Moderní vnitřní audit v bankách

Bankovní institut vysoká škola Praha

Katedra informačních technologií a elektronického obchodování

Moderní vnitřní audit v bankách

Diplomová práce

Autor: Jan Růžička

Informační technologie a management

Vedoucí práce: Ing. Daniel Sladovník

Praha Březen 2006

Prohlášení:

Prohlašuji, že jsem diplomovou práci zpracoval samostatně a s použitím uvedené literatury.

V Praze dne 21.3.2006 Jan Růžička

Poděkování:

Děkuji Ing. Danielu Sladovníkovi za odborné rady a čas, který věnoval konzultacím, bez kterých by tato práce v daném rozsahu nikdy nemohla vzniknout.

Anotace práce:

Práce si klade za cíl popsat současný moderní vnitřní audit v bankách včetně základních předpokladů úspěšného výkonu funkce vnitřního auditu a jeho postavení v rámci vnitřního řídícího a kontrolního systému banky. Postihuje i nejnovější trendy v tomto oboru a předkládá nové přístupy a nástroje použitelné v praxi vnitřního auditu.

Tato práce by měla současně sloužit jako metodická školící příručka pro nové zaměstnance vnitřního auditu a zároveň i pro seznámení ostatních zaměstnanců včetně liniového managementu banky s prací, působností a cíli útvaru vnitřního auditu.

Obsah

Úvod ... 1

1. Vnitřní řídící a kontrolní systém ... 2

1.1 Pojem vnitřního řídícího a kontrolního systému ... 3

1.2 Základní segmenty VŘKS ... 5

1.2.1 Vnitřní kontrola ... 5

1.2.2 Vnitřní audit ... 6

1.2.3 Rozdíl mezi vnitřním auditem a vnitřní kontrolou ... 6

1.3 Základní mechanismus fungování VŘKS ... 7

1.4 Základní úkoly VŘKS ... 8

1.5 Základní složky procesu řízení a kontroly ... 8

1.5.1 Kontrolní prostředí ... 9

1.5.2 Oceňování a řízení rizik ... 9

1.5.3 Kontrolní činnosti ... 10

1.5.4 Monitorování ... 11

1.5.5 Informace a komunikace ... 11

1.6 Subjekty prověřující úroveň fungování VŘKS ... 11

1.7 Právní úprava VŘKS v České republice ... 12

1.7.1 Úprava v obchodním zákoníku ... 12

1.7.2 Úprava v zákoně o bankách ... 13

1.7.3 Opatření České národní banky ... 14

2. Historie a podstata vnitřního auditu ... 18

2.1 Historie vnitřního auditu ... 18

2.1.1 Auditoři a účetní ... 19

2.1.2 „Nezávislý“ účetní ... 19

2.1.3 Audit ve Spojených státech ... 19

2.1.4 Auditor - analytik ... 20

2.1.5 Auditor - kontrolor ... 20

2.1.6 Auditor - hodnotitel systému... 21

2.1.7 Institut interních auditorů ... 21

2.2 Podstata vnitřního auditu ... 24

2.2.1 Definice vnitřního auditu ... 24

2.2.2 Hlavní předpoklady úspěšného fungování vnitřního auditu ... 24

2.2.3 Funkce vnitřního auditu ... 25

3. Úloha vnitřního auditu v bankách ... 25

3.1 Základní úkoly vnitřního auditu ... 25

3.2. Porovnání interního a externího auditu ... 26

3.2.1 Externí audit ... 26

3.2.2 Interní audit ... 27

3.2.3 Spolupráce interního a externího auditu ... 28

3.2.4 Outsourcing VA ... 29

3.2.5 Cosourcing VA ... 32

4. Řízení útvaru VA ... 33

4.1 Statut ... 35

4.2 Plán ... 35

4.3. Základní pravomoci auditorů ... 37

4.4 Odpovědnost auditorů ... 38

4.5 Povinnosti auditorů ... 38

4.6 Organizační struktura vnitřního auditu ... 39

4.7 Etický kodex ... 40

4.8 Automatizace práce ... 42

4.8.1 Auditní SW ... 42

4.8.2 Analytický a kontrolní SW ... 43

5. Proces konkrétního vnitřního auditu ... 45

5.1 Základní fáze auditního procesu ... 45

5.1.1 Plánování auditu ... 45

5.1.2 Předběžný přehled ... 45

5.1.3 Popis vnitřní kontroly, analýza a ocenění ... 45

5.1.4 Testování ... 46

5.1.5 Zjištění a doporučení ... 46

5.1.6 Reporting ... 46

5.1.7 Ohodnocení ... 46

5.1.8 Následná kontrola ... 46

5.2 Rizikově založený vnitřní audit ... 46

5.2.1 Podstata rizikově založeného vnitřního auditu ... 47

5.2.2 Proces rizikově založeného vnitřního auditu... 48

5.2.3 Výhody rizikově založeného vnitřního auditu ... 51

5.3 Souhrnný reporting ... 51

6. Hodnocení činnosti vnitřního auditu ... 52

6.1 Program pro zabezpečení a zvyšování kvality VA ... 52

6.2. Prověření vnitřního auditu externími subjekty ... 53

6.3 Sebehodnocení činnosti VA ... 54

6.3.1 Hodnocení auditu auditovaným ... 56

6.3.2 Zpráva o výkonnosti VA ... 60

Závěr ... 63

Seznam literatury a citace pramenů v textu ... i

Úvod

Vnitřní audit je v České republice relativně mladým oborem. Tento obor však zaznamenává rychlý rozvoj a vývoj a současně vzrůstá jeho význam ve všech odvětvích moderního tržního hospodářství, včetně bankovního sektoru.

Tato práce si klade za cíl seznámit čtenáře s tímto oborem, pozicí vnitřního auditu ve vnitřním řídícím a kontrolním systému a úlohou vnitřního auditu v bankách a objasnit důvody jeho existence, neboť podstata vnitřního auditu bývá velmi často nepochopena nejen mezi laiky, ale i vlastním managementem banky. Současně budou v této práci uvedeny nové směry ve výkonu činnosti vnitřního auditu, které doposud nebyly implementovány v žádné bance v České republice, a dále prezentován návrh zcela nového systému hodnocení činnosti vnitřního auditu.

V uvedeném rámci bude vysvětlen proces konkrétního vnitřního auditu v bance založený na rizikovém přístupu k provádění vnitřního auditu a nastíněn další možný vývoj interního auditu do budoucna.

1. Vnitřní řídící a kontrolní systém

Předpokladem úspěšného fungování banky je účinný a efektivní vnitřní řídící a kontrolní systém (dále též jen VŘKS), který je systémem řídících a kontrolních mechanismů nedílně spojených se systémem řízení banky.

Nezbytnost existence funkčního a efektivního VŘKS vyplývá zejména z:

a) potřeby ochrany práv a zájmů klientů, akcionářů a zaměstnanců banky,

b) nutnosti náležitého ošetření bankovních rizik a maximální efektivnosti bankovních činností,

c) povinnosti všech organizačních útvarů a jednotek banky dodržovat obecně závazné právní předpisy, regulatoriku a vnitřní předpisy banky,

d) potřeby zamezení nezákonných, nežádoucích a neetických praktik.

Za vytvoření účinného a efektivního vnitřního řídícího a kontrolního systému odpovídá představenstvo banky, které nastavuje komplexní systém všech kontrolních mechanismů, postupů, pravomocí a odpovědností uplatňovaných v rámci banky. Jejich konkrétní aplikace v jednotlivých oblastech činnosti banky musí být stanovena v příslušných řídicích aktech, které jsou závazné pro všechny zaměstnance i pro další osoby v obdobném právním vztahu k bance.

Vnitřní řídící a kontrolní systém je možné koncipovat dle různých metodik. Mezi v současné době nejrozšířenější koncepty (standardy) VŘKS patří COSO a COBIT.

COSO je standard vytvořený Committee of Sponsoring Organizations of the Treadway Commission, zkratka jejíhož názvu dala i název tomuto standardu, který je všeobecně používán od roku 1992. Předností COSO je jeho univerzálnost, která jej umožňuje aplikovat v jakékoliv organizaci. Hlavním předmětem COSO je ověření existence integrovaného řídícího a kontrolního prostředí v rámci organizace vyhovujícího mezinárodním standardům. COSO stanovuje standardy, kterými by se měly řídit jednotlivé procesy v organizaci, tj. cíle a metriky procesů.

COBIT byl navržen v roce 1996 IT Governance Institute, který byl založen v roce 1998 jako součást ISACA (Information on Systems Audit and Control Association), jehož hlavním cílem je vývoj analýz pro řízení informačních technologií organizací.

Výsledkem implementace COBITu v organizaci by mělo být, že informační technologie ve společnosti podporují a rozvíjejí strategie a cíle společnosti, tedy že cíle organizace jsou provázány s rozvojem a používáním IT. COBIT obsahuje konkrétní návody a postupy pro audit IT procesů. Nedílnou součástí i této metodologie jsou detailní kontrolní a řídící mechanismy doplněné odpovědnostními maticemi.

COSO a COBIT se navzájem doplňují a lze je používat jak společně tak odděleně.

1.1 Pojem vnitřního řídícího a kontrolního systému

VŘKS není jednotně definován, a jeho pojetí se u různých autorů i institucí liší.

Dle zprávy výše uvedené COSO z roku 1992 se VŘKS skládá z následujících prvků:

a) kontrolní prostředí, b) ohodnocení rizik,

c) řídící a kontrolní aktivity, d) informace a komunikace, e) monitorování činností, které se navzájem úzce ovlivňují.

Zpráva COSO vydaná v roce 2003 rozšířila výše uvedený systém VŘKS o nové prvky, a to o:

a) řízení podnikatelských rizik, zahrnující následující oblasti:

(i) stanovení cílů (hrozba rizik, tolerování rizik), (ii) identifikace událostí (rizik a příležitostí), (iii)reakce na rizika,

a

b) stanovení strategických cílů společnosti.

Obdobný přístup k VŘKS přijal i Basilejsky výbor pro bankovní dohled, což je výbor banky pro mezinárodní platby se sídlem v Basileji, dle kterého je VŘKS tvořen následujícími komponenty:

a) dohled vedení a kultura řídící a kontrolní, b) identifikace a ohodnocení rizik,

c) řídící a kontrolní činnosti a oddělení odpovědností, d) informace a komunikace,

e) monitorování činností a náprava nedostatků,

přičemž jedině za podmínky jejich vzájemného propojení je možně zajistit efektivní a obezřetnou činnost banky.

Jiné pojetí VŘKS může reprezentovat jeho definice uvedená v tzv. „Turnbullově zprávě: vnitřní řízení a kontrola“, publikované The Institute of Chartered Acccountants in England and Wales v roce 1999, dle které VŘKS „... zahrnuje koncepce, procesy, úkoly, chování a další charakteristiky společnosti, které chápány jako celek umožňují:

a) účinné a efektivní provozování systému jeho uzpůsobením k tomu, aby náležitě reagoval na podnikatelská, provozní, finanční, právní a další rizika při usilování o dosažení cílů společnosti. To zahrnuje ochraňování majetku před jeho nesprávným užíváním či ztrátami nebo podvody a zajišťování toho, aby byly závazky uznány a vyřizovány;

b) zajišťovat kvalitu zpracování interních a externích zpráv. To vyžaduje udržování vodných záznamů a procesů, které vytvářejí plynulý tok včasných, příslušných a spolehlivých informací uvnitř organizace i v komunikaci s okolím;

c) zajišťovat soulad s příslušnými zákony a předpisy a také s vnitřními klíčovými dokumenty ve vazbě na výkon daného podnikání.“

Pro účely této práce můžeme shrnout, že VŘKS je komplexní systém všech kontrolních postupů a mechanismů vytvořených představenstvem a vedoucími zaměstnanci banky na všech organizačních stupních za účelem řízení a regulace bankovních činností tak, aby bylo umožněno dosažení stanovených cílů optimálním a efektivním způsobem a zároveň bylo možné reagovat na rizika. VŘKS však není a nemůže být jakýmsi statickým prvkem, ale pro plnění svých funkcí musí být procesem, na kterém se podílejí všichni výše uvedení pracovníci banky a představenstvo.

1.2 Základní segmenty VŘKS

Základní segmenty vnitřního kontrolního systému jsou tvořeny vnitřní kontrolou jako základní složkou a vnitřním auditem jako vrcholovou složkou VŘKS.

Vnitřní kontrola

Vnitřní audit

Obrázek 1: Základní schéma VŘKS banky

1.2.1 Vnitřní kontrola

Vnitřní kontrola je základním článkem VŘKS banky. Je to proces uskutečňovaný vedením banky a všemi k tomu určenými pracovníky organizace (včetně kontrolních útvarů), popř. prostřednictvím programově zajištěných kontrolních prvků v rámci automatizovaných systémů zpracování dat. S využitím stanovených kontrolních procedur vytváří vnitřní kontrola náležité předpoklady pro kvalitní, bezchybnou a efektivní činnost banky. Zároveň poskytuje odůvodněné ujištění o kvalitě a efektivnosti činnosti banky, spolehlivosti finančních údajů a všech vedených evidencí a dodržování příslušných zákonů a nařízení a regulatorních a vnitřních norem.

1.2.2 Vnitřní audit

Vnitřní audit je nejvyšším segmentem VŘKS banky. Současně je i gestorem jeho optimálního fungování. Podstata vnitřního auditu spočívá v jeho ujišťovacích a konzultačních funkcích a jeho posláním je poskytovat na aktivitách banky nezávislý servis zejména v oblastech prověřování úrovně řízení významných bankovních rizik a úrovně VŘKS.

Tento servis je zabezpečován pro následující subjekty:

vnitřní (dozorčí rada, představenstvo a vedoucí zaměstnanci banky na jednotlivých stupních řízení),

vnější (vnější audit, bankovní dohled, státní orgány dle příslušných zákonných ustanovení).

Efektivní fungování VŘKS vyžaduje, aby jím zjištěné nedostatky byly následně v potřebných termínech odstraněny včetně jejich případných systémových příčin.

VŘKS by měl být nebyrokratický a rizikově orientovaný.

1.2.3 Rozdíl mezi vnitřním auditem a vnitřní kontrolou

Za účelem jednoznačného vymezení odlišností funkcí a náplně činností vnitřního auditu a vnitřní kontroly jsou základní rozdíly mezi nimi uvedeny v následující tabulce a dále blíže vysvětleny a popsány v dalších kapitolách této práce.

Parametr/Segment Vnitřní kontrola Vnitřní audit Periodicita provádění průběžně v pravidelných časových

intervalech (cca 1-4 roky) operativně

Funkce kontrolní ujišťovací

konzultační Objekt všechny činnosti banky

se zaměřením na

dodržování stanovených postupů a minimální chybovost

všechny významné, rizikové činnosti banky se zvláštním zaměřením na řídící a kontrolní systémy

Základní cíl vytvoření náležitých předpokladů pro kvalitní a minimálně chybovou činnost banky v souladu s vnitřními normami

optimální fungování VŘKS banky náležité řízení

významných bankovních rizik

spolehlivost finančních dat pro potřeby řízení banky a pro vnější subjekty využívání veškerých zdrojů banky obezřetně a efektivně v souladu s platnými zákonnými a regulatorními normami Provádějící subjekt vedoucí zaměstnanci banky

na všech stupních řízení příslušná účetní pracoviště banky a určená pracoviště back office a middle office ostatní zaměstnanci

pověření kontrolní činností v rámci jednotlivých útvarů banky

kontrolní prvky v rámci automatizovaných informačních systémů každý zaměstnanec banky ve smyslu kontroly své vlastní činnosti

útvar vnitřního auditu banky (má v organizační struktuře banky nezávislé postavení)

Tabulka 1: Základní rozdíly mezi vnitřní kontrolou a auditem

1.3 Základní mechanismus fungování VŘKS

Základní mechanismus fungování VŘKS se skládá z:

vytváření efektivních postupů vnitřní kontroly již před zavedením nových produktů, činností a systémů do praxe banky nebo při jejich změnách, (popř.

při tvorbě nových vnitrobankovních řídících aktů a jejich novelizaci) s využitím poradensko - konzultační činnosti vnitřního auditu,

provádění vnitřní kontroly dle stanovených postupů,

nezávislé ověřování funkčnosti a efektivnosti vnitřní kontroly prováděné vnitřním auditem s případnými následnými návrhy nápravných opatření nebo doporučení.

Pro efektivní fungování VŘKS je nezbytné mechanismy do něj zabudované průběžně revidovat a aktualizovat tak, aby banka mohla odpovídajícím způsobem reagovat na nová rizika.

1.4 Základní úkoly VŘKS

Základním úkolem VŘKS v bance je prověřování a vytváření předpokladů:

řádného a efektivního provádění všech činností banky,

náležité úrovně ošetření rizik vyplývajících z bankovní činnosti,

dodržování obecně závazných právních předpisů, regulatorních opatření, vnitřních předpisů a interních řídících aktů,

úplných, včasných a správných účetních záznamů a spolehlivosti informací a výkazů o finanční situaci banky pro potřeby jejího řízení a pro externí subjekty.

VŘKS by měl minimalizovat možnost chybného rozhodování, úmyslné obcházení či přímo porušování řídících a kontrolních postupů vedoucími pracovníky banky. Plně vyloučit možnost chyb nebo zcela zabránit negativnímu dopadu rizik však VŘKS nemůže. Funkční VŘKS přesto významnou měrou přispívá k ochraně akcionářů banky i jejích klientů.

1.5 Základní složky procesu řízení a kontroly

Efektivní fungování VŘKS v bance je založeno na adekvátní úrovni pěti vzájemně propojených základních složek procesu řízení a kontroly, které jsou společné pojetí VŘKS dle COSO i dle Basilejského výboru bankovního dohledu uvedenému v článku 1.1 výše.

1.5.1 Kontrolní prostředí

Kontrolní prostředí zahrnuje zejména:

firemní kulturu banky, její pravidla a zvyklosti, etické hodnoty, filozofii a styl řízení uplatňovaný vedoucími pracovníky banky, nezávislou činnost vnitřního auditu a výboru auditu,

efektivní organizační strukturu banky,

stanovení politik pro významné oblasti činnosti banky,

definování jednotných pracovních postupů a metod ve vnitřních předpisech a řídicích aktech banky, které jsou v souladu s příslušnými politikami,

jednoznačné stanovení povinností, odpovědností a pravomocí každého zaměstnance banky,

řízení lidských zdrojů,

systém vzdělávání podporující odborný růst pracovníků banky, systém odměňování, který podporuje účinnost a efektivnost VŘKS,

stanovení a adekvátní využití objektivních kriterií výkonnosti jednotlivých organizačních útvarů a jednotek banky a jejich zaměstnanců.

Kontrolní prostředí je neopominutelným činitelem, který ovlivňuje jak budou jednotlivé kontrolní postupy a mechanismy v praxi aplikovány, a tedy vlastní úroveň VŘKS.

1.5.2 Oceňování a řízení rizik

Proces oceňování rizik představuje identifikaci rizik ohrožujících činnost a cíle banky, ocenění jejich významnosti, rozhodnutí o míře jejich akceptovatelnosti pro banku a stanovení adekvátních nástrojů k jejich řízení a monitorování.

Na důkladném a pravidelném vyhodnocování povahy a rozsahu rizik, kterým je banka vystavena, závisí účinnost a efektivnost VŘKS. Včasné rozpoznání, měření a průběžné monitorování rizik je pro činnost banky nanejvýš důležité, zejména pro přijetí určitých korektivních kroků v případě negativních kroků. Uvedené postupy jsou zahrnuty do procesu řízení rizik, který tvoří nedílnou součást VŘKS.

Funkční VŘKS musí umožňovat účinné řízení bankovních rizik. Procedura řízení rizik se sestává z:

a) analýzy rizik, která zahrnuje určení, posouzení a vyhodnocení rizik, b) vlastní řízení rizik, tj. plánování, monitorování a řídící činnosti.

Z pohledu vnitřního řízení a kontroly by hodnocení rizik mělo určit a ohodnotit vnitřní a vnější faktory, které by mohly negativně ovlivnit strategické cíle banky.

Hodnocení riziky by mělo být prováděno pravidelně jednotlivými útvary banky, včetně útvarem interního auditu, který by měl hodnocení však provádět v odlišných intervalech než ostatní útvary či orgány banky.

1.5.3 Kontrolní činnosti

Kontrolní činnosti jsou nedílnou součástí každodenních operací a postupů banky.

Jsou uplatňovány zaměstnanci na všech řídících a výkonných úrovních.

Zahrnují především kontroly provozního výkonu banky, tj. zejména:

dohled na nejvyšší úrovni (prověřování dosahování cílů banky prováděné dozorčí radou, výborem auditu a vrcholovým managementem banky),

kontroly činností (přezkoumávání standardních hlášení o plnění úkolů a o vyjímečných situacích na denním, týdenním nebo měsíčním základě prováděné managementem banky. Tyto kontroly jsou podrobnější a zároveň jsou prováděny ve větší frekvenci než dohled na nejvyšší úrovni),

kontroly dodržování právních předpisů, regulatorních norem, vnitřních předpisů a řídících aktů,

fyzické kontroly,

kontroly dodržování limitů, schvalovací procesy, autorizaci,

verifikaci (ověření),

rekonciliaci (odsouhlasení).

1.5.4 Monitorování

Monitorování představuje aktivity zabezpečující průběžné sledování:

a) efektivního uplatňování zásad, postupů a činností VKŘS a řízení riziky,

b) stavu a účinnosti řídících a kontrolních mechanismů banky za účelem zajištění dosažení cílů banky,

c) schopnosti banky přehodnotit rizika a přizpůsobit kontrolní mechanismy v jednotlivých činnostech banky.

1.5.5 Informace a komunikace

Informace a komunikace představují komplexní systém informací a vzájemných informačních toků uvnitř i vně banky využívaných k řízení a ke kontrole činnosti banky.

Orgány banky i její jednotlivý pracovníci potřebují pro své rozhodování aktuální, spolehlivé a úplné informace. Proto nezbytnou podmínkou efektivního VŘKS je i funkční informační systém. Zároveň je nezbytné, aby o otázkách rizik, řízení a kontroly probíhala komunikace mezi vedoucími pracovníky banky a představenstvem banky.

1.6 Subjekty prověřující úroveň fungování VŘKS

Úroveň fungování VŘKS je prověřována zejména:

dozorčí radou banky, výborem auditu,

představenstvem banky,

útvarem vnitřního auditu banky,

vedoucími pracovníky banky na všech stupních řízení, vnějšími subjekty,

a) vnějším auditem,

b) bankovními dohledy ČNB,

c) ostatními oprávněnými institucemi.

Zjištění o úrovni fungování VŘKS jsou využívány pro řízení banky ve všech oblastech její činnosti. V případě negativních zjištění, uvedených např. ve zprávách útvaru vnitřního auditu nebo v management letter vnějšího auditora, jsou odpovědnými vedoucími pracovníky banky přijímána opatření k odstranění nedostatků (s využitím návrhů opatření předkládaných např. útvarem vnitřního auditu, pokud byla taková opatření navržena). Pověřený útvar (pracovník) je povinen zajistit jejich splnění v náležité kvalitě a určených termínech.

1.7 Právní úprava VŘKS v České republice

Základ právní úpravy VŘKS je obsažen v zákoně č. 513/1991 Sb., obchodní zákoník, a v zákoně č. 21/1992 Sb., o bankách. Detailní právní úprava je pak uvedena v opatřeních České národní banky, a to č. 11/2002, 1/2003 a 2/2004.

1.7.1 Úprava v obchodním zákoníku

Obchodní zákoník v části upravující akciovou společnost vymezuje jednak orgány akciové společnosti, kterou ze zákona každá banka musí být, tak i rozdělení pravomocí mezi nimi a jejich vzájemné vztahy, včetně vztahů subordinačních a kontrolních. Pro VŘKS jsou z těchto vztahů (tedy vzájemných práv a povinností) podstatné následující:

a) povinnost představenstva předkládat valné hromadě ke schválení:

(i) řádnou, mimořádnou a konsolidovanou, popřípadě i mezitímní účetní závěrku a návrh na rozdělení zisku nebo úhradu ztráty (§192 odst. 1 obchodního zákoníku),

(ii) zprávu o podnikatelské činnosti společnosti a o stavu jejího majetku (§192 odst. 2 obchodního zákoníku),

b) povinnost představenstva získat k určitým rizikovým jednáním souhlas valné hromady, případně i dozorčí rady,

c) dohled dozorčí rady nad výkonem funkce představenstva (§197 odst. 1 obchodního zákoníku). V rámci tohoto práva jsou členové představenstva oprávněni nahlížet do všech dokladů a záznamů týkajících se činnosti

společnosti a kontrolují, zda účetní zápisy jsou řádně vedeny v souladu se skutečností a zda podnikatelská činnost společnosti se uskutečňuje v souladu s právními předpisy, stanovami a pokyny valné hromady (§197 odst. 2 obchodního zákoníku),

d) právo a povinnost kontroly řádné, mimořádné a konsolidované, popřípadě i mezitímní účetní závěrky a návrhu na rozdělení zisku nebo úhradu ztráty, které předkládá představenstvo valné hromadě, dozorčí radou (§198 obchodního zákoníku).

1.7.2 Úprava v zákoně o bankách

Zákon o bankách obsahuje již přímou úpravu VŘKS, a to v § 8. Odst. 6 uvedeného paragrafu ukládá bance povinnost zřídit útvar vnitřního auditu:

„Banka je povinna zřídit útvar vnitřního auditu, který zkoumá a hodnotí zejména:

a) funkčnost a účinnost řídícího a kontrolního systému banky,

b) systém řízení rizik a dodržování zásad obezřetného podnikání banky.“

Odstavec 8 předmětného paragrafu dále obsahuje právní úpravu postupu v případě zjištění rizik:

„Po oznámení statutárnímu orgánu banky je vedoucí útvaru vnitřního auditu povinen informovat o zjištěných skutečnostech dozorčí radu a v případě zjištění, která mohou záporně ovlivnit hospodaření banky, je povinen dát podnět k mimořádnému zasedání dozorčí rady.“

Z hlediska VŘKS jsou významné i ustanovení § 12 zákona o bankách, který obsahuje požadavek obezřetného podnikání banky, a § 19b odst. 2, který zakotvuje povinnost banky učinit ve svém organizačním, řídicím a kontrolním systému opatření zajišťující oddělení úvěrových a investičních obchodů (požadavek na zřízení tzv.

čínských zdí).

§ 22 zákona o bankách upravuje povinnost banky zajistit ověření řídícího a kontrolního systému banky včetně systému řízení rizik externí auditorskou

společností, přičemž současně bance ukládá bance povinnost oznámit vybranou auditorskou společnost České národní bance, která má právo takovouto auditorskou společnost odmítnout, a tím bance uložit jmenovat jiného externího auditora.

1.7.3 Opatření České národní banky

Opatření České národní banky č. 2/2004 k vnitřnímu řídícímu a kontrolnímu systému banky nejprve VŘKS přímo definuje a dále stanoví požadavky na tento systém, včetně konkrétních požadavků na interní audit a řízení rizik. Dle uvedeného opatření (§3 odst. 1) je „....účinný a efektivní vnitřní řídicí a kontrolní systém, ...zejména tvořen těmito prvky a vazbami mezi nimi:

a) kontrolní prostředí, b) kontrolní činnosti, c) informace,

d) řízení rizik, a to:

da) tržních rizik, db) úvěrového rizika,

dc) operačního rizika včetně požadavků na informační systémy, dd) rizika likvidity,

e) sledování a vyhodnocování účinnosti a efektivnosti vnitřního řídicího a kontrolního systému a náprava nedostatků včetně interního auditu.“

Uvedené vymezení VŘKS respektuje pojetí systému COSO z roku 2003 (viz kapitola 1.1 „Podstata vnitřního kontrolního systému“ výše). Obdobně i opatřením České národní banky vymezené cíle VŘKS korespondují se základními úkoly VŘKS specifikovanými výše v kapitole 1.4, když dle § 1 odst 2. VŘKS má zajistit:

„a) provádění činnosti banky v souladu s celkovou strategií banky a vnitřní předpisovou základnou,

b) aktuálnost, spolehlivost a ucelenost informací používaných bankou pro rozhodovací procesy a poskytovaných bankou třetím stranám,

c) soulad činností banky s příslušnými zákony a předpisy.“

Vlastní požadavky na VŘKS, v členění na obecné a následně speciální dle jednotlivých oblastí VŘKS, jsou opatřením České národní banky stanoveny tak, aby bylo umožněno jejich splnění všemi bankami působícími v České republice, včetně poboček zahraničních bank, při respektování jejich odlišností jak co se týče velikosti, tak i organizační struktury, systému řízení, používaného informačního systému, metodologie, apod. Proto v úvodu opatření, v §1 odst. 2, je bance uloženo, aby požadavky stanovené daným opatřením naplňovala „....s ohledem na svou velikost a způsob řízení, typ, povahu a složitost činností, které vykonává“.

V další části opatření ukládá představenstvu banky a dozorčí radě nad rámec vymezeným obchodním zákoníkem konkrétní úkoly v oblasti VŘKS.

Představenstvo odpovídá:

a) za zřízení a existenci VŘKS a v jeho rámci za zřízení a fungování útvaru interního auditu,

b) vytvoření organizační struktury zohledňující požadavky na oddělení neslučitelných funkcí, jasně vymezující odpovědnosti a pravomoci útvarů, pracovníků a výborů a umožňující efektivní komunikaci a spolupráci na všech úrovních banky,

c) stanovení zásad personální a mzdové politiky zahrnujících požadavek, aby veškeré činnosti banky prováděli kvalifikovaní pracovníci s odpovídajícími znalostmi a zkušenostmi,

d) prosazování vysoké úrovně etiky a mravní integrity pracovníků banky, a to pomocí stanovení pravidel vymezujících etické principy a předpokládané modely správného etického chování a jednání pracovníků banky,

e) zajištění toho, aby všichni pracovníci banky rozuměli své úloze ve vnitřním řídicím a kontrolním systému a aktivně se do tohoto systému zapojili,

Dozorčí rada je orgánem dohledu nad účinností a efektivností VŘKS a podílí se na směrování, plánování a vyhodnocování činnosti interního auditu.

Opatření ukládá úkoly i vrcholovému vedení (managementu), kterým se v opatření rozumí vedoucí pracovníci přímo podřízení členům představenstva

s výjimkou vedoucího útvaru interního auditu, a v případě, že se představenstvo nekryje s výkonným vedením banky, vedoucí pracovníci přímo podřízení vedoucím pracovníkům na nejvyšší úrovni výkonného vedení. Vrcholové vedení je odpovědné za:

a) realizaci celkové strategie banky, která byla schválena představenstvem,

b) udržování funkční a efektivní organizační struktury, včetně jednoznačného vymezení odpovědností a pravomocí, a za vytvoření a udržování účinného a efektivního systému sdílení informací,

c) zajištění toho, aby byly uplatňovány takové postupy řízení, které vedou k zamezení nežádoucích činností.

Pro kvalitu kontrolního prostředí je důležité oddělení neslučitelných funkcí.

Opatření za tímto účelem specifikuje činnosti, které musí být prováděny nezávisle na obchodních útvarech. Mezi takovéto činnosti je zařazeno i řízení tržních a úvěrových rizik (včetně kontroly dodržování limitů) a vytváření kvantitativních a kvalitativních informací o tržních a úvěrových rizicích vykazovaných členům vrcholového vedení a představenstvu. Opatření dále v návaznosti na uvedené určuje, které útvary nesmí být podřízeny členům představenstva řídícím obchodní útvary. V dané části opatření je obsažen i princip mnohokráte v této práci zdůrazňovaný, a to že interní audit musí být vykonáván nezávisle na veškerých výkonných činnostech banky.

Opatření České národní banky č. 11/2002, kterým se stanoví požadavky na ověření řídícího a kontrolního systému banky včetně systému řízení rizik, navazuje na výše uvedený § 22 zákona o bankách a dále jej rozvádí. Toto opatření, vydané původně spolu s opatřením České národní banky č. 12/2002 k vnitřnímu řídícímu a kontrolnímu systému, které bylo následně zrušeno a nahrazeno opatřením České národní banky č. 2/2004, upravuje tedy postup externí auditorské společnosti při ověřování funkčnosti VŘKS a stanovuje náležitosti zprávy, které má být výstupem její činnosti a která je předkládána České národní bance.

Opatření České národní banky č. 1/2003 k vnitřnímu řídícímu a kontrolnímu systému banky pro oblast předcházení legalizace výnosů z trestné činnosti obsahuje, jak

již jeho název napovídá, úpravu specializovaného segmentu činností VŘKS banky, jehož cílem je minimalizovat rizika, jež pro banku vyplývají z možného zneužití banky k legalizaci výnosů z trestné činnosti.

V současné době (tj. březnu 2006) připravuje Česká národní banka vydání prováděcí vyhlášky k zákoně o bankách, kterou by měla být nahrazena výše uvedená opatření a jejíž pracovní znění je k dispozici na internetových stránkách České národní banky.

Touto novou vyhláškou by měla být do českého právního řádu implementována směrnice 2000/12/ES, o přístupu a činnosti úvěrových institucí a o jejím výkonu, a směrnice 93/6/EHS, o kapitálové přiměřenosti investičních společností a úvěrových institucí a dále nová pravidla pro stanovení potřebné minimální výše kapitálu,

označovaná jako Basel II a někdy též jako Nová basilejská kapitálová dohoda (The New Basel Capital Accord, zkráceně NBCA), jejichž první návrh byl publikován

Basilejským výborem pro bankovní dohled v roce 1999 a konečná verze dne 26. června 2004 po jeho odsouhlasení guvernéry centrálních bank a představiteli orgánů dozoru zemí G10. Basel II nahradí dosud platný Basel Capital Accord (tzv. Basel I). Jeden ze 3 hlavních pilířů, na kterých je Basel II založen, upravuje postupy hodnocení

dostatečnosti kapitálu dané banky orgánem dozoru a spolehlivost a kvalitu řídicích a kontrolních mechanismů banky. Banka by měla mít dle tohoto bodu (pilíře) Basel II měla mít zavedeny odpovídající vnitřní procesy, které jí umožní vyhodnotit adekvátnost jejího interního kapitálu s ohledem na podstupovaná rizika.

Řídící a kontrolní systém banky by dle pracovního znění dané vyhlášky měla

upravovat její část třetí. Tato část svou strukturou a z větší části i obsahem koresponduje se zněním dosud platného opatření České národní banky č. 2/2004, tj. nejprve vymezuje pravomoci a úkoly dozorčí rady, představenstva a vrcholového vedení banky v oblasti VŘKS, následně upravuje organizační uspořádání a oddělení neslučitelných funkcí, pokračuje přes systém řízení rizik, mechanismy vnitřní kontroly (které zahrnují vnitřní audit), informacemi a komunikacemi k zjišťování a nápravě nedostatků řídícího a kontrolního systému.

2. Historie a podstata vnitřního auditu

2.1 Historie vnitřního auditu

Počátky auditorské činnosti lze vysledovat přibližně 3 500 let před Kristem.

U dokladů z jedné mezopotámské civilizace byly nalezeny drobné značky v podobě křížků, teček a odškrtávacích znamének vedle čísel finančních transakcí. Tyto značky se pravděpodobně používaly jako kontrolní mechanismus při ověřování správnosti tzv.

verifikaci. Lze si jistě snadno představit situaci, kdy správnost zápisu transakcí písaře byla ověřována někým druhým. Takovéto kontroly, ověřovací procedury a koncepce dělby práce směřující k eliminaci chyb mají svůj počátek pravděpodobně v této době.

V latině základním významem slova AUDIT je slyšení, poslouchání, dozvídání se.

Podle tohoto výkladu by auditor měl být jakýmsi „posluchačem, který se dozvídá“.

Ve starém Římě se uplatňovalo „slyšení o účtech”. Podstata této činnosti spočívala v porovnávání záznamů úředníků navzájem mezi sebou a měla sloužit k zabránění páchání podvodů úředníky, kteří spravovali různé fondy. Ze samé podstaty tohoto úkonu „slyšení o účtech” vznikl název „audit” z latinského slova auditus (slyšení).

Vyšší finanční úředníci ve starém Římě, tzv. kvestoři (quaestor), byli najímáni vládou k podávání ústních zpráv o stavu pokladny, dále pak prověřovali účty provinčních guvernérů, kde se snažili odhalit nekalé praktiky a zneužití svěřených prostředků. Právě v této době mohl vzniknout název „auditor“ - ten, kdo uvádí všechny zjištěné skutečnosti.

Z výše popsaného je zřejmé, že profese auditu a zejména interního auditu je prastará. Zrodila se při rozvoji politických a obchodních organizací a byla přítomna růstu hospodářských institucí. První auditoři byli jmenováni bohatými vlastníky, kteří získali svůj majetek z obchodních výprav a z daní a odvodů placených jejich poddanými. Úkolem prvních auditorů byla kontrola a dozor nad tímto majetkem.

2.1.1 Auditoři a účetní

Role auditora se měnila podle potřeby a kultury a byla poplatná své době. Jedním z úkolů auditora, kterou bychom dnes mohli zaměnit spíše za práci účetního byla evidence druhu i množství zboží braného s sebou na obchodní výpravy, zaznamenávání transakcí při směnách, prodeji nebo nákupu tohoto zboží včetně vykazování rozdílů hodnot.

Původ profese interního auditora a účetního je stejný, liší se pouze tím, že úlohou auditora byla navíc oproti účetnímu též odpovědnost za věcnou ochranu majetku a prevence proti ztrátám z krádeže.

2.1.2 „Nezávislý“ účetní

Audit, tak jak ho známe z pohledu současnosti, se začal utvářet během průmyslové revoluce v Anglii od konce 18. století. Průmyslová revoluce, která je charakterizována procesem ekonomických, sociálních a politických přeměn spojených s přechodem od manufakturní výroby k hromadné tovární výrobě, si vyžádala zvláštní formu auditu jako nezávislého veřejného účetního či účetního pracujícího „na volné noze“. Firmy si najímaly takovéto nezávislé účetní za účelem nestranného překontrolování finančních záznamů. Ti pak důkladně přezkoumávali a porovnávali všechny písemné záznamy v účetních knihách s vykazovaným materiálem.

Vzrůstající potřeba zejména investorů, pojišťovatelů či věřitelů najímat si nezávislého účetního, který by měl ověřit účetní výkazy a potvrdit jejich přesnost, se objevovala s větší provázaností a vzájemnými závislostmi rozrůstajících se obchodních podniků a z toho vyplývajících požadavků na přesné vykazování obchodních operací.

2.1.3 Audit ve Spojených státech

První známky o auditu můžeme ve Spojených státech nalézt v průběhu 19. století a jsou spojeny s anglickými investicemi v této části světa. Angličané vkládající velké částky chtěli mít objektivní a nezávislý přehled o svých investicích, proto byli do Spojených států povoláváni angličtí auditoři. Britské požadavky vznikly ze Zákona o britských společnostech, který stanovil jejich odpovědnost vůči investorům.

Podoba auditu byla ve Spojených státech upravena tak, že zdůrazňovala audit zisků a ztrát a analytický přístup k účtům. Tento typ auditu vyhovoval potřebám amerických podnikatelů, kteří nebyli vázáni zákonem podobným již zmiňovanému Zákonu o britských společnostech. Zveřejňování auditovaných finančních výsledků tedy nebylo žádným zákonem vyžadováno, nicméně začátkem 20. století tak mnohé společnosti činily. Mezi nejčastější zákazníky auditorů se řadily bankovní domy.

Mezi jedněmi z prvních společností, které začaly využívat instituci interních auditů, patřily železnice. To, mimo jiné, vyplývalo z rozsáhlé geografické oblasti působení těchto společností. Práce interních auditů se převážně zaměřovala na řádnou práci a dokladování příjmových dokladů, za kterou byli odpovědní přednostové jednotlivých železničních stanic. Podle vedoucích pracovníků železnic, kteří audity požadovali, bylo pro tyto provozní záležitosti použití externích auditů nepřiměřené.

2.1.4 Auditor - analytik

Počátkem 20. století se začalo měnit chápání role interního auditora. Do té doby byl auditor chápán jako osoba, jejíž hlavní činností bylo zabraňovat podvodům a případně je odhalovat. Ovšem na začátku 20. století se interní audit začal zaměřovat na efektivnost a účinnost obchodních operací vyplývající ze vzniku moderních metod řízení. Management začal využívat vnitřní audit k naplňování svých podnikatelských cílů zejména tím, že ho pověřoval vyhodnocováním procesů a to hlavně z pohledu jejich nákladovosti.

2.1.5 Auditor - kontrolor

Další změna práce interního auditu ve Spojených státech byla vyvolána přijetím zákona o cenných papírech v roce 1933 a následně rok poté zákonem o cenných papírech a burze. Tyto zákony zvyšovaly odpovědnost managementu za vykazování přesných finančních informací. Dále kladly důraz na ověřování finančních a účetních údajů, což mělo přímý dopad na práci interních auditorů, kteří se začali více zaměřovat na prověřování kontrolních a řídících mechanizmů regulujících finanční a účetní informace.

2.1.6 Auditor - hodnotitel systému

V současné době se moderní vnitřní audit zabývá hodnocením adekvátnosti systémů, a to zejména se zaměřením na řídící a kontrolní mechanismy, správu společnosti a řízení rizik. To jej zásadně odlišuje od předchozích „kontrolních“ postupů zaměřených zejména na dodržování předpisů, vnitřních norem apod.

2.1.7 Institut interních auditorů

V roce 1941 nepříliš početná skupinka praktikujících interních auditorů založila v New Yorku Institut interních auditorů (The Institute of Internal Auditors Inc. - IIA).

Dnes je jeho sídlo na Floridě v Altamonte Springs. Založení Institutu interních auditorů předcházelo uznání interního auditu jako samostatné auditní disciplíny. V současnosti je IIA profesní organizací sdružující více než 100 000 členů ve 160 zemí, což zajišťuje prakticky její celosvětovou působnost. Mezi její hlavní cíle patří rozvoj a propagace profese interního auditu doslova po celém světě.

IIA mimo své jiné činnosti vypracovává normy a soubory pravidel, jejímž dodržováním může interní auditor zaručit řádné vykonávání své profesní činnosti. Další podstatnou činností institutu je pořádání odborných školení zaměřených na rozvoj auditorských dovedností a znalostí.

Mezi hlavní iniciativy Institutu patří:

vypracování a prosazování profesních standardů,

o standardy pro profesionální praxi interního auditu, o doplňky ke Standardům,

o etický kodex,

o přehledu funkcí interního auditu,

programy profesního vzdělávání prostřednictvím konferencí a seminářů, organizování programu „certifikovaný interní auditor“ (CIA),

hodnocení kvality práce pro jednotlivé útvary interního auditu, vydávání publikací zaměřených na tematiku interního auditu,

zajišťování komunikace mezi interními auditory pomocí informačních bulletinů a profesního periodika „Interní auditor“,

pomoc při zakládání a chodu místních poboček IIA, sponzorování výzkumných studií,

vytváření a udržování celosvětových kontaktů s universitami, vysokoškolskými instituty a přidruženými společnostmi.

2.1.7.1 Historie interního auditu v ČR

V České republice se počátky rozvoje interního auditu datují teprve na začátek devadesátých let minulého století. Po roce 1990 byly nejprve v bankovním sektoru a posléze i v ostatních sektorech průmyslu a obchodu transformovány bývalé útvary kontroly, které do té doby plnily spíše funkci kontroly dodržování vnitřních norem a funkci vnitřního vyšetřovatele, na nové útvary vnitřního auditu, zaměřené na hodnocení systému.

2.1.7.2 Český institut interních auditorů

Čeští interní auditoři si poměrně brzy uvědomili nutnost standardizace své činnosti, zajištění platformy pro výměnu zkušeností i zajištění kontaktů s interními auditory ve světě pro výměnu zkušeností. 21. 12. 1994 byl zaregistrován Český institut interních auditorů (ČIIA). Následně 11. března 1995 se v Praze konal ustanovující sněm, který přijal stanovy ČIIA a Etický kodex člena institutu. Vzniklé občanské sdružení ČIIA se 2. 7. 1995 stalo členem ECIIA2 a 18. 1. 1996 národní pobočkou mezinárodního institutu The Institute of Internal Auditors Inc. V dnešní době sdružuje ČIIA téměř 900 členů, z toho jich téměř 200 je ze segmentu bankovnictví a finančnictví.

Nejvyšším orgánem je sněm, který se schází jedenkrát do roka. Činnost institutu řídí Rada v čele s prezidentem, na jejíž činnost dohlíží tříčlenná kontrolní komise.Také tento národní institut se snaží v duchu IIA prosazovat a podporovat rozvoj interního auditu v České republice. Zejména se soustřeďuje na hodnocení vnitřního řídícího a kontrolního systému v organizacích a vrcholovým orgánům těchto organizací poskytuje hodnocení, analýzy, konzultace a doporučení vedoucí k efektivnímu vykonávání jejich úkolů.

2.1.7.3 Certified Internal Auditor - CIA

V roce 1972 začal udělovat Institut interních auditorů v USA (IIA) profesní osvědčení Certifikovaný interní auditor (CIA). Získání tohoto osvědčení interním auditorem je známkou jeho odborné kvalifikace pro oblast zásad a praktického uplatnění interního auditu a slouží jako jediné mezinárodní uznání pro interní auditory.

Pro zpřístupnění zkoušek CIA širšímu okruhu zájemců z ČR uzavřel ČIIA a IIA v červnu 1999 dohodu, na jejímž základě může ČIIA organizovat a vykonávat zkoušku CIA také v českém jazyce. Součástí dohody je přijetí podmínek certifikačního programu stanovené IIA. Zvláště od této doby význam tohoto profesního označení v České republice nabývá rok od roku na své důležitosti.

Kandidáti na získání certifikátu CIA musí splňovat několik podmínek. Zejména jde o dosažené vzdělání, kde kandidát CIA musí mít nejméně hodnost bakaláře nebo být absolventem jiného studia rovnocenné úrovně na akreditované vysoké škole. Dalším předpokladem je absolvování 24 měsíční odborné praxe v oblasti interního nebo externího auditu, kontroly, řízení jakosti nebo compliance. V případě, že kandidát CIA je absolventem magisterského studia nebo doloží vykonání praxe přímo v oboru účetnictví, právo nebo finance, může být požadovaná délka povinné odborné praxe zkrácena na 12 měsíců. Kandidát CIA musí být také členem IIA a ČIIA.

Držitelé certifikátu CIA si musí neustále udržovat a rozvíjet svou kvalifikaci tím, že budou naplňovat požadavky profesionálního rozvoje a dodržovat Etický kodex Institutu interních auditorů.

Zkoušky k získání certifikátu CIA se skládají ze čtyř částí:

1. proces interního auditu,

2. schopnosti a dovednosti interního auditu,

3. kontrolní funkce managementu a informační technologie, 4. prostředí interního auditu.

První tři části zkoušek jsou mezinárodní a testové otázky, které vypracovává Rada dohlížitelů (Board of Regents) při IIA. Poslední čtvrtá část podléhá specifickým

podmínkám každé země a je podřízena tuzemské legislativě. Pro podporu úspěšného absolvování zkoušek CIA byl v ČR pro obor interního auditu vytvořen dlouhodobý systém vzdělávání.

V současné době ČIIA eviduje celkem 136 českých a slovenských certifikovaných interních auditorů. O náročnosti získání tohoto ocenění svědčí také fakt, že podíl držitelů CIA v České republice k počtu kandidátů je pouze necelých 30 procent.

2.2 Podstata vnitřního auditu

2.2.1 Definice vnitřního auditu

Vnitřní audit je nezávislá, objektivní, ujišťovací a konzultační činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Vnitřní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování efektivnosti řízení rizik, řídících a kontrolních procesů a správy a řízení organizace (dle definice IIA - the Institute of Internal Auditors).

2.2.2 Hlavní předpoklady úspěšného fungování vnitřního auditu

1. Odbornost - vnitřní audit mohou vykonávat pouze bezúhonné osoby s vysokými morálními kvalitami, které ovládají znalosti a dovednosti nezbytné pro řádný výkon vnitřního auditu. Ředitel vnitřního auditu je povinen dbát o vytváření a udržení náležité profesionální úrovně vnitřního auditu v rámci banky.

2. Objektivnost - vnitřní audit nesmějí vykonávat osoby, u kterých vzhledem k jejich vztahu k předmětu vnitřního auditu nebo k pracovníkům auditovaného pracoviště lze mít pochybnosti o jejich nestrannosti.

3. Nezávislost – je základní podmínkou pro objektivitu vnitřního auditu, která musí být zajištěna jak vzhledem k činnostem (auditoři nesmí hodnotit činnosti nebo systémy, které sami vykonávali nebo realizovali), tak i nezávislém organizačním začlenění v rámci banky.

2.2.3 Funkce vnitřního auditu

1 Ujišťovací funkce pro TOP i liniový management prostřednictvím provádění jednotlivých auditů a jejich výstupů (audtorských zpráv) ve kterých je vedení banky informováno o stavu řídících a kontrolních mechanismů.

2 Konzultační funkce, která je určena převážně pro liniový management prostřednictvím účasti v projektech, připomínkováním vnitřních norem a předpisů, poradenstvím, odbornými konzultacemi a činnostmi zaměřenými na přidávání hodnoty a zdokonalování procesů.

3. Úloha vnitřního auditu v bankách

Vytvoření nezávislého útvaru „Vnitřní audit“ je podle zákona č. 21/1992 Sb., o bankách, povinné pro všechny banky. Tuto otázku konkrétně upravuje paragraf 8 uvedeného zákona, který stanoví v odstavci 6:

“Banka je povinna zřídit útvar vnitřního auditu, který zkoumá a hodnotí zejména funkčnost a účinnost řídícího a kontrolního systému banky, systém řízení rizik a dodržování zásad obezřetného podnikání banky.“

Zařazení útvaru vnitřního auditu v organizační struktuře banky vyplývá zejména z požadavku na jeho nezávislost. Vedoucí pracovník, např. ředitel útvaru vnitřního auditu, musí být v hierarchii banky podřízen přímo nejvyšší řídicí úrovni banky.

3.1 Základní úkoly vnitřního auditu

Základními úkoly vnitřního auditu jsou:

nezávislé prověření a ocenění fungování VŘKS, analyzování systémů řízení,

ověřování spolehlivosti a vhodnosti informačních systémů banky, vyhodnocování efektivnosti využití zdrojů (lidských i materiálních),

zabezpečování auditorské činnosti v případných dceřinných společnostech, navrhování doporučení na eliminaci u zjištěných nedostatků.

3.2. Porovnání interního a externího auditu

Na první pohled, pro člověka blíže neobeznámeného s auditorskou profesí, jsou interní a externí auditoři snadno zaměnitelní. Ve skutečnosti je tomu právě naopak.

Rozdíly mezi nimi jsou daleko větší než podobnosti, protože odlišné jsou jejich záměry a cíle.

3.2.1 Externí audit

Externí auditorská činnost je veřejnou službou poskytovanou kvalifikovanými odborníky z oboru účetnictví. Externí auditor je fyzická nebo právnická osoba zapsaná do seznamu auditorů. Externí auditor musí být nezávislý jak na státních orgánech, tak na vedení auditované společnosti i na ostatních zájmových skupinách. Práce externích auditorů v oblasti účetnictví je v podmínkách České republiky upravena zákonem č. 524/1992 Sb., o auditorech a komoře auditorů.

Cílem externího auditu je vyjádření názoru na finanční stav auditovaného podniku v konkrétním časovém období, prováděný podle norem a postupů, které jsou mezinárodně homologovány. Externí audit je ve své podstatě revizí finančního stavu podniku podle daných norem a technik, jejímž cílem je vyjádřit objektivní názor, zda stav hospodaření podniku odpovídá ekonomické a finanční situaci podniku v daném okamžiku, a zda jsou vykazované výsledky hospodaření a změny v daném období v souladu s obecně přijatými účetními zásadami. Externí auditor ověřuje jak organizační stránku účetnictví, tak i jeho praktické vedení z hlediska úplnosti, správnosti a průkaznosti. Na druhou stranu se externí auditor příliš nezabývá podvody nebo plýtváním, pokud významně neovlivňují finanční výsledky podniku.

Externí auditor odpovídá za ověření účetní závěrky a za svůj názor vyjádřený v auditorské zprávě formou výroku. Výrok podle zákona o auditorech obsahuje auditorův srozumitelný a jednoznačný názor na to:

zda údaje v účetní závěrce a ve výroční zprávě je věrně zobrazen stav majetku a závazků, vlastního jmění, finanční situaci a výsledek hospodaření účetní jednotky,

zda je účetnictví vedeno úplně, průkazným způsobem a správně.

3.2.2 Interní audit

Interní auditoři žili dlouhou dobu ve stínu externích auditorů. Mají také často stejnou minulost, vzdělání i zkušenosti. Tradičním personálním zdrojem pro obsazení funkce interních auditorů byli veřejní účetní.

Hlavní odlišnost interních auditorů oproti externím je v hloubce i šířce záběru jejich činností. Interní auditoři působí jako nezávislí hodnotitelé činností, kteří posuzují dané operace měřením a vyhodnocením adekvátnosti řídících a kontrolních mechanismů a účinnosti a efektivnosti výkonu. Poskytují tak manažerům v organizaci informace potřebné k efektivnímu výkonu jejich funkcí.

V následující tabulce jsou shrnuty základní rozdíly mezi interními auditory a externími auditory. Je zde porovnání pozic a zájmových okruhů moderního interního auditora na straně jedné a finančně orientovaného externího auditora na straně druhé.

Při podrobnějším zkoumání je možné v dnešní době vysledovat určitý posun poskytovaných služeb externích auditorů blíže k práci auditorů interních.

INTERNÍ AUDITOR EXTERNÍ AUDITOR

Zaměstnanec organizace. Nezávislý smluvní partner.

Pracuje pro vedení a řídící orgány společnosti (pro management).

Slouží třetím stranám, které potřebují spolehlivé finanční informace.

Provádí audit a kontroluje všechny činnosti uvnitř firmy.

Prověřuje činnosti za účelem vyjádření k finančním výkazům.

Postupuje na základě doporučení IIA, které pružně přizpůsobuje auditované organizaci. Zaměření je určováno potřebami a požadavky managementu.

Postupuje v souladu s mezinárodně homologovanými normami, které nelze podstatně měnit.

Zabývá se prevencí podvodů všeho druhu a rozsahu, protože tam, kde

dochází k podvodům, je

pravděpodobné, že kontrolní mechanizmy nefungují.

Příležitostně se zajímá o prevenci a detekci podvodu obecně, ale podvodem se přímo zabývá jenom tehdy, jsou-li podvodem podstatně ovlivněny finanční výsledky.

Je nezávislý na činnostech, které audituje z důvodů osobní nezaujatosti, avšak je vstřícný k potřebám a požadavky všech složek managementu.

Je nezávislý na řídících orgánech a managementu společnosti věcně i mentálně.

Prověřuje operace nepřetržitě (průběžně).

Prověřuje periodicky (obvykle 1×

ročně) doklady sloužící jako podklad pro finanční sumarizace.

Tabulka 2: Základní porovnání interních a externích auditorů

3.2.3 Spolupráce interního a externího auditu

Výsledky práce interních a externích auditorů lze využít jako podklad ke vzájemné spolupráci. Externí audit provádí hodnocení kvality činnosti vnitřního auditu (viz bod 6.2). Cílem tohoto hodnocení je posoudit možnost spolehnout se při práci externího auditu na výstupy interního auditu.

Od roku 2004 byl Českou národní bankou zaveden nový regulatorní požadavek týkající se povinnosti interního auditu, který musí nejméně jedenkrát ročně prověřit a zhodnotit kvalitu činnosti externího auditu. Vnitřní audit na vyžádání předkládá své zprávy vnějšímu auditorovi a naopak vyžaduje, aby vždy obdržel kopie zpráv vnějšího auditora adresovaných orgánům nebo vedoucím představitelům banky, včetně stanoviska k takovýmto zprávám nebo případných odpovědí na ně poskytovaných orgány banky.

Externí auditor může také dát podnět internímu auditorovi k provedení konkrétní činnosti, která následně slouží jako podklad k ročnímu finančnímu auditu. Z nastíněné spolupráce je zřejmé, jak je vhodné, pokud interní a externí auditor koordinují svou

práci, nejlépe již ve fázi plánování. Dochází tím k eliminaci duplicity práce a také k její větší efektivnosti. Techniky užívané oběma v oblasti finančních auditů mohou být podobné, avšak jejich cíle a plánované výsledky se liší. Představují tak dvě odlišné profese, které se musí navzájem respektovata využívat výsledku práce jedněch ku prospěchu druhých.

Databáze podniku

Interní audit Externí audit

Interní uživatelé Externí uživatelé

Obrázek 2: Základní vztah interních a externích auditorů k uživatelům

3.2.4 Outsourcing VA

Prostý překlad slova outsourcing je subdodavatelská výroba pro cizí společnost.

Daleko lépe a přesněji lze outsourcing definovat jako vztah mezi podnikem a vnějším dodavatelem, který nahrazuje zdroje a plní funkce, které jsou standardně součástí činností podniku samotného. Vnější dodavatel je tedy vybrán pro zajištění každodenní nebo periodické činnosti podniku, která je za běžných okolností zajišťována vlastními prostředky podniku, ale zároveň není jeho hlavním předmětem podnikání.

Z teoretického pohledu je naprosto nepodstatné, zda funkci a činnosti spadající do sféry působnosti interního auditu vykonává kmenový zaměstnanec banky nebo osoba najatá z vnějšku organizace a zabezpečující stejnou funkci a činnost na smluvním základě. V obou případech musí být logicky kladen největší důraz na dostatečnou kvalifikaci, profesionalitu a správně zrealizované procesy interního auditu v souladu se Standardy profesionální praxe interního auditu.

Na tomto místě je vhodné připomenout, že ze zákona 21/1992 Sb., o bankách, §6 odst.6, musí mít banka zřízen útvar interního auditu, byť by byl prakticky zajišťován pouze jediným pracovníkem. V případě této „minimalistické“ verze by sice byla naplněna litera zákona, ale je opravdu obtížné si takové řešení představit a v praxi je nesplnitelné. Tento jediný interní auditor není schopen sám kvalitně a v potřebné šíři pokrýt svými znalostmi širokou problematiku banky a její vnitřní velmi komplikované procesy. O něco lépe si lze představit, že tento osamělý auditor bude spíše plnit manažerskou funkci a bude plánovat, objednávat, koordinovat a reportovat outsourcingované činnosti. Ale i tato varianta je poměrně nepřijatelná, neboť i jen plnění manažerských povinností výrazně přesahuje v bance možnosti jediného pracovníka.

Pracovní návrh připravované vyhlášky České národní banky implementující do českého právního řádu nová pravidla tzv. Basel II (viz výše, kapitola 1.7), v § 20 odst. 2 výslovně možnost outsourcingu vnitřního auditu připouští s tou výhradou, že vždy útvar vnitřního auditu banky musí i v takovém případě vykonávat nadále minimálně následující činnosti:

a) sestavení analýzy rizik,

b) sestavení strategického a periodického plánu vnitřního auditu, c) vytvoření a udržování systému sledování opatření k nápravě, a

d) zpracování souhrnného vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému, a to alespoň jednou ročně.

Přístup k outsourcingu vnitřního auditu je mezi jednotlivými pracovníky vnitřního auditu velmi různorodý a zatížený velkou mírou subjektivity. Mezi nejvýraznější výhody outsourcingu interního auditu z pohledu banky patří při předpokladu jejího provádění renomovaným dodavatelem:

zaručené sledování nejnovějších trendů v oblasti interního auditu a jejich aplikace při vlastním provádění auditu,

zkušenosti získané a sdílené celou externí firmou při provádění velkého množství auditů,

kvalifikace a neustálý tlak na zvyšování odbornosti externích auditorů,

jednotný přístup k auditním technikám, reportování a prezentaci zjištěných skutečností,

disponibilita a flexibilita potřebných lidských a časových kapacit, větší schopnost prosadit nepopulární změny,

Naopak mezi nejvýraznější nevýhody patří:

vznik závislosti banky na dodavateli a z toho plynoucí převážně vzrůstající finanční náročnost,

možné zneužití důvěrných informací, které může vést k fatálním následkům pro banku, pro niž je důvěryhodnost jedním ze základních atributů,

finanční výdaje – všeobecně je outsourcing zaváděn z důvodu snížení výdajů.

V případě outsourcingu vnitřního auditu ale v České republice zatím platí, že sazby renomovaných mezinárodních auditorských společností, které při výběru bankou přicházejí do úvahy, jsou podstatně vyšší než platy zaměstnanců vnitřního auditu. Samozřejmě nelze srovnávat pouze výše hodinových sazeb.

V případě zjištění nákladů zaměstnavatele na práci interního auditora je nutné přičíst další náklady ale i pak vychází, že práce externího auditora je přibližně čtyřikrát dražší,

nedostatečné znalosti o fungování specifických činností bank a z toho vyplývající vyšší časové nároky na seznámení se s interními procesy, které vedou k větší časové zátěži pro pracovníky společnosti,

riziko krachu spolupráce – ať již z důvodu špatně definovaného požadovaného předmětu činnosti ve smlouvě nebo nedostatečného zajištění běžných práv.

Mezi sporné důvody zavedení outsourcingu zejména patří:

větší míra nezávislosti – je předpokládána z důvodu minimálního napojení externí firmy na organizační strukturu banky. Na druhou stranu, finanční prostředky poskytované bankou jako platby za služby externí auditorské firmě by jistě dosahovaly takové výše, že i tyto subjekty by byly vstřícnější k zájmům

zadavatele. Při překročení jisté hranice „shovívavosti“ ze strany externího auditu může dojít k de facto naprostému krachu jak auditovaného subjektu, tak i auditorské firmy, o čemž jsme se mohli přesvědčit i v nedávné minulosti.

3.2.5 Cosourcing VA

Jedná se o takový model spolupráce mezi interním a externím auditem, kdy z pohledu vnitřního auditu banky využíváme specifických znalostí, dovedností a zkušeností externího auditora potřebných pro zvládnutí konkrétního vytčeného cíle.

Zejména se bude jednat o případ auditu, který svým specifickým obsahem nebo kapacitními možnostmi přesahuje možnosti stávajícího personálního obsazení vnitřního auditu a ten pak z těchto důvodů není schopen garantovat jeho zdárné dokončení tak, aby přinesl pro banku očekávanou přidanou hodnotu.

Pro úplnost je nutné uvést také v odborné literatuře často uváděnou prospěšnost cosourcingu při zakládání útvaru vnitřního auditu, kdy know-how potřebné k formování tohoto velmi specifického útvaru je poskytováno právě externími specialisty. Ti také slouží a pomáhají, hlavně ze začátku, s nastavováním spolupráce s top managementem a dozorčí radou, plánováním na strategickém i ročním základu, se způsobem prezentace výsledků auditů auditovaným manažerů i top managementu. V neposlední řadě jsou vzorem, od kterého se nově ustanovení auditoři, ať již bez praxe nebo s minimální znalostí auditních technik, učí správným auditním postupům, získávání a vedení dokumentace, zpracovávání získaných informací i vytváření závěrečné zprávy při vykonávání konkrétního jednotlivého auditu.

Cosourcing využívá všechny výhody outsourcingu popsané výše. I z tohoto důvodu je cosourcing pravděpodobně nejčastější a také nejpřijatelnější model spolupráce s externími auditorskými společnostmi používaný v současné době v rámci bankovního sektoru České republiky.