51 5. Vnitřní kontrolní systém – účel a složky Obsah kapitoly Odkaz na příslušné standardy ISA Popsat účel, rozsah a charakter vnitřního kontrolního systému v oblasti účetního výkaznictví, včetně pěti složek vnitřní kontroly, které auditor posuzuje. 315 Schéma 5.0-1 Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 52 Odstavec č. Citace příslušných ustanovení ISA 315.4(c) Vnitřní kontrolní systém – proces navržený, zavedený a vykonávaný osobami pověřenými správou a řízením účetní jednotky a jinými pracovníky za účelem poskytnutí přiměřeného ujištění o dosažení cílů účetní jednotky s ohledem na spolehlivost účetního výkaznictví, účelnost a hospodárnost operací a na soulad s příslušnými právními předpisy. Termín „kontroly“ se týká jakýchkoli aspektů jedné nebo více složek vnitřního kontrolního systému. 315.12 Auditor je povinen se seznámit s vnitřním kontrolním systémem v rozsahu, který je relevantní pro audit. Ačkoliv většina kontrol relevantních pro audit se pravděpodobně bude týkat účetního výkaznictví, ne všechny kontroly, které se týkají účetního výkaznictví, jsou relevantní pro audit. Auditor při posouzení toho, zda je určitá kontrola sama o sobě nebo v kombinaci s ostatními relevantní pro audit, použije svůj odborný úsudek. (viz odstavce A42–A65) 315.13 Při seznamování se s kontrolami, které jsou relevantní pro audit, je auditor vedle dotazování se pracovníků účetní jednotky povinen provést další postupy za účelem zhodnocení návrhu těchto kontrol a určení, zda byly tyto kontroly zavedeny. (viz odstavce A66–A68) 5.1 Úvodní přehled Vnitřní kontrolní systém navrhují a zavádějí osoby pověřené správou a řízením účetní jednotky, vedení a jiní pracovníci s cílem pokrýt identifikovaná podnikatelská rizika a rizika podvodu, která ohrožují dosažení stanovených cílů, např. spolehlivost účetního výkaznictví. Pozn.: Každá kontrola se navrhuje na základě nějakého potenciálního rizika, na které má reagovat (které má snižovat). Kontrola, která neřeší žádné konkrétní riziko, je zjevně zbytečná. První krokem při posuzování návrhu vnitřního kontrolního systému je identifikace rizik, která je nutné prostřednictvím kontrol snížit. Druhým krokem je zjistit, jaké kontroly pro tato konkrétní rizika fakticky existují. 5.2 Cíle vnitřní kontroly Vnitřní kontrola je nástroj, který má vedení sloužit k oslabení identifikovaného rizikového faktoru nebo ke splnění stanoveného kontrolního cíle. Mezi cíli účetní jednotky a vnitřní kontrolou, kterou účetní jednotka zavedla, aby zajistila jejich naplnění, existuje přímý vztah. Jakmile si účetní jednotka stanoví cíle, lze identifikovat a vyhodnotit potenciální události (rizika), jež by splnění těchto cílů mohly zabránit. Na základě těchto informací může vedení účetní jednotky naplánovat vhodné způsoby reakce na tato rizika, včetně návrhu vnitřní kontroly. Cíle vnitřní kontroly lze rozdělit zhruba do následujících čtyř kategorií: • Všeobecné strategické cíle, které naplňují poslání dané účetní jednotky; • Účetní výkaznictví (vnitřní kontrola v oblasti účetního výkaznictví); • Provozní činnost (provozní kontroly); • Dodržování právních předpisů. Pro audit je důležitá především vnitřní kontrola v oblasti účetního výkaznictví, jejímž cílem je zajistit sestavení účetní závěrky pro externí účely. Provozní kontroly, týkající se např. plánování výroby a lidských zdrojů, řízení kvality nebo dodržování předpisů v oblasti zdraví a bezpečnosti práce, nebudou obvykle pro audit relevantní. Výjimku představují následující případy: Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 53 • Vygenerované informace se používají při analytických testech věcné správnosti; • Informace se zveřejňují v příloze k účetní závěrce. Pokud je např. výrobní statistika používána při analytických testech věcné správnosti, budou kontroly, které zajišťují správnost těchto statistických dat, pro audit relevantní. Pokud má nedodržování nějakých právních předpisů na účetní závěrku přímý a významný dopad, budou kontroly zaměřující se na odhalování případů porušování právních předpisů pro audit relevantní. Složky vnitřní kontroly Výraz „vnitřní kontrola“, tak jak je používán v ISA 315, se neomezuje pouze na kontrolní činnosti, jako je oddělení pravomocí, schvalování, sesouhlasení účtů apod. Vnitřní kontrola zahrnuje následujících pět složek: • Kontrolní prostředí; • Proces vyhodnocení rizik účetní jednotkou; • Informační systém, včetně souvisejících podnikových procesů, které se týkají účetního výkaznictví, a předávání informací; • Kontrolní činnosti relevantní pro audit; a • Monitorování vnitřních kontrol. Tyto složky ve vztahu k cílům účetní jednotky v oblasti účetního výkaznictví ilustruje následující graf. Pět složek vnitřní kontroly Schéma 5.2-1 Kontrolní prostředí Vyhodnocení rizik Informační systém Kontrolní činnosti Monitorování kontrol Cíle účetního výkaznictví Rozdělení vnitřní kontroly na těchto pět složek poskytuje auditorovi užitečný rámec pro pochopení různých aspektů vnitřního kontrolního systému dané účetní jednotky. V této souvislosti je nicméně nutné upozornit na následující skutečnosti: • Způsob, jak je systém vnitřní kontroly navržen a implementován, se bude lišit v závislosti na velikosti a složitosti účetní jednotky. Menší účetní jednotky obvykle využívají k dosažení svých cílů méně formální prostředky a jednodušší procesy a postupy. Jednotlivé složky vnitřní kontroly tedy u malých Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 54 účetních jednotek nemusí být jasně odlišeny, ale jejich účel však zůstává stejný. Například vlastníkmanažer pravděpodobně bude (a pokud nebudou v dané účetní jednotce obsazeny další pozice, bude muset) vykonávat funkce spadající pod několik různých složek vnitřní kontroly. • K popisu různých aspektů vnitřní kontroly a jejich vlivu na audit lze používat i jinou terminologii nebo rámec, než jaké používá ISA 315, ale přesto musí audit pokrýt všech těchto pět složek. • Auditor zjišťuje zejména to, zda a jakým způsobem určitá kontrola předchází výskytu významné (materiální) nesprávnosti u skupiny transakcí, zůstatku účtu nebo u informací zveřejněných v příloze k účetní závěrce a souvisejících tvrzení, resp. zda tuto nesprávnost následně odhaluje a opravuje. Níže shrnujeme informace o jednotlivých složkách vnitřní kontroly. 5.3 Kontrolní prostředí Odstavec č. Citace příslušných ustanovení ISA 315.14 Auditor je povinen se seznámit s kontrolním prostředím. V rámci seznámení se s kontrolním prostředím auditor je povinen zhodnotit: (a) zda se vedení účetní jednotky pod dohledem osob pověřených správou a řízením účetní jednotky podařilo vytvořit a udržovat kulturu poctivosti a etického chování a (b) zda společný efekt jednotlivých částí kontrolního prostředí je dostatečným základem pro ostatní složky vnitřního kontrolního systému a zda tyto ostatní složky nejsou oslabeny nedostatky v kontrolním prostředí. (viz odstavce A69–A78) Kontrolní prostředí Kontrolní prostředí je základem účinné vnitřní kontroly, protože definuje pro celou účetní jednotku závazná pravidla a strukturu. Nastavuje „laťku“ podnikové kultury a ovlivňuje kontrolní povědomí zaměstnanců. Součástí kontrolního prostředí jsou funkce, které vykonává správa a řízení, i funkce zajišťované vedením. Dále do kontrolního prostředí patří postoje osob pověřených správou a řízením a členů vedení k vnitřní kontrole, povědomí těchto osob o vnitřní kontrole, kroky, které tyto osoby v souvislosti s vnitřní kontrolou činí, a důležitost, kterou účetní jednotka vnitřní kontrole přikládá. Pozn.: Kontroly, jejichž předmětem je samo kontrolní prostředí, mají obvykle zásadní (pervazivní) charakter. Samy sice přímo nepředcházejí výskytu významné (materiální) nesprávnosti ani takovou nesprávnost neodhalují a neopravují, ale jsou důležitým základem, ze kterého všechny ostatní kontroly vycházejí. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 55 Schéma 5.3-1 Zásady a postupy v oblasti lidských zdrojů Prosazování etických hodnot a dodržování nezbytné kvalifikace Přidělování pravomoci/odpovědnostiOrganizační struktura Fi lozofie a styl práce vedení Strukturya praxe v oblasti sprá vyařízení Úroveň kontrol kontrolního prostředí má vliv i na to, jak auditor posoudí účinnost ostatních kontrolních činností, které se zaměřují již na konkrétní oblasti, jako jsou např. prodejní a nákupní transakce. Jestliže má vedení negativní přístup ke kontrolám obecně, bude tím ohrožena i účinnost specifických kontrol (např. v oblasti tržeb apod.), i kdyby byly navrženy sebelépe. Následující tabulka popisuje, na co všechno se musí auditor při posuzování vnitřního kontrolního prostředí účetní jednotky zaměřit. Schéma 5.3-2 Kontrolní prvky, na které se auditor zaměřuje Charakteristika Prosazování integrity a etických hodnot Integrita a etické hodnoty jsou nezbytné (základní) složky, které ovlivňují to, jak účinný bude návrh, správa a monitorování ostatních kontrol. Dodržování nezbytné kvalifikace Způsob, jímž vedení účetní jednotky posuzuje úroveň kvalifikace nezbytnou pro splnění konkrétních úkolů, a jak se tato úroveň promítá do požadovaných znalostí a dovedností. Zainteresovanost osob pověřených správou a řízením Charakteristické znaky osob pověřených správou a řízením účetní jednotky, například: • Nezávislost těchto osob na vedení účetní jednotky; • Jejich zkušenosti a postavení; • To, v jakém rozsahu se zabývají činností účetní jednotky a jejím rozborem a jaký druh informací dostávají; • Vhodnost jejich kroků, mimo jiné to, do jaké míry řeší složité otázky s vedením účetní jednotky, a jejich vzájemná interakce s interními a externími auditory. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 56 Kontrolní prvky, na které se auditor zaměřuje Charakteristika Filozofie a styl práce vedení Přístup vedení účetní jednotky k podnikatelským rizikům a jejich řízení, postoj vedení k účetnímu výkaznictví a související opatření, která vedení dělá, postoj vedení ke zpracování informací, k činnostem v oblasti účetnictví a k pracovníkům účtárny. Organizační struktura Rámec, v němž jsou plánovány, prováděny, kontrolovány a ověřovány činnosti účetní jednotky směřující k dosažení jejích cílů. Přidělování pravomoci a odpovědnosti Způsob, jak je přidělována pravomoc a odpovědnost v oblasti provozní činnosti a nastaveny vztahy nadřízenosti a podřízenosti a hierarchie schvalovacích pravomocí. Zásady a postupy v oblasti lidských zdrojů Nábor, instruktáž, školení, hodnocení, odborné vedení, kariérní postup, odměňování a postihy. Výše uvedené kontroly jsou pro účetní jednotku zásadní a jejich hodnocení je obvykle vystaveno vyšší míře subjektivnosti, než je tomu u tradičních kontrolních činností (jako je např. oddělení pravomocí). Při vyhodnocování těchto kontrol proto auditor musí uplatnit odborný úsudek. Kvalitní kontrolní prostředí může v některých případech dílčím způsobem nebo zcela kompenzovat nedostatečné transakční kontroly. Naopak nedostatky v kontrolním prostředí mohou oslabit, nebo dokonce zcela vyřadit jinou složku vnitřního kontrolního systému, i když je dobře navržena. Pokud by například v účetní jednotce neexistovala kultura čestného a poctivého jednání, musel by auditor pečlivě zvažovat, jaké typy (dodatečných) auditorských postupů budou účinné pro identifikaci významných (materiálních) nesprávností v účetní závěrce. V některých případech může auditor dojít k závěru, že vnitřní kontrola účetní jednotky se zhroutila natolik, že jedinou alternativou je odstoupit od zakázky. Kontrolní prostředí menších účetních jednotek Kontrolní prostředí malých účetních jednotek se od kontrolního prostředí velkých účetních jednotek liší, nicméně hraje v nich stejně důležitou roli. To platí obzvlášť v situaci, kdy účetní jednotka nemá dostatečné personální či jiné zdroje pro zajištění tradičních kontrolních činností, jako je např. oddělení pravomocí. Aktivní zapojení kompetentního vlastníka-manažera menší účetní jednotky představuje silnou stánku kontrolního prostředí a může velice dobře snížit nutnost provádět další kontrolní činnosti, např. oddělit pravomoci. Silné stránky kontrolního prostředí mohou tudíž nepřímo předcházet některým typům nesprávností v účetní závěrce, resp. je následně odhalit a opravit. Jestliže například vlastník-manažer kontroluje a schvaluje jednotlivé transakce ještě před jejich uzavřením, může tím předcházet některým konkrétním chybám či podvodům nebo je následně odhalit a opravit. Avšak tato silná stránka kontrolního prostředí nesnižuje ostatní rizika, např. riziko potlačování vnitřních kontrol vedením. U menších účetních jednotek budou kontroly kontrolního prostředí obvykle méně zdokumentované. Auditor bude tudíž často při posouzení toho, jak je vnitřní kontrolní systém navržen a implementován, vycházet z postojů vedení (např. vlastníků-manažerů) k vnitřní kontrole, jeho povědomí o ní a ze souvisejících kroků. Větší účetní jednotky budou mít například pro své pracovníky zpracovaný kodex vymezující zásady přijatelného chování a postih za jejich porušení. Menší účetní jednotky budou informace o hodnotách a přijatelném chování předávat ústně a prostřednictvím příkladu vedení. Pokud k nějaké kontrole neexistuje podpůrná dokumentace, auditor zpracuje memorandum, které bude součástí jeho spisu. Například pro účely posouzení toho, zda vedení prosazuje integritu a etické hodnoty a jak o těchto záležitostech pracovníky informuje, může auditor provést následující: Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 57 • Prostřednictvím diskusí s vedením zjistit, jaké má účetní jednotka hodnoty, jaké chování považuje za přijatelné a jak tyto hodnoty a chování prosazuje. Poté vyhodnotí, zda je tím dostatečně pokryta problematika návrhu vnitřního kontrolního systému. • Zeptat se jednoho či dvou zaměstnanců účetní jednotky na to, jaké jsou podle jejich názoru hodnoty účetní jednotky, jaké chování považuje za přijatelné a jak tyto hodnoty a chování prosazuje. Prostřednictvím těchto pohovorů auditor zjistí, zda byli o těchto záležitostech zaměstnanci informováni a zda jsou tyto záležitosti prosazovány. Tím bude pokryta otázka implementace vnitřních kontrol. PRAKTICKÁ POZNÁMKA Malé účetní jednotky obvykle nejsou ochotné zdokumentovat neformálně fungující vnitřní kontroly. Přitom formální popis některých důležitějších interních zásad a postupů by byl pro vedení často přínosem. Informaci o nich bude díky tomu možné například poskytnout nově přijatým zaměstnancům. Další výhodou bude úspora času při auditu, protože auditor se nebude muset každoročně dotazovat na totéž. I ta nejmenší účetní jednotka může zpracovat jednoduché prohlášení o firemních hodnotách a přijatelném chování, které poskytne svým zaměstnancům a na které bude moci odkázat v případě, že se vyskytne nějaký problém. V následující tabulce uvádíme některé klíčové oblasti, které je nutné pokrýt při vyhodnocování kontrolního prostředí u menších účetních jednotek. Schéma 5.3-3 Kontrolní prvek Klíčová otázka Možné formy vnitřní kontroly Prosazování integrity a etických hodnot Jaká opatření podniká vedení účetní jednotky, aby odstranilo nebo alespoň omezilo motivy a lákadla svádějící pracovníky k nečestnému, nezákonnému nebo neetickému jednání? • Vedení svými slovy i činy soustavně prokazuje, že mu záleží na dodržování přísných etických norem. • Vedení odstraňuje a omezuje motivy a lákadla svádějící pracovníky k nečestnému nebo neetickému jednání. • Účetní jednotka má interní kodex správného chování nebo podobný předpis, který definuje normy etického jednání. • Zaměstnanci vědí, jaké chování je přijatelné a jaké je nepřijatelné a co mají dělat, jestliže se setkají s nečestným jednáním. • V případě potřeby účetní jednotka přijímá opatření nutná k prosazení etických hodnot. Dodržování nezbytné kvalifikace Mají pracovníci znalosti a dovednosti nutné ke splnění úkolů, které mají v popisu práce? • Vedení podniká nezbytné kroky k tomu, aby pracovníci měli znalosti a dovednosti, které potřebují pro výkon své práce. • Popisy práce existují a jsou účinně využívány. • Vedení pracovníkům zajišťuje přístup k relevantním školicím programům. • Dovednosti pracovníků jsou na počátku jejich pracovního poměru i v jeho průběhu porovnávány s popisy práce. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 58 Kontrolní prvek Klíčová otázka Možné formy vnitřní kontroly Zainteresovanost osob pověřených správou a řízením (jestliže tuto funkci neplní vedení) Jak účinně v účetní jednotce funguje správa a řízení (pokud existuje)? • Většina osob pověřených správou a řízením je nezávislá na vedení. • Osoby pověřené správou a řízením mají vhodné zkušenosti, postavení a finanční kvalifikaci. • Osoby pověřené správou a řízením jsou včas informovány o významných problémech a finančních výsledcích. • Osoby pověřené správou a řízením vykonávají nad vedením účinný dohled, včetně toho, že mu kladou náročné otázky a důsledně se dožadují odpovědí. • Osoby pověřené správou a řízením se pravidelně scházejí, zápisy z těchto jednání jsou včas rozesílány. Filozofie a styl práce vedení Jaký je přístup vedení účetní jednotky k účetnímu výkaznictví a jaké kroky v této oblasti podniká? • Vedení má pozitivní přístup v následujících oblastech a podniká v nich příslušné kroky: – Spolehlivé vnitřní kontroly v oblasti účetního výkaznictví (týká se rovněž potlačování vnitřních kontrol vedením a podvodů), – Vhodný výběr účetních pravidel a jejich uplatňování, – Kontroly v oblasti zpracování informací, – Přístup k účetnímu personálu. • Vedení zavedlo postupy zamezující neoprávněnému přístupu k majetku, dokumentům či záznamům či jejich zničení. • Vedení analyzuje podnikatelská rizika a přijímá příslušná opatření. Organizační struktura Byla vytvořena vhodná organizační struktura? • Organizační struktura účinně napomáhá splnění cílů, které si účetní jednotka stanovila, realizaci provozních funkcí i plnění regulačních požadavků. • Vedení dobře rozumí svým povinnostem a kompetencím týkajícím se podnikatelské činnosti a má potřebné zkušenosti a znalosti, aby náležitě zastávalo svou funkci. • Organizační struktura účetní jednotky napomáhá včasnému předávání spolehlivých informací příslušným osobám pro účely plánovacích a kontrolních činností. • Povinnosti, které nejsou slučitelné, jsou v maximální míře odděleny. Přidělování pravomoci a odpovědnosti Byly klíčové pravomoci a odpovědnosti vhodně přiděleny? • Účetní jednotka zavedla zásady a postupy pro autorizaci a schvalování transakcí. • V rámci účetní jednotky byla vhodně nastavena hierarchie nadřízenosti/podřízenosti a odpovědnosti (tj. vhodně z hlediska velikosti účetní jednotky a charakteru její činnosti). • V popisech práce jsou uvedeny rovněž povinnosti týkající se kontrol. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 59 Kontrolní prvek Klíčová otázka Možné formy vnitřní kontroly Zásady a postupy v oblasti lidských zdrojů Jaké interní zásady a postupy zajišťují: Nábor nejkvalifi- kovanějších a nejdůvěryhodnějších osob? Školení, které pracovníkům umožní vykonávat jejich práci? Kariérní postup vycházející z výsledků hodnocení pracovníka? • Vedení zavedlo normy pro nábor nejkvalifikovanějších osob a zajišťuje jejich prosazování. • Proces náboru nového pracovníka zahrnuje vstupní pohovor, ověření informací, které o sobě uchazeč poskytl, a informování nového pracovníka o firemních hodnotách, očekávaném chování a o stylu práce vedení. • Pracovníci jsou pravidelně hodnoceni, výsledky hodnocení jsou s každým pracovníkem projednány a jsou podniknuta odpovídající opatření. • Školení pracovníků reflektuje jejich budoucí role a odpovědnosti, očekávanou úroveň výkonnosti a měnící se potřeby. 5.4 Vyhodnocení rizik Odstavec č. Citace příslušných ustanovení ISA 315.15 Auditor je povinen zjistit, zda existuje proces, na základě kterého účetní jednotka: (a) identifikuje podnikatelská rizika, která se týkají cílů účetního výkaznictví, (b) odhaduje významnost těchto rizik, (c) posuzuje pravděpodobnost jejich výskytu a (d) rozhoduje o tom, jakým způsobem budou rizika řešena. (viz odstavec A79) 315.16 Pokud účetní jednotka zavedla příslušný proces (dále jen „proces vyhodnocení rizik účetní jednotkou“), auditor je povinen se s ním, stejně jako s jeho výsledky, seznámit. Jestliže auditor identifikuje rizika významné (materiální) nesprávnosti, která vedení účetní jednotky nezjistilo, je povinen posoudit, zda existuje riziko, z něhož auditorem zjištěné riziko významné (materiální) nesprávnosti vyplývá, a je takového druhu, že podle auditorova názoru mělo být odhaleno při procesu vyhodnocení rizik účetní jednotkou. Pokud existuje takovéto riziko, auditor je povinen zjistit, proč tento proces selhal a toto riziko neodhalil, a posoudit, zda je tento proces za daných podmínek vhodný nebo zda neexistuje významný nedostatek vnitřního kontrolního systému v oblasti procesu vyhodnocení rizik účetní jednotkou. 315.17 Pokud účetní jednotka příslušný proces nezavedla nebo používá ad hoc proces, je auditor povinen projednat s vedením účetní jednotky, zda byla identifikována podnikatelská rizika týkající se cílů účetního výkaznictví a jakým způsobem jsou řešena. Auditor je povinen zhodnotit, zda je za daných okolností vhodné, že účetní jednotka nemá zdokumentovaný proces vyhodnocení rizik, nebo zda se jedná o významný nedostatek ve vnitřním kontrolním systému. (viz odstavec A80) Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 60 Vyhodnocenírizik Proces vyhodnocení rizik poskytuje informace, na jejichž základě vedení účetní jednotky rozhoduje o tom, jaká podnikatelská rizika/rizika podvodu je třeba řídit, případně jaká opatření je nutné v této souvislosti podniknout. Vedení účetní jednotky může vytvořit plány a programy nebo přijmout kroky k řešení konkrétních rizik, případně se může – s ohledem na náklady či jiné faktory – rozhodnout určité riziko akceptovat. Jestliže je proces vyhodnocení rizik prováděný účetní jednotkou přiměřený daným okolnostem, pomůže auditorovi při identifikací rizika významné (materiální) nesprávnosti. Tento proces se obvykle zaměřuje mimo jiné na následující záležitosti: • Změny provozního prostředí účetní jednotky; • Noví vedoucí pracovníci; • Nové nebo modernizované informační systémy; • Rychlý růst; • Nové technologie; • Nové obchodní modely, výrobky nebo činnost; • Restrukturalizace podniku (včetně prodejů a akvizic); • Rozšíření zahraničních aktivit; • Nové účetní předpisy. U menších účetních jednotek, které pravděpodobně nebudou mít formální proces vyhodnocení rizik, auditor projedná s vedením, jakým způsobem jsou podnikatelská rizika identifikována a pokrývána. Auditor posuzuje, jakým způsobem vedení: • Identifikuje rizika, která jsou relevantní z hlediska účetního výkaznictví; • Odhaduje významnost rizik; • Vyhodnocuje pravděpodobnost jejich výskytu; • Rozhoduje o opatřeních sloužících pro řízení rizik. Jestliže auditor identifikuje rizika významné (materiální) nesprávnosti, která vedení neodhalilo, musí posoudit důvody, proč k tomu došlo: • Proč selhaly procesy prováděné vedením? • Jsou tyto procesy přiměřené daným okolnostem? Pokud proces vyhodnocení rizik prováděný účetní jednotkou vykazuje významný nedostatek (nebo dokonce ani neexistuje), auditor o tom uvědomí osoby pověřené správou a řízením. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 61 Podmínky a události, které mohou naznačovat výskyt rizika významné (materiální) nesprávnosti Užitečný soupis podmínek a událostí, které mohou signalizovat výskyt rizika významné (materiální) nesprávnosti, je uveden v příloze 2 ISA 315. 5.5 Informační systém Odstavec č. Citace příslušných ustanovení ISA 315.18 Auditor je povinen se seznámit s informačním systémem, který se týká účetního výkaznictví, a s příslušnými podnikovými procesy, včetně následujících oblastí: (a) skupiny transakcí, které se vyskytují v činnosti účetní jednotky a jsou významné z hlediska účetní závěrky, (b) postupy, které jsou součástí manuálních systémů i informačních technologií (IT) a slouží k iniciaci, zaznamenání a zpracování transakcí, k jejich případně potřebné opravě a k jejich přenosu do hlavní knihy a vykázání v účetní závěrce, (c) odpovídající účetní záznamy, v písemné nebo technické podobě, podpůrné informace a konkrétní účty účetní závěrky, které se týkají iniciace, zaznamenání, zpracování a vykázání transakcí; patří sem též oprava nesprávných informací a způsob přenosu dat do hlavní knihy, (d) způsob, jakým informační systém zachycuje události a podmínky, mimo transakcí, které jsou významné z hlediska účetní závěrky, (e) proces účetního výkaznictví používaný při sestavení účetní závěrky účetní jednotky, včetně významných účetních odhadů a zveřejněných údajů, a (f) kontroly v oblasti účetních zápisů, včetně nestandardních účetních zápisů využívaných k zaznamenání neopakujících se, neobvyklých transakcí nebo úprav. (viz odstavce A81–A85) 315.19 Auditor je povinen porozumět tomu, jakým způsobem účetní jednotka předává informace o úkolech, povinnostech a dalších významných záležitostech v oblasti účetního výkaznictví, včetně: (viz odstavce A86–A87) (a) předávání informací mezi vedením a osobami pověřenými správou a řízením účetní jednotky a (b) předávání informací mimo účetní jednotku, například regulatorním institucím. Informační systém Vedení (spolu s osobami pověřenými správou a řízením) potřebuje spolehlivé informace, aby mohlo: • Řídit účetní jednotku (tj. plánovat, připravovat rozpočet, sledovat výkonnost, alokovat zdroje, určovat ceny a sestavovat účetní závěrku pro účely účetního výkaznictví); • Plnit stanovené cíle; • Identifikovat a vyhodnocovat rizikové faktory a reagovat na ně. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 62 Pro tyto účely je nutné, aby relevantní informace byly včas zjištěny, zachyceny a sděleny/předány příslušným osobám (na všech úrovních účetní jednotky), které je potřebují pro své rozhodování. Informační systém se skládá z infrastruktury (tj. hmotných součástí a hardwaru), ze softwaru, lidského činitele, postupů a dat. Řada informačních systémů využívá v široké míře informační technologie (IT). Informační systémy mají na starosti rovněž identifikaci, zachycení, zpracování a distribuci informací, bez nichž by účetní jednotka nemohla splnit své cíle v oblasti účetního výkaznictví a vnitřní kontroly. Následující tabulka popisuje informační systém, který je relevantní z hlediska cílů účetního výkaznictví. Zahrnuje jednak podnikové procesy účetní jednotky a jednak účetní systém. Schéma 5.5-1 Podnikové procesy (prodej, nákup, vedení mzdové agendy atd.) Podnikové procesy jsou strukturované soubory činností produkující nějaký konkrétní výstup. Výsledkem podnikového procesu je, že informační systém zaznamená, zpracuje a vykáže určitou transakci. Účetní systém Součástí účetního systému je účetní software, elektronické tabulkové procesory a dále rovněž zásady a postupy pro sestavení jednak pravidelných finančních zpráv a jednak účetní závěrky, včetně přílohy, na konci účetního období. Informační systém zahrnuje postupy, zásady a záznamy (manuální i automatizované), jejichž úkolem je pokrýt záležitosti popsané v následujícím schématu. Schéma 5.5-2 Iniciují, zaznamenávají, zpracovávají a vykazují transakce účetní jednotky (včetně událostí a podmínek) a zajišťují odpovědnost za související aktiva a pasiva (např. jejich ochranu, klasifikaci, oceňování atd.) Řeší případy nesprávného zpracování transakcí Zpracovávají a zaznamenávají případy, kdy došlo k potlačení úkonů prováděných systémem nebo obcházení kontrol Přenášejí informace ze systémů zpracovávajících transakce do hlavní knihy Zachycují informace týkající se jiných událostí a podmínek než transakcí (např. odpisů aktiv, oceňování zásob, pohledávek atd.) Shromaždují, zaznamenávají, zpracovávají, sumarizují a vykazují další informace, které je nutné zveřejnit v účetní závěrce Používají standardní i jiné účetní zápisy pro zaznamenání transakcí, odhadů a úprav Vstupy Výstupy Podnikové procesy Účetní systémy Účetní závěrka (včetně přílohy) Transakce, události a podmínky Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 63 Informační systémy větších společností bývají složité, automatizované a vysoce integrované. Menší společnosti se často spoléhají na manuální nebo samostatné IT aplikace. PRAKTICKÁ POZNÁMKA Řada běžně používaných balíčků účetního softwaru (včetně těch menších) obsahuje nejrůznější zabudované aplikační kontroly, které lze využít ke zkvalitnění vnitřní kontroly v oblasti účetního výkaznictví. Může se jednat například o automatizované sesouhlasení, hlášení výjimek, které poté prověřuje vedení, nebo o kontroly zajišťující všeobecnou konzistentnost účetního výkaznictví. Auditor se při seznamování s informačním systémem účetní jednotky (včetně podnikových procesů) zaměřuje (vedle záležitostí popsaných v předchozím schématu) na níže uvedené skutečnosti. Schéma 5.5-3 Oblast Na co je nutné se zaměřit Používané zdroje informací Jaké skupiny transakcí jsou významné pro účetní závěrku? Jak transakce v podnikových procesech účetní jednotky vznikají? Jaké (manuální nebo elektronické) účetní záznamy existují? Jakým způsobem informační systém zachycuje události a podmínky (s výjimkou skupin transakcí), které jsou významné z hlediska účetní závěrky? Jak jsou informace zachycovány a zpracovávány Jaké procesy účetního výkaznictví se používají pro: • Iniciaci, zaznamenání, zpracování a vykázání transakcí a nestandardních transakcí (jako jsou např. transakce se spřízněnými stranami apod.); • Sestavení účetní závěrky, včetně významných účetních odhadů a zveřejněných údajů? Jaké postupy se používají pro pokrytí následujících oblastí: • Rizika významné (materiální) nesprávnosti spojená s potlačováním kontrol, včetně používání standardních a nestandardních účetních zápisů; • Potlačování nebo dočasné pozastavení automatizovaných kontrol; • Identifikace výjimek a hlášení opatření přijatých k jejich odstranění? Jak jsou vygenerované informace používány Jakým způsobem účetní jednotka informuje o rolích, odpovědnostech a významných záležitostech týkajících se účetního výkaznictví? Jaké zprávy informační systém pravidelně generuje a jak tyto zprávy slouží k řízení účetní jednotky? Jaké informace vedení poskytuje osobám pověřeným správou a řízením (nejsou-li totožné s vedením) a externím subjektům, např. regulačním orgánům? Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 64 Komunikace Komunikace, tj. předávání informací představuje klíčovou složku úspěšného informačního systému. Mají-li být informace použitelné v procesu rozhodování a podporovat fungování vnitřního kontrolního systému, musí se dostat včas k těm správným osobám (interním i externím). Efektivní interní komunikace pomáhá pracovníkům účetní jednotky lépe pochopit cíle vnitřní kontroly, používané podnikové procesy i role a odpovědnosti, které tyto pracovníci mají. Přispívá rovněž k lepšímu pochopení toho, jak jejich činnost souvisí s prací ostatních kolegů a jakým způsobem se hlásí výjimky příslušným nadřízeným v rámci účetní jednotky. Předávání informací může mít neformální (verbální) nebo formální podobu (jestliže je zdokumentováno v podnikové směrnici nebo manuálu upravujícím účetní výkaznictví). V menších společnostech je interní komunikace mezi členy vrcholového vedení a zaměstnanci často jednodušší a méně formální, protože jejich struktura se skládá z menšího počtu úrovní, mají méně zaměstnanců a vrcholové vedení je v nich dostupnější. Efektivní externí komunikace zajišťuje informování příslušných externích subjektů, jako jsou akcionáři a další zainteresované subjekty, finanční instituce, regulační orgány či státní úřady, o záležitostech, které mají vliv na plnění cílů účetní jednotky v oblasti účetního výkaznictví. Nedostatečná dokumentace IT systémů Informační a komunikační systémy menších účetních jednotek bývají méně sofistikované a ne tak důkladně zdokumentované. Jestliže vedení účetní jednotky nemá k dispozici podrobné popisy používaných účetních postupů, propracované účetní záznamy ani psané zásady, bude auditor muset při seznamování s informačním systémem více využívat dotazování a pozorování než prověrku dokumentace. 5.6 Kontrolní činnosti Odstavec č. Citace příslušných ustanovení ISA 315.20 Auditor je povinen se seznámit s kontrolními činnostmi, které se týkají auditu, tzn. s takovými činnostmi, které je podle auditora nutné znát k tomu, aby byl schopen vyhodnotit rizika významné (materiální) nesprávnosti na úrovni tvrzení a navrhnout další auditorské postupy v reakci na vyhodnocená rizika. Audit nevyžaduje znalost všech kontrolních činností týkajících se všech významných skupin transakcí, zůstatků účtů a zveřejněných údajů ani všech souvisejících tvrzení. (viz odstavce A88–A94) 315.21 Při seznamování se s kontrolními činnostmi je auditor povinen zjistit především to, jakým způsobem účetní jednotka řeší rizika plynoucí z použití informačních technologií (IT). (viz odstavce A95–A97) Kontrolní činnosti Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 65 Kontrolní činnosti jsou zásady a postupy, které pomáhají zajistit plnění pokynů vedení. Příkladem mohou být např. kontroly zajišťující, že zboží není dodáváno odběratelům s velkým kreditním rizikem nebo že jsou realizovány jen schválené nákupy. Tyto kontroly se zaměřují na rizika, která by, pokud by nebyla snížena, ohrožovala splnění cílů účetní jednotky. Cílem kontrolních činností (bez ohledu na to, zda probíhají v rámci IT, či manuálních systémů) je snížit rizika vyplývají z běžné činnosti účetní jednotky, jako je např. zpracování transakcí (u podnikových procesů jako prodej, nákup, mzdová agenda) a ochrana aktiv. Podnikové procesy jsou strukturované soubory činností produkující nějaký konkrétní výstup. Kontroly podnikových procesů, které jsou popsány v následující tabulce, se obecně dělí na preventivní, zjišťovací, kompenzační a řídicí. Schéma 5.6-1 Typ kontrol Charakteristika Preventivní kontroly Předcházejí výskytu chyb nebo nesrovnalostí. Zjišťovací kontroly Vyhledávají chyby nebo nesrovnalosti, které se vyskytly, tak aby bylo možné přijmout příslušná nápravná opatření. Kompenzační kontroly Poskytují určitou míru jistoty v těch případech, kdy existující omezení neumožňují provádět jiné, adresnější kontroly. Řídicí kontroly (např. zásady) Orientují aktivitu na splnění stanovených cílů. Charakter kontrol podnikových procesů se mění v závislosti na konkrétní aplikaci. Následující tabulka uvádí typické příklady kontrol na úrovni podnikových procesů. Schéma 5.6-2 Kontroly Charakteristika Příklad Oddělení pravomocí Cílem těchto kontrol je omezit situace, kdy jedna a tatáž osoba může dělat chyby nebo páchat podvody a současně takové jednání zakrývat. Zaměstnanec, který má na starosti zpracování pohledávek, nemá přístup k peněžním příjmům. Kontroly v oblasti schvalování Tyto kontroly stanoví, jaká osoba je oprávněna schvalovat různé rutinní či nerutinní transakce a události. Přidělení odpovědnosti za schvalování: • Náboru nových zaměstnanců; • Finančních investic; • Objednávek zboží a služeb; • Poskytování úvěru odběratelům. Sesouhlasení účtů Tato kontrola spočívá ve včasném sesouhlasení účtů, jeho následné kontrole a přijetí nutných nápravných opatření. Sesouhlasení bankovních účtů, prodejních transakcí, zůstatků mezi podniky ve skupině, operativní evidence atd. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 66 Kontroly Charakteristika Příklad Aplikační kontroly v informačních technologiích Jedná se o kontroly zabudované do IT aplikací, např. pro prodej nebo nákup. Jsou buď plně, nebo částečně automatizované. Kontrola matematické správnosti záznamů, ceny na fakturách, editační kontrola vstupních dat, kontrola nepřerušené číselné řady a generování hlášení o výjimkách, které následně prověřuje vedení. Prověrky skutečných výsledků Součástí těchto kontrol jsou pravidelné analýzy skutečných výsledků a jejich porovnání s rozpočtem, plánem nebo výsledky za minulé období. Dále tyto kontroly zahrnují vzájemné porovnání různých souborů dat (provozních a finančních) a srovnání interních dat s externími zdroji informací. Následně se prozkoumají neočekávané odchylky a přijmou nápravná opatření. Analýza výsledku hospodaření z provozní činnosti, porovnání skutečných výsledků s rozpočtem a prozkoumání odchylek. Fyzické kontroly Předmětem těchto kontrol je fyzická bezpečnost majetku účetní jednotky a zabezpečení přístupu do jejích prostor, k účetním záznamům, počítačovým programům a datovým souborům. Kontroly bezpečnosti aktiv (dveřní zámky a omezení přístupu k zásobám a záznamům) a porovnání výsledků pravidelné inventarizace peněžních prostředků, cenných papírů a zásob s účetními záznamy. Menší účetní jednotky Smyslem kontrolních činností je předcházet výskytu významné (materiální) nesprávnosti v účetní závěrce, resp. jestliže se taková nesprávnost vyskytne, tak ji odhalit a opravit. Koncepce kontrolních činností bude u menších účetních jednotek podobná koncepci větších účetních jednotek, nicméně důležitost těchto činností pro auditora se může podstatně různit – viz následující tabulka. Schéma 5.6-3 Kontrolní činnosti u menších účetních jednotek Komentář Neformální a zredukovaná dokumentace Mnohé kontroly fungují neformálně a nejsou podrobně zdokumentované. Například poskytnutí úvěru odběrateli bude více záviset na úsudku manažera a jeho znalostech o daném odběrateli než na předem nastaveném kreditním limitu. Omezený rozsah kontrol Kontrolní činnosti (pokud vůbec existují) se většinou zaměřují na hlavní transakční cykly, jako jsou výnosy, nákupy nebo osobní náklady. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 67 Kontrolní činnosti u menších účetních jednotek Komentář Rizika může snižovat kontrolní prostředí (viz kapitola 5.3 prvního dílu) Díky kontrolám, které provádí vrcholové vedení, patrně nebudou některé typy kontrolních činností důležité. Jestliže například vedení samo schvaluje významné transakce, bude to představovat spolehlivou kontrolu důležitých zůstatků účtů a transakcí, takže detailní kontrolní činnosti bude možné provádět v menším rozsahu nebo je nebude nutné provádět vůbec. U některých nesprávností týkajících se transakcí (které jsou ve větších účetních jednotkách obvykle pokryty kontrolními činnostmi) lze riziko jejich výskytu snížit prostřednictvím: • Podnikové kultury, která klade důraz na důležitost kontroly; • Náborem vysoce kompetentních pracovníků; • Porovnáváním výnosů a nákladů se schváleným rozpočtem; • Požadavkem, aby všechny větší transakce schvalovalo vrcholové vedení; • Sledováním klíčových ukazatelů výkonnosti; • Rozdělováním úkolů mezi pracovníky tak, aby bylo zajištěno maximální oddělení pravomocí. Kontrolní činnosti důležité pro audit mohou přispívat např. ke snížení následujících rizik: • Významná rizika Jedná se o identifikovaná a vyhodnocená rizika významné (materiální) nesprávnosti, která podle úsudku auditora vyžadují zvláštní pozornost. (viz kapitola 10 druhého dílu) • Rizika, která nelze pokrýt pouze testy věcné správnosti Jedná se o identifikovaná a vyhodnocená rizika významné (materiální) nesprávnosti, u nichž testy věcné správnosti samy o sobě neposkytují dostatečné a vhodné důkazní informace. • Jiná rizika významné nesprávnosti Na auditorovo posouzení toho, zda je určitá kontrolní činnost důležitá pro audit, mají vliv následující faktory: • Informace o existenci/neexistenci kontrol zjištěných v rámci jiných složek vnitřního kontrolního systému. Jestliže je nějaké riziko již dostatečně pokryto (např. prostřednictvím kontrolního prostředí, informačního systému apod.), není už nutné zjišťovat, zda existují nějaké případné další kontroly. • Existence několika kontrolních činností, které plní stejný cíl. Není nutné se seznámit se všemi kontrolními činnostmi, které se daného cíle týkají. • Větší efektivnost auditu v případě, že auditor otestuje provozní účinnosti některých klíčových kontrol. To může nastat v následujících situacích: – Získat důkazní informace testováním provozní účinnosti kontrol je z hlediska nákladů efektivnější než provádět testy věcné správnosti. Testy kontrol se totiž obvykle provádějí na vzorcích menší velikosti než testy věcné správnosti. Pokud jsou kontroly automatizované, může v některých případech stačit vzorek zahrnující pouze jedinou testovanou položku (lze-li předpokládat spolehlivé všeobecné počítačové kontroly). Navíc pokud u kontrolního systému a pracovníků, kteří jej mají na starosti, nedošlo oproti předchozím rokům k žádné změně, je možné (za určitých podmínek) provádět testy provozní účinnosti kontrol pouze jednou za tři roky. (viz kapitola 17 druhého dílu) Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 68 – Testy věcné správnosti samy o sobě neposkytují dostatečné a vhodné důkazní informace pro jednotlivá tvrzení. Například tvrzení o úplnosti tržeb bude obtížné (a v některých případech dokonce nemožné) ověřit pouze prostřednictvím testů věcné správnosti. V takových situacích se vyplatí zjistit, jaké vnitřní kontroly toto riziko a související tvrzení pokrývají. Pokud auditor může předpokládat, že fungují efektivně, získá potřebné důkazní informace testováním provozní účinnosti těchto kontrol. 5.7 Rizika a kontroly v oblasti IT V současnosti používá informační technologie většina účetních jednotek, alespoň pro řízení, kontrolu a vykazování některých činností. Provoz IT má často na starosti centrální podpůrný tým, jehož úkolem je zajistit, aby každodenní uživatelé (pracovníci účetní jednotky) měli náležitý přístup k hardwaru, softwaru a dalším aplikacím, které potřebují pro výkon svých pracovních povinností. V menších účetních jednotkách zodpovídá za řízení IT obvykle pouze jeden pracovník, který může být zaměstnán jen na částečný úvazek nebo se může jednat o externistu. S řízením IT a souvisejícími aplikacemi je spojena celá řada rizikových faktorů, které nezávisí na velikosti účetní jednotky a které v případě, že nebudou ošetřeny, by mohly vést k výskytu významné (materiální) nesprávnosti v účetní závěrce. Existují dva druhy počítačových kontrol, které musí působit v součinnosti, aby bylo zajištěno úplné a správné zpracování informací: • Obecné počítačové kontroly Obecné počítačové kontroly se týkají všech aplikací a obvykle zahrnují kombinaci automatizovaných kontrol (zabudovaných v počítačových programech) a manuálních kontrol (např. kontrola rozpočtu určeného na informační technologie a smluv s poskytovateli služeb); • Aplikační kontroly Jedná se o automatizované kontroly, které se zaměřují na určité konkrétní aplikace (např. zpracování tržeb nebo mzdovouagendu). Kromě toho existuje ještě třetí typ kontrol. Tyto kontroly obsahují jak manuální, tak IT prvek a mohli bychom je označit jako kontroly podmíněné informačními technologiemi. Taková kontrola se provádí manuálně, nicméně její účinnost závisí na kvalitě informací generovaných IT aplikacemi. Například finanční ředitel provádí kontrolu měsíčních/čtvrtletních účetních výkazů (vygenerovaných účetním systémem) a případné odchylky dále zkoumá. Následující tabulka popisuje obecné počítačové kontroly. Schéma 5.7-1 Obecné počítačové kontroly Normy, plánování, interní zásady atd. (prostředí počítačových kontrol) Struktura správy a řízení v oblasti IT. Jakým způsobem jsou rizika týkající se informačních technologií identifikována, snižována a řízena. Požadovaný informační systém, případný strategický plán a rozpočet. Zásady, postupy a normy týkající se informačních technologií. Organizační struktura a oddělení pravomocí. Krizové plány. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 69 Obecné počítačové kontroly Bezpečnost dat, IT infrastruktura běžný provoz IT Pořizování, instalace, konfigurace, integrace a údržba IT infrastruktury. Poskytování IT služeb uživatelům. Řízení externích poskytovatelů. Používání systémového a bezpečnostního softwaru, systémů pro správu databází a obslužných programů. Sledování bezpečnostních incidentů, protokoly o přihlášení k systému a monitorovací funkce. Přístup k programům a k datům v aplikacích Vydávání/rušení uživatelských hesel a ID a jejich bezpečnost. Firewally pro připojení k internetu a kontroly vzdáleného přístupu. Šifrování dat a šifrovací klíče. Kontroly uživatelských účtů a přístupových práv. Uživatelské profily povolující nebo omezující přístup. Vývoj nových programů, změny programů Pořizování a zavádění nových aplikací. Metodika vývoje nových systémů a řízení kvality. Údržba stávajících aplikací, včetně kontroly programových změn. Monitoring fungování IT Zásady, postupy, inspekce a hlášení o výjimkách, které zajišťují to, že: • Uživatelé dostávají správné informace pro své rozhodování; • Obecné počítačové kontroly jsou průběžně dodržovány; • Informační technologie slouží potřebám účetní jednotky a jsou v souladu s jejími podnikatelskými požadavky. Aplikační kontroly v informačních technologiích Aplikační kontroly v informačních technologiích se týkají konkrétní softwarové aplikace používané na úrovni podnikových procesů. Mohou mít preventivní nebo zjišťovací charakter a slouží k zajištění integrity účetních záznamů. Aplikační kontroly se obvykle týkají postupů používaných k iniciaci, zaznamenání, zpracování a vykázání transakcí nebo jiných finančních dat. Tyto kontroly slouží k ověření toho, že se transakce vyskytly, byly schváleny a byly úplně a správně zaznamenány a zpracovány. Mezi příklady těchto kontrol patří editační kontrola vstupních dat s opravou při zadávání dat a kontrola správnosti nepřetržité číselné řady s ručním dohledáním a dořešením identifikovaných výjimek. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 70 5.8 Monitorování kontrol Odstavec č. Citace příslušných ustanovení ISA 315.22 Auditor je povinen se seznámit s hlavními postupy, které účetní jednotka používá k monitorování vnitřního kontrolního systému v oblasti účetního výkaznictví, včetně postupů, které se týkají kontrolních činností relevantních pro audit, a s tím, jakým způsobem účetní jednotka dává podnět k nápravě nedostatků v oblasti kontrol. (viz odstavce A98–A100) 315.24 Auditor je povinen se seznámit se zdroji informací, které jsou používány při monitorovacích postupech účetní jednotky, a zjistit, na základě čeho vedení účetní jednotky zjišťuje, zda jsou informace pro daný účel dostatečně spolehlivé. (viz odstavec A104) Monitorování kontrol Monitorování kontrol je proces zaměřený na vyhodnocení účinnosti vnitřního kontrolního systému v čase. Jeho cílem je ujistit se, zda kontroly správně fungují, a pokud tomu tak není, přijmout nezbytná nápravná opatření. Prostřednictvím monitorování kontrol dostává vedení zpětnou vazbu o tom, zda systém vnitřní kontroly, který vedení navrhlo s cílem snížit rizika: • Účinně naplňuje stanovené kontrolní cíle; • Byl správně implementován a je zaměstnanci správně chápán; • Je běžně používán a dodržován; • Potřebuje upravit nebo zkvalitnit, aby odrážel změny podmínek. Vedení monitoruje kontroly jednak průběžně a jednak prostřednictvím jednorázových hodnocení, případně oba postupy kombinuje. U menších účetních jednotek má průběžná monitorovací činnost neformální charakter a je obvykle součástí běžných aktivit, které účetní jednotka provádí opakovaně. Patří k ní pravidelná řídicí a dozorčí činnost a přezkoumání soupisu výjimek, které generuje informační systém. Pokud se vedení bezprostředně podílí na provozní činnosti účetní jednotky, obvykle identifikuje významné odchylky od původních předpokladů, nebo nesprávná finanční data a přijme v oblasti kontroly příslušná nápravná opatření. Pravidelné monitorování kontrol (tj. separátní posouzení určitých konkrétních oblastí účetní jednotky, jaké v podstatně větší společnosti provádí např. interní audit) není u menších účetních jednotek běžné. Nicméně u důležitých procesů mohou pravidelné posouzení provádět kvalifikovaní zaměstnanci, kteří se těchto procesů přímo neúčastní, nebo najatí externisté s vhodnou kvalifikací. Vedení může při své monitorovací činnosti využívat rovněž informace získané od externích subjektů, které svědčí o existujících problémech nebo upozorňují na oblasti vyžadující zlepšení. Může se jednat o: • Stížnosti zákazníků; • Připomínky správních a jiných orgánů, např. poskytovatelů licence, finančních institucí nebo regulačních orgánů; • Informace o vnitřním kontrolním systému od externích auditorů nebo konzultantů. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 71 Zdroje informací používaných pro monitorování kontrol Velká část informací používaných pro účely monitorování kontrol obvykle pochází z informačního systému účetní jednotky. Vedení bude mít patrně sklon předpokládat, že informace tímto systémem generované jsou správné. Pokud tomu tak není, hrozí riziko, že vedení na základě takovýchto informací dojde k nesprávným závěrům, a v důsledku toho přijme chybná rozhodnutí. Auditor se tudíž v souvislosti s posuzováním toho, jakým způsobem účetní jednotka monitoruje vnitřní kontroly, musí seznámit s tím: • jaké jsou zdroje informací používaných účetní jednotkou při monitorovacích činnostech; • na základě čeho vedení účetní jednotky považuje tyto informace za dostatečně spolehlivé pro daný účel. 5.9 Seznámení s vnitřními kontrolami relevantními pro audit Následující tabulka shrnuje jednotlivé kroky, jejichž prostřednictvím se auditor seznamuje s vnitřními kontrolami relevantními pro audit. Schéma 5.9-1 Co je nutné zjistit Specifikace Která konkrétní rizika významné (materiální) nesprávnosti je třeba snížit Potenciální rizika významné (materiální) nesprávnosti (týkající se významných skupin transakcí, zůstatků účtů nebo zveřejněných údajů), která existují na úrovni jednotlivých tvrzení, např.: • Rizika související s běžně prováděnými transakcemi; • Rizika podvodu (např. potlačování kontrol vedením nebo zpronevěra majetku); • Rizika související se zveřejněnými údaji (neúplné nebo chybějící informace); • Významná rizika; • Rizika související s nerutinními událostmi (jako je implementace nového účetního systému); • Rizika související s úsudkem (odhady ocenění atd.). Jakým způsobem vedení reaguje na zjištěná rizika významné (materiální) nesprávnosti Konkrétní kontrolní činnosti (manuální nebo aplikační kontroly), které (jednotlivě nebo v kombinaci s ostatními kontrolními činnostmi) předcházejí významným (materiálním) chybám či podvodům nebo je odhalují a opravují. Auditor nemusí v rámci tohoto kroku poznat veškeré kontrolní činnosti, které účetní jednotka realizuje. Jestliže např. pro pokrytí určitého konkrétního rizika zavedla 15 vnitřních kontrol a auditor již u prvních tří, s nimiž se seznámí, konstatuje, že související riziko snižují dostatečně, zbývajících 12 už zjišťovat a dokumentovat nemusí. Zda byly zjištěny nějaké významné nedostatky ve vnitřní kontrole Jestliže vedení nesnížilo nějaké riziko výskytu významné (materiální) nesprávnosti v účetní závěrce, bude to patrně představovat významný nedostatek. Zjištěné nedostatky auditor oznámí vedení a navrhne vhodné auditorské postupy, jimiž na ně bude reagovat. Zda byly zavedeny relevantní kontroly V rámci tohoto kroku auditor provádí postupy (vedle dotazování pracovníků účetní jednotky), jejichž cílem je zjistit, zda identifikované kontroly skutečně existují a zda je účetní jednotka používá. Tento postup auditor provede k určitému okamžiku, např. tak, že v systému sleduje během jednoho konkrétního dne určitou transakci. Nejedná se ale o test provozní účinnosti kontrol, protože ten posuzuje, zda nějaká kontrola fungovala během období, které je předmětem auditu. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 72 5.10 Manuální versus automatizované kontroly Vnitřní kontrolní systém většiny účetních jednotek je založen na kombinaci manuálních a automatizovaných kontrol. V následující tabulce shrnujeme rizika a výhody obou typů kontrol. Schéma 5.10-1 Výhody Manuální kontroly Automatizované kontroly • Používají se ke sledování účinnosti automatizovaných kontrol. • Hodí se v případech, kdy je u rozsáhlých, neobvyklých nebo jednorázových transakcí nutné použít úsudek nebo vlastní názor. • Jsou přínosem v případech, kdy je obtížné rozpoznat nebo předpokládat chybu. • Používají se při změně podmínek, když je potřeba zavést kontrolu nad rámec stávající automatizované kontroly. • Zajišťují konzistentní aplikaci předem stanovených podnikových zásad a provádění složitých výpočtů při zpracování velkých objemů transakcí nebo dat. • Informace jsou k dispozici dříve, jsou snadněji dostupné a přesnější. • Provádění doplňujících analýz je snadnější. • Účetní jednotka je lépe schopna sledovat výsledky své činnosti a kontrolovat uplatňování zásad a postupů. • Snižují riziko obcházení vnitřní kontroly. • Zavedení bezpečnostních kontrol v aplikacích, databázích a operačních systémech přispívá k zajištění efektivního oddělení pravomocí. Rizika Manuální kontroly Automatizované kontroly • Kvůli lidskému faktoru jsou méně spolehlivé než automatizované kontroly. • Lze je snadněji obejít, ignorovat nebo potlačit. • Jsou náchylnější k jednoduchým chybám. • Nelze předpokládat jejich konzistentní uplatňování. • Jsou méně vhodné u velkého objemu transakcí nebo u opakovaných transakcí, u nichž jsou efektivnější automatizované kontroly. • Jsou méně vhodné u kontrolních činností, u nichž lze provádění kontroly přiměřeně navrhnout a zautomatizovat. • Účetní jednotka se může spoléhat na systémy nebo programy, které zpracovávají data nesprávně, zpracovávají nesprávná data, případně obojí. • V případě neoprávněného přístupu k datům hrozí jejich zničení nebo neautorizované změny, mimo jiné zaúčtování neschválených nebo neexistujících transakcí nebo nesprávné zaúčtování transakcí (riziko vzniká zvláště, když společnou databázi používá několik uživatelů). • Pracovníci IT mohou získat širší přístupová práva, než jaká potřebují k plnění svých povinností, čímž poruší princip oddělení pravomocí. • Neoprávněné změny dat ve zdrojových souborech. • Neoprávněné změny systémů nebo programů. • Neprovedení nutných změn systémů nebo programů. • Nevhodné manuální zásahy. • Potenciální ztráta dat nebo nemožnost přístupu k datům. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 73 PRAKTICKÁ POZNÁMKA Pokud účetní jednotka používá manuální i automatizované kontroly, musíte si vždy zjistit, kdo za fungování jednotlivých kontrol zodpovídá. Vezměme si například vedoucího skladu, který je zodpovědný za dodávku zboží. Tento vedoucí manuálně zadává údaje do příslušného systému. Systém obsahuje aplikační kontrolu, která dodávku zboží páruje s původní objednávkou. Jestliže se při párování dodávky zboží s objednávkou objeví nějaké problémy, má jejich řešení na starosti vedoucí skladu, oddělení IT, nebo účetní oddělení? Pokud nebude mít celý proces na starosti jediná osoba, budou se různá oddělení nepochybně vzájemně obviňovat, kdo chybu způsobil. Jestliže odpovědnost nebyla konkrétně přidělena, zvažte: • Jaká je pravděpodobnost a velikost potenciální nesprávnosti, která by se v důsledku toho mohla v účetní závěrce vyskytnout; • Jakými auditorskými postupy bude vhodné na to reagovat; • Zda by o této záležitosti mělo být informováno vedení. 5.11 Zásadní (pervazivní) kontroly Odstavec č. Citace příslušných ustanovení ISA 315.14 (b) Auditor je povinen… zhodnotit: (b) zda společný efekt jednotlivých částí kontrolního prostředí je dostatečným základem pro ostatní složky vnitřního kontrolního systému a zda tyto ostatní složky nejsou oslabeny nedostatky v kontrolním prostředí. (viz odstavce A69–A78) V předchozích částech této kapitoly jsme jednotlivě probrali všech pět složek vnitřního kontrolního systému. Některé z těchto kontrol jsou zásadního (pervazivního) charakteru a výskytu nesprávnosti v účetní závěrce předcházejí jen nepřímo, resp. jen nepřímo takovou nesprávnost odhalují a opravují. Jiné kontroly se naopak týkají konkrétních transakčních rizik (souvisejících např. s vedením mzdové agendy, prodejem a nákupem) a jsou navrženy přímo s cílem předcházet konkrétním nesprávnostem, resp. následně je odhalovat a opravovat. Následující schéma znázorňuje interakci mezi těmito dvěma úrovněmi kontrol v různých fázích, od spuštění a zpracování transakce (úroveň jednotlivé transakce) přes účetní záznamy (úroveň účetní jednotky) až po účetní závěrku. Všimněte si, že minimálně tři z pěti složek vnitřního kontrolního systému se skládají primárně ze zásadních (pervazivních) kontrol. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 74 Schéma 5.11-1 Celopodnikové kontroly Obecné počítačové kontroly Transakční kontroly Zahrnuje rovněž kontroly v následujících oblastech: Podvody (potlačování vnitřních kontrol vedením) Centralizované zpracování Sestavení řádné účetní závěrky Významné účty a údaje v účetní závěrce Transakce Aplikační kontroly v informačních technologiích Zásadní(pervazivní) kontroly Specifické kontroly Celopodnikové kontroly Obecné počítačové kontrolyOb é čít č é k t l Kontrolní prostředí Vyhodnocení rizik Informační systém Kontrolní činnosti M onitorování kontrol Pozn.: 1. Výše uvedené schéma má obecný charakter. V některých případech mohou být i zásadní (pervazivní) kontroly navrženy tak, aby bránily výskytu konkrétních nesprávností na úrovni podnikových procesů, resp. aby je následně odhalily. Vedení například může používat podrobný rozpočet, schválený osobami pověřenými správou a řízením, pro identifikaci neoprávněných administrativních výdajů. Naopak některé kontrolní činnosti a informační systémy se mohou týkat činností realizovaných na celopodnikové úrovni. 2. Celopodnikové kontroly (např. dodržování nezbytné kvalifikace) jsou sice ve srovnání s kontrolami na úrovni podnikových procesů (jako např. párování přijatého zboží s objednávkami) méně hmatatelné, ale pro prevenci a detekci podvodů a chyb jsou stejně důležité. 3. Proces sestavení účetní závěrky zahrnuje postupy, jejichž cílem je: • Zaúčtovat celkové zůstatky do hlavní knihy; • Zvolit a uplatnit účetní pravidla; • Iniciovat, schválit, provést a zpracovat účetní zápisy v hlavní knize; • Provést opakující se i neopakující se úpravy účetních výkazů; • Sestavit účetní závěrku včetně přílohy. 4. Obecné počítačové kontroly jsou obdobou celopodnikových kontrol, zaměřují se ale na to, jak účetní jednotka řídí fungování informačních technologií (např. na organizaci, personální zajištění nebo integritu dat). 5. Aplikační kontroly v informačních technologiích jsou obdobou transakčních kontrol. Zaměřují se na to, jakým způsobem jsou na úrovni podnikových procesů zpracovány konkrétní transakce. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 75 Zásadní (pervazivní) kontroly jsou základem, na němž jsou vystavěny konkrétní transakční kontroly. Vytvářejí v účetní jednotce celkovou etickou atmosféru („tone at the top“) a vymezují, co lze od kontrolního prostředí účetní jednotky obecně očekávat. Špatně navržené zásadní (pervazivní) kontroly přispívají k výskytu nejrůznějších druhů chyb a podvodů. Účetní jednotka může mít například detailně kontrolovaný a efektivní proces prodeje. Pokud má však vrcholové vedení ke kontrolám nesprávný přístup a může kontroly snadno potlačit, mohla by se v účetní závěrce přesto vyskytnout významná (materiální) chyba. Potlačování vnitřních kontrol vedením a neetické atmosféra („tone at the top“) patří mezi prohřešky, s nimiž se v praxi často setkáváme. Mezi zásadní (pervazivní) kontroly patří také monitorovací kontroly, které vyhodnocují, zda skutečná etická atmosféra („tone at the top“) v účetní jednotce odpovídá tomu, co bylo zamýšleno, a do jaké míry jsou naplňována očekávání v oblasti kontroly. Zásadní (pervazivní) kontroly (někdy též označované výrazem celopodnikové kontroly) mimo jiné zahrnují: • Kontroly, jejichž předmětem je kontrolní prostředí; • Kontroly zaměřující se na potlačování vnitřních kontrol vedením; • Proces vyhodnocení rizik účetní jednotkou; • Kontroly sledující provozní výsledky a jiné kontroly; • Kontroly, jejichž předmětem je proces sestavení účetní závěrky; • Zásady týkající se významných postupů v oblasti podnikových kontrol a řízení rizik. Menší účetní jednotky U menších účetních jednotek je nedostatek detailních kontrol na úrovni podnikových procesů (kvůli omezenému počtu pracovníků a omezeným zdrojům) často kompenzován větším zapojením vedení (např. vlastníka-manažera) do provádění kontrol. Některé zásadní (pervazivní) kontroly jsou u menších účetních jednotek natolik detailní, že mohou fakticky předcházet konkrétním nesprávnostem, případně je odhalovat. Avšak větším zapojením vrcholového managementu se současně zvyšuje riziko potlačování vnitřních kontrol. Toto riziko lze pokrýt provedením dalších auditorských postupů nebo návrhem vhodných kontrol k zamezení podvodu. (viz níže kapitola 5.12 prvního dílu) Nedostatky v zásadních (pervazivních) kontrolách Fakt, že zásadní (pervazivní) kontroly vykazují slabiny, sice nemusí nutně znamenat nedostatek ve vnitřním kontrolním systému ani chyby v účetní závěrce, nicméně má významný vliv na pravděpodobnost výskytu nesprávnosti na úrovni kontrol podnikových procesů. Jestliže účetní jednotka nemá kvalitní zásadní (pervazivní) kontroly, může to vážným způsobem ohrozit i kontroly ostatních podnikových procesů. Proto je o nedostatcích zjištěných u těchto kontrol nutné informovat vedení a osoby pověřené správou a řízením. 5.12 Kontroly k zamezení podvodu V posledních několika letech se objevuje nový typ vnitřních kontrol, které jsou označovány jako „protipodvodové“ kontroly. Na drtivé většině velkých podvodů se obvykle podílí vrcholové vedení, proto se zavedení účinných programů a kontrol zaměřujících se na boj proti podvodům považuje ve větších účetních jednotkách za prospěšnou součást jejich kontrolního prostředí. Kontroly k zamezení podvodu lze přirovnat ke zpomalovacím prahům na vozovce, jejichž úkolem je dopravu zpomalit, ne ji úplně zastavit. Rovněž tyto kontroly by měly mít odstrašující účinek, ale neetickému jednání nemohou zcela zabránit. Kontroly k zamezení podvodu jsou důležité především pro větší účetní jednotky, nicméně svou funkci mohou plnit i v menších účetních jednotkách. Možná se jim nepodaří podvodům zcela zabránit, ale mohou od nich pachatele účinně odradit, protože ho nutí zamyslet se nad možnými následky jeho činu. Příručka k uplatňování mezinárodních auditorských standardů při auditu malých a středních účetních jednotek - První díl – Základní koncepty 76 Kontroly k zamezení podvodu se mohou zaměřovat na každou z pěti složek vnitřního kontrolního systému. Nicméně z hlediska rizik výskytu významné nesprávnosti v účetní závěrce se klade zvláštní důraz na etickou atmosféru, kterou v účetní jednotce vytváří vedení („tone at the top“). To zahrnuje i jeho postoje k vnitřní kontrole a jeho jednání a tvoří to součást kontrolního prostředí (viz výše kapitola 5.3 prvního dílu), které ovlivňuje povědomí všech pracovníků o vnitřní kontrole. Kvalitní etická atmosféra („tone at the top“) je zdaleka nejúčinnější protipodvodovou kontrolou. Níže uvádíme dva příklady protipodvodových kontrol relevantní pro menší účetní jednotky: • Účetní zápisy Manažeři často používají k páchání podvodů nerutinní účetní zápisy. Jako jednoduchá kontrola k zamezení podvodu, kterou lze zavést v účetní jednotce jakékoli velikosti, proto může sloužit interní zásada, že nerutinní účetní zápisy (přesahující stanovený limit) musí být vysvětleny a podepsány manažerem (na důkaz jeho souhlasu). Tato zásada dává totiž účetnímu právo vždy si od manažera (požadujícího provedení takového zápisu) vyžádat vysvětlení a souhlas. Fakt, že bude muset podpisem doložit svůj souhlas a podat vysvětlení, by mohl sám o sobě stačit k tomu, aby manažera od takové žádosti odradil. Pokud se tak nestane a manažer provedení takového zápisu přesto nařídí, auditor si patrně neschváleného zápisu všimne a bude zjišťovat, proč se tak stalo. To by mohlo vést k dalšímu šetření. • Oddělení pravomocí V menších účetních jednotkách má účetní často velkou důvěru a je pod minimálním dohledem, takže má k páchání podvodů hodně příležitosti. Kontrola k zamezení podvodu (nicméně poněkud nákladná) může vypadat tak, že účetní jednotka najme na částečný úvazek další osobu, která převezme práci účetního alespoň na jeden týden v roce, například když je účetní na dovolené nebo vykonává jinou práci. Tento postup by účetního mohl od páchání podvodů zcela odradit, a pokud je podvod již páchán, mohlo by to přispět k jeho odhalení.