auditorským týmem identifikována tato zjištění: 2

3 4

překročení delegovaných schvalovacích kompetencí pro poskytování úvěrů nekompletní vedení spisové dokumentace čerpání prostředků z hypotečních úvěrů v objemu, který nebyl v souladu s aktuální výší hodnoty zastavené nemovitosti

V důsledku těchto zjištění byla identifikována auditorským týmem rizika se střední mírou závažnosti (stupeň 2) typu - riziko nedostatečného posouzení úvěrového obchodu nekompetentní osobou a v důsledku toho i možnost uzavření rizikového obchodu, riziko ztížení procesu vymáhání, a to i v souvislosti s možností neuspokojení či pouze částečného uspokojení pohledávky při vzniku škodní události na zastavené nemovitosti a dále riziko nedostatečného zajištění úvěru v průběhu čerpání i trvání úvěrového vztahu. Auditorským týmem byla navržena tato doporučení:

4 Seznámit všechny zaměstnance organizační jednotky jejichž činnost se dotýká auditované oblasti s výsledky a doporučeními interního auditu. 5 Zvážit možnost začlenění ověřování dodržování schvalovacích kompetencí do kontrolních

aktivit organizační jednotky, např. do plánu liniové kontroly. 6 Dle možností doplnit chybějící spisovou dokumentaci k úvěrovým obchodům a zvážit opětovné nastavení kontrolních mechanizmů do této oblasti v budoucím období. 7 postupně zajistit doložení aktuálních informací týkajících se zajištění hypotečních úvěrů k předmětným úvěrovým obchodům.

Vedením auditovaných subjektů nebyly v uvedených dvou případech uplatněny vůči zjištěním, doporučením či postupům auditorského týmu žádné připomínky. Při závěrečném projednání výsledků auditů byly dohodnuty termíny pro zaslání zprávy o přijatých opatřeních směřující k odstranění těchto zjištěných nedostatků. Následným vyhodnocením přijatých opatření a ověřením jejich splnění bylo vedoucím auditorského týmu ověřeno, že doporučení auditorského týmu byla v plném rozsahu vedením auditovaného subjektu akceptována a splněna. S výsledky jednotlivých auditů byly následně na poradě auditovaného subjektu seznámeni manažeři všech organizačních jednotek příslušného subjektu.

Rizika identifikovaná a kvantifikovaná (dle interní metodiky Banky A) v rámci zjištěných nedostatků, které slouží jako vstupní informace SIR, jsou podkladem pro tvorbu periodického plánu interního auditu a případného návrhu na úpravu strategického plánu interního auditu. Z níže uvedeného grafu č. 1 vyplývá, že Banka A čelí zejména operačním rizikům selhání procesů a selhání systémů. Dále musí čelit operačním rizikům vnějších vlivů a ostatním rizikům. Graf č. 1: Analýza rizik Banky A – výstup dle kategorií rizik

R1 - Operační rizika lidského selhání 5

4,5

R7 - Ostatní rizika

4 3,5 3 2,5 2

R2 - Operační rizika selhání procesů

1,5 1 0,5 0

R6 - Tržní rizika

R5 - Úvěrová rizika

R3 - Operační rizika selhání systémů

R4 - Operační rizika vnejších vlivů

Pramen: Interní výstupy ze Systému identifikace rizik Banky A Výsledky grafu č. 2 blíže specifikují identifikovaná rizika v činnostech Banky A. Na základě analýzy kódů rizik, která jsou podrobně rozpracována v Knize rizik, lze konstatovat, že nejvyšším stupněm rizikovosti jsou klasifikována tato rizika: 20100 - Chybné platby a vypořádání 30100 - Selhání systémů 30200 - Narušení bezpečnostních systémů 40100 - Podezření na podvodná jednání klientů, kriminální aktivity 20200 - Nedostatky ve smluvní dokumentaci s klienty 20500 - Chybné řízení projektů 20700 - Nesprávné obchodní a tržní praktiky

Graf č. 2: Analýza rizik Banky A – výstup dle kódů rizik Banky A

74180

20100 5

74140

30100 30200

4,5 4

74120

40100

3,5 3

74110

2,5

20200

2

1,5

51050

1

20500

0,5 0

51030

20700

40500

20900 40200

40300 20800

72100 10300

10200

74170

Pramen: Interní výstupy ze Systému identifikace rizik Banky A Graf č. 3: Analýza rizik Banky A – výstup dle kódů produktů, aplikací a činností

3305

3330

3250 5

3020 3070

4,5

3280

4

1015

3,5

3230

3

1020

2,5

3215

2

1,5

1070

0,5

1270

1

2500

0

1280

2135

2090

1285

2240

1210

1130

3030 3170

1110 1065

3245

Pramen: Interní výstupy ze Systému identifikace rizik Banky A Z analýzy rizik dle kódů produktů, aplikací a činností vyplývá, že výše identifikovaná rizika se dotýkají zejména těchto níže uvedených produktů, aplikací a činností Banky A: 3250 - Prostředí pro IT (činnosti) 3020 - Bezpečnost informační technologie (činnosti) 3070 - Fyzická bezpečnost, zajištění bezpečnosti osob a majetku (činnosti) 1015 - Běžné účty v cizí měně (produkty) 1020 - Běžné účty v české měně (produkty) 1070 - Hypoteční úvěry v české měně (produkty) 1270 - Úvěry komerční fyzickým osobám v Kč (vč. úvěrů z kreditních karet)

Na základě provedených analýz rizik, ve kterých je zohledněna i skutečnost případného selhání vnitřního řídícího a kontrolního systému, je vypracován plán interního auditu na následující období. Do tohoto plánu jsou prioritně zařazeny oblasti a činnosti s mírou rizika 3 a vyšší (dle hodnocení SIR), a to v souladu se zásadami a metodikou plánovacího procesu úseku interního auditu. Při tvorbě plánu jsou brány do úvahy témata a náměty, jejichž řešení vyžaduje management banky. Cíl navrhovaných auditů je definován ve vazbě na očekávané ekonomické přínosy, zejména pro obchodní linie společnosti. Jako podstatný faktor ovlivňující činnost interního auditu i v oblasti plánování působí požadavky ČNB. Rovněž je přihlíženo ke kapacitním možnostem interních auditorů.

Závěr S rozvojem produktů a služeb dochází i k rozvoji a vzniku nových rizik působících na banky. Existují různé možnosti identifikace, měření, kvantifikace a řízení rizik působících v bankovním sektoru. I když řešení nejsou vždy optimální, banka bere ohledy zejména na rizika s možným dopadem do jejich ekonomických a hospodářských výsledků. Její snahou je nalézat nová řešení a z předcházejícího stavu si vzít ponaučení a vyvarovat se případných chyb či nepřesností.

Na základě výsledků činnosti interního auditu v Bance A lze konstatovat, že v současném pojetí si plní interní audit svoji roli i cíle, a to zejména tím, že informuje vedení Banky A o rizicích, kterým je v souvislosti se svojí činností Banka A vystavena. Interní audit vyvíjí a řídí dobré vztahy s klíčovými uživateli interního auditu.

Autorem této bakalářské práce je zejména vnímáno pozitivně využívání Systému identifikace rizik při tvorbě plánů činnosti interního auditu a to i přes některé problémové oblasti tohoto systému. Z hlediska jednotných postupů a procesů v oblasti řízení rizik v Bance A je rovněž pozitivně hodnoceno zavedení tzv. Knihy rizik.

Plán interního auditu je v Bance A zaměřen na klíčová stávající a blížící se rizika podnikání a požadavky nebo očekávání v oblasti řízení Banky A.

Z hlediska pozice interního auditu v Bance A vede interní audit integrovanou ujišťovací strategii, která aktivně zapojuje členy představenstva a managementu. Vedení i zaměstnanci uvnitř Banky A rozumějí povaze a rozsahu poskytovaných služeb interním auditem.

Organizační umístění a struktura interního auditu podporuje objektivitu, nezávislost, stálost kvality práce a porozumění podnikatelské činnosti.

Na základě vyhodnocení této problematiky je možné Banku A vnímat jako jednu z nejvýznamnějších v oblasti sledování a řízení operačních rizik.

Seznam schémat Schéma č. 1: Organizační struktura úseku interní audit v Bance A………………………….27 Schéma č. 2: Systém identifikace rizik Banky A…………………………………………….31

Seznam grafů Graf č. 1: Analýza rizik Banky A – výstup dle kategorií rizik……………………………….38 Graf č. 2: Analýza rizik Banky A – výstup dle kódů rizik Banky A…………………………39 Graf č. 3: Analýza rizik Banky A – výstup dle kódů produktů, aplikací a činností………….39

Seznam tabulek Tabulka č. 1: Převodní můstek mezi interním ratingem Banky A a kategoriemi ČNB…..….19 Tabulka č. 2: Subkategorizace stupně R…………………………………………………...... 20 Tabulka č. 3: Kniha rizik Banky A (výtah)…………………...……………………………...30 Tabulka č. 4: Číselník produktů, aplikací a činností Banky A (výtah)………………………30 Tabulka č. 5: Velikost rizika v Bance A……………………………………………………...35

Seznam použité literatury a dalších pramenů 1. DVOŘÁK, P.: Bankovnictví. 3. vydání, VŠE Praha, r. 1998. ISBN 80-7079-585-9. 2. MARVANOVÁ, M., Schlossenberger: Platební styk. 2.vydání, BI Praha, r. 1998. 3. ŠENKÝŘOVÁ, B. A KOL.: Bankovnictví II, 1. vydání, Grada, Praha 1998, ISBN 80-7169-663-3 4. Interní předpisy a výstupy Banky A

Internetové adresy 5. 6. 7. 8

http://www.cnb.cz/ http://www.csas.cz/ http://www.kpmg.cz/ http://www.ciia.cz/