mezinárodní rámec profesní praxe interního auditu

Transkript

MEZINÁRODNÍ RÁMEC
PROFESNÍ PRAXE
INTERNÍHO AUDITU
Platné od ledna 2011
INTERNATIONAL PROFESSIONAL
PRACTICES FRAMEWORK (IPPF)
The Institute of Internal Auditors, Inc. (Institut interních auditorů) je mezinárodní asociací, která se věnuje neustálému
profesnímu rozvoji jednotlivých auditorů a profese interního
auditu.
Copyright © 2011 by The Institute of Internal Auditors, 247
Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA.
All rights reserved.
“Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte
Springs, Florida 32701-4201, U.S.A., to publish this translation,
which is the same in all material respects, as the original unless
approved as changed. No part of this document may be reproduced,
stored in any retrieval system, or transmitted in any form or by any
means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc.”
Překlad: Jana Báčová, Antonín Šenfeld, Jan Žižka – ITC,
Pavel Caska, Petra Sokolová
Odborná jazyková korektura: Jana Báčová, Antonín Šenfeld
Vydavatel: Český institut interních auditorů, o. s.
Vydání 6. české: leden 2011
Sazba: Typokabi.net
Tisk: Reproservis s. r. o.
Veškerá práva vyhrazena. V České republice vydal Český institut interních auditorů, Institut IIA. V souladu se zákonem
o autorských právech nesmí být žádná část této publikace reprodukována, uložena ve vyhledávacích systémech nebo přenášena
elektronicky, mechanicky, v podobě fotokopií nebo jinak bez
předchozího souhlasu vydavatele.
K získání povolení k překladu, změnám nebo reprodukci jakékoli části amerického originálu kontaktujte:
ISBN 80-86284-10-7 (1. vydání – MJF Praha)
ISBN 80-86689-05-0 (2. vydání – ČIIA Praha)
The Institute of Internal Auditors, Inc.
249 Maitland Avenue
Altamonte Springs, Florida 32701-4201, USA
Phone: +1 407 830-7600, ext. 256
ISBN 80-86689-46-8 Mezinárodní Rámec profesní praxe
interního auditu
Báčová, Šenfeld, leden 2011
K získání povolení k překladu, změnám nebo reprodukci jakékoli části českého překladu kontaktujte:
Český institut interních auditorů, o.s.
Karlovo náměstí 3, 120 00 Praha 2
Tel.: 224 920 332
Fax: 224 919 361
© Český institut interních auditorů, o. s., 2011
2
Vážení čtenáři,
Další větší změny standardů se týkají vymezení organizační nezávislosti interního auditu a definice statutu interního auditu, zohledňování očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders)
při plánování a předávání výsledků interního auditu a prokazování odborné způsobilosti externích hodnotitelů kvality interního auditu.
dnem 1. ledna 2011 vstoupila v účinnost novela Mezinárodních standardů pro profesní praxi interního auditu
(dále též „Standardy“). Jak deklaruje vydavatel - Mezinárodní institut interních auditorů (dále též „IIA“) - Standardy musí být aktuální a reagovat jak na vývoj v právním
prostředí a v dalších relevantních oblastech, tak odpovídat
vývoji v samotné profesi interního auditu. Proto se IIA
zavázal, že bude revidovat Standardy minimálně každé
3 roky. Současná změna se týká pouze Standardů a přichází dva roky poté, co byla provedena poměrně významná
změna v celkové struktuře Mezinárodního rámce profesní
praxe interního auditu (dále jen „Rámec“).
Český institut interních auditorů opětovně vydává Standardy dvojjazyčně. K rychlé orientaci ve změnách slouží celkový přehled změn uvedený v textu „Co je nového
ve Standardech od ledna 2011“. Z tohoto přehledu je patrné, že od r. 2009 bylo též vydáno 14 nových Doporučení
pro praxi, jedno Doporučení bylo změněno a dále bylo
vydáno 12 nových Praktických pomůcek.
Tentokrát není změna Standardů nijak rozsáhlá. Bylo
provedeno cca 25 změn, které spočívají zejména v úpravách současného textu standardů, interpretací a pojmů ve výkladovém slovníčku. Zcela nové jsou pouze 3
standardy (2010.A2, 2070, 2450), 15 standardů bylo
pozměněno, 2 standardy byly zrušeny a doplněno bylo
5 nových interpretací (ke standardům 1110, 1321, 2070,
2410.A1, 2450).
Standardy se zvýrazněnými změnami platnými od r. 2011
a ostatní součásti Rámce, tj. Doporučení pro praxi, Praktické pomůcky a Stanoviska (včetně seznamu všech doposud vydaných součástí Rámce), naleznete na přiloženém
CD. Doporučení pro praxi jsou opět vydávána jak v českém, tak i v anglickém jazyce, Praktické pomůcky a Stanoviska pouze v angličtině. Překladem do českého jazyka
se Český institut interních auditorů snaží zpřístupnit co
nejširšímu okruhu uživatelů zejména povinné a silně doporučované součásti Rámce.
Jako podstatné hodnotí IIA především změny ve dvou oblastech: ve vymezení odpovědností při poskytování služeb
interního auditu externími dodavateli a při vyjadřování
závěrů a celkového názoru interního auditu k auditované
oblasti. Je důležité, aby si společnost uvědomila, že i když
služby interního auditu poskytuje externí dodavatel, konečnou odpovědnost za existenci účinného a efektivního
interního auditu má vždy samotná společnost.
Doufáme, že novelizované vydání Rámce bude účelnou
a praktickou pomůckou pro všechny interní auditory
i ostatní zainteresované osoby či profese.
Nový standard týkající se uvádění celkového názoru
ve zprávě interního auditu stanoví, co musí takový názor
zohlednit. Je třeba, aby závěry interního auditu byly transparentní a jednoznačné, a to zejména z hlediska časového
období a rozsahu auditu, ke kterému se názor vztahuje
a současně byly závěry podloženy dostatečnými, spolehlivými, relevantními a účelnými informacemi.
Ing. Jana Báčová, CIA
3
CONTENT
Preface
12
Definition of Internal Auditing
26
Code of Ethics
30
Introduction
Applicability and Enforcement
Principles
Rules of Conduct
30
30
30
32
International Standards for the Professional Practice of Internal Auditing
34
Introduction
Attribute Standards
36
40
Performance Standards
50
1000 – Purpose, Authority, and Responsibility
1010 – Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter
1100 – Independence and Objectivity
1110 – Organizational Independence
1111 – Direct Interaction With the Board
1120 – Individual Objectivity
1130 – Impairment to Independence or Objectivity
1200 – Proficiency and Due Professional Care
1210 – Proficiency
1220 – Due Professional Care
1230 – Continuing Professional Development
1300 – Quality Assurance and Improvement Program
1310 – Requirements of the quality assurance and improvement program
1311 – Internal Assessments
1312 – External Assessments
1320 – Reporting on the quality assurance and improvement program
1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”
1322 – Disclosure of Nonconformance
2000 – Managing the Internal Audit Activity
2010 – Planning
2020 – Communication and Approval
2030 – Resource Management
2040 – Policies and Procedures
2050 – Coordination
2060 – Reporting to Senior Management and the Board
2070 – External Service Provider and Organizational Responsibility for Internal Auditing
2100 – Nature of Work
4
40
40
40
40
42
42
42
44
44
44
46
46
46
46
46
48
48
48
50
50
50
50
50
52
52
52
52
OBSAH
Předmluva
13
Definice interního auditu
27
Etický kodex
31
Úvod
Uplatnitelnost a vymahatelnost
Základní zásady
Pravidla jednání
31
31
31
33
Mezinárodní standardy pro profesní praxi interního auditu
35
Úvod ke Standardům
Základní standardy
37
41
Standardy pro výkon interního auditu
51
1000 – Účel, pravomoci a odpovědnosti
1010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu
1100 – Nezávislost a objektivita
1110 – Organizační nezávislost
1111 – Přímá vzájemná součinnost s orgány společnosti
1120 – Objektivita jednotlivce
1130 – Narušení nezávislosti nebo objektivity
1200 – Odbornost a náležitá profesní péče
1210 – Odbornost
1220 – Náležitá profesní péče
1230 – Průběžný profesní rozvoj
1300 – Program pro zabezpečení a zvyšování kvality interního auditu
1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality
1311 – Interní hodnocení
1312 – Externí hodnocení
1320 – Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu
1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“
1322 – Informování týkající se nesouladu
2000 – Řízení interního auditu
2010 – Plánování
2020 – Komunikace a schvalování
2030 – Řízení zdrojů
2040 – Zásady a postupy
2050 – Koordinace
2060 – Předávání zpráv vedení a orgánům společnosti
2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu
2100 – Charakter práce
5
41
41
41
41
43
43
43
45
45
45
47
47
47
47
47
49
49
49
51
51
51
51
51
53
53
53
53
2110 – Governance
2120 – Risk Management
2130 – Control
2200 – Engagement Planning
2201 – Planning Considerations
2210 – Engagement Objectives
2220 – Engagement Scope
2230 – Engagement Resource Allocation
2240 – Engagement Work Program
2300 – Performing the Engagement
2310 – Identifying Information
2320 – Analysis and Evaluation
2330 – Documenting Information
2340 – Engagement Supervision
2400 – Communicating Results
2410 – Criteria for Communicating
2420 – Quality of Communications
2421 – Errors and Omissions
2430 – Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing”
2431 – Engagement Disclosure of Nonconformance
2440 – Disseminating Results
2450 – Overall Opinions
2500 – Monitoring Progress
2600 – Resolution of Senior Management’s Acceptance of Risks
52
54
54
56
56
56
56
58
58
58
58
58
58
60
60
60
60
62
62
62
62
64
64
64
Glossary
66
Only on CD:
Practice Advisory:
1000−1:
1110−1:
1111−1:
1120−1:
1130−1:
1130.A1−1:
1130.A2−1:
1200-1:
1210−1:
1210.A1−1:
1220−1:
1230−1:
1300−1:
1310−1:
1311−1:
1312−1:
Internal Audit Charter
Organizational Independence
Board Interaction
Individual Objectivity
Impairments to Independence or Objectivity
Assessing Operations for Which Internal Auditors Were Previously Responsible
Internal Audit’s Responsibility for Other (Non-audit) Functions
Proficiency and Due Professional Care
Proficiency
Obtaining External Service Providers to Support or Complement the Internal Audit Activity
Due Professional Care
Continuing Professional Development
Quality Assurance and Improvement Program
Requirements of the Quality Assurance and Improvement Program
Internal Assessments
External Assessments
6
76
78
80
80
82
84
86
88
90
92
98
100
100
104
106
108
2110 – Řízení a správa společnosti
2120 – Řízení rizik
2130 – Řízení a kontrola
2200 – Plánování zakázky
2201 – Přístup k plánování
2210 – Cíle zakázky
2220 – Rozsah zakázky
2230 – Rozvržení zdrojů v rámci zakázky
2240 – Pracovní program zakázky
2300 – Realizace zakázky
2310 – Identifikace informací
2320 – Analýza a hodnocení
2330 – Dokumentace informací
2340 – Dohled (supervize) nad prováděním zakázky
2400 – Předávání výsledků
2410 – Kritéria komunikace
2420 – Kvalita zpráv
2421 – Chyby a opomenutí
2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu“
2431 – Poskytnutí informací v případě nesouladu
2440 – Distribuce výsledků
2450 – Celkové názory
2500 – Monitorování
2600 – Rozhodnutí o přijetí rizika vedením společnosti
Výklad pojmů
53
55
55
57
57
57
57
59
59
59
59
59
59
61
61
61
61
63
63
63
63
65
65
65
67
Pouze na CD:
Doporučení pro praxi:
1000−1:
1110−1:
1111−1:
1120−1:
1130−1:
1130.A1−1:
1130.A2−1:
1200−1:
1210−1:
1210.A1−1:
1220−1:
1230−1:
1300−1:
1310−1:
1311−1:
1312−1:
Statut interního auditu
Organizační nezávislost
Součinnost s orgány společnosti
Objektivita jednotlivce
Narušení nezávislosti nebo objektivity
Posuzování operací, za které byli interní auditoři dříve odpovědni
Odpovědnosti interního auditu za jiné (neauditorské) činnosti
Odbornost a náležitá profesní péče
Odbornost
Využití externích poskytovatelů služeb pro podporu nebo doplnění činností interního auditu
Náležitá profesní péče
Průběžný profesní rozvoj
Program pro zabezpečení a zvyšování kvality
Požadavky kladené na Program pro zabezpečení a zvyšování kvality
Interní hodnocení
Externí hodnocení
7
77
79
81
81
83
85
87
89
91
93
99
101
101
105
107
109
1312–2
1321−1:
2010−1:
2010−2:
2020−1:
2030-1:
2040−1:
2050−1:
2050−2:
2050−3:
2060−1:
2110–1:
2110−2:
2110−3:
2120−1:
2120−2:
2130−1:
2130.A1−1:
2130.A1−2:
2200−1:
2200−2:
External Assessments: Self-assessment with Independent Validation
Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”
Linking the Audit Plan to Risk and Exposures
Using the Risk Management Process in Internal Audit Planning
Communication and Approval
Resource Management
Policies and Procedures
Coordination
Assurance Maps
Relying on the Work of Other Assurance Providers
Reporting to Senior Management and the Board
Governance: Definition
Governance: Relationship With Risk and Control
Governance: Assessments
Assessing the Adequacy of Risk Management Processes
Managing the Risk of the Internal Audit Activity
Assessing the Adequacy of Control Processes
Information Reliability and Integrity
Evaluating an Organization’s Privacy Framework
Engagement Planning
Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement
114
118
120
122
130
130
134
134
138
144
148
152
156
158
160
166
174
178
180
182
184
2210−1:
2210.A1−1:
2230−1:
2240−1:
2300−1:
2320−1:
2330−1:
2330.A1−1:
2330.A1−2:
2330.A2−1:
2340−1:
2400−1:
2410−1:
2420−1:
2440−1:
2440–2:
2440.A2–1:
2500−1:
2500.A1−1:
Engagement Objectives
Risk Assessment in Engagement Planning
Engagement Resource Allocation
Engagement Work Program
Use of Personal Information in Conducting Engagements
Analytical Procedures
Documenting Information
Control of Engagement Records
Granting Access to Engagement Records
Retention of Records
Engagement Supervision
Legal Considerations in Communicating Results
Communication Criteria
Quality of Communications
Disseminating Results
Communicating Sensitive Information Within and Outside the Chain of Command
Communications Outside the Organization
Monitoring Progress
Follow-up Process
188
188
190
192
192
194
198
200
202
204
206
208
212
216
218
220
226
228
230
8
1312−2:
1321−1:
2010–1:
2010−2:
2020−1:
2030−1:
2040−1:
2050−1:
2050−2:
2050−3:
2060−1:
2110–1:
2110–2:
2110–3:
2120–1:
2120–2:
2130−1:
2130.A1−1:
2130.A1−2:
2200–1:
2200–2:
2210–1:
2210.A1–1:
2230–1:
2240–1:
2300–1:
2320–1:
2330–1:
2330.A1–1:
2330.A1–2:
2330.A2−1:
2340−1:
2400−1:
2410−1:
2420−1:
2440−1:
2440–2:
2440.A2–1:
2500−1:
2500.A1−1:
Externí hodnocení: Sebehodnocení s nezávislým potvrzením/validací
Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“
Spojení plánu auditů s riziky a mírou rizik, jimž je společnost vystavena
Využití procesu řízení rizik při plánování interního auditu
Komunikace a schvalování
Řízení zdrojů
Zásady a postupy
Koordinace
Mapy ujišťovacích činností
Spolehnutí se na práci ostatních dodavatelů ujištění
Předávání zpráv vedení a orgánům společnosti
Řízení a správa společnosti: Definice
Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou
Řízení a správa společnosti: Hodnocení
Hodnocení přiměřenosti procesu řízení rizik
Řízení rizik interního auditu
Hodnocení přiměřenosti řídicích a kontrolních procesů
Spolehlivost a integrita informací
Hodnocení systému ochrany důvěrných/osobních informací v rámci organizace
Plánování zakázky
Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních
a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu
Cíle zakázky
Ohodnocení rizik při plánování zakázky
Rozvržení zdrojů v rámci zakázky
Pracovní program zakázky
Využívání osobních informací při provádění zakázek
Analytické postupy
Dokumentace informací
Řízení přístupu k záznamům pořízeným v rámci zakázky
Poskytování přístupu k záznamům pořízeným v rámci zakázky
Archivace záznamů
Dohled (supervize) nad prováděním zakázky
Právní aspekty při předávání výsledků
Kritéria komunikace
Kvalita zpráv
Distribuce výsledků
Předávání citlivých informací v rámci nebo vně hierarchie řízení
Předávání informací vně společnosti
Monitorování
Proces následné kontroly
9
115
119
121
123
131
131
135
135
139
145
149
153
157
159
161
167
175
179
181
183
185
189
191
191
193
193
195
199
201
203
205
207
209
213
217
219
221
227
229
231
Position Papers
The Role of Internal Auditing in Enterprise-wide Risk Management (January 2009)
The Role of Internal Auditing in Resourcing the Internal Audit Activity (January 2009)
Practice Guides
Assessing the Adequacy of Risk Management (December 2010)
Auditing Executive Compensation and Benefits (April 2010)
Auditing External Business Relationships (May 2010)
CAEs – Appointment, Performance Evaluation and Termination (May 2010)
Evaluating Corporate Social Responsibility/Sustainable Development (February 2010)
Formulating and Expressing Internal Audit Opinions (March 2009)
Internal Auditing and Fraud (December 2009)
Measuring Internal Audit Effectiveness and Efficiency (December 2010)
Global Technology Audit Guides (GTAG®)
GTAG 1 – Information Technology Controls (March 2005)
GTAG 2 – Change and Patch Management Controls: Critical for Organizational Success (June 2005)
GTAG 3 – Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment (October 2005)
GTAG 4 – Management of IT Auditing (March 2006)
GTAG 5 – Managing and Auditing Privacy Risks (June 2006)
GTAG 6 – Managing and Auditing IT Vulnerabilities (October 2006)
GTAG 7 – Information Technology Outsourcing (March 2007)
GTAG 8 – Auditing Application Controls (July 2007)
GTAG 9 – Identity and Access Management (November 2007)
GTAG 10 – Business Continuity Management (July 2008)
GTAG 11 – Developing the IT Audit Plan (July 2008)
GTAG 12 – Auditing IT Projects (March 2009)
GTAG 13 – Fraud Prevention and Detection in an Automated World (December 2009)
GTAG 14 – Auditing User-developed Applications (June 2010)
GTAG 15 – Information Security Governance (June 2010)
Guide to the Assessment of IT Risk (GAIT)
The GAIT Methodology (August 2007)
GAIT for IT General Control Deficiency Assessment (March 2008)
GAIT for Business and IT Risk (GAIT-R) (March 2008)
Case Studies Using GAIT-R to Scope PCI Compliance (September 2008)
10
11
PREFACE
Mandatory. Conformance is required and the guidance
is developed following the appropriate due process, which
includes public exposure. Conformance with the principles set forth in mandatory guidance is essential for the
professional practice of internal auditing.
Given the pace of change in our global profession, in 2006
the Board of Directors (Board) of The Institute of Internal Auditors (IIA) established an international steering
committee and task force to review the Professional Practices Framework (PPF) and The IIA’s guidance structure
along with the related processes. The task force’s efforts
were focused on reviewing the scope of the framework and
increasing the transparency and consistency of the guidance’s development, review, and issuance processes. The
results culminated in a new International Professional
Practices Framework (IPPF) and a reengineered Professional Practices Council (PPC). The PPC coordinates the
approval and issuance of IPPF guidance as stated in the
council’s updated mission statement which was approved
by the Board in June 2007.
Strongly Recommended. Conformance is strongly recommended, and the guidance is endorsed by The IIA. It
describes practices for the effective implementation of The
IIA’s Code of Ethics and the International Standards for
the Professional Practice of Internal Auditing (Standards).
The IPPF now comprises the following elements:
In general, a framework provides a structural blueprint of
how a body of knowledge and guidance fits together. As
a coherent system, a framework facilitates consistent development, interpretation, and application of concepts, methodologies, and techniques useful to a discipline or profession.
Specifically, the purpose of the IPPF is to organize The IIA’s
authoritative guidance in a manner that is readily accessible
on a timely basis while strengthening the positioning of The
IIA as the standard setting body for the internal audit profession globally. By encompassing current internal audit practice
as well as allowing for future expansion, the IPPF is intended
to assist practitioners and stakeholders throughout the world
in being responsive to the expanding market for high quality
internal audit services.
As the conceptual framework that organizes guidance promulgated by The IIA, the IPPF’s scope has been narrowed
to include only authoritative guidance developed by IIA
international technical committees following appropriate
due process. Authoritative guidance consists of two categories:
12
PŘEDMLUVA
Povinné směrnice: je vyžadován soulad s těmito směrnicemi; tyto směrnice byly důkladně připraveny a následně
podrobeny veřejnému připomínkovému řízení. Pro profesní praxi interního auditu je nezbytný soulad s principy
stanovenými v povinných směrnicích.
V důsledku probíhajících rychlých změn v profesi interního
auditu, představenstvo Institutu interních auditorů (dále též
„IIA“ nebo „Institut“) ustanovilo v roce 2006 mezinárodní řídicí výbor a pracovní skupinu, jejímž cílem byla revize
Rámce profesní praxe (PPF), struktury směrnic IIA a s nimi
souvisejících postupů. Úsilí této pracovní skupiny bylo zaměřeno na revizi rozsahu rámce a na zvýšení transparentnosti a zlepšení vzájemné provázanosti postupů přípravy, revize
a zveřejnění směrnic. Výsledkem tohoto úsilí bylo vydání nového Mezinárodního Rámce profesní praxe (IPPF; dále též
„Rámec“) a podstatné změny ve struktuře Rady pro profesní
praxi (PPC). Jak plyne z upraveného programového prohlášení této rady, schváleného představenstvem IIA v červnu
2007, úkolem PPC je koordinace procesu schvalování a zveřejňování směrnic IPPF.
Důrazně doporučené směrnice: je důrazně doporučen
soulad s těmito směrnicemi a tyto směrnice jsou podporovány IIA. Popisují postupy účinného zavádění Definice
interního auditu, Etického kodexu a Mezinárodních Standardů pro profesní praxi interního auditu vydanými IIA
(dále Standardů).
IPPF se skládá z následujících prvků:
Z obecného hlediska, struktura Rámce podrobně ukazuje,
na jakém souboru znalostí jsou jednotlivé směrnice založeny. Rámec, jako logicky provázaný systém, usnadňuje
přípravu, interpretaci a aplikaci přístupů, metodik a postupů vhodných pro obor nebo profesi interního auditu.
V rámci posílení role IIA jako globálního tvůrce standardů v oblasti profese interního auditu, je konkrétním cílem
IPPF včasná příprava závazných směrnic a jejich dostupnost. Díky tomu, že IPPF obsahuje současnou praxi interního auditu a zároveň je otevřen budoucím změnám,
cílem IPPF je v globálním měřítku napomáhat odborníkům a všem zainteresovaným stranám, aby byli vnímaví
vůči rozvíjejícímu se trhu a poptávce po vysoce kvalitních
službách interního auditu.
Rozsah IPPF, jenž představuje koncepční rámec pro zatřídění směrnic vytvořených IIA, byl zúžen tak, aby zahrnoval pouze závazné směrnice stanovené mezinárodními
technickými výbory IIA. Další podmínkou pro zahrnutí
směrnice do Rámce bylo, že musela být podrobena řádnému připomínkování. Závazné směrnice se skládají ze dvou
kategorií:
13
Elements
Definition
Position
Papers
Definition
The Definition of Internal Auditing
states the fundamental purpose,
nature, and scope of internal
auditing.
Code of Ethics The Code of Ethics states the
principles and expectations
governing behavior of individuals
and organizations in the conduct of
internal auditing. It describes the
minimum requirements for conduct;
and behavioral expectations rather
than specific activities.
International The Standards are principlefocused and provide a framework
Standards
for performing and promoting
for the
internal auditing. The structure of
Professional
the Standards includes Attribute,
Practice of
Performance, and Implementation
Internal
Auditing (The Standards. The Standards are
mandatory requirements consisting
Standards)
of:
• Statements of basic requirements
for the professional practice of
internal auditing and for evaluating
the effectiveness of its performance,
which are internationally applicable
at organizational and individual
levels.
• Interpretations, which clarify terms
or concepts within the Statements.
It is necessary to consider both the
Statements and their Interpretations
to understand and apply the
Standards correctly. The Standards
employ terms that have been given
specific meanings that are included
in the Glossary.
Practice
Advisories
Practice
Guides
Position Papers assist a wide range
of interested parties, including those
not in internal auditing profession,
in understanding significant
governance, risk or control issues
and delineating related roles and
responsibilities of internal auditing.
Practice Advisories address approach,
methodology and considerations,
but not detailed processes and
procedures. They are guidance to
assist internal auditors in applying
the Code of Ethics and the Standards
and to promote good practices.
They include practices relating to:
international, country, or industry
specific issues; specific types of
engagements; and legal or regulatory
issues.
Practice Guides are detailed guidance
for conducting internal audit
activities. They include detailed
processes and procedures, such as
tools and techniques, programs, and
step-by-step approaches, including
examples of deliverables.
The most significant changes in the new IPPF are:
• Process improvements. Enhancements to the various
elements, increased transparency, and defined review
cycles for all guidance. The review cycle for the IPPF
has been determined to be three years. Although the
guidance enunciated in the IPPF will not necessarily
change every three years, The IIA is committed to ensuring that it is reviewed completely every three years
and that changes are made if necessary.
14
Prvek
Definice
Stanoviska
(Position
Papers)
Definice
Definice interního auditu obsahuje
základní cíl, charakter a rozsah
působnosti interního auditu.
Etický kodex
Etický kodex obsahuje základní
zásady a předpoklady chování
jednotlivců nebo organizací při
výkonu interního auditu. Popisuje
minimální požadavky kladené
na postoje a modely chování,
nestanovuje však konkrétní
požadované činnosti.
Standardy jsou založeny
Mezinárodní
na základních zásadách a poskytují
Standardy
rámec pro výkon interního auditu
pro profesní
praxi interního a jeho podporu. Struktura Standardů
zahrnuje Základní standardy,
auditu
Standardy pro výkon a Prováděcí
(Standardy)
standardy. Standardy jsou souborem
závazných požadavků skládajících
se ze:
• Základních požadavků kladených
na profesní praxi interního auditu
a na hodnocení účinnosti jeho
výkonu. Tyto požadavky jsou
aplikovatelné mezinárodně jak
na fyzické, tak i na právnické
osoby.
• Interpretací, které vysvětlují pojmy
nebo pojetí použité v jednotlivých
požadavcích.
Pro správné pochopení a používání
Standardů je nezbytné se řídit jak
jednotlivými požadavky, tak i jejich
interpretacemi. Standardy používají
řadu pojmů, jimž byl přiřazen
specifický význam, který je uveden
ve Výkladu pojmů.
Doporučení
pro praxi
(Practice
Advisories)
Praktické
pomůcky
(Practice
Guides)
Stanoviska napomáhají širokému
okruhu zainteresovaných stran,
včetně stran mimo profesi
interního auditu, při pochopení
důležitých záležitostí týkajících se
řízení a správy společnosti, rizik
a kontrolního a řídicího systému.
Dále napomáhají vymezení
souvisejících rolí a odpovědností
interního auditu.
Doporučení pro praxi obsahují
přístupy, metodiky a úvahy, nikoli
však podrobné procesy a postupy.
Jsou vodítkem, které by mělo
napomáhat interním auditorům
při aplikaci Etického kodexu
a Standardů a při prosazování
správných postupů. Zahrnují
postupy týkající se oblastí problémů
v mezinárodním, národním nebo
odvětvovém měřítku, určitých typů
zakázek a právních či regulatorních
otázek.
Praktické pomůcky jsou
podrobnými postupy určenými
pro provádění činností interního
auditu. Zahrnují podrobné procesy
a postupy, jako např. nástroje
a metody, plány a postupná řešení,
včetně příkladů jejich výstupů.
Nejvýznamnějšími změnami v novém IPPF jsou:
• Zlepšení procesu – došlo ke zdokonalení několika
prvků procesu, k dosažení vyšší transparentnosti a stanovení frekvence revizí všech směrnic. Frekvence revizí
IPPF byla stanovena na 3 roky. I když není nezbytné,
aby se směrnice obsažené v IPPF měnily každé tři roky,
15
• Development and Practice Aids. This element is no
longer included in the framework. It previously encompassed all resources (e.g., training, publications, and research reports) that internal auditors might use in the
course of their work. Because the scope of the new IPPF
includes only authoritative guidance, as defined above,
this category did not fit within the new framework.
• Interpretations. These have been added to the Standards to provide further clarity to terms and phrases.
Interpretations, where required, will immediately follow the associated Standard.
• Position Papers. This element has been added to the IPPF.
Position Papers are IIA statements that assist a wide range
of interested parties, including those not in the internal
audit profession, to understand significant governance,
risk, or control issues, and delineate the related roles and
responsibilities of the internal audit profession.
• Practice Advisories. These have been narrowed in
scope to include only the methodology and approach
for implementing the Code of Ethics and the Standards.
Current content that addresses tools or techniques has
been moved into the Practice Guides element.
• Practice Guides. This element has been added to the
IPPF. Practice Guides allow guidance to be issued at
the tools and techniques level, and includes detailed
processes and procedures, programs, and step-by-step
approaches (e.g., examples of deliverables).
These differences may affect the practice of internal auditing in each environment. The implementation of the
IPPF, therefore, will be governed by the environment in
which the internal audit activity carries out its assigned responsibilities. No information contained within the IPPF
should be construed in a manner that conflicts with applicable laws or regulations. If a situation arises where information contained within the IPPF may be in conflict with
legislation or regulation, internal auditors are encouraged
to contact The IIA or legal counsel for further guidance.
As indicated above, the IPPF contains two types of guidance.
1. Mandatory guidance includes:
• The Definition of Internal Auditing,
• The Code of Ethics, and
• The Standards
The mandatory nature of the Standards is emphasized
by the use of the word “Must.” The Standards use the
word “must” to specify an unconditional requirement. In
some exceptional cases, the Standards use the terminology “Should.” The Standards use the word “should” where
conformance is expected unless, when applying professional judgment, circumstances justify deviation.
By definition, internal auditing is an independent, objective
assurance and consulting activity designed to add value and
improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness
of risk management, control, and governance processes.
Conformance with the concepts enunciated in the mandatory guidance is essential before the responsibilities of internal auditors can be met. As stated in the Code of Ethics, internal auditors shall perform internal audit services in
accordance with the Standards. Internal auditors refers to
Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing.
Throughout the world, internal auditing is performed in
diverse environments and within organizations that vary
in purpose, size, and structure. In addition, the laws and
customs within various countries differ from one another.
Mandatory guidance is intended to be applicable to both individuals and entities that provide internal auditing services.
16
IIA zajistí, aby byly podrobeny celkové revizi a aby byly
učiněny nezbytné změny.
Rozvojové a praktické pomůcky (Development and
Practice Aids) – tento prvek již nebyl do rámce zahrnut. Původně obsahoval všechny zdroje (např. školení,
publikace a výzkumné zprávy), využitelné interními
auditory v průběhu jejich práce. Protože rozsah tohoto nového IPPF obsahuje pouze závazné směrnice, tato
kategorie by byla v rozporu s obsahem nového Rámce.
Interpretace – byly přidány do Standardů z důvodu
vyšší srozumitelnosti pojmů a formulací. Tam, kde je
to nezbytné, jsou interpretace uvedeny bezprostředně
za souvisejícím Standardem.
Doporučení pro praxi (Practice Advisories) – jejich
rozsah byl zúžen a obsahuje pouze metodiku a postupy
pro aplikaci Etického kodexu a Standardů. Text týkající
se nástrojů a postupů byl přesunut do části Praktické
pomůcky.
Praktické pomůcky a Stanoviska (Practice Guides
a Position Papers) – tyto prvky byly do IPPF nově
přidány. Praktické pomůcky umožňují rozpracování směrnic na úroveň nástrojů a postupů. Zahrnují
podrobné procesy a postupy, plány a postupná řešení
(např. příklady jejich výstupů). Stanoviska obsahují
pohled IIA na role a odpovědnosti interního auditu
ve vztahu ke konkrétnímu problému.
je interní audit vykonáván, mohou mít tyto rozdíly vliv
na jeho postupy. Proto aplikace IPPF závisí na prostředí, ve kterém interní audit vykonává své odpovědnosti.
Žádný požadavek obsažený v IPPF by neměl být vykládán
způsobem, který je v rozporu s platnými zákony nebo regulacemi. Pokud se vyskytne situace, že informace obsažená v IPPF je v rozporu s právem nebo regulacemi, interní auditoři by měli z hlediska stanovení dalšího postupu
kontaktovat IIA nebo vyhledat pomoc právního poradce.
Podle své definice je interní audit nezávislá, objektivně
ujišťovací a poradenská činnost zaměřená na přidávání
hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší
systematický metodický přístup k hodnocení a zlepšování
účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace.
Soulad s pojetím formulovaným v závazných směrnicích je
nezbytný pro účinný výkon odpovědností interních auditorů a funkci interního auditu jako takovou. Jak je uvedeno v Etickém kodexu, interní auditoři budou poskytovat
služby interního auditu v souladu se Standardy. Interními
auditory se rozumí členové IIA, držitelé nebo kandidáti
profesních certifikací IIA a také ti, kteří poskytují služby
interního auditu v rozsahu Definice interního auditu.
•
•
•
•
Jak bylo již zmíněno výše, IPPF obsahuje dva typy směrnic.
1. Závazné směrnice se skládají z:
• Definice interního auditu
• Etického kodexu
• Standardů
Závazná povaha Standardů je zdůrazněna slovem „muset“. Standardy používají slovo „muset“ pro stanovení
nepodmíněného požadavku. V některých výjimečných
případech Standardy používají slovo „měl by“. Standardy
užívají slovo „měl by“ tam, kde je očekáván soulad, vyjma
případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku.
Na celém světě je interní audit prováděn v rozmanitých
prostředích a uvnitř organizací, které se liší svým účelem,
velikostí a strukturou. Mimo to se zákony a zvyky od sebe
v jednotlivých zemích liší. Z hlediska prostředí, v kterém
Závazné směrnice byly formulovány tak, aby byly použitelné jak pro jedince, tak pro entity poskytující služby
interního auditu.
17
2. Recommended Guidance includes:
Professional Practices Framework
Mandatory
• Position Papers
• Practices Advisories
• Practice Guides
Definition
Code of Ethics
Standards
Practice
Advisories
Development
and Practice
Aids
While endorsed by The IIA and developed by an IIA international technical committee and/or institute following
due process, strongly recommended guidance is not mandatory and has been developed to provide a wide range of
applicable solutions to meet the requirments of The IIA’s
mandadory guidance. Strongly recommended material is
not intended to provide definitive answers to specific individual circumstances and as such is intended to be used
as a guide. The IIA recommends that independent expert
advice be sought relating directly to any specific situation.
This guidance is expected to be applied by competent internal auditors, exercising professional judgment.
Strongly
Recommended
Endorsed or
Developed by
The IIA
•
•
•
•
•
Inteernational Professional Practices Framework
Mandatory
Definition
Code of Ethics
Standards and
Interpretations
Position Papers
Practice Advisories
Practice Guides
During the coming years, internal auditors can help to
ensure that the IPPF will continue to grow more robust
through their active involvement in guidance development. All interested parties are invited to provide comments and suggestions about any aspect of the IPPF. For
professional guidance, comments, and suggestions, send
an e-mail to [email protected]. To find out about
coming updates to the IPPF, internal auditors are encouraged to monitor the Professional Guidance pages at
http://www.theiia.org.
18
Strongly Recommended
•
•
•
•
•
•
2. Doporučené směrnice se skládají z:
Rámec profesní praxe 2002–2008
• Stanovisek
• Doporučení pro praxi
• Praktických pomůcek
Definice
Etický kodex
Standardy
Doporučení
pro praxi
Praktické a rozvojové pomůcky
Na základě návrhu pečlivě připraveného mezinárodním
technickým výborem a samotným Institutem, schválil IIA
důrazně doporučené směrnice, které však nejsou závazné.
Účelem těchto doporučených směrnic je poskytnout širokou škálu použitelných řešení určených ke splnění požadavků stanovených závaznými směrnicemi IIA. Soubor
důrazně doporučených směrnic nebyl připraven s cílem
poskytnout rozhodující stanoviska použitelná v jednotlivých konkrétních situacích a jako takový by měl být používán spíše jako rádce/doporučení. IIA doporučuje, aby
v dané konkrétní situaci, byl vyhledán nezávislý odborný
poradce. Očekává se, že tyto důrazně doporučené směrnice budou využívat odborně způsobilí interní auditoři
současně se svým odborným úsudkem.
Povinné Silně
Schváleny/
doporučované vytvořeny
IIA
•
•
•
•
•
Mezinárodní rámec profesní praxe 2009
Definice
Etický kodex
Standardy a Interpretace
Stanoviska
Doporučení pro praxi
Praktické pomůcky
V budoucnu mohou být interní auditoři nápomocni dalšímu rozvoji IPPF prostřednictvím jejich aktivní účasti při
přípravě směrnic. Vítáme účast všech zainteresovaných
stran v rámci poskytování připomínek a návrhů týkajících
se jakéhokoli aspektu IPPF. V případě potřeby odborné
rady, zaslání komentářů a návrhů zašlete e-mail na adresu
[email protected]. Informace o chystaných aktualizacích IPPF mohou interní auditoři sledovat na stránkách
http://www.theiia.org, v části „Professional Guidance“.
19
Povinné Silně
doporučované
•
•
•
•
•
•
What’s New – Since January 2009?
Standards (Released in October 2010 and to be effective January 2011):
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
1000 – Purpose, Authority, and Responsibility: Change interpretation
1100 – Independence and Objectivity: Change interpretation
1110 – Organizational Independence: Add new interpretation
1312 – External Assessments: Change interpretation
1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”:
Add new interpretation
2000 – Managing the Internal Audit Activity: Change interpretation
2010.A2: Add new Standard
2070 – External Service Provider and Organizational Responsibility for Internal Auditing: Add new Standard and
interpretation
2110.A2: Change Standard
2110.C1: Change to 2210.C2, change the content of the Standard
2120 – Risk Management: Change interpretation
2130.A2: Delete Standard
2130.A3: Delete Standard
2130.C1: Change to 2220.C2
2130.C2: Change to 2130.C1
2400 – Communicating Results: Change Standard
2410.A1: Change Standard, add interpretation
2450 – Overall Opinions: Add new Standard and interpretation
Change the definition of Add Value
Change the definition of Chief Audit Executive
Change the definition of Control Environment
Change the definition of Independence
Change the definition of Information Technology Governance
Change the definition of Objectivity
20
Co je nového ve Standardech od ledna 2009?
Standardy (platné od ledna 2011):
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
1000 – Účel, pravomoci a odpovědnosti: změna interpretace
1100 – Nezávislost a objektivita: změna interpretace
1110 – Organizační nezávislost: přidána nová interpretace
1312 – Externí hodnocení: změna interpretace
1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“: přidána
nová interpretace
2000 – Řízení interního auditu: změna interpretace
2010.A2: přidán nový standard
2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu: přidán nový standard a interpretace
2110.A2: změna standardu
2110.C1: přečíslováno na 2210.C2, změna obsahu standardu
2120 – Řízení rizik: změna interpretace
2130.A2: standard zrušen
2130.A3: standard zrušen
2130.C1: přečíslováno na 2220.C2
2130.C2: přečíslováno na 2130.C1
2400 – Předávání výsledků: změna standardu
2410.A1: změna standardu, přidána nová interpretace
2450 – Celkové názory: přidán nový standard a interpretace
Přidaná hodnota: změna definice
Vedoucí interního auditu: změna definice
Kontrolní prostředí: změna definice
Nezávislost: změna definice
Řízení a správa informačních technologií: změna definice
Objektivita: změna definice
21
Practice Advisories (PA):
Add - PA 2010-2:
Add - PA 2050-2:
Add - PA 2050-3:
Change - PA 2060-1:
Add - PA 2110-1:
Add - PA 2110-2:
Add - PA 2110-3:
Add - PA 2120-2:
Add - PA 2200-2:
Using the Risk Management Process in Internal Audit Planning
July 2009
Assurance Maps
July 2009
Relying on the Work of Other Assurance Providers
October 2010
Reporting to Senior Management and the Board
May 2010
Governance: Definition
April 2010
Governance: Relationship with Risk and Control
April 2010
Governance: Assessments
April 2010
Managing the Risk of the Internal Audit Activity
April 2009
Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed
in an Internal Audit Engagement
April 2010
Add - PA 2300-1:
Use of Personal Information in Conducting Engagements
May 2010
Add - PA 2320-1:
Analytical Procedures
May 2010
Add - PA 2330.A1-2: Granting Access to Engagement Records
May 2010
Add - PA 2400-1:
Legal Considerations in Communicating Results
May 2010
Add - PA 2440-2:
Communicating Sensitive Information Within and Outside the Chain of Command
May 2010
Add - PA 2440.A2-1: Communications Outside the Organization
May 2010
Practice Guides (PG):
PG
PG
PG
PG
PG
PG
PG
PG
GTAG-15
GTAG-14
GTAG-13
GTAG-12
Assessing the Adequacy of Risk Management
Measuring Internal Audit Effectiveness and Efficiency
CAEs - Appointment, Performance Evaluation and Termination
Auditing Executive Compensation and Benefits
Evaluating Corporate Social Responsibility/Sustainable Development
Formulating and Expressing Internal Audit Opinions
Auditing External Business Relationships
Internal Auditing and Fraud
Information Security Governance
Auditing User-developed Applications
Fraud Prevention and Detection in an Automated World
Auditing IT Projects
22
Dec. 2010
Dec. 2010
May 2010
April 2010
Feb. 2010
April 2009
May 2009
Dec. 2009
June 2010
June 2010
Dec. 2009
Mar. 2009
Doporučení pro praxi (DP):
DP 2010–2:
DP 2050–2:
DP 2050–3:
DP 2060–1:
DP 2110–1:
DP2110–2:
DP 2110–3:
DP 2120–2:
DP 2200–2:
Využití procesu řízení rizik při plánování interního auditu
vydáno v červenci 2009
Mapy ujišťovacích činností
vydáno v červenci 2009
Spolehnutí se na práci ostatních dodavatelů ujištění
vydáno v říjnu 2010
Předávání zpráv vedení a orgánům společnosti
změna v květnu 2010
Řízení a správa společnosti: Definice
vydáno v dubnu 2010
Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou
Řízení a správa společnosti: Hodnocení
Řízení rizik interního auditu
Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních
a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu
DP 2300–1:
Využívání osobních informací při provádění zakázek
vydáno v květnu 2010
DP 2320–1:
Analytické postupy
DP 2330.A1–2: Poskytování přístupu k záznamům pořízeným v rámci zakázky
DP 2400–1:
Právní aspekty při předávání výsledků
DP 2440–2:
Předávání citlivých informací v rámci nebo vně hierarchie řízení
DP 2440.A2–1: Předávání informací vně společnosti
Praktické pomůcky:
Od poslední novely Rámce profesní praxe interního auditu bylo vydáno 12 nových Praktických pomůcek.
23
International
standards
Code of
Ethics
Definition
Position
Papers
Practice
Guides
Practice
Advisories
Mezinárodní
standardy
DŮ
RA
Z
DO
Doporučení
pro praxi
PORUČENÉ
NI
Praktické
pomůcky
Stanoviska
CE
Etický
kodex
Definice
NĚ
C
ĚR
Z
ZNÉ S MĚRNI
E
A
ÁV
SM
DEFINITION OF INTERNAL AUDITING
Internal auditing is an independent, objective assurance
and consulting activity designed to add value and improve
an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness
of risk management, control, and governance processes.
26
DEFINICE INTERNÍHO AUDITU
Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci
dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému
řízení rizik, řídicích a kontrolních procesů a řízení a správy
organizace.
27
International
standards
Code of
Ethics
Definition
Position
Papers
Practice
Guides
Practice
Advisories
Mezinárodní
standardy
DŮ
RA
Z
NĚ
DO
Doporučení
pro praxi
PORUČENÉ
NI
Praktické
pomůcky
Stanoviska
CE
Etický
kodex
Definice
ĚR
Z
É SMĚRN
IC
E
Á
ZN
VA
SM
CODE OF ETHICS
Applicability and Enforcement
Introduction
This Code of Ethics applies to both individuals and entities that provide internal auditing services.
The purpose of The Institute’s Code of Ethics is to promote an ethical culture in the profession of internal auditing.
For Institute members and recipients of or candidates for
IIA professional certifications, breaches of the Code of
Ethics will be evaluated and administered according to The
Institute’s Bylaws and Administrative Guidelines. The fact
that a particular conduct is not mentioned in the Rules
of Conduct does not prevent it from being unacceptable
or discreditable, and therefore, the member, certification
holder, or candidate can be liable for disciplinary action.
Internal auditing is an independent, objective assurance and
consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish
its objectives by bringing a systematic, disciplined approach
to evaluate and improve the effectiveness of risk management,
control, and governance processes.
A code of ethics is necessary and appropriate for the profession of internal auditing, founded as it is on the trust
placed in its objective assurance about risk management,
control, and governance.
Principles
The Institute’s Code of Ethics extends beyond the Definition of Internal Auditing to include two essential components:
1. Integrity
The integrity of internal auditors establishes trust and thus
provides the basis for reliance on their judgment.
1. Principles that are relevant to the profession and
practice of internal auditing;
2. Rules of Conduct that describe behavior norms expected of internal auditors. These rules are an aid to
interpreting the Principles into practical applications
and are intended to guide the ethical conduct of internal auditors.
2. Objectivity
Internal auditors exhibit the highest level of professional
objectivity in gathering, evaluating, and communicating
information about the activity or process being examined.
Internal auditors make a balanced assessment of all the
relevant circumstances and are not unduly influenced by
their own interests or by others in forming judgments
“Internal auditors” refers to Institute members, recipients
of or candidates for IIA professional certifications, and
those who provide internal auditing services within the
Definition of Internal Auditing.
3. Confidentiality
Internal auditors respect the value and ownership of information they receive and do not disclose information
without appropriate authority unless there is a legal or
professional obligation to do so.
Internal auditors are expected to apply and uphold the
following principles:
30
ETICKÝ KODEX
Uplatnitelnost a vymahatelnost
Úvod
Tento Etický kodex se vztahuje na subjekty, které poskytují služby interního auditu, a to jak na fyzické, tak
i na právnické osoby.
Cílem Etického kodexu Institutu interních auditorů (dále
jen Etického kodexu) je podpora etické kultury v profesi
interního auditu.
Porušení Etického kodexu členy Institutu interních auditorů, držiteli nebo kandidáty profesních certifikací
IIA bude hodnoceno a při jeho řešení bude postupováno podle pravidel a administrativních směrnic Institutu.
Skutečnost, že některý dílčí způsob jednání není obsažen
v Pravidlech jednání, nemění nic na tom, aby toto jednání nemohlo být považováno za nepřijatelné nebo diskreditující, a tedy by mohlo být podnětem pro zahájení
disciplinárního řízení vůči členu Institutu, držiteli nebo
kandidátovi certifikace.
Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování
procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik,
řídicích a kontrolních procesů a správy a řízení organizace.
Etický kodex je nezbytný a důležitý pro profesi interního
auditu, neboť ta je založena na důvěře, která je součástí
objektivního ujištění poskytovaného touto profesí v oblasti řízení a správy společnosti, řízení rizik a řídicího a kontrolních systému.
Základní zásady
Od interních auditorů se očekává, že budou dodržovat
a uplatňovat následující základní zásady:
Tento Etický kodex přesahuje rámec Definice interního
auditu a zahrnuje dvě významné části:
1. Integrita
Integrita interních auditorů vytváří důvěru, která je základním prvkem víry ve spolehlivost jejich úsudků.
1. Základní zásady, které jsou důležité pro profesi a praxi
interního auditu;
2. Pravidla jednání, která popisují normy chování očekávaného od interního auditora. Tato pravidla jsou
pomůckou pro uplatňování Základních zásad v praxi
a slouží jako návod pro etické jednání interních auditorů.
2. Objektivita
Při shromažďování, hodnocení a předávání informací
o prověřovaných činnostech a procesech, prokazují interní
auditoři nejvyšší úroveň profesní objektivity. Interní auditoři vyváženým způsobem hodnotí všechny podstatné
okolnosti a nenechají se při tvorbě svých úsudků nadměrně ovlivňovat svými vlastními zájmy nebo zájmy jiných.
„Interními auditory“ se rozumí členové Institutu a držitelé nebo kandidáti profesionální certifikace IIA a ti, kteří
poskytují služby interního auditu v souladu s Definicí interního auditu.
3. Důvěrnost
Interní auditoři respektují vlastnictví a hodnotu informací, které získávají při své činnosti a tyto informace neposkytují bez příslušného souhlasu, pokud neexistuje právní
nebo profesní povinnost tak učinit.
31
4. Competency
Internal auditors apply the knowledge, skills, and experience needed in the performance of internal auditing services.
3. Confidentiality
Internal auditors:
3.1. Shall be prudent in the use and protection of information acquired in the course of their duties.
3.2. Shall not use information for any personal gain or
in any manner that would be contrary to the law or
detrimental to the legitimate and ethical objectives of
the organization.
Rules of Conduct
1. Integrity
Internal auditors:
4. Competency
Internal auditors:
1.1. Shall perform their work with honesty, diligence, and
responsibility.
1.2. Shall observe the law and make disclosures expected
by the law and the profession.
1.3. Shall not knowingly be a party to any illegal activity,
or engage in acts that are discreditable to the profession of internal auditing or to the organization.
1.4. Shall respect and contribute to the legitimate and
ethical objectives of the organization.
4.1. Shall engage only in those services for which they
have the necessary knowledge, skills, and experience.
4.2. Shall perform internal auditing services in accordance
with the International Standards for the Professional
Practice of Internal Auditing.
4.3. Shall continually improve their proficiency and the
effectiveness and quality of their services.
2. Objectivity
Internal auditors:
2.1. Shall not participate in any activity or relationship
that may impair or be presumed to impair their unbiased assessment. This participation includes those
activities or relationships that may be in conflict with
the interests of the organization.
2.2. Shall not accept anything that may impair or be presumed to impair their professional judgment.
2.3. Shall disclose all material facts known to them that, if
not disclosed, may distort the reporting of activities
under review.
32
4. Kompetentnost
Při poskytování služeb interního auditu uplatňují interní
auditoři potřebné vědomosti, dovednosti a zkušenosti.
3. Důvěrnost
Interní auditoři:
3.1. Budou obezřetní při použití a ochraně informací, které získají v průběhu plnění svých povinností.
3.2. Nepoužijí získané informace pro jakýkoli osobní prospěch a ani žádným jiným způsobem, který by byl
v rozporu se zákonem nebo na újmu oprávněných
zájmů organizace a jejích etických cílů.
Pravidla jednání
1. Integrita
Interní auditoři:
1.1. Budou vykonávat svoji práci čestně, s náležitou péčí
a odpovědně.
1.2. Budou dodržovat zákony a budou poskytovat informace, které jsou vyžadovány ze zákona nebo profesí
interního auditu.
1.3. Nebudou se vědomě zapojovat do jakýchkoli nezákonných aktivit nebo se zúčastňovat činností, které
by diskreditovaly profesi interního auditu nebo organizaci.
1.4. Budou respektovat oprávněné zájmy organizace a její
etické cíle a přispívat k jejich dosažení.
4. Kompetentnost
Interní auditoři:
4.1. Budou poskytovat pouze takové služby, pro které mají
nezbytné vědomosti, dovednosti a zkušenosti.
4.2. Budou všechny své služby provádět v souladu s Mezinárodními standardy pro profesní praxi interního
auditu.
4.3. Budou soustavně zdokonalovat svou odbornost, kvalitu a účinnost jimi poskytovaných služeb.
2. Objektivita
Interní auditoři:
2.1. Nezúčastní se žádných činností nebo vztahů, které mohou narušovat nebo mohou být chápány jako
narušení jejich objektivního úsudku. To se týká také
činností a vztahů, které mohou být v konfliktu se zájmy organizace.
2.2. Nepřijmou nic, co by mohlo narušit nebo by mohlo být chápáno jako narušení jejich profesionálního
úsudku.
2.3. Uvedou všechny významné skutečnosti, které jsou jim
známy a které, pokud by nebyly uvedeny, by mohly
zkreslit zprávu o činnostech, které byly předmětem
auditu.
33
International
standards
Definition
Code of
Ethics
Position
Papers
Practice
Guides
Practice
Advisories
standardy
Stanoviska
Praktické
pomůcky
Z
DO
Doporučení
pro praxi
PORUČENÉ
ĚR
RA
NĚ
NI
Etický
kodex
DŮ
Definice
CE
E
Z
NÉ SMĚRN
A ZMezinárodní
IC
V
Á
SM
INTRODUCTION
fectiveness of its performance, which are internationally
applicable at organizational and individual levels.
• Interpretations, which clarify terms or concepts within
the Statements.
Internal audit engagements are conducted in diverse legal
and cultural environments; within organizations that vary
in purpose, size, complexity, and structure; and by persons
within or outside the organization. While differences may
affect the practice of internal auditing in each environment, conformance with The IIA’s International Standards
for the Professional Practice of Internal Auditing (The Standards) is essential if the responsibilities of internal auditors
are to be met. If internal auditors are prohibited by laws
or regulations from conforming with certain parts of the
Standards, they should conform with all other parts of the
Standards and make appropriate disclosures.
The Standards employ terms that have been given specific
meanings that are included in the Glossary. Specifically,
the Standards use the word “must” to specify an unconditional requirement and the word “should” where conformance is expected unless, when applying professional
judgment, circumstances justify deviation.
It is necessary to consider both the Statements and their
Interpretations and the specific meanings from the Glossary to understand and apply the Standards correctly.
If internal auditors use the Standards in conjunction with
the standards issued by other authoritative bodies, they
may also cite the use of other standards in their audit
communications, as appropriate. If inconsistencies exist
between the Standards and other standards, internal audit
must conform with the Standards, and may conform with
the other standards if they are more restrictive.
The structure of the Standards includes Attribute, Performance, and Implementation Standards. Attribute Standards address the attributes of organizations and individuals performing internal audit services. The Performance
Standards describe the nature of internal audit services and
provide quality criteria against which the performance of
these services can be measured. The Attribute and Performance Standards apply to all internal audit services. The
Implementation Standards expand upon the Attribute
and Performance Standards, providing the requirements
applicable to assurance (A) or consulting (C) activities.
The purpose of the Standards is to:
1. Delineate basic principles that represent the practice
of internal auditing as it should be.
2. Provide a framework for performing and promoting
a broad range of value-added internal audit activities.
3. Establish the basis for the evaluation of internal audit
performance.
4. Foster improved organizational processes and operations.
Assurance services involve the internal auditor’s objective
assessment of evidence to provide an independent opinion
or conclusions regarding an entity, an operation, a function, a process, system, or other subject matter. The nature
and scope of the assurance engagement are determined
by the internal auditor. There are generally three parties
involved in assurance services: (1) the person or group directly involved with the entity, operation, function, process, system, or other subject matter — the process owner,
(2) the person or group making the assessment — the
The Standards are principles-focused, mandatory requirements consisting of:
• Statements of basic requirements for the professional
practice of internal auditing and for evaluating the ef36
ÚVOD KE STANDARDŮM
• Základních požadavků kladených na profesionální praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně
jak na fyzické, tak i na právnické osoby.
• Interpretací, které vysvětlují pojmy nebo pojetí použitá
v textu jednotlivých požadavků.
Interní audit je vykonáván v různém právním a kulturním
prostředí; uvnitř organizací lišících se zaměřením, velikostí a strukturou, prostřednictvím interních zaměstnanců
i externích odborníků. Tyto rozdíly mohou sice ovlivňovat praxi interního auditu v daném prostředí, má-li však
interní audit naplňovat řádně své odpovědnosti, musí být
vždy jeho činnost ve shodě s Mezinárodními Standardy pro
profesní praxi interního auditu vydanými IIA (dále Standardy). Pokud zákony nebo regulační opatření neumožňují interním auditorům nebo funkci interního auditu,
aby postupovali ve shodě s určitou částí Standardů, je nezbytné dodržovat všechny ostatní části Standardů a řádně
o této situaci informovat.
Standardy používají výrazy, kterým je přikládám specifický význam; tyto výrazy jsou obsaženy ve Výkladu pojmů.
Standardy používají slovo „muset“ pro stanovení nepodmíněného požadavku a slovo „měl by“ tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního
úsudku dané okolnosti zdůvodňují odchylku.
Pro správné pochopení a používání Standardů je nezbytné
řídit se formulacemi jednotlivých požadavků, jejich interpretacemi a současně i konkrétními výklady uvedenými
ve Výkladu pojmů.
Pokud jsou Standardy používány ve spojení se standardy
vydanými jinými odbornými organizacemi, v případech,
kdy je to vhodné, mohou auditní zprávy také odkazovat
na tyto standardy. Pokud v takovém případě existují rozdíly mezi Standardy a ostatními použitými standardy, interní
auditoři a funkce interního auditu se musí řídit Standardy
IIA; mohou se však také řídit ostatními standardy, pokud
jsou jejich ustanovení přísnější než Standardy IIA.
Standardy se skládají ze Základních standardů, Standardů
pro výkon interního auditu a Prováděcích standardů. Základní standardy obsahují zásadní požadavky a vlastnosti
týkající se útvarů a subjektů poskytujících služby interního auditu. Standardy pro výkon interního auditu popisují
charakter služeb interního auditu a poskytují kvalitativní kritéria, na jejichž základě lze činnost interního auditu hodnotit. Základní standardy a Standardy pro výkon
interního auditu se vztahují na všechny služby interního
auditu. Prováděcí standardy jsou nadstavbou Základních
standardů a Standardů pro výkon interního auditu a obsahují požadavky týkající ujišťovacích (A) a poradenských
(C) činností.
Cílem Standardů je:
1. Vymezit základní principy praxe interního auditu
2. Poskytnout rámec pro provádění a podporu širokého
spektra služeb interního auditu, přinášejících přidanou hodnotu
3. Vytvořit základnu pro hodnocení výkonu interního
auditu
4. Podporovat zdokonalené organizační procesy a postupy
Ujišťovací služby představují objektivní posouzení informací, jehož cílem je poskytnutí nezávislého názoru nebo
závěrů ohledně určitého procesu, systému nebo jiného
předmětu posouzení. Charakter a rozsah ujišťovací zakázky určuje auditor. Ujišťovací služby obvykle zahrnují
tři strany: (1) Jedince nebo skupinu, kteří jsou v přímém
Standardy jsou závaznými požadavky, které vycházejí ze
základních zásad. Standardy se skládají ze:
37
internal auditor, and (3) the person or group using the
assessment — the user.
Consulting services are advisory in nature, and are generally performed at the specific request of an engagement
client. The nature and scope of the consulting engagement are subject to agreement with the engagement client. Consulting services generally involve two parties: (1)
the person or group offering the advice — the internal
auditor, and (2) the person or group seeking and receiving
the advice — the engagement client. When performing
consulting services the internal auditor should maintain
objectivity and not assume management responsibility.
The review and development of the Standards is an ongoing process. The Internal Audit Standards Board engages
in extensive consultation and discussion prior to issuing
the Standards. This includes worldwide solicitation for
public comment through the exposure draft process. All
exposure drafts are posted on The IIA’s Web site as well as
being distributed to all IIA institues.
Suggestions and comments regarding the Standards can be
sent to:
The Institute of Internal Auditors
Standards and Guidance
247 Maitland Avenue
Altamonte Springs, FL 32701-4201, USA
E-mail: [email protected]
Web: http://www.theiia.org
38
vztahu k dané organizační jednotce, jednotlivým činnostem, funkci, systému nebo jiné předmětné záležitosti –
vlastníka procesu (2) Jedince nebo skupinu provádějící
hodnocení – interního auditora (3) Jedince nebo skupinu
využívající toto hodnocení – uživatele
Poradenské služby mají charakter poradenství a jsou obvykle prováděny na základě specifické žádosti klienta.
Charakter a rozsah poradenské zakázky je předmětem dohody s klientem. Poradenské služby obvykle zahrnují dvě
strany: (1) Jedince nebo skupinu poskytující konzultaci
– interního auditora (2) Jedince nebo skupinu požadující
a přijímající konzultaci – klienta zakázky. Při poskytování poradenských služeb by měl interní auditor zachovávat
objektivitu a nepřijímat řídicí odpovědnost.
Rozvoj a revize Standardů jsou nepřetržitými procesy.
Standardy jsou před jejich vydáním intenzivně diskutovány v Radě pro standardy interního auditu (Internal Audit
Standards Board) a podrobeny širokému mezinárodnímu
připomínkovému řízení. Všechny návrhy jsou uveřejňovány na webových stránkách IIA a jsou distribuovány všem
národním institutům.
Náměty a komentáře týkající se Standardů mohou být zasílány na adresu:
The Institute of Internal Auditors
Standards and Guidance
247 Maitland Avenue
Altamonte Springs, FL 32701-4201, USA
e-mail: [email protected]
Web: http://www.theiia.org
39
INTERNATIONAL STANDARDS FOR
THE PROFESSIONAL PRACTICE OF
INTERNAL AUDITING
1010 – Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the
Internal Audit Charter.
The mandatory nature of the Definition of Internal Auditing, the Code of Ethics, and the Standards must be
recognized in the internal audit charter. The chief audit
executive should discuss the Definition of Internal Auditing, the Code of Ethics, and the Standards with senior
management and the board.
Attribute Standards
1000 – Purpose, Authority, and Responsibility
The purpose, authority, and responsibility of the internal
audit activity must be formally defined in an internal audit charter, consistent with the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief
audit executive must periodically review the internal audit charter and present it to senior management and the
board for approval.
1100 – Independence and Objectivity
The internal audit activity must be independent, and
internal auditors must be objective in performing their
work.
Interpretation:
Independence is the freedom from conditions that threaten
the ability of the internal audit activity to carry out internal
audit responsibilities in an unbiased manner. To achieve the
degree of independence necessary to effectively carry out the
responsibilities of the internal audit activity, the chief audit
executive has direct and unrestricted access to senior management and the board. This can be achieved through a dualreporting relationship. Threats to independence must be managed at the individual auditor, engagement, functional, and
organizational levels.
Interpretation:
The internal audit charter is a formal document that defines
the internal audit activity’s purpose, authority, and responsibility. The internal audit charter establishes the internal
audit activity’s position within the organization; including
the nature of the chief audit executive’s functional reporting
relationship with the board; authorizes access to records, personnel, and physical properties relevant to the performance of
engagements; and defines the scope of internal audit activities. Final approval of the internal audit charter resides with
the board.
Objectivity is an unbiased mental attitude that allows internal auditors to perform engagements in such a manner that
they believe in their work product and that no quality compromises are made. Objectivity requires that internal auditors
do not subordinate their judgment on audit matters to others. Threats to objectivity must be managed at the individual
auditor, engagement, functional, and organizational levels.
1000.A1 – The nature of assurance services provided
to the organization must be defined in the internal audit charter. If assurances are to be provided to parties
outside the organization, the nature of these assurances
must also be defined in the internal audit charter.
1000.C1 – The nature of consulting services must be
defined in the internal audit charter.
1110 – Organizational Independence
The chief audit executive must report to a level within the
organization that allows the internal audit activity to fulfill
its responsibilities. The chief audit executive must confirm
40
MEZINÁRODNÍ STANDARDY PRO
PROFESNÍ PRAXI INTERNÍHO AUDITU
1010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu
Ve statutu interního auditu musí být respektován povinný charakter Definice interního auditu, Etického kodexu
a Standardů. Vedoucí interního auditu by měl obsah Definice interního auditu, Etického kodexu a Standardů prodiskutovat s vedením a orgány společnosti.
Základní standardy
1000 – Účel, pravomoci a odpovědnosti
Účel, pravomoci a odpovědnosti interního auditu musí
být formálně stanoveny ve statutu interního auditu, který
je v souladu s Definicí interního auditu, Etickým kodexem
a se Standardy. Vedoucí interního auditu musí pravidelně
ověřovat aktuálnost statutu interního auditu. Vedoucí interního auditu musí předkládat Statut interního auditu
vedení a orgánům společnosti ke schválení.
1100 – Nezávislost a objektivita
Působení interního auditu musí být nezávislé a interní auditoři musí při výkonu své práce postupovat objektivně.
Interpretace:
Nezávislost znamená nepřítomnost podmínek, za kterých je
ohrožena schopnost interního auditu vykonávat odpovědnosti
interního auditu nezaujatým způsobem. K dosažení stupně
nezávislosti nezbytného pro účinné provádění odpovědností
funkce interního auditu má vedoucí interního auditu přímý
a neomezený přístup k vedení a orgánům společnosti. Stupně
nezávislosti nezbytného pro účinné provádění odpovědností
funkce interního auditu může být dosaženo prostřednictvím
dvou linií řízení. Ohrožení nezávislosti musí být řízeno
na úrovni jednotlivého auditora, zakázky, funkčních a organizačních úrovní.
Interpretace:
Statutem interního auditu se rozumí formální dokument,
který definuje účel, pravomoci a odpovědnosti interního auditu. Statut interního auditu určuje postavení interního auditu
v rámci společnosti, včetně povahy vztahu funkční podřízenosti vedoucího interního auditu vůči orgánům společnosti; dále stanoví oprávnění k přístupu k dokladům, osobám
a majetku, které souvisejí s prováděním zakázek, a definuje
rozsah činnosti interního auditu. Konečné schválení statutu
interního auditu přísluší orgánům společnosti.
Objektivita je nezaujatý myšlenkový postoj, který umožňuje
interním auditorům provádět zakázky takovým způsobem,
který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně její kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se
předmětu auditu jiným subjektům nebo jedincům. Ohrožení
objektivity musí být řízeno na úrovni jednotlivého auditora,
zakázky, funkčních a organizačních úrovní.
1000.A1 – Charakter ujišťovacích služeb poskytovaných společnosti musí být definován ve statutu interního auditu. Pokud je ujištění poskytováno subjektům
vně společnosti, musí být charakter těchto ujišťovacích
služeb též definován ve statutu interního auditu.
1000.C1 – Charakter poradenských služeb musí být
definován ve statutu interního auditu.
1110 – Organizační nezávislost
Vedoucí interního auditu musí podávat zprávy takovému
organizačnímu stupni ve společnosti, který internímu
auditu umožňuje plnění jeho funkcí. Vedoucí interního
41
to the board, at least annually, the organizational independence of the internal audit activity.
est could impair an individual’s ability to perform his or her
duties and responsibilities objectively.
Interpretation:
Organizational independence is effectively achieved when the
chief audit executive reports functionally to the board. Examples of functional reporting to the board involve the board:
• Approving the internal audit charter;
• Approving the risk based internal audit plan;
• Receiving communications from the chief audit executive
on the internal audit activity’s performance relative to its plan
and other matters;
• Approving decisions regarding the appointment and removal of the chief audit executive; and
• Making appropriate inquiries of management and the
chief audit executive to determine whether there are inappropriate scope or resource limitations.
1130 – Impairment to Independence or Objectivity
If independence or objectivity is impaired in fact or appearance, the details of the impairment must be disclosed
to appropriate parties. The nature of the disclosure will
depend upon the impairment.
Interpretation:
Impairment to organizational independence and individual objectivity may include, but is not limited to, personal
conflict of interest, scope limitations, restrictions on access to
records, personnel, and properties, and resource limitations,
such as funding.
The determination of appropriate parties to which the details
of an impairment to independence or objectivity should be
disclosed is dependent upon the expectations of the internal
audit activity’s and the chief audit executive’s responsibilities
to senior management and the board as described in the internal audit charter, as well as the nature of the impairment.
1110.A1 – The internal audit activity must be free from
interference in determining the scope of internal auditing, performing work, and communicating results.
1111 – Direct Interaction With the Board
The chief audit executive must communicate and interact
directly with the board.
1130.A1 – Internal auditors must refrain from assessing specific operations for which they were previously
responsible. Objectivity is presumed to be impaired if
an internal auditor provides assurance services for an
activity for which the internal auditor had responsibility within the previous year.
1120 – Individual Objectivity
Internal auditors must have an impartial, unbiased attitude and avoid any conflict of interest.
Interpretation:
Conflict of interest is a situation in which an internal auditor, who is in a position of trust, has a competing professional or personal interest. Such competing interests can make
it difficult to fulfill his or her duties impartially. A conflict
of interest exists even if no unethical or improper act results.
A conflict of interest can create an appearance of impropriety
that can undermine confidence in the internal auditor, the
internal audit activity, and the profession. A conflict of inter-
1130.A2 – Assurance engagements for functions
over which the chief audit executive has responsibility must be overseen by a party outside the internal
audit activity.
1130.C1 – Internal auditors may provide consulting
services relating to operations for which they had previous responsibilities.
42
auditu musí nejméně jednou ročně potvrdit orgánům společnosti organizační nezávislost funkce interního auditu.
rušit důvěru v interního auditora, k funkci interního auditu
a k této profesi. Střet zájmů by mohl narušit schopnost jedince
plnit objektivně své povinnosti a odpovědnosti.
Interpretace:
Organizační nezávislost je dosažena účinným způsobem tehdy, pokud je vedoucí interního auditu funkčně podřízen orgánům společnosti. Příklady funkčního podřízení orgánům
společnosti zahrnují situace, kdy orgány společnosti:
• schvalují Statut interního auditu,
• schvalují rizikově zaměřený plán interního auditu,
• dostávají od vedoucího interního auditu informace týkající se výkonnosti interního auditu ve vztahu k plánu
a informace o ostatních záležitostem,
• schvalují rozhodnutí ohledně jmenování a odvolání vedoucího interního auditu, a
• provádějí odpovídající dotazování vedení společnosti
a vedoucího interního auditu, aby zjistili, zda neexistuje
nepřiměřené omezení rozsahu a zdrojů auditu.
1130 – Narušení nezávislosti nebo objektivity
Pokud dojde ke zdánlivému či faktickému narušení nezávislosti nebo objektivity, musí být o této skutečnosti
předány podrobné informace příslušné organizační úrovni
ve společnosti. Způsob sdělení informací závisí na povaze
tohoto narušení.
Interpretace:
Narušení organizační nezávislosti a objektivity jednotlivce
může zahrnovat následující situace (které však nejsou jejich
vyčerpávajícím výčtem): osobní konflikt zájmu, omezení rozsahu působnosti auditu, omezení přístupu k dokladům, osobám a majetku a omezení zdrojů, např. finančních.
Stanovení příslušných subjektů, kterým musí být sděleny
detaily týkající se narušení nezávislosti a objektivity, závisí
na odpovědnostech očekávaných od funkce interního auditu
a jeho výkonného vedení směrem k vedení a orgánům společnosti, jak je uvedeno ve statutu interního auditu a dále také
závisí na charakteru tohoto narušení.
1110.A1 – Při stanovení rozsahu působnosti interního auditu, při vlastním provádění prací a při sdělování
výsledků nesmí internímu auditu do těchto činností
nikdo zasahovat.
1111 – Přímá vzájemná součinnost s orgány společnosti
Vedoucí interního auditu musí komunikovat a být ve vzájemné součinnosti přímo s orgány společnosti.
1130.A1 – Interní auditoři nesmí hodnotit takové procesy, za jejichž provádění byli předtím odpovědni. Jestliže auditor poskytuje ujištění o činnosti, za kterou byl
během předchozího roku odpovědný, znamená to, že
objektivita je narušena.
1120 – Objektivita jednotlivce
Interní auditoři musí postupovat nestranně a nezaujatě
a musí se vyhýbat jakémukoliv střetu zájmů.
1130.A2 – Na ujišťovací zakázky (audity) činností,
za jejichž provádění je odpovědný vedoucí interního
auditu, musí dohlížet subjekt vně interního auditu.
Interpretace:
Střet zájmů je situace, v níž má interní auditor, vystupující v roli důvěryhodné osoby, protichůdný profesní či osobní
zájem. Tyto protichůdné zájmy mohou znesnadnit nestranné plnění povinností auditora. Střet zájmů existuje dokonce
i v případě, kdy se nestane nic neetického nebo nesprávného.
Střet zájmů může vytvořit zdání nevhodnosti, které může na-
1130.C1 – Interní auditoři mohou poskytovat poradenské služby týkající se činností, za jejichž provádění
byli předtím odpovědni.
43
1210.A3 – Internal auditors must have sufficient
knowledge of key information technology risks and
controls and available technology-based audit techniques to perform their assigned work. However, not
all internal auditors are expected to have the expertise
of an internal auditor whose primary responsibility is
information technology auditing.
1130.C2 – If internal auditors have potential impairments to independence or objectivity relating to proposed consulting services, disclosure must be made to
the engagement client prior to accepting the engagement.
1200 – Proficiency and Due Professional Care
Engagements must be performed with proficiency and
due professional care.
1210.C1 – The chief audit executive must decline the
consulting engagement or obtain competent advice and
assistance if the internal auditors lack the knowledge,
skills, or other competencies needed to perform all or
part of the engagement.
1210 – Proficiency
Internal auditors must possess the knowledge, skills, and
other competencies needed to perform their individual responsibilities. The internal audit activity collectively must
possess or obtain the knowledge, skills, and other competencies needed to perform its responsibilities.
1220 – Due Professional Care
Internal auditors must apply the care and skill expected of
a reasonably prudent and competent internal auditor. Due
professional care does not imply infallibility.
Interpretation:
Knowledge, skills, and other competencies is a collective term
that refers to the professional proficiency required of internal
auditors to effectively carry out their professional responsibilities. Internal auditors are encouraged to demonstrate their
proficiency by obtaining appropriate professional certifications and qualifications, such as the Certified Internal Auditor designation and other designations offered by The Institute
of Internal Auditors and other appropriate professional organizations.
1220.A1 –Internal auditors must exercise due professional care by considering the:
• Extent of work needed to achieve the engagement’s
objectives;
• Relative complexity, materiality, or significance of
matters to which assurance procedures are applied;
• Adequacy and effectiveness of governance, risk management, and control processes;
• Probability of significant errors, fraud, or noncompliance; and
• Cost of assurance in relation to potential benefits.
1210.A1 – The chief audit executive must obtain competent advice and assistance if the internal auditors lack
the knowledge, skills, or other competencies needed to
perform all or part of the engagement.
1220.A2 – In exercising due professional care internal
auditors must consider the use of technology-based audit and other data analysis techniques.
1210.A2 – have sufficient knowledge to evaluate the
risk of fraud and the manner in which it is managed
by the organization, but are not expected to have the
expertise of a person whose primary responsibility is
detecting and investigating fraud.
1220.A3 – Internal auditors must be alert to the significant risks that might affect objectives, operations, or
resources. However, assurance procedures alone, even
44
1210.A3 – Interní auditoři musí v rámci provádění
svěřených úkolů mít dostatečné znalosti klíčových rizik
a řídicích a kontrolních mechanismů v oblasti informačních technologií. Dále musí mít dostatečné znalosti dostupných softwarově podporovaných auditorských
postupů. Od všech interních auditorů se však neočekává taková kvalifikace jako od interního auditora, jehož
hlavní odpovědností je audit informační technologie.
1130.C2 – Pokud jsou interní auditoři vystaveni možnému narušení nezávislosti a objektivity ve vztahu k nabízeným poradenským službám, musí být klient o této skutečnosti informován ještě před přijetím takové zakázky.
1200 – Odbornost a náležitá profesní péče
Zakázky musí být prováděny odborně a s náležitou profesní péčí.
1210.C1 – Pokud nemají interní auditoři znalosti,
dovednosti a další schopnosti potřebné pro provedení
poradenské zakázky jako celku nebo její části, musí vedoucí interního auditu odmítnout tuto zakázku nebo
zajistit odborné poradenství a podporu.
1210 – Odbornost
Interní auditoři musí mít znalosti, dovednosti a další
schopnosti potřebné pro plnění svých úkolů. Funkce interního auditu jako celek musí mít nebo být schopna zajistit takové znalosti, dovednosti a další schopnosti, které
jsou potřebné pro plnění jejích odpovědností.
1220 – Náležitá profesní péče
Interní auditoři musí uplatňovat péči a dovednosti, jaké
se očekávají od přiměřeně uvážlivého a způsobilého interního auditora. Náležitá profesní péče neznamená neomylnost.
Interpretace:
Znalosti, dovednosti a další schopnosti jsou společným termínem označujícím profesní odbornost vyžadovanou od interních auditorů, která je nezbytná pro účinný výkon jejich
profesních odpovědností. Interním auditorům se doporučuje,
aby prokazovali svou odbornost získáním odpovídajících profesních kvalifikací a certifikací, např. osvědčení Certifikovaný
Interní Auditor a další osvědčení nabízená Mezinárodním
institutem interních auditorů a ostatními, pro tento účel
vhodnými profesními organizacemi.
1220.A1 – Interní auditor musí při uplatňování náležité profesní péče vzít v úvahu:
• rozsah práce potřebný k dosažení cílů zakázky (auditu),
• relativní složitost, významnost nebo závažnost oblastí,
které jsou předmětem postupů poskytujících ujištění,
• přiměřenost a účinnost procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů,
• pravděpodobnost výskytu významných chyb, podvodu nebo odchylek,
• náklady potřebné pro poskytnutí ujištění ve vztahu
k jeho možným přínosům.
1210.A1 – Pokud nemají interní auditoři znalosti,
dovednosti a další schopnosti potřebné pro provedení
zakázky jako celku nebo její části, vedoucí interního auditu musí zajistit odborné poradenství a podporu.
1210.A2 – Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko podvodu a způsob
jakým je toto riziko řízeno v rámci společnosti, ale neočekává se od nich taková kvalifikace, jako je požadována od osoby, jejíž hlavní odpovědností je odhalování
a vyšetřování podvodu.
1220.A2 – Při uplatňování náležité profesní péče musí
interní auditor zvážit použití softwarově podporovaných
auditorských postupů a ostatních postupů analýzy dat.
45
when performed with due professional care, do not
guarantee that all significant risks will be identified.
1311 – Internal Assessments
Internal assessments must include:
1220.C1 – Internal auditors must exercise due professional care during a consulting engagement by considering the:
• Ongoing monitoring of the performance of the internal
audit activity; and
• Periodic reviews performed through self-assessment or
by other persons within the organization with sufficient
knowledge of internal audit practices.
• Needs and expectations of clients, including the nature, timing, and communication of engagement results;
• Relative complexity and extent of work needed to
achieve the engagement’s objectives; and
• Cost of the consulting engagement in relation to potential benefits.
Interpretation:
Ongoing monitoring is an integral part of the day-to-day
supervision, review, and measurement of the internal audit
activity. Ongoing monitoring is incorporated into the routine
policies and practices used to manage the internal audit activity and uses processes, tools, and information considered necessary to evaluate conformance with the Definition of Internal
Auditing, the Code of Ethics, and the Standards.
1230 – Continuing Professional Development
Internal auditors must enhance their knowledge, skills,
and other competencies through continuing professional
development.
Periodic reviews are assessments conducted to evaluate conformance with the Definition of Internal Auditing, the Code of
Ethics, and the Standards.
1300 – Quality Assurance and Improvement Program
The chief audit executive must develop and maintain
a quality assurance and improvement program that covers
all aspects of the internal audit activity.
Sufficient knowledge of internal audit practices requires at
least an understanding of all elements of the International
Professional Practices Framework.
Interpretation:
A quality assurance and improvement program is designed
to enable an evaluation of the internal audit activity’s conformance with the Definition of Internal Auditing and the
Standards and an evaluation of whether internal auditors
apply the Code of Ethics. The program also assesses the efficiency and effectiveness of the internal audit activity and
identifies opportunities for improvement.
1312 – External Assessments
External assessments must be conducted at least once every five years by a qualified, independent reviewer or review team from outside the organization. The chief audit
executive must discuss with the board:
• The need for more frequent external assessments; and
• The qualifications and independence of the external reviewer or review team, including any potential conflict
of interest.
1310 – Requirements of the quality assurance and improvement program
The quality assurance and improvement program must include both internal and external assessments.
46
1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality
Program pro zabezpečení a zvyšování kvality musí zahrnovat jak interní, tak externí hodnocení.
1220.A3 – Interní auditor musí být ostražitý vůči významným rizikům, která mohou ovlivnit cíle, postupy
nebo zdroje. Postupy poskytující ujištění, i když jsou
prováděny s náležitou profesní péčí, však samy o sobě
nezaručí, že budou odhalena všechna významná rizika.
1311 – Interní hodnocení
Interní hodnocení musí zahrnovat:
1220.C1 – Interní auditoři při uplatňování náležité
profesní péče musí v rámci poradenské zakázky vzít
v úvahu:
• průběžné sledování výkonnosti funkce interního auditu,
• pravidelné prověrky prováděné prostřednictvím sebehodnocení nebo s využitím jiných osob v rámci společnosti, které mají dostatečné znalosti postupů interního
auditu.
• potřeby a očekávání klientů, včetně charakteru, načasování a způsobu sdělení výsledků zakázky,
• relativní složitost a rozsah práce potřebné k dosažení
cílů zakázky,
• náklady na poradenskou zakázku ve vztahu k jejím
možným přínosům.
Interpretace:
Průběžné sledování je nedílnou součástí každodenního dohledu (supervize), prověřování a měření činnosti interního
auditu. Průběžné sledování je začleněno do běžných zásad
a postupů používaných k řízení interního auditu; průběžné
sledování používá procesy, nástroje a informace, které jsou považovány za nezbytné pro hodnocení souladu s Definicí interního auditu, Etickým kodexem a Standardy.
1230 – Průběžný profesní rozvoj
Interní auditoři musí zlepšovat své znalosti, dovednosti
a další schopnosti prostřednictvím průběžného profesního
rozvoje.
1300 – Program pro zabezpečení a zvyšování kvality
interního auditu
Vedoucí interního auditu musí vypracovat a pravidelně
aktualizovat program pro zabezpečení a zvyšování kvality
interního auditu, který zahrnuje všechna hlediska funkce
interního auditu.
Pravidelné prověrky jsou definovány jako analýzy hodnotící
soulad s Definicí interního auditu, s Etickým kodexem a se
Standardy.
Dostatečná znalost postupů interního auditu vyžaduje alespoň porozumění všem prvkům Mezinárodního rámce pro
profesní praxi interního auditu.
Interpretace:
Program pro zabezpečení a zvyšování kvality je navržen tak,
aby umožnil hodnocení souladu činnosti interního auditu
s Definicí interního auditu a se Standardy a dále umožnil
hodnocení, zda se interní auditoři řídí Etickým kodexem.
Tento program také hodnotí účinnost a efektivnost činností
interního auditu a identifikuje příležitosti ke zlepšení.
1312 – Externí hodnocení
Externí hodnocení musí být provedeno minimálně jednou
za pět let odborně způsobilým a nezávislým externím hodnotitelem nebo externím hodnotícím týmem. Vedoucí interního auditu musí s orgány společnosti projednat:
• potřebu častějších externích hodnocení,
• odbornou způsobilost a nezávislost externího hodnotitele nebo hodnotícího týmu, včetně jakéhokoli možného konfliktu zájmů.
47
1321– Use of “Conformswith the International Standards for the Professional Practice of Internal Auditing”
The chief audit executive may state that the internal audit
activity conforms with the International Standards for the
Professional Practice of Internal Auditing only if the results
of the quality assurance and improvement program support this statement.
Interpretation:
A qualified reviewer or review team demonstrates competence
in two areas: the professional practice of internal auditing and
the external assessment process. Competence can be demonstrated through a mixture of experience and theoretical learning.
Experience gained in organizations of similar size, complexity,
sector or industry, and technical issues is more valuable than
less relevant experience. In the case of a review team, not all
members of the team need to have all the competencies; it is the
team as a whole that is qualified. The chief audit executive uses
professional judgment when assessing whether a reviewer or review team demonstrates sufficient competence to be qualified.
Interpretation:
The internal audit activity conforms with the Standards when
it achieves the outcomes described in the Definition of Internal Auditing, Code of Ethics, and Standards. The results of the
quality assurance and improvement program include the results
of both internal and external assessments. All internal audit
activities will have the results of internal assessments. Internal
audit activities in existence for at least five years will also have
the results of external assessments.
An independent reviewer or review team means not having
either a real or an apparent conflict of interest and not being
a part of, or under the control of, the organization to which
the internal audit activity belongs.
1320 – Reporting on the quality assurance and improvement program
The chief audit executive must communicate the results of
the quality assurance and improvement program to senior
1322 – Disclosure of Nonconformance
When nonconformance with the Definition of Internal
Auditing, the Code of Ethics, or the Standards impacts the
overall scope or operation of the internal audit activity, the
chief audit executive must disclose the nonconformance
and the impact to senior management and the board.
Interpretation:
The form, content, and frequency of communicating the results of the quality assurance and improvement program is
established through discussions with senior management and
the board and considers the responsibilities of the internal
audit activity and chief audit executive as contained in the
internal audit charter. To demonstrate conformance with the
Definition of Internal Auditing, the Code of Ethics, and the
Standards, the results of external and periodic internal assessments are communicated upon completion of such assessments
and the results of ongoing monitoring are communicated at
least annually. The results include the reviewer’s or review
team’s assessment with respect to the degree of conformance.
48
1321 – Užívání výrazu „Je v souladu s Mezinárodními
standardy pro profesní praxi interního auditu“
Vedoucí interního auditu může deklarovat, že činnost interního auditu je v souladu s Mezinárodními standardy pro
profesní praxi interního auditu, pouze pokud výsledky programu pro zabezpečení a zvyšování kvality tuto deklaraci
podporují.
Interpretace:
Odborně způsobilý hodnotitel nebo hodnotící tým prokazuje způsobilost ve dvou oblastech: v profesní praxi interního
auditu a v procesu externího hodnocení. Způsobilost může
být prokázána kombinací zkušeností a teoretických znalostí. Zkušenosti získané ve společnostech obdobných velikostí
a složitostí, v obdobném sektoru nebo odvětví, a zkušenosti
v oblasti technických aspektů jsou hodnotnější než zkušenosti
(z tohoto pohledu) méně relevantní. Jedná-li se o hodnotící
tým, nemusí mít všichni členové týmu způsobilost ve všech
oblastech, ale kvalifikovaný musí být tým jako celek. K vyhodnocení, zda hodnotitel nebo hodnotící tým prokazují dostatečnou způsobilost z hlediska kvalifikace, používá vedoucí
interního auditu svůj profesní úsudek.
Interpretace:
Činnost interního auditu je v souladu se Standardy, pokud
dosahuje výsledků uvedených v Definici interního auditu,
Etickém kodexu a ve Standardech. Výsledky programu pro
zabezpečování a zvyšování kvality obsahují jak výsledky
interního, tak externího hodnocení kvality. Všechny útvary
interního auditu budou mít k dispozici výsledky interního
hodnocení. Útvary interního auditu, který existuje alespoň
pět let, budou též disponovat výsledky externího hodnocení
kvality.
Nezávislost hodnotitele nebo hodnotícího týmu znamená,
že nejsou ve skutečném ani zdánlivém konfliktu zájmů a že
nejsou součástí nebo nejsou ve sféře vlivu společnosti, k níž
náleží funkce interního auditu.
1322 – Informování týkající se nesouladu
Pokud má nesoulad s Definicí interního auditu, Etickým
kodexem nebo Standardy dopad na celkový rozsah působnosti a postupy interního auditu, musí vedoucí interního
auditu informovat vedení a orgány společnosti o tomto
nesouladu a jeho dopadech.
1320 – Podávání zpráv o programu pro zabezpečení
a zvyšování kvality interního auditu
Vedoucí interního auditu musí informovat vedení a orgány společnosti o výsledcích programu pro zabezpečení
a zvyšování kvality.
Interpretace:
Forma, obsah a frekvence předávání výsledků týkajících se
programu pro zabezpečení a zvyšování kvality jsou stanoveny
po dohodě s vedením a orgány společnosti a berou v úvahu
odpovědnosti interního auditu a jeho výkonného vedení tak,
jak jsou stanoveny ve statutu interního auditu. Za účelem
prokázání souladu s Definicí interního auditu, s Etickým kodexem a se Standardy, jsou výsledky externích hodnocení a výsledky pravidelných interních hodnocení předávány po ukončení příslušného hodnocení. Výsledky průběžného sledování
jsou sdělovány nejméně jednou ročně. Tyto výsledky obsahují
hodnocení hodnotitele nebo hodnotícího týmu ohledně stupně
souladu.
49
PERFORMANCE STANDARDS
sessment, undertaken at least annually. The input of
senior management and the board must be considered
in this process.
2000 – Managing the Internal Audit Activity
The chief audit executive must effectively manage the internal audit activity to ensure it adds value to the organization.
2010.A2 – The chief audit executive must identify and
consider the expectations of senior management, the
board, and other stakeholders for internal audit opinions
and other conclusions.
Interpretation:
The internal audit activity is effectively managed when:
• The results of the internal audit activity’s work achieve the
purpose and responsibility included in the internal audit
charter;
• The internal audit activity conforms with the Definition of
Internal Auditing and the Standards; and
• The individuals who are part of the internal audit activity
demonstrate conformance with the Code of Ethics and the
Standards.
2010.C1 – The chief audit executive should consider accepting proposed consulting engagements based on the
engagement’s potential to improve management of risks,
add value, and improve the organization’s operations.
Accepted engagements must be included in the plan.
The internal audit activity adds value to the organization (and
its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes.
2020 – Communication and Approval
The chief audit executive must communicate the internal
audit activity’s plans and resource requirements, including significant interim changes, to senior management
and the board for review and approval. The chief audit
executive must also communicate the impact of resource
limitations.
2010 – Planning
The chief audit executive must establish risk-based plans
to determine the priorities of the internal audit activity,
consistent with the organization’s goals.
2030 – Resource Management
The chief audit executive must ensure that internal audit
resources are appropriate, sufficient, and effectively deployed to achieve the approved plan.
Interpretation:
The chief audit executive is responsible for developing a riskbased plan. The chief audit executive takes into account the
organization’s risk management framework, including using
risk appetite levels set by management for the different activities or parts of the organization. If a framework does not exist,
the chief audit executive uses his/her own judgment of risks
after consultation with senior management and the board.
Interpretation:
Appropriate refers to the mix of knowledge, skills, and other
competencies needed to perform the plan. Sufficient refers to
the quantity of resources needed to accomplish the plan. Resources are effectively deployed when they are used in a way
that optimizes the achievement of the approved plan.
2040 – Policies and Procedures
The chief audit executive must establish policies and procedures to guide the internal audit activity.
2010.A1 – The internal audit activity’s plan of engagements must be based on a documented risk as50
STANDARDY PRO VÝKON
INTERNÍHO AUDITU
prováděno nejméně jednou ročně. V tomto procesu musí
být vzaty v úvahu návrhy vedení a orgánů společnosti.
2000 – Řízení interního auditu
Vedoucí útvaru interního auditu musí účinně řídit výkon
interního auditu tak, aby interní audit přinášel společnosti
přidanou hodnotu.
2010.A2 – Vedoucí interního auditu musí identifikovat
a vzít v úvahu, co vedení, orgány společnosti a ostatní zainteresované subjekty (stakeholders) očekávají od názorů
a dalších závěrů interního auditu.
Interpretace:
Činnost interního auditu je účinně řízena, pokud:
• výsledky interního auditu dosahují účelu a plní odpovědnosti stanovené ve statutu interního auditu,
• výkon interního auditu je realizován v souladu s Definicí
interního auditu a se Standardy,
• jednotlivci, účastnící se výkonu interního auditu, prokazují soulad s Etickým kodexem a se Standardy.
2010.C1 – Vedoucí interního auditu by měl zvážit přijetí
navržených poradenských zakázek s ohledem na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet přidanou hodnotu a zdokonalovat procesy ve společnosti. Přijaté zakázky musí být zahrnuty do plánu.
2020 – Komunikace a schvalování
Vedoucí útvaru interního auditu musí předkládat plány
interního auditu a požadavky na zdroje, včetně jejich průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí interního auditu musí
též informovat o dopadech vzniklých v důsledku omezení
zdrojů.
Interní audit přidává hodnotu společnosti a ostatním zainteresovaným subjektům (stakeholders) pokud poskytuje objektivní a náležité ujištění a přispívá k účinnosti
a efektivnosti procesů řízení a správy společnosti, řízení rizik
a řídicích a kontrolních procesů.
2030 – Řízení zdrojů
Vedoucí interního auditu musí zajistit, aby zdroje interního auditu pro splnění schváleného plánu byly vhodné,
dostatečné a účinně rozmístěné.
2010 – Plánování
Na základě vyhodnocení rizik musí vedoucí útvaru interního auditu vytvořit plány, které v souladu s cíli společnosti stanoví priority výkonu interního auditu.
Interpretace:
Vhodnými zdroji se rozumí kombinace znalostí, dovedností
a dalších schopností potřebných pro splnění plánu. Dostatečnými zdroji se rozumí množství zdrojů potřebných pro uskutečnění plánu. Zdroje jsou účinně rozmístěny, pokud jsou používány způsobem, který vede k dosažení schváleného plánu
optimální cestou.
Interpretace:
Vedoucí interního auditu je odpovědný za vytvoření plánu
založeného na vyhodnocení rizik. Vedoucí interního auditu
využívá rámec řízení rizik společnosti, včetně úrovní rizikové
tolerance stanovené vedením pro jednotlivé činnosti nebo části společnosti. Pokud rámec řízení rizik neexistuje, projedná
vedoucí interního auditu nejdříve tuto skutečnost s vedením
a orgány společnosti a poté použije své vlastní posouzení rizik.
2040 – Zásady a postupy
Vedoucí interního auditu musí stanovit zásady a postupy,
kterými se řídí činnost interního auditu.
2010.A1 – Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik, které je
51
2100 – Nature of Work
The internal audit activity must evaluate and contribute
to the improvement of governance, risk management, and
control processes using a systematic and disciplined approach.
Interpretation:
The form and content of policies and procedures are dependent upon the size and structure of the internal audit activity
and the complexity of its work.
2050 – Coordination
The chief audit executive should share information and
coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.
2110 – Governance
The internal audit activity must assess and make appropriate recommendations for improving the governance
process in its accomplishment of the following objectives:
2060 – Reporting to Senior Management and the Board
The chief audit executive must report periodically to senior management and the board on the internal audit activity’s purpose, authority, responsibility, and performance
relative to its plan. Reporting must also include significant
risk exposures and control issues, including fraud risks,
governance issues, and other matters needed or requested
by senior management and the board.
• Promoting appropriate ethics and values within the organization;
• Ensuring effective organizational performance management and accountability;
• Communicating risk and control information to appropriate areas of the organization; and
• Coordinating the activities of and communicating information among the board, external and internal auditors, and management.
Interpretation:
The frequency and content of reporting are determined in discussion with senior management and the board and depend
on the importance of the information to be communicated
and the urgency of the related actions to be taken by senior
management or the board.
2110.A1 – The internal audit activity must evaluate
the design, implementation, and effectiveness of the
organization’s ethics-related objectives, programs, and
activities.
2110.A2 – The internal audit activity must assess
whether the information technology governance of the
organization supports the organization’s strategies and
objectives.
2070 – External Service Provider and Organizational
Responsibility for Internal Auditing
When an external service provider serves as the internal
audit activity, the provider must make the organization
aware that the organization has the responsibility for
maintaining an effective internal audit activity.
Interpretation
This responsibility is demonstrated through the quality assurance and improvement program which assesses conformance
with the Definition of Internal Auditing, the Code of Ethics,
and the Standards.
52
2100 – Charakter práce
Interní audit musí systematicky a metodicky hodnotit
procesy řízení a správy společnosti, řízení rizik a řídicí
a kontrolní procesy a přispívat k jejich zdokonalování.
Interpretace:
Forma a obsah zásad a postupů jsou závislé na velikosti
a struktuře útvaru interního auditu a složitosti jeho práce.
2050 – Koordinace
Vedoucí interního auditu by měl sdílet informace a koordinovat činnost s ostatními interními a externími dodavateli obdobných ujišťovacích a poradenských služeb
tak, aby bylo zajištěno dostatečné pokrytí auditními a poradenskými činnostmi a byly minimalizovány duplicity
činností.
2110 – Řízení a správa společnosti
Interní audit musí hodnotit a poskytovat vhodná doporučení za účelem zdokonalení procesu řízení a správy společnosti. V této roli plní následující cíle:
• podpora vhodných etických a hodnotových kritérií
v rámci společnosti,
• zajištění účinného řízení výkonnosti společnosti a účinného přiřazení zodpovědnosti,
• předávání informací týkajících se rizik a vnitřního řídicího a kontrolního systému příslušným organizačním
úrovním v rámci společnosti,
• koordinace těchto činností a předávání informací mezi
orgány společnosti, externími a interními auditory a vedením.
2060 – Předávání zpráv vedení a orgánům společnosti
Vedoucí interního auditu musí vedení a orgánům společnosti pravidelně předávat zprávy, týkající se účelu, pravomoci, odpovědností interního auditu a jeho výkonnosti
v porovnání s plánem interního auditu. Tyto zprávy musí
též obsahovat zjištění týkající se významných rizik, řídicího a kontrolního systému, včetně rizik podvodu a dále
zjištění ohledně řízení a správy společnosti a dalších záležitostí dle potřeb a požadavků vedení a orgánů společnosti.
2110.A1 – Interní audit musí hodnotit nastavení, realizaci a účinnost cílů, plánů a činností souvisejících
s oblastí etických principů dané společnosti.
Interpretace:
Četnost a obsah předávaných zpráv jsou stanoveny na základě diskuse s vedením a orgány společnosti a závisí na důležitosti předávaných informací a na naléhavosti souvisejících
opatření, které mají být přijaty vedením a orgány společnosti.
2110.A2 – Interní audit musí zhodnotit, zda proces
řízení a správy informačních technologií společnosti
podporuje strategie a cíle společnosti.
2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu
Pokud externí poskytovatel služeb provádí činnosti interního auditu, musí upozornit společnost, že odpovědnost
za udržování účinného interního auditu má samotná společnost.
Interpretace:
Tato odpovědnost je prokazována prostřednictvím programu
pro zabezpečení a zvyšování kvality, který hodnotí soulad
s Definicí interního auditu, Etickým kodexem a Standardy.
53
2120.A2 – The internal audit activity must evaluate the
potential for the occurrence of fraud and how the organization manages fraud risk.
2120 – Risk Management
The internal audit activity must evaluate the effectiveness
and contribute to the improvement of risk management
processes.
2120.C1 – During consulting engagements, internal
auditors must address risk consistent with the engagement’s objectives and be alert to the existence of other
significant risks.
Interpretation:
Determining whether risk management processes are effective is
a judgment resulting from the internal auditor’s assessment that:
• Organizational objectives support and align with the organization’s mission;
• Significant risks are identified and assessed;
• Appropriate risk responses are selected that align risks with
the organization’s risk appetite; and
• Relevant risk information is captured and communicated in a timely manner across the organization, enabling staff, management, and the board to carry out
their responsibilities.
2120.C2 – Internal auditors must incorporate knowledge of risks gained from consulting engagements into
their evaluation of the organization’s risk management
processes.
The internal audit activity may gather the information to
support this assessment during multiple engagements. The
results of these engagements, when viewed together, provide
an understanding of the organization’s risk management processes and their effectiveness.
2130 – Control
The internal audit activity must assist the organization
in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous
improvement.
Risk management processes are monitored through ongoing
management activities, separate evaluations, or both.
2130.A1 – The internal audit activity must evaluate the
adequacy and effectiveness of controls in responding to
risks within the organization’s governance, operations,
and information systems regarding the:
2120.C3 – When assisting management in establishing or improving risk management processes, internal
auditors must refrain from assuming any management
responsibility by actually managing risks.
2120.A1 – The internal audit activity must evaluate
risk exposures relating to the organization’s governance,
operations, and information systems regarding the:
• Reliability and integrity of financial and operational
information;
• Effectiveness and efficiency of operations and programs;
• Safeguarding of assets; and
• Compliance with laws, regulations, policies, procedures, and contracts.
• Reliability and integrity of financial and operational
information.
• Effectiveness and efficiency of operations and programs.
• Safeguarding of assets; and
• Compliance with laws, regulations, policies, procedures, and contracts.
54
2120.A2 – Interní audit musí hodnotit možnost výskytu
podvodu a způsob, jakým společnost řídí riziko podvodu.
2120 – Řízení rizik
Interní audit musí hodnotit účinnost procesů řízení rizik
a přispívat ke zdokonalování těchto procesů.
2120.C1 – V průběhu poradenských zakázek se interní
auditoři musí zabývat riziky souvisejícími s cíli zakázky
a musí být obezřetní vzhledem k existenci dalších významných rizik.
Interpretace:
Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem
úsudku interního auditora založeném na zhodnocení, že:
• cíle společnosti podporují poslání společnosti a jsou s ním
v souladu,
• významná rizika jsou identifikována a ohodnocena,
• v reakci na rizika jsou podnikány přiměřené kroky, které
dávají do souladu velikost rizika s rizikovou tolerancí společnosti,
• důležité informace týkající se rizik jsou získávány a včas
sdělovány napříč společností; tyto informace umožňují
zaměstnancům, vedení a orgánům společnosti vykonávat
jejich odpovědnosti.
2120.C2 – Interní auditoři musí při hodnocení procesu
řízení rizik dané společnosti používat znalosti rizik získané v průběhu poradenských zakázek.
2120.C3 – Při poskytování pomoci vedení při zavádění nebo zlepšování procesů řízení rizik, interní auditoři
nesmí přijmout jakoukoli řídicí odpovědnost, která by
znamenala skutečné řízení rizik.
2130 – Řízení a kontrola
Interní audit musí napomáhat společnosti udržovat účinné
řídicí a kontrolní systémy tím, že hodnotí jejich účinnost
a efektivnost a podporuje jejich neustálé zdokonalování:
K podpoře takového zhodnocení může interní audit získávat
informace prostřednictvím několika zakázek. Společný pohled na výsledky těchto zakázek pak poskytuje porozumění
procesům řízení rizik ve společnosti a jejich účinnosti.
2130.A1 – Interní audit musí v rámci procesů řízení
a správy společnosti, procesů a informačních systémů
společnosti hodnotit přiměřenost a účinnost řídicích
a kontrolních mechanismů reagujících na rizika, a to
z hlediska:
Procesy řízení rizik jsou sledovány prostřednictvím průběžných řídicích činností, samostatných hodnocení nebo prostřednictvím kombinace obou uvedených činností.
2120.A1 – Interní audit musí hodnotit rizika týkajících se řízení a správy společnosti, procesů společnosti
a informačních systémů z hlediska:
• spolehlivosti a integrity finančních a provozních informací,
• účinnosti a efektivnosti procesů a plánů,
• ochrany aktiv,
• dodržování zákonů, předpisů , zásad, postupů a smluv.
• spolehlivosti a integrity finančních a provozních informací,
• účinnosti a efektivnosti procesů, a plánů,
• ochrany aktiv,
• dodržování zákonů, předpisů zásad, postupů a smluv.
55
2210 – Engagement Objectives
Objectives must be established for each engagement.
2130.C1 – Internal auditors must incorporate knowledge of controls gained from consulting engagements
into evaluation of the organization’s control processes.
2210.A1 – Internal auditors must conduct a preliminary assessment of the risks relevant to the activity
under review. Engagement objectives must reflect the
results of this assessment.
2200 – Engagement Planning
Internal auditors must develop and document a plan for
each engagement, including the engagement’s objectives,
scope, timing, and resource allocations.
2210.A2 – Internal auditors must consider the probability of significant errors, fraud, noncompliance, and
other exposures when developing the engagement objectives.
2201 – Planning Considerations
In planning the engagement, internal auditors must consider:
2210.A3 – Adequate criteria are needed to evaluate
controls. Internal auditors must ascertain the extent to
which management has established adequate criteria
to determine whether objectives and goals have been
accomplished. If adequate, internal auditors must use
such criteria in their evaluation. If inadequate, internal
auditors must work with management to develop appropriate evaluation criteria.
• The objectives of the activity being reviewed and the
means by which the activity controls its performance;
• The significant risks to the activity, its objectives, resources, and operations and the means by which the
potential impact of risk is kept to an acceptable level;
• The adequacy and effectiveness of the activity’s risk
management and control processes compared to a relevant control framework or model; and
• The opportunities for making significant improvements to the activity’s risk management and control
processes.
2210.C1 – Consulting engagement objectives must address governance, risk management, and control processes to the extent agreed upon with the client.
2201.A1 – When planning an engagement for parties outside the organization, internal auditors must
establish a written understanding with them about
objectives, scope, respective responsibilities, and other
expectations, including restrictions on distribution of
the results of the engagement and access to engagement
records.
2210.C2 – Consulting engagement objectives must be
consistent with the organization’s values, strategies, and
objectives.
2220 – Engagement Scope
The established scope must be sufficient to satisfy the objectives of the engagement.
2201.C1 – Internal auditors must establish an understanding with consulting engagement clients about
objectives, scope, respective responsibilities, and other
client expectations. For significant engagements, this
understanding must be documented.
2220.A1 – The scope of the engagement must include
consideration of relevant systems, records, personnel,
and physical properties, including those under the control of third parties.
56
2210 – Cíle zakázky
Každá zakázka musí mít stanoveny své cíle.
2130.C1 – Interní auditoři musí při hodnocení řídicích a kontrolních procesů dané společnosti používat
znalosti řídicích a kontrolních mechanismů, které získali v průběhu poradenských zakázek.
2210.A1 – Interní auditoři musí provést předběžné
ohodnocení rizik souvisejících s prověřovanou činností.
Cíle zakázky musí respektovat výsledky tohoto ohodnocení.
2200 – Plánování zakázky
Pro každou zakázku musí interní auditoři vypracovat
a zdokumentovat plán, který zahrnuje cíle zakázky včetně
stanovení rozsahu, načasování a rozvržení zdrojů.
2210.A2 – Při určování cílů auditu musí interní auditoři zvážit pravděpodobnost výskytu významných chyb,
podvodu, odchylek a ostatních rizik.
2201 – Přístup k plánování
Při plánování jednotlivých zakázek musí interní auditoři
vzít v potaz:
2210.A3 – K hodnocení řídicích a kontrolních systémů je nezbytná existence přiměřených kritérií. Interní
auditoři musí zjistit, do jaké míry vedení zavedlo přiměřená kritéria, prostřednictvím kterých lze určit, zda
stanovené úkoly a cíle byly splněny. Pokud jsou tato
kritéria přiměřená, interní auditoři je musí použít pro
svá hodnocení. Pokud nejsou tato kritéria přiměřená,
interní auditoři musí ve spolupráci s vedením vytvořit
vhodná hodnotící kritéria.
• cíle prověřované činnosti a prostředky, kterými je výkon této činnost řízen a kontrolován,
• významná rizika související s touto činností, její cíle,
zdroje, postupy a prostředky, použitím kterých je udržován možný dopad rizika na přijatelné úrovni,
• přiměřenost a účinnost procesu řízení rizik a řídicích
a kontrolních procesů týkajících se prověřované činnosti a jejich porovnání s celkovým rámcem nebo modelem řízení a kontroly,
• příležitosti pro dosažení významných zdokonalení procesů řízení rizik prověřované činnosti a jejích řídicích
a kontrolních procesů.
2210.C1 – Cíle poradenské zakázky se musí zaměřovat
na procesy řízení a správy společnosti, na procesy řízení
rizik a na procesy řízení a kontroly v rozsahu dohodnutém s klientem.
2201.A1 – Při plánování zakázky, která zahrnuje subjekty vně společnosti, musí interní auditoři dospět s těmito
subjekty k písemné dohodě týkající se cílů, rozsahu, příslušných odpovědností a dalších očekávání, včetně omezení distribuce výsledků této zakázky a přístupu k záznamům shromážděným v rámci této zakázky.
2210.C2 – Cíle poradenské zakázky musí být stanoveny v souladu s hodnotami společnosti, jejími strategiemi a cíli.
2220 – Rozsah zakázky
Stanovený rozsah zakázky musí být dostatečný ke splnění
cílů zakázky.
2201.C1 – Interní auditoři musí dosáhnout shody
s klienty poradenské zakázky ohledně cílů, rozsahu,
příslušných odpovědností a dalších očekávání klienta.
U významných zakázek musí být tato shoda zdokumentována.
2220.A1 – Při stanovení rozsahu zakázky musí být vzaty v úvahu příslušné systémy, záznamy, personál a fyzický majetek včetně majetku, který je pod kontrolou
třetích stran.
57
2240.A1 – Work programs must include the procedures for identifying, analyzing, evaluating, and documenting information during the engagement. The work
program must be approved prior to its implementation,
and any adjustments approved promptly.
2220.A2 – If significant consulting opportunities arise
during an assurance engagement, a specific written understanding as to the objectives, scope, respective responsibilities, and other expectations should be reached
and the results of the consulting engagement communicated in accordance with consulting standards.
2240.C1 – Work programs for consulting engagements
may vary in form and content depending upon the nature of the engagement.
2220.C1 – In performing consulting engagements, internal auditors must ensure that the scope of the engagement is sufficient to address the agreed-upon objectives. If internal auditors develop reservations about
the scope during the engagement, these reservations
must be discussed with the client to determine whether
to continue with the engagement.
2300 – Performing the Engagement
Internal auditors must identify, analyze, evaluate, and
document sufficient information to achieve the engagement’s objectives.
2220.C2 – During consulting engagements, internal
auditors must address controls consistent with the engagement’s objectives and be alert to significant control
issues.
2310 – Identifying Information
Internal auditors must identify sufficient, reliable, relevant, and useful information to achieve the engagement’s
objectives.
2230 – Engagement Resource Allocation
Internal auditors must determine appropriate and sufficient resources to achieve engagement objectives based on
an evaluation of the nature and complexity of each engagement, time constraints, and available resources.
Interpretation:
Sufficient information is factual, adequate, and convincing
so that a prudent, informed person would reach the same
conclusions as the auditor. Reliable information is the best attainable information through the use of appropriate engagement techniques. Relevant information supports engagement
observations and recommendations and is consistent with the
objectives for the engagement. Useful information helps the
organization meet its goals.
2240 – Engagement Work Program
Internal auditors must develop and document work programs that achieve the engagement objectives.
2320 – Analysis and Evaluation
Internal auditors must base conclusions and engagement
results on appropriate analyses and evaluations.
2330 – Documenting Information
Internal auditors must document relevant information to
support the conclusions and engagement results.
58
2240.C1 – Pracovní programy poradenských zakázek
se mohou lišit svou formou a obsahem, a to v závislosti
na charakteru zakázky.
2220.A2 – Jestliže se v průběhu ujišťovací zakázky objeví významný prostor k poskytnutí poradenských služeb,
je zapotřebí dosáhnout konkrétní písemné shody týkající se cílů, rozsahu a příslušných odpovědností a dalších očekávání. Výsledky takové poradenské zakázky by
měly být předány v souladu se standardy týkajícími se
poskytování poradenství.
2300 – Realizace zakázky
Za účelem splnění cílů zakázky musí interní auditoři identifikovat, analyzovat, hodnotit a dokumentovat dostatečné
informace.
2220.C1 – Při provádění poradenských zakázek musí
interní auditoři zajistit, aby rozsah zakázky byl dostatečný vzhledem k dohodnutým cílům zakázky. Mají-li
interní auditoři během zakázky výhrady k jejímu rozsahu, musí tyto výhrady projednat s klientem a rozhodnout, zda pokračovat v práci na této zakázce.
2310 – Identifikace informací
Ke splnění cílů zakázky musí interní auditoři identifikovat informace, které jsou dostatečné, spolehlivé, relevantní
a účelné.
Interpretace:
Dostatečná informace je natolik konkrétní, odpovídající
a přesvědčivá, že jakákoli uvážlivá a informovaná osoba by
dospěla ke stejným závěrům jako auditor. Spolehlivá informace je informace nejlépe získatelná prostřednictvím příslušných postupů pro provedení zakázky. Relevantní informace
slouží v rámci dané zakázky k podpoře pozorování a doporučení. Relevantní informace je v souladu s cíli zakázky. Účelná
informace napomáhá společnosti dosahovat jejích cílů.
2220.C2 – V průběhu poradenských zakázek se interní
auditoři musí zabývat řídicími a kontrolními mechanismy, které jsou v souladu s cíli zakázky a musí věnovat
pozornost významným aspektům řídicího a kontrolního systému.
2230 – Rozvržení zdrojů v rámci zakázky
Na základě ohodnocení povahy a složitosti každé zakázky, časových omezení a dostupnosti zdrojů musí interní
auditoři určit zdroje přiměřené a vhodné ke splnění cílů
zakázky.
2320 – Analýza a hodnocení
Interní auditoři musí závěry a výsledky dané zakázky podložit vhodnými analýzami a hodnoceními.
2240 – Pracovní program zakázky
Interní auditoři musí vypracovat pracovní programy, které
vedou k dosažení cílů zakázky. Tyto plány musí být zdokumentovány.
2330 – Dokumentace informací
Interní auditoři musí dokumentovat související informace, které podporují závěry a výsledky zakázky.
2240.A1 – Pracovní programy musí zahrnovat postupy
pro identifikaci, analýzu, hodnocení a zaznamenávání
informací v průběhu zakázky. Pracovní program musí
být schválen před jeho realizací, všechny případné změny
pracovního programu musí být schváleny neprodleně.
59
2410 – Criteria for Communicating
Communications must include the engagement’s objectives and scope as well as applicable conclusions, recommendations, and action plans.
2330.A1 – The chief audit executive must control access to engagement records. The chief audit executive
must obtain the approval of senior management and/or
legal counsel prior to releasing such records to external
parties, as appropriate.
2330.A2 – The chief audit executive must develop retention requirements for engagement records, regardless of the medium in which each record is stored.
These retention requirements must be consistent with
the organization’s guidelines and any pertinent regulatory or other requirements.
2410.A1 – Final communication of engagement results
must, where appropriate, contain internal auditors’
opinion and/or conclusions. When issued, an opinion
or conclusion must take account of the expectations of
senior management, the board, and other stakeholders
and must be supported by sufficient, reliable, relevant,
and useful information.
2330.C1 – The chief audit executive must develop policies governing the custody and retention of consulting
engagement records, as well as their release to internal
and external parties. These policies must be consistent
with the organization’s guidelines and any pertinent
regulatory or other requirements.
Interpretation:
Opinions at the engagement level may be ratings, conclusions,
or other descriptions of the results. Such an engagement may
be in relation to controls around a specific process, risk, or
business unit. The formulation of such opinions requires consideration of the engagement results and their significance.
2340 – Engagement Supervision
Engagements must be properly supervised to ensure objectives are achieved, quality is assured, and staff is developed.
2410.A2 – Internal auditors are encouraged to acknowledge satisfactory performance in engagement
communications.
2410.A3 – When releasing engagement results to parties outside the organization, the communication must
include limitations on distribution and use of the results.
Interpretation:
The extent of supervision required will depend on the proficiency and experience of internal auditors and the complexity of the engagement. The chief audit executive has overall
responsibility for supervising the engagement, whether performed by or for the internal audit activity, but may designate
appropriately experienced members of the internal audit activity to perform the review. Appropriate evidence of supervision is documented and retained.
2410.C1 – Communication of the progress and results
of consulting engagements will vary in form and content depending upon the nature of the engagement and
the needs of the client.
2420 – Quality of Communications
Communications must be accurate, objective, clear, concise, constructive, complete, and timely.
2400 – Communicating Results
Internal auditors must communicate the results of engagements.
60
2410 – Kritéria komunikace
Zprávy musí obsahovat cíl a rozsah zakázky, příslušné závěry, doporučení a seznam opatření navržených k odstranění nedostatků.
2330.A1 – Vedoucí interního auditu musí stanovit
pravidla pro přístup k záznamům pořízeným v rámci
zakázky. Před zpřístupněním záznamů externím subjektům musí vedoucí interního auditu získat souhlas
vedení a/nebo právního zástupce.
2410.A1 – V případech, kdy je to vhodné, musí závěrečná zpráva o výsledcích zakázky obsahovat závěry nebo
názor interního auditora, popřípadě obojí. Při vydávání
názoru nebo závěru se musí zohlednit očekávání vedení,
orgánů společnosti a ostatních zainteresovaných subjektů
(stakeholders) a názor nebo závěr musí být podloženy dostatečnou, spolehlivou, relevantní a účelnou informací.
2330.A2 – Bez ohledu na povahu média, na kterém
jsou záznamy uloženy, vedoucí interního auditu musí
stanovit požadavky na archivaci záznamů pořízených
v rámci zakázky. Tyto požadavky musí být vypracovány
v souladu s předpisy společnosti a všemi souvisejícími
regulatorními nebo jinými požadavky.
Interpretace:
Názory uvedené v zakázce mohou mít formu ratingů, závěrů
nebo dalších popisů výsledků. Taková zakázka se může týkat
řídicích a kontrolních mechanismů vztahujících se ke specifickému procesu, riziku nebo odbornému útvaru. Formulace
těchto názorů vyžaduje, aby byly zváženy výsledky zakázky
a jejich významnost.
2330.C1 – Vedoucí interního auditu musí stanovit
zásady pro úschovu a archivaci informací pořízených
v rámci poradenské zakázky a také zásady pro jejich vydání interním a externím subjektům. Tyto zásady musí
být v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky.
2340 – Dohled (supervize) nad prováděním zakázky
Nad zakázkami musí být prováděn řádný dohled (supervize) tak, aby bylo zaručeno, že jsou splněny jejich cíle, je
zajištěna jejich odpovídající kvalita a že kompetence zaměstnanců jsou dostatečné.
2410.A2 – Interním auditorům se doporučuje, aby
v případě uspokojivého výsledku zakázky tuto skutečnost zmínili v související zprávě.
2410.A3 – Pokud jsou výsledky zakázky předávány subjektům vně společnosti, musí související zpráva obsahovat
omezení týkající se distribuce a použití těchto výsledků.
Interpretace:
Rozsah požadovaného dohledu bude záviset na odbornosti
a zkušenostech interních auditorů a na složitosti dané zakázky. Vedoucí interního auditu má celkovou odpovědnost za dohled nad zakázkou, ať již je prováděna samotným interním
auditem nebo jiným subjektem. Vedoucí interního auditu
může ale též pověřit tímto prověřením dostatečně zkušené
zaměstnance interního auditu. Příslušné doklady týkající se
provádění dohledu jsou zdokumentovány a uchovávány.
2410.C1 – Informace/zprávy o postupu a výsledcích
poradenských zakázek se budou lišit svou formou a obsahem, a to v závislosti na charakteru zakázky a potřebách klienta.
2420 – Kvalita zpráv
Zprávy musí být přesné, objektivní, jasné, stručné, konstruktivní, úplné a včasné.
2400 – Předávání výsledků
Interní auditoři musí předávat informace týkající se výsledků zakázky.
61
2431 – Engagement Disclosure of Nonconformance
When nonconformance with the Definition of Internal
Auditing, the Code of Ethics or the Standards impacts
a specific engagement, communication of the results must
disclose the:
• Principle or rule of conduct of the Code of Ethics
or Standard(s) with which full conformance was not
achieved;
• Reason(s) for nonconformance; and
• Impact of nonconformance on the engagement and the
communicated engagement results.
Interpretation:
Accurate communications are free from errors and distortions
and are faithful to the underlying facts. Objective communications are fair, impartial, and unbiased and are the result of
a fair-minded and balanced assessment of all relevant facts
and circumstances. Clear communications are easily understood and logical, avoiding unnecessary technical language
and providing all significant and relevant information. Concise communications are to the point and avoid unnecessary
elaboration, superfluous detail, redundancy, and wordiness.
Constructive communications are helpful to the engagement
client and the organization and lead to improvements where
needed. Complete communications lack nothing that is essential to the target audience and include all significant and
relevant information and observations to support recommendations and conclusions. Timely communications are opportune and expedient, depending on the significance of the issue,
allowing management to take appropriate corrective action.
2440 – Disseminating Results
The chief audit executive must communicate results to the
appropriate parties.
Interpretation:
The chief audit executive or designee reviews and approves the
final engagement communication before issuance and decides
to whom and how it will be disseminated.
2421 – Errors and Omissions
If a final communication contains a significant error or
omission, the chief audit executive must communicate
corrected information to all parties who received the original communication.
2440.A1 – The chief audit executive is responsible for
communicating the final results to parties who can ensure that the results are given due consideration.
2430 – Use of “Conducted in Conformance with the
International Standards for the Professional Practice of
Internal Auditing”
Internal auditors may report that their engagements are
“conducted in conformance with the International Standards for the Professional Practice of Internal Auditing”, only
if the results of the quality assurance and improvement
program support the statement.
2440.A2 – If not otherwise mandated by legal, statutory, or regulatory requirements, prior to releasing results to parties outside the organization the chief audit
executive must:
• Assess the potential risk to the organization;
• Consult with senior management and/or legal counsel as appropriate; and
• Control dissemination by restricting the use of the
results.
2440.C1 – The chief audit executive is responsible for
communicating the final results of consulting engagements to clients.
62
Interpretace:
Přesné zprávy neobsahují chyby a zkreslení a věrným způsobem odpovídají zjištěným skutečnostem. Objektivní zprávy jsou nestranné, nezaujaté a nezkreslené a jsou výsledkem
spravedlivého a vyváženého ohodnocení všech souvisejících
skutečností a okolností. Jasné zprávy jsou snadno pochopitelné
a logické, neobsahují nepotřebné technické výrazy a poskytují všechny významné a relevantní informace. Stručné zprávy
jdou k podstatě věci a vyhýbají se nepotřebným podrobným
popisům, přemíře detailů, nadbytečnosti informací a rozvláčnosti. Konstruktivní zprávy přinášejí klientovi a společnosti
prospěch a zdokonalení tam, kde je to potřebné. Úplné zprávy
nepostrádají nic, co by bylo nezbytné z hlediska cílové skupiny
uživatelů a obsahují všechny významné a související informace a pozorování nezbytná pro zdůvodnění doporučení a závěrů. Včasné zprávy jsou dobře načasované, odpovídajícím způsobem reagující na vznik nenadálých situací a to vzhledem
k důležitosti zjištěného problému. Včasné zprávy umožňují
vedení přijmout odpovídající nápravné opatření.
2431 – Poskytnutí informací v případě nesouladu
Pokud má nesoulad s Etickým kodexem a Standardy dopad na konkrétní zakázku, zpráva o výsledcích musí obsahovat:
2421 – Chyby a opomenutí
Pokud závěrečná zpráva obsahuje závažné chyby nebo
opomenutí, musí vedoucí interního auditu poskytnout
opravené informace všem osobám, které obdržely původní zprávu.
2440.A1 – Vedoucí interního auditu odpovídá za předání závěrečných výsledků těm subjektům, které jsou
schopny zajistit, že těmto výsledkům bude věnována
odpovídající pozornost.
• výčet zásad nebo pravidel jednání obsažených v Etickém kodexu nebo ve Standardech, s kterými nebylo
dosaženo souladu,
• důvod(y) nesouladu,
• dopad nesouladu na danou zakázku a její výsledky.
2440 – Distribuce výsledků
Vedoucí interního auditu musí předat výsledky všem příslušným stranám.
Interpretace:
Před vydáním závěrečné zprávy o zakázce vedoucí interního
auditu nebo jím pověřená osoba tuto zprávu prověří, schválí
a rozhodne komu a jak bude distribuována.
2440.A2 – Pokud není právními, statutárními nebo regulatorními požadavky stanoveno jinak, vedoucí interního auditu před předáním výsledků auditu subjektům
vně společnosti musí:
2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu“
Interním auditorům je doporučeno informovat o tom, že
jejich zakázky jsou “Provedeny v souladu s Mezinárodními standardy pro profesní praxi interního auditu”. Tento
výraz však mohou použít pouze tehdy, pokud výsledky
programu pro zabezpečení a zvyšování kvality toto stanovisko podporují.
• zhodnotit případné riziko hrozící společnosti,
• dle potřeby se poradit s vedením a/nebo s právním
zástupcem,
• stanovit omezení, za kterých mohou být výsledky použity a zajistit tak kontrolu nad jejich distribucí.
2440.C1 – Vedoucí interního auditu odpovídá za předání závěrečných výsledků poradenských zakázek klientům.
63
2600 – Resolution of Senior Management’s Acceptance
of Risks
When the chief audit executive believes that senior management has accepted a level of residual risk that may be
unacceptable to the organization, the chief audit executive
must discuss the matter with senior management. If the
decision regarding residual risk is not resolved, the chief
audit executive must report the matter to the board for
resolution.
2440.C2 – During consulting engagements, governance, risk management, and control issues may be
identified. Whenever these issues are significant to the
organization, they must be communicated to senior
2450 – Overall Opinions
When an overall opinion is issued, it must take into account the expectations of senior management, the board,
and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information.
Interpretation:
The communication will identify:
• The scope, including the time period to which
the opinion pertains;
• Scope limitations;
• Consideration of all related projects including t
he reliance on other assurance providers;
• The risk or control framework or other criteria used as
a basis for the overall opinion; and
• The overall opinion, judgment, or conclusion reached.
The reasons for an unfavorable overall opinion must be stated.
2500 – Monitoring Progress
The chief audit executive must establish and maintain
a system to monitor the disposition of results communicated to management.
2500.A1 – The chief audit executive must establish
a follow-up process to monitor and ensure that management actions have been effectively implemented or
that senior management has accepted the risk of not
taking action.
2500.C1 – The internal audit activity must monitor
the disposition of results of consulting engagements to
the extent agreed upon with the client.
64
2440.C2 – Při poradenských zakázkách mohou být
identifikovány problémy v oblasti řízení a správy společnosti, řízení rizik, a řídicího a kontrolního systému.
Pokud jsou tyto problémy pro společnost významné,
musí být sděleny vedení a orgánům společnosti.
2450 – Celkové názory
Když je vydáván celkový názor musí v něm být zohledněna očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) a názor musí být
podložen dostatečnou, spolehlivou, relevantní a účelnou
informací.
2500.C1 – Interní audit musí sledovat způsob nakládání s výsledky poradenských zakázek v rozsahu dohodnutém s klientem.
2600 – Rozhodnutí o přijetí rizika vedením společnosti
Pokud se vedoucí interního auditu domnívá, že vedení
společnosti přijalo takový stupeň zbytkového rizika, který by mohl být pro tuto společnost nepřijatelný, musí
s vedením tuto skutečnost projednat. Pokud se nepodaří
dosáhnout rozhodnutí ohledně zbytkového rizika, musí
vedoucí interního auditu předat tuto záležitost k vyřešení
orgánům společnosti.
Interpretace:
Takové sdělení bude zahrnovat:
• rozsah, včetně časového období, ke kterému se názor
vztahuje, omezení rozsahu,
• zvážení všech souvisejících projektů, včetně spolehnutí
se na ostatní poskytovatele ujištění,
• riziko nebo vnitřní řídicí a kontrolní rámec nebo další
kritéria využitá jako základ pro formulaci celkového
názoru, a
• celkový názor, úsudek nebo závěr, ke kterým se dospělo.
• Musí být uvedeny důvody vedoucí k nepříznivému
celkovému názoru.
2500 – Monitorování
Vedoucí interního auditu musí zavést a udržovat systém,
který umožní sledovat, jak se s výsledky předanými vedení dále nakládá.
2500.A1 – Vedoucí interního auditu musí zavést proces následné kontroly, který bude sledovat a zaručovat,
že nápravná opatření byla účinně provedena, nebo že
vedení společnosti převzalo odpovědnost za riziko neprovedení nápravných opatření.
65
GLOSSARY
Chief Audit Executive
Chief audit executive describes a person in a senior position responsible for effectively managing the internal audit activity in accordance with the internal audit charter
and the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive or others
reporting to the chief audit executive will have appropriate
professional certifications and qualifications. The specific
job title of the chief audit executive may vary across organizations.
Add Value
The internal audit activity adds value to the organization
(and its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and
efficiency of governance, risk management, and control
processes.
Adequate Control
Present if management has planned and organized (designed) in a manner that provides reasonable assurance
that the organization’s risks have been managed effectively
and that the organization’s goals and objectives will be
achieved efficiently and economically.
Code of Ethics
The Code of Ethics of The Institute of Internal Auditors
(IIA) are Principles relevant to the profession and practice
of internal auditing, and Rules of Conduct that describe
behavior expected of internal auditors. The Code of Ethics
applies to both parties and entities that provide internal
audit services. The purpose of the Code of Ethics is to
promote an ethical culture in the global profession of internal auditing.
Assurance Services
An objective examination of evidence for the purpose of
providing an independent assessment on governance, risk
management, and control processes for the organization.
Examples may include financial, performance, compliance, system security, and due diligence engagements.
Compliance
Adherence to policies, plans, procedures, laws, regulations, contracts, or other requirements.
Board
A board is an organization’s governing body, such as
a board of directors, supervisory board, head of an agency
or legislative body, board of governors or trustees of a nonprofit organization, or any other designated body of the
organization, including the audit committee to whom the
chief audit executive may functionally report.
Conflict of Interest
Any relationship that is, or appears to be, not in the best
interest of the organization. A conflict of interest would
prejudice an individual’s ability to perform his or her duties and responsibilities objectively.
Charter
The internal audit charter is a formal document that defines the internal audit activity’s purpose, authority, and
responsibility. The internal audit charter establishes the
internal audit activity’s position within the organization;
authorizes access to records, personnel, and physical properties relevant to the performance of engagements; and
defines the scope of internal audit activities.
66
VÝKLAD POJMŮ
společnosti, oprávnění k přístupu k dokladům, osobám
a majetku, které souvisejí s prováděním zakázek, a definuje rozsah činností interního auditu.
Add Value – Přinášet přidanou hodnotu
Interní audit přidává hodnotu společnosti a ostatním zainteresovaným subjektům (stakeholders) pokud poskytuje
objektivní a náležité ujištění a přispívá k účinnosti a efektivnosti procesů řízení a správy společnosti, řízení rizik
a řídicích a kontrolních procesů.
Chief Audit Executive – Vedoucí interního auditu
Vedoucí interního auditu je charakterizován jako osoba
v seniorské pozici, která je odpovědná za účinné řízení
činnosti interního auditu tak, aby byla v souladu se Statutem interního auditu, Definicí interního auditu, Etickým
kodexem a se Standardy. Vedoucí interního auditu nebo
ostatní, kteří jsou mu podřízeni mají odpovídající profesní
certifikaci a kvalifikaci. Specifický název pro pozici vedoucího interního auditu se může v jednotlivých společnostech lišit.
Adequate control – Odpovídající kontrolní a řídicí systémy/mechanismy
Odpovídající kontrolní a řídicí systémy existují, jestliže
vedení společnosti postupuje (plánuje a navrhuje) takovým způsobem, který poskytuje přiměřenou jistotu, že
rizika organizace jsou účinně řízena a že cíle organizace
budou realizovány efektivně a hospodárně.
Code of Ethics – Etický kodex
Etický kodex Institutu interních auditorů (IIA) tvoří Principy relevantní profesi a praxi interního auditu a Pravidla
jednání, která popisují chování, které je od interních auditorů očekáváno. Etický kodex se týká všech jednotlivců
a subjektů poskytujících služby interního auditu. Posláním Etického kodexu je celosvětová podpora etického přístupu v rámci profese interního auditu.
Assurance services – Ujišťovací služby/popř. audit
Objektivní posouzení průkazného materiálu, jehož cílem je poskytnutí nezávislého zhodnocení procesů řízení
a správy společnosti, řízení rizik a řídicích a kontrolních
systémů dané společnosti. Příkladem jsou finanční audity, audity výkonnosti, audity souladu, bezpečností audity
a audity prováděné před akvizicí nového subjektu (due
diligence).
Compliance – Soulad
Dodržování zásad, plánů, postupů, zákonů, regulatorních
norem, smluv a dalších požadavků.
Board – Orgány společnosti
Orgány společnosti jsou řídící orgány, jako jsou představenstvo, dozorčí rada, ředitel instituce nebo legislativního
orgánu, řídicí orgány (rada správců) neziskových organizací nebo jakékoli jinak ustanovené řídicí orgány společnosti, včetně výboru pro audit, kterému je vedoucí interního
auditu funkčně podřízen.
Conflict of Interest – Konflikt/střet zájmů
Jakýkoliv vztah, který není v nejlepším zájmu dané organizace nebo se takovým jeví. Konflikt zájmů negativně
ovlivňuje schopnost jednotlivce vykonávat své funkce objektivně.
Charter – Statut (vymezení funkcí a působnosti interního auditu)
Statutem interního auditu se rozumí písemný dokument,
který definuje účel, pravomoci a odpovědnosti interního
auditu. Statut určuje postavení interního auditu v rámci
67
Engagement
A specific internal audit assignment, task, or review activity, such as an internal audit, control self-assessment review, fraud examination, or consultancy. An engagement
may include multiple tasks or activities designed to accomplish a specific set of related objectives.
Consulting Services
Advisory and related client service activities, the nature
and scope of which are agreed with the client, are intended
to add value and improve an organization’s governance,
risk management, and control processes without the internal auditor assuming management responsibility. Examples include counsel, advice, facilitation, and training.
Engagement Objectives
Broad statements developed by internal auditors that define intended engagement accomplishments.
Control
Any action taken by management, the board, and other
parties to manage risk and increase the likelihood that
established objectives and goals will be achieved. Management plans, organizes, and directs the performance of
sufficient actions to provide reasonable assurance that objectives and goals will be achieved.
Engagement Work Program
A document that lists the procedures to be followed
during an engagement, designed to achieve the engagement plan.
External Service Provider
A person or firm outside of the organization that has
special knowledge, skill, and experience in a particular
discipline.
Control Environment
The attitude and actions of the board and management
regarding the importance of control within the organization. The control environment provides the discipline and
structure for the achievement of the primary objectives of
the system of internal control. The control environment
includes the following elements:
•
•
•
•
•
•
Fraud
Any illegal act characterized by deceit, concealment, or
violation of trust. These acts are not dependent upon the
threat of violence or physical force. Frauds are perpetrated
by parties and organizations to obtain money, property, or
services; to avoid payment or loss of services; or to secure
personal or business advantage.
Integrity and ethical values.
Management’s philosophy and operating style.
Organizational structure.
Assignment of authority and responsibility.
Human resource policies and practices.
Competence of personnel.
Governance
The combination of processes and structures implemented
by the board to inform, direct, manage, and monitor the
activities of the organization toward the achievement of
its objectives.
Control Processes
The policies, procedures, and activities that are part of
a control framework, designed to ensure that risks are contained within the risk tolerances established by the risk
management process.
68
Engagement – Zakázka
Konkrétní zadání interního auditu, úkol nebo prověřovací
činnost (jako jsou např. šetření interního auditu, prověrka
sebehodnocení řídicího a kontrolního systému, vyšetřování podvodu nebo poradenství). Zakázka může zahrnovat
více dílčích úkolů nebo činností, jejichž cílem je splnění
konkrétních stanovených cílů.
Consulting Services – Poradenské služby
Poradenská činnost a související klientské služby, jejichž
charakter a rozsah jsou dohodnuty s klientem a očekává
se od nich přinášení přidané hodnoty a zdokonalení řízení
a správy společnosti, řízení rizik a řídicích a kontrolních
procesů, aniž by interní auditor přebíral řídicí odpovědnost. Příkladem jsou právní a jiné poradenství, podpora
a školení.
Engagement Objectives – Cíle zakázky
Široce formulované tvrzení, jímž interní auditoři definují
plánované výsledky zakázky.
Control – Řídicí a kontrolní mechanismus
Jakékoli opatření přijaté vedením a orgány společnosti
nebo dalšími subjekty s cílem řízení rizika a zvýšení pravděpodobnosti, že stanovené cíle budou splněny. Vedení
plánuje, organizuje a řídí provádění jednotlivých kroků,
které poskytnou přiměřenou jistotu, že cíle budou dosaženy.
Engagement Work Program – Pracovní plán zakázky
Dokument obsahující postupy, které mají být použity
v průběhu zakázky a které slouží ke splnění plánu zakázky.
External Service Provider – Externí poskytovatel služeb
Osoba nebo firma, vně dané společnosti, která má v určité
oblasti specifické znalosti, dovednosti a zkušenosti.
Control Environment – Kontrolní prostředí
Postoje a kroky orgánů a vedení společnosti, týkající se
řídicího a kontrolního systému v dané organizaci. Řídicí
a kontrolní prostředí poskytuje pravidla a strukturu pro
dosažení hlavních cílů systému řízení a kontroly a zahrnuje tyto prvky:
•
•
•
•
•
•
Fraud – Podvod
Jakákoli nezákonná činnost, při které dochází k podvodnému jednání, zatajování informací a narušení důvěry. Při
této činnosti nemusí dojít k pohrůžce násilím nebo fyzickým násilím. Podvody páchají jednotlivci i společnosti
s cílem získat finanční prostředky, majetek nebo služby,
vyhnout se platbě za určité služby nebo jejich ztrátě a zajistit si osobní nebo podnikatelské zvýhodnění.
integritu a etické hodnoty,
filosofii vedení a styl řízení,
organizační strukturu,
stanovení pravomocí a odpovědností,
zásady a postupy řízení lidských zdrojů,
kvalifikaci zaměstnanců.
Governance – Řízení a správa organizace
Kombinace procesů a struktur zavedených orgány společnosti za účelem informování, kontroly, řízení a monitorování činností organizace směrem k dosažení jejích cílů.
Control Processes – Řídicí a kontrolní procesy
Zásady, postupy a činnosti, které jsou součástí rámce řízení a kontroly, a které mají zajistit, že rizika jsou udržována
v mezích tolerance rizika, která je stanovena prostřednictvím procesu řízení rizik.
69
Must
The Standards use the word “must” to specify an unconditional requirement.
Impairment
Impairment to organizational independence and individual objectivity may include personal conflict of interest,
scope limitations, restrictions on access to records, personnel, and properties, and resource limitations (funding).
Objectivity
An unbiased mental attitude that allows internal auditors
to perform engagements in such a manner that they believe in their work product and that no quality compromises are made. Objectivity requires that internal auditors
do not subordinate their judgment on audit matters to
others.
Independence
The freedom from conditions that threaten the ability of
the internal audit activity to carry out internal audit responsibilities in an unbiased manner.
Information Technology Controls
Controls that support business management and governance as well as provide general and technical controls
over information technology infrastructures such as applications, information, infrastructure, and people.
Residual Risk
The risk remaining after management takes action to reduce the impact and likelihood of an adverse event, including control activities in responding to a risk.
Risk
The possibility of an event occurring that will have an impact on the achievement of objectives. Risk is measured in
terms of impact and likelihood.
Information Technology Governance
Consists of the leadership, organizational structures, and
processes that ensure that the enterprise’s information
technology sustains and supports the organization’s strategies and objectives.
Risk Appetite
The level of risk that an organization is willing to accept.
Internal Audit Activity
A department, division, team of consultants, or other
practitioner(s) that provides independent, objective assurance and consulting services designed to add value and
improve an organization’s operations. The internal audit
activity helps an organization accomplish its objectives by
bringing a systematic, disciplined approach to evaluate
and improve the effectiveness of governance, risk management and control processes.
Risk Management
A process to identify, assess, manage, and control potential events or situations to provide reasonable assurance
regarding the achievement of the organization’s objectives.
International Professional Practices Framework
The conceptual framework that organizes the authoritative guidance promulgated by The IIA. Authoritative
Guidance is comprised of two categories – (1) mandatory
and (2) endorsed and strongly recommended.
70
Impairment – Narušení
Narušení organizační nezávislosti a individuální objektivity může zahrnovat osobní konflikt zájmu, omezení rozsahu, omezení přístupu k dokladům, osobám a majetku
a omezení zdrojů (finančních).
International Professional Practices Framework – Mezinárodní rámec pro profesní praxi
Koncepční rámec závazných směrnic stanovených IIA.
Závazné směrnice sestávají ze dvou kategorií – (1) povinné
a (2) podporované a důrazně doporučené.
Independence – Nezávislost
Nepřítomnost stavu, který ohrožuje schopnost interního
auditu vykonávat odpovědnosti interního auditu nezaujatým způsobem.
Must – Muset
Standardy používají slovo „muset“ pro vyjádření bezpodmínečného požadavku.
Objectivity – Objektivita
Nezaujatý myšlenkový postoj, který umožňuje interním
auditorům provádět zakázky takovým způsobem, který
zajišťuje důvěru ve výsledek jejich práce a zamezuje přijímání kompromisů ohledně kvality. Objektivita vyžaduje,
aby interní auditoři nepodřizovali svůj úsudek týkající se
předmětu auditu jiným subjektům nebo jedincům.
Information Technology Controls – Kontrolní mechanismy v oblasti informačních technologií
Kontrolní mechanismy, které podporují řízení společnosti
a její správu, a současně poskytují celkovou a technickou
kontrolu nad prvky infrastruktury informačních technologií, kterými jsou např. aplikace, informace, infrastruktura a personál.
Residual Risk – Zbytkové (reziduální) riziko
Riziko přetrvávající poté, co vedení přijme opatření omezující dopad a pravděpodobnost nepříznivé události, včetně zavedení řídicích a kontrolních postupů reagujících
na riziko.
Information Technology Governance – Řízení a správa
informačních technologií
Jejími prvky jsou řízení, organizační struktura a procesy,
které zajišťují, že informační technologie trvale podporují
strategii a cíle společnosti a jsou s nimi v souladu.
Risk – Riziko
Možnost, že dojde k určité události, která bude mít negativní vliv na dosažení stanovených cílů. Riziko se měří
na základě jeho dopadu a pravděpodobnosti výskytu.
Internal Audit Activity – Interní audit
Útvar, divize, poradenský tým nebo jiní odborníci, kteří
poskytují nezávislé, objektivní, ujišťovací a konzultační
služby, jejichž účelem je přidávání hodnoty a zdokonalování procesů ve společnosti. Interní audit pomáhá společnosti dosahovat jejích cílů tím, že přináší systematický
metodický přístup k hodnocení a zdokonalování účinnosti procesů řízení a správy společnosti, řízení rizik a procesů
řízení a kontroly.
Risk Appetite – Riziková tolerance
Úroveň rizika, kterou je společnost ochotna přijmout.
Risk Management – Řízení rizik
Proces identifikace, ohodnocení, řízení a kontroly možného výskytu událostí a situací za účelem poskytnutí přiměřeného ujištění ohledně dosažení cílů společnosti.
71
Should
The Standards use the word “should” where conformance
is expected unless, when applying professional judgment,
circumstances justify deviation.
Significance
The relative importance of a matter within the context in
which it is being considered, including quantitative and
qualitative factors, such as magnitude, nature, effect, relevance, and impact. Professional judgment assists internal auditors when evaluating the significance of matters
within the context of the relevant objectives.
Standard
A professional pronouncement promulgated by the Internal Audit Standards Board that delineates the requirements for performing a broad range of internal audit activities, and for evaluating internal audit performance.
Technology-based Audit Techniques
Any automated audit tool, such as generalized audit software, test data generators, computerized audit programs,
specialized audit utilities, and computer-assisted audit
techniques (CAATs).
72

mezinárodní rámec profesní praxe interního auditu

Transkript

Podobné dokumenty

v roce 2011

1 Řízení IT služeb: rychle, jednoduše a jasně

CZ_TERMS_COND-187 v1.2

Výroční zpráva 2012 - 2013

uh, erm, um, ah, aw etc.

Subtle Accents