Professional Documents
Culture Documents
Ilovepdf Merged
Ilovepdf Merged
kontrolního prostředí
1.1 Úvod
Pro pochopení kontrolních a auditních procesů je nezbytné pro začátek pochopit hlavní cíle fungování
entit, které budou předmětem ujišťovacích postupů. Za zjišťovací postupy budeme dále uvažovat
veškeré kontrolní a auditní postupy, které soukromá nebo veřejná instituce využívá v rámci svého
kontrolního prostředí. Kontrola jako taková je přirozenou součástí konceptu řízení společnosti, kdy je
nedílnou součástí postupů vedení společnosti nebo veřejného subjektu. Jednoduše kdo řídí, ten
zároveň v rámci své působnosti kontroluje, jak jsou jeho rozhodnutí a pokyny odpovědnými
zaměstnanci naplňovány.
V rámci pochopení strategie stanovování cílů společnosti je nezbytné na začátku vymezit koncept pro
řízení a kontrolu společnosti. Pro pochopení této problematiky si v následujících bodech vymezíme dva
základní koncepty. První z nich je účinný v oblasti obchodních korporací bez ohledu na to, je-li jejich
konečný vlastník soukromý nebo veřejný subjekt. Druhý potom popisuje podstatu řídicích a kontrolních
procesů v prostředí veřejné správy.
Principy řádné správy obchodních korporací jsou v českém právním řádu kodifikovány. Aktuální právní
předpis, který vymezuje pravidla, odpovědnosti, vazby, vztahy a nastavení pravidel Corporate
Governance je zákon č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních
korporacích). Tato právní úprava pokrývá všechny obchodní i neziskové korporace a nastavení
Corporate Governance v rámci těchto korporací. V širším pojetí Corporate Governance existuje mnoho
dalších právních předpisů, které se týkají vnitřního kontrolního prostředí a dalších externích faktorů,
které regulují procesy řádné správy, zejména vztahy k třetím subjektům.
1
http://www.oecd.org/corporate/
2
https://www.mpo.cz/dokument2566.html
orgánu v každém jednotlivém případě. Neexistuje žádný seznam možných veřejných zájmů. Obecně lze
říct, že zájem je zájmem veřejným, jestliže je zájmem alespoň podstatné části společnosti a směřuje
k všeobecnému blahu a dobru. Proto se nejedná o veřejný zájem v případě zájmu individuálního či úzké
skupiny, nebo zájem v rozporu s právními předpisy.“3
Generování veřejného zájmu tak není proces jednoznačný a zahrnuje vysokou míru komplexnosti.
V tomto konceptu existují druhy veřejného zájmu, které spojují většinu společnosti. Příkladem může
být ekonomický růst nebo kvalita zdravotní péče nebo zdravé životní prostředí. Na nižší úrovni,
například v oblasti prioritizace využití veřejných statků, se však zájmy veřejnosti mohou značně lišit.
V takovém případě je hlavním nástrojem pro stanovení veřejného zájmu proces demokratických voleb.
Na základě nabídky programů jednotlivých politických subjektů se při volbách občané na základě
většinového názoru volbou rozhodují, jak budou takové veřejné statky využity ve prospěch širší
veřejnosti.
Veřejný zájem je následně jedním z hlavních účelů existence a fungování veřejných institucí. Veřejné
zájmy, které jsou všeobecně uznané, jsou zpravidla formulovány v právních normách. Na centrální
úrovni státní správy zpravidla ve formě zákonných a podzákonných norem, na úrovni územní
samosprávy poté ve formě závazných usnesení a vyhlášek rady nebo zastupitelstva obce.
Obrázek č. XY – Nastavení vazeb Good Governance na úrovni státní správy (zjednodušený model)
3
HAVELKOVÁ, Svatava. Veřejný zájem. Ochrana přírody [online]. 2008, č. 3. Dostupné z:
http://www.casopis.ochranaprirody.cz/pravo-v-ochrane-prirody/verejny-zajem
Obrázek č. XY – Nastavení vazeb Good Governance na úrovni územní samosprávy
(zjednodušený model)
4
VČELÁK, Josef a WAGENKNECHT, Lukáš. Politika řádné veřejné správy pro Českou republiku. Centrum of Excellence for Good Governance
o. s., 2014.
čtyřletý. Po výměně politického vedení orgánů veřejné správy se může i strategie vedení zásadně
měnit.
V neposlední řadě je také významné riziko odosobnění prosazování individuálních podnikatelských
zájmů vzhledem k tomu, že v orgánech společností jsou zástupci veřejnosti, kteří nemusí mít stejnou
osobní motivaci jako v případě soukromých vlastníků obchodních korporací.
V této souvislosti je také potřeba zmínit zvýšené riziko korupčního prostředí spojené s možnými střety
zájmů volených zástupců, kteří vykonávají akcionářská nebo obdobná vlastnická práva.
2 Integrovaný rámec vnitřního kontrolního prostředí
2.1 Úvod
V konceptu Corporate Governance a Good Governance se v průběhu času vyvinula potřeba podrobněji
popsat a definovat jednotlivé procesy, prostřednictvím kterých organizace dosáhne základního
standardu nastavení kvalitního kontrolního prostředí. V této kapitole se proto zaměříme na model
vnitřního kontrolního prostředí organizace COSO (The Committee of Sponsoring Organizations of the
Treadway Commission), dále také “COSO”.
Vzhledem k tomu, že úsilím všech řídicích i kontrolních aktivit společnosti by mělo být společné
dosahování cílů společnosti, byly v integrovaném rámci definovány tři oblasti zaměření cílů, které by
měly být hodnoceny a zohledněny.
Interní kontrolní systém je proces uskutečňovaný vedením společnosti a jinými pracovníky organizace,
jehož cílem je poskytnout přiměřené ujištění o plnění cílů v následujících kategoriích:
1. Cíle operací
Účelnost a hospodárnost
Ochrana aktiv proti znehodnocení či ztrátě
1
Applying COSO's ERM — Integrated Framework, COSO 1992
2. Cíle výkaznictví
Spolehlivost, včasnost, transparentnost
3. Cíle souladu
Soulad s legislativou a jinými platnými předpisy
Uvedené cíle systematicky navazují na cíle konečných vlastníků společnosti. Zohledňují přitom
požadavky kvalitního kontrolního prostředí společnosti i vnějších vlivů, které působí na její hospodaření
a fungování.
2
VČELÁK, Josef a WAGENKNECHT, Lukáš. Politika řádné veřejné správy pro Českou republiku. Centrum of
Excellence for Good Governance o. s., 2014.
Zásadní vliv na celkové nastavení má jak politika ve smyslu strategie organizace, tak nastavení cílů a
uspořádání metod a postupů kontrolních činností.
Hlavním úsilím tohoto konceptu je nastavení tzv. „pozitivního kontrolního prostředí.“ Význam má
proto zejména přístup vedení společnosti k celkovému konceptu a strategii v rámci organizace.
Projevuje se například požadavek na bezúhonnost klíčových zaměstnanců nebo formalizaci obecných
principů a postupů etického jednání. Trendem posledního desetiletí je také postupná kodifikace
etických hodnot a přístupů jak u soukromých organizací, tak i u subjektů veřejné správy. Nejčetněji
využívaným nástrojem jsou etické kodexy.
K dalším z možných prvků kvalitního kontrolního prostředí patří dostatečné vymezení pravomocí a
odpovědností v rámci organizace nebo nastavení jasné personální politiky s důrazem na odbornou
způsobilost, objektivitu, odbornost a nestrannost.
Kontrolní činnosti by měly v každé organizaci směřovat ke snižování přirozeného (tvz. inherentního)
rizika. Postupy mohou být zaměřené ex-ante, v takovém případě jsou nazvány preventivní. Průběžné
nebo následné kontroly pak označujeme jako detekční.
Jako nezbytná součást kontrolních aktivit jsou nápravy zjištěných nedostatků. Veškeré postupy jsou
zaměřeny na dosahování předběžných cílů, nicméně náklady na opatření k nápravě by neměly
přesáhnout užitek z nich. Vždy je tak nezbytné uvažovat ekonomickou stránku kontrolních aktivit.
Bez kvalitních informací není možné efektivně řídit. Proto je nezbytné, aby měla společnost dostatečně
zdokumentované jednotlivé postupy. Požadavek na dostatečnou evidenci je definován jako tzv. auditní
stopa. V praxi jde především o to, aby kdokoliv, kdo má dostatečné, objektivní, úplné a relevantní
informace o konkrétním procesu, mohl dojít ke stejným závěrům jako osoba odpovědná za
rozhodování v rámci takového konkrétního procesu.
Efektivní a účinná komunikace v organizaci postupuje směrem dolů, napříč i nahoru přes všechny prvky
a celou strukturu veřejnosprávní organizace. Komunikovat je potřeba i s externími stranami. Základem
komunikace jsou informace, které musí naplňovat očekávání skupiny nebo jednotlivce a umožnit jim
efektivní plnění jejich povinností.
2.2.5 Monitoring3
„Monitorování vnitřní kontroly by mělo zahrnovat zásady a postupy určené k zajištění adekvátního
a včasného vyřešení kontrolních zjištění. Schvalující osoba, pověřené schvalující osoby a hlavní účetní
správce veřejného rozpočtu a jeho resortních subjektů, by měly:
• Včas vyhodnotit zjištění auditu nebo jiných prověrek, včetně těch, které poukazují na
nedostatky a obsahují doporučení auditorů a dalších osob, které hodnotí operace
veřejnoprávní organizace.
• Určit příslušná opatření podle zjištění a doporučení.
• Splnit ve stanovené lhůtě všechna opatření, která napraví nebo jinak vyřeší otázky, na které
bylo upozorněno.
Proces nápravy začíná tehdy, když se výsledky auditu nebo jiné prověrky oznámí managementu a končí
se přijetím opatření:
• Náprava zjištěných nedostatků.
• Zlepšení.
• Důkaz, že zjištění a doporučení si nevyžadují angažovanost vedoucích zaměstnanců.“
V roce 2004 proběhla první větší revize modelu COSO a byl vydán aktualizovaný model COSO ERM II.
3
VČELÁK, Josef a WAGENKNECHT, Lukáš. Politika řádné veřejné správy pro Českou republiku. Centrum of
Excellence for Good Governance o. s., 2014.
4
Enterprise Risk Management — Integrated Framework, Executive Summary COSO, 2014. Dostupné z:
https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdf
Šlo především o reakci na zavedení zákona Sarbanex – Oxley act ve Spojených státech amerických,
který byl přijatý na základě nového druhu podvodného jednání při vykazování hospodaření
soukromých společností. Jedním z nejznámějších příkladů byla kauza společnosti Enron Corporation,
podnikající v oblasti energetiky. Před vyhlášením bankrotu tato korporace zaměstnávala přes 20 tisíc
zaměstnanců. Tato společnost měla od 90. let minulého století stabilní kontinuální růst hodnoty akcií.
Za několik let zásadním způsobem znásobila objem svých aktiv z 10 mld. USD až na hodnotu 111 mld.
v roce 2000. Tyto výsledky však byly po dlouhou dobu systematicky zkreslovány. Šlo o selhání, na
kterém se podílel nejenom management, ale také externí auditoři, kteří na zjištěné problémy
neupozornili. V roce 2001 se přišlo na zásadní pochybení v účetnictví ve formě podvodného jednání.
Následně spadla hodnota akcií z necelých sto dolarů na 50 centů za akcii. Společnost vyhlásila na
začátku roku 2002 bankrot. Sarbanex – Oxley act zavedl povinnost hodnocení vnitřního kontrolního
systému ze strany managementu a povinnost auditora toto hodnocení ověřovat. Model COSO byl
doporučeným standardem pro takové hodnocení.
V nové revizi integrovaného rámce COSO ERM II do komponent nově přibyla oblast stanovování cílů a
byla více rozpracována oblast hodnocení rizik včetně jejich identifikace a přijímání nápravných
opatření.
Poslední komplexní revizí prošel integrovaný rámec COSO v roce 2013. Mimo hlavní cíle zaměření
vnitřního kontrolního systému a komponenty nově přibylo 17 podrobnějších principů, které tvoří
základ jednotlivých komponent.
Kontrolní prostředí
6. Stanovování cílů
7. Identifikace a analýza rizik
8. Vyhodnocování rizika podvodů
9. Identifikace a analýza významných změn
Informace a komunikace
Kontrolní aktivity
Monitorovací činnosti
Efektivnost fungování vnitřního kontrolního systému se projevuje jak zavedením všech principů, tak
jejich vzájemnou součinností.
I při zavedení všech komponent, cílů a principů integrovaného rámce je podstatné vnímat to, že
jakýkoliv model může mít své limity. V případě integrovaného rámce jsou to zejména:
3.1 Úvod
Tato kapitola navazuje na definovaný Integrovaný rámec vnitřní kontroly COSO. Na základě potřeby
podrobnějšího uspořádání vztahů a vazeb komponent kontrolní prostředí, kontrolní postupy/procesy
a hodnocení rizik definoval Institut interních auditorů (dále také „IIA“) model 3 pásem obrany. Koncept
byl vyvinut za účelem dosažení efektivního systému vnitřního řízení a kontroly uvnitř každé organizace.
Nezáleží na tom, jestli je to organizace veřejného nebo soukromého sektoru, ani jak je velká, ale v
určité míře by měla tato 3 pásma obrany fungovat v každé organizaci. Jedná se o obecně uznávaný
model a státy jako Austrálie nebo Velká Británie mají efektivní hospodaření s veřejnými prostředky
založeno právě na tomto modelu. Model jasně definuje role a odpovědnosti jednotlivých skupin uvnitř
organizace tak, aby bylo dosaženo efektivní koordinace řízení rizik. Mimo tento koncept se budeme
v této kapitole zabývat modelem Public Internal Control, který je zohledněný v doporučeních Evropské
komise pro nastavení kontrolního prostředí jednotlivých orgánu Evropské unie i v doporučeních pro
jednotlivé členské státy
1
THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL, Position Paper, January
2013, IIA
Obrázek č. XY – Model tří pásem obrany v soukromém sektoru2
2,3
THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL, Position Paper, January
2013, IIA
3.2.1 První pásmo obrany
První pásmo obrany je v působnosti výkonného managementu. Jde tedy o běžné kontrolní postupy
v rámci manažerské odpovědnosti jednotlivých pracovníků organizace.
V oblasti systému řízení rizik jde o aktivity, které vykonávají na běžné každodenní bázi.
Výkonný management vlastní rizika a je odpovědný za:
• Vyhodnocování rizik
• Řízení rizik
• Snižování rizik
Aby byl model v prvním pásmu obrany efektivně implementován, je pro společnost nezbytné najít
odpovědi na následující otázky:
1. Do jaké míry jsou cíle vnitřního kontrolního systému v souladu s cíli organizace?
2. Jak vrcholový management demonstruje závazek k čestnosti a etickým hodnotám? (Tone at
the top)
3. Do jaké míry organizační struktury jsou stanoveny role a pravomoci?
4. Je koncepce sebehodnocení nastavena uvnitř celé organizace? (Self-assessment)
5. Kdo dává ujištění o funkčnosti a efektivitě systému řízení a kontroly?
Ve druhé linii obrany jsou průřezové funkce a procesy, jejichž hlavní náplní práce je definování
standardizovaných postupů, podle nichž postupují výkonní zaměstnanci realizující běžné operativní
postupy. Procesy definované IIA zahrnují:
• Procesy řízení rizik
• Soulad s externími standardy, např. kvalita (ISO) BOZP, nákupní procesy, compliance apod.
• Controllingové funkce, funkce finančního reportingu, funkce zaměřené na finanční rizika apod.
Risk management v druhém pásmu obrany poskytuje v organizaci podporu všem úrovním vedení a
výkonným zaměstnancům a nezávisle se ptá na:
• Rizikový apetit a strategii
• Vyhodnocování rizik
• Risk reporting
• Plán na snížení rizik
Aby byl model v druhém pásmu obrany efektivně implementován, je pro společnost nezbytné najít
v oblasti systému řízení rizik odpovědi na následující otázky:
1. Jaký je proces je stanovený pro identifikaci rizik a jejich průběžnou aktualizaci při vzniku nových
rizik?
2. Jak organizace zajišťuje, že řízení rizik je nedílnou součástí operačního plánování a každodenní
činností jednotlivých zaměstnanců?
3. Do jaké míry je princip vlastnictví rizika zakotven v delegování pravomocí?
4. Jak se řízení rizik organizačně koordinuje v rámci organizace?
5. Kdo dává ujištění, že systém řízení rizik je efektivní?
Aby byl model ve třetím pásmu obrany efektivně implementován, je pro společnost nezbytné
najít odpovědi na následující otázky:
1. Poskytuje interní audit skutečné ujištění?
2. Přezkoumává interní audit řízení a rizikové procesy?
3. Jedná interní audit opravdu jako 3. pásmo obrany?
4. Je interní audit považován jako partner managementu?
5. Je strategie interního auditu v souladu se strategií organizace?
6. Zaměřuje se interní audit na to, co má být předmětem auditu?
Mezi subjekty, které stojí vně definovaných pásem obrany, ale které mají zároveň významný vliv na
vnitřní kontrolní procesy organizace, patří externí auditor a regulátoři. V případě veřejné správy plní
roli externího auditora Nejvyšší kontrolní úřad, který je jedním z ústavních orgánů České republiky. U
soukromých subjektů jde potom o externího auditora, který poskytuje nezávislé ujištění v oblasti
věrného obrazu finančních výkazů. Dalšími subjekty, jejichž pravomoci jsou definované zákonnými
předpisy, jsou například Česká národní banka v oblasti regulace finančních institucí. Vykonává dohled
nad dodržováním zákonných postupů. Právě v tomto sektoru se legislativa podrobně zaměřuje na
definované vnitřní kontrolní prostředí, funkci řízení rizik nebo vnitřního auditu.
3.2.5 Vzájemná koordinace
Mimo management, průřezové a koordinační funkce a interní audit také nemůžeme opomenout
vrcholovou úroveň společnosti, která je zejména příjemcem informací a má také vyhrazené kontrolní
a strategické rozhodovací funkce. Jde především o dozorové orgány typu dozorčí rada, výbor pro
audit nebo nejvyšší orgány společnosti reprezentující akcionáře, zpravidla valná hromada.
V neposlední řadě je nutné zmínit potřebu vzájemné koordinace jednotlivých linií obrany. I když má
každá z nich vlastní definované pravomoci a odpovědnosti, musí ve společnosti působit tak, aby byly
dosahovány cíle společnosti. Žádný prvek konceptu sám bez interakce s ostatními nemůže dosáhnout
kvalitního kontrolního prostředí.
V rámci společné iniciativy Evropské komise a OECD nazvané Sigma byla v roce 2007 vydána
publikace „PIFC Public Internal Financial Control4.“ V rámci tohoto projektu Evropská komise vydala
komplexní doporučení členským státům pro zavádění a zlepšování systému vnitřní kontroly.
• konceptu COSO
• standardu ISO31000 – Governance
• definice vnitřního kontrolního systému dle standardů INTOSAI (standardy pro nejvyšší auditní
instituce).
Jako hlavní nosná klíčová slova pro definování pojmu „vnitřní kontrola“ jsou podle tohoto konceptu:
• Jde o proces
• Je vlastněný lidmi
• Poskytuje přiměřené ujištění o dosahování stanovených cílů
V průběhu času byl koncept redefinován z PIFC na PIC. Vypuštěním slova finanční došlo k ujištění, že
se koncept nevztahuje pouze na finanční transakce, ale na všechny kontrolní mechanismy a postupy
subjektů veřejného sektoru členských státu EU.
4
DE KONING, Robert. PIFC Public Financial Internal Control, project Sigma [online]. January, 2007. ISBN: 978-90-
9021218-0. Dostupné z: https://www.academia.edu/35860900/PIFC_Public_Internal_Financial_Control
Model PIC je založený na třech pilířích.
Prvním pilířem je systém finančního řízení a kontroly. Jde o soubor řídicích, schvalovacích a
kontrolních postupů v odpovědnosti vedení organizace, včetně procesů finanční inspekce.
Druhým pilířem v definovaném modelu PIC je interní audit, u kterého musí být zajištěna funkční
nezávislost na výkonném managementu, který audituje.
Třetím prvkem, který celý systém zastřešuje, je tzv. centrální harmonizace. V praxi jde o organizační
jednotku podřízenou vládě nebo ministerstvu financí, která má za úkol harmonizovat přístup
členského státu a jednotlivé aktivity související s vnitřním kontrolním prostředím subjektů veřejného
sektoru. Mezi tyto aktivity patří především:
Pro zajištění aktivní interakce mezi externími a interními kontrolními a auditními subjekty Evropská
komise dlouhodobě doporučuje zavádění výborů pro audit ve veřejném sektoru.
4 Hodnocení rizik
4.1 Úvod
Další z komponent integrovaného rámce COSO pro vnitřní kontrolní prostředí je hodnocení rizik. V této
kapitole budou podrobněji rozebrané jednotlivé fáze procesu řízení rizik. Současně budou podrobněji
popsány taktiky využívané v tomto konceptu pro snižování negativních dopadů přirozených
(inherentních) rizik.
Hodnocení rizik je samostatná komplexní disciplína. Proto je definice procesu hodnocení rizik
obsažena v mnoha konceptech.
„Vnitřního řízení a kontroly je nejlépe dosaženo, pokud je považováno jako součást procesu řízení
rizik.1“
Samotný pojem riziko je, jak je uvedeno výše, možné vnímat jako vliv nejistoty na dosahování cílů
společnosti. Zjednodušeně by mohl být výstižným synonymem pro pojem riziko použit termín hrozba
nebo možnost selhání nebo určité ztráty.
V konceptu hodnocení rizik je nutné vnímat i možné pozitivní dopady rizik na procesy společnosti a
dosahování cílů. V některých případech může být tzv. inherentní (přirozené) riziko příležitostí
společnosti pro zavedení efektivních procesů.
Praktickým příkladem může být riziko ekonomické recese, které nemůže společnost sama o sobě
nijak ovlivnit. Nicméně v některých případech může být ekonomická recese příležitostí pro rozvoj
podnikání, jehož výstupy jsou v době ekonomického útlumu na trhu žádanější.
Integrovaný rámec profesní praxe interního auditu (IPPF)4 definuje několik standardů, zaměřených na
oblast rizik.
1
IFAC – Managing Risk as an Integral Part of Managing an Organization 2015
2
ISO 31000:2009
3
ISO 31000:2009
4
https://www.interniaudit.cz/ippf/interaktivni-prehled.php?idKategorie=12
• Interní audit musí systematicky a metodicky hodnotit procesy řízení a správy společnosti,
řízení rizik a řídicí a kontrolní procesy a přispívat k jejich zdokonalování.
• „Interní audit musí hodnotit účinnost procesů řízení rizik a přispívat ke zdokonalování těchto
procesů.“
Interpretace:
Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem úsudku interního auditora založeném na
zhodnocení, že:
K podpoře takového zhodnocení může interní audit získávat informace prostřednictvím několika
zakázek. Společný pohled na výsledky těchto zakázek pak poskytuje porozumění procesům řízení rizik
ve společnosti a jejich účinnosti.
Procesy řízení rizik jsou sledovány prostřednictvím průběžných řídících činností, samostatných
hodnocení nebo prostřednictvím kombinace obou uvedených činností.
2120.A1 – Interní audit musí hodnotit rizika týkající se řízení a správy společnosti, procesů společnosti
a informačních systémů z hlediska:
2120.A2 – Interní audit musí hodnotit možnost výskytu podvodu a způsob, jakým společnost řídí riziko
podvodu.
2120.C1 – V průběhu poradenských zakázek se interní auditoři musí zabývat riziky souvisejícími s cíli
zakázky a musí být obezřetní vzhledem k existenci dalších významných rizik.
2120.C2 – Interní auditoři musí při hodnocení procesu řízení rizik dané společnosti používat znalosti
rizik získané v průběhu poradenských zakázek.
2120.C3 – Při poskytování pomoci vedení při zavádění nebo zlepšování procesů řízení rizik, interní
auditoři nesmí přijmout jakoukoli řídicí odpovědnost, která by znamenala skutečné řízení rizik.
4.4 Auditorské riziko
Koncept auditorského rizika je definován v mezinárodním auditorské standardu ISA 3205 (pro účely
ověření účetní závěrky).
Podle výše zmíněného standardu „Auditorské riziko vyjadřuje možnost, že auditor vydá k účetní
závěrce, která je významně (materiálně) zkreslená, nesprávný výrok.“
AR = IR x CR x DR, kde
DR je detekční riziko, že samotný auditor při ověřování nezjistí významnou nesprávnost v účetní
závěrce.
V praxi je tedy možné ve vztahu k detekčnímu riziku dojít k závěru, že může být tím vyšší, čím je
inherentní a kontrolní riziko nižší. Stejně tak čím vyšší je přirozené a kontrolní riziko, tím nižší musí
být úroveň rizika detekčního.
V případě vysokého inherentního a kontrolního rizika bude auditor muset stanovit větší vzorek pro
testování v rámci auditního šetření, aby snížil celkové auditní riziko na předem stanovenou
přijatelnou mez.
5
https://www.kacr.cz/file/3243/isa-volume-1-cz-kapitola-7-84-93-str.pdf
Dříve než si rozebereme jednotlivé fáze procesu řízení rizik, blíže se stručně zaměříme na
„systematičnost“ procesu řízení rizik tak, jak požadují standardy (viz bod Standardy interního auditu
pro oblast rizik).
Zmíněný metodický přístup vychází z procesní teorie PDCA (Plan, Do, Check, Act), kterou vyvinul
doktor W. Edwars Deming považovaný za tvůrce vybraných moderních metod řízení kvality se
zaměřením na rozvoj kritického myšlení.
Základem metody PDCA je její cykličnost. Po dokončení samotného cyklu tedy přichází další, ve kterém
se aplikuje opakovaně stejný postup. Tímto přístupem by měla společnost dosahovat cíle, který je
zaměřený na zdokonalování konkrétních postupů. Druhou zásadní charakteristikou celého cyklu je
oddělení jednotlivých fází. Hlavním důvodem je předcházení možných zkreslení při hodnocení
(měření).
Jednotlivé fáze obsahují přípravu (naplánuj), kde jsou soustředěny aktivity zaměřené na podrobné
naplánování aplikovaného procesu. Věcně jde tedy především o stanovení cílů. Druhým krokem
(proveď) je samotná aplikace stanoveného cíle v praxi. Ve třetí fázi cyklu (ověř) dojde k nasbírání
konkrétních měřitelných a ověřitelných dat, která slouží jako podklad pro porovnání výsledku se
stanoveným cílem. Posledním krokem (jednej) dojde k aplikaci pozitivních výsledků jako nového
standardu. V případě, že cyklus nepřinesl žádné prokazatelné zdokonalení, zůstáváme u standardu
původního.
Při identifikaci rizik se údaje o riziku zanesou do registru rizik, který obvykle obsahuje:
Samotná identifikace probíhá v prvním a druhém pásmu obrany sběrem dat a informací u
pracovníků, kteří s riziky pravidelně pracují. V případě tvorby vlastního registru rizik interního auditu
je možné vytvořit přehled rizik buď v rámci samostatné auditní nebo konzultační zakázky, v průběhu
prvotního audit universe, nebo průběžně v rámci hodnocení rizik jednotlivých auditních zakázek.
Při sběru dat a identifikaci rizik je třeba brát v úvahu celou řadu rizikových faktorů.
• Výkonnost ekonomiky
• Změny v legislativě
Identifikovaná rizika je nezbytné kvantifikovat tak, aby bylo možné vyhodnotit vliv, jakým by mohla
negativně ohrozit společnost.
Na základě těchto charakteristik u každého rizika určíme významnost vlivu rizika (V)
V=PxD
5 Katastrofické Krizové situace řešené nejvyšší úrovni řízení mající vliv na chod organizace
(např. neplnění strategických cílů při zajišťování veřejného zájmu)
4 Významné Ovlivňuje vnitřní i vnější chod organizace, řeší většinou vyšší stupně
vedoucích zaměstnanců (např. vznik významných ztrát – škody, soudní
spory)
3 Střední Ovlivňuje vnitřní i vnější chod organizace, řeší většinou střední stupně
vedoucích zaměstnanců
2 Nevýznamné Ovlivňuje zejména vnitřní chod organizace, řeší většinou nižší stupně
vedoucích zaměstnanců
1 Zanedbatelné Neovlivňuje znatelně ani vnitřní chod organizace, neřeší se většinou na
úrovni vedoucích zaměstnanců
Při využití formálního hodnocení pravděpodobnosti a dopadu je zpravidla jako veličina využívána
hodnota čas, nebo procento pro pravděpodobnost vzniku, a finanční objem vyjádření v peněžních
prostředcích pro stupeň dopadu.
R1
3
Dopad
2
R2
1
R3
0
0 1 2 3 4 5
Pravděpodobnost
Na výše uvedené mapě jsou graficky zobrazena tři rizika. Riziko R1 vykazuje hodnoty pravděpodobnosti
výskytu 4,5 a stupně dopadu také 4,5. Obdobně jsou vyjádřena i další dvě rizika.
4.5.3 Nápravná a preventivní opatření
Stanovení nápravných a preventivních opatření se provádí u rizik s vyšší významností jejich vlivu.
V konceptu řízení rizik se v praxi využívají taktiky, jejichž cílem je snížení negativních dopadů a výskytu
četnosti jejich vzniku. Mezi tyto taktiky patří:
• Vyloučení rizika
• Snížení rizika
• Přijetí rizika
• Přenos rizika
Cílem první taktiky - vyloučení rizika - je úplné zamezení možné příčiny vzniku konkrétního rizika, resp.
zákaz určité konkrétní činnosti. V praxi je možné uvést příklad úplného zákazu kouření na pracovišti,
který je možnou příčinou vzniku požáru v areálu výrobního podniku.
Druhá taktika – snížení rizika – plně možné příčiny neodstraňuje. Konkrétním příkladem může být
oddělení odpovědnosti určité aktivity, která je sdílena několika odpovědnými odděleními nebo
pozicemi v rámci společnosti.
Přijetím rizika v praxi společnosti akceptuje jeho stávající míru a nepodniká dodatečná nápravná
opatření na jeho omezení. Jde zejména o případy, kdy je aktuální míra významnosti rizika pro
společnosti akceptovatelná. Dodatečné náklady by zpravidla překračovaly dopady rizika v případě, že
by nastalo.
Přenos rizika je taktikou, kdy společnost zabezpečí negativní dopady rizik prostřednictvím třetího
subjektu. Modelovým příkladem této taktiky je pojištění majetku společnosti pro případ živelní
události.
V praxi je možné jednotlivé taktiky kombinovat. Hlavním cílech všech aktivit v rámci této fáze řízení
rizik je jejich snížení na hodnotu, která je pro společnost akceptovatelná.
V případě rizik, která mají negativní dopady na organizace, je možné přijímat dva druhy opatření.
V prvním případě jde o opatření, která mají okamžitý nápravný charakter a není potřeba je promítat
do změny procesních standardů. Taková nápravná opatření jsou většinou spjatá s nedodržováním
stanovených postupů ze strany odpovědných zaměstnanců.
Druhým případem jsou opatření spojená se změnou / zefektivněním procesních postupů, která se
promítnou do úpravy standardů využívaných v budoucnu. Jde tak svým charakterem o preventivní
opatření. I tato opatření jsou nápravná, nicméně mají systémový charakter.
Tato fáze je velice důležitá v kontextu požadavku na systematické řízení rizik požadovaného standardy
IPPF. Monitorování rizik je vyžadováno jak v prvním resp. druhém pásmu obrany, tak i v případě třetího
pásma interního auditu, které je odpovědné zavést systém monitorování nápravných opatření
zaměřených na rizika související se zjištěními interního auditu.
Hodnoty rizikové kapacity a rizikového apetitu by měly vycházet především z požadavků akcionářů na
přístup managementu k plnění cílů společnosti. Bez stanovení těchto hodnot je systém řízení a
hodnocení rizik v praxi nerealizovatelný.
Hodnota rizikové kapacity odpovídá na otázku: Co mohu při řízení rizik ještě ustát?
Určení rizikové kapacity (Risk capacity) podniku je nutné vnímat jako stanovení největší velikosti ztráty,
kterou je podnik schopen přežít. Je vhodné posuzovat tento ukazatel v závislosti na velikosti a struktuře
společnosti, jejího kapitálu i schopnosti získat další zdroje financování.
Hodnota rizikového apetitu odpovídá na otázku: Kam až můžu při řízení rizik dojít?
Při stanovení přijatelného (tolerovaného) rizika (Risk appetite) je nezbytné zvažovat takovou výši
ztráty, kterou je podnik ochoten přijmout v rámci své rizikové kapacity. Podstatná je závislost na
postoji managementu k riziku a požadavcích a očekáváních všech stakeholderů (akcionář, vrcholový
management, orgány společnosti).
5
RC
4
R1
3
Dopad
2
RA
R2
1
R3
0
0 1 2 3 4 5
Pravděpodobnost
Koncept řízení rizik vychází v první fázi z identifikace a hodnocení inherentních (přirozených) rizik. Jde
tedy o prvotní hodnocení rizik, která jsou uvažována bez zavedení kontrolních mechanismů konkrétní
organizace.
Druhým hodnocením procházejí rizika s uvažováním již zavedených kontrol. Teprve po tomto
hodnocení je nezbytné vyhodnotit, jestli jsou hodnocená rizika pod stanovenou hodnotou risk kapacity
společnosti. V případě, že konkrétní riziko převyšuje hodnotu risk kapacity, je nezbytné zavést
dodatečné kontrolní mechanismy tak, aby bylo dostatečně řízené a jeho významnost se dostala pod
hodnotu risk kapacity.
Debata, která může probíhat mezi interním auditem a odpovědným managementem, je na úrovni
efektivity zavedených opatření. Jinými slovy jde o to, jak rozsáhlá budou nápravná opatření a jak vysoké
budou vynaložené náklady na jejich implementaci.
Obrázek č. XY – Přístup k hodnocení rizik v průběhu interního auditu
5
RC
stávající kontrolní mechanismy
4
R1 Inherentní (přirozené)
doporučené kontrolní mechanismy
3
Dopad
0
0 1 2 3 4 5
Pravděpodobnost
4.8 Rozdíl mezi pojmy „Riziko - Příčina zjištění - Dopad zjištění – Zjištění“ pro potřeby
auditní zprávy
Pro pochopení rozdílu mezi pojmy riziko, příčina zjištění, dopad zjištění a samotné zjištění je nezbytné
si jednotlivé pojmy stručně vymezit. Pojem rizika je podrobně popsán v předchozím textu této kapitoly.
Zjednodušeně jde o potenciální hrozbu, která může mít negativní dopad na společnost.
V případě zjištění jde o popis skutečného negativního stavu, který byl identifikován v rámci auditního
šetření interním auditorem.
Příčina zjištění je popis toho, proč nebyly podklady, dokumenty nebo realizované procesy dostatečné.
Nezbytným předpokladem pro možné popsání příčiny zjištění je identifikace kritéria stavu, který měl
být na základě nastavených procesů, schválených požadavků managementu, legislativy nebo dobré
praxe, ve skutečnosti realizován. Modelovým příkladem příčiny zjištění je
Dopad zjištění – jde o popis faktorů, které na základě identifikovaného zjištění skutečně negativně
ovlivnily fungování společnosti. V praxi jde zejména o možnou finanční ztrátu.
5 Podvodné jednání a role Interního auditu při jeho identifikaci
5.1 Úvod
Interní audit není přímo odpovědný za vyšetřování podvodného jednání. Nicméně i tak má interní
auditor povinnost zvažovat rizika podvodu při veškerých aktivitách, které realizuje v souvislosti
s výkonem funkce interního auditu. V této kapitole si společně vymezíme nejdůležitější druhy
podvodného jednání.
V širším pojetí je korupce definována jako situace, kdy určitá fyzická osoba zneužije své postavení ve
funkci spojené s politikou nebo veřejnou správou pro to, aby si zajistila určitý prospěch.
Výše uvedená funkce může být získána v rámci mandátu získaného prostřednictvím voleb, nebo
jmenováním do veřejné funkce spjaté s možností rozhodovat o veřejných statcích nebo službách.
Prospěch nemusí mít pouze podobu finančního zisku, může jít také o nepeněžní plnění nebo sjednání
jiné výhody (protiplnění za určitou výhodu). Nemusí se týkat pouze konkrétní fyzické osoby, ale i osob
z jejího blízkého okolí.
Problematikou potírání korupce se dlouhodobě věnuje OECD (Organizace pro hospodářskou spolupráci
a rozvoj). Základní definice a závazné právní normy OECD jsou součástí Úmluvy o boji proti podplácení
zahraničních veřejných činitelů v mezinárodních obchodních transakcích. Úmluva mj. definuje trestný
čin podplácení zahraničního veřejného činitele. Cílem úmluvy je vytvořit srovnatelné podmínky pro
podnikání v mezinárodním prostředí. Úmluvu podepsalo 44 členských států OECD. Česká republika jí
ratifikovala na konci roku 1999.
V užším pojetí je korupce zakotvena v českém právním řádu jako součást konkrétních definovaných
trestných činů uvedených v příslušných ustanovení trestního zákoníku (zákon č. 40/2009 Sb.). Jde
zejména o následující trestné činy1:
• § 209 Podvod,
• § 260 Poškození finančních zájmů Evropské unie,
• § 331 Přijetí úplatku,
• § 332 Podplácení,
• § 333 Nepřímé úplatkářství,
• § 334 Společné ustanovení pak vymezuje pojmy „úplatek“, „úřední osoba“ a „obstarávání věci
obecného zájmu,
• § 329 Zneužití pravomoci úřední osoby,
• § 330 Maření úkolů úřední osoby z nedbalosti,
1
Co je korupce. Policie.cz [online]. Dostupné z: https://www.policie.cz/clanek/co-je-korupce.aspx
• § 180 Neoprávněné nakládání s osobními údaji,
• § 255 Zneužití informace a postavení v obchodním styku,
• § 256 Sjednání výhody při zadání veřejné zakázky, při veřejné soutěži a veřejné dražbě,
• § 257 Pletichy při zadání veřejné zakázky a při veřejné soutěži,
• § 258 Pletichy proti veřejné dražbě.
Podvodným jednáním se také dlouhodobě zabývá Evropská unie. Ve Smlouvě o fungování Evropské
unie (2012/C 326/01)2 je v kapitole 6 (boj proti podvodům) definován postup, jakým by EU a její
členské státy měly přistupovat k boji proti podvodům.
Článek 325
1. Unie a členské státy bojují proti podvodům a jiným protiprávním jednáním ohrožujícím
finanční zájmy Unie opatřeními přijatými podle tohoto článku, která mají odstrašující účinek a
poskytují v členských státech a v orgánech, institucích a jiných subjektech Unie účinnou
ochranu.
2. Členské státy přijmou k zamezení podvodů ohrožujících finanční zájmy Unie stejná opatření,
jaká přijímají k zamezení podvodů ohrožujících jejich vlastní finanční zájmy.
3. Aniž jsou dotčena ostatní ustanovení Smluv, členské státy koordinují svou činnost zaměřenou
na ochranu finančních zájmů Unie proti podvodům. Za tím účelem organizují společně s
Komisí úzkou a pravidelnou spolupráci mezi příslušnými orgány.
4. K zajištění účinné a rovnocenné ochrany v členských státech a v orgánech, institucích a jiných
subjektech Unie přijímají Evropský parlament a Rada řádným legislativním postupem po
konzultaci s Účetním dvorem opatření nezbytná k předcházení a potírání podvodů
ohrožujících finanční zájmy Unie.
5. Komise každoročně předkládá ve spolupráci s členskými státy Radě a Evropskému parlamentu
zprávu o opatřeních, která byla přijata k provedení tohoto článku.“
EU v souladu se smlouvou o Evropské unii v roce 1996 přijala Úmluvu o ochraně finančních zájmů
Evropských společenství3. Tento dokument zavazuje členské státy trestně stíhat podvodné jednání na
souhrnném rozpočtu evropských společenství a definuje pojem dotační podvod.
2
https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:12012E/TXT&from=EN
3
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A41995A1127%2803%29
4
https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32017L1371&from=EN
Pro možné nastavení kontrolních mechanismů, které by snižovaly negativní dopady podvodného
jednání ve společnosti, je nezbytné pochopit vnitřní motivaci osob, které se na podvodném jednání
podílejí. Mezi nejčastější motivy patří zejména:
• Vlastní prospěch
• Vypadat dobře před sebou nebo před ostatními
• Altruismus
• Příležitost k pomstě
Jedním z nejčastějších motivů je vlastní prospěch osob, které se na podvodu podílejí. Jde zejména o
finanční nebo jiná plnění, která z takové činnosti plynou. Druhý možný motiv je spojený se skupinovým
faktorem působení podvodného jednání. Jde o případy, kdy se jedinec pohybuje ve skupině, pro kterou
je podvodné jednání běžné. Stejně tak jde o situaci, kdy vrcholové vedení společnosti nepodporuje
etické jednání a odolnost proti podvodům. Altruismus a příležitost k pomstě jsou vnitřní motivy, které
také mohou negativně ovlivňovat aktivní přístup jedince k podvodům.
5.4.1 Úplatek
Jednou z nejběžnějších forem korupce je úplatek. Jde o přijetí nebo poskytnutí neoprávněné výhody
(finanční nebo nefinanční) v souvislosti s rozhodováním určité funkce nebo pozice v organizaci. Pro
možné předcházení úplatkářství je nezbytné předem definovat, co je v podmínkách společnosti
vnímáno jako úplatek. Jde zpravidla o stanovení finančního limitu pro definovaný úplatek. Samotný
úplatek nemusí být pouze poskytnutí určitého finančního obnosu ze neoprávněné protiplnění. Mezi
metody, jak poskytnout úplatek může patřit:
Hotovostní úplatek je stále jedním z nejběžnějších způsobů jak poskytnout nebo přijmout úplatek.
Hlavní výhodou tohoto postupu je nulová evidence peněžního toku. Nevýhodou pro osoby, které touto
formou získají neoprávněný prospěch je to, že nemohou následně formálně doložit peněžní příjem
spojený s podvodem.
V praxi jsou využívány především služby, které jsou zpětně těžko ověřitelné. Může jít například o
marketingové, reklamní nebo poradenské aktivity. Stejně tak je možné úplatek skrývat prostřednictvím
poskytnutí darů na sportovní účely nebo pro nadace fiktivně zřízené pro dobročinné účely.
Jde o případy, kdy jsou hrazeny faktury, které nejsou podložené žádným věcným plněním dodaných
služeb nebo statků.
Pořizování veřejných statků a služeb stejně jako poskytování dotací z veřejných prostředků jsou pro
veřejný sektor vysoce rizikové oblasti. Hlavním důvodem je to, že u těchto procesů probíhá většina
finančních toků mezi veřejným subjektem a třetí stranou.
V tomto případě nepostupuje odpovědná osoba podle předem stanovených interních postupů nebo
podle procedur stanovených zákonem. Tedy bez jakéhokoliv soutěžení je uzavřena smlouva
s dodavatelem tzv. napřímo. Je nezbytné vnímat jako samostatnou zakázku jakoukoliv smlouvu, tedy i
dodatek na nové plnění, který navazuje na již dříve uzavřenou smlouvu.
Dělení zakázek
Zákon nebo interní postupy společnosti obvykle stanovují limitní částky pro postupy soutěžení
dodavatelů. U větších zakázek je vyžadováno podrobnější hodnocení nabídek, oslovení více
dodavatelů, nebo větší způsob publikace vyhlášené soutěže. Rozdělením zakázky jednoho souvisejícího
plnění, které je nad stanovený limit, na více zakázek s nižším limitem plnění a méně přísnými pravidly
výběru je jednou z možností podvodného jednání při veřejných zakázkách. Hlavním znakem tohoto
druhu korupce je, že jeden dodavatel je vítězem všech nebo více podlimitních zakázek stejného
předmětu plnění, čímž se vyhne přísnějším pravidlům, která by mohla vést k výběru jiné výhodnější
nabídky.
Další formou nežádoucího podvodného jednání v oblasti nákupu je stanovení kritérií, které cíleně
omezí okruh možných dodávek. Dopadem je výběr, který nemusí poskytnout nejnižší možnou cenu
zboží a služeb při zachování požadované kvality a definovaných parametrů. Stejně tak může být
dopadem výběr konkrétního výrobku, kterým se vyloučí jiní dodavatelé, kteří mohou dodat zboží
splňující stejné kvalitativní parametry za výhodnější cenu.
Zmanipulované hodnocení
Aby při procesu výběru dodavatele byl vybrán dodavatel, jehož nabídka je nejvýhodnější, je nezbytné
předem jasně nastavit pravidla jeho výběru. U kritérií, která jsou jednoznačná, jako je například cena,
doba záruky, nebo doba dodání, je komplikované výběr zmanipulovat. U subjektivních hodnotících
kritérií, jako například blíže nespecifikovaná kvalita dodaných služeb, je nezbytné předem konkrétně
a jasně nastavit postup, jak taková kritéria budou při výběru dodavatele hodnocena.
Mimo to je také možné proces výběru dodavatele manipulovat tak, že se přiřadí větší váha kritériím,
která jsou ve skutečnosti méně podstatná. Příkladem může být takové nastavení, kdy bude rozhodovat
jako kritérium s nejvyšší váhou doba záruky, která v konkrétním případě nemusí být tolik významná
oproti ostatním kritériím (např. cena, doba dodání atd.).
Bid ridding
Bid ridding je zakázaná spolupráce soutěžitelů. Jde o koordinovaný postup, kdy se několik soutěžitelů
předem domluví na předložení nabídek tak, aby byl vybrán jeden z nich. V tomto případě je pro
zadavatele prakticky nemožné dosáhnout nejvýhodnější nabídky. Bid ridding je jednou
z nejzávažnějších forem kartelových dohod. V trestněprávní rovině tato aktivita spadá především pod
trestný čin pletichy při zadání veřejné zakázky a při veřejné soutěži. Hlavní obranou proti takovému
podvodnému jednání je maximální otevřenost výběrového řízení a oslovení co největšího okruhu
potencionálních dodavatelů.
Dlouhodobá koncentrace politické moci jednoho politického subjektu nebo osoby může vést
k přenášení politického vlivu do rozhodovacích procesů na úrovni veřejné správy. Obecně je správné,
když politická elita určuje strategické priority. Například politickým rozhodnutím výstavby dálnice
v určitém území se realizuje zastupitelská demokracie. Nicméně již není správné, pokud jsou navazující
zákonné postupy ovlivněny klientelismem nebo nepotismem spojeným s vrcholovými politiky. Politici
by neměli zasahovat do rozhodovacích procesů definovaných zákonem v rozporu s takovýmto
zákonem. Příkladem mohou být manipulace veřejných zakázek nebo dotací na základě politického
klíče, kdy dochází k přerozdělování veřejných prostředků ne na základě předem stanovených priorit a
kritérií, ale na základě politické příslušnosti nebo jiných souvisejících vazeb.
Ovládnutí státu je nejvyšší formou korupce, kterou může být napaden stát. Organizované finanční nebo
zločinecké skupiny již v tomto modelu nemusejí při korupčním jednání porušovat zákony a schválené
postupy. Tyto skupiny postupně ovládnou legislativní proces a mají přímý vliv na justiční a kontrolní
mechanismy státu.
„Střet zájmů patří mezi největší překážky řádné správy, a to jak v soukromém, tak i veřejném sektoru.
Zvládnutí střetu zájmů je hlavní výzvou pro řádnou správu, klíčem ke zlepšení podnikatelského prostředí
a hlavním opatření v boji proti korupci. Zatímco v soukromém sektoru je řešení možného střetu zájmů
spíše otázka vnitřních pravidel organizace, ve veřejném sektoru je nutné vytvořit legislativní pravidla,
jak střet zájmů co nejvíce omezit nebo poskytnout návod na řešení, pokud se střet zájmů objeví. Již
v roce 2003 Organizace pro hospodářskou spolupráci a rozvoj (OECD) vydala souhrnný report shrnující
dobrou praxi veřejného sektoru v oblasti řešení střetu zájmů státních úředníků nebo politiků.“5
Podle definice OECD je střet zájmů „Konflikt mezi veřejnou povinností a soukromými zájmy veřejného
činitele, ve kterém veřejní činitelé mají soukromoprávní zájmy, které by mohly nevhodně ovlivnit
výkon jejich úředních povinností a odpovědností.6“
OECD definovala tři úrovně střetu zájmů. Jde o skutečný střet zájmů, potencionální střet zájmů a
faktický střet zájmů.
Příklad: Pokud úředník vlastní akcie společnosti XYZ a společnost se uchází o veřejné zakázky, kde
úředník může alespoň nějakým způsobem ovlivnit rozhodovací proces.
Příklad: Pokud úředník vlastní akcie společnosti XYZ a společnost se uchází o veřejné zakázky, kde
úředník nemůže přímo ovlivnit rozhodovací proces.
Příklad: Státní úředník drží podíl v chemické společnosti. Tato firma by mohla být potencionálně stíhána
(např. pro trestný čin znečištění životního prostředí) regulačním orgánem, v němž má tento úředník
rozhodovací pravomoc nebo může alespoň nějakým způsobem ovlivnit rozhodovací proces.“7
Mimo OECD se podrobněji střety zájmů, který souvisí s problematikou veřejných zakázek nebo čerpání
finančních prostředků ze souhrnného rozpočtu evropského společenství, ve svých závazných právních
předpisech zabývá také Evropská unie.
5
PEČEŇA, Lukáš. Střet zájmu a jeho řešení ve veřejné správě. Good Governancem z.s., 2017. Dostupné z:
https://goodgovernance.cz/2017/05/23/stret-zajmu-a-jeho-reseni-ve-verejne-sprave/
6
https://www.oecd.org/gov/ethics/49107986.pdf
7
PEČEŇA, Lukáš. Střet zájmu a jeho řešení ve veřejné správě. Good Governancem z.s., 2017. Dostupné z:
https://goodgovernance.cz/2017/05/23/stret-zajmu-a-jeho-reseni-ve-verejne-sprave/
V roce 2018 přijala EK Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18.
července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie. Článek 61 nově
upravuje definici střetu zájmů následovně:
„Článek 61
Střet zájmů
1. Účastníci finančních operací ve smyslu kapitoly 4 této hlavy a jiné osoby, včetně vnitrostátních
orgánů na všech úrovních, podílející se na plnění rozpočtu v přímém, nepřímém a sdíleném řízení, včetně
přípravy na tuto činnost, na auditu nebo na kontrole, se zdrží jakéhokoli jednání, jež by mohlo uvést
jejich zájmy do střetu se zájmy Unie. Přijmou rovněž vhodná opatření, která u funkcí v rámci jejich
odpovědnosti zamezí vzniku střetu zájmů a která řeší situace, jež lze objektivně vnímat jako střet zájmů.
2. Případné riziko střetu zájmů týkající se zaměstnance vnitrostátního orgánu přednese tento
zaměstnanec svému přímému nadřízenému. Případné riziko střetu zájmů týkající se zaměstnance, na
něhož se vztahuje služební řád, přednese tento zaměstnanec příslušné pověřené schvalující osobě.
Příslušný přímý nadřízený nebo pověřená schvalující osoba písemně potvrdí, zda střet zájmů existuje.
Je-li zjištěn střet zájmů, zajistí orgán oprávněný ke jmenování nebo příslušný vnitrostátní orgán, aby
dotčený zaměstnanec ukončil veškerou činnost v dané věci. Příslušná pověřená schvalující osoba nebo
příslušný vnitrostátní orgán zajistí, aby byly učiněny veškeré další vhodné kroky v souladu s platným
právem.
3. Pro účely odstavce 1 ke střetu zájmů dochází, je-li z rodinných důvodů, z důvodů citových vazeb, z
důvodů politické nebo národní spřízněnosti, z důvodů hospodářského zájmu nebo z důvodů jiného
přímého či nepřímého osobního zájmu ohrožen nestranný a objektivní výkon funkcí účastníka finančních
operací nebo jiné osoby podle odstavce 1.“8
Další ze systémových forem korupce je obcházení placení daní zejména ze strany velkých národních
nebo nadnárodních korporací. Některé velké korporace se dlouhodobě vyhýbají placení daní tím, že
využívají nesouladu v daňových systémech členských států unie a třetích států (tzv. daňových rájů). Jde
o koncept tzv. agresivního daňového plánování, které zahrnuje využívání mezer v daňovém systému a
nesouladu daňových systémů. Může také vést ke dvojímu nezdanění nebo dvojímu odpočtu.
Pro tyto účely EU přijala v rámci své legislativní činnosti Směrnici rady (EU) 2016/1164 z 12. 7. 2016,
kterou se stanoví pravidla proti praktikám vyhýbání se daňovým povinnostem, která mají přímý vliv na
fungování vnitřního trhu. Směrnice přímo nedefinuje pojem agresivní daňové plánování, ale vymezuje
nové postupy, které by měly obcházení placení daní minimalizovat. Patří mezi ně:
• „nová pravidla pro odečitatelnost úroků, kdy se výše úroků odečitatelných od základu daně
daňového poplatníka bude odvíjet od výše provozního zisku před zdaněním (EBITDA)
společnosti;
• povinnost přiřadit mateřské společnosti zisky zahraničních dceřiných společností, a zdanit je
tak v základu daně mateřské společnosti;
• nová opatření proti hybridním nesouladům při transakcích mezi spojenými osobami. Ta
mají zajistit, aby transakce vedoucí k příjmu osvobozenému od daně na straně příjemce, které
8
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32018R1046
zároveň představují daňově uznatelný náklad na straně plátce příjmu, nebo transakce vedoucí
ke dvojímu uplatnění týchž nákladů v různých členských státech, byly daňově relevantní pouze
v jednom členském státě, a zamezilo se tak zneužívání těchto situací.“9
Přijetí dokumentu navazuje na inciativu OECD v oblasti boje proti agresivnímu daňovému plánování.
Z této iniciativy (BESP - Base Erosion and Profit Shifting)10 byly do výše zmíněné směrnice
implementovány tyto základní principy:
V předešlém textu jsme se podrobněji zabývali problematikou podvodného jednání. Možné dopady
podvodů, které mohou napadnout organizaci, by měly být zvažovány jak při hodnocení rizik
společnosti, tak při zavádění jejích kontrolních mechanismů.
Role interních auditorů v oblasti odhalování podvodů je podrobně specifikována ve standardech IPPF
(Mezinárodní rámec profesní praxe interního auditu)
„Fraud – Podvod
Jakákoli nezákonná činnost, při které dochází k podvodnému jednání, zatajování informací a narušení
důvěry. Při této činnosti nemusí dojít k pohrůžce násilím nebo fyzickým násilím. Podvody páchají
jednotlivci i společnosti s cílem získat finanční prostředky, majetek nebo služby, vyhnout se platbě za
určité služby nebo jejich ztrátě a zajistit si osobní nebo podnikatelské zvýhodnění.“
„1210 – Odbornost
Interní auditoři musí mít znalosti, dovednosti a další schopnosti potřebné pro plnění svých úkolů.
Funkce interního auditu jako celek musí mít nebo být schopna zajistit takové znalosti, dovednosti a
další schopnosti, které jsou potřebné pro plnění jejích odpovědností.
9
Novela směrnice proti daňovým únikům (ATAD II) přijata, PWC, 2017, https://pwc-ceska-
republika.blogs.com/pwc_ceska_republika_news/2017/07/novela-sm%C4%9Brnice-proti-
da%C5%88ov%C3%BDm-%C3%BAnik%C5%AFm-atad-ii-p%C5%99ijata.html
10
https://www.oecd.org/tax/beps/
11
ATAD – Anti Tax Avoidance Directive, Fučík a partneři, 2017, https://www.fucik.cz/publikace/a-t-a-d-anti-tax-
avoidance-directive/
1210.A2 – Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko podvodu a způsob,
jakým je toto riziko řízeno v rámci společnosti, ale neočekává se od nich taková kvalifikace, jako je
požadována od osoby, jejíž hlavní odpovědností je odhalování a vyšetřování podvodu.
2120.A2 – Interní audit musí hodnotit možnost výskytu podvodu a způsob, jakým společnost řídí riziko
podvodu.
2210.A2 – Při určování cílů auditu musí interní auditoři zvážit pravděpodobnost výskytu významných
chyb, podvodu, odchylek a ostatních rizik.“
Interní auditoři by měli mít dostatečné kompetence v oblasti hodnocení rizik podvodů, ale není
požadováno, aby se jejich kvalifikace shodovala s profesemi zaměřenými na odhalování a vyšetřování
podvodného jednání. Interní auditor tedy nemusí být odborníkem na forensní vyšetřování ani
v postupech orgánů činných v trestním řízení.
Naopak by interní auditor měl v rámci hodnocení rizik jak na úrovní dlouhodobých plánů, tak u
konkrétních auditních zakázek, zohlednit možná rizika podvodů, která se u ověřovaných procesů
mohou vyskytovat.
6 Legislativa vnitřního kontrolního systému a interního auditu v ČR a
mezinárodní auditní standardy
6.1 Úvod
Vzhledem k tomu, že je pojem vnitřní kontrolní systém a corporate governance relativně komplexní,
zasahuje v oblasti nastavení vnitřního kontrolního prostředí relativně velké množství právních
předpisů. V této kapitole si vymezíme ty nejpodstatnější, které podrobněji rozvádějí nastavení systémů
a nejdůležitějších subjektů.
Právním předpisem českého právního řádu, který mj. obsáhle definuje nastavení práv a povinností
jednotlivých orgánů obchodních korporací, je Zákon č. 90/2012 Sb., o obchodních společnostech a
družstvech (zákon o obchodních korporacích). Je v něm podrobně popsaná zákonná působnost
konečných vlastníků (akcionářů akciových společnosti, jednatelů společností s ručením omezeným
atd.). Stejně tak zákon podrobně vymezuje pravomoci a odpovědnosti kontrolního orgánu (dozorčí
rady), nebo orgánu, v jehož působnosti je obchodní vedení společnosti (představenstvo, jednatel atd.).
Jde tedy v oblasti soukromého práva o nejkomplexnější právní předpis, který obsahuje:
Mimo zákon o korporacích je důležitým právním předpisem pro nastavení corporate governance
specifických právnických osob zákon č. 89/2012 Sb., občanský zákoník. V tomto zákoně jsou například
podrobněji definovány konkrétní odpovědnosti a pravomoci orgánů nadace. Mimo to je také v § 159
tohoto zákona definovaná tzv. zásada řádného hospodáře, která je uplatňována jak v korporacích
soukromého, tak veřejného práva. Doslovně zákon vymezuje: „Kdo přijme funkci člena voleného
orgánu, zavazuje se, že ji bude vykonávat s nezbytnou loajalitou i s potřebnými znalostmi a pečlivostí.
Má se za to, že jedná nedbale, kdo není této péče řádného hospodáře schopen, ač to musel zjistit při
přijetí funkce nebo při jejím výkonu, a nevyvodí z toho pro sebe důsledky.“
U vybraných společností soukromého sektoru, tzv. subjektů veřejného zájmu, je vymezena povinnost
zavést výbor pro audit. Podrobnější požadavky na výbor pro audit jsou pak definovány zákonem
č. 93/2009 Sb., o auditorech a o změně některých zákonů (zákon o auditorech).
Pokud má společnost povinnost zavést výbor pro audit, podle výše zmíněného zákona:
„Většina členů výboru pro audit musí být nezávislá a odborně způsobilá. Nejméně jeden člen výboru pro
audit musí být osobou, která je nebo byla statutárním auditorem nebo osobou, jejíž znalosti anebo
dosavadní praxe v oblasti účetnictví zajišťují předpoklad řádného výkonu funkce člena výboru pro audit,
a to s ohledem na odvětví, ve kterém subjekt veřejného zájmu působí; tento člen musí být vždy
nezávislý.“
Výbor pro audit má ze zákona minimálně 3 členy a má povinnost mj. sledovat účinnost vnitřní kontroly,
systému řízení rizik a účinnost vnitřního auditu a jeho funkční nezávislost.
Na členy výboru pro audit zákon klade v ustanovení § 44 požadavky v souvislosti s jejich potřebnou
praxí:
„Nejméně jeden člen výboru pro audit musí být osobou, která je nebo byla statutárním auditorem nebo
osobou, jejíž znalosti anebo dosavadní praxe v oblasti účetnictví zajišťují předpoklad řádného výkonu
funkce člena výboru pro audit, a to s ohledem na odvětví, ve kterém subjekt veřejného zájmu působí;
tento člen musí být vždy nezávislý.
Odborně způsobilým členem výboru je kromě osoby uvedené v odstavci 5 ten, kdo nejméně dva roky
a) zastával výkonnou řídící funkci v účetní jednotce, která působí ve stejném odvětví jako subjekt
veřejného zájmu, nebo
b) byl odpovědným za výkon funkce řízení rizik, vyhodnocování souladu činností s právními předpisy,
vnitřního auditu nebo pojistně matematické funkce nebo jiné obdobné funkce.“
Mimo to jsou konkrétní detailnější oprávnění podrobněji definována v mnoha dalších zákonech, které
se většinou vztahují ke konkrétní instituci státu, kterou je takový zákon zřízený (pokud není zřízený
přímo z ústavy). Pro příklad můžeme uvést:
V soukromém sektoru takto podrobně nejsou pravidla kontrolního prostředí zákonem stanovena a je
ponecháno na vlastníkovi, jak si vnitřní kontrolní systém nastaví. Existují však určitá odvětví
soukromého sektoru, která povinnost zavést vnitřní kontrolní systém včetně interního (vnitřního)
auditu mají.
Jde zejména o finanční instituce, jejichž podrobnější regulace je vymezena zákonem Zákon č. 21/1992
Sb., o bankách. § 8b zákona vymezuje povinnost zavést vnitřní kontrolní systém včetně systému řízení
rizik a vnitřního auditu.
The Institute of Internal Auditors Inc. vznikl v USA v roce 1941 a reprezentuje více než 180 tis.
odborníků ze 190 zemí. V České republice je zastoupený Českým institutem interních auditorů, který
působí od března 1995 a má přes 1000 členů. IIA vydal a pravidelně aktualizuje Mezinárodní rámec
profesní praxe interního auditu (IPPF). Jde zejména o sadu mezinárodních auditních standardů pro
profesi interního auditu. Součástí rámce jsou:
„Poslání interního auditu vyjadřuje cíle, o jejichž dosažení interní audit pro danou organizaci usiluje.
Zahrnutí Poslání do nového IPPF je záměrné a ukazuje, jak využít celý rámec k tomu, aby odborníci
dokázali Poslání naplnit. Posláním Interního auditu je zvyšovat a chránit hodnotu organizace tím, že
poskytuje objektivně ujišťovací služby založené na vyhodnocení rizik, poskytuje poradenství a přináší
porozumění podstatě věci.“
„Hlavní principy, jako celek, vyjadřují účinnost interního auditu. Aby bylo možné útvar interního auditu
považovat za účinný, měly by být účinným způsobem zavedeny všechny Principy. Způsob, kterým interní
auditor, podobně jako útvar interního auditu, prokazuje splnění Hlavních principů, se může podstatně
lišit mezi jednotlivými organizacemi. Nicméně neschopnost dosažení jakéhokoli z Hlavních principů by
mohla vést k závěru, že útvar interního auditu nebyl tak účinný, jak by při naplňování Poslání interního
auditu mohl být.“
• Prokazuje integritu.
• Prokazuje kompetentnost a náležitou profesní péči.
• Je objektivní a oproštěný od nepatřičného ovlivňování (je nezávislý).
• Je v souladu se strategií, cíli a riziky dané organizace.
• Má patřičné postavení a disponuje odpovídajícími zdroji.
1
IIA – www.interniaudit.cz/IPPF
• Prokazuje kvalitu a průběžné zlepšování.
• Účinně komunikuje.
• Poskytuje ujištění založené na vyhodnocení rizik.
• Rozumí podstatě věci, je proaktivní a zaměřený směrem do budoucna.
• Podporuje zlepšování organizace.
Definice interního auditu v sobě obsahuje věcné vymezení profese interního auditu se všemi
podstatnými aspekty.
Stejně jako u jiných profesí má interní audit podrobněji formulované požadavky na etické hodnoty,
které se promítají do celé profese. Etický kodex je tak povinnou součástí celého rámce. Hlavním cílem
etického kodexu tak je takové etické principy a hodnoty v profesi interního auditu podporovat.
Etický kodex obsahuje souhrn zásad a principů, na nichž je etický přístup k profesi založený. Etický
kodex je důležitý především proto, že interní audit je založený zejména na důvěře orgánů společnosti
a jejího vedení na tom, že ujištění interního auditu je objektivní a nezávislé.
• Integrita
• Objektivita
• Důvěrnost
• Kompetentnost
Pravidla jednání pak podrobněji vymezují povinnosti interních auditorů v rámci jednotlivých zásad.
6.3.5 Standardy
Nejpodrobnější částí IPPF jsou podrobné auditní standardy. Cílem Standardů je:
2
IIA – www.interniaudit.cz/IPPF
• Podporovat zdokonalené organizační procesy a postupy.
Strukturou jsou rozděleny na standardy řady tisíc, tzv. základní standardy, které podrobněji rozvádí
pravomoci a odpovědnosti funkce interního auditu v organizaci. Standardy řady dva tisíce pak vymezují
podrobně jednotlivé auditní postupy a popisují charakter služeb interního auditu. Jsou tak považovány
za základní kritéria pro výkon auditní činnosti.
Základní standardy a standardy pro výkon interního auditu se vztahují na všechny služby interního
auditu.
Jednotlivé standardy jsou dále rozvedeny v tzv. prováděcích standardech. Ty jsou podrobněji
rozvedeny pro služby ujišťovacího charakteru (anglicky assurance), které jsou označeny písmenem „A“
a pro služby poradenství (anglicky consulting), které jsou označeny písmenem „C“.
Základní rozdíl mezi prováděcími standardy je v počtu subjektů, kterým jsou určeny.
Ujišťovací služby představují objektivní posouzení informací, jehož cílem je poskytnutí názorů nebo
závěrů ohledně určitého subjektu, činnosti, funkce, procesu, systému nebo jiných předmětů
posouzení.
1. Jedinec nebo skupina, kteří jsou v přímém vztahu k danému subjektu, jednotlivým činnostem,
funkci, procesu, systému nebo jiné předmětné záležitosti – vlastník procesu
2. Jedinec nebo skupina provádějící hodnocení – interní auditor
3. Jedinec nebo skupina využívající toto hodnocení – uživatel.
Poradenské služby mají charakter poradenství a jsou obvykle prováděny na základě specifické žádosti
klienta.
Standardy, spolu s Etickým kodexem, obsahují všechny závazné prvky Mezinárodního rámce profesní
praxe interního auditu.
Z tohoto důvodu soulad s Etickým kodexem a Standardy znamená soulad se všemi závaznými prvky
Mezinárodního rámce profesní praxe interního auditu.
7 Role NKÚ
7.1 Úvod
Nejvyšší kontrolní úřad poskytuje externí nezávislé ujištění procesů řízeních ve veřejném sektoru.
V této kapitole si krátce rozebereme jeho hlavní úkoly v systému nakládání s prostředky ve veřejném
sektoru.
NTOSAI je nezávislá a nepolitická mezinárodní organizace, která sdružuje nejvyšší auditní instituce
celého světa. V současné době má více než 190 členů. Cílem organizace je podporovat výměnu
zkušeností v oblasti auditu finančních prostředků veřejného sektoru. Byla založena v roce 1953 ve
Vídní.
Existence NKÚ je zakotvena v Ústavě ČR a jeho činnost a pravomoci upravuje zákon č. 166/1993 Sb.,
o Nejvyšším kontrolním úřadu. Auditní postupy NKÚ se zaměřují na:
• daně,
• veřejné zakázky,
• informační systémy (systémy zpracování dat),
• dotace,
• mezinárodní organizace dotované z veřejného rozpočtu,
• naplňování vládních politik,
• věrný obraz účetnictví vybraných kapitol státního rozpočtu nebo institucí veřejného sektoru,
• atd.
Na úrovni Evropské unie naplňuje požadavky INTOSAI Evropský účetní dvůr, který je orgánem
Evropské unie. Byl založený, aby prováděl kontrolu finančních prostředků EU. Jako externí auditor
EU se podílí na zlepšování finančního řízení EU a vystupuje jako nezávislý strážce finančních zájmů
občanů Unie. Evropský účetní dvůr vznikl 1977 na základě tzv. Smlouvy o změně určitých finančních
předpisů (Bruselské smlouvy), uzavřené mezi státy Evropských společenství 22. července 1975.
Evropský účetní dvůr sídlí v Lucemburku.
Kongres Mezinárodní organizace nejvyšších auditních institucí (INTOSAI) konaný v říjnu 1977 v Limě
vyhlásil a rozšířil dokument nazvaný „Limská deklarace směrnic o principech auditu“1. Mezi zásadní
požadavky deklarace patří:
1 https://www.nku.cz/assets/o-nas/postaveni-a-pusobnost/limska-deklarace.pdf
8 Jednotlivé fáze auditní zakázky a auditní plán
8.1 Úvod
Následující kapitola se podrobněji zaměřuje na procesní postupy, které musí interní auditor realizovat
v průběhu auditních prací dílčí ujišťovací zakázky tak, aby naplnil požadavky standardů. Současně se
společně zaměříme na proces přípravy a schválení plánu interního auditu, který stejně tak musí
naplňovat požadavky definované v mezinárodních standardech.
• Předběžné šetření
• Podklady pro auditní šetření
• Analýza rizik konkrétního auditu
• Konkrétní cíle auditu
• Stanovení vzorku pro testování
• Program auditu
• Výkon auditu
• Testování
• Zjištění
• Extrapolace
• Komunikace závěrů
Po zahájení auditních prací, které vedoucí auditního týmu oznámí auditovanému subjektu, auditoři
nejprve shromažďují veškeré potřebné podklady. Jde zejména o předpisy, směrnice, dokumenty,
záznamy. Mimo to může i ve fázi přípravy auditu realizovat auditní pohovory.
Pokud je to nezbytné pro pochopení auditovaných procesů, mohou auditoři sestavovat procesní
vývojové diagramy nebo analyzovat data. Mimo to je v této fázi možné realizovat tzv. průběhový test.
Auditoři si vyberou jednu položku (např. jeden účetní případ, jeden výrobek, jeden personální spis
apod.) a na základě skutečného sledování dokumentů nebo reálného postupu auditor podrobně
pochopí průběh auditovaného procesu.
Následně auditní tým vyhotoví podrobnou analýzu rizik auditovaných procesů, která zohlední jak
inherentní rizika, tak rizika s uvažováním zavedených kontrolních mechanismů v dané společnosti.
Po vyhotovení takovéto analýzy rizik již bude auditní tým schopen formulovat konkrétní cíle auditu,
které bude následně ověřovat. Takové konkrétní cíle auditu jsou de facto hypotézami, které budou
v průběhu výkonu auditu testovány.
Posledním krokem před sestavením programu auditu bude stanovení konkrétního vzorku operací,
které bude auditní tým při realizaci auditu testovat. Vzorek auditor sestavuje tak, aby výsledky
následného testování mohly být zobecněny. Pokud auditor ověří vzorek 200 operací, například
zaúčtování 200 faktur na příslušné účty, vzorek je vybrán tak, aby byl dostatečně reprezentativní.
Závěry následného testování potom budou s předem stanovenou mírou pravděpodobnosti vypovídat
o fungování systému účtování faktur, kterých se vzorek týká.
Program auditu je formalizovaný dokument, který obsahuje především konkrétní cíle auditu, které
budou v rámci výkonu auditu ověřeny. Běžně jsou v program auditu také popsány:
Testování je metoda, která auditorovi umožní ověřit, jak je konkrétní proces uplatňovaný v praxi.
Testování probíhá prostřednictvím:
• Testu shody – auditor ověřuje naplnění konkrétního postupu, např. zaúčtování konkrétního
účetního případu na příslušné účty
• Testu věcné správnosti – auditor ověřuje naplnění komplexního souboru kvalifikovaného
posouzení konkrétní operace, např. věcné, formální správnosti uzavřené smlouvy včetně
posouzení její výhodnosti
• Průběhového testu – jde o výběr jedné konkrétní položky, kterou auditor pozoruje od začátku
procesu až po jeho dokončení napříč jednotlivými organizačními útvary společnosti, např.
výroba jednoho výrobku v rámci celého procesu od přijetí materiálu, přes výrobu, kontrolu
výrobku a jeho expedici
Na základě dokončených testů, získaných dokumentů, pohovorů nebo jiné auditní evidence auditor
formuluje své závěry do zjištění v auditní zprávě.
K tomu, aby mohl auditor poskytnout mimo konkrétní zjištění také ujištění o fungování systému, musí
extrapolovat závěry testování. Jde o proces, kdy se výsledky testování zobecňují na celý základní
soubor.
Budeme uvažovat případ, že organizace má za ověřované období (kalendářní rok) celkem 5000
účetních případů. Základní soubor je tedy 5000 operací. Na základě statistického vzorku je auditorem
vybrány k testování 200 operací resp. faktur, u kterých bude ověřovat, že byly zaúčtovány na správné
účty.
Auditor odhalí v testovaném vzorku 200 faktur, ze základního souboru 5000 faktur chyby v polovině
případů. V případě, kdy byl vzorek vybrán reprezentativně, tedy vzorek byl vybrán statistickými
metodami, může auditor v rámci extrapolace (zobecnění výsledků testování 200 faktur na celý základní
soubor 5000 faktur) vyvodit systémové závěry na celý proces.
Při počtu 100 chybných faktur tak bude, v případě, že je vzorek vybrán reprezentativně (zejména
pomocí statistických metod) dojít k závěru, že celý proces, který čítá 5000 položek, selhává s 50 %
chybovostí.
Závěrečná zjištění včetně ujištění o fungování systému formuluje auditor do závěrečné auditní zprávy,
která je dále projednávána.
Interní audit je zodpovědný za hodnocení všech procesů („auditní prostor“ – „audit universe“)
příslušné organizace, včetně správních procesů a procesů řízení rizik. Při přípravě ročního plánu tak
interní auditoři musí mít podrobně zmapované všechny procesy, které jsou ve společnosti realizovány.
Při tvorbě plánu je standardním postupem komunikace s vrcholovým managementem, jehož vstupy
mohou být ve finální verzi plánu interního auditu zohledněny.
Proto, aby byl dodržený požadavek na přiměřené ujištění ze strany interních auditorů, které zahrnuje
rizikově zaměřený přístup k auditu, je součástí ročního plánu analýza rizikových oblastí společnosti.
„Vedoucí interního auditu musí vytvořit rizikově zaměřený plán, který v souladu s cíli společnosti stanoví
priority výkonu interního auditu.“
Interpretace:
„Z hlediska přípravy rizikově zaměřeného plánu vedoucí interního auditu komunikuje s vedením a
orgány společnosti, a získává tak pochopení týkající se organizačních strategií, klíčových obchodních
cílů, souvisejících rizik a procesů řízení rizik. Vedoucí interního auditu musí prověřit a, pokud je to nutné,
musí upravit tento plán v reakci na změny v podnikatelském prostředí, rizicích, procesech, plánech,
systémech a v řídicích a kontrolních mechanismech dané společnosti.“
„2010.A1 – Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik,
které je prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a
orgánů společnosti.
2010.A2 – Vedoucí interního auditu musí identifikovat a vzít v úvahu, co vedení, orgány společnosti a
ostatní zainteresované subjekty (stakeholders) očekávají od názorů a dalších závěrů interního auditu.
2010.C1 – Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek s ohledem
na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet přidanou hodnotu a
zdokonalovat procesy ve společnosti. Přijaté zakázky musí být zahrnuty do plánu.“
Po vyhotovení plánu interního auditu je vedoucí interního auditu podle standardů povinen celý
dokument projednat se všemi zainteresovanými subjekty ve společnosti. Mezi ně patři vrcholové
1
IIA – www.interniaudit.cz/IPPF
vedení, představenstvo, dozorčí rada a samozřejmě také výbor pro audit, pokud je ve společnosti
zřízen.
„Vedoucí interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich
průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí
interního auditu musí též informovat o dopadech vzniklých v důsledku omezení zdrojů.“
Při tvorbě ročního plánu interního auditu je možné vycházet ze zkušeností předchozích let. Vedoucí
interního auditu v praxi projde úvahou, kdy kvalifikovaně přiřadí v rámci plánu časovou dotaci
jednotlivým aktivitám, které jsou povinnou součástí plánu interního auditu. Jako první krok tedy
stanoví předpokládanou časovou kapacitu všech zaměstnanců útvaru interního auditu.
Dalším krokem je vyhodnocení potřeby zdrojů na vzdělávání auditorů. Jde o úvahu jak z hlediska
potřebné časové dotace, tak z pohledu potřeby finančních prostředků v rozpočtu pro příští rok.
Po odečtení celkové časové dotace na potřeby vzdělávání jsou do ročního plánu zahrnuty následující
aktivity:
Roční plán tak zahrnuje veškeré aspekty činností interního auditu pro nadcházející rok. Plán je
následně projednáván a schvalován orgány společnosti a případně vrcholovým vedením.
Mimo roční plán je standardním postupem současně aktualizovat střednědobý plán, který zahrnuje
celý auditní cyklus interního auditu. Zaměřuje se rizikově na jednotlivé oblasti na základě audit
universe. Cílem je v rámci střednědobého cyklu (zpravidla 3 roky) pokrýt veškerá rizika společnosti.
Rizikové oblasti s nejvyšší mírou významnosti jsou do plánu zařazovány každoročně, středně
významná rizika jednou za dva roky a nejnižší významná rizika každé tři roky. Stejně jako roční plán je
schvalován orgány společnosti.
2
IIA – www.interniaudit.cz/IPPF
9 Auditní zpráva, supervize a kvalita
9.1 Úvod
Auditní zpráva je v souvislosti s konkrétní ujišťovací zakázkou zásadním výstupem činnosti interního
auditu. Mezinárodní standardy kladou značné nároky na výstupy interního auditu i na ověření jeho
kvality ve formě supervize. Pro zajištění kvality a zpětnou vazbu o fungování interního auditu uvnitř
společnosti je podle mezinárodních standardů interní audit povinen zavést program pro zabezpečování
a zvyšování kvality. V této kapitole si probereme všechny podstatné požadavky standardů pro výše
uvedené oblasti. Standardy v těchto oblastech velice podrobně popisují jednotlivé požadavky na
interní audit, proto je obsah těch nejpodstatnějších součástí této kapitoly.
1
IIA – www.interniaudit.cz/IPPF
Jasné zprávy jsou snadno pochopitelné a logické, neobsahují nepotřebné technické výrazy a poskytují
všechny významné a relevantní informace.
Stručné zprávy jdou k podstatě věci a vyhýbají se nepotřebným podrobným popisům, přemíře detailů,
nadbytečnosti informací a rozvláčnosti.
Konstruktivní zprávy přinášejí klientovi a společnosti prospěch a zdokonalení tam, kde je to potřebné.
Úplné zprávy nepostrádají nic, co by bylo nezbytné z hlediska cílové skupiny uživatelů, a obsahují
všechny významné a související informace a pozorování nezbytná pro zdůvodnění doporučení a závěrů.
Včasné zprávy jsou dobře načasované, odpovídajícím způsobem reagující na vznik nenadálých situací a
to vzhledem k důležitosti zjištěného problému. Včasné zprávy umožňují vedení přijmout odpovídající
nápravné opatření
2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního
auditu “
Označení, že zakázky jsou „Provedeny v souladu s Mezinárodními standardy pro profesní praxi interního
auditu”, lze použít pouze tehdy, pokud je to podloženo výsledky programu pro zabezpečení a zvyšování
kvality.
Jedním ze zásadních požadavků na kvalitu auditní zprávy je zodpovězení předem stanovených cílů,
které jsou součástí programu každého konkrétního auditu. Pokud by auditní zpráva na předem
stanovené cíle založené na analýze rizik konkrétního auditu neodpověděla, bylo by to nejzásadnějším
pochybením. Mimo to musí auditní zpráva naplňovat požadavky na její formu a musí se zakládat na
dostatečné auditní evidenci. Jednoduše řečeno, každé zjištění ve zprávě musí být podloženo evidencí
(důkazem), který takové zjištění dostatečně dokumentuje. Auditní závěr tak musí být podložen tzv.
auditní stopou. Jde o to, aby každý kvalifikovaný auditor došel na základě auditního spisu ke stejným
závěrům.
Samotné projednání auditní zprávy probíhá na jednotlivé úrovni vedení společnosti, která má
dostatečné pravomoci a odpovědnosti přijmout nápravná opatření k auditním zjištěním.
Pokud nedojde ke konsenzu, je zpráva projednána na další vyšší úrovni vedení.
Pokud by vedení společnosti neakceptovalo zjištění auditora, které naplňuje požadavky auditních
standardů, a nepřijalo by dostatečná nápravná opatření ke snížení rizik plynoucích z auditních zjištění,
přejímá tzv. zbytkové riziko. Je tedy v praxi možné, že orgány nebo vedení společnosti finální auditní
závěr nebudou reflektovat. V tomto případě by měly být závěry projednány s orgány společnosti, které
mohou postoj managementu zohlednit v rámci své kontrolní činnosti.
Pokud vedení společnosti přijme nápravná opatření a konkrétní termíny pro jejich naplnění, jsou
zaneseny do tzv. akčních plánů. Interní audit průběžně sleduje a vyhodnocuje, jak jsou nápravná
opatření ze strany managementu naplňována. Přehled plnění nápravných opatření je standardně
součástí roční zprávy o fungování vnitřního kontrolního systému. Pokud by opatření nebyla ze strany
managementu ve velkém objemu naplňována, pozbývala by činnost interního auditu přidané hodnoty
pro společnost. Je proto důležitým úkolem pro dozorové orgány – dozorčí radu a výbor pro audit, aby
plnění nápravných opatření sledovalo.
Níže je uveden možný přehled jednotlivých částí auditní zprávy:
9.3 Supervize
Auditní standardy pro oblast supervize2:
2
IIA – www.interniaudit.cz/IPPF
„2340 – Dohled (supervize) nad prováděním zakázky
Nad zakázkami musí být prováděn řádný dohled (supervize) tak, aby bylo zaručeno, že jsou splněny
jejich cíle, je zajištěna jejich odpovídající kvalita a že kompetence zaměstnanců jsou dostatečné.
Interpretace: Rozsah požadovaného dohledu bude záviset na odbornosti a zkušenostech interních
auditorů a na složitosti dané zakázky. Vedoucí interního auditu má celkovou odpovědnost za dohled
nad zakázkou, ať již je prováděna samotným interním auditem nebo jiným subjektem. Vedoucí interního
auditu může ale též pověřit tímto prověřením dostatečně zkušené zaměstnance interního auditu.
Příslušné doklady týkající se provádění dohledu jsou zdokumentovány a uchovávány.“
Supervize je jedním ze základních nástrojů pro průběžné sledovaní kvality činnosti interního auditu.
V praxi se projevuje kontrolou všech významných dokumentů a výstupů činnosti interního auditu.
Vedoucí interního auditu, nebo jím pověřený zaměstnanec tak průběžně sleduje kvalitu a obsah
auditních prací. Pro možné zdokumentování supervize je možné užít běžné parafování jednotlivých
dokumentů, které supervizí proběhly. Standardně je supervize součástí auditního software, pokud jej
má interní audit k dispozici. Mimo věcnou kontrolu auditních výstupů může supervize také spočívat
v ověření odborné způsobilosti auditorů.
9.4 Kvalita
Auditní standardy pro oblast kvality interního auditu3:
Interpretace: Program pro zabezpečení a zvyšování kvality je navržen tak, aby umožnil hodnocení
souladu činnosti interního auditu se Standardy a dále umožnil hodnocení, zda se interní auditoři řídí
Etickým kodexem. Tento program také hodnotí účinnost a efektivnost činností interního auditu a
identifikuje příležitosti ke zlepšení. Vedoucí interního auditu by měl podporovat orgány společnosti v
jejich dohledu nad programem pro zabezpečení a zvyšování kvality.
Interpretace:
3
IIA – www.interniaudit.cz/IPPF
Průběžné sledování je nedílnou součástí každodenního dohledu (supervize), prověřování a měření
činnosti interního auditu. Průběžné sledování je začleněno do běžných zásad a postupů používaných k
řízení interního auditu; průběžné sledování používá procesy, nástroje a informace, které jsou
považovány za nezbytné pro hodnocení souladu s Etickým kodexem a Standardy.
Pravidelná hodnocení jsou definována jako analýzy hodnoticí soulad s Etickým kodexem a se Standardy.
Dostatečná znalost postupů interního auditu vyžaduje alespoň porozumění všem prvkům
Mezinárodního rámce profesní praxe interního auditu.
1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu “
Uvedení, že činnost interního auditu je v souladu s Mezinárodními standardy pro profesní praxi
interního auditu, je možné pouze pokud to výsledky programu pro zabezpečení a zvyšování kvality
podporují.
Interpretace:
Činnost interního auditu je v souladu s Etickým kodexem a se Standardy, pokud dosahuje výsledků v
nich uvedených. Výsledky programu pro zabezpečování a zvyšování kvality obsahují jak výsledky
interního, tak externího hodnocení kvality. Všechny útvary interního auditu budou mít k dispozici
výsledky interního hodnocení. Útvary interního auditu, které existují alespoň pět let, budou též
disponovat výsledky externího hodnocení kvality.
1322 – Informování týkající se nesouladu
Pokud má nesoulad s Etickým kodexem nebo Standardy dopad na celkový rozsah působnosti a postupy
interního auditu, musí vedoucí interního auditu informovat vedení a orgány společnosti o tomto
nesouladu a jeho dopadech.“
Program kvality je formalizovaný dokument, který obsahuje vymezení postupů pro průběžné
hodnocení kvality stejně jako vymezení postupů pravidelného hodnocení v podmínkách konkrétní
společnosti.
Průběžné hodnocení kvality interního auditu je zabezpečeno především prostřednictvím supervize,
která je vymezena v předchozím bodu této kapitoly. Pro průběžné hodnocení je nezbytné dostatečně
vymezit také kvalitativní hodnotitelná kritéria, která by řadoví auditoři, vedoucí interního auditu a
útvar interního auditu jako celek měli naplňovat. Mohou sloužit také jako podklad pro stanovování
odměn. Mezi takováto kritéria patří například naplňování plánů interního auditu, dodržování dílčích
požadavků na standardy apod. Jak již bylo uvedeno, takováto kritéria musí být měřitelná.
Sebehodnocení je zabezpečeno především prostřednictvím hodnotících dotazníků, které vyplňují jak
zástupci auditovaných subjektů, tak interní auditoři, kteří se podílejí na výkonu auditní nebo
konzultační zakázky navzájem.
Externí hodnocení nebo sebehodnocení s následnou validací probíhá v praxi tak, že hodnotitel ověřuje
naplňování každého jednotlivého auditního standardu a jednotlivého ustanovení etického kodexu. Své
závěry zpravidla zaznamenává do hodnotícího checklistu. Druhou částí externího hodnocení nebo
sebehodnocení s validací je podrobná prověrka auditního (auditních) spisu. Na jednotlivých
dokončených auditech hodnotitel opět ověřuje jak naplňování auditních standardů, tak etického
kodexu. Stejně tak ověřuje, jestli jsou nastavené postupy v souladu se standardy a kodexem a také
jestli jsou ze strany auditorů dodržovány.
Výsledná zpráva z externího hodnocení musí být prezentována vrcholovému vedení společnosti a
příslušným orgánům společnosti. V praxi může nastat případ, kdy hodnotitel konstatuje nedodržení
některých konkrétních standardů, nicméně toto porušení se nemusí odvíjet od nedostatečné práce
interního auditu. Může se jednat o nedodržení standardů souvisejících se zabezpečením nezávislosti
funkce interního auditu, které musí být podporováno právě ze strany vrcholového vedení nebo orgánů
společnosti.
Stejně tak jako v případě závěrů běžného interního auditu musí být i k závěrům externího hodnocení
přijata konkrétní nápravná opatření s konkrétními termíny jejich naplnění.
10 Auditní postupy, auditní evidence
10.1 Úvod
Dostatečné zdokumentování veškerých aktivit v průběhu interního auditu je podstatné pro zajištění
požadavku tzv. auditní stopy. Jde především o to, aby jakýkoliv jiný dostatečně způsobilý auditor na
základě auditní evidence mohl dojít ke stejným závěrům, jaké jsou obsaženy v auditní zprávě. Proto si
v této kapitole podrobněji uvedeme, jaké jsou nároky auditních standardů na auditní evidenci a
nastavení postupů pro dostatečný a kvalitní průběh auditních prací.
Interpretace:
Statutem interního auditu se rozumí formální dokument, který definuje účel, pravomoci a odpovědnosti
interního auditu. Statut interního auditu určuje postavení interního auditu v rámci společnosti, včetně
povahy vztahu funkční podřízenosti vedoucího interního auditu vůči orgánům společnosti; dále stanoví
oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje
rozsah činnosti interního auditu. Konečné schválení statutu interního auditu přísluší orgánům
společnosti.
1000.A1 – Charakter ujišťovacích služeb poskytovaných společnosti musí být definován ve statutu
interního auditu. Pokud je ujištění poskytováno subjektům vně společnosti, musí být charakter těchto
ujišťovacích služeb též definován ve statutu interního auditu.
1000.C1 – Charakter poradenských služeb musí být definován ve statutu interního auditu.
1 IIA – www.interniaudit.cz/IPPF
Orgánům a vedení společnosti
• veškerým informacím,
• veškerým osobám v organizaci,
• veškerému majetku v organizaci,
• veškerým ostatním zdrojům a výstupů v organizaci.
Schvalování statutu by mělo proběhnout na úrovni všech orgánů společnosti, aby byly pravomoci a
odpovědnosti funkce interního auditu v organizaci vymahatelné. Součástí nebo přílohou statutu by měl
být i etický kodex interních auditorů. Je možné jej podrobněji rozpracovat v podmínkách dané
organizace. Jiným přístupem je také uvést jako přílohu statutu etický kodex, který je součásti IPPF.
Dalším významným procesním dokumentem je manuál interního auditu. Obsahuje soubor minimálních
standardů a doporučení pro auditní činnost.
Forma je závislá na:
• charakteru společnosti,
• velikosti útvaru interního auditu,
• míře regulace daného odvětví.
U větších útvarů interního auditu, které působí např. v rámci koncernové struktury je zpravidla manuál
podrobnější. Vzhledem k tomu, že manuál i statut interního auditu by měl být pravidelně revidován, je
vhodné v jednotlivých částech těchto dokumentů referovat konkrétní standardy IPPF. Při revizi
dokumentů bude pro vedoucího interního auditu jednodušší zohlednit aktualizaci standardů po jejich
vydání.
2 IIA – www.interniaudit.cz/IPPF
Relevantní informace je v souladu s cíli zakázky.
Účelná informace napomáhá společnosti dosahovat jejích cílů.
2330.A1 – Vedoucí interního auditu musí stanovit pravidla pro přístup k záznamům pořízeným v rámci
zakázky. Před zpřístupněním záznamů externím subjektům musí vedoucí interního auditu získat souhlas
vedení a/nebo právního zástupce.
2330.A2 – Bez ohledu na povahu média, na kterém jsou záznamy uloženy, vedoucí interního auditu
musí stanovit požadavky na archivaci záznamů pořízených v rámci zakázky. Tyto požadavky musí být
vypracovány v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými
požadavky.
2330.C1 – Vedoucí interního auditu musí stanovit zásady pro úschovu a archivaci informací pořízených
v rámci poradenské zakázky a také zásady pro jejich vydání interním a externím subjektům. Tyto zásady
musí být v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky.“
Dokumentární informace – existují v nějaké trvalé podobě jako například formě šeku, faktury,
přepravních záznamů, záznamů o převzetí nákupních příkazů apod.
Z pohledu spolehlivosti mají dokumentární informace vyšší míru ujištění. Originální dokumenty mají
stejně tak vyšší míru spolehlivosti než neověřené kopie dokumentů.
Věcné informace – skládají se z přímého pozorování a prohlídky vykonané interním auditorem (např.
přepočítání zásob).
3 https://www.gfk.com/cz/
Osobní pozorování konkrétního procesu je oproti studiu dokumentace mnohem efektivnější v situaci,
kdy interní auditor ověřuje jeho zavedení a efektivitu. Stejně tak je osobní pozorování významné pro
porovnání, jestli jsou dodržovány postupy vymezené ve vnitřní dokumentaci organizace.
Svědecké informace – zajištěny prostřednictvím výpovědi zaměstnance, klienta a jiných osob.
Spolehlivost svědeckých informací je závislá na konkrétní situaci, ve které jsou využívány. Zpravidla
jsou řízené pohovory využívány pro pochopení konkrétního procesu. Není podstatné, jestli je takový
proces popsaný interními směrnicemi, nebo jde o proces dosud nedokumentovaný. Při realizaci
auditních pohovorů je nezbytná dostatečná příprava. Pro efektivní vedení řízeného pohovoru je
doporučováno, aby jeden auditor pokládal předem připravené otázky a vedl pohovor a druhý auditor
vedl písemný záznam. Pro vyšší míru ujištění je efektivní následné odsouhlasení záznamu/zápisu
z pohovoru, zejména v případě zásadních zjištění identifikovaných v průběhu řízeného pohovoru.
11.1 Úvod
V této kapitole si uvedeme do souvislosti auditní postupy, které jsou využívány ve fázi výkonu auditní
zakázky. Testování je základním nástrojem pro ověření dílčích procesů, které jsou na základě analýzy
rizik v průběhu výkonu auditu ověřovány.
Jednotlivé auditní zakázky se mohou svým přístupem lišit. Podle jejich zaměření si níže uvedeme
možné druhy, resp. charakteristiky, vybraných druhů auditů.
Audit systému
Hlavním cílem auditů systémů na všech úrovních příslušné implementační struktury je ověřit účinné
fungování řídicího a kontrolního systému. Celkový závěr za auditovaný řídicí a kontrolní systém je dán
na základě definovaných klíčových požadavků pro všechny klíčové prvky systému. Tyto klíčové
požadavky se dále rozpadají do jednotlivých kritérií pro hodnocení. Tento druh auditu je mimo interní
audit také využíván např. v auditu projektů spolufinancovaných ze strukturálních fondů
spolufinancovaných ze souhrnného rozpočtu EU.
Audit operací
Audity operací se provádějí za každý účetní rok na vzorku operací. Provádějí se na základě podkladů,
jež představují auditní stopu, a ověřuje se jimi legalita a správnost výdajů vykázaných. Modelovým
příkladem mohou být audity zaměřené na ověření podmínek poskytnuté dotace. Tento druh auditu
je mimo interní audit také využíván např. v auditu projektů spolufinancovaných ze strukturálních
fondů spolufinancovaných ze souhrnného rozpočtu EU.
Audity výkonu
Efektivností se rozumí takové použití prostředků, kterým se dosáhne nejvýše možného rozsahu,
kvality a přínosu plněných úkolů ve srovnání s objemem prostředků vynaložených na jejich plnění.
Efektivnost je vyjádřením maximalizace výsledků činnosti ve vztahu k použitým disponibilním
veřejným prostředkům. V rámci prověřování efektivnosti se zaměřujeme na to, zda je zajištěn
požadovaný výstup. K plnému ocenění efektivnosti je vhodné porovnání informací o poměru vstupů a
výstupů v jiné (podobné) organizaci (benchmarking).
Účelností se rozumí takové použití prostředků, které zajistí optimální míru dosažení cílů při plnění
stanovených úkolů.
Účinnost se týká měření toho, do jaké míry bylo dosaženo cílů, a vztahu mezi zamýšleným a
faktickým dopadem činnost.
Mimo výše uvedené zásady zaměřené na výkonnost je velice podstatná z tzv. zásada legality.
Legalita je naplnění požadavku na soulad jakéhokoliv výdaje nebo příjmu se zákonem. Zásada legality
v praxi může prolomit požadavek na ostatní výše uvedené zásady. Jednoduše někdy zákonem
uložená povinnost pro organizaci nemusí maximalizovat výnos. Nicméně při nedodržení zásady
legality společnosti může hrozit riziko související se sankcí za nedodržení zákona. Zpravidla jde o
finanční sankci nebo riziko ukončení podnikatelské činnosti.
Kritéria výkonu by měla dát informaci o úrovni zajištění principů 3E - hospodárnosti, účelnosti a
efektivnosti úkonu. Kritéria mohou být:
V průběhu interního audiu by měla být výše zmíněná kritéria 3E jedním z podstatných prvků
ověřování ze strany interního auditu. Bez předem stanovených výkonnostních kritérií není možné
ověřit, jestli je auditovaný proces dostatečně řízený ze strany příslušné úrovně vedení společnosti.
Vzhledem k tomu, že interní audit podává „přiměřené“ ujištění, není v praxi možné ověřovat
v průběhu auditních prací s 100% všech operací (dílčích postupů). Z tohoto důvodu je auditní praxi
využíváno vzorkování. Jednoduše jsou nejsou ověřeny všechny ale vybrané operace. Aby auditor
mohl poskytnout ujištění o fungování systému, musí být vybraný vzorek reprezentativní. Pokud
vzorek tento požadavek naplňuje, může auditor po dokončení testování provést tzv. extrapolaci.
Extrapolace je zobecněním závěru testování na celý základní soubor, tedy na všechny operace za
sledované období.
Průběhový test
Auditor vybere jednu konkrétní operaci a sleduje její průběh od začátku až do konce. Příkladem může
být prověření procesu výroby konkrétního produktu od fáze přijetí objednávky, přijetí materiálu na
vstupní sklad, předání materiálu do výroby, jeho kompletaci, testování shodnosti výrobku, jeho
balení, vyskladnění a expedici. U tohoto testu, který může být využíván ve fázi přípravy auditu je
přínosem pochopení celého procesu a identifikace rizikových míst.
Test shody
Auditor se zaměřuje na ověření konkrétní charakteristiky, jestli byl naplněný předem stanovený
požadavek a odpovídá na otázku splnil/nesplnil
V podmínkách soukromých společnosti je na vedení organizace, aby předem stanovila míru přípustné
chybovosti.
Jde o náhodný výběr položek vzorku nebo uplatnění teorie pravděpodobnosti, přičemž všechny
položky základního souboru mají šanci být vybrány.
Náhodný výběr
Jde o metodu výběru vzorků takovým způsobem, že každá položka v souboru má stejnou šanci být
vybrána, přičemž v praxi lze použít tabulek náhodných čísel, počítačového generátoru náhodných
čísel či jiného typu náhodné metody.
Systematický výběr
Spočívá ve výběru každé n-té položky od náhodně zvoleného počátku (např. pokud je vzorek 50,
vybereme padesátou, stou atd. položku souboru). Tato metoda je v principu pouze pseudonáhodná,
poskytuje však dobrou alternativu náhodného výběru. Auditor by se měl ujistit, že položky v souboru
nevykazují určitou periodicitu charakteristik a pokud vykazují, lze použít jiný počátek nebo rozdílné
rozmezí.
Při použití této metody je výběr založen na peněžní velikosti jednotlivých položek souboru.
Pravděpodobnost, že určitá položka bude vybrána, je přímo úměrná její velikosti v peněžním
vyjádření, tzn. každá peněžní jednotka (ne položka, na rozdíl od výše uvedených technik) v souboru
má stejnou šanci být vybrána.
Shlukový výběr
předpokládá rozdělení souboru na menší podsoubory, náhodný výběr několika těchto podsouborů a
následně prověření všech položek ve vybraných podsouborech.
Stratifikovaný výběr
Při použití této techniky je soubor rozdělen do menších podsouborů (straty) podle určitých
charakteristik a pak jsou z každého podsouboru náhodně vybrány určité položky, jejichž počet závisí
na počtu položek v každém podsouboru.
Při použití této metody vybírá auditor položky na základě svého porozumění činnosti a oblasti
podnikání klienta.
Před výběrem vzorku a konkrétním testováním je nezbytné stanovit velikost vzorku. Tato aktivita je
velice důležitá pro ujištění o reprezentativnosti závěrů auditora. Jednoduše samotný výběr vzorku je
relativně méně náročný oproti předcházejícímu stanovaní jeho velikosti.
Aby byl vzorek reprezentativní a mohlo dojít k extrapolaci, je nezbytné využití statistických metod pro
stanovení velikosti vzorku. Pokud je velikost vzorku stanovena jiným způsobem, např. na základě
vyhodnocení zdrojů interního auditu, které jsou k dispozici, extrapolace nebude možná.
Při stanovení velikosti vzorku u testů výpočtem a využitím statistických tabulek je nezbytné předem
znát následující faktory, které budou dosazeny do výpočtu a které ovlivní velikost vzorku:
Požadovaný stupeň jistoty by měl auditor stanovit na základě jeho předchozí znalosti systému. Pokud
v předběžném šetření auditu vyhodnotil nízká rizika související s ověřovaným procesem, bude moci
využít nižší stupeň jistoty auditu resp. koeficient spolehlivosti. Testovaný vzorek tak bude ve
skutečnosti nižší. V případě, že bude ověřovaný proces vyhodnocen jako rizikový, bude stupeň jistoty
resp. koeficient spolehlivosti vyšší a velikost ověřovaného vzorku bude vyšší.
Stanovení vzorku dle tabulek