Banky môţu urobiť rozhodnutie, ţe budú vykonávať funkcie interného auditu formou outsourcingu, to znamená prostredníctvom externých dodávateļov, kam patria najmä audítorské alebo poradenské spoločnosti. Bez ohļadu na to, či sa aktivity interného auditu zabezpečujú z vonkajších zdrojov alebo nie, predstavenstvo a manaţment banky zostávajú zodpovední za efektívne fungovanie systému internej kontroly a interného auditu (Klimiková et al, 2010,s.287).
Existuje veļké mnoţstvo argumentov, ktoré sú na strane vyuţívania formy outsourcingu, ale aj tie, ktoré sú proti.
19
„ K argumentom za patrí:
moţnosť odborného pokrytia vysokošpecializovaných oblastí prostredníctvom externých pracovníkov s poţadovanými odbornými znalosťami, vedomosťami a skúsenosťami,
malé spoločnosti s jedným alebo dvoma internými audítormi nemôţu sami kvalitne odborne pokryť všetky oblasti zamerania interného auditu,
pruţnosť – za sluţby outsourcingu sa platí len vtedy, keď sú potrebné (zmena fixných nákladov na variabilné),
nadnárodné poradenské alebo audítorské spoločnosti v´daka skúsenostiam z iných bánk môţu vyuţívať benchmarking a priniesť najlepšiu prax (Jurák, 2006, s.63).
K argumentom proti patrí:
pri plnom outsourcingu interného auditu sa banky do veļkej miery stávajú závislými od externých poskytovateļov, pretoţe tí získavajú dôleţité znalosti a informácie. Dodávatelia tak môţu zneuţívať tieto informácie a ich sluţby môţu byť oveļa drahšie ako náklady interného auditu,
optimálne fungujúci interný audit je neoddeliteļnou a významnou súčasťou správy a riadenia spoločnosti (corporate governance) – správu a riadenie spoločnosti nie je moţné outsourcovať. Manaţment musí sledovať vnútorný kontrolný systém. Ak je jeho kļúčovým prvkom interný audit, nemal by byť zabezpečovaný externe,
externí poskytovatelia nemôţu poznať spoločnosť a jej kontrolné prostredie tak dobre, ako interný audítor, ktorý v nej trvale pôsobí, zamestnanci externých dodávateļov slúţia svojej firme, nie klientovi.
Interný audítor slúţi primárne svojej firme“ (Jurák, 2006, s. 63).
20 1.5 Interný audit a controlling
A. Foltínová definuje controlling nasledovne: „Controlling predstavuje špecifickú formu práce s informáciami, je to proces stále silnejšieho prerastania informačnej podpory do vlastného riadenia hodnototvorného procesu podniku a smeruje k náprave jeho nedostatkov“ (Klimiková, 2010, s. 33).
Controlling má vlastne charakter nástroja riadenia, ktorý podporuje podnikateļské procesy rozhodovania a riadenia. Refäuter (Klimiková, 2010) tvrdí, ţe controlling je špecifická forma práce s informáciami a jeho úlohou nie je riadiť reálne procesy, ale celý podnik na základe informácií o reálnych procesoch. Tým sa kladú nároky na pracovníkov controllingu kvôli tomu, aby poznali podnik ako celok a zároveň vedeli odhaliť špecifiká jeho jednotlivých útvarov.
Controllig sa často nesprávne prirovnáva k internému auditu. Hoci sú oba pojmy súčasťou celkového riadiaceho procesu danej spoločnosti či finančnej inštitúcie, napríklad banky, existujú medzi nimi značné rozdiely vzhļadom na to, ţe controlling je predovšetkým súčasťou plánovacieho procesu spoločnosti a zameriava sa na realizovanie spoločnosťou definovaných cieļov. Interný audit zasa objektívne zbiera a vyhodnocuje informácie v rámci danej spoločnosti za účelom porovnania miery súladu týchto informácií so stanovenými kritériami a informácie o výsledkoch poskytuje všetkým zodpovedným ļuďom na potrebných úrovniach riadenia spoločnosti.
Controlling a interný audit sa v určitej časti prelínajú a preto je náročné oddeliť ich úlohy a nie je prípustné si ich zamieňať. Úlohou interného auditu je preverovanie správnosti realizovaných činností, controlling je zameraný aj na budúcnosť. „Controlling je systém pravidiel, ktorý napomáha dosiahnutiu podnikových cieļov, zabraňuje prekvapeniam a včas zasvecuje červenú, keď sa objavuje nebezpečenstvo vyţadujúce v riadení príslušné opatrenia.“ (Olexová, 2001, s.230)
Nasledujúca tabuļka názorne odkryje rozdiely medzi controllingom a interným auditom.
21 Tabuľka č.1: Controlling verzus interný audit
Controlling Interný audit
Hlavný cieļ Dlhodobá rentabilita obratu Súlad podkladov s realitou
Pracovná náplň
- riadenie výnosov orientovaného potencálu firmy
- výber, hodnotenie a odovzdávanie informácii
- budovanie a prevádzka kontrolného mechanizmu optimalizácie rozhodovacích procesov
- analýza rizika, poskytovanie ustinení - kontrola správnosti, účelnosti a hospodárnosti skúmaných dokladov, javov a skutočností
podklady, hlavne výkaz ziskov a strát Všetky účtovné a prevádzky podklady Výstupy Analýza odchýlok a návrhy opatrení Audítorské správy vychádzajúce z analýz
rizík
Správnosť dát Predpokladá sa Je overovaná
Miesto v organizačnej štruktúre
Učtáreň, rozpočtovanie, kalkulácia, cenová tvorba(líniový alebo štábny útvar)
Oddelnie interného auditu (jedine štábny útvar)
Časová orientácie Na budúcnosť Na budúcnosť, prevencia
Zdroj: Kašparovská,2006, s.281
1.6 Štatutárny verzus interný audit
Špecializovaná odborná literatúra obsahuje aj pojem štatutárny audit. Štatutárny audit je audit celkového súboru finančných výkazov vykonávaných štatutárnym audítorom.
Cieļom tohto audítora je vyjadriť názor na auditované finančné výkazy. Na druhej strane je úlohou interného auditu pomôcť vedeniu banky v overovaných činnostiach. Napriek rozdielnym cieļom spolu súvisia a pouţívajú rovnaké postupy. Štatutárny audítor sa často spolieha na prácu interného audítora v oblastiach, kde má interný audit silnú pozíciu.
22
Samostatný audítor si ale musí najskôr overiť kvalifikáciu a objektivitu interných audítorov. Zodpovednosť za podanie správy nesie výhradne štatutárny audítor.
„V praxi sa štatutárni audítori spoliehajú na interných audítorov. A to v prípadoch, keď sa zaoberajú otázkami, ktoré s auditom finančných výkazov súvisia. Ide o tieto oblasti:
poznávanie vnútorného kontrolného systému, definovanie rizika,
vykonávanie vecných (substantívnych) testov“ ( Kareš,2010, s304).
1.7 Audit informačných systémov
„Podļa § 40 zákona o bankách č. 483/2001 Z.z. „banka a pobočka zahraničnej banky pôsobiaca v Slovenskej republike sú povinné raz ročne zabezpečiť overenie spoļahlivosti informačného systému, ktorým sú spracúvané bankové údaje a zabezpečiť ochranu elektronicky spracovaných informácií pred zneuţitím, zničením, poškodením alebo stratou“ (Dvořáček,2003,s 202).
Cieļom overenia bezpečnosti informačného systému banky je poskytnúť primeranú istotu,
ţe bankou spracované a uchovávané údaje sú dostatočne zabezpečené pred zneuţitím, zničením, poškodením, odcudzením, neoprávneným prístupom, zmenou alebo pred stratou,
celkovú úroveň zaistenia bezpečnosti informačného systému a integrity, dostupnosti, dôvernosti a autenticity údajov z pohļadu domácej legislatívny a medzinárodne uznávaných štandardov,
ţe je v banke chápaná bezpečnosť informačného systému ako neustály kaţdodenný proces, ktorý je vecou kaţdého zamestnanca banky.
23
Komplexnú bezpečnosť banky moţno zaistiť len vybudovaním komplexného bezpečnostného systému. Bezpečnostný systém buduje banka systematicky, pričom vytvára:
bezpečnostný manaţment- nezávislý, centrálne riadený orgán, vybavený príslušnými kompetenciami,
organizačnú štruktúru a systém riadenia bezpečnosti, vykonávacie bezpečnostné predpisy,
systém bezpečnostného vzdelávania pracovníkov.
Na rozdiel od auditu účtovnej závierky, pri ktorom je práca audítora v banke rovnaká ako pri audite účtovnej závierky ktorejkoļvek inej spoločnosti, je vypracovanie správy o hodnotení systémov pre tvorbu hlásení pre bankový dohļad špecifikom pre audit v bankovom sektore. Vzhļadom na to, ţe bankový dohļad môţe reagovať na vývoj situácie v bankách aţ s určitým časovým oneskorením, ktoré je spôsobené termínmi predkladania výkazov a časovou potrebou ich vyhodnotenia, predstavuje posúdenie informačných systémov banky audítorom určitú záruku, ţe takýto systém je funkčný a v priebehu celého roka generuje údaje, ktoré odráţajú jeho skutočný stav. Oblasť bezpečnosti v bankovom sektore je výnimočná tým, ţe pri nedostatočnom zabezpečení systémov a nevhodných bezpečnostných pravidlách môţu uniknúť dáta, ktoré sú zaujímavé nielen pre konkurenciu, ale predovšetkým pre rôzne kriminálne a iné ţivly. Bezpečnosť bankových systémov je preto nevyhnutné budovať systematicky a mať pri tom na vedomí základné bezpečnostné mechanizmy a pravidlá. Súčasný rozmach elektronickej komunikácie priniesol do odvetvia finančného sektora pozitívne zmeny na strane zlepšenia kvality sluţieb zákazníkom a aj na strane zvýšenia produktivity pracovníkov a efektivity biznis procesov finančných inštitúcií.
Pri rastúcej slobode zákazníkov bankových a finančných inštitúcií však rovnako narástla pravdepodobnosť zneuţitia a takisto ďalšie bezpečnostné riziká. Kvôli tomu musí kaţdá finančná inštitúcia pri výbere softwaru klásť veļký dôraz na zabezpečenie svojho systému a ochranu biznisu. V strede záujmu väčšiny narušiteļov systémov je to najcennejšie, čo daná inštitúcia má a tým sú v dnešnom tvrdom konkurenčnom boji klientské databázy, ktoré obsahujú klientské obchodné dáta. Pred spustením akejkoļvek novej aplikácie, zvlášť pokiaļ je prístupná z nebezpečného prostredia, by si mala kaţdá finančná inštitúcia vykonať bezpečnostný audit. Ten zistí súčasný stav zabezpečenia informačného systému
24
a moţné hrozby. Na jeho základe je potom moţné pomocou príslušných nástrojov a mechanizmov eliminovať riziká napadnutia na minimum. Bezpečnostný audit je vhodné vykonávať v pravidelných intervaloch. Zmyslom tohto auditu je dosiahnuť základnú konfiguráciu systému z hļadiska bezpečnosti a zmapovať celkovú bezpečnostnú situáciu.
Výsledkom auditu by mal byť protokol zahŕňajúci predovšetkým kompletný záznam o prevedených konfiguračných zásahoch v technickom nastavení systému, doporučených zmenách, administračných postupov a prípadne zoznam ďalších opatrení, ktoré by sa mali prijať (Klimiková et al,2012,s.283).
„Bezpečnostný audit skúma predovšetkým tieto aspekty:
reţimová bezpečnosť - organizačný poriadok organizácie vo vzťahu k bezpečnosti a ochrane informácií, existencia bezpečnostnej politiky vedenia organizácie a výstavby informačného systému, obsah pracovných zmlúv z hļadiska utajovania skutočností a mlčanlivosti atď.,
personálna bezpečnosť - zainteresovanosť zamestnancov na celkovej bezpečnosti organizácie, príprava zamestnancov na prácu s citlivými údajmi, motivácia pracovníkov na kļúčových pozíciách z hļadiska ochrany údajov a spoļahlivého chodu informačného systému,
bezpečnosť technických prostriedkov - druh, kvalita a certifikácia pouţítých technických prostriedkov,
bezpečnosť programových prostriedkov - tvorba nových programových produktov, nezávislosť a spoļahlivosť programátorského tímu, ochrana pred vírusom, existencia a uloţenie zálohových verzií programových produktov,
bezpečnosť dát - kompetencie a smernice pre zadávanie dát, mechanizmy autorizácie a rozlíšenie prístupu k údajom, zálohovanie, archivácia, likvidácia údajov, šifrovanie dát,
bezpečnosť komunikácie - spôsob komunikácie medzi jednotlivými časťami informačného systému“ (Soviš,1998,s.3).
25
„Najčastejšie bezpečnostné hrozby:
prekvapivo najčastejšou bezpečnostnou hrozbou nie je útok vírusov či hackerov, ale ļudské chyby. Rôzne štúdie dokazujú. Ţe zhruba 40-60% všetkých výpadkov a strát sú následkom práve ļudských chýb,
za významnú hrozbu je povaţovaná i oblasť narušenia reţimu práce s osobnými údajmi, či iné formy úniku dát. I keď takýto únik môţe znamenať pre banku porušenie niektorých zákonov, zvlášť pri finančných inštitúciách je omnoho významnejší dopad v oblasti straty dôvery klientov,
na zozname hrozieb sa tieţ často objavuje odplata bývalých zamestnancov a rôzne podvody a krádeţe,
veļkú skupinu hrozieb tvoria výpadky spôsobujúce nedostupnosť systému, v rátane prípadnej straty dát,
ďalšou hrozbou je útok hackerov či programu, napríklad vo forme vírusu, ktorý môţe spôsobiť nedostupnosť systémov či únik dát, môţeme sem zaradiť aj
„odposluch“ prenášaných dát“ (Krch, 2005,s.37).
Ochrana rôznymi typmi hrozieb spočíva väčšinou v kombinácii niekoļkých základných bezpečnostných opatrení a vţdy zahrňuje otázky identifikácie, riadenia prístupov a šifrovania ako formy zaistenia integrity dát. Presadzuje prístup „Defence in depth“, čo znamená kombinácia niekoļkých úrovní rôznych bezpečnostných systémov, ktoré umoţňujú komplexnú ochranu a sťaţujú prípadný útok.
Rozlišujeme dve základné skupiny opatrení:
1. opatrenia pre zabezpečenie systému – úniku dát alebo ich neoprávnenému pozmeneniu, či uţ je to spôsobené nešetrným správaním zamestnanca, jeho zámernou činnosťou, alebo útokom zvonka. Tomuto je moţné zabrániť pouţitím základných opatrení:
minimálne oprávnenia – kaţdý uţívateļ by mal mať v systéme najmenšie moţné práva, ktoré umoţňujú vykonávať jeho prácu,
26
centrálna správa uţívateļov – v banke existuje miesto, kde môţe oprávnený uţívateļ jednoducho nájsť a zmeniť informácie o uţívateļoch. To zvyšuje transparentnosť riadenia prístupov a zároveň zvyšuje efektivitu. Namiesto postupného zadávania uţívateļa do rôznych systémov je uţívateļ zavedený len do centrálnej adresárovej sluţby, ktorá sa stará o komunikáciu s ostatnými systémami,
dôveruj, ale preveruj – auditovanie operácie dovoļuje kontrolovať účinnosť nasadených bezpečnostných mechanizmov, identifikovať potenciálne nebezpečné správanie uţívateļa a určiť zodpovednosť za moţné škody.
Samotné vedomie toho, ţe je moţné vysledovať, kto určitú operáciu vykonal a vyvodiť z toho dôsledky odradí veļa uţívateļov od snahy vyuţívať systém nepovoleným systémom.
2. opatrenia pre zaistenie dostupnosti systému – cieļom kaţdej spoločnosti je udrţať informačný systém v prevádzke i v prípade, ţe systém zlyhá. Pokiaļ uţ výpadku systému nejde zabrániť, je potrebné aspoň minimalizovať jeho trvanie, čím dlhší výpadok, tým horšie následky pre chod banky. Najdôleţitejšia je ale minimalizácia moţnosti nenahraditeļnej straty dát pri takomto výpadku.
Bankový audítor sa musí pri vykonávaní finančného auditu oboznámiť s informačným systémom a musí si vytvoriť názor, do akej miery sa bude môcť spoļahnúť na vykazované dáta, na ktorých základe vykonáva testy. Určitá miera tohto preverenia je potrebná v kaţdej auditovanej spoločnosti a v bankách, kde denne dochádza k tisíckam aţ miliónom transakcií je takéto preverenie preto veļmi významné. Audítor musí preveriť aspoň základné funkcie informačného systému a spoļahlivosť toku dát (Klimiková et al, 2012, s.285). Vnútorný kontrolný systém je jedným z mimoriadne dôleţitých predpokladov úspešnej činnosti komerčných bánk a preto predstavuje náročnú a vysokokvalifikovanú činnosť, ktorá si vyţaduje odborné vedomosti a skúsenosti riadnej bankovej prevádzky.
27
1.8 Medzinárodné štandardy interného auditu
Internému auditu a vnútornej kontrole banky nie je venovaná veļká pozornosť v oblasti legislatívy. Jedným z mála zákonov, ktorý hodnotí interný audit a vnútornú kontrolu je Zákon o bankách 483/2011 Z.z. o bankách a o zmene a doplnení niektorých zákonov. V § 23 odsek 1 sa píše: „Banka je povinná v stanovách okrem náleţitostí ustanovených v osobitnom predpise upraviť organizačnú štruktúru a systém riadenia banky tak, aby zabezpečovali riadny a bezpečný výkon povolených bankových činností a zabraňovali vzniku konfliktu záujmov v rámci banky, a upraviť vzťahy a spoluprácu medzi štatutárnym orgánom, dozornou radou, vedúcimi zamestnancami banky, útvarom vnútornej kontroly a vnútorného auditu.“ (Jednotný automatizovaný systém právnych informácií: Zákon o bankách 483/2001 Z.z. o bankách a o zmene a doplnení niektorých zákonov)
Odsek 4 daného zákona pri tom bliţšie špecifikuje vnútornú kontrolu a interný audit.
„Útvar vnútornej kontroly a vnútorného auditu banky kontroluje dodrţiavanie zákonov a iných všeobecne záväzných právnych predpisov, vnútorných predpisov banky a postupov v banke, skúma a hodnotí najmä funkčnosť a účinnosť riadiaceho a kontrolného systému banky, systému riadenia rizík a systému hodnotenia primeranosti vnútorného kapitálu a udrţiavanie vlastných zdrojov banky vo vzťahu k jej poţiadavkám na vlastné zdroje, likviditu a dodrţiavanie obmedzení majetkovej angaţovanosti, skúma a hodnotí pripravenosť banky na vykonávanie nových druhov obchodov z hļadiska riadenia rizík a skúma a hodnotí informácie podļa § 37. Útvar vnútornej kontroly a vnútorného auditu je zodpovedný za sledovanie odstraňovania zistených nedostatkov a za sledovanie realizácie schválených návrhov a odporúčaní na nápravu nedostatkov. Za zriadenie a funkčnosť útvaru vnútornej kontroly a vnútorného auditu zodpovedá štatutárny orgán banky, túto zodpovednosť nemôţe preniesť na inú osobu. Útvar vnútornej kontroly a vnútorného auditu je priamo podriadený štatutárnemu orgánu banky, dozornej rade alebo jednému z členov štatutárneho orgánu banky alebo dozornej rady banky“ (Jednotný automatizovaný systém právnych informácií: Zákon o bankách 483/2001 Z.z. o bankách a o zmene a doplnení niektorých zákonov).
28
Kontrola a audit sa svojimi cieļmi nelíšia, avšak vnútorná kontrola nie je audit a audit zase nenahrádza vnútornú kontrolu. Hlavné zásady vnútornej kontroly, ktorú by mala zaviesť kaţdá banka:
„jasne vyjadrené kontrolné ciele, príručka operačných postupov, prísne oddelenie úloh,
neustále dokladovanie účtov, účinný vnútorný audit,
výkonný informačný a kontrolný systém riadenia kvalitný personál.
Ciele vnútorného auditu:
chrániť bezpečnosť operácií, cenností, majetku a osôb, zvyšovať účinnosť a kvalitu sluţieb,
zaisťovať ochranu a rozširovanie spoļahlivých a rýchlo disponibilných informácií zaisťovať dodrţiavanie cieļov stanovených vedením ústavu“ (Kareš,2010,s.298).
Integrácia mechanizmov vnútornej kontroly do postupov spracovania operácií znamenala delegovanie kontrol na úroveň operačných oddelení. Úlohou auditu je predovšetkým je uistenie, ţe zavedené mechanizmy správne fungujú a tým audit prešiel od bezprostrednej kontroly ku kontrole kontrol. Profesia interného audítora patrí k najmladším profesiám.
Interný audit sa začal uplatňovať v 40-tych rokoch tohto storočia. Od tej doby prešiel interný audit mnohými zmenami. V začiatkoch interného auditu bola jeho hlavnou náplňou práce finančná a účtovná kontrola. Postupne sa jeho činnosť zmenila na audit operácií a priamo sa vzťahovala na všetky druhy operácií tak, aby bola zaistená vnútorná kontrola a efektívnosť riadenia nezávisle od vedúcich zamestnancov. Súčasné názory na vnútorný audit chápu túto zloţku ako nezávislý, poradný orgán vedenia banky, zriadený za účelom skúmania a vyhodnocovania činnosti banky. Činnosť vnútorného auditu prešla od revízie ostatných kontrol v banke k poradenstvu pre manaţment banky s cieļom napomáhať
29
zdokonaļovaniu pouţívaných metód, systémov a postupov banky takým spôsobom , aby sa dosiahla čo najvyššia efektívnosť v činnosti banky. Postavenie interných audítorov v procesoch a riadení banky je dosť špecifické, podļa zásad Bazilejského výboru je dôleţité, aby interní audítori podliehali priamo najvyšším úrovniam banky a dozornej rade alebo vrcholovému vedeniu banky. Rozhodujúcej je, aby útvar vnútorného auditu bol nezávislý od denného fungovania banky, aby mal prístup ku všetkým činnostiam vrátane pobočiek a dcérskych spoločností. Pracovníci interného auditu musia mať moţnosť poskytovať informácie priamo dozornej rade, alebo vrcholnému vedeniu banky, ktoré nie sú nijako skreslené riadiacimi úrovňami, ktorých sa to týka. Nezávislosť pracovníkov interného auditu sa môţe posilniť tým, ţe o ich odmeňovaní, rozpočte rozhodne dozorná rada a nie manaţéri, ktorých sa práca interných audítorov priamo týka. Na Slovensku v zmysle § 8 Zákona o bankách vedúceho útvaru internej kontroly môţe vymenovať, odvolať a určovať mu platové náleţitosti štatutárny orgán iba po predchádzajúcom súhlase, či na návrh dozornej rady. Súčasne je uzákonená právomoc dozornej rady účinne ovplyvňovať prostredníctvom útvaru vnútornej kontroly kontrolnú činnosť banky.
Z uvedeného moţno konštatovať, ţe základy pre nezávislosť a nestrannosť interných audítorov boli dané. Záleţí od prístupu vrcholových manaţérov a aj členov dozorných rád, ako tieto ustanovenia zrealizujú v prospech efektívnej činnosti bánk a činnosti interných
Z uvedeného moţno konštatovať, ţe základy pre nezávislosť a nestrannosť interných audítorov boli dané. Záleţí od prístupu vrcholových manaţérov a aj členov dozorných rád, ako tieto ustanovenia zrealizujú v prospech efektívnej činnosti bánk a činnosti interných