proces plánování interního auditu v České spo řiteln ě a
TRANSCRIPT
VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA
Katedra ekonomických studií
Proces plánování interního auditu v České spořitelně a. s.
Bakalářská práce
Autor : Jiří Trost
Vedoucí práce: Ing. Věra Nečadová
Místo: Jihlava
Rok: 2011
Souhrn:
Cílem bakalářské práce je popis profese interního auditu včetně mezinárodních
i tuzemských požadavků se zaměřením na plánovací proces činnosti interního auditu,
když bude vymezena základní charakteristika interního auditu včetně jeho vývoje,
začlenění útvaru interního auditu v rámci organizační struktury a práva a povinnosti
interního auditu v bance. V aplikační části budou charakterizovány požadavky
na proces tvorby plánu činnosti interního auditu v České spořitelně a. s. včetně metody
analýzy rizik jako nástroje pro tvorbu strategického a periodického plánu činnosti
interního auditu. Součástí bakalářské práce bude také, na základě získaných informací
z České spořitelny a. s., provedení analýzy rizik a vypracování návrhu periodického
a strategického plánu činnosti interního auditu pro rok 2011.
Klí čová slova:
analýza rizik,
interní audit,
interní systém identifikace rizik (ISIR),
kniha rizik,
kniha produktů,aplikací a činností (PAC),
periodický plán činnosti interního auditu,
strategický plán činnosti interního auditu,
riziko,
řízení rizik,
mezinárodní rámec profesionální praxe interního auditu.
Summary:
The objective of the bachelor thesis consists in introducing the reader to the profession
of internal audit inclusive of international and domestic requirements placed thereon
with the focus on the planning process of internal audit work. The theoretical part
defines principal characteristics of internal audit including its development, integration
of an internal audit unit within the organizational structure, as well as rights and
responsibilities of internal audit in a bank. The application part characterizes
requirements for the creation process of the internal audit activities’ plan in Česká
spořitelna a. s. including the risk analysis method as a tool for compilation of the
strategic and periodic plans of internal audit activities. In the latter part of the bachelor
thesis, I performed a risk analysis and elaborated proposals for the strategic and periodic
plans of internal audit activities for the year 2011.
Key words:
risk analysis,
internal audit,
internal system of identification of risks (ISIR),
book of risks,
book of products, applications and activities (PAC),
periodic plan of internal audit activities,
strategic plan of internal audit activities,
risk,
risk management,
International Framework of the Professional Practice of Internal Auditing.
Poděkování:
Na tomto místě bych chtěl poděkovat vedoucí bakalářské práce Ing. Věře Nečadové,
za odborné vedení práce a za podporu a trpělivost při jejím vytváření. Děkuji také týmu
České spořitelny a. s. za poskytnutí zapůjčené literatury a dalších materiálů k tomuto
tématu se vztahujících, možnost konzultací a osobních setkání za účelem diskuse
o řešeném problému, za pomocnou ruku při konzultaci některých problémů a podporu.
Velký dík patří také všem respondentům, kteří mi věnovali svůj čas a dovolili
nahlédnout do vlastních osobních životů a zkušeností.
Rád bych poděkoval také své rodině, všem blízkým a přátelům, kteří mě při vytváření
této práce podpořili, a bez jejich pomoci by nebylo možné práci dokončit.
Prohlášení:
Prohlašuji, že předložená bakalářská práce je původní a zpracoval jsem ji samostatně.
Prohlašuji, že citace použitých pramenů je úplná, že jsem v práci neporušil autorská
práva (ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících
s právem autorským a o změně některých zákonů, v platném znění, dále též „AZ “).
Souhlasím s umístěním bakalářské práce v knihovně VŠPJ a s jejím užitím k výuce
nebo k vlastní vnitřní potřebě VŠPJ.
Byl jsem seznámen s tím, že na mou bakalářskou práci se plně vztahuje AZ , zejména
§ 60 (školní dílo).
Beru na vědomí, že VŠPJ má právo na uzavření licenční smlouvy o užití mé bakalářské
práce a prohlašuji, že s o u h l a s í m s případným užitím mé bakalářské práce (prodej,
zapůjčení apod.).
Jsem si vědom toho, že užít své bakalářské práce či poskytnout licenci k jejímu využití
mohu jen se souhlasem VŠPJ, která má právo ode mne požadovat přiměřený příspěvek
na úhradu nákladů, vynaložených vysokou školou na vytvoření díla (až do jejich
skutečné výše), z výdělku dosaženého v souvislosti s užitím díla či poskytnutím licence.
V Jihlavě dne 12. 12. 2010
......................................................
Podpis
1
Obsah:
ÚVOD ......................................................................................................................................................... 2
TEORETICKO – METODOLOGICKÁ ČÁST ..................................................................................... 5
1 PODSTATA PROFESE INTERNÍHO AUDITU ............................................................................................ 5
1.1 Vývoj profese interního auditu.................................................................................................... 5
1.2 Současné pojetí profese interního auditu................................................................................... 8
2 POSTAVENÍ A ORGANIZA ČNÍ STRUKTURA ÚTVARU INTERNÍHO AUDITU VE SPOLE ČNOSTI ............. 12
2.1 Odpovědnost a povinnosti interního auditu.............................................................................. 14
APLIKA ČNÍ ČÁST................................................................................................................................. 17
3 INTERNÍ AUDIT V ČS.......................................................................................................................... 17
3.1 Proces interního auditu............................................................................................................. 17
4 PLÁNOVACÍ PROCES ČINNOSTI INTERNÍHO AUDITU V ČS................................................................ 18
4.1 Strategický plán činnosti interního auditu v ČS....................................................................... 21
4.2 Periodický plán činnosti interního auditu v ČS........................................................................ 22
5 NÁVRH PLÁNU ČINNOSTI INTERNÍHO AUDITU ČS NA ROK 2011................................................ 25
5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS ........................................... 27
5.2 Analýza rizik v procesu sestavování plánu činnosti interního auditu v ČS............................. 29
5.3 Shrnutí aplikační části bakalářské práce.................................................................................. 36
ZÁVĚR ..................................................................................................................................................... 39
SEZNAM LITERATURY....................................................................................................................... 42
PŘÍLOHY................................................................................................................................................. 43
2
Úvod
Jednou z nejvíce kritizovaných oblastí řízení organizací v současnosti je efektivnost
a účinnost a tím celková adekvátnost procesu zaměřeného na identifikaci, měření
a vyhodnocování rizik. Jedná se o proces řízení rizik. Tyto skutečnosti jsou
prezentovány jako jeden z důvodů vzniku finanční krize, která propukla v polovině roku
2007. Řízení rizik je klíčovou odpovědností vedení organizací. Aby vedení dosáhlo
svých obchodních cílů, mělo by zajistit, aby byly zavedeny a fungovaly spolehlivé
procesy řízení rizik. Představenstva mají dohlížecí úlohu, aby zajistila, že existují
patřičné procesy řízení rizik a že tyto procesy jsou odpovídající a efektivní. Interní
auditoři by měli napomáhat vedení i představenstvu při zkoumání, hodnocení, hlášení
a doporučování zlepšení efektivity a přiměřenosti procesů rizik řízení. Vedení
a představenstvo jsou odpovědní za řízení rizik a kontrolní procesy své organizace.
Avšak interní auditoři mohou pomáhat organizaci při stanovení, hodnocení
a implementaci metodik řízení rizik a kontrol zabývajících se těmito riziky.
V mnoha podnicích je řízení rizik klíčovou složkou všech obchodních aktivit a kontrol
v procesu řízení. To se týká zejména subjektů bankovního sektoru. Množství rizik
zejména v bankách se vztahuje k výběru strategií a cílů, určování operačních cílů
a odpovědností, rozdělování prostředků mezi projekty a obchodní oblasti, minimalizaci
vystavení riziku ztráty dobré pověsti nebo důvěry a optimálnímu využívání technologií
pro řízení. V důsledku toho je logickým doplňkem tohoto širokého rámce řízení rizik
i poradenská úloha interního auditu v tomto procesu.
Zřídka jsou požadavky na profesionalismus, znalosti, bezúhonnost a řízení přísnější, než
ty, které jsou kladeny na interní auditory. Efektivní auditoři slouží jako firemní svědomí
organizace, chrání provozní efektivitu a vyhodnocují účinnost a efektivnost nastaveného
řídícího a kontrolního systému včetně řízení rizik.
3
Z těchto důvodů jsem si jako téma bakalářské práce zvolil proces plánování činnosti
interního auditu, který je založen na systému identifikace a následné analýzy rizik,
protože jednou z povinností interního auditu je, kromě jiného, pomáhat naplňování cílů
organizace tím, že bude ujišťovat vedení a vlastníky o stavu rizik - zda jsou dostatečně
nebo nedostatečně řízena a zda jsou nebo nejsou pod kontrolou.
Jelikož se o tuto problematiku z vlastního zájmu velmi zajímám a v bankovním sektoru
je tato aktivita velmi aktuální, soustředím se ve své bakalářské práci na plánovací
proces interního auditu v České spořitelně a. s. V této bance jsem měl praktickou
možnost se s úlohou a procesem interního auditu seznámit, účastnit se průběžně
plánovacího procesu činnosti interního auditu a získat potřebné informace pro moji
bakalářskou práci.
Cílem mé bakalářské práce je nejprve vymezit profesi interního auditu v bankovním
sektoru včetně mezinárodních a tuzemských regulatorních požadavků se zaměřením
na systém identifikace rizik. Rovněž cílem mé práce je navrhnout způsob analýzy
identifikovaných rizik, jako nástroje pro plánovací proces interního auditu a vytvořit
návrh strategického plánu činnosti interního auditu na roky 2011 - 2013
a periodického plánu činnosti interního auditu České spořitelny a. s. na rok 2011.
Pro naplnění tohoto cíle jsem zvolil jako metodu mé bakalářské práce analýzu dopadu
a pravděpodobnosti selhání identifikovaných rizik útvarem interního auditu. Na základě
této analýzy nejvýznamnějších rizik jsem metodou syntézy provedl konkrétní návrh
jednotlivých plánů činností interního auditu.
4
Ve své bakalářské práci využívám tyto literární prameny: Dvořáček, J.: Interní audit
a kontrola.1 Dvořáček, J., Kafka, T.: Interní audit v praxi.2 Galloway, D.: Průvodce
nového auditora.3 IIA: Mezinárodní rámec profesionální praxe interního auditu.4
Salamasick, M.: Assurance and Consulting Services.5 Vnitřní předpisy České spořitelny
a. s.6 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank,
spořitelních úvěrních družstev a obchodníků s cennými papíry.7
Interní auditoři na celém světě praktikují svou práci rozdílně. Navzdory některým
názorům nejsou stejnorodé funkce interního auditu žádoucí. Je pravda, že funkce
interního auditu byla pojmenována různě např. audit operací, audit výkonu, audit
projektů, komplexní audit, audit systému řízení rizik, audit strategie apod. Interní
auditoři musí podle plánu činnosti interního auditu praktikovat všechny tyto formy
auditu. Interní auditoři se musí přizpůsobovat potřebám a cílům organizace, potřebám
jejich vlastníků a intenzivnímu vývoji rizik. Jedině tak mohou být úspěšní a nezávisle
a objektivně pomáhat organizacím naplňovat jejich cíle.
1 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 2 Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8. 3 Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida: IIA, 1997. ISBN 80-902433-1-2. 4 IIA: Mezinárodní rámec profesionální praxe interního auditu. Altamonte Springs, Florida, 2009. 5 Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007. 6 Vnitřní předpisy České spořitelny a. s. 7 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry.
5
Teoreticko – metodologická část
1 Podstata profese interního auditu
1.1 Vývoj profese interního auditu
Profese auditu a zejména interního auditu má poměrně dlouhou historii. Název auditor
je odvozen z praxe římských kvestorů („ti, kteří vyšetřují“) najímaných vládou
k předkládání ústních zpráv o stavu pokladny. Tato „slyšení“ (z latiny „audio“) vedla
ke vzniku názvu „auditor“ („ten, kdo uvádí všechny skutečnosti“). Starověký Řím
uplatňoval „slyšení o účtech“. Jeden úředník porovnával své záznamy se záznamy
druhého. Tato ústní verifikace měla úředníkům spravujícím fondy zabraňovat v páchání
podvodů. A vlastně z úkonu „slyšení o účtech“ vznikl název audit.8
Role interních auditorů zůstávala až do počátku dvacátého století v podstatě stejná.
Interní auditoři měli odhalovat podvody a zabraňovat jim. V této době vznikaly
techniky „profesionálního“ či „v ědeckého“ řízení a objevilo se také nové zaměření se
na „účinnost a efektivnost obchodních operací“. Management začínal využívat služeb
interních auditorů k vyhodnocování operací, k prověřování návrhů a procesů z hlediska
nákladovosti a k jiným studiím přispívajícím managementu k naplňování
podnikatelských cílů.
Zaměření interního auditu se změnilo poté, co byl v USA schválen zákon o cenných
papírech (rok 1933) a zákon o cenných papírech a burze (rok 1934). Těmito zákony se
zvýšila odpovědnost managementu za předkládání přesných finančních a účetních
procesů a informací, což mělo v konečném důsledku za následek změnu priorit interních
auditorů z prevence a odhalování podvodů a zdokonalování obchodních operací
na prověřování řídících a kontrolních nástrojů regulujících finanční a účetní informace.9
V roce 1941 byl interní audit uznán jako samostatná auditní disciplína natolik, že malá
skupina praktikujících interních auditorů založila v New Yorku „Institut interních
auditorů“ (IIA). Jeho sídlo je dnes v Altamore Springs na Floridě. IIA se dále rozvíjel
a dnes je profesním sdružením s celosvětovou působností propagujícím a podporujícím
rozvoj profese interního auditu.10
8, 9, 10 Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida : IIA, 1997. ISBN 80-902433-1-2.
6
V České republice se interní audit významněji prosazoval v polovině 90. let, ale
v četných případech nahrazoval rušící oddělení vnitřní kontroly. Zatímco ve světě byl
interní audit vysoce uznávanou profesí, o jejíž kvalitách nebylo třeba nikoho
přesvědčovat, Česká republika v tomto směru stála na začátku rozvoje.
Český institut interních auditorů byl založen v roce 1995 a je občanské sdružení
interních auditorů za účelem prosazování a podpory rozvoje interního auditu v České
republice.
Český institut interních auditorů naplňuje svoje poslání tím, že mimo jiné:11
� soustřeďuje osoby, které pracují jak v oblasti interního auditu, tak i v oblastech
jemu příbuzných,
� poskytuje informace o rozvoji interního auditu v České republice i v zahraničí
a napomáhá tak společnému postupu v poznávání a řešení problémů této
profese,
� poskytuje konzultace jako profesionální pomoc v jednotlivých oblastech
auditu,
� publikuje materiály potřebné k získání a rozšíření znalostí o funkci interního
auditu,
� organizuje různé formy vzdělávacích akcí,
� popularizuje činnost interního auditu,
� iniciuje a podporuje jednání a akce zaměřené na rozšiřování praxe interního
auditu do dalších společností v České republice,
� vydává pro členy institutu čtvrtletně časopis „INTERNÍ AUDITOR“,
� umožňuje setkávání interních auditorů a vzájemnou výměnu informací
a zkušeností při pravidelně pořádaných fórech interních auditorů a národních
konferencí,
� zprostředkovává kontakty s významnými zahraničními odborníky z oboru
interního auditu,
� umožňuje složení zkoušek k získání mezinárodně uznávaného titulu Certified
Internal Auditor (CIA),
11 www.interniaudit.cz
7
� nabízí delegování vybraných interních auditorů z České republiky
do pracovních orgánů mezinárodních institucí pro oblast interního auditu (IIA,
ECIIA).
Úsilí o sjednocení přístupů k problematice interního auditu vedlo některé evropské
organizace interních auditorů k založení Evropské konfederace pro interní audit
(European Confederation of Institutes of Internal Auditing – dále jen ECIIA). Stalo se
tak v roce 1982, přičemž vzniklá konfederace zachovává úplnou autonomii národních
institutů a svoje poslání spatřuje v prosazování a rozvíjení profesionální praxe v oblasti
interního auditu v Evropě prostřednictvím členských organizací ku prospěchu této
profese ve všech členských zemích.
Pro naplnění uvedeného poslání vytýčila ECIIA tyto svoje hlavní cíle:12
� sdělovat členům ECIIA poznatky a zkušenosti prostřednictvím soustavné
analýzy, přesahující hranice států, studijních projektů, konferencí, seminářů
a veřejných tribun, aby sloužily a rozvíjely profesionální interní audit
v Evropě,
� předávat členům ECIIA poznatky a zkušenosti, aby byla získána podpora pro
přijetí standardů profesionální praxe interního auditu a aby došlo k podpoře
certifikace profesionálních interních auditorů v Evropě,
� zajistit jednotný styk mezi členy ECIIA a Evropskou unií ve vztahu ke všem
záležitostem, které jsou v zájmu Konference,
� podporovat profesi interního auditu obecně a jeho specifického rozvoje
v Evropě speciálně, prostřednictvím rozvíjení úzké spolupráce s ostatními
profesionálními organizacemi,
� usilovat o vytvoření celosvětové organizace, která bude zahrnovat všechny
profesionální organizace, které se věnují profesi interního auditu.
Vývoj interního auditu doznal za dobu existence profese interního auditu řadu změn.
Dnešní pojetí profese interního auditu je podle mého názoru napomáhat managementu
při naplňování firemních cílů. Odhalování a zabraňování podvodů zůstává v okruhu
zájmů interního auditora, avšak primárním zaměřením je poskytovat managementu
jistotu, že efektivní kontrolní systémy, napomáhající naplňování podnikatelských
záměrů, jsou zavedeny a poskytují ujištění o stavu rizik v organizaci.
12 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4.
8
Úroveň profese interního auditu v ČR se podle mého názoru po téměř 20-ti letech své
existence velmi přizpůsobila celosvětovým trendům a činnost útvarů interního auditu
zejména v bankovnictví je na srovnatelné úrovni s ostatními útvary v zahraničí. O této
skutečnosti jsem měl možnost se přesvědčit v rámci mého praktického působení
v České spořitelně a. s. K tomuto vývoji významným způsobem přispěla i regulace této
profese v bankovnictví ze strany České národní banky, která vycházela z celosvětově
uznávaných zásad a standardů pro profesi interního auditu.
1.2 Současné pojetí profese interního auditu
Na celosvětové úrovni určuje pojetí profese interního auditu Mezinárodní institut
interních auditorů. Součástí tohoto institutu je i Český institut interních auditorů.
V roce 2009 byl Mezinárodním institutem interních auditorů přijat tzv. Mezinárodní
rámec profesionální praxe interního auditu. Ten vymezuje tuto profesi jako ujišťovací
a poradenskou službu společnosti. Útvar interního auditu má v současném pojetí
v základní podobě za úkol, kromě jiného také identifikovat a zhodnotit možná rizika
společnosti. Je třeba zdůraznit, že interní audit musí být při výkonu své činnosti
nezávislý útvar na všech úrovních podniku. Auditor je tak povinen bez působení
vnitřních i vnějších vlivů vyjádřit nestranný a objektivní názor na ověřovaný proces.
Současný Mezinárodní rámec pro profesionální praxi se skládá z následujících prvků:13
• Definice interního auditu,
• Etický kodex,
• Mezinárodní Standardy pro profesní praxi interního auditu,
• Stanoviska (Position Papers),
• Doporučení pro praxi (Practice Advisories),
• Praktické pomůcky (Practice Guides).
13 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.
9
Současně platná definice interního auditu celkově vymezuje pojetí interního auditu
a obsahuje základní cíl, charakter a rozsah působnosti této profese:
„Interní audit je nezávislá, objektivní, ujišťovací a konzultační činnost, zaměřená
na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá
organizaci dosáhnout jejich cílů tím, že přináší systematický metodický přístup
k hodnocení a zlepšení efektivnosti řízení rizik, řídících a kontrolních procesů a řízení
a správy organizace“.14
Nezávislost znamená nepřítomnost podmínek, za kterých je ohrožena schopnost
interního auditu nebo jeho výkonného vedení vykonávat odpovědnosti interního auditu
nezaujatým způsobem.
K dosažení stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce
interního auditu jsem se přesvědčil, že má ředitel úseku interního auditu přímý
a neomezený přístup k vedení a orgánům České spořitelny a. s.
Objektivita je nezaujatý myšlenkový postoj, který umožňuje interním auditorům
provádět služby takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce
a zamezuje přijímání kompromisů ohledně její kvality. Objektivita vyžaduje, aby interní
auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo
jedincům.
14 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.
10
Narušení organizační nezávislosti a objektivity interního auditu může podle mého
názoru zahrnovat například následující situace:
• osobní konflikt zájmu,
• omezení rozsahu působnosti auditu,
• omezení přístupu k informacím, osobám a majetku,
• omezení zdrojů.
Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo
organizací při výkonu interního auditu. Popisuje minimální požadavky kladené
na postoje a modely chování, nestanovuje však konkrétní požadované činnosti.15
Interní auditoři by měli dodržovat tyto základní pravidla jednání:16
• Integrita,
• Objektivita,
• Důvěrnost,
• Kompetentnost.
Mezinárodní Standardy jsou založeny na základních zásadách a poskytují rámec pro
výkon interního auditu a jeho podporu.
Struktura Standardů zahrnuje:17
• Základní standardy,
• Standardy pro výkon,
• Prováděcí standardy.
Standardy jsou souborem závazných požadavků skládajících se ze:
� Základních požadavků kladených na profesní praxi interního auditu
a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné
mezinárodně jak na fyzické, tak i na právnické osoby.
15, 16, 17 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.
11
� Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých
požadavcích.18
Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo
profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení
a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení
souvisejících rolí a odpovědností interního auditu.19
Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné
procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při
aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují
postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém
měřítku, určitých typů zakázek a právních či regulatorních otázek.20
Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního
auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány
a postupná řešení.21
Mezinárodní rámec profesionální praxe by měli dodržovat všichni interní auditoři
na celém světě.
Jakým způsobem je regulována profese interního auditu pro bankovní sektor v ČR?
Profese interního auditu pro banky je usměrňována v ČR těmito zákony:
• zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů,
• zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu,
• zákon č. 6/1993 Sb., o České národní bance,
• vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních
a úvěrních družstev a obchodníků s cennými papíry.
18, 19, 20, 21 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009.
ISBN 80-86689-39-5.
12
Celkově mohu konstatovat, že všechny uvedené legislativní akty týkající se profese
interního auditu v bankovním sektoru vycházejí z Mezinárodního rámce pro profesionální
praxi interního auditu a nejsou s ním v rozporu.
2 Postavení a organizační struktura útvaru interního auditu
ve společnosti
Interní audit ve společnosti je součástí řídícího a kontrolního systému. Řídící a kontrolní
systém musí zahrnovat veškeré činnosti a organizační úrovně. Je tvořen všemi nástroji
a procesy, které působí uvnitř společnosti a které usilují o zajištění záměrů a dosažení
jejích cílů.22
Řídící a kontrolní systém tvoří základní stavební kameny společnosti a zahrnuje:23
• kontrolní prostředí,
• systém vnitřní kontroly,
• informace a informační systém,
• řízení rizik,
• monitoring.
Interní audit jako jedna z kontrolních činností ve společnosti ověřuje veškeré činnosti
organizace. A to včetně těch, které společnost zajišťuje formou outsourcingu.
Je nástrojem k získání objektivních informací, odborných konzultací a ujištění o tom,
zda jsou strategické cíle dosahovány, zda jsou rizika, kterým je společnost vystavena,
odpovídajícím způsobem řízena a pod kontrolou, zda jsou vnitřní kontrolní a řídící
systémy úplné, účinné, účelné a efektivně fungující a zda informace zpracovávané
a vytvářené těmito vnitřními systémy vyhovují potřebám řízení společnosti.24
22 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry. 23 Basle commitee on banking supervision. Principles for enhancing corporate governance, 2010. 24 Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8.
13
Interní audit musí být při své činnosti nezávislý na všech výkonných činnostech
organizace. Nezávislost interního auditu musí prostupovat všemi fázemi jeho činnosti,
zejména při identifikaci a analýze rizik, při plánování a přípravě auditů, včetně výběru
metod ověřování a vyhodnocování, při zpracování a podání zprávy o provedeném
auditu, při ověřování opatření a při monitoringu činností a rizik organizace.25
Postavení a činnost interního auditu musí být vymezeny ve vnitřních předpisech
společnosti. V případě České spořitelny a. s. (dále jen ČS) se jedná zejména o:
• Stanovy ČS,
• Rámcovou směrnici pro činnost centrály ČS,
• Organizační řád ČS,
• Řídící a kontrolní systém ČS,
• Interní audit.
Organizačně je útvar interního auditu ČS podřízen přímo generálnímu řediteli, svým
pojetím a obsahem činnosti podléhá výboru pro audit a dozorčí radě.
Obrázek č. 1 Organizační začlenění útvaru interního auditu ČS
Zdroj: Organizační řád ČS
Jak jsem se mohl přesvědčit, ředitel úseku interního auditu ČS komunikuje a je ve
vzájemném kontaktu jak s představenstvem, tak s výborem pro audit a dozorčí radou
ČS.
25 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry.
Výbor pro audit Dozorčí rada
Interní audit Generální ředitel
Valná hromada
14
Ředitel úseku interního auditu musí minimálně jednou ročně potvrzovat představenstvu,
dozorčí radě a výboru pro audit organizační nezávislost funkce interního auditu.26
2.1 Odpovědnost a povinnosti interního auditu
Zaměstnanci, provádějící interní audit, jsou odpovědni za jeho provedení v souladu
s platnými obecně závaznými předpisy, auditorskými standardy a vnitřními předpisy
organizace.
Interní auditoři jsou odpovědní zejména za:27
• realizaci schváleného plánu interního auditu, včetně specifických úkolů nebo
projektů, které si vyžádají dozorčí rada nebo výbor pro audit,
• udržování profesionality interního auditu,
• efektivní využívání zdrojů u auditorských činností prováděných v organizaci.
Zaměstnanci úseku IA neodpovídají za auditovanou činnost.28
Interní auditoři mají při své činnosti tyto povinnosti:29
• postupovat nestranně a nezaujatě a vyhýbat se jakémukoliv střetu zájmů,
• informovat příslušnou úroveň vedení organizace o zdánlivém či faktickém
narušení nezávislosti nebo objektivity interního auditu (jednotlivce nebo úseku),
• informovat příslušnou úroveň vedení organizace o všech nedostatcích řídícího
a kontrolního systému tak, aby byla zajištěna možnost jejich urychleného řešení,
• o závažných nedostatcích v řídícím a kontrolním systému informovat neprodleně
představenstvo, dozorčí radu a výbor pro audit,
• informovat příslušnou úroveň vedení organizace o výsledcích auditu,
• po ukončení jednotlivých plánovaných auditů a vybraných auditů na základě
požadavku vedení informovat představenstvo o jejich závěrech,
26 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. 27 Vnitřní předpisy České spořitelny a. s. 28 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry. 29 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry.
15
• pravidelně informovat představenstvo, výbor pro audit a dozorčí radu o činnosti
úseku interního auditu a o dostatečnosti zdrojů úseku interního auditu a předávat
jim zprávy, shrnující výsledky auditorské činnosti,
• informovat neprodleně příslušného vedoucího zaměstnance v případě zjištění
skutečností odůvodňujících podezření z trestné činnosti,
• spolupracovat při šetření podezřelých a podvodných činností uvnitř organizace
a informovat představenstvo, výbor pro audit a dozorčí radu o jejich výsledcích.
Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko
podvodu a způsob jakým je toto riziko řízeno v rámci organizace. Neočekává
se od nich taková kvalifikace, jako je požadována od zaměstnanců organizace,
jejichž hlavní odpovědností je odhalování a vyšetřování podvodů,
• plnit všechny požadavky vyplývající pro interní audit z obecně závazných
předpisů a požadavků regulátorů,
• dodržovat při auditorské činnosti obecně závazné předpisy, vnitřní předpisy
organizace a Mezinárodní rámec profesní praxe interního auditu,
• upozornit svého nadřízeného na stav, kdy by interní audit měly vykonávat
osoby, u kterých lze mít vzhledem k jejich vztahu k předmětu interního auditu
nebo k zaměstnancům auditovaného subjektu pochybnosti o jejich nepodjatosti,
• zajišťovat, aby při činnostech interního auditu nedocházelo k porušení
nezávislosti a objektivity interního auditu i v případě, že k provádění auditu je
přizván zaměstnanec jiného útvaru organizace,
• zachovávat diskrétnost a mlčenlivost o veškerých skutečnostech zjištěných
v průběhu výkonu auditorské činnosti,
• zajišťovat veškeré získané materiály, soubory na médiích, vlastní dokumentaci
tak, aby bylo zabráněno jejich zneužití nepovolanou osobou,
• respektovat a v rámci svých možností nenarušovat plynulý výkon činností
auditovaných subjektů,
• při výkonu poradenské činnosti zajistit, aby nebyla omezena schopnost interního
auditu podávat nezávislé a objektivní ujištění o funkčnosti a efektivnosti řídícího
a kontrolního systému,
16
• soustavně zvyšovat svoji kvalifikaci formou odborného vzdělávání. Znalosti,
dovednosti a další schopnosti jsou společným termínem označujícím profesní
odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný
výkon jejich profesních odpovědností. Profesionální způsobilost každého
interního auditora a útvaru interního auditu jako celku je stěžejní pro řádné
fungování interního auditu organizace.
Ředitel úseku interního auditu je povinen dát, v případě zjištění, která mohou záporně
ovlivnit hospodaření organizace, s vědomím představenstva, podnět k mimořádnému
zasedání dozorčí rady a informovat ji a výbor pro audit o zjištěných skutečnostech.30
30 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry.
17
Aplika ční část
3 Interní audit v ČS
3.1 Proces interního auditu
Kvalitním naplňováním činnosti interního auditu získává ČS ujištění, že rizika, kterým
je vystavena, jsou pod kontrolou. Management je o nich včas informován, chápe je
a rozhoduje o jejich snížení prostřednictvím opatření směřujících k nápravě.
Proces interního auditu v ČS zahrnuje následující fáze, které na sebe úzce navazují
a tvoří nedílný celek:31
• Plánování činnosti interního auditu ( tvorba strategického a periodického plánu
interního auditu),
• Přípravu auditu (zejména naplánování jednotlivého auditu či auditorské zakázky
a tvorba programu auditu),
• Provádění auditu a tvorba auditorské zprávy,
• Ukončení auditu (projednání auditorské zprávy),
• Hodnocení kvality práce interních auditorů auditovanými útvary,
• Ověřování plnění přijatých opatření.
Ve své bakalářské práci se dále budu věnovat procesu plánování činnosti interního
auditu, protože jsem měl možnost z vlastního zájmu se tohoto procesu v ČS účastnit
a získat potřebné informace a zkušenosti pro moji bakalářskou práci.
31 Vnitřní předpisy České spořitelny a. s.
18
4 Plánovací proces činnosti interního auditu v ČS
Cílem plánování činnosti interního auditu je kvalifikovaným způsobem sestavit
periodický a strategický plán, který postihuje všechna riziková místa a zároveň naplňuje
požadavky regulátora.
Ve standardech, které tvoří nedílnou součást Mezinárodního rámce profesionální praxe
interního auditu je oblasti plánování věnován Standard 2010 – Plánování, který zní
takto:
„Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány,
které v souladu s cíli společnosti stanoví priority výkonu interního auditu.“32
Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení
rizik, které je prováděno nejméně jednou ročně. V tomto procesu musí být vzaty
v úvahu návrhy vedení a orgánů společnosti.
Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek
s ohledem na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet
přidanou hodnotu a zdokonalovat procesy ve společnosti. Přijaté zakázky musí být
zahrnuty do plánu.33
Interpretace tohoto standardu: Vedoucí interního auditu je odpovědný za vytvoření
plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení
rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé
činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí
interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije
své vlastní posouzení rizik.34
Platné tuzemské požadavky na plán činnosti interního auditu jsou soustředěny ve
vyhlášce ČNB č. 123/2007 Sb., ve znění vyhlášky ČNB č. 282/2008 Sb., která je
vydána na základě a v mezích zákonů, do kterých byly promítnuty příslušné směrnice
Evropských společenství.35
32, 33, 34 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-5.
35 Směrnice Evropského parlamentu a Rady 2006/48/ES a 2006/49/ES, směrnice Komise 2007/18/ES, kterou se mění směrnice Evropského parlamentu a Rady 2006/48/ES.
19
Kromě uvedené vyhlášky jsem vycházel v mé bakalářské práci i z návrhu úředního
sdělení ČNB, který obsahuje Výkladová stanoviska ČNB k zajišťování výkonu
interního auditu a očekávání ČNB k zajišťování interního auditu.
Z vyhlášky ČNB vyplývá že:
• plánování činnosti a rozvrhování kapacit interních auditorů je založeno na
analýze rizik,
• analýza rizik hodnotí míru rizik spojených s jednotlivými činnostmi banky tak,
že zohlední pravděpodobnost selhání řídícího a kontrolního systému
v jednotlivých oblastech a míru možné ztráty z tohoto selhání vyplývající.
Výstup z provedené analýzy rizik předkládá osoba pověřená výkonem interního
auditu představenstvu a dozorčímu orgánu, výboru pro audit, k projednání,
• na základě analýzy rizik sestavuje osoba pověřená výkonem interního auditu
návrh strategického a periodického plánu interního auditu.36
Plánování interního auditu osobně chápu jako myšlenkové předjímání budoucí činnosti
na základě zvažování různých alternativ a výběr nejvýhodnější cesty vedoucí k jejímu
naplnění.
Účelem plánování činností interního auditu je vytvoření racionálního základu pro
koordinaci a efektivní využívání zdrojů interního auditu se záměrem pomáhat
organizaci dosahovat jejích cílů vytvářením systematického náhledu na úroveň správy
a řízení společnosti, včetně systémů řízení rizik a ujištěním o přijatelnosti
podstupovaných rizik.37
36 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry. 37 Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.
20
Z hlediska časového horizontu můžeme uvažovat o dvou rovinách plánování, a to
o rovině strategické a operativní. Těžištěm strategického plánování jsou pak, vzhledem
k jeho orientaci na budoucnost, dlouhodobé plány. Operativní plány se vztahují na
kratší časový horizont a představují rozpracování strategického plánu na jednotlivá
období.38
Základem pro fázi plánování v interním auditu v ČS jsou zejména strategické koncepce,
výsledky analýzy rizik činností banky a vlastní systém identifikace rizik, výsledky
interního a externího auditu, monitorování rizik banky a požadavky na audit ze strany
vedení, dozorčí rady a výboru pro audit.
Na základě toho jsou stanoveny hlavní cíle a priority pro plánované období, které jsou
uvedeny v dokumentech interního auditu, a to ve:
� strategickém plánu interního auditu, který se zpracovává zpravidla na období
tří let,
� periodickém plánu, který se zpracovává zpravidla na období jednoho roku,
v případě potřeby na jednotlivá pololetí příslušného roku. Vychází ze
strategického plánu a zahrnuje rozsah, věcné zaměření a cíle interního auditu.39
38 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 39 Vnitřní předpisy České spořitelny a. s.
21
4.1 Strategický plán činnosti interního auditu v ČS
Strategický plán činnosti interního auditu rámcově vymezuje zaměření a periodicitu
činnosti interního auditu na období tří let dle jednotlivých oblastí činností banky.
Vychází z požadavků legislativy a regulatorních orgánů a jeho roční aktualizace
zohledňuje výsledky analýzy rizik, posouzení strategických záměrů banky, vnitřní
a vnější změny podnikatelského prostředí, vyhodnocení provedených auditů a další
informační zdroje.40
Strategický plán stanoví:
• priority interního auditu, které jsou vymezeny analýzou rizik a požadavky
regulatorních orgánů,
• periodicitu auditů (rok provedení auditů) v jednotlivých oblastech činností,
zejména v návaznosti na analýzu rizik.
Strategický plán obsahuje:
• oblasti činností banky,
• plánovaný rok provedení auditu,
• audity realizované v periodickém plánu pokrývající danou oblast činnosti banky.
Strategický plán činnosti interního auditu tvoří základ pro sestavení periodického plánu
činnosti interního auditu.
40 Vnitřní předpisy České spořitelny a. s.
22
4.2 Periodický plán činnosti interního auditu v ČS
Periodický plán činnosti interního auditu je sestavován na období jednoho roku.
Cílem periodického plánu je:
• zajistit povinnosti interního auditu vyplývající z platné legislativy a z požadavků
regulatorních orgánů,
• definovat zaměření auditů v ČS dle výsledků analýzy rizik, přičemž do
periodického plánu činnosti je zahrnuto ověření těch oblastí a činností, pro které
analýza rizik stanovila vyšší míru rizikovosti,
• zajistit požadavky útvaru interního auditu vlastníka ČS, tj. Erste Group,
• zohlednit záměry strategického plánu,
• optimálně rozvrhnout dostupnou kapacitu interního auditu,
• reflektovat požadavky a náměty dozorčí rady, výboru pro audit, představenstva
a dalších vedoucích zaměstnanců.41
Základem pro nastartování procesu tvorby plánů je sestavení pracovního harmonogramu
plánovacího procesu.
Jako vzor v mé bakalářské práci je níže uvedený harmonogram, který jsem použil, jako
člen týmu pro tvorbu periodického plánu na rok 2011 a aktualizovaného strategického
plánu na období let 2011 – 2013 v ČS.
Tabulka č. 1 Harmonogram plánovacího procesu interního auditu v ČS
Aktivita Termín
Sběr námětů managementu do plánu
- náměty managementu je nutno vložit do informačního systému interního auditu 3. 8. - 30. 9. 2010
Zaslání návrhu na požadované provedení auditů od vlastníka ČS – interního auditu Erste
Bank Holding. 30. 8. 2010
Projednání regulatorních auditů s řediteli útvaru interního auditu ČS
- projednání návrhu regulatorních auditů pro daný útvar interního auditu, odsouhlasení údajů
(název, cíl,kapacita, velikost týmu, auditované útvary, ...)
6. - 10. 9. 2010
41 Vnitřní předpisy České spořitelny a. s.
23
Návrh auditů do periodického plánu od ředitelů útvaru IA , na základě:
- Strategie ČS
- Karet rizik (odhady velikosti rizik nutno korigovat expertním názorem auditora)
- Analýzy rizik k 31. 8. 2010
- Aktualizovaného strategického plánu k 31. 8. 2010 s vyznačenou periodou ověření
- Informací z monitorování útvarů a projektů
6. 9. – 30 .9. 2010
Předání návrhu plánu ředitelů útvaru interního auditu ČS
Předání kompletního návrhu plánovacího balíčku 18. 10. 2010
Projednání návrhu plánu s řediteli útvarů interního auditu ČS
Primárním cílem je projednání a případně úpravy detailu auditů pro konkrétní útvar interního
auditu, tzn. úprava kapacit, textace cíle,
auditované subjekty, požadavky na spolupráci a podporu, termín provedení, apod.
19. - 26. 10. 2010
Aktualizace a kompletace plánovacího balíčku pro Plánovací offsite a odeslání
podkladů řediteli úseku interního auditu 27. 10. 2010
Plánovací offsite Interního auditu ČS
Cílem je vyřešení a finální dohoda o kapacitách, prioritách, meziodborové spolupráci a podpoře
1. - 3. 11. 2010
Odeslání návrhu periodického plánu a strategického plánu ke schválení
do interního auditu Erste Bank. 12. 11. 2010
Návrh složení auditorských týmů na 1. pololetí 2011 6. - 30. 11. 2010
Předložení návrhu strategického a periodického plánu činnosti interního auditu ke
Schválení Výboru pro audit a Dozorčí radě ČS 6. 12. 2010
Zdroj: Dokumentace plánovacího procesu ČS
Samozřejmě platí, že sestavený harmonogram nestačí jen vypracovat, ale je nutné s ním
seznámit všechny účastníky plánovacího procesu a hlavně se jím ve vlastní práci řídit
a dodržovat ho.
Plánovací proces stanoví konkrétní úkoly úseku interního auditu. Nejprve se ale musí
vymezit celková kapacita pracovníků útvaru interního auditu.
24
Tabulka č. 2 Vymezení kapacity úseku interního auditu ČS
Rok 2011
1. Fond pracovních dnů v ČR v roce 2011 je podle oficiálního pracovního
kalendáře 253. PD 253
a) Dovolená (počet dní je stanoven kolektivní smlouvou) ŘD 25
b) Zdravotní volno (počet dní je stanoven kolektivní smlouvou) ZV 5
c) Nemocnost 1) (počet navržených dní) N 6
d) Vzdělávání 2) (počet navržených dní) V 16
2.
e) Informace, komunikace 3) (počet navržených dní) IK 21
3. Plánovaný počet zaměstnanců IA PZ 73
a) VFPD 1 zaměstnance IA:
VFPD = PD - ŘD - ZV - N - V - IK VFPD 180
4.
b) VFPD na plánovaný počet zaměstnanců IA
VFPD = PZ x VFPD
VFPD
na PZ 13140
Zdroj: Dokumentace plánovacího procesu interního auditu ČS
Plán činnosti interního auditu může být operativně doplňován na základě požadavků
dozorčí rady, výboru pro audit, představenstva a dalších vedoucích zaměstnanců banky
na provedení auditu, případně na základě rozhodnutí ředitele úseku interního auditu. Při
změnách, resp. doplňování periodického plánu musí být vždy zohledněna disponibilní
kapacita úseku interního auditu.
Pro účely optimálního rozložení kapacity interního auditu ČS na plánované období je
rozhodnutím ředitele úseku interního auditu sledována skutečně využitá kapacita na
naplnění jednotlivých položek periodického plánu. Toto sledování je zajištěno modulem
aplikace interního informačního systému interního auditu v ČS "Vykazování kapacit".
Analýza vykázaných kapacit na jednotlivé zakázky tvoří základ pro stanovení kapacit
na jednotlivé audity do plánu.
Návrh aktualizace strategického plánu a návrh příslušných periodických plánů interního
auditu za celou banku předkládá ředitel útvaru interního auditu ke schválení dozorčí
25
radě a výboru pro audit. O schválených plánech interního auditu je informováno
představenstvo společnosti.42
5 Návrh plánu činnosti interního auditu ČS na rok 2011
Když jsem se zamýšlel nad návrhem plánu činnosti interního auditu a jeho konkrétní
tvorbou, musel jsem si nejprve odpovědět na otázku co je to vlastně řízení rizik a jak se
řídí rizika v ČS?
Došel jsem k závěru, že řízení rizik je jako proces, vytvářený představenstvem ČS,
managementem a ostatními pracovníky, aplikovaný ve strategii ČS, určený
k identifikaci potenciálních událostí, které mohou ovlivnit banku.
Řízení rizik je:
• neustálý a plynulý proces v ČS,
• prováděný zaměstnanci na každé organizační úrovni ČS,
• aplikovaný ve strategii ČS,
• aplikovaný napříč společností, v každé její úrovni a jednotce a zahrnující pohled
na celkové portfolio ČS,
• určený k identifikování potenciálních událostí ovlivňujících ČS a řízení rizik
v rámci její rizikové tolerance.43
Řízení rizik je o nastolení dohledu, kontroly a disciplíny k zavedení neustálého
zlepšování schopností ČS řídit rizika v měnícím se provozním prostředí, což urychlí
vyzrálost ČS.
Pro implementaci uvedené procesu řízení rizik hovoří následující důvody:
o snižuje nepřijatelnou výkonnostní variabilitu,
o seřazuje a sjednocuje proměnlivé názory na řízení rizik,
o vytváří důvěru investorů a akcionářů,
o zvyšuje úroveň corporate governance,
o úspěšně reaguje na měnící se obchodní prostředí.
42 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry. 43 Vnitřní předpisy České spořitelny a. s.
26
Kde je úloha interního auditu ČS v procesu řízení rizik?
Interní audit ČS poskytuje asistenci managementu a představenstvu ČS pomocí
průběžného vyhodnocování efektivity procesu řízení rizik a navrhuje doporučení, jak ho
zlepšovat. Je ale důležité, že nikdy nezodpovídá za funkci řízení rizik a nerozhoduje
o řešení rizik a jejich implementaci. Není možné implementovat něco, co bude muset
v rámci schváleného plánu činnosti hodnotit. Na druhé straně interní audit ČS
napomáhá a hodnotí systém řízení rizik ČS.
V ČS management zůstává odpovědným za řízení rizik. Interní audit poskytuje
poradenství a objektivně hodnotí rozhodnutí managementu.
Tabulka č. 3 Role interního auditu v procesu řízení rizik Základní role interního auditu v řízení rizik
Interní audit může zahrnovat
Role, které by interní audit neměl vykonávat
• Poskytování ujištění o procesech řízení rizik.
• Poskytování ujištění že rizika jsou správně vyhodnocována.
• Hodnocení procesů řízení rizik.
• Vyhodnocení reportingu o klíčových rizicích.
• Revidování řízení klíčových rizik.
• Pomoc při identifikaci a posouzení rizik.
• Školení managementu v hledání řešení identifikovaných rizik.
• Konsolidovaný (sloučený) reporting o rizicích.
• Podpora při rozvoji rámce řízení rizik.
• Rozvoj strategie řízení.
• Nastavování akceptovatelné míry rizika.
• Zavádění procesů řízení rizik.
• Rozhodování o reagování na rizika.
• Implementace reakce na rizika jménem managementu.
• Odpovědnost za řízení rizik.
Zdroj: Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.
27
5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS
Samotný proces sestavení plánu interního auditu jsem si rozdělil do čtyř základních
etap.
Jsou to:
• příprava a sběr dat,
• analýza rizik a zpracování dat,
• sestavení návrhu plánu,
• projednávání a schvalování plánu.
Za základ ke zpracování plánu považuji sběr dat. V rámci činnosti interního auditu jsou
průběžně v průběhu celého roku shromažďovány veškeré dostupné informace, které
v mé bakalářské práci dále uvádím a které mají relevantní využití při zpracování
návrhu periodického a aktualizaci strategického plánu činnosti interního auditu.
Po utřídění získaných informací jsem provedl jejich analýzu s cílem identifikovat
nejzávažnější rizika v obchodní a neobchodní činnosti ČS. Dále pracovníci útvaru
interního auditu v etapě přípravy oslovují vedoucí zaměstnanci banky s cílem získat
jejich představu o zaměření činnosti interního auditu a o nejvýznamnějších rizicích
v bance.
Základními zdroji dat pro zpracování plánů jsou informace, které jsem získal zejména
ze:
• strategie společnosti,
• analýzy rizik činností zpracované pomocí interního systému identifikace rizik
(ISIR),
• požadavků regulatorních orgánů,
• požadavků dozorčí rady a výboru pro audit ČS,
• strategického plánu činnosti interního auditu,
• námětů útvaru interního auditu Erste Group,
• z námětů zaměstnanců úseku interního auditu ČS.
28
V etapě analýzy rizik je nutné na základě výsledků přípravy upřesnit věcně, kapacitně
a časově pracovní verze periodického plánu činnosti interního auditu na jednotlivá
plánovací období, zejména z hlediska priorit realizace jednotlivých auditů a ostatních
aktivit interního auditu.
Proces provedené analýzy rizik pro plán činnosti je popsán ve stati 5. 2 mé bakalářské
práce.
Na základě analýzy rizik jsem sestavil první návrh periodického plánu, který jsem
projednal několikakolově s vedením úseku interního auditu. Účelem připomínkového
řízení je zejména sladění kapacitních možností odborných týmů útvaru interního auditu
a současně vzájemné odsouhlasení zaměření a cílů jednotlivých auditorských činností
uvedených v návrhu periodického plánu činnosti interního auditu. Po zpracování
zpřesněného návrhu periodického plánu činnosti interního auditu jsem aktualizoval
strategický plán činnosti.
Návrh strategického plánu, jeho aktualizaci a návrh příslušného periodického plánu
činnosti interního auditu, předkládá ředitel úseku interního auditu k projednání
představenstvu a výboru pro audit a ke schválení dozorčí radě ČS.44 Schválení plánů
činnosti interního auditu ČS v dozorčí radě je podle mého názoru zásadní pro posílení
nezávislosti útvaru interního auditu.
O schváleném strategickém a periodickém plánu činnosti je informován management
ČS.
44 Vnitřní předpisy České spořitelny a. s.
29
5. 2 Analýza rizik v procesu sestavování plánu činnosti interního auditu
v ČS
V této části mé bakalářské práce se dále podrobněji zaměřím na oblast analyzování rizik
činností, která je podle mého názoru jednou z klíčových záležitostí při přípravě plánu
a je v ČS velmi podrobně a kvalitně rozpracována a myslím si také i efektivně
využívána.
Především je třeba vytvořit nebo mít zavedený systém pro sběr podkladů sloužících
k analyzování rizik činností a tím je v podmínkách ČS tzv. Interní systém identifikace
rizik.
Tento systém naplňuje rovněž
požadavek na informace o každém
identifikovaném riziku a popisuje riziko
pomocí složky pravděpodobnosti
a dopadu a zohledňuje pravděpodobnost
a dopad selhání řídícího a kontrolního
systému. Uvedený přístup je uveden na
obrázku č. 2.
Interní systém identifikace rizik (dále
jen ISIR) je ucelený soubor postupů
a nástrojů, který slouží internímu auditu
v procesu identifikace, evidence
a tvorby analýzy rizik identifikovaných
interním auditem. zdroj: Vnitřní předpisy České spořitelny a. s.
Každé auditorské zjištění (riziko) je auditorem evidováno v systému s těmito údaji:
• vstupní zdroj,
• útvar, který je odpovědný za rizika ze zjištění vyplývající,
• textový popis zjištění,
• textový popis rizika.
30
Každé riziko vyplývající ze zjištění je popsáno:
• kódem dle Knihy rizik,
• kódem dle Knihy produktů, aplikací a činností,
• velikostí rizika (pravděpodobnost a dopad),
• typem rizika.
Kniha rizik napomáhá k jednotnému pohledu na rizika v rámci ČS definováním
základní množiny rizik, které se mohou vyskytovat v činnostech ČS. Každé riziko má
přidělen kód a je podrobně popsáno. Kniha rizik je součástí vnitřní předpisové základny
ČS.
Pro potřeby přesnějšího specifikování rizika je nutné specifikovat, ve které činnosti,
produktu nebo aplikaci bylo riziko identifikováno. Z těchto důvodů byla v úseku
interního auditu vytvořena Kniha produktů, aplikací a činností (dále Kniha PAC).
Do Knihy PAC byly zahrnuty hlavní bankovní produkty, aplikační programové
vybavení a hlavní činnosti ČS.
Velikost rizika je odvozována na základě pravděpodobnosti výskytu a možných
negativních dopadů či ztrát spojených s výskytem rizikové události, které by mohly
v dalším období nastat. K hodnocení závažnosti nedostatků se užívá stupnice dle
přílohy č. 3 k vyhlášce ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank,
spořitelních a úvěrních družstev a obchodníků s cennými papíry:45
Stupeň 1 - nízká míra závažnosti
• nedostatek neohrožuje hospodářský výsledek a kapitál banky/DS
• jedná se o méně významný nedostatek nesystémového charakteru
Stupeň 2 - střední míra závažnosti
• nedostatek neohrožuje kapitál a hospodářský výsledek banky/DS
• jedná se o dílčí nedostatek systémového charakteru nebo významnější
nedostatek nesystémového charakteru
45 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev
a obchodníků s cennými papíry.
31
Stupeň 3 - vysoká míra závažnosti
• nedostatek může ohrozit kapitál a hospodářský výsledek banky/DS
• nedostatek má vliv na efektivnost a účinnost více dílčích procesů v bance/DS
• jedná se o zásadní systémový nedostatek určité oblasti řízení rizik
Stupeň 4 - velmi vysoká míra závažnosti
• nedostatek může mít vliv na další existenci banky/DS
• nedostatek významným způsobem ohrožuje kapitál a hospodářský výsledek
banky/DS
• nedostatek má zásadní vliv na efektivnost a účinnost procesů banky/DS
Takto jednotně nastavený systém klasifikace nedostatků identifikovaných interním
auditem v rámci ČS vytváří podle mého názoru předpoklad pro objektivní a vzájemné
porovnávání výsledků jednotlivých auditů. Množina vstupních informací pro analýzu
rizik do systému ISIR je zvolena takovým způsobem, aby bylo zajištěno vyvážené
a úplné pokrytí všech činností ČS - jsou to zejména:
• výsledky auditů prováděných interním auditem,
• monitorování činností útvarů ČS,
• monitorování projektů ČS,
• hlášení operačních rizik,
• reklamace a podání klientů,
• databáze IT selhání,
• výsledky měření spokojenosti vnitřních klientů ČS,
• výsledky měření spokojenosti klientů a obchodních míst,
• výsledky auditů prováděných ve spolupráci s útvary interního auditu Erste
Group,
• materiály a doporučení regulatorních orgánů, externího auditora a dalších
subjektů.
Evidence identifikovaných rizik je zajišťována a plně podporována Informačním
systémem interního auditu (ISIA). Množinu takto identifikovaných rizik jsem následně
32
podrobil analýze rizik, která představuje souhrnné vyhodnocení rizik evidovaných za
ČS za pomocí matematického modelu, který je pravidelně kalibrován.
Výsledek analýzy ukazuje míru rizikovosti v rozsahu 0 až 5 v členění:
• dle kódů Knihy rizik ČS s rozkladem na kódy produktů, aplikací a činností,
• dle kódů Knihy produktů, aplikací a činností s rozkladem na skupiny kódů
Knihy rizik ČS.
Podle stanovených pravidel úsekem interního auditu ČS by periodický plán činnosti
interního auditu měl ověřit míru rizikovosti od stupně 3 do stupně 5.46
Výsledek analýzy rizik je na obrázku č. 3 ve formě grafického vyjádření významných
rizik (stupeň ISIR 3 - 5) formou tzv. mapy rizik a to v členění dle skupin kódů Knihy
rizik ČS.
Obrázek č. 3 Mapa rizik dle kódů Knihy rizik v ČS
ISIR velikosti 3 až 5
46 Vnitřní předpisy České spořitelny a. s.
33
Tabulka č. 4 Analýza rizik procesu interního auditu v ČS dle kódů Knihy rizik
Kód Název kategorie / segmentu / rizika ISIR
51020 Úvěrové riziko bankovního portfolia 5
20100 Chybné platby a vypořádání 4,5
20200 Nedostatky ve smluvní dokumentaci s klienty 4,5
20800 Porušení zodpovědnosti banky 4,5
72100 Selhání /porušení vnitřních compliance procedur 4,5
10100
Kriminální jednání zaměstnanců nedovolené
manipulace 4
20700 Nesprávné obchodní,tržní praktiky 4
30100 Selhání systémů 4
30200 Narušení bezpečnostních systémů 4
40100
Podezření na podvodné jednání klientů,
kriminální aktivity 4
10200 Neautorizované aktivity, přestupky zaměstnanců 3,5
10300 Pracovněprávní problémy 3,5
20500 Chybné řízení projektů 3,5
40300 Outsourcing,dodavatelské riziko 3,5
40500 Bezpečnost IT 3,5
74180 Riziko správy a řízení společnosti 3,5
75100 Riziko reputační 3,5
77110 Riziko z omezení dostupnosti služeb 3,5
20300 Chyby v ocenění,nedostatky v přípravě produktu 3
21000 Nedostatky pri správe klientských dat a informací 3
40200 Selhání obchodní protistrany 3
74130 Riziko organizačních změn 3
74150
Riziko nesprávné strategické koncepce
banky/společnosti 3
Zdroj: Vnitřní předpisy České spořitelny a. s.
34
Výsledek analýzy rizik velikosti 3 – 5 je na obrázku č. 4 uveden ve formě mapy rizik
dle kódů Knihy produktů, aplikací a činností (Knihy PAC).
Obrázek č. 4 Mapa rizik dle kódů Knihy PAC
ISIR velikosti 3 až 5
35
Tabulka č. 5 Analýza rizik procesu interního auditu ČS dle kódů Knihy PAC
PAC Název ISIR
1280
Úvěry PO a FO-P v Kč (investič., provoz., revolving., eskont., investiční nástroje, vč.
úvěrů z kredit. karet) 5
1270 Úvěry fyzickým osobám v Kč (na investiční nástroje, vč. úvěrů z kreditních karet) 4,5
1070 Hypoteční úvěry v Kč 4
3070 Fyzická bezpečnost, zajištění bezpečnosti osob a majetku 4
3305 Řízení úvěrového rizika 4
3505 Řízení ekonomického kapitálu - ICAAP 4
1065 Hotovostní operace v Kč a CM 3,5
1130 Platební karty 3,5
2230 Kondor+ Dealing-řízení rizik 3,5
3020 Bezpečnost informační technologie 3,5
3170 Organizace a řízení IT 3,5
3245 Projektové řízení - koordinace 3,5
3250 Procesy, prostředí a standardy pro IT 3,5
3531 Činnosti v oblasti decentralizovaných systémů 3,5
1020 Účty v Kč a CM 3
1175 Produkty přímého bankovnictví 3
2440 SAP - Účetní systém 3
2810 APS - Application Processing System 3
2815 ISPV - Informační systém podpisových vzorů 3
3015 Bezpečnost dat a ochrana osobních údajů 3
3105 Kontrola fyzického a logického přístupu 3
3125 Řízení kvality služeb 3
3200 Platební styk - tuzemský 3
3360 Činnosti univerzální účtárny a správy účtů 3
3420 Zajišťování plnění požadavků regulátorů (ČNB, KCP, MF, aj.) 3
3517 Řízení a podpora - komunální financování 3
3521 Řízení produktů a podpora - úvěry PO a FO-P 3
3528 Finanční řízení projektu 3
Zdroj: Vnitřní předpisy České spořitelny a. s.
Na základě provedené analýzy rizik jsem přistoupil k návrhu tvorby konkrétního
periodického plánu činnosti interního auditu. Do plánu jsem v první řadě zohlednil
požadavky platné legislativy, požadavky regulátorů a následně výsledky analýzy rizik
v kombinaci se strategickým plánem interního auditu ČS.
Návrh periodického plánu je uveden v příloze č. 1 mé bakalářské práce.
36
Současně s návrhem periodického plánu na rok 2011 jsem sestavil přehled pokrytí
významných identifikovaných rizik navrhovanými audity, který je uveden v příloze
č. 2 mé bakalářské práce. Tento přehled slouží k ujištění, že plánovanými audity jsou
pokryta nejvyšší identifikovaná rizika na základě provedené analýzy rizik.
Po vypracování návrhu periodického plánu jsem provedl rozdělení kapacit interního
auditu na rok 2011 podle jednotlivých činností. Podrobný přehled rozdělení kapacit je
uveden v příloze č. 3 této bakalářské práce.
Návrh strategického plánu na roky 2011 – 2013 jsem aktualizoval s ohledem na
výsledky provedené analýzy rizik, platnou legislativu a schválenou zásadu ověřovat
jednotlivé oblasti činností banky minimálně ve tříleté periodě.
Návrh aktualizovaného strategického plánu je uveden v příloze č. 4 mé bakalářské
práce.
5.3 Shrnutí aplikační části bakalářské práce
Základem pro tvorbu návrhu strategického a periodického plánu činnosti interního
auditu v ČS byla analýza rizik identifikovaných v rámci celoroční činnosti interního
auditu. Provedená analýza rizik v mé bakalářské práci za rok 2010 zohledňuje podle
mého názoru dostatečně pravděpodobnost selhání řídícího a kontrolního systému
v činnostech banky, poskytuje přehled o rizicích, která nebyla v uplynulém období zcela
pod kontrolou a dále o rizicích, na jejichž řízení by se banka měla zaměřit a snížit
pravděpodobnost jejich možného vzniku.
Rizikovost oblastí, které byly dle analýzy rizik vyhodnoceny jako klíčové, byla
potvrzena i vnímáním manažerů banky jež bylo získáno v rámci jejich námětů na
provedení auditů pro rok 2011.
Při tvorbě návrhu periodického plánu činnosti interního auditu v ČS byly v první řadě
zohledněny požadavky platné legislativy, požadavky regulátorů a vhodně využity
výsledky analýzy rizik v kombinaci se strategickým plánem interního auditu ČS. Dále
byly zapracovány požadavky interního auditu vlastníka banky Erste Bank Holding
a zohledněny náměty a témata, jejichž řešení doporučil management banky.
37
V souladu se zásadami a metodikou plánovacího procesu úseku interního auditu ČS je
periodický plán činnosti sestaven v mé bakalářské práci takovým způsobem, aby pokryl
všechna významná rizika a cíle auditů byly zaměřeny primárně na nejrizikovější oblasti
činností. Tedy činnosti banky s mírou rizikovosti na stupnici 3 a vyšší, přičemž rozsah
této stupnice je od 0 do 5. Současně s návrhem periodického plánu na rok 2011 je
sestaven v příloze mé bakalářské práce přehled pokrytí významných identifikovaných
rizik navrhovanými audity, ze kterého vyplývá, že je v návrhu plánu pokryta rizikovost
od stupně 3 do stupně 5.
Aby bylo možné pružně reagovat na aktuální vývoj v průběhu roku, zahrnuje návrh
plánu na rok 2011 kapacitní rezervu ve výši 2,2 % (celkové roční kapacity) na audity
vyhlašované z požadavku vedení. Toto je dle mého názoru velmi vhodné, aby
management banky mohl využívat poradenské a ujišťovací úlohy útvaru interního
auditu ČS. V případě, že takové audity uplatněny a vyhlášeny nebudou, má útvar
interního auditu ČS připraven zásobník auditů, které byly v rámci plánovacího procesu
vyhodnoceny jako přínosné s ohledem na možná rizika či naplňování strategie banky,
ale jsou již mimo dostupnou kapacitu útvaru.
Návrh plánu interního auditu byl vypracován na plánovaný počet zaměstnanců úseku
interního auditu tj. 73 FTE. Tento plánovaný počet pracovníků útvaru interního auditu
byl schválen představenstvem ČS. Dostupné kapacity byly rozděleny dle významnosti
jednotlivých činností navržených v periodickém plánu. Souhrnný poměr mezi
auditorskou činností a ostatními podpůrnými činnostmi pak vychází 84,2 % a 15,8 %,
tak jak je uvedeno v příloze mé bakalářské práce. Tento poměr je velmi dobrý, protože
celosvětový benchmark vykazuje poměr 75 % : 25 %.
Schválený plánovaný počet pracovníků útvaru interního auditu ČS je podle mého
názoru nízký, protože podle mezinárodního srovnání by počet interních autorů měl činit
1 % z celkového počtu zaměstnanců. Jelikož v ČS je 10 800 zaměstnanců, měl by činit
celkový počet interních auditorů 108 FTE.
Návrh strategického plánu činnosti interního auditu na roky 2011 – 2013 byl vhodně
aktualizován s ohledem na výsledky provedené analýzy rizik, platnou legislativu
a schválenou zásadu ověřovat jednotlivé oblasti činností banky minimálně v tříleté
periodě.
38
Perioda ověření všech činností banky v minimálně tříletém cyklu není dodržena pouze
pro činnost „Ekonomických a strategických analýz“, tak jak je uvedeno v příloze mé
bakalářské práce, a to z kapacitních důvodů útvaru interního auditu ČS. V této činnosti
doposud nebyla identifikována útvarem interního auditu ČS materiální rizika. Mé
doporučení v tomto porušení zásad tvorby strategického plánu je, že v případě, když
nedojde k využití kapacitní rezervy na audity z požadavku vedení, měl by se provést
audit této činnosti v roce 2011 formou auditu z požadavku ředitele úseku interního
auditu.
Domnívám se, že návrh periodického plánu činnosti úseku interního auditu ČS na rok
2011 a návrh aktualizace strategického plánu činnosti na období 2011 – 2013, tak jak je
uveden v mé bakalářské práci může s klidným svědomím schválit dozorčí rada ČS,
protože podle mého názoru i podle názoru pracovníků bankovního dohledu České
národní banky, se kterými jsem měl možnost plánovací proces interního auditu ČS
konzultovat, sestavený návrh periodického plánu a návrh aktualizace strategického
plánu byly zpracovány v souladu s vyhláškou ČNB č. 123/2007, o pravidlech
obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými
papíry i s Mezinárodním rámcem profesionální praxe interního auditu.
39
Závěr
Pro naplnění cíle mé bakalářské práce jsem nejdříve vymezil profesi interního auditu
jako nezávislou, objektivní, ujišťovací a konzultační činnost, zaměřenou na přidávání
hodnoty a zdokonalování procesů v organizaci.
Interní audit pomáhá organizaci dosáhnout jejich cílů tím, že přináší systematický
metodický přístup k hodnocení a zlepšení efektivnosti řízení rizik, řídících a kontrolních
procesů a řízení a správy organizace. Při tomto vymezení profese interního auditu jsem
vycházel z Mezinárodního rámce pro profesionální praxi interního auditu, který by měl
každý manažer útvaru interního auditu i všichni interní auditoři dodržovat.
Došel jsem k závěru, že se jedná o velmi specifickou a náročnou činnost, kterou mohou
vykonávat pouze pracovníci s vysokou specializací v rámci daného oboru podnikání.
Podle mého názoru by každý vrcholový manažer měl projít útvarem interního auditu,
protože v tomto útvaru získá přehled o všech činnostech a aktivitách organizace,
o naplňování strategie organizace, o účinnosti a efektivnosti řídících a kontrolních
mechanismů a o tom zda rizika v organizaci jsou dostatečně řízena a zda jsou pod
kontrolou.
Rovněž cílem mé bakalářské práce bylo vytvořit návrh strategického plánu činnosti
interního auditu na roky 2011 – 2013 a periodického plánu činnosti interního auditu
České spořitelny a. s. na rok 2011.
Jelikož jsem měl možnost se seznámit z vlastní iniciativy s činností a procesem
interního auditu v České spořitelně a. s., proto jsem se v aplikační části mé bakalářské
práce zaměřil na jednu oblast tohoto procesu a to na plánovací proces interního auditu.
Po seznámení s mezinárodními a tuzemskými požadavky na tento proces a s využitím
nástrojů a informací z České spořitelny a. s. jsem provedl analýzu identifikovaných
rizik. Na základě výsledků analýzy rizik jsem vypracoval návrh periodického plánu
činnosti interního auditu pro Českou spořitelnu a. s. na rok 2011 a návrh
aktualizovaného strategického plánu činnosti pro Českou spořitelnu a. s. na roky
2011 - 2013.
40
Základem pro tvorbu strategického a periodického plánu byla analýza rizik
identifikovaných v rámci České spořitelny a. s. a jejich vyhodnocení interním systémem
identifikace rizik Češké spořitelny a. s. Provedená analýza rizik za rok 2010
zohledňovala pravděpodobnost selhání řídícího a kontrolního systému v činnostech
banky, poskytovala přehled o rizicích, která nebyla v uplynulém období zcela pod
kontrolou a dále o rizicích, na jejichž řízení by se banka měla zaměřit a snížit
pravděpodobnost jejich možného vzniku.
V souladu se zásadami a metodikou plánovacího byl návrh periodického plánu činnosti
sestaven takovým způsobem, aby pokryl všechna významná rizika a cíle auditů byly
zaměřeny primárně na nejrizikovější oblasti činností. Tedy činnosti banky s mírou
rizikovosti na stupnici ISIR 3 a vyšší, přičemž rozsah této stupnice je od 0 do 5.
Kromě jiného, jsem u důvodů zařazení jednotlivých auditů do plánu uvedl odkazy na
příslušné související body strategie České spořitelny a. s. pro období 2011 – 2013. Tím
je vidět, jakými audity by mělo být poskytnuto dílčí ujištění vedení společnosti
k příslušným strategickým cílům banky.
Návrh plánu interního auditu byl vypracován na plánovaný počet zaměstnanců úseku
interního auditu tj. 73 FTE, který představuje 0,7 % z celkového plánovaného počtu
zaměstnanců České spořitelny a. s.
Došel jsem k závěru, že tento podíl je výrazně pod celosvětovým benchmarkem
prováděným Mezinárodním institutem interních auditorů, který se pohybuje v rozsahu
od 0,9 % do 1,2 %, pro universální banky je doporučováno 1 %. V této souvislosti bych
doporučil vedení České spořitelny a. s. vytvořit dostatečné zdroje pro výkon profese
interního auditu v České spořitelně a. s. ve formě zvýšení plánovaného počtu
zaměstnanců na 108 FTE.
Aby bylo možné pružně reagovat na aktuální vývoj rizik v průběhu příštího roku,
zahrnuje návrh plánu na rok 2011 kapacitní rezervu ve výši 2,2 % celkové roční
kapacity interního auditu na audity vyhlašované z požadavku vedení. V případě, že by
ze strany vedení či aktuální situace nebyly uplatňovány audity vyčerpávající tuto
kapacitu, navrhl jsem internímu auditu České spořitelny a. s. tzv. zásobník auditů, které
byly v rámci plánovacího procesu vyhodnoceny jako přínosné s ohledem na možná
41
rizika či naplňování strategie banky, ale byly již mimo dostupnou kapacitu interního
auditu České spořitelny a. s.
Dostupné kapacity jsem rozdělil dle významnosti jednotlivých činností navržených
v periodickém plánu. Souhrnný poměr mezi čistě auditorskou činností a ostatními
podpůrnými činnostmi pak vychází 84,2 % : 15,8 %. Došel jsem k závěru, že tento podíl
je v souladu s požadavky na profesi interního auditu. Mezinárodní doporučení tvoří
poměr 75 % : 25 %.
Podle konzultace s pracovníky České národní banky jsem návrh periodického plánu
a návrh aktualizace strategického plánu zpracoval v souladu s vyhláškou ČNB
č. 123/2007, o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev
a obchodníků s cennými papíry, i s Mezinárodním rámcem profesionální praxe
interního auditu a tím jsem také naplnil cíl mé bakalářské práce.
Došel jsem k závěru, že z důvodu nedostatečné kapacity útvaru interního auditu v České
spořitelně a. s. by jako řešení mohlo být využití cosourcingu na auditorské činnosti,
které jsou úzce specializované a neprovádí se pravidelně každý rok jako je např. útok na
bezpečnostní systémy IT tzv. penetrační testy. Pro tuto činnost je podle mého názoru
lepší si najmout specializovanou externí společnost. Řešením této situace by mohlo
pomoci zavedení tzv. kontinuálního auditingu, což je průběžné ověřování rizik zejména
v oblasti bezpečnosti IT, které může přinést racionalizaci v činnostech interního auditu.
Profese interního auditu je velmi všestrannou a zajímavou činností, která musí přinášet
přidanou hodnotu procesům banky a musí upozorňovat management a vlastníky na
rizika, která nejsou pod kontrolou. V současné době jsou na interní audit kladeny nové
úkoly související s dopady finanční a hospodářské krize. Objevují se nová rizika, která
musí interní audit pokrýt. Podle mého názoru a rozvoje profese interního auditu v České
republice interní auditoři tuto úlohu plní.
42
Seznam literatury
1. Basle commitee on banking supervision. Principles for enhancing corporate
governance, 2010.
2. Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003.
ISBN 80-7179-410-4.
3. Dvořáček, J., Kafka, T. Interní audit v praxi. Brno : Computer Press a. s., 2005.
ISBN 80-251-0836-8.
4. Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida : IIA, 1997.
ISBN 80-902433-1-2.
5. IIA: Mezinárodní rámec profesionální praxe interního auditu. Altamonte Springs,
Florida, 2009.
6. Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA,
2009. ISBN 80-86689-39-5.
7. Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida :
IIA, 2007.
8. Směrnice Evropského parlamentu a Rady 2006/48/ES a 2006/49/ES, směrnice
Komise 2007/18/ES, kterou se mění směrnice Evropského parlamentu a Rady
2006/48/ES.
9. Vnitřní předpisy České spořitelny a. s.
10. Vyhláška ČNB 123/2007 Sb., o pravidlech obezřetného podnikání bank,
spořitelních a úvěrových družstev a obchodníků s cennými papíry.
11. www.interniaudit.cz
43
Přílohy
Seznam příloh:
Příloha č. 1 Návrh periodického plánu interního auditu na rok 2011
Příloha č. 2 Rozdělení kapacit interního auditu na rok 2011
Příloha č. 3 Přehled pokrytí analýzy rizik plánovanými audity na rok 2011
Příloha č. 4 Návrh aktualizovaného strategického plánu činnosti
na období 2011 – 2013
44
Příloha č.1 viz přiložený soubor - Příloha č1 - Návrh periodického plánu interního
auditu na rok 2011
53
Příloha č. 2 - Rozdělení kapacit interního auditu na rok 2011
Využitelný fond pracovní doby na 1 zam ěstnance byl pro rok 2011 stanoven na 180 dní.
Plánovaný po čet zaměstnanc ů IA ČS je 73. Z výše uvedeného plyne, že celková kapacit a IA ČS pro rok 2011 je
13 140 MD, přičemž 1MD = 8 pracovních hodin.
Návrh na rok 2011 Činnost
[FTE] [MD] Podíl v %
Celkem audity v periodickém plánu 31,7 6 440 49,0%
Audity v ČS, a. s. 27,2 4 900 37,3%
Audity stanovené regulatorními orgány 7,7 1 380 10,5%
Audity z požadavku IA EGB 2,2 390 3,0%
Audity podle analýzy rizik 17,4 3 130 23,8%
Audity dceřiných společností 4,4 800 6,1%
Audity DS z požadavku regulátora 1,6 280 2,1%
Audity DS podle analýzy rizik 2,9 520 4,0%
Audity z požadavku vedení 1,6 290 2,2%
Řízení auditů (management auditu) 2,5 450 3,4%
Monitoring celkem 11,1 2 000 15,2%
Monitorování činností centrály (mino KC) 4,4 800 6,1%
Monitorování činností OP + KC 2,5 450 3,4%
Monitorování činností dce řiných spole čností 1,7 300 2,3%
Monitorování a ú čast na projektech 2,5 450 3,4%
Interní auditorská činnost 11,1 2 000 15,2%
Agenda výboru pro audit (VpA) a kompexní reporting o činnosti IA 2,5 450 3,4%
Připomínková řízení (mimo DS) 3,8 680 5,2%
Analýza rizik FSČS (ISIR/ARM) 1,5 270 2,1%
Analýza rizik (ERM) - karta útvaru 2,5 450 3,4%
Spolupráce s IA EGB 0,8 150 1,1%
Manažerská činnost 3,5 630 4,8%
84,2%
Ostatní plánované aktivity 11,5 2 070 15,8%
Spolupráce s externími orgány 1,0 180 1,4%
Spolupráce s EA ČS a dceřinných společností 1,0 180 1,4%
Tvorba metodiky, plánovací proces, Audit Tool a správa ISIA 5,0 900 6,8%
Tvorba metodiky pro oblast činnosti IA 2,0 360 2,7%
Plánovací proces interního auditu FSČS 1,5 270 2,1%
Audit Tool a správa a rozvoj ISIA (Informační systém interního auditu) 1,5 270 2,1%
Ostatní interní auditorská činnost (administrativa, kontroling,apod.) 4,5 810 6,2%
Administrativní činnost 2,5 450 3,4%
Kontroling úseku 0,5 90 0,7%
Překladatelská činnost a tlumočení 1,0 180 1,4%
Správa serverů IAČS 0,5 90 0,7%
15,8%
Celkem činnost IA 73,0 13 140 100% 100,0%
54
Příloha č. 3 - Přehled pokrytí analýzy rizik plánovanými audity na rok 2011
Kód Název rizika ISIR Audity z plánu
51020 Úvěrové riziko bankovního portfolia 5 A05, A07, A10, A19, A26, A35, A39,
A52,
20100 Chybné platby a vypo řádání 4,5 A05, A11, A19, A20, A26, A33, A35,
A36
20200 Nedostatky ve smluvní dokumentaci s klienty 4,5 A05, A07, A11, A16, A19, A26, A35,
A39, A52
20800 Porušení zodpov ědnosti banky 4,5 A05, A11, A16, A19, A26, A35, A38
72100 Selhání /porušení vnit řních compliance
procedur 4,5 A05, A16, A19, A26, A30, A35
10100 Kriminální jednání zam ěstnanc ů nedovolené
manipulace 4 A07, A10, A34, A39, A43, A60
20700 Nesprávné obchodní,tržní praktiky 4 A11, A16, A20, A30, A33, A38
30100 Selhání systém ů 4 A08, A13, A36, A40, A60
30200 Narušení bezpe čnostních systém ů 4 A04, A06, A09, A12, A13, A40,
40100 Podezření na podvodné jednání klient ů,
kriminální aktivity 4 A06, A07, A20, A39
10200 Neautorizované aktivity, p řestupky
zaměstnanc ů 3,5 A07, A30, A39
10300 Pracovn ěprávní problémy 3,5 A06, A20
20500 Chybné řízení projekt ů 3,5 A08
40300 Outsourcing, dodavatelské riziko 3,5 A08, A30
40500 Bezpečnost IT 3,5 A09
74180 Riziko správy a řízení spole čnosti 3,5 A25, A34, A38, A47
75100 Riziko reputa ční 3,5 A05, A07, A10, A19, A33, A35, A36
77110 Riziko z omezení dostupnosti služeb 3,5 A20, A60
20300 Chyby v ocen ění,nedostatky v p říprav ě
produktu 3 A07, A39
21000 Nedostatky p ři správ ě klientských dat a
informací 3 A20
40200 Selhání obchodní protistrany 3 A08, A62
74130 Riziko organiza čních zm ěn 3 A30, A40, A62
74150 Riziko nesprávné strategické koncepce
banky/spole čnosti 3 A25
Pozn.: 1) Kódy auditů jsou dle přílohy č. 1 – Návrh periodického plánu interního auditu na rok 2011
55
Příloha č.4 - Návrh aktualizovaného strategického plánu činnosti na období 2011 - 2013
Rok provedení Audity v roce 2011 Oblast činnosti
2011 2012 2013 Kód auditu 1) v plánu
Vztahy s veřejností (-) X X nepokryto
Marketing a kvalita služeb X A31, A51, A52
Řízení rizik X X X A05, A06, A13, A19, A25, A26, A30, A31, A35,
A40, A47, A48
Corporate Governance X X X A25
Právní služby a compliance X
Řízení lidských zdrojů X (-) X A34
Účetnictví, daně a výkaznictví X X X A32, A46, A63
Controlling a plán (-) X X
Operace na finančních a kapitálových trzích X X X A16, A25, A33, A36
Řízení drobného bankovnictví X X X A10, A25, A26, A52, A60
Řízení komerčního bankovnictví X X X A05, A19, A25, A35, A52, A61
Úvěry X X X A05, A07, A19, A26, A35, A39, A61
Trade Finance X
Depozita X X X A20, A43
Přímé bankovnictví X X A52
Kartové služby X X X
Platební styk a vyúčtování X X X A11
Bezpečnost vč. IT bezpečnosti X X X A06, A09, A12, A20
Řízení projektů X
Řízení nákupu X X A08
Řízení majetku X X A45
IT podpora a decentralizované systémy X X A13, A30, A40
IT provoz X X X A03, A08
Vývoj a architektura IT X
Organizace X
Pozn.:
Změn
a na
základě
analýzy
rizik
1) Kódy auditů viz Příloha č. 1 - Návrh
periodického plánu interního auditu na rok
2011