VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA

Katedra ekonomických studií

Proces plánování interního auditu v České spořitelně a. s.

Bakalářská práce

Autor : Jiří Trost

Vedoucí práce: Ing. Věra Nečadová

Místo: Jihlava

Rok: 2011

Souhrn:

Cílem bakalářské práce je popis profese interního auditu včetně mezinárodních

i tuzemských požadavků se zaměřením na plánovací proces činnosti interního auditu,

když bude vymezena základní charakteristika interního auditu včetně jeho vývoje,

začlenění útvaru interního auditu v rámci organizační struktury a práva a povinnosti

interního auditu v bance. V aplikační části budou charakterizovány požadavky

na proces tvorby plánu činnosti interního auditu v České spořitelně a. s. včetně metody

analýzy rizik jako nástroje pro tvorbu strategického a periodického plánu činnosti

interního auditu. Součástí bakalářské práce bude také, na základě získaných informací

z České spořitelny a. s., provedení analýzy rizik a vypracování návrhu periodického

a strategického plánu činnosti interního auditu pro rok 2011.

Klí čová slova:

analýza rizik,

interní audit,

interní systém identifikace rizik (ISIR),

kniha rizik,

kniha produktů,aplikací a činností (PAC),

periodický plán činnosti interního auditu,

strategický plán činnosti interního auditu,

riziko,

řízení rizik,

mezinárodní rámec profesionální praxe interního auditu.

Summary:

The objective of the bachelor thesis consists in introducing the reader to the profession

of internal audit inclusive of international and domestic requirements placed thereon

with the focus on the planning process of internal audit work. The theoretical part

defines principal characteristics of internal audit including its development, integration

of an internal audit unit within the organizational structure, as well as rights and

responsibilities of internal audit in a bank. The application part characterizes

requirements for the creation process of the internal audit activities’ plan in Česká

spořitelna a. s. including the risk analysis method as a tool for compilation of the

strategic and periodic plans of internal audit activities. In the latter part of the bachelor

thesis, I performed a risk analysis and elaborated proposals for the strategic and periodic

plans of internal audit activities for the year 2011.

Key words:

risk analysis,

internal audit,

internal system of identification of risks (ISIR),

book of risks,

book of products, applications and activities (PAC),

periodic plan of internal audit activities,

strategic plan of internal audit activities,

risk,

risk management,

International Framework of the Professional Practice of Internal Auditing.

Poděkování:

Na tomto místě bych chtěl poděkovat vedoucí bakalářské práce Ing. Věře Nečadové,

za odborné vedení práce a za podporu a trpělivost při jejím vytváření. Děkuji také týmu

České spořitelny a. s. za poskytnutí zapůjčené literatury a dalších materiálů k tomuto

tématu se vztahujících, možnost konzultací a osobních setkání za účelem diskuse

o řešeném problému, za pomocnou ruku při konzultaci některých problémů a podporu.

Velký dík patří také všem respondentům, kteří mi věnovali svůj čas a dovolili

nahlédnout do vlastních osobních životů a zkušeností.

Rád bych poděkoval také své rodině, všem blízkým a přátelům, kteří mě při vytváření

této práce podpořili, a bez jejich pomoci by nebylo možné práci dokončit.

Prohlášení:

Prohlašuji, že předložená bakalářská práce je původní a zpracoval jsem ji samostatně.

Prohlašuji, že citace použitých pramenů je úplná, že jsem v práci neporušil autorská

práva (ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících

s právem autorským a o změně některých zákonů, v platném znění, dále též „AZ “).

Souhlasím s umístěním bakalářské práce v knihovně VŠPJ a s jejím užitím k výuce

nebo k vlastní vnitřní potřebě VŠPJ.

Byl jsem seznámen s tím, že na mou bakalářskou práci se plně vztahuje AZ , zejména

§ 60 (školní dílo).

Beru na vědomí, že VŠPJ má právo na uzavření licenční smlouvy o užití mé bakalářské

práce a prohlašuji, že s o u h l a s í m s případným užitím mé bakalářské práce (prodej,

zapůjčení apod.).

Jsem si vědom toho, že užít své bakalářské práce či poskytnout licenci k jejímu využití

mohu jen se souhlasem VŠPJ, která má právo ode mne požadovat přiměřený příspěvek

na úhradu nákladů, vynaložených vysokou školou na vytvoření díla (až do jejich

skutečné výše), z výdělku dosaženého v souvislosti s užitím díla či poskytnutím licence.

V Jihlavě dne 12. 12. 2010

......................................................

Podpis

1

Obsah:

ÚVOD ......................................................................................................................................................... 2

TEORETICKO – METODOLOGICKÁ ČÁST ..................................................................................... 5

1 PODSTATA PROFESE INTERNÍHO AUDITU ............................................................................................ 5

1.1 Vývoj profese interního auditu.................................................................................................... 5

1.2 Současné pojetí profese interního auditu................................................................................... 8

2 POSTAVENÍ A ORGANIZA ČNÍ STRUKTURA ÚTVARU INTERNÍHO AUDITU VE SPOLE ČNOSTI ............. 12

2.1 Odpovědnost a povinnosti interního auditu.............................................................................. 14

APLIKA ČNÍ ČÁST................................................................................................................................. 17

3 INTERNÍ AUDIT V ČS.......................................................................................................................... 17

3.1 Proces interního auditu............................................................................................................. 17

4 PLÁNOVACÍ PROCES ČINNOSTI INTERNÍHO AUDITU V ČS................................................................ 18

4.1 Strategický plán činnosti interního auditu v ČS....................................................................... 21

4.2 Periodický plán činnosti interního auditu v ČS........................................................................ 22

5 NÁVRH PLÁNU ČINNOSTI INTERNÍHO AUDITU ČS NA ROK 2011................................................ 25

5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS ........................................... 27

5.2 Analýza rizik v procesu sestavování plánu činnosti interního auditu v ČS............................. 29

5.3 Shrnutí aplikační části bakalářské práce.................................................................................. 36

ZÁVĚR ..................................................................................................................................................... 39

SEZNAM LITERATURY....................................................................................................................... 42

PŘÍLOHY................................................................................................................................................. 43

2

Úvod

Jednou z nejvíce kritizovaných oblastí řízení organizací v současnosti je efektivnost

a účinnost a tím celková adekvátnost procesu zaměřeného na identifikaci, měření

a vyhodnocování rizik. Jedná se o proces řízení rizik. Tyto skutečnosti jsou

prezentovány jako jeden z důvodů vzniku finanční krize, která propukla v polovině roku

2007. Řízení rizik je klíčovou odpovědností vedení organizací. Aby vedení dosáhlo

svých obchodních cílů, mělo by zajistit, aby byly zavedeny a fungovaly spolehlivé

procesy řízení rizik. Představenstva mají dohlížecí úlohu, aby zajistila, že existují

patřičné procesy řízení rizik a že tyto procesy jsou odpovídající a efektivní. Interní

auditoři by měli napomáhat vedení i představenstvu při zkoumání, hodnocení, hlášení

a doporučování zlepšení efektivity a přiměřenosti procesů rizik řízení. Vedení

a představenstvo jsou odpovědní za řízení rizik a kontrolní procesy své organizace.

Avšak interní auditoři mohou pomáhat organizaci při stanovení, hodnocení

a implementaci metodik řízení rizik a kontrol zabývajících se těmito riziky.

V mnoha podnicích je řízení rizik klíčovou složkou všech obchodních aktivit a kontrol

v procesu řízení. To se týká zejména subjektů bankovního sektoru. Množství rizik

zejména v bankách se vztahuje k výběru strategií a cílů, určování operačních cílů

a odpovědností, rozdělování prostředků mezi projekty a obchodní oblasti, minimalizaci

vystavení riziku ztráty dobré pověsti nebo důvěry a optimálnímu využívání technologií

pro řízení. V důsledku toho je logickým doplňkem tohoto širokého rámce řízení rizik

i poradenská úloha interního auditu v tomto procesu.

Zřídka jsou požadavky na profesionalismus, znalosti, bezúhonnost a řízení přísnější, než

ty, které jsou kladeny na interní auditory. Efektivní auditoři slouží jako firemní svědomí

organizace, chrání provozní efektivitu a vyhodnocují účinnost a efektivnost nastaveného

řídícího a kontrolního systému včetně řízení rizik.

3

Z těchto důvodů jsem si jako téma bakalářské práce zvolil proces plánování činnosti

interního auditu, který je založen na systému identifikace a následné analýzy rizik,

protože jednou z povinností interního auditu je, kromě jiného, pomáhat naplňování cílů

organizace tím, že bude ujišťovat vedení a vlastníky o stavu rizik - zda jsou dostatečně

nebo nedostatečně řízena a zda jsou nebo nejsou pod kontrolou.

Jelikož se o tuto problematiku z vlastního zájmu velmi zajímám a v bankovním sektoru

je tato aktivita velmi aktuální, soustředím se ve své bakalářské práci na plánovací

proces interního auditu v České spořitelně a. s. V této bance jsem měl praktickou

možnost se s úlohou a procesem interního auditu seznámit, účastnit se průběžně

plánovacího procesu činnosti interního auditu a získat potřebné informace pro moji

bakalářskou práci.

Cílem mé bakalářské práce je nejprve vymezit profesi interního auditu v bankovním

sektoru včetně mezinárodních a tuzemských regulatorních požadavků se zaměřením

na systém identifikace rizik. Rovněž cílem mé práce je navrhnout způsob analýzy

identifikovaných rizik, jako nástroje pro plánovací proces interního auditu a vytvořit

návrh strategického plánu činnosti interního auditu na roky 2011 - 2013

a periodického plánu činnosti interního auditu České spořitelny a. s. na rok 2011.

Pro naplnění tohoto cíle jsem zvolil jako metodu mé bakalářské práce analýzu dopadu

a pravděpodobnosti selhání identifikovaných rizik útvarem interního auditu. Na základě

této analýzy nejvýznamnějších rizik jsem metodou syntézy provedl konkrétní návrh

jednotlivých plánů činností interního auditu.

4

Ve své bakalářské práci využívám tyto literární prameny: Dvořáček, J.: Interní audit

a kontrola.1 Dvořáček, J., Kafka, T.: Interní audit v praxi.2 Galloway, D.: Průvodce

nového auditora.3 IIA: Mezinárodní rámec profesionální praxe interního auditu.4

Salamasick, M.: Assurance and Consulting Services.5 Vnitřní předpisy České spořitelny

a. s.6 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank,

spořitelních úvěrních družstev a obchodníků s cennými papíry.7

Interní auditoři na celém světě praktikují svou práci rozdílně. Navzdory některým

názorům nejsou stejnorodé funkce interního auditu žádoucí. Je pravda, že funkce

interního auditu byla pojmenována různě např. audit operací, audit výkonu, audit

projektů, komplexní audit, audit systému řízení rizik, audit strategie apod. Interní

auditoři musí podle plánu činnosti interního auditu praktikovat všechny tyto formy

auditu. Interní auditoři se musí přizpůsobovat potřebám a cílům organizace, potřebám

jejich vlastníků a intenzivnímu vývoji rizik. Jedině tak mohou být úspěšní a nezávisle

a objektivně pomáhat organizacím naplňovat jejich cíle.

1 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 2 Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8. 3 Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida: IIA, 1997. ISBN 80-902433-1-2. 4 IIA: Mezinárodní rámec profesionální praxe interního auditu. Altamonte Springs, Florida, 2009. 5 Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007. 6 Vnitřní předpisy České spořitelny a. s. 7 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry.

5

Teoreticko – metodologická část

1 Podstata profese interního auditu

1.1 Vývoj profese interního auditu

Profese auditu a zejména interního auditu má poměrně dlouhou historii. Název auditor

je odvozen z praxe římských kvestorů („ti, kteří vyšetřují“) najímaných vládou

k předkládání ústních zpráv o stavu pokladny. Tato „slyšení“ (z latiny „audio“) vedla

ke vzniku názvu „auditor“ („ten, kdo uvádí všechny skutečnosti“). Starověký Řím

uplatňoval „slyšení o účtech“. Jeden úředník porovnával své záznamy se záznamy

druhého. Tato ústní verifikace měla úředníkům spravujícím fondy zabraňovat v páchání

podvodů. A vlastně z úkonu „slyšení o účtech“ vznikl název audit.8

Role interních auditorů zůstávala až do počátku dvacátého století v podstatě stejná.

Interní auditoři měli odhalovat podvody a zabraňovat jim. V této době vznikaly

techniky „profesionálního“ či „v ědeckého“ řízení a objevilo se také nové zaměření se

na „účinnost a efektivnost obchodních operací“. Management začínal využívat služeb

interních auditorů k vyhodnocování operací, k prověřování návrhů a procesů z hlediska

nákladovosti a k jiným studiím přispívajícím managementu k naplňování

podnikatelských cílů.

Zaměření interního auditu se změnilo poté, co byl v USA schválen zákon o cenných

papírech (rok 1933) a zákon o cenných papírech a burze (rok 1934). Těmito zákony se

zvýšila odpovědnost managementu za předkládání přesných finančních a účetních

procesů a informací, což mělo v konečném důsledku za následek změnu priorit interních

auditorů z prevence a odhalování podvodů a zdokonalování obchodních operací

na prověřování řídících a kontrolních nástrojů regulujících finanční a účetní informace.9

V roce 1941 byl interní audit uznán jako samostatná auditní disciplína natolik, že malá

skupina praktikujících interních auditorů založila v New Yorku „Institut interních

auditorů“ (IIA). Jeho sídlo je dnes v Altamore Springs na Floridě. IIA se dále rozvíjel

a dnes je profesním sdružením s celosvětovou působností propagujícím a podporujícím

rozvoj profese interního auditu.10

8, 9, 10 Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida : IIA, 1997. ISBN 80-902433-1-2.

6

V České republice se interní audit významněji prosazoval v polovině 90. let, ale

v četných případech nahrazoval rušící oddělení vnitřní kontroly. Zatímco ve světě byl

interní audit vysoce uznávanou profesí, o jejíž kvalitách nebylo třeba nikoho

přesvědčovat, Česká republika v tomto směru stála na začátku rozvoje.

Český institut interních auditorů byl založen v roce 1995 a je občanské sdružení

interních auditorů za účelem prosazování a podpory rozvoje interního auditu v České

republice.

Český institut interních auditorů naplňuje svoje poslání tím, že mimo jiné:11

� soustřeďuje osoby, které pracují jak v oblasti interního auditu, tak i v oblastech

jemu příbuzných,

� poskytuje informace o rozvoji interního auditu v České republice i v zahraničí

a napomáhá tak společnému postupu v poznávání a řešení problémů této

profese,

� poskytuje konzultace jako profesionální pomoc v jednotlivých oblastech

auditu,

� publikuje materiály potřebné k získání a rozšíření znalostí o funkci interního

auditu,

� organizuje různé formy vzdělávacích akcí,

� popularizuje činnost interního auditu,

� iniciuje a podporuje jednání a akce zaměřené na rozšiřování praxe interního

auditu do dalších společností v České republice,

� vydává pro členy institutu čtvrtletně časopis „INTERNÍ AUDITOR“,

� umožňuje setkávání interních auditorů a vzájemnou výměnu informací

a zkušeností při pravidelně pořádaných fórech interních auditorů a národních

konferencí,

� zprostředkovává kontakty s významnými zahraničními odborníky z oboru

interního auditu,

� umožňuje složení zkoušek k získání mezinárodně uznávaného titulu Certified

Internal Auditor (CIA),

11 www.interniaudit.cz

7

� nabízí delegování vybraných interních auditorů z České republiky

do pracovních orgánů mezinárodních institucí pro oblast interního auditu (IIA,

ECIIA).

Úsilí o sjednocení přístupů k problematice interního auditu vedlo některé evropské

organizace interních auditorů k založení Evropské konfederace pro interní audit

(European Confederation of Institutes of Internal Auditing – dále jen ECIIA). Stalo se

tak v roce 1982, přičemž vzniklá konfederace zachovává úplnou autonomii národních

institutů a svoje poslání spatřuje v prosazování a rozvíjení profesionální praxe v oblasti

interního auditu v Evropě prostřednictvím členských organizací ku prospěchu této

profese ve všech členských zemích.

Pro naplnění uvedeného poslání vytýčila ECIIA tyto svoje hlavní cíle:12

� sdělovat členům ECIIA poznatky a zkušenosti prostřednictvím soustavné

analýzy, přesahující hranice států, studijních projektů, konferencí, seminářů

a veřejných tribun, aby sloužily a rozvíjely profesionální interní audit

v Evropě,

� předávat členům ECIIA poznatky a zkušenosti, aby byla získána podpora pro

přijetí standardů profesionální praxe interního auditu a aby došlo k podpoře

certifikace profesionálních interních auditorů v Evropě,

� zajistit jednotný styk mezi členy ECIIA a Evropskou unií ve vztahu ke všem

záležitostem, které jsou v zájmu Konference,

� podporovat profesi interního auditu obecně a jeho specifického rozvoje

v Evropě speciálně, prostřednictvím rozvíjení úzké spolupráce s ostatními

profesionálními organizacemi,

� usilovat o vytvoření celosvětové organizace, která bude zahrnovat všechny

profesionální organizace, které se věnují profesi interního auditu.

Vývoj interního auditu doznal za dobu existence profese interního auditu řadu změn.

Dnešní pojetí profese interního auditu je podle mého názoru napomáhat managementu

při naplňování firemních cílů. Odhalování a zabraňování podvodů zůstává v okruhu

zájmů interního auditora, avšak primárním zaměřením je poskytovat managementu

jistotu, že efektivní kontrolní systémy, napomáhající naplňování podnikatelských

záměrů, jsou zavedeny a poskytují ujištění o stavu rizik v organizaci.

12 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4.

8

Úroveň profese interního auditu v ČR se podle mého názoru po téměř 20-ti letech své

existence velmi přizpůsobila celosvětovým trendům a činnost útvarů interního auditu

zejména v bankovnictví je na srovnatelné úrovni s ostatními útvary v zahraničí. O této

skutečnosti jsem měl možnost se přesvědčit v rámci mého praktického působení

v České spořitelně a. s. K tomuto vývoji významným způsobem přispěla i regulace této

profese v bankovnictví ze strany České národní banky, která vycházela z celosvětově

uznávaných zásad a standardů pro profesi interního auditu.

1.2 Současné pojetí profese interního auditu

Na celosvětové úrovni určuje pojetí profese interního auditu Mezinárodní institut

interních auditorů. Součástí tohoto institutu je i Český institut interních auditorů.

V roce 2009 byl Mezinárodním institutem interních auditorů přijat tzv. Mezinárodní

rámec profesionální praxe interního auditu. Ten vymezuje tuto profesi jako ujišťovací

a poradenskou službu společnosti. Útvar interního auditu má v současném pojetí

v základní podobě za úkol, kromě jiného také identifikovat a zhodnotit možná rizika

společnosti. Je třeba zdůraznit, že interní audit musí být při výkonu své činnosti

nezávislý útvar na všech úrovních podniku. Auditor je tak povinen bez působení

vnitřních i vnějších vlivů vyjádřit nestranný a objektivní názor na ověřovaný proces.

Současný Mezinárodní rámec pro profesionální praxi se skládá z následujících prvků:13

• Definice interního auditu,

• Etický kodex,

• Mezinárodní Standardy pro profesní praxi interního auditu,

• Stanoviska (Position Papers),

• Doporučení pro praxi (Practice Advisories),

• Praktické pomůcky (Practice Guides).

13 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

9

Současně platná definice interního auditu celkově vymezuje pojetí interního auditu

a obsahuje základní cíl, charakter a rozsah působnosti této profese:

„Interní audit je nezávislá, objektivní, ujišťovací a konzultační činnost, zaměřená

na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá

organizaci dosáhnout jejich cílů tím, že přináší systematický metodický přístup

k hodnocení a zlepšení efektivnosti řízení rizik, řídících a kontrolních procesů a řízení

a správy organizace“.14

Nezávislost znamená nepřítomnost podmínek, za kterých je ohrožena schopnost

interního auditu nebo jeho výkonného vedení vykonávat odpovědnosti interního auditu

nezaujatým způsobem.

K dosažení stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce

interního auditu jsem se přesvědčil, že má ředitel úseku interního auditu přímý

a neomezený přístup k vedení a orgánům České spořitelny a. s.

Objektivita je nezaujatý myšlenkový postoj, který umožňuje interním auditorům

provádět služby takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce

a zamezuje přijímání kompromisů ohledně její kvality. Objektivita vyžaduje, aby interní

auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo

jedincům.

14 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

10

Narušení organizační nezávislosti a objektivity interního auditu může podle mého

názoru zahrnovat například následující situace:

• osobní konflikt zájmu,

• omezení rozsahu působnosti auditu,

• omezení přístupu k informacím, osobám a majetku,

• omezení zdrojů.

Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo

organizací při výkonu interního auditu. Popisuje minimální požadavky kladené

na postoje a modely chování, nestanovuje však konkrétní požadované činnosti.15

Interní auditoři by měli dodržovat tyto základní pravidla jednání:16

• Integrita,

• Objektivita,

• Důvěrnost,

• Kompetentnost.

Mezinárodní Standardy jsou založeny na základních zásadách a poskytují rámec pro

výkon interního auditu a jeho podporu.

Struktura Standardů zahrnuje:17

• Základní standardy,

• Standardy pro výkon,

• Prováděcí standardy.

Standardy jsou souborem závazných požadavků skládajících se ze:

� Základních požadavků kladených na profesní praxi interního auditu

a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné

mezinárodně jak na fyzické, tak i na právnické osoby.

15, 16, 17 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5.

11

� Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých

požadavcích.18

Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo

profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení

a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení

souvisejících rolí a odpovědností interního auditu.19

Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné

procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při

aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují

postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém

měřítku, určitých typů zakázek a právních či regulatorních otázek.20

Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního

auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány

a postupná řešení.21

Mezinárodní rámec profesionální praxe by měli dodržovat všichni interní auditoři

na celém světě.

Jakým způsobem je regulována profese interního auditu pro bankovní sektor v ČR?

Profese interního auditu pro banky je usměrňována v ČR těmito zákony:

• zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů,

• zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu,

• zákon č. 6/1993 Sb., o České národní bance,

• vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních

a úvěrních družstev a obchodníků s cennými papíry.

18, 19, 20, 21 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009.

ISBN 80-86689-39-5.

12

Celkově mohu konstatovat, že všechny uvedené legislativní akty týkající se profese

interního auditu v bankovním sektoru vycházejí z Mezinárodního rámce pro profesionální

praxi interního auditu a nejsou s ním v rozporu.

2 Postavení a organizační struktura útvaru interního auditu

ve společnosti

Interní audit ve společnosti je součástí řídícího a kontrolního systému. Řídící a kontrolní

systém musí zahrnovat veškeré činnosti a organizační úrovně. Je tvořen všemi nástroji

a procesy, které působí uvnitř společnosti a které usilují o zajištění záměrů a dosažení

jejích cílů.22

Řídící a kontrolní systém tvoří základní stavební kameny společnosti a zahrnuje:23

• kontrolní prostředí,

• systém vnitřní kontroly,

• informace a informační systém,

• řízení rizik,

• monitoring.

Interní audit jako jedna z kontrolních činností ve společnosti ověřuje veškeré činnosti

organizace. A to včetně těch, které společnost zajišťuje formou outsourcingu.

Je nástrojem k získání objektivních informací, odborných konzultací a ujištění o tom,

zda jsou strategické cíle dosahovány, zda jsou rizika, kterým je společnost vystavena,

odpovídajícím způsobem řízena a pod kontrolou, zda jsou vnitřní kontrolní a řídící

systémy úplné, účinné, účelné a efektivně fungující a zda informace zpracovávané

a vytvářené těmito vnitřními systémy vyhovují potřebám řízení společnosti.24

22 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry. 23 Basle commitee on banking supervision. Principles for enhancing corporate governance, 2010. 24 Dvořáček, J., Kafka, T.: Interní audit v praxi. Brno : Computer Press a. s., 2005. ISBN 80-251-0836-8.

13

Interní audit musí být při své činnosti nezávislý na všech výkonných činnostech

organizace. Nezávislost interního auditu musí prostupovat všemi fázemi jeho činnosti,

zejména při identifikaci a analýze rizik, při plánování a přípravě auditů, včetně výběru

metod ověřování a vyhodnocování, při zpracování a podání zprávy o provedeném

auditu, při ověřování opatření a při monitoringu činností a rizik organizace.25

Postavení a činnost interního auditu musí být vymezeny ve vnitřních předpisech

společnosti. V případě České spořitelny a. s. (dále jen ČS) se jedná zejména o:

• Stanovy ČS,

• Rámcovou směrnici pro činnost centrály ČS,

• Organizační řád ČS,

• Řídící a kontrolní systém ČS,

• Interní audit.

Organizačně je útvar interního auditu ČS podřízen přímo generálnímu řediteli, svým

pojetím a obsahem činnosti podléhá výboru pro audit a dozorčí radě.

Obrázek č. 1 Organizační začlenění útvaru interního auditu ČS

Zdroj: Organizační řád ČS

Jak jsem se mohl přesvědčit, ředitel úseku interního auditu ČS komunikuje a je ve

vzájemném kontaktu jak s představenstvem, tak s výborem pro audit a dozorčí radou

ČS.

25 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry.

Výbor pro audit Dozorčí rada

Interní audit Generální ředitel

Valná hromada

14

Ředitel úseku interního auditu musí minimálně jednou ročně potvrzovat představenstvu,

dozorčí radě a výboru pro audit organizační nezávislost funkce interního auditu.26

2.1 Odpovědnost a povinnosti interního auditu

Zaměstnanci, provádějící interní audit, jsou odpovědni za jeho provedení v souladu

s platnými obecně závaznými předpisy, auditorskými standardy a vnitřními předpisy

organizace.

Interní auditoři jsou odpovědní zejména za:27

• realizaci schváleného plánu interního auditu, včetně specifických úkolů nebo

projektů, které si vyžádají dozorčí rada nebo výbor pro audit,

• udržování profesionality interního auditu,

• efektivní využívání zdrojů u auditorských činností prováděných v organizaci.

Zaměstnanci úseku IA neodpovídají za auditovanou činnost.28

Interní auditoři mají při své činnosti tyto povinnosti:29

• postupovat nestranně a nezaujatě a vyhýbat se jakémukoliv střetu zájmů,

• informovat příslušnou úroveň vedení organizace o zdánlivém či faktickém

narušení nezávislosti nebo objektivity interního auditu (jednotlivce nebo úseku),

• informovat příslušnou úroveň vedení organizace o všech nedostatcích řídícího

a kontrolního systému tak, aby byla zajištěna možnost jejich urychleného řešení,

• o závažných nedostatcích v řídícím a kontrolním systému informovat neprodleně

představenstvo, dozorčí radu a výbor pro audit,

• informovat příslušnou úroveň vedení organizace o výsledcích auditu,

• po ukončení jednotlivých plánovaných auditů a vybraných auditů na základě

požadavku vedení informovat představenstvo o jejich závěrech,

26 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-39-5. 27 Vnitřní předpisy České spořitelny a. s. 28 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry. 29 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry.

15

• pravidelně informovat představenstvo, výbor pro audit a dozorčí radu o činnosti

úseku interního auditu a o dostatečnosti zdrojů úseku interního auditu a předávat

jim zprávy, shrnující výsledky auditorské činnosti,

• informovat neprodleně příslušného vedoucího zaměstnance v případě zjištění

skutečností odůvodňujících podezření z trestné činnosti,

• spolupracovat při šetření podezřelých a podvodných činností uvnitř organizace

a informovat představenstvo, výbor pro audit a dozorčí radu o jejich výsledcích.

Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko

podvodu a způsob jakým je toto riziko řízeno v rámci organizace. Neočekává

se od nich taková kvalifikace, jako je požadována od zaměstnanců organizace,

jejichž hlavní odpovědností je odhalování a vyšetřování podvodů,

• plnit všechny požadavky vyplývající pro interní audit z obecně závazných

předpisů a požadavků regulátorů,

• dodržovat při auditorské činnosti obecně závazné předpisy, vnitřní předpisy

organizace a Mezinárodní rámec profesní praxe interního auditu,

• upozornit svého nadřízeného na stav, kdy by interní audit měly vykonávat

osoby, u kterých lze mít vzhledem k jejich vztahu k předmětu interního auditu

nebo k zaměstnancům auditovaného subjektu pochybnosti o jejich nepodjatosti,

• zajišťovat, aby při činnostech interního auditu nedocházelo k porušení

nezávislosti a objektivity interního auditu i v případě, že k provádění auditu je

přizván zaměstnanec jiného útvaru organizace,

• zachovávat diskrétnost a mlčenlivost o veškerých skutečnostech zjištěných

v průběhu výkonu auditorské činnosti,

• zajišťovat veškeré získané materiály, soubory na médiích, vlastní dokumentaci

tak, aby bylo zabráněno jejich zneužití nepovolanou osobou,

• respektovat a v rámci svých možností nenarušovat plynulý výkon činností

auditovaných subjektů,

• při výkonu poradenské činnosti zajistit, aby nebyla omezena schopnost interního

auditu podávat nezávislé a objektivní ujištění o funkčnosti a efektivnosti řídícího

a kontrolního systému,

16

• soustavně zvyšovat svoji kvalifikaci formou odborného vzdělávání. Znalosti,

dovednosti a další schopnosti jsou společným termínem označujícím profesní

odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný

výkon jejich profesních odpovědností. Profesionální způsobilost každého

interního auditora a útvaru interního auditu jako celku je stěžejní pro řádné

fungování interního auditu organizace.

Ředitel úseku interního auditu je povinen dát, v případě zjištění, která mohou záporně

ovlivnit hospodaření organizace, s vědomím představenstva, podnět k mimořádnému

zasedání dozorčí rady a informovat ji a výbor pro audit o zjištěných skutečnostech.30

30 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry.

17

Aplika ční část

3 Interní audit v ČS

3.1 Proces interního auditu

Kvalitním naplňováním činnosti interního auditu získává ČS ujištění, že rizika, kterým

je vystavena, jsou pod kontrolou. Management je o nich včas informován, chápe je

a rozhoduje o jejich snížení prostřednictvím opatření směřujících k nápravě.

Proces interního auditu v ČS zahrnuje následující fáze, které na sebe úzce navazují

a tvoří nedílný celek:31

• Plánování činnosti interního auditu ( tvorba strategického a periodického plánu

interního auditu),

• Přípravu auditu (zejména naplánování jednotlivého auditu či auditorské zakázky

a tvorba programu auditu),

• Provádění auditu a tvorba auditorské zprávy,

• Ukončení auditu (projednání auditorské zprávy),

• Hodnocení kvality práce interních auditorů auditovanými útvary,

• Ověřování plnění přijatých opatření.

Ve své bakalářské práci se dále budu věnovat procesu plánování činnosti interního

auditu, protože jsem měl možnost z vlastního zájmu se tohoto procesu v ČS účastnit

a získat potřebné informace a zkušenosti pro moji bakalářskou práci.

31 Vnitřní předpisy České spořitelny a. s.

18

4 Plánovací proces činnosti interního auditu v ČS

Cílem plánování činnosti interního auditu je kvalifikovaným způsobem sestavit

periodický a strategický plán, který postihuje všechna riziková místa a zároveň naplňuje

požadavky regulátora.

Ve standardech, které tvoří nedílnou součást Mezinárodního rámce profesionální praxe

interního auditu je oblasti plánování věnován Standard 2010 – Plánování, který zní

takto:

„Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány,

které v souladu s cíli společnosti stanoví priority výkonu interního auditu.“32

Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení

rizik, které je prováděno nejméně jednou ročně. V tomto procesu musí být vzaty

v úvahu návrhy vedení a orgánů společnosti.

Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek

s ohledem na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet

přidanou hodnotu a zdokonalovat procesy ve společnosti. Přijaté zakázky musí být

zahrnuty do plánu.33

Interpretace tohoto standardu: Vedoucí interního auditu je odpovědný za vytvoření

plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení

rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé

činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí

interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije

své vlastní posouzení rizik.34

Platné tuzemské požadavky na plán činnosti interního auditu jsou soustředěny ve

vyhlášce ČNB č. 123/2007 Sb., ve znění vyhlášky ČNB č. 282/2008 Sb., která je

vydána na základě a v mezích zákonů, do kterých byly promítnuty příslušné směrnice

Evropských společenství.35

32, 33, 34 Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA, 2009. ISBN 80-86689-5.

35 Směrnice Evropského parlamentu a Rady 2006/48/ES a 2006/49/ES, směrnice Komise 2007/18/ES, kterou se mění směrnice Evropského parlamentu a Rady 2006/48/ES.

19

Kromě uvedené vyhlášky jsem vycházel v mé bakalářské práci i z návrhu úředního

sdělení ČNB, který obsahuje Výkladová stanoviska ČNB k zajišťování výkonu

interního auditu a očekávání ČNB k zajišťování interního auditu.

Z vyhlášky ČNB vyplývá že:

• plánování činnosti a rozvrhování kapacit interních auditorů je založeno na

analýze rizik,

• analýza rizik hodnotí míru rizik spojených s jednotlivými činnostmi banky tak,

že zohlední pravděpodobnost selhání řídícího a kontrolního systému

v jednotlivých oblastech a míru možné ztráty z tohoto selhání vyplývající.

Výstup z provedené analýzy rizik předkládá osoba pověřená výkonem interního

auditu představenstvu a dozorčímu orgánu, výboru pro audit, k projednání,

• na základě analýzy rizik sestavuje osoba pověřená výkonem interního auditu

návrh strategického a periodického plánu interního auditu.36

Plánování interního auditu osobně chápu jako myšlenkové předjímání budoucí činnosti

na základě zvažování různých alternativ a výběr nejvýhodnější cesty vedoucí k jejímu

naplnění.

Účelem plánování činností interního auditu je vytvoření racionálního základu pro

koordinaci a efektivní využívání zdrojů interního auditu se záměrem pomáhat

organizaci dosahovat jejích cílů vytvářením systematického náhledu na úroveň správy

a řízení společnosti, včetně systémů řízení rizik a ujištěním o přijatelnosti

podstupovaných rizik.37

36 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry. 37 Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.

20

Z hlediska časového horizontu můžeme uvažovat o dvou rovinách plánování, a to

o rovině strategické a operativní. Těžištěm strategického plánování jsou pak, vzhledem

k jeho orientaci na budoucnost, dlouhodobé plány. Operativní plány se vztahují na

kratší časový horizont a představují rozpracování strategického plánu na jednotlivá

období.38

Základem pro fázi plánování v interním auditu v ČS jsou zejména strategické koncepce,

výsledky analýzy rizik činností banky a vlastní systém identifikace rizik, výsledky

interního a externího auditu, monitorování rizik banky a požadavky na audit ze strany

vedení, dozorčí rady a výboru pro audit.

Na základě toho jsou stanoveny hlavní cíle a priority pro plánované období, které jsou

uvedeny v dokumentech interního auditu, a to ve:

� strategickém plánu interního auditu, který se zpracovává zpravidla na období

tří let,

� periodickém plánu, který se zpracovává zpravidla na období jednoho roku,

v případě potřeby na jednotlivá pololetí příslušného roku. Vychází ze

strategického plánu a zahrnuje rozsah, věcné zaměření a cíle interního auditu.39

38 Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003. ISBN 80-7179-410-4. 39 Vnitřní předpisy České spořitelny a. s.

21

4.1 Strategický plán činnosti interního auditu v ČS

Strategický plán činnosti interního auditu rámcově vymezuje zaměření a periodicitu

činnosti interního auditu na období tří let dle jednotlivých oblastí činností banky.

Vychází z požadavků legislativy a regulatorních orgánů a jeho roční aktualizace

zohledňuje výsledky analýzy rizik, posouzení strategických záměrů banky, vnitřní

a vnější změny podnikatelského prostředí, vyhodnocení provedených auditů a další

informační zdroje.40

Strategický plán stanoví:

• priority interního auditu, které jsou vymezeny analýzou rizik a požadavky

regulatorních orgánů,

• periodicitu auditů (rok provedení auditů) v jednotlivých oblastech činností,

zejména v návaznosti na analýzu rizik.

Strategický plán obsahuje:

• oblasti činností banky,

• plánovaný rok provedení auditu,

• audity realizované v periodickém plánu pokrývající danou oblast činnosti banky.

Strategický plán činnosti interního auditu tvoří základ pro sestavení periodického plánu

činnosti interního auditu.

40 Vnitřní předpisy České spořitelny a. s.

22

4.2 Periodický plán činnosti interního auditu v ČS

Periodický plán činnosti interního auditu je sestavován na období jednoho roku.

Cílem periodického plánu je:

• zajistit povinnosti interního auditu vyplývající z platné legislativy a z požadavků

regulatorních orgánů,

• definovat zaměření auditů v ČS dle výsledků analýzy rizik, přičemž do

periodického plánu činnosti je zahrnuto ověření těch oblastí a činností, pro které

analýza rizik stanovila vyšší míru rizikovosti,

• zajistit požadavky útvaru interního auditu vlastníka ČS, tj. Erste Group,

• zohlednit záměry strategického plánu,

• optimálně rozvrhnout dostupnou kapacitu interního auditu,

• reflektovat požadavky a náměty dozorčí rady, výboru pro audit, představenstva

a dalších vedoucích zaměstnanců.41

Základem pro nastartování procesu tvorby plánů je sestavení pracovního harmonogramu

plánovacího procesu.

Jako vzor v mé bakalářské práci je níže uvedený harmonogram, který jsem použil, jako

člen týmu pro tvorbu periodického plánu na rok 2011 a aktualizovaného strategického

plánu na období let 2011 – 2013 v ČS.

Tabulka č. 1 Harmonogram plánovacího procesu interního auditu v ČS

Aktivita Termín

Sběr námětů managementu do plánu

- náměty managementu je nutno vložit do informačního systému interního auditu 3. 8. - 30. 9. 2010

Zaslání návrhu na požadované provedení auditů od vlastníka ČS – interního auditu Erste

Bank Holding. 30. 8. 2010

Projednání regulatorních auditů s řediteli útvaru interního auditu ČS

- projednání návrhu regulatorních auditů pro daný útvar interního auditu, odsouhlasení údajů

(název, cíl,kapacita, velikost týmu, auditované útvary, ...)

6. - 10. 9. 2010

41 Vnitřní předpisy České spořitelny a. s.

23

Návrh auditů do periodického plánu od ředitelů útvaru IA , na základě:

- Strategie ČS

- Karet rizik (odhady velikosti rizik nutno korigovat expertním názorem auditora)

- Analýzy rizik k 31. 8. 2010

- Aktualizovaného strategického plánu k 31. 8. 2010 s vyznačenou periodou ověření

- Informací z monitorování útvarů a projektů

6. 9. – 30 .9. 2010

Předání návrhu plánu ředitelů útvaru interního auditu ČS

Předání kompletního návrhu plánovacího balíčku 18. 10. 2010

Projednání návrhu plánu s řediteli útvarů interního auditu ČS

Primárním cílem je projednání a případně úpravy detailu auditů pro konkrétní útvar interního

auditu, tzn. úprava kapacit, textace cíle,

auditované subjekty, požadavky na spolupráci a podporu, termín provedení, apod.

19. - 26. 10. 2010

Aktualizace a kompletace plánovacího balíčku pro Plánovací offsite a odeslání

podkladů řediteli úseku interního auditu 27. 10. 2010

Plánovací offsite Interního auditu ČS

Cílem je vyřešení a finální dohoda o kapacitách, prioritách, meziodborové spolupráci a podpoře

1. - 3. 11. 2010

Odeslání návrhu periodického plánu a strategického plánu ke schválení

do interního auditu Erste Bank. 12. 11. 2010

Návrh složení auditorských týmů na 1. pololetí 2011 6. - 30. 11. 2010

Předložení návrhu strategického a periodického plánu činnosti interního auditu ke

Schválení Výboru pro audit a Dozorčí radě ČS 6. 12. 2010

Zdroj: Dokumentace plánovacího procesu ČS

Samozřejmě platí, že sestavený harmonogram nestačí jen vypracovat, ale je nutné s ním

seznámit všechny účastníky plánovacího procesu a hlavně se jím ve vlastní práci řídit

a dodržovat ho.

Plánovací proces stanoví konkrétní úkoly úseku interního auditu. Nejprve se ale musí

vymezit celková kapacita pracovníků útvaru interního auditu.

24

Tabulka č. 2 Vymezení kapacity úseku interního auditu ČS

Rok 2011

1. Fond pracovních dnů v ČR v roce 2011 je podle oficiálního pracovního

kalendáře 253. PD 253

a) Dovolená (počet dní je stanoven kolektivní smlouvou) ŘD 25

b) Zdravotní volno (počet dní je stanoven kolektivní smlouvou) ZV 5

c) Nemocnost 1) (počet navržených dní) N 6

d) Vzdělávání 2) (počet navržených dní) V 16

2.

e) Informace, komunikace 3) (počet navržených dní) IK 21

3. Plánovaný počet zaměstnanců IA PZ 73

a) VFPD 1 zaměstnance IA:

VFPD = PD - ŘD - ZV - N - V - IK VFPD 180

4.

b) VFPD na plánovaný počet zaměstnanců IA

VFPD = PZ x VFPD

VFPD

na PZ 13140

Zdroj: Dokumentace plánovacího procesu interního auditu ČS

Plán činnosti interního auditu může být operativně doplňován na základě požadavků

dozorčí rady, výboru pro audit, představenstva a dalších vedoucích zaměstnanců banky

na provedení auditu, případně na základě rozhodnutí ředitele úseku interního auditu. Při

změnách, resp. doplňování periodického plánu musí být vždy zohledněna disponibilní

kapacita úseku interního auditu.

Pro účely optimálního rozložení kapacity interního auditu ČS na plánované období je

rozhodnutím ředitele úseku interního auditu sledována skutečně využitá kapacita na

naplnění jednotlivých položek periodického plánu. Toto sledování je zajištěno modulem

aplikace interního informačního systému interního auditu v ČS "Vykazování kapacit".

Analýza vykázaných kapacit na jednotlivé zakázky tvoří základ pro stanovení kapacit

na jednotlivé audity do plánu.

Návrh aktualizace strategického plánu a návrh příslušných periodických plánů interního

auditu za celou banku předkládá ředitel útvaru interního auditu ke schválení dozorčí

25

radě a výboru pro audit. O schválených plánech interního auditu je informováno

představenstvo společnosti.42

5 Návrh plánu činnosti interního auditu ČS na rok 2011

Když jsem se zamýšlel nad návrhem plánu činnosti interního auditu a jeho konkrétní

tvorbou, musel jsem si nejprve odpovědět na otázku co je to vlastně řízení rizik a jak se

řídí rizika v ČS?

Došel jsem k závěru, že řízení rizik je jako proces, vytvářený představenstvem ČS,

managementem a ostatními pracovníky, aplikovaný ve strategii ČS, určený

k identifikaci potenciálních událostí, které mohou ovlivnit banku.

Řízení rizik je:

• neustálý a plynulý proces v ČS,

• prováděný zaměstnanci na každé organizační úrovni ČS,

• aplikovaný ve strategii ČS,

• aplikovaný napříč společností, v každé její úrovni a jednotce a zahrnující pohled

na celkové portfolio ČS,

• určený k identifikování potenciálních událostí ovlivňujících ČS a řízení rizik

v rámci její rizikové tolerance.43

Řízení rizik je o nastolení dohledu, kontroly a disciplíny k zavedení neustálého

zlepšování schopností ČS řídit rizika v měnícím se provozním prostředí, což urychlí

vyzrálost ČS.

Pro implementaci uvedené procesu řízení rizik hovoří následující důvody:

o snižuje nepřijatelnou výkonnostní variabilitu,

o seřazuje a sjednocuje proměnlivé názory na řízení rizik,

o vytváří důvěru investorů a akcionářů,

o zvyšuje úroveň corporate governance,

o úspěšně reaguje na měnící se obchodní prostředí.

42 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry. 43 Vnitřní předpisy České spořitelny a. s.

26

Kde je úloha interního auditu ČS v procesu řízení rizik?

Interní audit ČS poskytuje asistenci managementu a představenstvu ČS pomocí

průběžného vyhodnocování efektivity procesu řízení rizik a navrhuje doporučení, jak ho

zlepšovat. Je ale důležité, že nikdy nezodpovídá za funkci řízení rizik a nerozhoduje

o řešení rizik a jejich implementaci. Není možné implementovat něco, co bude muset

v rámci schváleného plánu činnosti hodnotit. Na druhé straně interní audit ČS

napomáhá a hodnotí systém řízení rizik ČS.

V ČS management zůstává odpovědným za řízení rizik. Interní audit poskytuje

poradenství a objektivně hodnotí rozhodnutí managementu.

Tabulka č. 3 Role interního auditu v procesu řízení rizik Základní role interního auditu v řízení rizik

Interní audit může zahrnovat

Role, které by interní audit neměl vykonávat

• Poskytování ujištění o procesech řízení rizik.

• Poskytování ujištění že rizika jsou správně vyhodnocována.

• Hodnocení procesů řízení rizik.

• Vyhodnocení reportingu o klíčových rizicích.

• Revidování řízení klíčových rizik.

• Pomoc při identifikaci a posouzení rizik.

• Školení managementu v hledání řešení identifikovaných rizik.

• Konsolidovaný (sloučený) reporting o rizicích.

• Podpora při rozvoji rámce řízení rizik.

• Rozvoj strategie řízení.

• Nastavování akceptovatelné míry rizika.

• Zavádění procesů řízení rizik.

• Rozhodování o reagování na rizika.

• Implementace reakce na rizika jménem managementu.

• Odpovědnost za řízení rizik.

Zdroj: Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida : IIA, 2007.

27

5.1 Jednotlivé etapy sestavování plánu činnosti interního auditu ČS

Samotný proces sestavení plánu interního auditu jsem si rozdělil do čtyř základních

etap.

Jsou to:

• příprava a sběr dat,

• analýza rizik a zpracování dat,

• sestavení návrhu plánu,

• projednávání a schvalování plánu.

Za základ ke zpracování plánu považuji sběr dat. V rámci činnosti interního auditu jsou

průběžně v průběhu celého roku shromažďovány veškeré dostupné informace, které

v mé bakalářské práci dále uvádím a které mají relevantní využití při zpracování

návrhu periodického a aktualizaci strategického plánu činnosti interního auditu.

Po utřídění získaných informací jsem provedl jejich analýzu s cílem identifikovat

nejzávažnější rizika v obchodní a neobchodní činnosti ČS. Dále pracovníci útvaru

interního auditu v etapě přípravy oslovují vedoucí zaměstnanci banky s cílem získat

jejich představu o zaměření činnosti interního auditu a o nejvýznamnějších rizicích

v bance.

Základními zdroji dat pro zpracování plánů jsou informace, které jsem získal zejména

ze:

• strategie společnosti,

• analýzy rizik činností zpracované pomocí interního systému identifikace rizik

(ISIR),

• požadavků regulatorních orgánů,

• požadavků dozorčí rady a výboru pro audit ČS,

• strategického plánu činnosti interního auditu,

• námětů útvaru interního auditu Erste Group,

• z námětů zaměstnanců úseku interního auditu ČS.

28

V etapě analýzy rizik je nutné na základě výsledků přípravy upřesnit věcně, kapacitně

a časově pracovní verze periodického plánu činnosti interního auditu na jednotlivá

plánovací období, zejména z hlediska priorit realizace jednotlivých auditů a ostatních

aktivit interního auditu.

Proces provedené analýzy rizik pro plán činnosti je popsán ve stati 5. 2 mé bakalářské

práce.

Na základě analýzy rizik jsem sestavil první návrh periodického plánu, který jsem

projednal několikakolově s vedením úseku interního auditu. Účelem připomínkového

řízení je zejména sladění kapacitních možností odborných týmů útvaru interního auditu

a současně vzájemné odsouhlasení zaměření a cílů jednotlivých auditorských činností

uvedených v návrhu periodického plánu činnosti interního auditu. Po zpracování

zpřesněného návrhu periodického plánu činnosti interního auditu jsem aktualizoval

strategický plán činnosti.

Návrh strategického plánu, jeho aktualizaci a návrh příslušného periodického plánu

činnosti interního auditu, předkládá ředitel úseku interního auditu k projednání

představenstvu a výboru pro audit a ke schválení dozorčí radě ČS.44 Schválení plánů

činnosti interního auditu ČS v dozorčí radě je podle mého názoru zásadní pro posílení

nezávislosti útvaru interního auditu.

O schváleném strategickém a periodickém plánu činnosti je informován management

ČS.

44 Vnitřní předpisy České spořitelny a. s.

29

5. 2 Analýza rizik v procesu sestavování plánu činnosti interního auditu

v ČS

V této části mé bakalářské práce se dále podrobněji zaměřím na oblast analyzování rizik

činností, která je podle mého názoru jednou z klíčových záležitostí při přípravě plánu

a je v ČS velmi podrobně a kvalitně rozpracována a myslím si také i efektivně

využívána.

Především je třeba vytvořit nebo mít zavedený systém pro sběr podkladů sloužících

k analyzování rizik činností a tím je v podmínkách ČS tzv. Interní systém identifikace

rizik.

Tento systém naplňuje rovněž

požadavek na informace o každém

identifikovaném riziku a popisuje riziko

pomocí složky pravděpodobnosti

a dopadu a zohledňuje pravděpodobnost

a dopad selhání řídícího a kontrolního

systému. Uvedený přístup je uveden na

obrázku č. 2.

Interní systém identifikace rizik (dále

jen ISIR) je ucelený soubor postupů

a nástrojů, který slouží internímu auditu

v procesu identifikace, evidence

a tvorby analýzy rizik identifikovaných

interním auditem. zdroj: Vnitřní předpisy České spořitelny a. s.

Každé auditorské zjištění (riziko) je auditorem evidováno v systému s těmito údaji:

• vstupní zdroj,

• útvar, který je odpovědný za rizika ze zjištění vyplývající,

• textový popis zjištění,

• textový popis rizika.

30

Každé riziko vyplývající ze zjištění je popsáno:

• kódem dle Knihy rizik,

• kódem dle Knihy produktů, aplikací a činností,

• velikostí rizika (pravděpodobnost a dopad),

• typem rizika.

Kniha rizik napomáhá k jednotnému pohledu na rizika v rámci ČS definováním

základní množiny rizik, které se mohou vyskytovat v činnostech ČS. Každé riziko má

přidělen kód a je podrobně popsáno. Kniha rizik je součástí vnitřní předpisové základny

ČS.

Pro potřeby přesnějšího specifikování rizika je nutné specifikovat, ve které činnosti,

produktu nebo aplikaci bylo riziko identifikováno. Z těchto důvodů byla v úseku

interního auditu vytvořena Kniha produktů, aplikací a činností (dále Kniha PAC).

Do Knihy PAC byly zahrnuty hlavní bankovní produkty, aplikační programové

vybavení a hlavní činnosti ČS.

Velikost rizika je odvozována na základě pravděpodobnosti výskytu a možných

negativních dopadů či ztrát spojených s výskytem rizikové události, které by mohly

v dalším období nastat. K hodnocení závažnosti nedostatků se užívá stupnice dle

přílohy č. 3 k vyhlášce ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank,

spořitelních a úvěrních družstev a obchodníků s cennými papíry:45

Stupeň 1 - nízká míra závažnosti

• nedostatek neohrožuje hospodářský výsledek a kapitál banky/DS

• jedná se o méně významný nedostatek nesystémového charakteru

Stupeň 2 - střední míra závažnosti

• nedostatek neohrožuje kapitál a hospodářský výsledek banky/DS

• jedná se o dílčí nedostatek systémového charakteru nebo významnější

nedostatek nesystémového charakteru

45 Vyhláška ČNB č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních úvěrních družstev

a obchodníků s cennými papíry.

31

Stupeň 3 - vysoká míra závažnosti

• nedostatek může ohrozit kapitál a hospodářský výsledek banky/DS

• nedostatek má vliv na efektivnost a účinnost více dílčích procesů v bance/DS

• jedná se o zásadní systémový nedostatek určité oblasti řízení rizik

Stupeň 4 - velmi vysoká míra závažnosti

• nedostatek může mít vliv na další existenci banky/DS

• nedostatek významným způsobem ohrožuje kapitál a hospodářský výsledek

banky/DS

• nedostatek má zásadní vliv na efektivnost a účinnost procesů banky/DS

Takto jednotně nastavený systém klasifikace nedostatků identifikovaných interním

auditem v rámci ČS vytváří podle mého názoru předpoklad pro objektivní a vzájemné

porovnávání výsledků jednotlivých auditů. Množina vstupních informací pro analýzu

rizik do systému ISIR je zvolena takovým způsobem, aby bylo zajištěno vyvážené

a úplné pokrytí všech činností ČS - jsou to zejména:

• výsledky auditů prováděných interním auditem,

• monitorování činností útvarů ČS,

• monitorování projektů ČS,

• hlášení operačních rizik,

• reklamace a podání klientů,

• databáze IT selhání,

• výsledky měření spokojenosti vnitřních klientů ČS,

• výsledky měření spokojenosti klientů a obchodních míst,

• výsledky auditů prováděných ve spolupráci s útvary interního auditu Erste

Group,

• materiály a doporučení regulatorních orgánů, externího auditora a dalších

subjektů.

Evidence identifikovaných rizik je zajišťována a plně podporována Informačním

systémem interního auditu (ISIA). Množinu takto identifikovaných rizik jsem následně

32

podrobil analýze rizik, která představuje souhrnné vyhodnocení rizik evidovaných za

ČS za pomocí matematického modelu, který je pravidelně kalibrován.

Výsledek analýzy ukazuje míru rizikovosti v rozsahu 0 až 5 v členění:

• dle kódů Knihy rizik ČS s rozkladem na kódy produktů, aplikací a činností,

• dle kódů Knihy produktů, aplikací a činností s rozkladem na skupiny kódů

Knihy rizik ČS.

Podle stanovených pravidel úsekem interního auditu ČS by periodický plán činnosti

interního auditu měl ověřit míru rizikovosti od stupně 3 do stupně 5.46

Výsledek analýzy rizik je na obrázku č. 3 ve formě grafického vyjádření významných

rizik (stupeň ISIR 3 - 5) formou tzv. mapy rizik a to v členění dle skupin kódů Knihy

rizik ČS.

Obrázek č. 3 Mapa rizik dle kódů Knihy rizik v ČS

ISIR velikosti 3 až 5

46 Vnitřní předpisy České spořitelny a. s.

33

Tabulka č. 4 Analýza rizik procesu interního auditu v ČS dle kódů Knihy rizik

Kód Název kategorie / segmentu / rizika ISIR

51020 Úvěrové riziko bankovního portfolia 5

20100 Chybné platby a vypořádání 4,5

20200 Nedostatky ve smluvní dokumentaci s klienty 4,5

20800 Porušení zodpovědnosti banky 4,5

72100 Selhání /porušení vnitřních compliance procedur 4,5

10100

Kriminální jednání zaměstnanců nedovolené

manipulace 4

20700 Nesprávné obchodní,tržní praktiky 4

30100 Selhání systémů 4

30200 Narušení bezpečnostních systémů 4

40100

Podezření na podvodné jednání klientů,

kriminální aktivity 4

10200 Neautorizované aktivity, přestupky zaměstnanců 3,5

10300 Pracovněprávní problémy 3,5

20500 Chybné řízení projektů 3,5

40300 Outsourcing,dodavatelské riziko 3,5

40500 Bezpečnost IT 3,5

74180 Riziko správy a řízení společnosti 3,5

75100 Riziko reputační 3,5

77110 Riziko z omezení dostupnosti služeb 3,5

20300 Chyby v ocenění,nedostatky v přípravě produktu 3

21000 Nedostatky pri správe klientských dat a informací 3

40200 Selhání obchodní protistrany 3

74130 Riziko organizačních změn 3

74150

Riziko nesprávné strategické koncepce

banky/společnosti 3

Zdroj: Vnitřní předpisy České spořitelny a. s.

34

Výsledek analýzy rizik velikosti 3 – 5 je na obrázku č. 4 uveden ve formě mapy rizik

dle kódů Knihy produktů, aplikací a činností (Knihy PAC).

Obrázek č. 4 Mapa rizik dle kódů Knihy PAC

ISIR velikosti 3 až 5

35

Tabulka č. 5 Analýza rizik procesu interního auditu ČS dle kódů Knihy PAC

PAC Název ISIR

1280

Úvěry PO a FO-P v Kč (investič., provoz., revolving., eskont., investiční nástroje, vč.

úvěrů z kredit. karet) 5

1270 Úvěry fyzickým osobám v Kč (na investiční nástroje, vč. úvěrů z kreditních karet) 4,5

1070 Hypoteční úvěry v Kč 4

3070 Fyzická bezpečnost, zajištění bezpečnosti osob a majetku 4

3305 Řízení úvěrového rizika 4

3505 Řízení ekonomického kapitálu - ICAAP 4

1065 Hotovostní operace v Kč a CM 3,5

1130 Platební karty 3,5

2230 Kondor+ Dealing-řízení rizik 3,5

3020 Bezpečnost informační technologie 3,5

3170 Organizace a řízení IT 3,5

3245 Projektové řízení - koordinace 3,5

3250 Procesy, prostředí a standardy pro IT 3,5

3531 Činnosti v oblasti decentralizovaných systémů 3,5

1020 Účty v Kč a CM 3

1175 Produkty přímého bankovnictví 3

2440 SAP - Účetní systém 3

2810 APS - Application Processing System 3

2815 ISPV - Informační systém podpisových vzorů 3

3015 Bezpečnost dat a ochrana osobních údajů 3

3105 Kontrola fyzického a logického přístupu 3

3125 Řízení kvality služeb 3

3200 Platební styk - tuzemský 3

3360 Činnosti univerzální účtárny a správy účtů 3

3420 Zajišťování plnění požadavků regulátorů (ČNB, KCP, MF, aj.) 3

3517 Řízení a podpora - komunální financování 3

3521 Řízení produktů a podpora - úvěry PO a FO-P 3

3528 Finanční řízení projektu 3

Zdroj: Vnitřní předpisy České spořitelny a. s.

Na základě provedené analýzy rizik jsem přistoupil k návrhu tvorby konkrétního

periodického plánu činnosti interního auditu. Do plánu jsem v první řadě zohlednil

požadavky platné legislativy, požadavky regulátorů a následně výsledky analýzy rizik

v kombinaci se strategickým plánem interního auditu ČS.

Návrh periodického plánu je uveden v příloze č. 1 mé bakalářské práce.

36

Současně s návrhem periodického plánu na rok 2011 jsem sestavil přehled pokrytí

významných identifikovaných rizik navrhovanými audity, který je uveden v příloze

č. 2 mé bakalářské práce. Tento přehled slouží k ujištění, že plánovanými audity jsou

pokryta nejvyšší identifikovaná rizika na základě provedené analýzy rizik.

Po vypracování návrhu periodického plánu jsem provedl rozdělení kapacit interního

auditu na rok 2011 podle jednotlivých činností. Podrobný přehled rozdělení kapacit je

uveden v příloze č. 3 této bakalářské práce.

Návrh strategického plánu na roky 2011 – 2013 jsem aktualizoval s ohledem na

výsledky provedené analýzy rizik, platnou legislativu a schválenou zásadu ověřovat

jednotlivé oblasti činností banky minimálně ve tříleté periodě.

Návrh aktualizovaného strategického plánu je uveden v příloze č. 4 mé bakalářské

práce.

5.3 Shrnutí aplikační části bakalářské práce

Základem pro tvorbu návrhu strategického a periodického plánu činnosti interního

auditu v ČS byla analýza rizik identifikovaných v rámci celoroční činnosti interního

auditu. Provedená analýza rizik v mé bakalářské práci za rok 2010 zohledňuje podle

mého názoru dostatečně pravděpodobnost selhání řídícího a kontrolního systému

v činnostech banky, poskytuje přehled o rizicích, která nebyla v uplynulém období zcela

pod kontrolou a dále o rizicích, na jejichž řízení by se banka měla zaměřit a snížit

pravděpodobnost jejich možného vzniku.

Rizikovost oblastí, které byly dle analýzy rizik vyhodnoceny jako klíčové, byla

potvrzena i vnímáním manažerů banky jež bylo získáno v rámci jejich námětů na

provedení auditů pro rok 2011.

Při tvorbě návrhu periodického plánu činnosti interního auditu v ČS byly v první řadě

zohledněny požadavky platné legislativy, požadavky regulátorů a vhodně využity

výsledky analýzy rizik v kombinaci se strategickým plánem interního auditu ČS. Dále

byly zapracovány požadavky interního auditu vlastníka banky Erste Bank Holding

a zohledněny náměty a témata, jejichž řešení doporučil management banky.

37

V souladu se zásadami a metodikou plánovacího procesu úseku interního auditu ČS je

periodický plán činnosti sestaven v mé bakalářské práci takovým způsobem, aby pokryl

všechna významná rizika a cíle auditů byly zaměřeny primárně na nejrizikovější oblasti

činností. Tedy činnosti banky s mírou rizikovosti na stupnici 3 a vyšší, přičemž rozsah

této stupnice je od 0 do 5. Současně s návrhem periodického plánu na rok 2011 je

sestaven v příloze mé bakalářské práce přehled pokrytí významných identifikovaných

rizik navrhovanými audity, ze kterého vyplývá, že je v návrhu plánu pokryta rizikovost

od stupně 3 do stupně 5.

Aby bylo možné pružně reagovat na aktuální vývoj v průběhu roku, zahrnuje návrh

plánu na rok 2011 kapacitní rezervu ve výši 2,2 % (celkové roční kapacity) na audity

vyhlašované z požadavku vedení. Toto je dle mého názoru velmi vhodné, aby

management banky mohl využívat poradenské a ujišťovací úlohy útvaru interního

auditu ČS. V případě, že takové audity uplatněny a vyhlášeny nebudou, má útvar

interního auditu ČS připraven zásobník auditů, které byly v rámci plánovacího procesu

vyhodnoceny jako přínosné s ohledem na možná rizika či naplňování strategie banky,

ale jsou již mimo dostupnou kapacitu útvaru.

Návrh plánu interního auditu byl vypracován na plánovaný počet zaměstnanců úseku

interního auditu tj. 73 FTE. Tento plánovaný počet pracovníků útvaru interního auditu

byl schválen představenstvem ČS. Dostupné kapacity byly rozděleny dle významnosti

jednotlivých činností navržených v periodickém plánu. Souhrnný poměr mezi

auditorskou činností a ostatními podpůrnými činnostmi pak vychází 84,2 % a 15,8 %,

tak jak je uvedeno v příloze mé bakalářské práce. Tento poměr je velmi dobrý, protože

celosvětový benchmark vykazuje poměr 75 % : 25 %.

Schválený plánovaný počet pracovníků útvaru interního auditu ČS je podle mého

názoru nízký, protože podle mezinárodního srovnání by počet interních autorů měl činit

1 % z celkového počtu zaměstnanců. Jelikož v ČS je 10 800 zaměstnanců, měl by činit

celkový počet interních auditorů 108 FTE.

Návrh strategického plánu činnosti interního auditu na roky 2011 – 2013 byl vhodně

aktualizován s ohledem na výsledky provedené analýzy rizik, platnou legislativu

a schválenou zásadu ověřovat jednotlivé oblasti činností banky minimálně v tříleté

periodě.

38

Perioda ověření všech činností banky v minimálně tříletém cyklu není dodržena pouze

pro činnost „Ekonomických a strategických analýz“, tak jak je uvedeno v příloze mé

bakalářské práce, a to z kapacitních důvodů útvaru interního auditu ČS. V této činnosti

doposud nebyla identifikována útvarem interního auditu ČS materiální rizika. Mé

doporučení v tomto porušení zásad tvorby strategického plánu je, že v případě, když

nedojde k využití kapacitní rezervy na audity z požadavku vedení, měl by se provést

audit této činnosti v roce 2011 formou auditu z požadavku ředitele úseku interního

auditu.

Domnívám se, že návrh periodického plánu činnosti úseku interního auditu ČS na rok

2011 a návrh aktualizace strategického plánu činnosti na období 2011 – 2013, tak jak je

uveden v mé bakalářské práci může s klidným svědomím schválit dozorčí rada ČS,

protože podle mého názoru i podle názoru pracovníků bankovního dohledu České

národní banky, se kterými jsem měl možnost plánovací proces interního auditu ČS

konzultovat, sestavený návrh periodického plánu a návrh aktualizace strategického

plánu byly zpracovány v souladu s vyhláškou ČNB č. 123/2007, o pravidlech

obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými

papíry i s Mezinárodním rámcem profesionální praxe interního auditu.

39

Závěr

Pro naplnění cíle mé bakalářské práce jsem nejdříve vymezil profesi interního auditu

jako nezávislou, objektivní, ujišťovací a konzultační činnost, zaměřenou na přidávání

hodnoty a zdokonalování procesů v organizaci.

Interní audit pomáhá organizaci dosáhnout jejich cílů tím, že přináší systematický

metodický přístup k hodnocení a zlepšení efektivnosti řízení rizik, řídících a kontrolních

procesů a řízení a správy organizace. Při tomto vymezení profese interního auditu jsem

vycházel z Mezinárodního rámce pro profesionální praxi interního auditu, který by měl

každý manažer útvaru interního auditu i všichni interní auditoři dodržovat.

Došel jsem k závěru, že se jedná o velmi specifickou a náročnou činnost, kterou mohou

vykonávat pouze pracovníci s vysokou specializací v rámci daného oboru podnikání.

Podle mého názoru by každý vrcholový manažer měl projít útvarem interního auditu,

protože v tomto útvaru získá přehled o všech činnostech a aktivitách organizace,

o naplňování strategie organizace, o účinnosti a efektivnosti řídících a kontrolních

mechanismů a o tom zda rizika v organizaci jsou dostatečně řízena a zda jsou pod

kontrolou.

Rovněž cílem mé bakalářské práce bylo vytvořit návrh strategického plánu činnosti

interního auditu na roky 2011 – 2013 a periodického plánu činnosti interního auditu

České spořitelny a. s. na rok 2011.

Jelikož jsem měl možnost se seznámit z vlastní iniciativy s činností a procesem

interního auditu v České spořitelně a. s., proto jsem se v aplikační části mé bakalářské

práce zaměřil na jednu oblast tohoto procesu a to na plánovací proces interního auditu.

Po seznámení s mezinárodními a tuzemskými požadavky na tento proces a s využitím

nástrojů a informací z České spořitelny a. s. jsem provedl analýzu identifikovaných

rizik. Na základě výsledků analýzy rizik jsem vypracoval návrh periodického plánu

činnosti interního auditu pro Českou spořitelnu a. s. na rok 2011 a návrh

aktualizovaného strategického plánu činnosti pro Českou spořitelnu a. s. na roky

2011 - 2013.

40

Základem pro tvorbu strategického a periodického plánu byla analýza rizik

identifikovaných v rámci České spořitelny a. s. a jejich vyhodnocení interním systémem

identifikace rizik Češké spořitelny a. s. Provedená analýza rizik za rok 2010

zohledňovala pravděpodobnost selhání řídícího a kontrolního systému v činnostech

banky, poskytovala přehled o rizicích, která nebyla v uplynulém období zcela pod

kontrolou a dále o rizicích, na jejichž řízení by se banka měla zaměřit a snížit

pravděpodobnost jejich možného vzniku.

V souladu se zásadami a metodikou plánovacího byl návrh periodického plánu činnosti

sestaven takovým způsobem, aby pokryl všechna významná rizika a cíle auditů byly

zaměřeny primárně na nejrizikovější oblasti činností. Tedy činnosti banky s mírou

rizikovosti na stupnici ISIR 3 a vyšší, přičemž rozsah této stupnice je od 0 do 5.

Kromě jiného, jsem u důvodů zařazení jednotlivých auditů do plánu uvedl odkazy na

příslušné související body strategie České spořitelny a. s. pro období 2011 – 2013. Tím

je vidět, jakými audity by mělo být poskytnuto dílčí ujištění vedení společnosti

k příslušným strategickým cílům banky.

Návrh plánu interního auditu byl vypracován na plánovaný počet zaměstnanců úseku

interního auditu tj. 73 FTE, který představuje 0,7 % z celkového plánovaného počtu

zaměstnanců České spořitelny a. s.

Došel jsem k závěru, že tento podíl je výrazně pod celosvětovým benchmarkem

prováděným Mezinárodním institutem interních auditorů, který se pohybuje v rozsahu

od 0,9 % do 1,2 %, pro universální banky je doporučováno 1 %. V této souvislosti bych

doporučil vedení České spořitelny a. s. vytvořit dostatečné zdroje pro výkon profese

interního auditu v České spořitelně a. s. ve formě zvýšení plánovaného počtu

zaměstnanců na 108 FTE.

Aby bylo možné pružně reagovat na aktuální vývoj rizik v průběhu příštího roku,

zahrnuje návrh plánu na rok 2011 kapacitní rezervu ve výši 2,2 % celkové roční

kapacity interního auditu na audity vyhlašované z požadavku vedení. V případě, že by

ze strany vedení či aktuální situace nebyly uplatňovány audity vyčerpávající tuto

kapacitu, navrhl jsem internímu auditu České spořitelny a. s. tzv. zásobník auditů, které

byly v rámci plánovacího procesu vyhodnoceny jako přínosné s ohledem na možná

41

rizika či naplňování strategie banky, ale byly již mimo dostupnou kapacitu interního

auditu České spořitelny a. s.

Dostupné kapacity jsem rozdělil dle významnosti jednotlivých činností navržených

v periodickém plánu. Souhrnný poměr mezi čistě auditorskou činností a ostatními

podpůrnými činnostmi pak vychází 84,2 % : 15,8 %. Došel jsem k závěru, že tento podíl

je v souladu s požadavky na profesi interního auditu. Mezinárodní doporučení tvoří

poměr 75 % : 25 %.

Podle konzultace s pracovníky České národní banky jsem návrh periodického plánu

a návrh aktualizace strategického plánu zpracoval v souladu s vyhláškou ČNB

č. 123/2007, o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev

a obchodníků s cennými papíry, i s Mezinárodním rámcem profesionální praxe

interního auditu a tím jsem také naplnil cíl mé bakalářské práce.

Došel jsem k závěru, že z důvodu nedostatečné kapacity útvaru interního auditu v České

spořitelně a. s. by jako řešení mohlo být využití cosourcingu na auditorské činnosti,

které jsou úzce specializované a neprovádí se pravidelně každý rok jako je např. útok na

bezpečnostní systémy IT tzv. penetrační testy. Pro tuto činnost je podle mého názoru

lepší si najmout specializovanou externí společnost. Řešením této situace by mohlo

pomoci zavedení tzv. kontinuálního auditingu, což je průběžné ověřování rizik zejména

v oblasti bezpečnosti IT, které může přinést racionalizaci v činnostech interního auditu.

Profese interního auditu je velmi všestrannou a zajímavou činností, která musí přinášet

přidanou hodnotu procesům banky a musí upozorňovat management a vlastníky na

rizika, která nejsou pod kontrolou. V současné době jsou na interní audit kladeny nové

úkoly související s dopady finanční a hospodářské krize. Objevují se nová rizika, která

musí interní audit pokrýt. Podle mého názoru a rozvoje profese interního auditu v České

republice interní auditoři tuto úlohu plní.

42

Seznam literatury

1. Basle commitee on banking supervision. Principles for enhancing corporate

governance, 2010.

2. Dvořáček, J.: Interní audit a kontrola. Praha : C. H. Beck, 2003.

ISBN 80-7179-410-4.

3. Dvořáček, J., Kafka, T. Interní audit v praxi. Brno : Computer Press a. s., 2005.

ISBN 80-251-0836-8.

4. Galloway, D.: Průvodce nového auditora. Altamonte Springs, Florida : IIA, 1997.

ISBN 80-902433-1-2.

5. IIA: Mezinárodní rámec profesionální praxe interního auditu. Altamonte Springs,

Florida, 2009.

6. Kolektiv autorů ČIIA: Rámec profesionální praxe interního auditu. Praha : ČIIA,

2009. ISBN 80-86689-39-5.

7. Salamasick, M.: Assurance and Consulting Services. Altamonte Springs, Florida :

IIA, 2007.

8. Směrnice Evropského parlamentu a Rady 2006/48/ES a 2006/49/ES, směrnice

Komise 2007/18/ES, kterou se mění směrnice Evropského parlamentu a Rady

2006/48/ES.

9. Vnitřní předpisy České spořitelny a. s.

10. Vyhláška ČNB 123/2007 Sb., o pravidlech obezřetného podnikání bank,

spořitelních a úvěrových družstev a obchodníků s cennými papíry.

11. www.interniaudit.cz

43

Přílohy

Seznam příloh:

Příloha č. 1 Návrh periodického plánu interního auditu na rok 2011

Příloha č. 2 Rozdělení kapacit interního auditu na rok 2011

Příloha č. 3 Přehled pokrytí analýzy rizik plánovanými audity na rok 2011

Příloha č. 4 Návrh aktualizovaného strategického plánu činnosti

na období 2011 – 2013

44

Příloha č.1 viz přiložený soubor - Příloha č1 - Návrh periodického plánu interního

auditu na rok 2011

53

Příloha č. 2 - Rozdělení kapacit interního auditu na rok 2011

Využitelný fond pracovní doby na 1 zam ěstnance byl pro rok 2011 stanoven na 180 dní.

Plánovaný po čet zaměstnanc ů IA ČS je 73. Z výše uvedeného plyne, že celková kapacit a IA ČS pro rok 2011 je

13 140 MD, přičemž 1MD = 8 pracovních hodin.

Návrh na rok 2011 Činnost

[FTE] [MD] Podíl v %

Celkem audity v periodickém plánu 31,7 6 440 49,0%

Audity v ČS, a. s. 27,2 4 900 37,3%

Audity stanovené regulatorními orgány 7,7 1 380 10,5%

Audity z požadavku IA EGB 2,2 390 3,0%

Audity podle analýzy rizik 17,4 3 130 23,8%

Audity dceřiných společností 4,4 800 6,1%

Audity DS z požadavku regulátora 1,6 280 2,1%

Audity DS podle analýzy rizik 2,9 520 4,0%

Audity z požadavku vedení 1,6 290 2,2%

Řízení auditů (management auditu) 2,5 450 3,4%

Monitoring celkem 11,1 2 000 15,2%

Monitorování činností centrály (mino KC) 4,4 800 6,1%

Monitorování činností OP + KC 2,5 450 3,4%

Monitorování činností dce řiných spole čností 1,7 300 2,3%

Monitorování a ú čast na projektech 2,5 450 3,4%

Interní auditorská činnost 11,1 2 000 15,2%

Agenda výboru pro audit (VpA) a kompexní reporting o činnosti IA 2,5 450 3,4%

Připomínková řízení (mimo DS) 3,8 680 5,2%

Analýza rizik FSČS (ISIR/ARM) 1,5 270 2,1%

Analýza rizik (ERM) - karta útvaru 2,5 450 3,4%

Spolupráce s IA EGB 0,8 150 1,1%

Manažerská činnost 3,5 630 4,8%

84,2%

Ostatní plánované aktivity 11,5 2 070 15,8%

Spolupráce s externími orgány 1,0 180 1,4%

Spolupráce s EA ČS a dceřinných společností 1,0 180 1,4%

Tvorba metodiky, plánovací proces, Audit Tool a správa ISIA 5,0 900 6,8%

Tvorba metodiky pro oblast činnosti IA 2,0 360 2,7%

Plánovací proces interního auditu FSČS 1,5 270 2,1%

Audit Tool a správa a rozvoj ISIA (Informační systém interního auditu) 1,5 270 2,1%

Ostatní interní auditorská činnost (administrativa, kontroling,apod.) 4,5 810 6,2%

Administrativní činnost 2,5 450 3,4%

Kontroling úseku 0,5 90 0,7%

Překladatelská činnost a tlumočení 1,0 180 1,4%

Správa serverů IAČS 0,5 90 0,7%

15,8%

Celkem činnost IA 73,0 13 140 100% 100,0%

54

Příloha č. 3 - Přehled pokrytí analýzy rizik plánovanými audity na rok 2011

Kód Název rizika ISIR Audity z plánu

51020 Úvěrové riziko bankovního portfolia 5 A05, A07, A10, A19, A26, A35, A39,

A52,

20100 Chybné platby a vypo řádání 4,5 A05, A11, A19, A20, A26, A33, A35,

A36

20200 Nedostatky ve smluvní dokumentaci s klienty 4,5 A05, A07, A11, A16, A19, A26, A35,

A39, A52

20800 Porušení zodpov ědnosti banky 4,5 A05, A11, A16, A19, A26, A35, A38

72100 Selhání /porušení vnit řních compliance

procedur 4,5 A05, A16, A19, A26, A30, A35

10100 Kriminální jednání zam ěstnanc ů nedovolené

manipulace 4 A07, A10, A34, A39, A43, A60

20700 Nesprávné obchodní,tržní praktiky 4 A11, A16, A20, A30, A33, A38

30100 Selhání systém ů 4 A08, A13, A36, A40, A60

30200 Narušení bezpe čnostních systém ů 4 A04, A06, A09, A12, A13, A40,

40100 Podezření na podvodné jednání klient ů,

kriminální aktivity 4 A06, A07, A20, A39

10200 Neautorizované aktivity, p řestupky

zaměstnanc ů 3,5 A07, A30, A39

10300 Pracovn ěprávní problémy 3,5 A06, A20

20500 Chybné řízení projekt ů 3,5 A08

40300 Outsourcing, dodavatelské riziko 3,5 A08, A30

40500 Bezpečnost IT 3,5 A09

74180 Riziko správy a řízení spole čnosti 3,5 A25, A34, A38, A47

75100 Riziko reputa ční 3,5 A05, A07, A10, A19, A33, A35, A36

77110 Riziko z omezení dostupnosti služeb 3,5 A20, A60

20300 Chyby v ocen ění,nedostatky v p říprav ě

produktu 3 A07, A39

21000 Nedostatky p ři správ ě klientských dat a

informací 3 A20

40200 Selhání obchodní protistrany 3 A08, A62

74130 Riziko organiza čních zm ěn 3 A30, A40, A62

74150 Riziko nesprávné strategické koncepce

banky/spole čnosti 3 A25

Pozn.: 1) Kódy auditů jsou dle přílohy č. 1 – Návrh periodického plánu interního auditu na rok 2011

55

Příloha č.4 - Návrh aktualizovaného strategického plánu činnosti na období 2011 - 2013

Rok provedení Audity v roce 2011 Oblast činnosti

2011 2012 2013 Kód auditu 1) v plánu

Vztahy s veřejností (-) X X nepokryto

Marketing a kvalita služeb X A31, A51, A52

Řízení rizik X X X A05, A06, A13, A19, A25, A26, A30, A31, A35,

A40, A47, A48

Corporate Governance X X X A25

Právní služby a compliance X

Řízení lidských zdrojů X (-) X A34

Účetnictví, daně a výkaznictví X X X A32, A46, A63

Controlling a plán (-) X X

Operace na finančních a kapitálových trzích X X X A16, A25, A33, A36

Řízení drobného bankovnictví X X X A10, A25, A26, A52, A60

Řízení komerčního bankovnictví X X X A05, A19, A25, A35, A52, A61

Úvěry X X X A05, A07, A19, A26, A35, A39, A61

Trade Finance X

Depozita X X X A20, A43

Přímé bankovnictví X X A52

Kartové služby X X X

Platební styk a vyúčtování X X X A11

Bezpečnost vč. IT bezpečnosti X X X A06, A09, A12, A20

Řízení projektů X

Řízení nákupu X X A08

Řízení majetku X X A45

IT podpora a decentralizované systémy X X A13, A30, A40

IT provoz X X X A03, A08

Vývoj a architektura IT X

Organizace X

Pozn.:

Změn

a na

základě

analýzy

rizik

1) Kódy auditů viz Příloha č. 1 - Návrh

periodického plánu interního auditu na rok

2011