Jak na interní audit – užitečný návod k využití funkce interního auditu nejen v obchodních společnostech

7.5.2013

Při brouzdání na internetu lze najít celou řadu nejrůznějších doporučení, vzorových postupů, stanovisek,  výsledků průzkumů a dalších pojednání týkajících se interního auditu (IA). Profesionálům v oblasti správy a řízení společností lze bezesporu doporučit k přečtení a jako užitečnou pomůcku  v jejich práci aktuální dokument  „Making the most of Internal Audit Function“, který je koncipován jako praktický návod (nejen) pro členy správních orgánů v tom, efektivně využívat funkci interního auditu. Důraz je přitom kladen na získání ujištění o adekvátnosti systémů řízení rizik a vnitřních kontrol.

 

Tento návodný dokument byl  publikován počátkem prosince 2012 a pochází ze společné „dílny“ organizací ecoDa (European Confederation of Director´s Associations), která má ambici  „zastřešovat“ národní instituty členů správních orgánů v členských státech EU, a organizací ECIIA (European Confederation of Institute of Internal auditing) sdružující národní instituty interních auditorů ve 37 zemích Evropy.

 

V dokumentu se vychází ze soudobého koncepčního pohledu na uspořádání systému vnitřních kontrol v organizaci (tzv. Three Lines of Defence Model), který je aktuálně ponejvíce zaveden ve finančních institucích a je v současné době doporučován jako efektivní a účinná forma nastavení interní governance (kontrolního a řídicího systému) organizace. Interní audit zde stojí na nejvyšší (třetí) úrovni  systému kontrol organizace (obchodní společnosti) a představuje  klíčový prvek corporate governance tím, že dává správním orgánům a výkonnému vedení společnosti (nezávislé a tedy objektivní) ujištění,  jak (?účinně a efektivně?) organizace vyhodnocuje a řídí rizika a jak fungují manažerské kontroly a další součásti (funkce, aktivity) interní governance (tj. jak funguje první a druhá úroveň „obrany“). Blíže o tomto modelu –viz separátní článek v rubrice „interní audit“ v rámci sekce „corporate governance).

Dokument vymezuje (A)  tři základní výchozí podmínky pro řádné a efektivní fungování interního auditu v organizaci a přináší (B) deset doporučených praktik (činností), které by výbory pro audit a další správní orgány měly při posuzování role, činnosti a efektivnosti fungování interního auditu vykonávat. Níže je uveden jejich přehled doplněný v některých případech o stručný komentář.

 

A1: Postavení útvaru interního auditu v organizaci (obchodní společnosti)  je nastaveno tak, aby funkce interního auditu mohla být vykonávána v odpovídající úrovni nezávislosti. (POZN.: liniová versus funkční podřízenost útvaru IA, viz mezinárodní standardy IA na www.ciiia.cz).

A2: Interní audit sestavuje a implementuje plán interních auditů z pohledu rizik organizace (obchodní společnosti).

A3: Činnost interního auditu a všech členů jeho týmu musí konsistentně  vykazovat vysokou úroveň profesionality a kvality práce.

 

B1: Periodické provádění  důkladné analýzy aktuálního stavu ve společnosti (organizaci) bez IA  za účelem ověření, zda  nenastala nutnost pro zavedení funkce IA. Kritériem ve prospěch zřízení funkce IA není až tak velikost společnosti (organizace), ale zejména její rizikový profil  (jakým rizikům, s jakou pravděpodobností výskytu a  v jakém finančním dopadu je společnost / organizace vystavena) a komplexnost činnosti společnosti a jejího organizačního uspořádání.

B2: Stanovení a schválení statutu interního auditu. VA a případně další správní orgány by měly pravidelně posuzovat, zda statut IA vytváří dostatečný prostor a podmínky pro plnění úlohy IA ve společnosti (organizaci).

B3: Zajištění adekvátních podmínek pro nezávislost interního auditu – v rámci řádně nastavené funkční podřízenosti IA umožnit vedoucímu útvaru IA (Chief Audit Executive – CAE) přímý a nerestriktivní přístup k výboru pro audit a dalším správním orgánům společnosti (organizace).

B4: Provádění hodnocení  plánu interního auditu při jeho přípravě i implementaci.  Finální verze plánu IA podléhá schválení ve správních orgánech společnosti (dle stanovené procedury). Plán IA je nutno chápat jako dynamický dokument,  jehož aktuálnost by měla být pravidelně během roku posuzována s ohledem na změny v rizikovém profilu společnosti (organizace) a v optice  dalších poznatků  a informací (změny schvaluje příslušný správní orgán společnosti).

B5: Posouzení personálního vybavení (z pohledu potřebné personální kapacity a požadovaných oblastí expertízy) útvaru interního auditu ve společnosti (organizaci). Obecně platí, že kapacita útvaru IA by se měla odvíjet od plánu interního auditu (sestaveného na pozadí rizikového profilu společnosti). Jakékoliv kompromisy v této oblasti (tj. nižší než potřebná kapacita útvaru IA a tedy snížení akceschopnosti IA a  neúplné pokrytí rizikových oblastí a činností ze strany IA) musí být vždy schváleny příslušnými správními orgány společnosti (organizace), nesmí se tedy jednat o jednostranné rozhodnutí GŘ. Správní orgány musí být zapojeny do procesu výběru a ustanovení vedoucího útvaru IA (CAE) a do stanovení podmínek odměňování CAE a dalších pracovníků IA.

B6: Získávání ujištění o kvalitě práce funkce interního auditu. Jedná se jednak o periodické (roční) provádění interního hodnocení kvality práce IA ze strany vedoucího IA (CAE) a správních orgánů společnosti (organizace) a jednak o externí ověření úrovně funkce IA, které má být dle mezinárodních standardů IA prováděno alespoň jedenkrát za pět let a realizováno prostřednictvím nezávislých hodnotitelů (zpravidla to jsou hodnotitelé z mezinárodní organizační struktury institutu interních auditorů – Institute of Auditors).

B7: Dohlížení na vzájemné vazby mezi funkcí interního auditu a funkcí řízení rizik. Správní orgány a  GŘ mají zajistit, aby mezi funkcí IA a funkcemi ve 2. linii obrany společnosti (viz výše), kam patří funkce RM, compliance atd., byla dobře nastavena dělba působnosti  a zároveň koordinace činnosti. Úlohou správních orgánů  a GŘ je rovněž  zajištění toho, aby součástí plánu IA bylo provedení hodnocení fungování a nastavení interní governance a řízení rizik ve společnosti (tj. účinnost a funkčnost 1. a 2. linie obrany).

B8: Koordinace mezi funkcí interního auditu a činností externího auditora. Správní orgány a GŘ by měly především zabezpečit, aby probíhala otevřená a nelimitovaná komunikace mezi IA a externím auditorem společnosti (organizace).

B9: Pravidelné hodnocení reportingu interního auditu určeného správním orgánům společnosti (organizace).  Správní orgány posuzují zejména nejdůležitější (nejzávažnější) zjištění interního auditu, postup realizace plánu IA, plnění nápravných opatření ke zjištěním IA atd.

B10: Monitoring stavu plnění doporučení interního auditu (nápravných opatření ke zjištěním z provedených auditů) ze strany odpovědného managementu společnosti (organizace).

 

Úplnou verzi dokumentu „Making the most of Internal Audit Function“ lze najít na webových stránkách www.ecoda.org nebo www.eciia.eu (rubrika „Latest News“ nebo „ECIIA Policy“). Dokument je k dispozici v anglickém jazyce a je volně ke stažení.

Vladimír Brož,
prezident ČITOS

7. 5. 2013