419/2025 Sb.Sdělení Ministerstva financí o vyhlášení mezinárodních standardů interního auditu

Částka: 419 Druh předpisu: Sdělení
Rozeslána dne: 15. října 2025 Autor předpisu: Ministerstvo financí
Přijato: 9. října 2025 Nabývá účinnosti: 15. října 2025
Platnost předpisu: Ano Pozbývá platnosti:
 Obsah   Tisk   Export  Skrýt přehled Celkový přehled   Skrýt názvy Zobrazit názvy  
Původní znění předpisu
Zavřít

419

SDĚLENÍ

Ministerstva financí

ze dne 9. října 2025

o vyhlášení mezinárodních standardů interního auditu

Ministerstvo financí podle ustanovení § 20 odst. 1 zákona č. 231/2025 Sb., o řízení a kontrole veřejných financí, vyhlašuje mezinárodní standardy interního auditu vydané Institutem interních auditorů:

Globální standardy interního auditu

Princip 1

Vykazování integrity

Interní auditoři při své práci a ve svém chování vykazují integritu.

Standard 1.1

Poctivost a profesní odvaha

Interní auditoři musí svou práci vykonávat poctivě a s profesní odvahou.

Interní auditoři musí být ve všech profesních vztazích a komunikaci pravdiví, přesní, jasní, otevření a respektující, a to i když vyjadřují skepticismus nebo předkládají protichůdné stanovisko. Interní auditoři nesmí podávat nepravdivá, zavádějící nebo klamavá prohlášení, ani ve své komunikaci zamlčovat či vynechávat zjištění nebo jiné relevantní informace. Interní auditoři musí rozkrýt všechny podstatné skutečnosti, které jsou jim známy a které by, pokud nebudou uvedeny ve známost, mohly ovlivnit schopnost společnosti přijímat informovaná rozhodnutí.

Interní auditoři musí projevovat profesní odvahu tím, že komunikují pravdivě a reagují odpovídajícím způsobem, a to i v případě, že jsou vystaveni dilematům a obtížným situacím.

Vedoucí interního auditu musí udržovat pracovní prostředí, ve kterém interní auditoři cítí podporu při prezentaci legitimních, důkazně podložených výsledků zakázky, ať už příznivých, nebo nepříznivých.

Standard 1.2

Očekávání společnosti v oblasti etiky

Interní auditoři musí chápat a respektovat a dodržovat legitimní a etická očekávání společnosti a přispívat k nim. Musí být schopni rozpoznat jednání, které je s těmito očekáváními v rozporu.

Interní auditoři musí povzbuzovat a podporovat etickou kulturu ve společnosti. Pokud interní auditoři zjistí ve společnosti chování, které není v souladu s jejími etickými očekáváními, musí tuto skutečnost oznámit podle příslušných zásad a postupů.

Standard 1.3

Etické jednání a jednání v souladu s právem

Interní auditoři se nesmí podílet na žádné činnosti, která je nezákonná nebo diskredituje společnost nebo profesi interního auditu nebo která by mohla společnost nebo její zaměstnance poškodit.

Interní auditoři musí rozumět zákonům a/nebo předpisům relevantním pro odvětví a jurisdikci,

v rámci kterých daná společnost působí, a dodržovat je, včetně zveřejňování požadovaných informací.

Pokud interní auditoři zjistí porušení právních nebo regulatorních předpisů, musí tyto případy nahlásit osobám nebo subjektům, které jsou oprávněny přijmout náležitá opatření tak, jak je uvedeno v zákonech, regulatorních předpisech a v příslušných zásadách a postupech.

Princip 2

Zachování objektivity

Při poskytování služeb interního auditu a při rozhodování zachovávají interní auditoři nestranný a nezaujatý přístup.

Standard 2.1

Objektivita jednotlivce

Interní auditoři musí zachovávat profesní objektivitu ve všech aspektech poskytování auditních služeb.

Profesní objektivita vyžaduje, aby interní auditoři uplatňovali nestranný a nezaujatý způsob uvažování a svá posouzení zakládali na vyváženém hodnocení všech relevantních okolností.

Interní auditoři si musí být vědomi možné zaujatosti a musí s ní umět nakládat.

Standard 2.2

Ochrana objektivity

Interní auditoři musí rozpoznat skutečná, potenciální a domnělá narušení objektivity a vyhnout se jim nebo je zmírnit.

Interní auditoři nesmějí přijímat žádné hmotné ani nehmotné věci, jako jsou dary, odměny nebo laskavosti, které by mohly narušit objektivitu, nebo u nichž by se dalo předpokládat, že ji naruší.

Interní auditoři se musí vyhýbat střetu zájmů a nesmí být nepřiměřeně ovlivňováni svými vlastními zájmy nebo zájmy dalších osob, včetně vrcholového vedení nebo jiných osob v nadřízené roli, ani politickým prostředím nebo jinými aspekty svého okolí.

Při poskytování služeb interního auditu:

Interní auditoři nesmí posuzovat takové procesy, za jejichž provádění byli předtím odpovědní. Pokud interní auditor poskytuje ujištění o činnosti, za kterou byl odpovědný během předcházejících 12 měsíců, předpokládá se, že objektivita je narušena.

Pokud má útvar interního auditu poskytovat ujišťovací služby tam, kde dříve poskytoval poradenské služby, musí vedoucí interního auditu potvrdit, že povaha poskytnutých poradenských služeb nenarušuje objektivitu, a musí přidělit zdroje tak, aby byla zajištěna objektivita jednotlivců. Na ujišťovací zakázky týkající se činností, za které je odpovědný vedoucí interního auditu, musí dohlížet nezávislý subjekt mimo útvar interního auditu.

  • Pokud mají interní auditoři poskytovat poradenské služby týkající se činností, za něž byli dříve odpovědní, musí před přijetím zakázky informovat žadatele o tyto služby o možném narušení objektivity.

    Vedoucí interního auditu musí stanovit metodiky k vypořádání narušení objektivity. Interní auditoři musí narušení projednat a přijmout příslušná opatření podle relevantních metodik.

Standard 2.3

Oznámení o narušení objektivity

Dojde-li k faktickému či zdánlivému narušení objektivity, musí být o této skutečnosti neprodleně předány podrobné informace příslušným zúčastněným stranám.

Pokud se interní auditoři dozvědí o narušení, které může ovlivnit jejich objektivitu, musí o tom informovat vedoucího interního auditu nebo určeného supervizora. Pokud vedoucí interního auditu zjistí,

že narušení ovlivňuje schopnost interního auditora objektivně vykonávat své povinnosti, musí toto narušení projednat s vedením posuzované činnosti, orgány společnosti a/nebo vrcholovým vedením a stanovit vhodná opatření k vyřešení situace.

Pokud je po dokončení zakázky zjištěno narušení, které ovlivňuje spolehlivost nebo vnímanou spolehlivost zjištění, doporučení a/nebo závěrů zakázky, musí vedoucí interního auditu projednat tuto záležitost s vedením posuzované činnosti, orgány společnosti a/nebo vrcholovým vedením a/nebo dalšími dotčenými zainteresovanými subjekty a stanovit vhodná opatření k vyřešení situace (viz také Standard 11.4 Chyby a opomenutí).

Pokud je fakticky nebo zdánlivě narušena objektivita vedoucího interního auditu, musí vedoucí interního auditu o tomto narušení informovat orgány společnosti (viz také Standard 7.1 Organizační nezávislost).

Princip 3

Vykazování kompetentnosti

Interní auditoři uplatňují znalosti, dovednosti a schopnosti k úspěšnému plnění svých rolí a odpovědností.

Standard 3.1

Kompetentnost

Interní auditoři musí mít nebo získat kompetence, aby mohli úspěšně vykonávat své odpovědnosti.

Požadované kompetence zahrnují znalosti, dovednosti a schopnosti odpovídající dané pracovní pozici a odpovědnosti přiměřené úrovni jejich zkušeností. Interní auditoři musí mít nebo získat znalost Globálních standardů interního auditu vydaných Institutem interních auditorů (IIA).

Interní auditoři musí poskytovat pouze ty služby, pro které mají potřebné kompetence, nebo jsou schopni je získat.

Každý interní auditor je odpovědný za neustálé rozvíjení a uplatňování kompetentnosti potřebné k plnění svých profesních odpovědností. Kromě toho musí vedoucí interního auditu zajistit, aby útvar interního auditu jako celek disponoval kompetencemi k provádění služeb interního auditu popsaných ve statutu interního auditu, nebo musí potřebné kompetence získat (viz také Standardy 7.2 Kvalifikace vedoucího interního auditu a 10.2 Řízení lidských zdrojů).

Standard 3.2

Průběžný profesní rozvoj

Interní auditoři si musí udržovat a neustále rozvíjet své kompetence, aby zlepšovali účinnost a kvalitu služeb interního auditu. Interní auditoři se musí věnovat průběžnému profesnímu rozvoji, včetně vzdělávání a odborné přípravy. Praktikující interní auditoři, kteří získali profesní certifikace v oblasti interního auditu, musí dodržovat zásady průběžného profesního vzdělávání a plnit požadavky vztahující se k jejich certifikacím.

Princip 4

Uplatňování náležité profesní péče

Interní auditoři při plánování a poskytování služeb interního auditu uplatňují náležitou profesní péči.

Standard 4.1

Soulad s Globálními standardy interního auditu

Interní auditoři musí plánovat a provádět služby interního auditu v souladu s Globálními standardy interního auditu.

Metodiky útvaru interního auditu musí být stanoveny, zdokumentovány a udržovány v souladu se Standardy. Interní auditoři se musí při plánování a provádění interního auditu a při komunikaci jeho výsledků řídit Standardy a metodikami útvaru interního auditu.

Pokud jsou Standardy užívány v kombinaci s požadavky vydanými jinými uznávanými orgány, musí komunikace interního auditu adekvátně odkazovat i na užití těchto dalších požadavků. Pokud zákony nebo regulatorní předpisy neumožňují interním auditorům nebo útvaru interního auditu, aby postupovali ve shodě s určitou částí Standardů, je přesto požadováno, aby byly dodržovány všechny ostatní části Standardů, a o této situaci je nutné příslušným způsobem informovat.

Pokud interní auditoři nejsou schopni splnit nějaký požadavek, musí vedoucí interního auditu zdokumentovat a komunikovat popis této okolnosti, přijatá alternativní opatření, dopad těchto opatření a logické odůvodnění. Požadavky související s oznámením nesouladu se Standardy jsou popsány ve Standardech 8.3 Kvalita, 12.1 Interní hodnocení kvality a 15.1 Závěrečná komunikace zakázky.

Standard 4.2

Náležitá profesní péče

Interní auditoři musí uplatňovat náležitou profesní péči tím, že posuzují povahu a okolnosti poskytovaných služeb a požadavky na ně, včetně:

  • strategie společnosti a jejích cílů,

  • zájmů těch, kterým jsou služby interního auditu poskytovány, a zájmů ostatních zainteresovaných subjektů,

  • přiměřenosti a účinnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů,

  • nákladů v poměru k potenciálním přínosům služeb interního auditu, které mají být provedeny,

  • rozsahu a časové náročnosti práce potřebné k dosažení cílů zakázky,

  • relativní složitosti, významnosti, nebo závažnosti rizik posuzované činnosti,

  • pravděpodobnosti výskytu významných chyb, podvodů, nesouladu a dalších rizik, které by mohly ovlivnit cíle, provoz nebo zdroje,

  • používání vhodných technik, nástrojů a technologií.

Standard 4.3

Profesní skepticismus

Interní auditoři musí při plánování a poskytování služeb interního auditu zachovávat profesní skepticismus.

Při uplatňování profesního skepticismu musí interní auditoři:

  • zachovávat zvídavost,

  • kriticky posuzovat spolehlivost informací,

  • být přímí a poctiví při vznášení obav a kladení otázek ohledně rozporuplných informací,

  • vyhledávat další důkazy, aby si mohli udělat úsudek o informacích a prohlášeních, které mohou být neúplné, rozporuplné, nepravdivé nebo zavádějící.

Princip 5

Zachování důvěrnosti

Interní auditoři používají a chrání informace náležitým způsobem.

Standard 5.1

Používání informací

Při používání informací musí interní auditoři dodržovat příslušné zásady, postupy, zákony a regulatorní předpisy. Informace nesmí být využity k osobnímu prospěchu nebo způsobem odporujícím či poškozujícím legitimní a etické cíle společnosti.

Standard 5.2

Ochrana informací

Interní auditoři si musí být vědomi své odpovědnosti za ochranu informací a musí respektovat důvěrnost, soukromí a vlastnictví informací získaných za účelem poskytování služeb interního auditu nebo v důsledku profesních vztahů.

Interní auditoři musí znát a dodržovat zákony, regulatorní předpisy, zásady a postupy týkající se důvěrnosti, ochrany soukromí a bezpečnosti informací, které se vztahují na společnost a funkci interního auditu.

Specifika relevantní pro funkci interního auditu představují:

  • správu, uchovávání a likvidaci záznamů ze zakázek,

  • zpřístupnění záznamů ze zakázky interním a externím stranám,

  • nakládání s důvěrnými informacemi, přístup k nim nebo jejich kopírování, pokud již nejsou potřeba.

Interní auditoři nesmějí sdělovat důvěrné informace neoprávněným stranám, pokud je k tomu nezavazuje právní nebo profesní odpovědnost.

Interní auditoři musí řídit riziko neúmyslného sdělení či odhalení informací.

Vedoucí interního auditu musí zajistit, aby útvar interního auditu a osoby, které s tímto útvarem spolupracují, dodržovaly stejné požadavky na ochranu informací.

Princip 6

Zmocnění orgány společnosti

Orgány společnosti stanoví, schvalují a podporují mandát útvaru interního auditu.

Standard 6.1

Mandát interního auditu

Vedoucí interního auditu musí orgánům společnosti a jejímu vrcholovému vedení poskytnout informace nezbytné pro stanovení mandátu interního auditu. V těch jurisdikcích a odvětvích, kde je mandát útvaru interního auditu zcela nebo částečně předepsán zákony nebo regulatorními předpisy, musí statut interního auditu obsahovat právní požadavky na mandát (viz také Standard 6.2 Statut interního auditu a Uplatňování globálních standardů interního auditu ve veřejném sektoru).

Aby pomohl orgánům společnosti a jejímu vrcholovému vedení určit rozsah a druhy služeb interního auditu, musí vedoucí interního auditu koordinovat svou činnost s ostatními interními a externími poskytovateli ujištění tak, aby všichni vzájemně porozuměli svým rolím a odpovědnostem (viz také Standard 9.5 Koordinace a možnost se spolehnout).

Vedoucí interního auditu musí mandát zdokumentovat nebo na něj odkázat ve statutu interního auditu, který schvalují orgány společnosti (viz také Standard 6.2 Statut interního auditu).

Vedoucí interního auditu musí pravidelně posuzovat, zda změny okolností odůvodňují projednání mandátu interního auditu s orgány společnosti a jejím vrcholovým vedením. Pokud tomu tak je,

musí vedoucí interního auditu projednat mandát interního auditu s orgány společnosti a vrcholovým vedením, aby vyhodnotil, zda pravomoci, role a odpovědnosti nadále umožňují, aby útvar interního auditu docílil své strategie a plnil své cíle.

Standard 6.2

Statut interního auditu

Vedoucí interního auditu musí vypracovat a udržovat statut interního auditu, který stanoví minimálně:

  • Účel interního auditu,

  • závazek dodržovat Globální standardy interního auditu,

  • mandát, včetně rozsahu a druhů služeb, které mají být poskytovány, a dále odpovědnosti a očekávání orgánů společnosti ohledně podpory interního auditu ze strany vedení (viz také Standard 6.1 Mandát interního auditu),

  • organizační postavení a vztahy podřízenosti a nadřízenosti (viz také Standard 7.1 Organizační nezávislost).

    Vedoucí interního auditu musí navrhovaný statut projednat s orgány společnosti a vrcholovým vedením, aby bylo potvrzeno, že statut přesně odráží to, jak orgány společnosti a její vrcholové vedení funkci interního auditu chápou a co od interního auditu očekávají.

Standard 6.3

Podpora vrcholového vedení a orgánů společnosti

Vedoucí interního auditu musí orgánům společnosti a jejímu vrcholovému vedení poskytovat takové informace, aby mohli podporovat a prosazovat autoritu útvaru interního auditu napříč celou společností.

Komunikaci útvaru interního auditu s orgány společnosti musí vedoucí interního auditu koordinovat s vrcholovým vedením společnosti tak, aby orgány společnosti byly schopné plnit požadavky týkající se útvaru interního auditu.

Princip 7

Nezávislé postavení

Orgány společnosti stanoví a chrání nezávislost a kvalifikovanost útvaru interního auditu.

Standard 7.1

Organizační nezávislost

Vedoucí interního auditu musí nejméně jednou ročně potvrdit orgánům společnosti organizační nezávislost útvaru interního auditu. To zahrnuje poskytnutí informací o případech, kdy mohla být nezávislost narušena, a o pojistkách a opatřeních použitých k řešení tohoto narušení.

Vedoucí interního auditu musí ve statutu interního auditu zdokumentovat vztahy podřízenosti a nadřízenosti a organizační zařazení útvaru interního auditu tak, jak je určily orgány společnosti (viz také Standard 6.2 Statut interního auditu).

Vedoucí interního auditu musí s orgány společnosti a vrcholovým vedením projednat všechny stávající nebo navrhované role a odpovědnosti, které by mohly fakticky nebo zdánlivě narušit nezávislost útvaru interního auditu. Vedoucí interního auditu musí uvědomit orgány a vrcholové vedení společnosti o typech pojistek a opatření k řízení skutečných, potenciálních nebo vnímaných narušení.

Pokud má vedoucí interního auditu jednu nebo více trvalých funkcí nad rámec interního auditu,

musí být tyto odpovědnosti, povaha práce a stanovené pojistky a opatření k zajištění nezávislosti zdokumentovány ve statutu interního auditu. Pokud jsou tyto oblasti odpovědností vedoucího interního auditu předmětem interního auditu, je třeba zavést alternativní postupy pro získání ujištění, například uzavřít smlouvu s objektivním a kompetentním externím poskytovatelem ujištění, který podává zprávy orgánům společnosti nezávislým způsobem.

Pokud jsou tyto neauditní odpovědnosti vedoucího interního auditu dočasného charakteru, musí být v těchto oblastech poskytováno ujištění nezávislou třetí stranou, a to po dobu jejich dočasného zadání vedoucímu interního auditu a dále v následujících 12 měsících poté. Vedoucí interního auditu musí rovněž vypracovat plán pro předání těchto odpovědností dalšímu vedení. Pokud řídicí struktura nepodporuje organizační nezávislost, vedoucí interního auditu musí zdokumentovat charakteristiky řídicí struktury, které omezují nezávislost interního auditu, a veškeré pojistky a opatření, která mohou být použita k dosažení principu nezávislosti.

Standard 7.2

Kvalifikace vedoucího interního auditu

Vedoucí interního auditu musí napomáhat orgánům společnosti porozumět kvalifikaci a kompetencím vedoucího interního auditu, které jsou nezbytné pro řízení útvaru interního auditu. Vedoucí interního auditu usnadňuje toto porozumění tím, že poskytuje informace a příklady ohledně obvyklých a osvědčených kvalifikací a kompetencí.

Vedoucí interního auditu si musí udržovat a zvyšovat kvalifikaci a kompetence potřebné k plnění rolí a odpovědností, které od něj orgány společnosti očekávají (viz také Princip 3 Vykazování kompetentnosti a standardy tohoto principu).

Princip 8

Dohled orgánů společnosti

Orgány společnosti dohlíží na funkci interního auditu, aby zajistily její účinnost.

Standard 8.1

Interakce s orgány společnosti

Vedoucí interního auditu musí poskytovat orgánům společnosti informace potřebné k uplatňování jejich dohledových odpovědností. Tyto informace si mohou orgány společnosti výslovně vyžádat nebo vedoucí interního auditu poskytne takové informace, které, podle jeho názoru, mohou být cenné pro uplatňování dohledové odpovědnosti orgánů společnosti.

Vedoucí interního auditu musí orgánům společnosti a vrcholovému vedení společnosti podávat zprávy o:

  • plánu interního auditu a rozpočtu a jejich následných významných změnách (viz také Standardy 6.3 Podpora vrcholového vedení a orgánů společnosti a 9.4 Plán interního auditu),

  • změnách potenciálně ovlivňujících mandát nebo statut interního auditu (viz také Standardy 6.1 Mandát interního auditu a 6.2 Statut interního auditu),

  • potenciálním narušení nezávislosti (viz také Standard 7.1 Organizační nezávislost),

  • výsledcích služeb interního auditu, včetně závěrů, témat, ujištění, rad, porozumění podstatě věci a výsledků monitorování (viz také Standardy 11.3 Komunikace výsledků, 14.5 Závěry zakázky a 15.2 Potvrzení implementace doporučení nebo akčních plánů),

  • výsledcích programu pro zajišťování a zvyšování kvality (viz také Standardy 8.3 Kvalita, 8.4 Externí hodnocení kvality, 12.1 Interní hodnocení kvality a 12.2 Měření výkonu).

Mohou nastat případy, kdy vedoucí interního auditu nesouhlasí s vrcholovým vedením nebo dalšími zainteresovanými subjekty v otázkách rozsahu, zjištění nebo jiných aspektů zakázky, a tyto pak mohou ovlivnit schopnost útvaru interního auditu vykonávat své odpovědnosti. V takových případech musí vedoucí interního auditu poskytnout orgánům společnosti fakta a okolnosti, aby orgány společnosti mohly zvážit, zda by v rámci své dohledové role měly zasáhnout u vrcholového vedení nebo u jiných zainteresovaných subjektů.

Standard 8.2

Zdroje

Vedoucí interního auditu musí vyhodnocovat, zda jsou zdroje interního auditu dostatečné pro naplňování mandátu interního auditu a dodržení plánu interního auditu. Pokud tomu tak není, musí vedoucí interního auditu vypracovat strategii pro získání dostatečných zdrojů a informovat orgány společnosti o dopadu nedostatečných zdrojů a o tom, jak bude případný nedostatek zdrojů řešen.

Standard 8.3

Kvalita

Vedoucí interního auditu musí vypracovat a pravidelně aktualizovat program pro zajišťování a zvyšování kvality, který zahrnuje všechny aspekty fungování interního auditu. Program zahrnuje dva typy hodnocení:

  • externí hodnocení (viz také Standard 8.4 Externí hodnocení kvality),

  • interní hodnocení (viz také Standard 12.1 Interní hodnocení kvality).

Vedoucí interního auditu musí alespoň jednou ročně informovat vrcholové vedení a orgány společnosti o výsledcích interního hodnocení kvality. Výsledky externích hodnocení kvality musí být komunikovány po jejich dokončení. V obou případech taková komunikace zahrnuje:

- soulad útvaru interního auditu se Standardy a dosažení cílů souvisejících s výkonem interního auditu,

- dodržování zákonů a/nebo předpisů týkajících se interního auditu, pokud je to relevantní,

- plány vztahující se k řešení nedostatků a příležitostí ke zlepšení fungování interního auditu, pokud je to relevantní.

Standard 8.4

Externí hodnocení kvality

Vedoucí interního auditu musí vypracovat plán pro externí hodnocení kvality a projednat jej s orgány společnosti. Externí hodnocení musí být provedeno minimálně jednou za pět let odborně způsobilým a nezávislým externím hodnotitelem nebo externím hodnotícím týmem. Požadavek na externí hodnocení kvality lze splnit také prostřednictvím sebehodnocení s nezávislou validací.

Při výběru nezávislého hodnotitele nebo hodnotícího týmu musí vedoucí interního auditu zajistit, aby alespoň jedna osoba byla držitelem aktivní certifikace Certifikovaný interní auditor®.

Princip 9

Plánujte strategicky

Vedoucí interního auditu strategicky plánuje, aby postavení útvaru interního auditu umožňovalo naplňování mandátu interního auditu a dosahování dlouhodobých úspěchů.

Standard 9.1

Porozumění procesům řízení a správy společnosti, řízení rizik a řídicím a kontrolním procesům

Aby mohl vedoucí interního auditu vypracovat účinnou strategii a plán interního auditu, musí rozumět procesům řízení a správy společnosti, řízení rizik a řídicím a kontrolním procesům.

Aby vedoucí interního auditu procesům řízení porozuměl, musí vzít v úvahu, jak společnost:

- stanovuje strategické cíle a přijímá strategická a operativní rozhodnutí,

- provádí dohled nad řízením rizik a řídicími a kontrolními mechanismy,

- prosazuje etickou kulturu,

- uplatňuje účinné řízení výkonnosti a svoji zodpovědnost,

- strukturuje své řídicí a provozní funkce,

- komunikuje informace o rizicích a kontrolách napříč celou společností,

- koordinuje činnosti a komunikaci mezi orgány společnosti, interními a externími poskytovateli ujišťovacích služeb a vedením.

Aby vedoucí interního auditu porozuměl procesům řízení rizik a řídicím a kontrolním procesům, musí zvážit, jak společnost identifikuje a vyhodnocuje významná rizika a vybírá vhodné kontrolní procesy. To zahrnuje pochopení toho, jak společnost identifikuje a řídí následující klíčové oblasti rizik:

- spolehlivost a integritu finančních a provozních informací,

- účinnost a efektivitu procesů a programů,

- ochranu aktiv,

- dodržování zákonů a/nebo regulatorních předpisů.

Standard 9.2

Strategie interního auditu

Vedoucí interního auditu musí vypracovat a zavést strategii útvaru interního auditu, která podporuje strategické cíle a úspěch společnosti a je v souladu s očekáváními orgánů společnosti, vrcholového vedení a dalších klíčových zainteresovaných subjektů.

Strategie interního auditu je plán činností určený k dosažení dlouhodobého nebo celkového cíle.

Strategie interního auditu musí obsahovat vizi, strategické cíle a podpůrné iniciativy pro daný útvar interního auditu. Strategie interního auditu pomáhá vést útvar interního auditu k naplňování mandátu interního auditu.

Vedoucí interního auditu musí pravidelně vyhodnocovat strategii interního auditu s orgány společnosti a vrcholovým vedením.

Standard 9.3

Metodiky

Vedoucí interního auditu musí stanovit metodiky, které povedou útvar interního auditu systematickým a metodickým způsobem k naplňování strategie interního auditu, vypracování plánu interního auditu a dodržování Standardů. Vedoucí interního auditu musí vyhodnocovat účinnost metodik a podle potřeby je aktualizovat tak, aby se zlepšovala činnost útvaru interního auditu a reagovalo se na významné změny, které útvar ovlivňují. Vedoucí interního auditu musí interním auditorům poskytnout školení o metodikách (viz také Princip 13 Plánujte zakázky účinně, Princip 14 Realizujte zakázku řádně a Princip 15 Komunikujte závěry zakázky a monitorujte akční plány a standardy těchto principů).

Standard 9.4

Plán interního auditu

Vedoucí interního auditu musí vytvořit plán interního auditu, který podporuje dosažení cílů společnosti.

Vedoucí interního auditu musí plán interního auditu založit na zdokumentovaném hodnocení strategií,

cílů a rizik společnosti. Toto hodnocení musí vycházet z podnětů od orgánů a vrcholového vedení společnosti, a rovněž z poznatků vedoucího interního auditu týkajících se řízení a správy společnosti,

řízení rizik a kontrolních procesů. Hodnocení se musí provádět nejméně jednou ročně.

Plán interního auditu musí:

- brát v úvahu mandát interního auditu a celou škálu dohodnutých služeb interního auditu,

- specifikovat služby interního auditu, které podporují hodnocení a zlepšování procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů,

- zvážit pokrytí řízení a správy informačních technologií, rizika podvodu, účinnosti programů společnosti v oblasti compliance a etiky a dalších vysoce rizikových oblastí,

- stanovit nezbytné lidské, finanční a technologické zdroje potřebné k dokončení plánu,

- být dynamický a včas aktualizovaný v reakci na změny ovlivňující podnikání společnosti, rizika, operace, programy, systémy, řídicí a kontrolní mechanismy a kulturu společnosti.

Vedoucí interního auditu musí plán interního auditu podle potřeby vyhodnocovat a revidovat a včas v tomto ohledu komunikovat s orgány a vrcholovým vedením společnosti:

- dopad případných omezení zdrojů na pokrytí interním auditem,

- odůvodnění nezařazení ujišťovací zakázky ve vysoce rizikové oblasti nebo činnosti do plánu interního auditu,

- protichůdné požadavky na služby interního auditu mezi hlavními zainteresovanými subjekty, zejména požadavky s vysokou prioritou na základě nově vznikajících rizik a požadavky na nahrazení plánovaných ujišťovacích zakázek poradenskými zakázkami,

- omezení rozsahu nebo omezení přístupu k informacím.

Vedoucí interního auditu musí projednat plán interního auditu, včetně významných průběžných změn, s orgány společnosti a jejím vrcholovým vedením. Plán a jeho významné změny musí schválit orgány společnosti.

Standard 9.5

Koordinace a možnost se spolehnout

Vedoucí interního auditu musí koordinovat svou činnost s interními a externími poskytovateli ujišťovacích služeb a zvážit možnost spolehnout se na jejich práci. Koordinace služeb minimalizuje duplikaci úsilí, upozorňuje na mezery v pokrytí klíčových rizik a zvyšuje celkovou přidanou hodnotu poskytovatelů.

Pokud se vedoucímu interního auditu nepodaří dosáhnout odpovídající úrovně koordinace, musí na tuto záležitost upozornit vrcholové vedení a v případě potřeby orgány společnosti.

Pokud se interní audit spoléhá na práci jiných poskytovatelů ujišťovacích služeb, musí vedoucí interního auditu zdokumentovat odůvodnění pro toto spolehnutí se; vedoucí interního auditu přitom zůstává stále odpovědný za závěry, ke kterým interní audit dospěl.

Princip 10

Řiďte zdroje

Vedoucí interního auditu řídí zdroje za účelem realizace strategie útvaru interního auditu a naplňování jeho plánu a mandátu.

Standard 10.1

Řízení finančních zdrojů

Vedoucí interního auditu musí řídit finanční zdroje útvaru interního auditu.

Vedoucí interního auditu musí vypracovat rozpočet, který umožní úspěšnou realizaci strategie interního auditu a dosažení plánu. Rozpočet zahrnuje zdroje nezbytné pro fungování interního auditu,

včetně školení a pořízení technologií a nástrojů. Vedoucí interního auditu musí účinně a efektivně řídit každodenní činnosti interního auditu v souladu s rozpočtem.

Vedoucí interního auditu musí požádat orgány společnosti o schválení rozpočtu a dále musí neprodleně informovat orgány společnosti a vrcholové vedení společnosti o dopadu v případě nedostatečných finančních zdrojů.

Standard 10.2

Řízení lidských zdrojů

Vedoucí interního auditu musí stanovit přístup k získávání, rozvoji a udržení interních auditorů, kteří jsou kvalifikovaní pro úspěšné uplatňování strategie interního auditu a plnění plánu interního auditu.

Vedoucí interního auditu musí usilovat o to, aby lidské zdroje byly vhodné, dostatečné a účinně rozvržené k dosažení schváleného plánu interního auditu. Vhodnost se týká kombinace znalostí,

dovedností a schopností, dostatečnost se týká množství zdrojů a účinné rozvržení se týká přidělení zdrojů způsobem, který optimalizuje dosažení plánu interního auditu.

Vedoucí interního auditu musí komunikovat s orgány společnosti a vrcholovým vedením o vhodnosti a dostatečnosti lidských zdrojů pro útvar interního auditu. Pokud interní audit nemá vhodné a dostatečné lidské zdroje pro splnění plánu interního auditu, musí vedoucí interního auditu určit, jak tyto zdroje získat, nebo včas sdělit orgánům společnosti a vrcholovému vedení dopad kapacitního omezení (viz také Standard 8.2 Zdroje).

Vedoucí interního auditu musí vyhodnocovat kompetence jednotlivých interních auditorů v útvaru interního auditu a podporovat jejich profesní rozvoj. Vedoucí interního auditu musí spolupracovat s interními auditory a pomáhat jim rozvíjet jejich individuální kompetence prostřednictvím školení,

supervize a/nebo mentoringu (viz také Standard 3.1 Kompetentnost).

Standard 10.3

Technologické zdroje

Vedoucí interního auditu musí usilovat o to, aby útvar interního auditu disponoval technologiemi podporujícími proces interního auditu. Vedoucí interního auditu musí pravidelně vyhodnocovat technologie používané útvarem interního auditu a hledat příležitosti ke zlepšení účinnosti a efektivity.

Při zavádění nových technologií musí vedoucí interního auditu pro interní auditory zavést vhodné školení k účinnému využívání technologických prostředků. Vedoucí interního auditu musí spolupracovat s útvary informačních technologií a informační bezpečnosti ve společnosti, aby technologické zdroje správně implementoval.

Vedoucí interního auditu musí komunikovat orgánům společnosti a vrcholovému vedení dopad technologických omezení na účinnost nebo efektivitu útvaru interního auditu.

Princip 11

Komunikujte účinně

Vedoucí interního auditu vede útvar interního auditu k účinné komunikaci se zainteresovanými subjekty.

Standard 11.1

Budování vztahů a komunikace se zainteresovanými subjekty

Vedoucí interního auditu musí pro útvar interního auditu nastavit přístup k budování vztahů a důvěry s klíčovými zainteresovanými subjekty, včetně orgánů společnosti, vrcholového vedení, provozního vedení, regulatorních orgánů a interních a externích poskytovatelů ujištění a dalších konzultantů.

Vedoucí interního auditu musí podporovat formální i neformální komunikaci mezi útvarem interního auditu a zainteresovanými subjekty a přispívat k vzájemnému porozumění ohledně:

- organizačních záležitostí a zájmů společnosti,

- přístupů k identifikaci a řízení rizik a poskytování ujištění,

- rolí a odpovědností příslušných stran a příležitostí pro spolupráci,

- relevantních regulatorních požadavků,

- významných procesů společnosti včetně finančního výkaznictví.

Standard 11.2

Účinná komunikace

Vedoucí interního auditu musí zavést a uplatňovat metodiky na podporu přesné, objektivní, jasné, stručné, konstruktivní, úplné a včasné komunikace interního auditu.

Standard 11.3

Komunikace výsledků

Vedoucí interního auditu musí pravidelně a u každé zakázky odpovídajícím způsobem komunikovat výsledky služeb interního auditu orgánům společnosti a jejímu vrcholovému vedení. Vedoucí interního auditu musí rozumět očekáváním orgánů a vrcholového vedení společnosti týkajícím se povahy a načasování komunikace.

Výsledky služeb interního auditu mohou zahrnovat:

- závěry zakázek,

- témata, jako jsou účinné postupy nebo kořenové příčiny,

- závěry na úrovni organizační jednotky nebo celé společnosti.

ZÁVĚRY ZAKÁZEK

Vedoucí interního auditu musí posoudit a schválit závěrečnou komunikaci zakázky, která obsahuje závěry zakázky, a před vydáním závěrečné komunikace zakázky rozhodnout, komu a jakým způsobem bude předána. Pokud jsou tyto úkoly delegovány na jiné interní auditory, celková odpovědnost však zůstává vedoucímu interního auditu. Před zveřejněním závěrečné komunikace stranám mimo společnost musí vedoucí interního auditu požádat o radu vedoucího právníka společnosti a/nebo vrcholové vedení, pokud zákony a/nebo regulatorní předpisy nevyžadují něco jiného anebo to nějak neomezují (viz také Standardy 11.4 Chyby a opomenutí, 11.5 Komunikace přijetí rizika a 15.1 Závěrečná komunikace zakázky).

TÉMATA

Zjištění a závěry z několika zakázek mohou při komplexním pohledu odhalit vzorce nebo trendy, jako třeba kořenové příčiny. Pokud vedoucí interního auditu takto zjistí témata týkající se procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů, musí tato témata spolu s dalšími vhledy, radami a/nebo závěry včas sdělit orgánům a vrcholovému vedení společnosti.

ZÁVĚRY NA ÚROVNI ORGANIZAČNÍ JEDNOTKY NEBO CELÉ SPOLEČNOSTI

Vedoucího interního auditu může být požádán, aby na úrovni organizační jednotky nebo celé společnosti učinil závěr o účinnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů, a to z důvodu požadavků odvětví, zákonů a/nebo předpisů nebo očekávání orgánů společnosti a jejího vrcholového vedení a/nebo dalších zainteresovaných subjektů. Takový závěr odráží odborný úsudek vedoucího interního auditu založený na několika zakázkách a musí být podložen relevantními, spolehlivými a dostatečnými informacemi.

Při komunikaci takového závěru orgánům společnosti nebo vrcholovému vedení musí vedoucí interního auditu uvést:

- shrnutí daného požadavku,

- kritéria použitá jako základ pro závěr, například rámec řízení a správy nebo rámec rizik a kontroly,

- rozsah, včetně omezení a období, na které se závěr vztahuje,

- shrnutí informací, které podporují závěr,

- oznámení případného spoléhání se na práci jiných poskytovatelů ujištění.

Standard 11.4

Chyby a opomenutí

Pokud závěrečná komunikace zakázky obsahuje významnou chybu nebo opomenutí, musí vedoucí interního auditu neprodleně sdělit opravené informace všem stranám, které obdržely původní komunikaci.

Významnost se určuje podle kritérií dohodnutých s orgány společnosti.

Standard 11.5

Komunikace přijetí rizika

Vedoucí interního auditu musí komunikovat nepřijatelné úrovně rizika.

Pokud vedoucí interního auditu dojde k závěru, že vedení společnosti přijalo takový stupeň rizika, který překračuje rizikovou toleranci společnosti, musí tuto skutečnost projednat s vrcholovým vedením.

Pokud vedoucí interního auditu dojde k závěru, že vrcholové vedení tuto záležitost nevyřešilo, musí vedoucí interního auditu tuto záležitost eskalovat k orgánům společnosti. Odpovědností vedoucího interního auditu není vyřešení daného rizika.

Princip 12

Zvyšujte kvalitu

Vedoucí interního auditu je odpovědný za soulad útvaru interního auditu s Globálními standardy interního auditu a za neustálé zlepšování výkonu útvaru interního auditu.

.

Standard 12.1

Interní hodnocení kvality

Vedoucí interního auditu musí vyvinout a provádět interní hodnocení k zajištění souladu útvaru interního auditu s Globálními standardy interního auditu a pokroku při dosahování cílů souvisejících s výkonem interního auditu.

Vedoucí interního auditu musí stanovit metodiku interního hodnocení, jak je popsáno ve Standardu 8.3 Kvalita. Tato metodika zahrnuje:

- průběžné sledování souladu útvaru interního auditu se Standardy a pokroku při dosahování cílů souvisejících s výkonem interního auditu,

- pravidelná sebehodnocení nebo hodnocení prováděná jinými osobami v rámci společnosti, které mají dostatečné znalosti postupů interního auditu, aby mohly soulad se Standardy posoudit,

- komunikaci s orgány společnosti a vrcholovým vedením o výsledcích interního hodnocení.

Na základě výsledků pravidelných sebehodnocení musí vedoucí interního auditu vypracovat akční plány k řešení případů nesouladu se Standardy a využít příležitostí ke zlepšení, včetně návrhu časového harmonogramu pro plnění opatření. Vedoucí interního auditu musí výsledky pravidelných sebehodnocení a akčních plánů komunikovat s orgány společnosti a vrcholovým vedením (viz také Standardy 8.1 Interakce s orgány společnosti, 8.3 Kvalita a 9.3 Metodiky).

Interní hodnocení musí být zdokumentováno a zahrnuto do hodnocení prováděného nezávislou třetí stranou v rámci externího hodnocení kvality společnosti (viz také Standard 8.4 Externí hodnocení kvality).

Pokud nesoulad se Standardy ovlivňuje celkový rozsah působnosti nebo činnost útvaru interního auditu, musí vedoucí interního auditu informovat vrcholové vedení a orgány společnosti o tomto nesouladu a jeho dopadech.

Standard 12.2

Měření výkonu

Vedoucí interního auditu musí vypracovat cíle pro hodnocení výkonu útvaru interního auditu. Při vypracovávání cílů souvisejících s výkonem interního auditu musí vedoucí interního auditu zohlednit podněty a očekávání orgánů společnosti a vrcholového vedení.

Vedoucí interního auditu musí vypracovat metodiku měření výkonu, aby bylo možné posoudit pokrok při dosahování cílů útvaru interního auditu a podpořit jeho neustálé zlepšování. Při hodnocení výkonu útvaru interního auditu si vedoucí interního auditu musí vyžádat podle potřeby zpětnou vazbu od orgánů společnosti a vrcholového vedení.

Vedoucí interního auditu musí vypracovat akční plán k řešení problémů a příležitostí ke zlepšení.

Standard 12.3

Dohled a zvyšování kvality při provádění zakázek

Vedoucí interního auditu musí stanovit a zavést metodiky pro supervizi zakázek, zajištění kvality a rozvoj kompetencí.

- Vedoucí interního auditu nebo supervizor zakázky musí interním auditorům v průběhu zakázky poskytovat vedení, ověřovat úplnost pracovních programů a potvrzovat, že pracovní dokumenty k zakázce dostatečně podporují zjištění, závěry a doporučení.

- Aby byla zajištěna kvalita, musí vedoucí interního auditu ověřit, zda jsou zakázky prováděny v souladu se Standardy a metodikami útvaru interního auditu.

- Pro rozvoj kompetencí musí vedoucí interního auditu poskytovat interním auditorům zpětnou vazbu k jejich výkonu a příležitosti ke zlepšení.

Rozsah vyžadované supervize závisí na vyspělosti útvaru interního auditu, odbornosti a zkušenostech interních auditorů a složitosti zakázek.

Vedoucí interního auditu je odpovědný za supervizi zakázek, ať už je práce na zakázce prováděna zaměstnanci interního auditu, nebo jinými poskytovateli služeb. Odpovědnost za supervizi může být delegována na vhodné a kvalifikované osoby, ale konečná odpovědnost zůstává na vedoucím interního auditu.

Vedoucí interního auditu musí zajistit, aby záznamy o supervizi byly dokumentovány a uchovávány v souladu se zavedenými metodikami útvaru interního auditu.

Princip 13

Plánujte zakázky účinně

Interní auditoři plánují každou zakázku s využitím systematického a metodického přístupu.

Standard 13.1

Komunikace zakázky

Interní auditoři musí účinně komunikovat v průběhu celé zakázky (viz také Princip 11 Komunikujte účinně a standardy tohoto principu a Standard 15.1 Závěrečná komunikace zakázky).

Interní auditoři musí vedení sdělit cíle, rozsah a načasování zakázky. Následné změny musí být vedení oznámeny včas (viz také Standard 13.3 Cíle a rozsah zakázky).

Pokud se na konci zakázky interní auditoři a vedení na výsledcích zakázky neshodnou, musí interní auditoři s vedením posuzované činnosti diskutovat a pokusit se dosáhnout vzájemného porozumění v dané záležitosti. Pokud se nepodaří dosáhnout vzájemné dohody, interní auditoři nesmí být povinováni změnit jakoukoli část výsledků zakázky, pokud k tomu neexistuje oprávněný důvod. Interní auditoři musí postupovat podle zavedené metodiky, aby obě strany mohly vyjádřit svá stanoviska k obsahu závěrečné komunikace zakázky a k důvodům případných rozdílných názorů ohledně výsledků zakázky (viz také Standardy 9.3 Metodiky a 14.4 Doporučení a akční plány).

Standard 13.2

Hodnocení rizik zakázky

Aby mohli interní auditoři posoudit příslušná rizika, musí posuzované činnosti porozumět. V případě poradenských služeb nemusí být formální a zdokumentované hodnocení rizik nutné, a to v závislosti na dohodě s příslušnými zainteresovanými subjekty.

Pro vytvoření adekvátního porozumění musí interní auditoři identifikovat a shromáždit spolehlivé,

relevantní a dostatečné informace týkající se:

- strategií, cílů a rizik společnosti relevantních pro posuzovanou činnost,

- rizikové tolerance společnosti, pokud je stanovena,

- hodnocení rizik, kterým je podpořen plán interního auditu,

- procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů posuzované činnosti,

- použitelných rámců, návodů a dalších kritérií, která lze použít k hodnocení účinnosti těchto procesů.

Interní auditoři musí posoudit shromážděné informace, aby porozuměli, jak mají procesy fungovat.

Interní auditoři musí identifikovat rizika, která budou posuzovat, prostřednictvím:

- identifikace rizik, která jsou potenciálně významná pro cíle posuzované činnosti,

- zohlednění rizik specifických pro podvody,

- vyhodnocení významnosti rizik a stanovení jejich priority pro následné posouzení.

Interní auditoři musí identifikovat kritéria, která vedení používá k měření toho, zda daná činnost dosahuje svých cílů.

Pokud interní auditoři příslušná rizika pro posuzovanou činnost identifikovali v minulých zakázkách, je požadováno pouze posouzení a aktualizace hodnocení rizik z předchozí zakázky.

Standard 13.3

Cíle a rozsah zakázky

Interní auditoři musí stanovit a zdokumentovat cíle a rozsah každé zakázky.

Cíle zakázky musí vyjadřovat účel zakázky a popisovat konkrétní cíle, kterých má být dosaženo, včetně cílů stanovených zákony a/nebo regulatorními předpisy.

Rozsah musí stanovit zaměření a hranice zakázky tím, že specifikuje činnosti, místa, procesy, systémy,

součásti a časové období, která mají být předmětem zakázky, a další prvky, které mají být prověřeny.

Rozsah zakázky musí být dostatečný pro dosažení cílů zakázky.

Interní auditoři musí zvážit, zda je zakázka určena k poskytování ujišťovacích nebo poradenských služeb, protože očekávání zainteresovaných subjektů a požadavky Standardů se v závislosti na typu zakázky liší.

Pokud je identifikováno omezení rozsahu, musí být toto projednáno s vedením s cílem dosáhnout řešení. Omezením rozsahu jsou takové podmínky v rámci ujišťovací zakázky, jakými jsou omezení zdrojů nebo omezení přístupu k pracovníkům, fyzickým objektům, datům a informacím, které brání interním auditorům provádět práci tak, jak předpokládá pracovní program auditu (viz také Standard 13.5 Zdroje zakázky).

Pokud se v otázce omezení rozsahu nepodaří s vedením dojít k řešení, musí vedoucí interního auditu eskalovat tuto otázku na úroveň orgánů společnosti podle stanovené metodiky. Interní auditoři musí mít možnost flexibilně měnit cíle a rozsah zakázky, pokud tato potřeba vyplyne z auditní práce v průběhu zakázky.

Cíle a rozsah zakázky a veškeré změny, ke kterým dojde v průběhu zakázky, musí schválit vedoucí interního auditu.

Standard 13.4

Hodnotící kritéria

Interní auditoři musí určit nejvhodnější kritéria, která budou použita pro hodnocení stavu posuzované činnosti definovaného v cílech a rozsahu zakázky. U poradenských služeb nemusí být určení hodnotících kritérií nutné v závislosti na dohodě s příslušnými zainteresovanými subjekty.

Interní auditoři musí zjistit, do jaké míry orgány společnosti a její vrcholové vedení zavedly přiměřená kritéria, prostřednictvím kterých lze určit, zda úkoly a cíle posuzované činnosti byly splněny. Pokud jsou tato kritéria přiměřená, interní auditoři je musí použít při svém hodnocení. Pokud tato kritéria přiměřená nejsou, interní auditoři musí vhodná hodnotící kritéria nalézt prostřednictvím diskuse s orgány společnosti a/nebo vrcholovým vedením.

Standard 13.5

Zdroje zakázky

Při plánování zakázky musí interní auditoři určit druhy a množství zdrojů potřebných k dosažení cílů zakázky.

Interní auditoři musí vzít v úvahu:

- povahu a složitost zakázky,

- časový rámec, ve kterém má být zakázka provedena,

- zda jsou dostupné finanční, lidské a technologické zdroje vhodné a dostatečné k dosažení cílů zakázky.

Pokud jsou dostupné zdroje nevhodné nebo nedostatečné, musí interní auditoři projednat záležitost s vedoucím interního auditu, aby zdroje získali.

Standard 13.6

Pracovní program

Interní auditoři musí vypracovat a zdokumentovat pracovní program zakázky k dosažení cílů zakázky.

Pracovní program zakázky musí vycházet z informací získaných během plánování zakázky a, pokud je to relevantní, i z výsledků hodnocení rizik zakázky.

Pracovní program zakázky musí stanovit:

- kritéria pro hodnocení jednotlivých cílů,

- úkoly k dosažení cílů zakázky,

- metodiky, včetně analytických postupů, které mají být použity, a pomůcky k provádění úkolů,

- interní auditory určené k provedení jednotlivých úkolů.

Vedoucí interního auditu musí posoudit a schválit pracovní program zakázky před začátkem jeho realizace a v případě provedení jakýchkoli následných změn tak učinit neprodleně.

Princip 14

Realizujte zakázku řádně

Interní auditoři realizují pracovní program zakázky, aby dosáhli cílů zakázky.

Standard 14.1

Získávání informací pro analýzy a hodnocení

K provádění analýz a hodnocení musí interní auditoři shromáždit informace, které jsou:

  • relevantní – v souladu s cíli zakázky, v rámci rozsahu zakázky a přispívají k vypracování výsledků zakázky,

  • spolehlivé – věcné a aktuální. Interní auditoři používají profesní skepticismus k posouzení toho, zda jsou informace spolehlivé. Spolehlivost se zvyšuje, pokud jsou informace:

    • získané přímo interním auditorem nebo z nezávislého zdroje,

    • potvrzené,

    • získané ze systému s účinnými procesy řízení a správy, řízení rizik a řídicími a kontrolními procesy,

  • dostatečné – pokud umožňují interním auditorům provádět analýzy a kompletní vyhodnocení a umožňují, aby obezřetná, informovaná a kompetentní osoba při zopakování pracovního programu zakázky došla ke stejným závěrům jako interní auditor.

Interní auditoři musí posoudit, zda jsou informace relevantní a spolehlivé a zda jsou dostatečné k tomu, aby analýzy poskytovaly přiměřený základ pro formulaci případných zjištění a závěrů zakázky (viz také Standard 14.2 Analýzy a možná zjištění v rámci zakázky).

Interní auditoři musí rozhodnout, zda shromáždí další informace pro analýzy a hodnocení v případě, že důkazní informace nejsou relevantní, spolehlivé nebo nejsou pro podporu zjištění zakázky dostatečné. Pokud nelze získat relevantní důkazy, musí interní auditoři rozhodnout, zda toto označit jako zjištění.

Standard 14.2

Analýzy a možná zjištění v rámci zakázky

Interní auditoři musí analyzovat relevantní, spolehlivé a dostatečné informace, aby mohli vypracovat potenciální zjištění zakázky. V případě poradenských služeb nemusí být shromažďování důkazů pro vypracování zjištění nutné v závislosti na dohodě s příslušnými zainteresovanými subjekty.

Interní auditoři musí analyzovat informace, aby zjistili, zda existuje rozdíl mezi hodnotícími kritérii a skutečným stavem posuzované činnosti (viz také Standard 13.4 Hodnotící kritéria). Interní auditoři musí zjistit skutečný stav na základě informací a důkazů shromážděných během zakázky.

Rozdíl mezi kritérii a skutečným stavem naznačuje potenciální zjištění zakázky, které je třeba zaznamenat a dále vyhodnotit. Pokud počáteční analýzy neposkytují dostatečné důkazy na podporu potenciálního zjištění zakázky, musí interní auditoři s náležitou profesní péčí určit, zda je třeba provést další analýzy.

Pokud jsou zapotřebí další analýzy, musí být pracovní program odpovídajícím způsobem upraven a schválen vedoucím interního auditu.

Pokud interní auditoři zjistí, že žádné další analýzy nutné nejsou a že neexistuje žádný rozdíl mezi kritérii a skutečným stavem, musí interní auditoři v závěru zakázky poskytnout ujištění o účinnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů dané činnosti.

Standard 14.3

Vyhodnocení zjištění

Interní auditoři musí vyhodnotit každé potenciální zjištění zakázky a určit jeho závažnost. Při vyhodnocování potenciálních zjištění zakázky musí interní auditoři spolupracovat s vedením, aby pokud možno určili kořenové příčiny, stanovili potenciální dopady a vyhodnotili závažnost problému.

Pro určení závažnosti rizika musí interní auditoři zvážit pravděpodobnost výskytu rizika a dopad, který může mít riziko na řízení a správu společnosti, řízení rizik nebo kontrolní procesy.

Pokud interní auditoři zjistí, že je společnost vystavena významnému riziku, musí to zdokumentovat a komunikovat jako zjištění.

Interní auditoři musí na základě situace a okolností a zavedených metodik rozhodnout, zda budou i ostatní rizika reportovat jako zjištění.

Interní auditoři musí určit prioritu každého zjištění zakázky na základě jeho závažnosti a s využitím metodik stanovených vedoucím interního auditu.

Standard 14.4

Doporučení a akční plány

Interní auditoři musí určit, zda vypracují doporučení, budou požadovat od vedení akční plány, nebo budou s vedením spolupracovat, aby se dohodli na opatřeních pro:

  • vyřešení rozdílů mezi stanovenými kritérii a skutečným stavem,

  • zmírnění zjištěných rizik na přijatelnou úroveň,

  • řešení hlavní příčiny zjištění,

  • zlepšení nebo zkvalitnění posuzované činnosti.

    Při vypracovávání doporučení musí interní auditoři tato doporučení projednat s vedením posuzované činnosti.

    Pokud se interní auditoři a vedení neshodnou na doporučeních k zakázce a/nebo na akčních plánech, musí interní auditoři postupovat podle stanovené metodiky, aby mohly obě strany vyjádřit svá stanoviska a zdůvodnění a stanovit řešení (viz také Standard 9.3 Metodiky).

Standard 14.5

Závěry zakázky

Interní auditoři musí k zakázce vypracovat závěr, který shrnuje výsledky zakázky ve vztahu k cílům zakázky a cílům vedení. Závěr zakázky musí vyjádřit odborný úsudek interních auditorů ohledně celkové závažnosti souhrnných zjištění zakázky.

Závěry ujišťovací zakázky musí obsahovat úsudek interních auditorů o účinnosti procesů řízení, řízení rizik a/nebo kontrolních mechanismů posuzované činnosti, včetně potvrzení, kdy jsou procesy účinné.

Standard 14.6

Dokumentace zakázky

Aby interní auditoři podpořili výsledky zakázky, musí zdokumentovat informace a důkazy. Analýzy, hodnocení a podpůrné informace relevantní pro danou zakázku musí být zdokumentovány tak, aby informovaný a obezřetný interní auditor nebo podobně informovaná a kompetentní osoba mohla práci zopakovat a odvodit stejné výsledky zakázky.

Interní auditoři a supervizor zakázky musí prověřit správnost, relevantnost a úplnost dokumentace zakázky. Dokumentaci zakázky musí zkontrolovat a schválit vedoucí interního auditu. Interní auditoři musí uchovávat dokumentaci o zakázce v souladu s příslušnými zákony a/nebo regulatorními předpisy,

jakož i se zásadami a postupy útvaru interního auditu a společnosti.

Princip 15

Komunikujte závěry zakázky a monitorujte akční plány

Interní auditoři komunikují výsledky zakázky příslušným stranám a monitorují, jak vedení postupuje při realizaci doporučení nebo akčních plánů.

Standard 15.1

Závěrečná komunikace zakázky

Interní auditoři musí pro každou zakázku vypracovat závěrečnou komunikaci, která obsahuje cíle zakázky, rozsah a závěry a v příslušných případech doporučení a/nebo akční plány.

Závěrečná komunikace u ujišťovacích zakázek musí rovněž obsahovat:

- zjištění, jejich závažnost a prioritizaci,

- vysvětlení případných omezení rozsahu,

- závěr týkající se účinnosti řízení a správy, řízení rizik a řídicích a kontrolních procesů posuzované činnosti.

V závěrečné komunikaci musí být uvedeny osoby odpovědné za příslušnou reakci na zjištění a plánované datum, do kterého by řešení mělo být zavedeno.

Pokud se interní auditoři dozvědí, že vedení zahájilo nebo dokončilo kroky k řešení zjištění ještě před závěrečnou komunikací, musí být tyto kroky v komunikaci uvedeny.

Závěrečná komunikace musí být přesná, objektivní, jasná, stručná, konstruktivní, úplná a včasná, jak je popsáno ve Standardu 11.2 Účinná komunikace.

Interní auditoři musí zajistit, aby závěrečnou komunikaci před jejím vydáním posoudil a schválil vedoucí interního auditu.

Vedoucí interního auditu odpovídá za poskytnutí závěrečné komunikace těm subjektům, které jsou schopny zajistit, že výsledkům bude věnována odpovídající pozornost (viz také Standard 11.3 Komunikace výsledků).

Pokud zakázka není provedena v souladu se Standardy, musí být v závěrečné komunikaci zakázky uvedeny následující podrobnosti o nesouladu:

- standardy, s nimiž nebylo dosaženo souladu,

- důvody nesouladu,

- dopad nesouladu na zjištění a závěry zakázky.

Standard 15.2

Potvrzení implementace doporučení nebo akčních plánů

Interní auditoři musí potvrdit, že vedení realizovalo doporučení interních auditorů nebo akční plány vedení podle stanovené metodiky, která zahrnuje:

  • dotazování na průběh implementace,

  • provedení follow-up hodnocení na základě rizikově orientovaného přístupu,

  • aktualizace stavu opatření přijatých vedením v systému pro sledování doporučení a/nebo akčních plánů.

    Rozsah těchto postupů musí zohledňovat závažnost zjištění.

    Pokud vedení nepokročilo v provádění opatření podle stanovených termínů dokončení, musí interní auditoři získat a zdokumentovat vysvětlení od vedení a projednat problém s vedoucím interního auditu. Vedoucí interního auditu je odpovědný za určení, zda vrcholové vedení svým prodlením nebo nečinností přijalo riziko překračující rizikovou toleranci (viz také Standard 11.5 Komunikace přijetí rizika).

Ministr:

v z. JUDr. Matejová, Ph.D., v. r.

vrchní ředitelka sekce Právní

MENU