Vnitřní kontrolní systém a jeho audit

Slides:



Advertisements
Podobné prezentace
Zavedení vnitřního kontrolního systému v příspěvkových organizacích zřizovaných krajem Vysočina Pravidla kraje Vysočina.
Advertisements

Význam genderové optimalizace rozvoje lidských zdrojů Genderový audit v návaznosti na personální audit Reg.č.: CZ.1.04/3.4.04/
M A N A G E M E N T 3 Akad. rok 2009/2010, Letní semestr
Integrovaný systém řízení (ISŘ)
Presentation Title.
KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
managementu znalostí podle
ŘÍZENÍ LIDSKÝCH ZDROJŮ Vzdělávání, kvalifikace, rozvoj
PROJEKTOVÉ ŘÍZENÍ. Organizace projektu  Jedná se o optimální uspořádání lidí, věcí a nehmotných složek aktivit do struktur  Jednotlivé složky se uspořádají.
13. Koordinace projektů Realizace změn Koordinace projektů
Nabídka personálních služeb
Audit administrativních činností
Hodnocení škol a školských zařízení
Facility management ČSN EN
Řízení rizik ve veřejné správě legislativní rámec
Implementace strategie prostřednictvím akčního plánu
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
FÁZE A CYKLUS SUMP: Od myšlenky k praktickým řešením Petr Kurfürst, Centrum dopravního výzkumu, v.v.i. Praha, Kongresové centrum
Outsourcing jako strategický nástroj řízení nejen v komerční sféře
Auditorské postupy Činnosti před uzavřením smlouvy
Hodnocení, realizace a kontrolní etapa. Hodnotí se tři skupiny kriterií: A)Prospěšnost – žádoucnost 1. Jak navržená strategie pomáhá dosažení cílů? 2.
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI
Audit seminář CGI duben 2014.
ITIL Information Technology Infrastructure Library.
Audit systému jakosti Ing. Zdeněk Aleš, Ph.D.
E M A S - Systém environmentálního řízení a auditu Zavádění EMAS na MŽP Porada OVSS
Východiska Klíčové téma - problematika podvodů obecně a korupce.
KONTROLOVÁNÍ MANAGEMENT CVIČENÍ Navrátilová, Pavlíčková.
Příručka jakosti Ing. Zdeněk Aleš, Ph.D.
Systém managementu jakosti
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Aktivita č. 6 Návrh a zavedení systému řízení kvality Workshop Výsledky analytického šetření.
Reinženýring cesta ke zvyšování výkonnosti státní správy s využitím procesního řízení Ing. Martin Čulík Notes CS a.s. Konference ISSS 2003 Hradec Králové.
Zásady řešení informační bezpečnosti
Proces řízení rizik.
4 Normovaný systém managementu kvality podle ISO 9001
Program zahájení - Petr Pavlinec, KÚ role systémového integrátora - Martin Vimr, PH organizace projektu - Vladimír Kvarda, PH obsazení projektového týmu.
RNDr. Jana Sýkorová SOŠ a SOU technické, Třemošnice, Sportovní 322
Graduate Recruitment Zakladatelé Deloitte Touche Tohmatsu.
Management systému řízení kvality
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Proces řízení kvality projektu Jaromír Štůsek
Zásady SLP, ČSN EN ISO 15189:2003 SLP – správná laboratorní práce
Systém řízení moderního podniku Management system of modern company
IAF MD 18:2015 Aplikace ISO/IEC 17021:2011 v oblasti řízení služeb (ISO/IEC )
ZÁKLADY SYSTÉMŮ MANAGEMENTU 1. ČÁST
BUDOVÁNÍ SYSTÉMŮ MANAGEMENTU
HACCP.
BSC 1992 Robert S. Kaplan a David P. Norton článek navrhující měření výkonnosti organizací – BSC – Vyrovnaný přehled výsledků kniha The Balanced.
Efektivní řízení lidských zdrojů a zavádění moderních metod řízení na Městském úřadu Bruntál CZ.1.04/4.1.01/
Akreditace laboratoří podle revidované ČSN EN ISO/IEC 17025:2005 Ing. Martin Matušů, CSc.
Personální audit - cesta k efektivitě využívání lidských zdrojů.
Zlepšení podmínek pro vzdělávání na středních školách Operačního programu Vzdělávání pro konkurenceschopnost Název a adresa školy: Integrovaná střední.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Autorita Schopnost získat si respekt podřízených. Rozlišujeme formální, neformální a odbornou autoritu Autoritativní styl řízení Styl řízení založený.
PROCESNÍ MODELOVÁNÍ AGEND VEŘEJNÉ SPRÁVY Rámcový návrh projektu.
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
Sekce fondů Evropské unie (Sekce 8) Hlavní náplň Zajištění činností Řídicího orgánu operačních programů spolufinancovaných z ESF (OP LZZ a OPZ), Zprostředkujících.
MANAGEMENT 6 Kontrolování. Poslání 5. manažerské funkce Včasné a hospodárné zjištění, rozbor a přijetí závěrů k odchylkám, které v řízeném procesu charakterizují.
IS jako nástroj moderního personálního managementu Vít Červinka
Systém managementu jakosti
Rozkrývání vlastnických struktur a skutečných majitelů
Osobní management – modul č.4
11. Evaluace/hodnocení Hodnocení škol, školských zařízení a vzdělávací soustavy vymezuje § 12 zákona 561/2005 Sb. o předškolním , základním, středním,
Systém managementu jakosti 3
Výbor pro audit ing. Bohuslav Poduška, CIA, CRMA
Systém kontroly ÚSC Šumperk
Hodnocení řídícího a kontrolního systému interním auditem
farmakovigilanční audit
Transkript prezentace:

Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA

Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního auditu v rámci VŘKS Hodnocení účinnosti a efektivnosti VŘKS Z praxe auditora – typické nedostatky VŘKS

Požadavky na VŘKS dle metodik a standardů

Porovnání požadavků na VŘKS různých standardů Požadavky na VŘKS vycházejí ze stejných principů. Liší se zejména v cílech VŘKS. SOX - PCAOB standard AS2 uvádí jako jeden z vhodných VŘKS rámec dle COSO. požadavky zákona SOX se týkají spolehlivosti finančního výkaznictví. IIA - Standard 2120 Auditor by měl hodnotit VŘKS z pohledu: spolehlivosti a integrity finančních a provozních informací, účinnosti a efektivnosti procesů, ochrany aktiv, dodržování zákonů, předpisů a smluv. COBIT – Kontrolní rámec pro řízení IT plánování a organizace IT akvizice a implementace IT Provoz a podpora IT Monitoring a hodnoceni Direktiva EU 8 - článek 41, odst. 2, b) povinnost zřídit výbor pro audit. Povinnosti výboru pro audit: (a) monitorování procesu finančního výkaznictví, (b) monitorování efektivnosti VŘKS, interního auditu a řízení rizik.

Definice VŘKS dle rámce COSO

Definice VŘKS dle rámce COSO Interní kontrolní systém je proces uskutečňovaný vedením společnosti a jinými pracovníky organizace, jehož cílem je poskytnout přiměřené ujištění o plnění cílů v následujících kategoriích: efektivnost a účinnost operací, spolehlivost finančního výkaznictví, soulad s legislativou a ostatními platnými předpisy.

Definice VŘKS dle rámce COSO Dle COSO se VŘKS skládá z pěti vzájemně provázaných komponent, které dohromady tvoří integrovaný rámec. Tyto komponenty jsou následující: kontrolní prostředí, hodnocení rizik, kontrolní činnosti, informace a komunikace, monitorování. KOMUNIKACE INFORMACE & KONTROLNÍ AKTIVITY HODNOCENÍ RIZIK PROSTŘEDÍ MONITOROVÁNÍ

Komponenty COSO - kontrolní prostředí Kontrolní prostředí - zahrnuje celkový přístup vedení k řízení organizace - firemní kulturu. Do kontrolního prostředí patří prvky nehmotné i hmotné povahy: integrita a etické hodnoty, správa a organizační struktura, filozofie vedení, řízení pravomocí a odpovědností, pravidla a praxe lidských zdrojů. Vedení ovlivňuje kontrolní prostředí organizace zaváděním etických standardů, svým chováním, účinným informováním o pravidlech a procedurách.

Komponenty COSO - hodnocení rizik Hodnocení rizik - zahrnuje identifikaci a analýzu rizik, které ohrožují plnění cílů společnosti. Hodnocení rizik začíná identifikací rizik souvisejících s obchodními cíli provázanými se všemi úrovněmi organizace: Na úrovni celé organizace cíle organizace, čeho chce organizace dosáhnout, jsou základním kamenem účinného VŘKS, vycházejí ze strategického a obchodního plánu. Na úrovni jednotlivých aktivit stanovováním cílů konkrétních projektů, procesů a aktivit. Posuzování rizik vyžaduje zhodnocení externích i interních faktorů a jejich vlivu na provoz, finanční výkaznictví a soulad s předpisy. Používá různé techniky: sebehodnocení kontrol (CSA), řízení podnikových rizik (ERM) a mnoho dalších.

Komponenty COSO - kontrolní činnosti Kontrolní činnosti - jsou politiky, postupy, pravidla a činnosti, jejichž účelem je pomoc při dosahování cílů a snižování rizik. Kontrolní činnosti musí být implementovány do procesů společnosti a využívány k řízení rizik. Soustředí se na prevenci, odhalování a nápravu. Typy kontrolních činností: schválení, autorizace a ověřování, prověřování ukazatelů výkonnosti (např. klíčové ukazatele výkonnosti, metriky), ochrana aktiv, oddělení odpovědností (např. iniciace transakce - schvalování - zaznamenání), kontroly informačních systémů (např. řízení přístupu).

Komponenty COSO - kontrolní činnosti - pokračování Kontrolní činnosti na úrovni celé organizace (CLC) ovlivňují organizaci jako celek nebo více procesů Kontrolní činnosti na úrovni procesů (PLC) ovlivňují jednotlivé procesy nebo činnosti

Komponenty COSO - informace a komunikace Informace a komunikace - zajišťuje, že relevantní informace jsou získány a zpracovány tak, aby byly správné, aktuální a dostupné včas a na správném místě. Poskytovány různými formálními i neformálními způsoby: ústně (např. jednání, zpětná vazba) písemně (např. pravidla, procesy, popisy práce) chováním (např. vedení jde příkladem) Úplnost informací je pro obchodní rozhodnutí naprostou nutností: interní kontrolní mechanismy musí zajistit, že informace jsou odpovídající, aktuální, včasné, přesné a dostupné. vazba na kontrolní mechanismy IS/IT (COBIT) Odpovědnost vedení: komunikace v organizaci musí probíhat horizontálně i vertikálně oběma směry komunikační kanály se zákazníky, dodavateli a ostatními stranami musí být otevřené

Komponenty COSO – monitorování Monitorování - zjišťuje dohled nad VŘKS; ověřuje, že kontrolní činnosti jsou správně navrženy a efektivně prováděny. Účinnost VŘKS by měla být hodnocena průběžným monitorováním operací a samostatnými periodickými hodnoceními. Rozsah a frekvence monitorovacích činností závisí na významnosti kontrolovaných rizik a důležitosti kontrol při snižování rizik. Monitorovací činnosti by měly být zabudovány do běžných opakujících se provozních činností organizace. U identifikovaných nedostatků by měla být stanovena jasná nápravná opatření a zodpovědnost za jejich realizaci.

Role interního auditu v rámci VŘKS

Role a odpovědnosti Top management určuje standard kontrolního prostředí, udržuje si nejvyšší zodpovědnost za VŘKS a řízení rizik v celé společnosti. Provozní management přímo zodpovědný za efektivnost provozu a VŘKS ve vztahu k cílům společnosti, pravidelně hodnotí a prosazuje řízení rizik a kontrolní prostředí, definuje a implementuje kroky pro zlepšení VŘKS. Finanční management podílí se na zodpovědnosti provozního vedení a souvisejících činnostech, poskytuje vodítka pro navrhování, zavádění, provádění a monitorování odpovídajících kontrolních aktivit.

Role a odpovědnosti - pokračování Interní audit hodnotí adekvátnost a účinnost VŘKS, navrhuje plán interního auditu vycházející ze strategického řízení rizik, podává zprávy o zjištěních a vydává doporučení, poskytuje podporu pro posuzování rizik a kontrolních aktivit, monitoruje míru vystavení organizace riziku a vydává doporučení týkající se posuzování rizik a VŘKS. Výbor pro audit monitoruje efektivnosti VŘKS, interního auditu a řízení rizik, dohlíží na adekvátnost celkového kontrolního prostředí, usměrňuje pozornost představenstva k oblastem IA a VŘKS. Externí audit hodnotí efektivitu VŘKS za účelem stanovení rozsahu procedur externího auditu, vydává výrok k účetní závěrce.

Hodnocení účinnosti a efektivnosti VŘKS

Role interního auditu v oblasti řídicích a kontrolních mechanismů Standard 2120 - Řízení a kontrola. Interní audit napomáhá společnosti udržovat účinné řídicí a kontrolní systémy tím, že hodnotí jejich účinnost a efektivnost a podporuje jejich neustálé zdokonalování. 2120.A1 - Na základě výsledků vyhodnocení rizik interní audit hodnotí adekvátnost a účinnost řídicích a kontrolních mechanismů, týkajících se řízení a správy společnosti, procesů ve společnosti a informačních systémů. Toto hodnocení se týká: spolehlivosti a integrity finančních a provozních informací, účinnosti a efektivnosti procesů, ochrany aktiv, dodržování zákonů, předpisů a smluv.

Hodnocení účinnosti a efektivnosti Účinnost znamená, že VŘKS zajišťuje plnění cílů a pokrývá příslušná rizika (dělám správnou věc - VŘKS je navržen správně). Efektivnost znamená, že VŘKS je funguje optimálním, nejméně zdroji plýtvajícím způsobem (dělám správnou věc správným způsobem - VŘKS je navržen tak, aby co nejlépe plnil nadefinovaný cíl ekonomicky výhodným způsobem).

Hodnocení účinnosti Interní auditor by měl při hodnocení účinnosti VŘKS: ověřit jsou-li cíle dané kontroly v souladu s cíli společnosti, zhodnotit, zda jsou rizika, která ohrožují plnění cílů nadefinována správně a odrážejí-li reálný stav interních procesů společnosti a externích faktorů působících z vnějšku. COSO uvádí příklady, při kterých je třeba znovu posoudit adekvátnost cílů a rizik, jsou to například: změny v regulatorním prostředí, změny v provozních činnostech, nové informační systémy, reorganizace společnosti, rychlý růst společnosti.

Hodnocení efektivnosti Při hodnocení efektivnosti by měl interní auditor zhodnotit: zda je interní kontrola prováděna nákladově efektivním způsobem, jestli není možno rizika snížit nějakým jiným, na spotřebované zdroje (lidské, čas) méně náročným způsobem nebo takovým, který není tolik náchylný k chybám.

Zdokonalování VŘKS Požadavek standardu 2120 – zdokonalování VŘKS. Interní audit je jedním z mála oddělení, které má příležitost vidět VŘKS jako celek. Má tedy unikátní možnost identifikovat změny VŘKS vedoucí k jeho optimalizaci. Optimální systém VŘKS by měl znamenat, že všechny kontrolní cíle jsou správně stanoveny, všechna rizika jsou pokryta kontrolními aktivitami a všechny kontrolní aktivity jsou prováděny nákladově efektivním způsobem.

Zdokonalování VŘKS - pokračování Návrhy na zdokonalování VŘKS mohou být založeny na posouzení efektivnosti kontrolních činností: Preventivní kontroly vs. detektivní kontroly Automatizované kontroly vs. manuální kontroly Nákladová efektinost VŘKS (kontrolních činností)

Zdokonalování VŘKS - pokračování Návrhy na zdokonalování VŘKS mohou být založeny na posouzení efektivnosti kontrolních činností: Preventivní kontroly vs. detektivní kontroly Automatizované kontroly vs. manuální kontroly Nákladová efektinost VŘKS (kontrolních činností)

Typické nedostatky VŘKS – praxe auditora Absence analýzy rizik VŘKS nepokrývá kontrolní cíle komplexně (např. chybějící IT kontroly) VŘKS není dostatečně zdokumentován VŘKS nereflektuje změny business procesů Forma kontroly je víc než její obsah VŘKS není efektivní

Děkuji za pozornost Mgr. Vlastimil Červený, CIA, CISA vcerveny@deloitteCE.com Definice VŘKS z pohledu metodik

© 2007 Deloitte Touche Tohmatsu Všechna práva vyhrazena