Corporate governance, interní audit a jeho role v řízení banky Ekonomika a řízení bank a poskytovatelů investičních služeb letní semestr 2011 Corporate governance, interní audit a jeho role v řízení banky Přednáška 2 Vysoká škola finanční a správní, o.p.s. Katedra bankovnictví a pojišťovnictví telefon: 210 088 830 Bořivoj Pražák – UČO 5947 borivoj.prazak@mymail.cz

Správa a řízení společnosti Podnikatelský model banky Interní audit – Obsah Správa a řízení společnosti Podnikatelský model banky Organizační struktura banky Výbor pro audit Proces interního auditu Postavení interního auditora Statut interního auditu Povinnosti interního auditu Pravomoc interního auditu Etika a interní audit Interní audit jako poradní orgán

Corporate governance Corporate governance - souhrn procesů, zvyklostí, politik, právních norem a institutů, podle kterých je společnost řízena, spravována a kontrolována Součásti Corporate governance Práva a rovné zacházení s akcionáři Zájmy ostatních zájmových skupin Role a odpovědnost představenstva Integrita a etika chování Uveřejňování a transparentnost Stakeholders – zájmové skupiny, kterých se působení společnosti dotýká, z hlediska CG zejména vlastníci, představenstvo a veden společnosti Principy Corporate governance – OECD 2004, revidovaná verze, shrnutí požadavků na správu a řízení společnosti Zajištění základny pro efektivní rámec právy a řízení společnosti Práva akcionářů a klíčové vlastnické funkce Spravedlivé zacházení s akcionáři Úloha zainteresovaných stran ve správě a řízení společnosti Uveřejňování a průhlednost Odpovědnost představenstva a dozorčí rady

Corporate governance Principy Corporate governance – Správy a řízení společnosti se vyvíjejí od 90. let minulého století počátek 90. let 20. století „Code of Conduct Movement“ ve Velké Británii a v dalších členských státech EU – „comply or explain“ Cadbury Report – The Financial Aspects of Corporate Governance (1992) – Code of Best Practice Greenbury Report – Study Group on Directors´ Remuneration (1995) Hampel Report (leden 1998) – Final Report Combined Code of the London Stock Exchange (1998 -revize 2006) konec 90. let 20. století asijská krize (1997-98), OECD Principles of Corporate Governance, 1999 Kodex správy a řízení společností založený na Principech OECD (ČR, 2004) počátek 21. století Enron, WorldCom, Parmalat rasantní reakce - Sarbanes-Oxley Act 2002 (USA) od soft law k hard law finanční krize 2008 / 2009 – první reakce OECD únor 2009: The Corporate Governance Lessons From the Financial Crisis červen 2009: Corporate Governance and the Financial Crisis – Key Findings and Main Messages

Anglosaský model Německý (kontinentální) model Corporate governance Modely řízení společnosti definují rozdělení vlastnické a řídící kontroly nad společnostmi Anglosaský model Německý (kontinentální) model Složení: Board of Directors – správní rada Exekutivní management + nezávislí členové Supervisory Board – dozorčí rada Cíl: Maximalizace zisku a hodnoty pro akcionáře Vysoká tržní kapitalizace Rozptýlená struktura vlastnictví – časté změny Důraz na veřejné skládaní účtů Složení: Představenstvo – pouze exekutivní členové Dozorčí rada – zástupci vlastníků a zaměstnanců Cíl: Dlouhodobé vlastnictví Podíl na trhu Struktura vlastnictví je koncentrovaná Změny zřídka Slabá veřejná kontrola Banky v ČR jsou ze zákona uspořádány podle německého modelu

Interní audit – Podnikatelský model banky Externí a interní faktory ovlivňující podnikání univerzální banky se obvykle popisují ve formě podnikatelského modelu, jehož součástí je i procesní model Stakeholders and external forces Customers, Competitors, Regulators, Community, Shareholders/Owners, Suppliers, Financial Markets, Economy, International and Local Business Environment Markets Regions: Europe, Asia, Middle East,... Client segments: Retail, Corporate, Multinational, Banks, … Process Model Governance/ Steering Corporate Governance, Strategic Management, Financial Management, Risk Management Revenue Generation/ Business Lines Research and Product Development, Marketing, Sales, Service and Customer Maintenance Internal Services/ Support HR Management, ICT Management, Facility Management, Operations Distribution channels Branch, PC banking, Call Center, Internet Banking, GSM, Video-kiosk Customers Retail, SME, Private Wealth, Corporate, Financial Institutions, International Companies Products and Services Transactions, Current Acc., Term Deposits, Saving acc., Loans, L/C, Mortgages, Leasing, Cash Mgmt, Structured Finance, Project Finance, Leasing, Insurance, ... Alliances Dealers, Brokers, Insurance companies, Distributors, Credit card issuers, IT vendors, Developers, ...

Výbor pro řízení aktiv a pasiv Výbor pro řízení zdrojů Interní audit – Obecná organizační struktura banky podle VBM Principy Corporate governance podle OECD doporučují vytvoření tří výborů, které dohlížejí na funkci auditu, jmenování a odměňování Valná hromada Výbor auditní Výbor pro řízení aktiv a pasiv Výbor pro jmenování Dozorčí rada Výbor pro řízení úvěrů Výbor pro odměňování Představenstvo Výbor pro řízení zdrojů Tvorba zisku Řízení Podpora Podnikatelské oblasti: Corporate Retail Wholesale ….. Strategické řízení Řízení aktiv a pasiv Finanční řízení Účetnictví a Controlling Řízení rizik … Řízení lidských zdrojů ICT Majetek a zásobování Podpora provozu (back office, platební styk, …)

Interní audit – Výbor pro audit Jedním z výborů doporučených v principech Corporate governance podle OECD je výbor pro audit „Výbor pro audit poskytuje nezávislou radu správním orgánům při hodnocení kvality finančního řízení společnosti pomocí dohledu nad finančním výkaznictvím, správou a řízením společnosti a vnitřními kontrolními orgány“ Hlavní oblasti odpovědnosti Dohled nad interním auditem Doporučování výběru externích auditorů a/nebo obnovení jejich existujících pověření, koordinace s ext.auditory Ochrana majetku a dohled nad vnitřním kontrolním systémem Hodnocení všech finančních operací se závažnými důsledky pro společnost Vazby na interní audit Ověřování vnitřních kontrol, provádění jejich testů, návrhy na zlepšení Analýza rizik, stanovení limitů rizik a soustředění se na nejzávažnější rizika s negativním dopadem Ověřování dodržování právních požadavků a vnitřních norem Doporučení ke zlepšení různého druhu Provádění speciálních prověrek, zjišťování střetů zájmů, dodržování Etického kodexu Ověřování účetních zásad a postupů Hodnocení a schvalování účetních závěrek Zajišťování efektivních informačních toků Dohlížení na významná rizika

Interní audit – Řídící a kontrolní systém Podle vyhlášky 123/2007 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstvech a obchodníků s CP je nutné vytvořit účinný řídící a kontrolní systém Vytvoření a zavedení ŘKS by mělo zajistit následující cíle: provádění činnosti banky v souladu s celkovou strategií banky a vnitřní předpisovou základnou aktuálnost, spolehlivost a ucelenost informací používaných bankou pro rozhodovací procesy a poskytovaných bankou třetím stranám soulad činností banky s příslušnými zákony a předpisy Účinný a efektivní ŘKS vytvářejí zejména následující prvky a vazby: kontrolní prostředí kontrolní činnosti informace řízení rizik, které je dále děleno na : řízení tržních rizik řízení úvěrového rizika řízení operačního rizika včetně požadavků na informační systémy řízení rizika likvidity

Interní audit – Řídící a kontrolní systém Podle vyhlášky 123/2007 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstvech a obchodníků s CP je nutné vytvořit účinný řídící a kontrolní systém Kontrolní činnosti jsou součástí běžné, zpravidla každodenní činnosti banky nebo družstevní záložny a zahrnují zejména a) kontrolu po linii řízení, b) přiměřené kontrolní mechanismy pro jednotlivé procesy, například kontrolu dodržování právních a vnitřních předpisů a limitů, kontrolu schvalování a autorizace transakcí nad stanovené limity, kontrolu průběhu činností a transakcí, ověřování detailů transakcí, ověřování výstupů používaných systémů a modelů řízení rizik, pravidelnou rekonciliaci, c) fyzickou kontrolu; fyzická kontrola se zaměřuje zejména na omezení přístupu k hmotnému majetku, cenným papírům a jiným finančním aktivům a na pravidelné inventury majetku. Nezávislému prověření vnitřním auditem podléhají veškeré činnosti banky nebo družstevní záložny, zejména a) dodržování pravidel obezřetného podnikání banky nebo družstevní záložny, b) dodržování stanovených zásad, cílů a postupů, c) systém řízení rizik, d) finanční řízení, e) úplnost, průkaznost a správnost vedení účetnictví, f) spolehlivost účetních, statistických a provozních informací, g) spolehlivost informací poskytovaných orgánům banky nebo družstevní záložny, h) spolehlivost systému sestavování a předkládání výkazů České národní bance a i) funkčnost a bezpečnost informačních systémů.

Interní audit – Řídící a kontrolní systém Podle vyhlášky 123/2007 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstvech a obchodníků s CP je nutné vytvořit účinný řídící a kontrolní systém Banka nebo družstevní záložna zavede a udržuje zásady a postupy pro zajišťování compliance, jejichž cílem je zejména zabezpečit a) soulad vnitřních předpisů (§ 9) s právními předpisy, b) vzájemný soulad vnitřních předpisů a c) soulad činností s právními a vnitřními předpisy. Zajišťování compliance je nastaveno tak, aby bylo rovněž zabezpečeno a) informování vrcholného vedení o veškerých zjištěných odchylkách a nesouladech; o významných odchylkách a nesouladech je informováno představenstvo, b) informování vrcholného vedení o připravovaných nebo nových právních předpisech a uznávaných standardech týkajících se činností banky nebo družstevní záložny a c) poskytování konzultační činnosti ohledně compliance představenstvu a vrcholnému vedení.

Interní audit – Proces interního auditu Interní audit můžeme pomocí vybraných atributů popsat jako proces, který je umístěn v příslušném organizačním útvaru, ale aplikuje se na všechny procesy a útvary v bance Sponzor procesu Umístění procesu Ředitel odboru Interní audit Odbor Interního auditu Název procesu Podpůrné systémy Interní audit Popis procesu Na základě koncepce interního auditu řídí kontrolní procedury, analyzuje rizika, vyhodnocuje efektivitu kontrolních procesů a podporuje optimalizace procesů Seznam aktivit Analyzuje rizika Vytváří a udržuje koncepci interního auditu Vytváří plán interního auditu Provádí auditní práce Vyhodnocuje funkčnost a účinnost vnitřního řídícího a kontrolního systému Zavádí a udržuje funkční a efektivní systém sledování nápravných opaření Komunikuje s externím auditorem

Interní audit – Statut interního auditu Statut interního auditu upravuje především náplň činnosti, předmět výkonu a jeho postavení v rámci organizace Obsah statutu IA postavení, odpovědnosti a pravomoci útvaru či osoby vykonávající vnitřní audit předmět výkonu vnitřního auditu, povahu ujišťovacích a konzultačních činností vykonávaných vnitřními auditory, proces plánování vnitřního auditu, způsob vypořádání připomínek ohledně závěrů vnitřního auditu a řešení případných sporů, způsob poskytování poradenských služeb, způsob ukládání opatření k nápravě zjištění vnitřního auditu Postavení IA internímu auditu podléhají všechny činnosti v bance interní audit nesmí být odpovědný za výkon jakékoliv činnosti v bance jmenování a odvolání vedoucího útvaru IA podléhá schválení dozorčí rady vedoucím útvaru IA nesmí být člen představenstva nebo dozorčí rady dohled nad činností IA vykonává Výbor pro audit

Interní audit – Povinnosti interního auditu Interní auditor má z titulu své funkce jasně definované povinnosti, které musí při své činnosti dodržovat a za který je odpovědný Povinnostmi interního auditu je zejména informovat příslušnou úroveň v bance o nedostatcích VŘKS podle jejich závažnosti informovat příslušnou úroveň vedení banky o výsledcích auditu a jejich závěrech pravidelně informovat Výbor pro audit a představenstvo o činnosti útvaru IA a jeho výsledcích poskytovat subjektům FS banky metodickou podporu v oblasti interního auditu a provádět monitoring, plánované audity a audity na základě požadavku vedení v subjektech FS banky informovat neprodleně příslušného vedoucího zaměstnance v případě zjištění skutečností odůvodňujících podezření z trestné činnosti spolupracovat při šetřeních podezřelých podvodných činností uvnitř banky a informovat představenstvo a Výbor pro audit (v případě, že je zřízen) o jejich výsledcích plnit všechny požadavky vyplývající pro interní audit z obecně závazných předpisů a požadavků regulátorů dodržovat při auditorské činnosti obecně závazné předpisy, vnitřní předpisy banky a FS banky, Rámec pro profesionální praxi interního auditu, včetně Etického kodexu interního auditora zajišťovat, aby při činnostech interního auditu nedocházelo k porušení nezávislosti a objektivity interního auditu zachovávat diskrétnost a mlčenlivost o veškerých skutečnostech zjištěných v průběhu výkonu auditorské činnosti chránit veškeré získané materiály, soubory na médiích, vlastní dokumentaci před zneužitím respektovat a v rámci svých možností nenarušovat plynulý výkon činností auditovaných subjektů při výkonu poradenské činnosti zajistit, aby nebyla omezena schopnost útvaru IA podávat nezávislé a objektivní

Interní audit – Požadavky na interního auditora Pro výkon své funkce musí interní auditor disponovat základními dovednostmi a vědomostmi nejen v oblasti procesní, ale i v oblastech poznávání, komunikační i formální V oblasti procesní pak jde zejména o teoretické znalosti a praktické dovednosti, jimiž jsou: znalost vnitřního řídícího a kontrolního systému ve společnosti znalost rizik a řízení rizik postupy a techniky interního auditu orientace v informačních technologiích řízení zdrojů řízení změn znalost společnosti a jejích činností strategické řízení manažerské postupy znalost prostředí, ve kterém společnost pracuje finanční řízení společenské a sociální vzory, které v daném období působí

Interní audit – Pravomoci interního auditu Pro výkon své funkce je interní auditor vybaven příslušnými pravomocemi, které mu umožňují nezávisle a objektivně vykonávat svoji činnost Pravomocemi interního auditora je zejména: vyžadovat v souvislosti s prováděním činností interního auditu informace o veškerých skutečnostech souvisejících s ověřovanou činností, jednat se všemi zaměstnanci banky bez ohledu na jejich pracovní pozici, vstupovat na pracoviště v rámci celé banky a nahlížet do písemných podkladů, dokumentace a médií, vyžadovat ústní nebo písemná vysvětlení k ověřované činnosti a ke zjištěným skutečnostem a v případě potřeby vyžadovat informace i od třetích osob, vyhotovovat fotokopie, videozáznamy, opisy, popřípadě výpisy z originálních dokladů, ve výjimečných případech, proti písemnému potvrzení, zajišťovat originály dokladů, používat pasivní přístup do informačních systémů banky, do systémů účetnictví a do dílčích agend vedených prostřednictvím výpočetní techniky a získávat z nich potřebné údaje, vyžadovat od subjektu, v němž je prováděn audit, vytvoření vhodných pracovních podmínek, používat přidělené zdroje, stanovovat délku trvání, vybírat auditované oblasti, určovat rozsah auditorské práce a volit použité metody tak, aby bylo dosaženo cíle auditu, zúčastnit se zasedání všech poradních a rozhodovacích výborů/orgánů banky.

Interní audit – Etické principy interního auditu Vzhledem ke svému postavení a odpovědnosti je interní auditor povinen dodržovat určité etické principy Integrita – integrita interního auditora je základem pro jeho důvěryhodnost a tím i pro důvěru v jeho posudek Pracuje čestně, pečlivě a odpovědně Respektuje právo a činí nálezy očekávané podle práva a profesionálního přístupu Vědomě se nepodílí na nelegálních aktivitách a neúčastní se aktů, které by diskreditovaly profesi IA nebo společnost Respektuje legitimní a etické cíle společnosti a přispívá k jejich dosažení Objektivnost – interní auditor projevuje nejvyšší úroveň profesionální objektivnosti při shromažďování, vyhodnocování a sdělování informací o zkoumaných aktivitách a procesech. Interní auditor činí vyvážená vyhodnocení všech relevantních okolností a není ovlivnitelný Neúčastní se aktivit nebo vztahů, které by negativně ovlivnily nebo mohly ovlivnit jeho nezávislé hodnocení Nepřijme nic, co by negativně ovlivnilo nebo mohlo ovlivnit jeho profesionální úsudek Zveřejní všechna jemu známá materiální fakta, která by, nezveřejněna, mohla zkreslit výsledek prověřovaných aktivit Důvěrnost – interní auditor respektuje hodnotu a vlastnictví informací, které obdržel a nikomu je dále neposkytne bez náležitého oprávnění pokud nemá legální nebo profesionální povinnost tak učinit Je opatrný při užívání a ochraně informací obdržených při výkonu svých povinností Nepoužije informace pro svůj osobní prospěch ani žádným způsobem, který by byl v rozporu se zákonem nebo ke škodě legitimních a etických cílů společnosti Kvalifikovanost – interní auditor při své činnosti využívá znalosti, schopnosti a zkušenosti nutné pro provedení služeb IA Poskytuje pouze služby, pro které má nezbytné znalosti, dovednosti a zkušenosti Poskytuje služby interního auditu ve shodě s příslušnými standardy pro práci interních auditorů Průběžně zvyšuje svoji odbornost a efektivnost a kvalitu svých služeb

Interní audit – Interní audit jako poradní orgán Vedle „ujišťovací“ funkce může interní audit poskytovat i služby poradenské Poradenské služby IA audity podle požadavku vedení, je-li žadatelem auditovaný útvar, resp. subjekt FS banky, doporučení navržená auditory, konzultace v rámci monitorování činností odborných útvarů banky účast v připomínkovém řízení při tvorbě vnitřních předpisů banky, reporting o analýzách zaměřených na kontrolní činnosti, rizika a řízení procesů, tvorba předpisů pro IA a VŘKS, spolupráce s externím auditorem Typy poradenských služeb IA Poradenské služby s formalizovaným výstupem - plánované a podložené písemnou smlouvou. Poradenské služby bez formalizovaného výstupu - běžná činnost jako je účast ve stálých výborech, časově ohraničených projektech, schůzkách ad-hoc, a běžná výměna informací. Speciální poradenské služby - účast v projektech, v týmech při fúzích a akvizicích nebo v týmech pro změnu systémů. Mimořádné poradenské služby - účast v týmu pro obnovení nebo udržení provozu po havárii, resp. jiné výjimečné provozní události, nebo v týmu vytvořeném pro dočasnou výpomoc při plnění speciálního úkolu.

Interní audit – Shrnutí Podle vyhlášky 123/2007 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstvech a obchodníků s CP je nutné vytvořit účinný řídící a kontrolní systém Principy Corporate governance podle OECD doporučují vytvoření tří výborů, které dohlížejí na funkci auditu, jmenování a odměňování Jedním z výborů doporučených v principech Corporate governance podle OECD je výbor pro audit Podle vyhlášky 123/2007 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstvech a obchodníků s CP je nutné vytvořit účinný řídící a kontrolní systém Kontrolní systém má tři součásti – vnitřní kontrolu, compliance a interní audit Statut interního auditu upravuje především náplň činnosti, předmět výkonu a jeho postavení v rámci organizace Interní auditor má z titulu své funkce jasně definované povinnosti, které musí při své činnosti dodržovat a za který je odpovědný Pro výkon své funkce musí interní auditor disponovat základními dovednostmi a vědomostmi nejen v oblasti procesní, ale i v oblastech poznávání, komunikační i formální Vzhledem ke svému postavení a odpovědnosti je interní auditor povinen dodržovat určité etické principy Pro výkon své funkce je interní auditor vybaven příslušnými pravomocemi, které mu umožňují nezávisle a objektivně vykonávat svoji činnost Vedle „ujišťovací“ funkce může interní audit poskytovat i služby poradenské