COSO 2013
od teorie k praxi
ČIIA, klubové odpoledne
Praha, 19.6.2014
Ing. Bohuslav Poduška, CIA
ředitel úseku interní audit
Česká spořitelna, a.s.
Internal Control
- na úvod - sjednocení názvosloví
Internal Control – různé překlady



vnitřní řízení
vnitřní kontrola
řízení podnikových rizik
rámec COSO = řídicí a kontrolní systém
„Internal Control (řídicí a kontrolní systém) je proces (systém) ovlivňovaný
představenstvem společnosti, vedením a dalšími pracovníky, s cílem poskytnutí
přiměřené jistoty při dosahování cílů týkajících se provozu (výkon), reportingu
(informace) a compliance (soulad).“
COSO 2013 – aktualizace rámce
strana 2
Internal Control - Integrated Framework
- vývoj
www.coso.org
 1992 – vznik – COSO
„… rámec, který měl pomáhat podnikům a jiným subjektům
při posuzování a vylepšování vnitřních kontrolních systémů“
 2004 – COSO (II) ERM
„… rámec, který by mohl být využíván managementy
firem pro hodnocení a zlepšení řízení podnikových rizik“
 2009 - Guidance on Monitoring Internal Control Systems
„… pomoci organizacím při sledování kvality jejich ŘKS…“
„… podpora k zajištění vyhodnocování ŘKS v celém
jeho rozsahu …“
COSO 2013 – aktualizace rámce
strana 3
Internal Control - Integrated Framework 2013
- od záměru k publikaci



18.11.2010
do 31.1.2011
19.12.2011
 14.5.2013
- informace o přípravě revize rámce COSO
- celosvětový on-line průzkum
- tisková zpráva o připravené aktualizaci rámce COSO
- veřejná konzultace do 31.3.2012
- www.ic.coso.org
- publikace aktualizovaného rámce
Hlavní důvody pro aktualizaci rámce od 05/2013
- očekávání orgánů dohledu
- globalizace trhů a operací
- různé obchodní modely a organizační struktury
- požadavky a složitost práva, pravidel, regulace a standardů
- rostoucí rozvoj technologií
- vývoj v oblasti detekce a prevence korupčních jednání
COSO 2013 – aktualizace rámce
strana 4
Internal Control - Integrated Framework 2013
- konstrukce rámce
 5
prvků
kontrolní (řídicí) prostředí
řízení rizik
systém vnitřní kontroly
informace & komunikace
monitoring
 17 zásad
základ konceptu každého prvku ŘKS
 81 faktorů
vlastnosti jednotlivých zásad
COSO 2013 – aktualizace rámce
strana 5
Internal Control - Integrated Framework 2013
- zásady
Kontrolní prostředí
Prosazování integrity a etických hodnot
Odpovědnost při výkonu dohledu
Organizační struktura, pravomoci a odpovědnosti
Prokázání způsobilosti pro výkon
Podpora odpovědnosti
Řízení rizik
Specifikace rizik při dosahování cílů
Identifikace a analýza rizik
Vyhodnocování rizik podvodného jednání
Identifikace a analýza významných změn
Systém vnitřní kontroly
Zavedení a rozvoj kontrolních činností
Zavedení a rozvoj kontrolních činností nad technologií
Začlenění kontrolních činností do politik a procedur
Informace & Komunikace
Monitoring
COSO 2013 – aktualizace rámce
strana 6
Využívání relevantních informací
Interní komunikace
Externí komunikace
Provádění průběžného a samostatného vyhodnocení ŘKS
Vyhodnocení a komunikace nedostatků
Internal Control - Integrated Framework 2013
- kontrolní prostředí – 21 faktorů
Kontrolní prostředí
Prosazování integrity a etických hodnot
Odpovědnost při výkonu dohledu
Organizační struktura, pravomoci a odpovědnosti
Prokázání způsobilosti pro výkon
Podpora odpovědnosti
Organizace prosazuje integritu a etické hodnoty:
•
•
•
•
udávání tónu shora
zavedení standardů chování (etického kodexu)
vyhodnocení dodržování standardů chování (etického kodexu)
včasná identifikace odchylek od standardů chování (etického kodexu)
COSO 2013 – aktualizace rámce
strana 7
Internal Control - Integrated Framework 2013
- řízení rizik – 19 faktorů
Řízení rizik
Specifikace rizik při dosahování cílů
Identifikace a analýza rizik
Vyhodnocování rizik podvodného jednání
Identifikace a analýza významných změn
Organizace identifikuje a analyzuje změny, které mohou mít významný
dopad do řídicího a kontrolního systému:
•
•
•
analýza změn v externím prostředí
analýza změn v obchodním modelu
analýza změn ve vedení
COSO 2013 – aktualizace rámce
strana 8
Internal Control - Integrated Framework 2013
- systém vnitřní kontroly – 16 faktorů
Systém vnitřní kontroly
Zavedení a rozvoj kontrolních činností
Zavedení a rozvoj kontrolních činností nad technologií
Začlenění kontrolních činností do politik a procedur
Organizace zavede a rozvíjí všeobecné kontrolní činnosti nad technologií k
podpoře dosažení cílů řídicího a kontrolního systému:
•
•
•
•
určení závislosti mezi užíváním technologie v obchodních procesech a
obecnými technologickými kontrolami
zavedení příslušných kontrolních činností nad technologickou infrastrukturou
zavedení příslušných kontrolních činnosti do procesu řízení bezpečnosti
zavedení příslušných kontrolní činnosti nad procesem pořizování,
rozvoje a údržby technologie
COSO 2013 – aktualizace rámce
strana 9
Internal Control - Integrated Framework 2013
- informace & komunikace – 14 faktorů
Informace & Komunikace
Využívání relevantních informací
Interní komunikace
Externí komunikace
Organizace komunikuje s externími partnery k podpoře funkčnosti
ostatních prvků řídicího a kontrolního systému:
•
•
•
•
•
komunikace k externím stranám
komunikační kanál směrem dovnitř
zvláštní komunikační linky
komunikace s představenstvem
výběr náležitých metod komunikace
COSO 2013 – aktualizace rámce
strana 10
Internal Control - Integrated Framework 2013
- monitoring – 11 faktorů
Monitoring
Provádění průběžného a samostatného vyhodnocení ŘKS
Vyhodnocení a komunikace nedostatků
Organizace vyhodnocuje a komunikuje nedostatky v ŘKS odpovědným
stranám, včetně vrcholného vedení a představenstva, ke včasnému přijetí
nápravných opatření, přiměřeně k okolnostem:
•
•
•
•
hodnocení výsledků
komunikace nedostatků managementu
podávání zpráv o nedostatcích vrcholnému vedení a představenstvu
sledování plnění nápravných opatření
COSO 2013 – aktualizace rámce
strana 11
Řídicí a kontrolní systém
- metodicky, obecně, např.
 zákon č. 21/1992 Sb., o bankách
 vyhláška č. 23/2014 Sb., o výkonu
činnosti bank, spořitelních a úvěrních
družstev a obchodníků s cennými papíry
 Basilejský výbor pro bankovní dohled
- Rámec řídicího a kontrolního systému v bankách
(Framework for internal control systems in banking organisations), září 1998
- Zásady pro zlepšování správy a řízení společnosti
(Principles for enhancing corporate governance), říjen 2010
 Evropská komise
- Green Paper KOM(2010)284 v konečném znění
„Správa a řízení podniku ve finančních institucích a politika odměňování“
COSO 2013 – aktualizace rámce
strana 12
Corporate governance v praxi
- nezávislost interního auditu
Působení interního auditu musí být nezávislé a interní auditoři musí při
výkonu své práce postupovat objektivně.
COSO 2013 – aktualizace rámce
strana 13
Plánování interního auditu v praxi
- tvorba plánu
 strategický plán = na 4 roky, periodický plán = na 1 rok
 podklady pro plán





požadavky z regulace
analýza rizik, Karta rizik
požadavky od IA EGB
náměty od manažerů a členů orgánů banky
poznatky z vlastní činnosti interního auditu (monitorování)
 projednání a schvalování plánů a jejich změn v orgánech banky
COSO 2013 – aktualizace rámce
strana 14
Plánování interního auditu v praxi
- pokrytí rizik a kontrolních mechanismů - Karta rizik
- evidence kontrolních mechanismů
- zefektivnění procesu řízení rizik
- podpora plánování a činnosti
interního auditu
- vlastník = manažer útvaru
- specializovaná aplikace v Intranetu
COSO 2013 – aktualizace rámce
strana 15
Souhrnné vyhodnocení ŘKS
- požadavek bankovní regulace
„Osoba ve vedení funkce vnitřního auditu předkládá alespoň jednou
ročně řídicímu a kontrolnímu orgánu, případně výboru pro audit, k
projednání souhrnné vyhodnocení funkčnosti a efektivnosti řídicího a
kontrolního systému povinné osoby.“
 Dozorčí rada dohlíží, zda řídicí a kontrolní systém je účinný, ucelený a
přiměřený, a poznatky z této činnosti alespoň jednou ročně vyhodnocuje.
 Výbor pro audit hodnotí účinnost vnitřní kontroly společnosti, vnitřního
auditu a případně systémů řízení rizik.
 Představenstvo při každé zásadní změně v situaci povinné osoby, alespoň
však jednou ročně, vyhodnocuje celkovou funkčnost a efektivnost řídicího
a kontrolního systému a zajistí vhodné kroky k nápravě takto zjištěných
nedostatků.
COSO 2013 – aktualizace rámce
strana 16
Souhrnné vyhodnocení ŘKS v praxi
- jak k tomu přistupujeme




realizace 1x v roce k datu 31.12.
specifický rozsáhlý dotazník
sběr informací v útvarech banky a dalších subjektech fin.skupiny
sběr informací z dalších zdrojů (audity, zápisy z jednání orgánů
společností…)
 zpracování souhrnné zprávy
 projednání souhrnné zprávy v orgánech banky
ŘÍZENÍ RIZIK
10
Procesy a postupy pro řízení rizik
10.1
Je v ČS zajištěn soustavný výkon funkce řízení rizik?
10.2
Obsahuje strategie řízení rizik náležitosti v souladu s § 30 vyhl.č. 23/2014 Sb.?
10.3
Je zajištěno pravidelné vyhodnocování a aktualizace strategie řízení rizik?
10.4
Považujete nastavený systém řízení rizik v ČS za vyhovující?
10.5
Jak hodnotíte spolupráci s dceřinými společnostmi v oblasti řízení rizik?
10.6
10.7
Jakým způsobem byli se strategií řízení rizik seznámeni zaměstnanci, jejichž činnost
má vliv na řízení rizik?
Splňuje proces řízení úvěrového rizika požadavky na řízení úvěrového rizika podle
přílohy č. 3 k vyhl.č. 23/2014 Sb.?
COSO 2013 – aktualizace rámce
strana 17
Download

B.Poduška-ČS - corporate governance