Ch.Tait-PwC

www.pwc.com
COSO
Klubové odpoledne
ČIIA a CGI
19/06/2014
Kdo nese odpovědnost za interní kontroly ?
Board of Directors /
Supervisory Board
Management Board
CEO
Audit Committee
Administrative
Functional
PwC
Risk Management
Internal controls
3rd Line
Consider all risks, including:
2nd Line
Management internal controls
(revenue, opex, capex, treasury, IT,
governance, people/HR)
1st Line
Internal Audit
• Financial
• Operational/IT/Strategic
• Emerging and new risks
• Monitor 2nd Line of Defence functions
• Special requests by management & follow ups
of remediation
Compliance
• Subsidiaries abroad
2
Požadavky na pravidelné hodnocení vnitřní
kontroly
 zákon č. 93/2009 Sb., o auditorech,
 vyhláška č. 23/2014, o výkonu činnosti bank, spořitelních a úvěrních
družstev a obchodníků s cennými papíry)
 Zákon o trestní odpovědnosti právnických osob (ZTOPO)
PwC
3
Integrovaný přístup k podnikovým rizikům a
kontrolám
Systém vnitřních kontrol musí pracovat ruku v ruce se
systémem řízení rizik.
ERM Rámec = Rámec pro vnitřní kontrolu + reakce na riziko
Specify Risk Tolerance
Specify Suitable
Objectives
Business unit
scoping
Identify Significant Business
Units
Assess Risk and Deploy Controls
and risk mitigation strategies
Process
and system
scoping
Key risks
Key
controls
Identify Significant
Processes
Key risk by
process
Related key
controls only
Testing process
Testing
strategy
Optimalizovaný
proces řízení
vnitřních kontrol a
rizik.
Vary nature
timing and extent
Rámec pro vnitřní kontrolu
PwC
4
1. Cesta k lepší kontrole
- Co jsou COSO, Interní kontroly a
ERM?
PwC
Co je COSO?
• Vytvořený v roce 1985 jako nezávislá inciativa soukromého sektoru za
účelem podpory Národní komise pro podvodný finanční reporting (Treadway
Commission) zabývající se příčinnými faktory, které mohou vést k
podvodnému finančnímu reportingu.
• Společná iniciativa pěti organizací z privátní sféry:
Mise: “Poskytovat myšlenkové vedení prostřednictvím rozvoje
komplexních rámců a odborného vedení podnikového řízení rizik,
vnitřních kontrol a prevenci podvodů vytvořený za účelem zlepšení
výkonu organizace a řízení, s cílem zmenšit rozsah podvodů v organizacích.”
• COSO je celosvětově uznávaný lídr v rozvoji odborného vedení v oblasti rizik
a kontrol, které umožní dobré řízení a zmenší riziko podvodu.
PwC
6
Co je COSO?
Integrovaný rámec pro vnitřní kontrolu
V roce 1992 COSO zveřejnilo původní Rámec pro vnitřní kontrolu (autorem
PwC), který umožňuje vedení organizace:
•
•
•
•
zřídit,
monitorovat,
hodnotit a
informovat o vnitřní kontrole.
Původní Rámec pro vnitřní kontrolu získal široké uznání a je používán
celosvětově.
V roce 2013, COSO zveřejnilo aktualizovaný Rámec pro vnitřní kontrolu (opět
autorem PwC) s cílem ulehčit použití a aplikaci, dále:
• Zohlednit změny v podnikovém a provozním prostředí,
• stanovit zásady a vyjasnit požadavky na efektivní vnitřní kontrolu a
• podpořit uživatele k využití vnitřní kontroly k dosahování dalších cílů.
PwC
7
Integrovaný přístup k podnikovému riziku a
kontrolám
Optimalizovaná interní kontrola přizpůsobená cílům a
rizikům
COSO 2013 Integrovaný
rámec pro vnitřní kontrolu
COSO Integrovaný rámec pro
podnikové řízení rizik (ERM)
•
COSO ERM Rámec zahrnuje “strategickou” kategorii cílů.
•
COSO ERM Rámec zahrnuje složku “Stanovení cílů” a rozšiřuje hodnocení rizik do tří
složek a zahrnuje „Reakci na riziko“.
PwC
8
2. Co se změnilo v revizi COSO 2013?
PwC
Kam jsou namířeny změny integrovaného
kontrolního rámce COSO z roku 2013
Drží vaše kontrolní prostředí krok s
businessem?
• Zásadní změny - firemní rozvoj,
restrukturalizace, objevování nových trhů,
produktů či obchodních partnerů představují
zároveň zvýšené riziko
Změny v obchodním prostředí
• Zrychlující se tempo obchodování– vaše
kontroly se musí přizpůsobit plánovaným
změnám a očekávaným.
Aktualizace COSO rámce nabízí
nový, čerstvý pohled na vnitřní
kontrolu
Aktualizace COSO rámce
zpřehledňuje požadavky na efektivní
vnitřní kontrolu
• Rámec zahrnuje řadu nových cílů - např. • Přítomnost a funkčnost každého z pěti prvků
rozšíření oblasti monitoringu o
vnitřní kontroly
požadavky nejen ve vztahu k finančnímu • Prvky fungují společně a integrovaně
monitoringu.
• Definuje 17 zásad, které vám pomohou
specifikovat cíle, ohodnotit rizika a
nastavit kontroly ,které odpovídají vašim
individuálním požadavkům
Ale nezvyšuje požadavky vůči efektivní
kontrole
•
• Zásady vám pomáhají s ověřením toho, co
je jimi pokryto a kde pokrytí chybí včetně zahrnutí outsourcovaných částí
•
• Zásady vám pomohou se zaměřením
kontrol na dosažení specifických cílů a
omezení navazujících rizik
Ponechává prostor pro uplatnění vlastního
úsudku ve vnímání požadavků na vnitřní
kontrolu ,
nestanovuje striktně požadavky v oblasti
klíčových bodů a specifických kontrol.
• Zásady mohou například pomoci vašim
kontrolám adaptovat se na plánované
změny a neočekávané okolnosti, včetně
změn souvisejících s rozvojem
podnikatelského prostředí, lidmi,
technologiemi, informacemi a procesy
PwC
10
Nový pohled na kontroly vám pomůže a to hlavně v
případech, kdy vaše společnost čelí…
Změnám v okolním prostředí, které vedou
ke vzniku nových rizik, nebo změně
intenzity rizik již známých
Změnám uvnitř firmy, které vedou ke
vzniku nových rizik, nebo změně
intenzity rizik již známých
•
•
Změny ve způsobu obchodování– Nové
business modely, trhy, produkty nebo partneři.
•
Zesilující regulační dohled a kontrola.
Jste nucení dodržovat řadu lokálních či
celosvětových regulačních opatření – chyby a
nesoulad nebývají tolerovány.
•
Nové nebo zvyšující se očekávaní od
nefinančního reportingu – Akcionáři a
regulátoři vyžadují větší transparentnost a
spolehlivost vašeho reportingu.
•
Selhání a poškození značky. Díky
sociálním sítím může být vaše reputace
poškozena mnohem snadněji, rychleji a
zásadněji.
PwC
Změny ve způsobu podnikání– Nové
vedení, rozrůstající se firma,
restrukturalizace.
•
Zvyšující se složitost operativy a
vnitřní struktury – Výběr nových
dodavatelů nebo partnerů vede ke
zvýšenému riziku podnikaní.
•
Navyšování závislosti na
technologiích – Nový způsob využití již
nasazené technologie nebo implementace
nových technologii může negativně ovlivnit
interní ale i externí riziko podnikaní.
11
Aktualizovaný rámec definuje 17 zásad efektivní
vnitřní kontroly
PwC
Kontrolní prostředí
1.
2.
3.
4.
5.
Integrita a dodržování etických hodnot
Výkon dohledu
Etablovaná struktura, pravomoci a zodpovědnosti
Odhodlání a kompetentnost
Dohledatelnost zodpovědnosti
Hodnocení rizika
6.
7.
8.
9.
Jasná specifikace cílů
Identifikace a analýza rizik
Hodnocení rizika podvodu
Identifikace a analýza podstatných změn
Kontrolní aktivity
10. Výběr a rozvoj kontrolních aktivit
11. Výběr a vývoj kontrol v oblasti technologií
12. Aplikace prostřednictvím politik a postupů
Distribuce informací a
komunikace
13.
14.
15.
Využití relevantních informací
Vnitřní komunikace
Vnější komunikace
Monitoring
16.
17.
Průběžné nezávislé hodnocení
Hodnocení a distribuce informací o selháních
12
Příklad toho, na co se soustředíme v rámci každé
zásady – zásada # 8
Zásada # 8: Organizace vztahuje možnost podvodu v hodnocení rizik k
dosažení cílů.
•
Zvažuje různé typy podvodu— Zhodnocení podvodu zahrnuje zfalšovaný
reporting, možnou ztrátu aktiv a korupci která může být důsledkem různých
způsobů podvodu nebo přečinu.
•
Zhodnotí pobídku a tlak— Zhodnocení rizika podvodu zahrnuje pobídky a tlaky
•
Zhodnotí příležitosti —Zhodnocení rizika podvodu zahrnuje příležitost pro
nepovolenou akvizici, úpravu použití či odstranění aktiv, změnu záznamů ve
zprávách společnosti nebo jiné nevhodné jednání.
•
Hodnotí postoje a zdůvodnění —Hodnocení rizika podvodu zahrnuje také
způsob jakým může být management a jiný personál zahrnut do podvodu nebo
může ospravedlnit nevhodné chování.
13
Klíčové body detailněji charakterizují jednotlivé
zásady…
Hodnocení rizik
Prvek
Zásady
Klíčové
body
PwC
Zásada6
Jasná
specifikace
cílů
Specifikace cílů
umožňuje
identifikovat rizika
a:
• zvažovat výši
jejich tolerance
• zvažovat
materialitu
• zabezpečovat
soulad se
standardy a rámci
atd.
Zásada 7
Identifikace a
analýza rizik
Proces:
• zahrnuje celou
entitu
• analyzuje
interní/externí
faktory
• je odpovídajícím
způsobem řízen
• odhaduje
významnost rizik
• definuje reakci na
rizika
Zásada 8
Hodnocení
rizika
podvodu
Zásada 9
Identifikace a
analýza
podstatných
změn
Společnost :
• zvažuje různé typy
podvodů
• hodnotí motivaci k
podvodům
• hodnotí příležitosti
• hodnotí důvody
Společnost:
• hodnotí změny
externího prostředí
• hodnotí změny v
obchodním modelu
• hodnotí změny ve
vedení
14
Na co se zaměřujeme v rámci 17 zásad
Efektivní systém vnitřní kontroly vyžaduje aby:
• byl každý z pěti prvků vnitřní kontroly přítomen a funkční
• prvky fungovaly společně a integrované
Prvky jsou přítomné a funkční, je-li přítomen a funkční každý z
relevantních principů
Relevantní principy jsou považovány za přítomné a funkční je-li
doložitelný výběr, konstrukce a aplikace kontrol, které je ovlivňují
Prvky fungují společně když:
• Jsou přítomné a funkční
• Selhání vnitřních kontrol napříč složkami nevyústí v rozhodnutí, že existuje
jedno nebo více závažných selhání.
PwC
15
Aktualizace definuje požadavky pro efektivní
vnitřní kontrolu
Všechny prvky a relevantní
principy musí být přítomny a
funkční a musí fungovat ve
vzájemné symbióze.
Kontroly poskytují
přesvědčivý důkaz o
přítomnosti a funkčnosti
principů uvnitř společnosti.
5
PRVKŮ
Principy
představují
důležité
charakteristiky
prvků kontroly.
17
PRINCIPŮ
Klíčové body
představují
důležité
charakteristiky
principů.
KLÍČOVÉ BODY
KONTROLY
Legenda
Prvky a principy představují nutné požadavky efektivního systému vnitřní kontroly
Klíčové body a kontroly jsou aplikovány dle uvážení managementu
PwC
16
Chris Michael Tait
Senior Manager, Risk Assurance Solutions and Internal Audit
Tel:
+420 736 506 001
Email: [email protected]
PwC
Informace obsažené v této publikaci mají obecný charakter a neslouží jako zdroj odborného
poradenství. Nedoporučujeme, abyste na základě těchto informací podnikali konkrétní kroky
bez dodatečné odborné konzultace. Neposkytujeme žádná prohlášení ani záruky (výslovné
ani učiněné mlčky), pokud jde o úplnost a přesnost informací obsažených v této publikaci.
PricewaterhouseCoopers Česká republika, s.r.o., její členové, zaměstnanci a spolupracovníci,
v rozsahu povoleném příslušnými právními předpisy, neodpovídají za jakékoliv následky
způsobené případným jednáním, zdržením se jednání, spoléháním se na informace obsažené
v této publikaci či jakýmkoliv rozhodnutím učiněným na základě informací v této publikaci.
© 2014 PricewaterhouseCoopers Česká republika, s.r.o. Všechna práva vyhrazena. “PwC” je
značka, pod níž členské společnosti PricewaterhouseCoopers International Limited (PwCIL)
podnikají a poskytují své služby. Společně tvoří světovou síť společností PwC. Každá
společnost je samostatným právním subjektem a jednotlivé společnosti nezastupují síť PwCIL
ani žádnou jinou členskou společnost. PwCIL neposkytuje žádné služby klientům. PwCIL
neodpovídá za jednání či opomenutí jednotlivých společností sítě PwC, ani nemůže
kontrolovat výkon jejich profesionální činnosti či je jakýmkoli způsobem ovlivňovat.