Platné od ledna 2011

MEZINÁRODNÍ RÁMEC PROFESNÍ PRAXE INTERNÍHO AUDITU

INTERNATIONAL PROFESSIONALPRACTICES FRAMEWORK (IPPF)

2

e Institute of Internal Auditors, Inc. (Institut interních au-ditorů) je mezinárodní asociací, která se věnuje neustálému profesnímu rozvoji jednotlivých auditorů a profese interního auditu.

Copyright © 2011 by #e Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All rights reserved. “Permission has been obtained from the copyright holder, #e In-stitute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., to publish this translation, which is the same in all material respects, as the original unless approved as changed. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwi-se, without prior written permission of IIA, Inc.”

Veškerá práva vyhrazena. V České republice vydal Český in-stitut interních auditorů, Institut IIA. V souladu se zákonem o autorských právech nesmí být žádná část této publikace repro-dukována, uložena ve vyhledávacích systémech nebo přenášena elektronicky, mechanicky, v podobě fotokopií nebo jinak bez předchozího souhlasu vydavatele.

K získání povolení k překladu, změnám nebo reprodukci jaké-koli části amerického originálu kontaktujte:

e Institute of Internal Auditors, Inc.249 Maitland Avenue

Altamonte Springs, Florida 32701-4201, USAPhone: +1 407 830-7600, ext. 256

K získání povolení k překladu, změnám nebo reprodukci jaké-koli části českého překladu kontaktujte:

Český institut interních auditorů, o.s.Karlovo náměstí 3, 120 00 Praha 2

Tel.: 224 920 332Fax: 224 919 361

Překlad: Jana Báčová, Antonín Šenfeld, Jan Žižka – ITC, Pavel Caska, Petra Sokolová Odborná jazyková korektura: Jana Báčová, Antonín Šenfeld Vydavatel: Český institut interních auditorů, o. s.Vydání 6. české: leden 2011Sazba: Typokabi.netTisk: Reproservis s. r. o.

ISBN 80-86284-10-7 (1. vydání – MJF Praha)ISBN 80-86689-05-0 (2. vydání – ČIIA Praha)ISBN 80-86689-25-5 (3. vydání – ČIIA Praha)ISBN 80-86689-39-5 (4. vydání – ČIIA Praha)ISBN 80-86689-42-5 (5. vydání – ČIIA Praha)

ISBN 80-86689-46-8 Mezinárodní Rámec profesní praxe interního auditu Báčová, Šenfeld, leden 2011

© Český institut interních auditorů, o. s., 2011

3

Vážení čtenáři,

dnem 1. ledna 2011 vstoupila v účinnost novela Mezi-národních standardů pro profesní praxi interního auditu (dále též „Standardy“). Jak deklaruje vydavatel - Meziná-rodní institut interních auditorů (dále též „IIA“) - Stan-dardy musí být aktuální a reagovat jak na vývoj v právním prostředí a v dalších relevantních oblastech, tak odpovídat vývoji v samotné profesi interního auditu. Proto se IIA zavázal, že bude revidovat Standardy minimálně každé 3 roky. Současná změna se týká pouze Standardů a přichá-zí dva roky poté, co byla provedena poměrně významná změna v celkové struktuře Mezinárodního rámce profesní praxe interního auditu (dále jen „Rámec“).

Tentokrát není změna Standardů nijak rozsáhlá. Bylo provedeno cca 25 změn, které spočívají zejména v úpra-vách současného textu standardů, interpretací a poj-mů ve výkladovém slovníčku. Zcela nové jsou pouze 3 standardy (2010.A2, 2070, 2450), 15 standardů bylo pozměněno, 2 standardy byly zrušeny a doplněno bylo 5 nových interpretací (ke standardům 1110, 1321, 2070, 2410.A1, 2450).

Jako podstatné hodnotí IIA především změny ve dvou ob-lastech: ve vymezení odpovědností při poskytování služeb interního auditu externími dodavateli a při vyjadřování závěrů a celkového názoru interního auditu k auditované oblasti. Je důležité, aby si společnost uvědomila, že i když služby interního auditu poskytuje externí dodavatel, ko-nečnou odpovědnost za existenci účinného a efektivního interního auditu má vždy samotná společnost.

Nový standard týkající se uvádění celkového názoru ve zprávě interního auditu stanoví, co musí takový názor zohlednit. Je třeba, aby závěry interního auditu byly trans-parentní a jednoznačné, a to zejména z hlediska časového období a rozsahu auditu, ke kterému se názor vztahuje a současně byly závěry podloženy dostatečnými, spolehli-vými, relevantními a účelnými informacemi.

Další větší změny standardů se týkají vymezení organizač-ní nezávislosti interního auditu a definice statutu interní-ho auditu, zohledňování očekávání vedení, orgánů společ-nosti a ostatních zainteresovaných subjektů (stakeholders) při plánování a předávání výsledků interního auditu a pro-kazování odborné způsobilosti externích hodnotitelů kva-lity interního auditu.

Český institut interních auditorů opětovně vydává Stan-dardy dvojjazyčně. K rychlé orientaci ve změnách slou-ží celkový přehled změn uvedený v textu „Co je nového ve Standardech od ledna 2011“. Z tohoto přehledu je pa-trné, že od r. 2009 bylo též vydáno 14 nových Doporučení pro praxi, jedno Doporučení bylo změněno a dále bylo vydáno 12 nových Praktických pomůcek.

Standardy se zvýrazněnými změnami platnými od r. 2011 a ostatní součásti Rámce, tj. Doporučení pro praxi, Prak-tické pomůcky a Stanoviska (včetně seznamu všech dopo-sud vydaných součástí Rámce), naleznete na přiloženém CD. Doporučení pro praxi jsou opět vydávána jak v čes-kém, tak i v anglickém jazyce, Praktické pomůcky a Sta-noviska pouze v angličtině. Překladem do českého jazyka se Český institut interních auditorů snaží zpřístupnit co nejširšímu okruhu uživatelů zejména povinné a silně do-poručované součásti Rámce.

Doufáme, že novelizované vydání Rámce bude účelnou a praktickou pomůckou pro všechny interní auditory i ostatní zainteresované osoby či profese.

Ing. Jana Báčová, CIA

4

CONTENT

Preface 12

Definition of Internal Auditing 26

Code of Ethics 30Introduction 30Applicability and Enforcement 30Principles 30Rules of Conduct 32

International Standards for the Professional Practice of Internal Auditing 34Introduction 36Attribute Standards 401000 – Purpose, Authority, and Responsibility 401010 – Recognition of the Definition of Internal Auditing, the Code of Ethics, and the Standards in the Internal Audit Charter 401100 – Independence and Objectivity 401110 – Organizational Independence 401111 – Direct Interaction With the Board 421120 – Individual Objectivity 421130 – Impairment to Independence or Objectivity 421200 – Proficiency and Due Professional Care 441210 – Proficiency 441220 – Due Professional Care 441230 – Continuing Professional Development 461300 – Quality Assurance and Improvement Program 461310 – Requirements of the quality assurance and improvement program 461311 – Internal Assessments 461312 – External Assessments 461320 – Reporting on the quality assurance and improvement program 481321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” 481322 – Disclosure of Nonconformance 48

Performance Standards 502000 – Managing the Internal Audit Activity 502010 – Planning 502020 – Communication and Approval 502030 – Resource Management 502040 – Policies and Procedures 502050 – Coordination 522060 – Reporting to Senior Management and the Board 522070 – External Service Provider and Organizational Responsibility for Internal Auditing 522100 – Nature of Work 52

5

OBSAH

Předmluva 13

Definice interního auditu 27

Etický kodex 31Úvod 31Uplatnitelnost a vymahatelnost 31Základní zásady 31Pravidla jednání 33

Mezinárodní standardy pro profesní praxi interního auditu 35Úvod ke Standardům 37Základní standardy 411000 – Účel, pravomoci a odpovědnosti 411010 – Přijetí Definice interního auditu, Etického kodexu a Standardů ve statutu interního auditu 411100 – Nezávislost a objektivita 411110 – Organizační nezávislost 411111 – Přímá vzájemná součinnost s orgány společnosti 431120 – Objektivita jednotlivce 43 1130 – Narušení nezávislosti nebo objektivity 431200 – Odbornost a náležitá profesní péče 451210 – Odbornost 451220 – Náležitá profesní péče 451230 – Průběžný profesní rozvoj 471300 – Program pro zabezpečení a zvyšování kvality interního auditu 471310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality 471311 – Interní hodnocení 471312 – Externí hodnocení 471320 – Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního auditu 491321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 491322 – Informování týkající se nesouladu 49Standardy pro výkon interního auditu 512000 – Řízení interního auditu 512010 – Plánování 512020 – Komunikace a schvalování 512030 – Řízení zdrojů 512040 – Zásady a postupy 512050 – Koordinace 532060 – Předávání zpráv vedení a orgánům společnosti 532070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu 532100 – Charakter práce 53

6

2110 – Governance 522120 – Risk Management 542130 – Control 542200 – Engagement Planning 562201 – Planning Considerations 562210 – Engagement Objectives 562220 – Engagement Scope 562230 – Engagement Resource Allocation 582240 – Engagement Work Program 582300 – Performing the Engagement 582310 – Identifying Information 582320 – Analysis and Evaluation 582330 – Documenting Information 582340 – Engagement Supervision 602400 – Communicating Results 602410 – Criteria for Communicating 602420 – Quality of Communications 602421 – Errors and Omissions 622430 – Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing” 622431 – Engagement Disclosure of Nonconformance 622440 – Disseminating Results 622450 – Overall Opinions 642500 – Monitoring Progress 642600 – Resolution of Senior Management’s Acceptance of Risks 64Glossary 66

Only on CD:

Practice Advisory:

1000−1: Internal Audit Charter 761110−1: Organizational Independence 781111−1: Board Interaction 801120−1: Individual Objectivity 801130−1: Impairments to Independence or Objectivity 821130.A1−1: Assessing Operations for Which Internal Auditors Were Previously Responsible 841130.A2−1: Internal Audit’s Responsibility for Other (Non-audit) Functions 861200-1: Proficiency and Due Professional Care 881210−1: Proficiency 901210.A1−1: Obtaining External Service Providers to Support or Complement the Internal Audit Activity 921220−1: Due Professional Care 981230−1: Continuing Professional Development 1001300−1: Quality Assurance and Improvement Program 1001310−1: Requirements of the Quality Assurance and Improvement Program 1041311−1: Internal Assessments 1061312−1: External Assessments 108

7

2110 – Řízení a správa společnosti 532120 – Řízení rizik 552130 – Řízení a kontrola 552200 – Plánování zakázky 572201 – Přístup k plánování 572210 – Cíle zakázky 572220 – Rozsah zakázky 572230 – Rozvržení zdrojů v rámci zakázky 592240 – Pracovní program zakázky 592300 – Realizace zakázky 592310 – Identifikace informací 592320 – Analýza a hodnocení 592330 – Dokumentace informací 592340 – Dohled (supervize) nad prováděním zakázky 612400 – Předávání výsledků 612410 – Kritéria komunikace 612420 – Kvalita zpráv 612421 – Chyby a opomenutí 632430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 632431 – Poskytnutí informací v případě nesouladu 632440 – Distribuce výsledků 632450 – Celkové názory 652500 – Monitorování 652600 – Rozhodnutí o přijetí rizika vedením společnosti 65Výklad pojmů 67

Pouze na CD:

Doporučení pro praxi:

1000−1: Statut interního auditu 771110−1: Organizační nezávislost 791111−1: Součinnost s orgány společnosti 811120−1: Objektivita jednotlivce 811130−1: Narušení nezávislosti nebo objektivity 831130.A1−1: Posuzování operací, za které byli interní auditoři dříve odpovědni 851130.A2−1: Odpovědnosti interního auditu za jiné (neauditorské) činnosti 871200−1: Odbornost a náležitá profesní péče 891210−1: Odbornost 911210.A1−1: Využití externích poskytovatelů služeb pro podporu nebo doplnění činností interního auditu 931220−1: Náležitá profesní péče 991230−1: Průběžný profesní rozvoj 1011300−1: Program pro zabezpečení a zvyšování kvality 1011310−1: Požadavky kladené na Program pro zabezpečení a zvyšování kvality 1051311−1: Interní hodnocení 1071312−1: Externí hodnocení 109

8

1312–2 External Assessments: Self-assessment with Independent Validation 1141321−1: Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing” 1182010−1: Linking the Audit Plan to Risk and Exposures 1202010−2: Using the Risk Management Process in Internal Audit Planning 1222020−1: Communication and Approval 1302030-1: Resource Management 1302040−1: Policies and Procedures 1342050−1: Coordination 1342050−2: Assurance Maps 1382050−3: Relying on the Work of Other Assurance Providers 1442060−1: Reporting to Senior Management and the Board 1482110–1: Governance: Definition 152 2110−2: Governance: Relationship With Risk and Control 1562110−3: Governance: Assessments 1582120−1: Assessing the Adequacy of Risk Management Processes 1602120−2: Managing the Risk of the Internal Audit Activity 1662130−1: Assessing the Adequacy of Control Processes 1742130.A1−1: Information Reliability and Integrity 1782130.A1−2: Evaluating an Organization’s Privacy Framework 1802200−1: Engagement Planning 1822200−2: Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement 184

2210−1: Engagement Objectives 1882210.A1−1: Risk Assessment in Engagement Planning 1882230−1: Engagement Resource Allocation 1902240−1: Engagement Work Program 1922300−1: Use of Personal Information in Conducting Engagements 1922320−1: Analytical Procedures 1942330−1: Documenting Information 1982330.A1−1: Control of Engagement Records 2002330.A1−2: Granting Access to Engagement Records 2022330.A2−1: Retention of Records 2042340−1: Engagement Supervision 2062400−1: Legal Considerations in Communicating Results 2082410−1: Communication Criteria 2122420−1: Quality of Communications 2162440−1: Disseminating Results 2182440–2: Communicating Sensitive Information Within and Outside the Chain of Command 2202440.A2–1: Communications Outside the Organization 2262500−1: Monitoring Progress 2282500.A1−1: Follow-up Process 230

9

1312−2: Externí hodnocení: Sebehodnocení s nezávislým potvrzením/validací 1151321−1: Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“ 1192010–1: Spojení plánu auditů s riziky a mírou rizik, jimž je společnost vystavena 1212010−2: Využití procesu řízení rizik při plánování interního auditu 1232020−1: Komunikace a schvalování 1312030−1: Řízení zdrojů 1312040−1: Zásady a postupy 1352050−1: Koordinace 1352050−2: Mapy ujišťovacích činností 1392050−3: Spolehnutí se na práci ostatních dodavatelů ujištění 1452060−1: Předávání zpráv vedení a orgánům společnosti 1492110–1: Řízení a správa společnosti: Definice 1532110–2: Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou 1572110–3: Řízení a správa společnosti: Hodnocení 1592120–1: Hodnocení přiměřenosti procesu řízení rizik 1612120–2: Řízení rizik interního auditu 1672130−1: Hodnocení přiměřenosti řídicích a kontrolních procesů 1752130.A1−1: Spolehlivost a integrita informací 1792130.A1−2: Hodnocení systému ochrany důvěrných/osobních informací v rámci organizace 1812200–1: Plánování zakázky 1832200–2: Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních

a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu 1852210–1: Cíle zakázky 1892210.A1–1: Ohodnocení rizik při plánování zakázky 1912230–1: Rozvržení zdrojů v rámci zakázky 1912240–1: Pracovní program zakázky 1932300–1: Využívání osobních informací při provádění zakázek 1932320–1: Analytické postupy 1952330–1: Dokumentace informací 1992330.A1–1: Řízení přístupu k záznamům pořízeným v rámci zakázky 2012330.A1–2: Poskytování přístupu k záznamům pořízeným v rámci zakázky 2032330.A2−1: Archivace záznamů 2052340−1: Dohled (supervize) nad prováděním zakázky 2072400−1: Právní aspekty při předávání výsledků 2092410−1: Kritéria komunikace 2132420−1: Kvalita zpráv 2172440−1: Distribuce výsledků 2192440–2: Předávání citlivých informací v rámci nebo vně hierarchie řízení 2212440.A2–1: Předávání informací vně společnosti 227 2500−1: Monitorování 2292500.A1−1: Proces následné kontroly 231

10

Position Papers

Ye Role of Internal Auditing in Enterprise-wide Risk Management (January 2009)Ye Role of Internal Auditing in Resourcing the Internal Audit Activity (January 2009)

Practice Guides

Assessing the Adequacy of Risk Management (December 2010)Auditing Executive Compensation and Benefits (April 2010)Auditing External Business Relationships (May 2010)CAEs – Appointment, Performance Evaluation and Termination (May 2010)Evaluating Corporate Social Responsibility/Sustainable Development (February 2010)Formulating and Expressing Internal Audit Opinions (March 2009)Internal Auditing and Fraud (December 2009)Measuring Internal Audit Effectiveness and Efficiency (December 2010)

Global Technology Audit Guides (GTAG®)GTAG 1 – Information Technology Controls (March 2005)GTAG 2 – Change and Patch Management Controls: Critical for Organizational Success (June 2005)GTAG 3 – Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment (October 2005) GTAG 4 – Management of IT Auditing (March 2006)GTAG 5 – Managing and Auditing Privacy Risks (June 2006) GTAG 6 – Managing and Auditing IT Vulnerabilities (October 2006) GTAG 7 – Information Technology Outsourcing (March 2007) GTAG 8 – Auditing Application Controls (July 2007) GTAG 9 – Identity and Access Management (November 2007)GTAG 10 – Business Continuity Management (July 2008) GTAG 11 – Developing the IT Audit Plan (July 2008) GTAG 12 – Auditing IT Projects (March 2009) GTAG 13 – Fraud Prevention and Detection in an Automated World (December 2009) GTAG 14 – Auditing User-developed Applications (June 2010) GTAG 15 – Information Security Governance (June 2010)

Guide to the Assessment of IT Risk (GAIT) Ye GAIT Methodology (August 2007) GAIT for IT General Control Deficiency Assessment (March 2008) GAIT for Business and IT Risk (GAIT-R) (March 2008) Case Studies Using GAIT-R to Scope PCI Compliance (September 2008)

11

12

PREFACE

Given the pace of change in our global profession, in 2006 the Board of Directors (Board) of Ye Institute of Inter-nal Auditors (IIA) established an international steering committee and task force to review the Professional Prac-tices Framework (PPF) and Ye IIA’s guidance structure along with the related processes. Ye task force’s efforts were focused on reviewing the scope of the framework and increasing the transparency and consistency of the guid-ance’s development, review, and issuance processes. Ye results culminated in a new International Professional Practices Framework (IPPF) and a reengineered Profes-sional Practices Council (PPC). Ye PPC coordinates the approval and issuance of IPPF guidance as stated in the council’s updated mission statement which was approved by the Board in June 2007.

In general, a framework provides a structural blueprint of how a body of knowledge and guidance fits together. As a coherent system, a framework facilitates consistent devel-opment, interpretation, and application of concepts, meth-odologies, and techniques useful to a discipline or profession. Specifically, the purpose of the IPPF is to organize Ye IIA’s authoritative guidance in a manner that is readily accessible on a timely basis while strengthening the positioning of Ye IIA as the standard setting body for the internal audit profes-sion globally. By encompassing current internal audit practice as well as allowing for future expansion, the IPPF is intended to assist practitioners and stakeholders throughout the world in being responsive to the expanding market for high quality internal audit services.

As the conceptual framework that organizes guidance pro-mulgated by Ye IIA, the IPPF’s scope has been narrowed to include only authoritative guidance developed by IIA international technical committees following appropriate due process. Authoritative guidance consists of two cat-egories:

Mandatory. Conformance is required and the guidance is developed following the appropriate due process, which includes public exposure. Conformance with the princi-ples set forth in mandatory guidance is essential for the professional practice of internal auditing.

Strongly Recommended. Conformance is strongly rec-ommended, and the guidance is endorsed by Ye IIA. It describes practices for the effective implementation of Ye IIA’s Code of Ethics and the International Standards for the Professional Practice of Internal Auditing (Standards).

Ye IPPF now comprises the following elements:

13

PŘEDMLUVA

V důsledku probíhajících rychlých změn v profesi interního auditu, představenstvo Institutu interních auditorů (dále též „IIA“ nebo „Institut“) ustanovilo v roce 2006 mezinárod-ní řídicí výbor a pracovní skupinu, jejímž cílem byla revize Rámce profesní praxe (PPF), struktury směrnic IIA a s nimi souvisejících postupů. Úsilí této pracovní skupiny bylo za-měřeno na revizi rozsahu rámce a na zvýšení transparentnos-ti a zlepšení vzájemné provázanosti postupů přípravy, revize a zveřejnění směrnic. Výsledkem tohoto úsilí bylo vydání no-vého Mezinárodního Rámce profesní praxe (IPPF; dále též „Rámec“) a podstatné změny ve struktuře Rady pro profesní praxi (PPC). Jak plyne z upraveného programového prohlá-šení této rady, schváleného představenstvem IIA v červnu 2007, úkolem PPC je koordinace procesu schvalování a zve-řejňování směrnic IPPF.

Z obecného hlediska, struktura Rámce podrobně ukazuje, na jakém souboru znalostí jsou jednotlivé směrnice zalo-ženy. Rámec, jako logicky provázaný systém, usnadňuje přípravu, interpretaci a aplikaci přístupů, metodik a po-stupů vhodných pro obor nebo profesi interního auditu. V rámci posílení role IIA jako globálního tvůrce standar-dů v oblasti profese interního auditu, je konkrétním cílem IPPF včasná příprava závazných směrnic a jejich dostup-nost. Díky tomu, že IPPF obsahuje současnou praxi in-terního auditu a zároveň je otevřen budoucím změnám, cílem IPPF je v globálním měřítku napomáhat odborní-kům a všem zainteresovaným stranám, aby byli vnímaví vůči rozvíjejícímu se trhu a poptávce po vysoce kvalitních službách interního auditu.

Rozsah IPPF, jenž představuje koncepční rámec pro za-třídění směrnic vytvořených IIA, byl zúžen tak, aby zahr-noval pouze závazné směrnice stanovené mezinárodními technickými výbory IIA. Další podmínkou pro zahrnutí směrnice do Rámce bylo, že musela být podrobena řádné-mu připomínkování. Závazné směrnice se skládají ze dvou kategorií:

Povinné směrnice: je vyžadován soulad s těmito směrni-cemi; tyto směrnice byly důkladně připraveny a následně podrobeny veřejnému připomínkovému řízení. Pro pro-fesní praxi interního auditu je nezbytný soulad s principy stanovenými v povinných směrnicích.

Důrazně doporučené směrnice: je důrazně doporučen soulad s těmito směrnicemi a tyto směrnice jsou podpo-rovány IIA. Popisují postupy účinného zavádění Definice interního auditu, Etického kodexu a Mezinárodních Stan-dardů pro profesní praxi interního auditu vydanými IIA (dále Standardů).

IPPF se skládá z následujících prvků:

14

Elements DefinitionDefinition Ye Definition of Internal Auditing

states the fundamental purpose, nature, and scope of internal auditing.

Code of Ethics Ye Code of Ethics states the principles and expectations governing behavior of individuals and organizations in the conduct of internal auditing. It describes the minimum requirements for conduct; and behavioral expectations rather than specific activities.

International Standards for the Professional Practice of Internal Auditing (-e Standards)

Ye Standards are principle-focused and provide a framework for performing and promoting internal auditing. Ye structure of the Standards includes Attribute, Performance, and Implementation Standards. Ye Standards are mandatory requirements consisting of: • Statements of basic requirements

for the professional practice of internal auditing and for evaluating the effectiveness of its performance, which are internationally applicable at organizational and individual levels.

• Interpretations, which clarify terms or concepts within the Statements.

It is necessary to consider both the Statements and their Interpretations to understand and apply the Standards correctly. Ye Standards employ terms that have been given specific meanings that are included in the Glossary.

Position Papers

Position Papers assist a wide range of interested parties, including those not in internal auditing profession, in understanding significant governance, risk or control issues and delineating related roles and responsibilities of internal auditing.

Practice Advisories

Practice Advisories address approach, methodology and considerations, but not detailed processes and procedures. Yey are guidance to assist internal auditors in applying the Code of Ethics and the Standards and to promote good practices. Yey include practices relating to: international, country, or industry specific issues; specific types of engagements; and legal or regulatory issues.

Practice Guides

Practice Guides are detailed guidance for conducting internal audit activities. Yey include detailed processes and procedures, such as tools and techniques, programs, and step-by-step approaches, including examples of deliverables.

Ye most significant changes in the new IPPF are:

• Process improvements. Enhancements to the various elements, increased transparency, and defined review cycles for all guidance. Ye review cycle for the IPPF has been determined to be three years. Although the guidance enunciated in the IPPF will not necessarily change every three years, Ye IIA is committed to en-suring that it is reviewed completely every three years and that changes are made if necessary.

15

Prvek DefiniceDefinice Definice interního auditu obsahuje

základní cíl, charakter a rozsah působnosti interního auditu.

Etický kodex Etický kodex obsahuje základní zásady a předpoklady chování jednotlivců nebo organizací při výkonu interního auditu. Popisuje minimální požadavky kladené na postoje a modely chování, nestanovuje však konkrétní požadované činnosti.

Mezinárodní Standardy pro profesní praxi interního auditu (Standardy)

Standardy jsou založeny na základních zásadách a poskytují rámec pro výkon interního auditu a jeho podporu. Struktura Standardů zahrnuje Základní standardy, Standardy pro výkon a Prováděcí standardy. Standardy jsou souborem závazných požadavků skládajících se ze:• Základních požadavků kladených

na profesní praxi interního auditu a na hodnocení účinnosti jeho výkonu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby.

• Interpretací, které vysvětlují pojmy nebo pojetí použité v jednotlivých požadavcích.

Pro správné pochopení a používání Standardů je nezbytné se řídit jak jednotlivými požadavky, tak i jejich interpretacemi. Standardy používají řadu pojmů, jimž byl přiřazen specifický význam, který je uveden ve Výkladu pojmů.

Stanoviska (Position Papers)

Stanoviska napomáhají širokému okruhu zainteresovaných stran, včetně stran mimo profesi interního auditu, při pochopení důležitých záležitostí týkajících se řízení a správy společnosti, rizik a kontrolního a řídicího systému. Dále napomáhají vymezení souvisejících rolí a odpovědností interního auditu.

Doporučení pro praxi (Practice Advisories)

Doporučení pro praxi obsahují přístupy, metodiky a úvahy, nikoli však podrobné procesy a postupy. Jsou vodítkem, které by mělo napomáhat interním auditorům při aplikaci Etického kodexu a Standardů a při prosazování správných postupů. Zahrnují postupy týkající se oblastí problémů v mezinárodním, národním nebo odvětvovém měřítku, určitých typů zakázek a právních či regulatorních otázek.

Praktické pomůcky (Practice Guides)

Praktické pomůcky jsou podrobnými postupy určenými pro provádění činností interního auditu. Zahrnují podrobné procesy a postupy, jako např. nástroje a metody, plány a postupná řešení, včetně příkladů jejich výstupů.

Nejvýznamnějšími změnami v novém IPPF jsou:

• Zlepšení procesu – došlo ke zdokonalení několika prvků procesu, k dosažení vyšší transparentnosti a sta-novení frekvence revizí všech směrnic. Frekvence revizí IPPF byla stanovena na 3 roky. I když není nezbytné, aby se směrnice obsažené v IPPF měnily každé tři roky,

16

• Development and Practice Aids. Yis element is no longer included in the framework. It previously encom-passed all resources (e.g., training, publications, and re-search reports) that internal auditors might use in the course of their work. Because the scope of the new IPPF includes only authoritative guidance, as defined above, this category did not fit within the new framework.

• Interpretations. Yese have been added to the Stan-dards to provide further clarity to terms and phrases. Interpretations, where required, will immediately fol-low the associated Standard.

• Position Papers. Yis element has been added to the IPPF. Position Papers are IIA statements that assist a wide range of interested parties, including those not in the internal audit profession, to understand significant governance, risk, or control issues, and delineate the related roles and responsibilities of the internal audit profession.

• Practice Advisories. Yese have been narrowed in scope to include only the methodology and approach for implementing the Code of Ethics and the Standards. Current content that addresses tools or techniques has been moved into the Practice Guides element.

• Practice Guides. Yis element has been added to the IPPF. Practice Guides allow guidance to be issued at the tools and techniques level, and includes detailed processes and procedures, programs, and step-by-step approaches (e.g., examples of deliverables).

By definition, internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organiza-tion accomplish its objectives by bringing a systematic, dis-ciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

Yroughout the world, internal auditing is performed in diverse environments and within organizations that vary in purpose, size, and structure. In addition, the laws and customs within various countries differ from one another.

Yese differences may affect the practice of internal au-diting in each environment. Ye implementation of the IPPF, therefore, will be governed by the environment in which the internal audit activity carries out its assigned re-sponsibilities. No information contained within the IPPF should be construed in a manner that conflicts with appli-cable laws or regulations. If a situation arises where infor-mation contained within the IPPF may be in conflict with legislation or regulation, internal auditors are encouraged to contact Ye IIA or legal counsel for further guidance.

As indicated above, the IPPF contains two types of guid-ance.

1. Mandatory guidance includes:

• Ye Definition of Internal Auditing, • Ye Code of Ethics, and• Ye Standards

Ye mandatory nature of the Standards is emphasized by the use of the word “Must.” Ye Standards use the word “must” to specify an unconditional requirement. In some exceptional cases, the Standards use the terminol-ogy “Should.” Ye Standards use the word “should” where conformance is expected unless, when applying profes-sional judgment, circumstances justify deviation.

Conformance with the concepts enunciated in the manda-tory guidance is essential before the responsibilities of in-ternal auditors can be met. As stated in the Code of Eth-ics, internal auditors shall perform internal audit services in accordance with the Standards. Internal auditors refers to Institute members, recipients of or candidates for IIA pro-fessional certifications, and those who provide internal au-diting services within the Definition of Internal Auditing.

Mandatory guidance is intended to be applicable to both in-dividuals and entities that provide internal auditing services.

17

IIA zajistí, aby byly podrobeny celkové revizi a aby byly učiněny nezbytné změny.

• Rozvojové a praktické pomůcky (Development and Practice Aids) – tento prvek již nebyl do rámce zahr-nut. Původně obsahoval všechny zdroje (např. školení, publikace a výzkumné zprávy), využitelné interními auditory v průběhu jejich práce. Protože rozsah toho-to nového IPPF obsahuje pouze závazné směrnice, tato kategorie by byla v rozporu s obsahem nového Rámce.

• Interpretace – byly přidány do Standardů z důvodu vyšší srozumitelnosti pojmů a formulací. Tam, kde je to nezbytné, jsou interpretace uvedeny bezprostředně za souvisejícím Standardem.

• Doporučení pro praxi (Practice Advisories) – jejich rozsah byl zúžen a obsahuje pouze metodiku a postupy pro aplikaci Etického kodexu a Standardů. Text týkající se nástrojů a postupů byl přesunut do části Praktické pomůcky.

• Praktické pomůcky a Stanoviska (Practice Guides a Position Papers) – tyto prvky byly do IPPF nově přidány. Praktické pomůcky umožňují rozpracová-ní směrnic na úroveň nástrojů a postupů. Zahrnují podrobné procesy a postupy, plány a postupná řešení (např. příklady jejich výstupů). Stanoviska obsahují pohled IIA na role a odpovědnosti interního auditu ve vztahu ke konkrétnímu problému.

Podle své definice je interní audit nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní au-dit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních pro-cesů a správy a řízení organizace.

Na celém světě je interní audit prováděn v rozmanitých prostředích a uvnitř organizací, které se liší svým účelem, velikostí a strukturou. Mimo to se zákony a zvyky od sebe v jednotlivých zemích liší. Z hlediska prostředí, v kterém

je interní audit vykonáván, mohou mít tyto rozdíly vliv na jeho postupy. Proto aplikace IPPF závisí na prostře-dí, ve kterém interní audit vykonává své odpovědnosti. Žádný požadavek obsažený v IPPF by neměl být vykládán způsobem, který je v rozporu s platnými zákony nebo re-gulacemi. Pokud se vyskytne situace, že informace obsaže-ná v IPPF je v rozporu s právem nebo regulacemi, inter-ní auditoři by měli z hlediska stanovení dalšího postupu kontaktovat IIA nebo vyhledat pomoc právního poradce.

Jak bylo již zmíněno výše, IPPF obsahuje dva typy směr-nic.

1. Závazné směrnice se skládají z:

• Definice interního auditu• Etického kodexu• Standardů

Závazná povaha Standardů je zdůrazněna slovem „mu-set“. Standardy používají slovo „muset“ pro stanovení nepodmíněného požadavku. V některých výjimečných případech Standardy používají slovo „měl by“. Standardy užívají slovo „měl by“ tam, kde je očekáván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnos-ti zdůvodňují odchylku.

Soulad s pojetím formulovaným v závazných směrnicích je nezbytný pro účinný výkon odpovědností interních audi-torů a funkci interního auditu jako takovou. Jak je uvede-no v Etickém kodexu, interní auditoři budou poskytovat služby interního auditu v souladu se Standardy. Interními auditory se rozumí členové IIA, držitelé nebo kandidáti profesních certifikací IIA a také ti, kteří poskytují služby interního auditu v rozsahu Definice interního auditu.

Závazné směrnice byly formulovány tak, aby byly pou-žitelné jak pro jedince, tak pro entity poskytující služby interního auditu.

18

2. Recommended Guidance includes:

• Position Papers• Practices Advisories • Practice Guides

While endorsed by Ye IIA and developed by an IIA inter-national technical committee and/or institute following due process, strongly recommended guidance is not man-datory and has been developed to provide a wide range of applicable solutions to meet the requirments of Ye IIA’s mandadory guidance. Strongly recommended material is not intended to provide definitive answers to specific in-dividual circumstances and as such is intended to be used as a guide. Ye IIA recommends that independent expert advice be sought relating directly to any specific situation. Yis guidance is expected to be applied by competent in-ternal auditors, exercising professional judgment.

During the coming years, internal auditors can help to ensure that the IPPF will continue to grow more robust through their active involvement in guidance develop-ment. All interested parties are invited to provide com-ments and suggestions about any aspect of the IPPF. For professional guidance, comments, and suggestions, send an e-mail to guidance@theiia.org. To find out about coming updates to the IPPF, internal auditors are en-couraged to monitor the Professional Guidance pages at http://www.theiia.org.

Professional Practices Framework Mandatory Strongly

RecommendedEndorsed or

Developed by -e IIA

Definition •Code of Ethics •Standards •Practice Advisories

•

Development and Practice Aids

•

Inteernational Professional Practices FrameworkMandatory Strongly Recommended

Definition •Code of Ethics •Standards and Interpretations

•

Position Papers •Practice Advisories •Practice Guides •

19

2. Doporučené směrnice se skládají z:

• Stanovisek• Doporučení pro praxi• Praktických pomůcek

Na základě návrhu pečlivě připraveného mezinárodním technickým výborem a samotným Institutem, schválil IIA důrazně doporučené směrnice, které však nejsou závazné. Účelem těchto doporučených směrnic je poskytnout ši-rokou škálu použitelných řešení určených ke splnění po-žadavků stanovených závaznými směrnicemi IIA. Soubor důrazně doporučených směrnic nebyl připraven s cílem poskytnout rozhodující stanoviska použitelná v jednotli-vých konkrétních situacích a jako takový by měl být po-užíván spíše jako rádce/doporučení. IIA doporučuje, aby v dané konkrétní situaci, byl vyhledán nezávislý odborný poradce. Očekává se, že tyto důrazně doporučené směr-nice budou využívat odborně způsobilí interní auditoři současně se svým odborným úsudkem.

V budoucnu mohou být interní auditoři nápomocni dal-šímu rozvoji IPPF prostřednictvím jejich aktivní účasti při přípravě směrnic. Vítáme účast všech zainteresovaných stran v rámci poskytování připomínek a návrhů týkajících se jakéhokoli aspektu IPPF. V případě potřeby odborné rady, zaslání komentářů a návrhů zašlete e-mail na adresu guidance@theiia.org. Informace o chystaných aktualiza-cích IPPF mohou interní auditoři sledovat na stránkách http://www.theiia.org, v části „Professional Guidance“.

Rámec profesní praxe 2002–2008Povinné Silně

doporučovanéSchváleny/ vytvořeny IIA

Definice •Etický kodex •Standardy •Doporučení pro praxi

•

Praktické a rozvo-jové pomůcky

•

Mezinárodní rámec profesní praxe 2009Povinné Silně

doporučovanéDefinice •Etický kodex •Standardy a Interpretace •Stanoviska •Doporučení pro praxi •Praktické pomůcky •

20

What’s New – Since January 2009?

Standards (Released in October 2010 and to be effective January 2011):

• 1000 – Purpose, Authority, and Responsibility: Change interpretation• 1100 – Independence and Objectivity: Change interpretation• 1110 – Organizational Independence: Add new interpretation• 1312 – External Assessments: Change interpretation• 1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”:

Add new interpretation• 2000 – Managing the Internal Audit Activity: Change interpretation• 2010.A2: Add new Standard• 2070 – External Service Provider and Organizational Responsibility for Internal Auditing: Add new Standard and

interpretation• 2110.A2: Change Standard• 2110.C1: Change to 2210.C2, change the content of the Standard• 2120 – Risk Management: Change interpretation• 2120.A1: Change Standard• 2130.A1: Change Standard• 2130.A2: Delete Standard• 2130.A3: Delete Standard• 2130.C1: Change to 2220.C2• 2130.C2: Change to 2130.C1• 2400 – Communicating Results: Change Standard• 2410.A1: Change Standard, add interpretation• 2450 – Overall Opinions: Add new Standard and interpretation• Change the definition of Add Value • Change the definition of Chief Audit Executive• Change the definition of Control Environment• Change the definition of Independence• Change the definition of Information Technology Governance• Change the definition of Objectivity

21

Co je nového ve Standardech od ledna 2009?

Standardy (platné od ledna 2011):

• 1000 – Účel, pravomoci a odpovědnosti: změna interpretace• 1100 – Nezávislost a objektivita: změna interpretace• 1110 – Organizační nezávislost: přidána nová interpretace• 1312 – Externí hodnocení: změna interpretace• 1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“: přidána

nová interpretace• 2000 – Řízení interního auditu: změna interpretace• 2010.A2: přidán nový standard• 2070 – Externí poskytovatel služeb a organizační odpovědnost za provádění interního auditu: přidán nový stan-

dard a interpretace• 2110.A2: změna standardu• 2110.C1: přečíslováno na 2210.C2, změna obsahu standardu• 2120 – Řízení rizik: změna interpretace• 2120.A1: změna standardu• 2130.A1: změna standardu• 2130.A2: standard zrušen• 2130.A3: standard zrušen• 2130.C1: přečíslováno na 2220.C2• 2130.C2: přečíslováno na 2130.C1• 2400 – Předávání výsledků: změna standardu• 2410.A1: změna standardu, přidána nová interpretace• 2450 – Celkové názory: přidán nový standard a interpretace• Přidaná hodnota: změna definice• Vedoucí interního auditu: změna definice• Kontrolní prostředí: změna definice• Nezávislost: změna definice• Řízení a správa informačních technologií: změna definice• Objektivita: změna definice

22

Practice Advisories (PA):

Add - PA 2010-2: Using the Risk Management Process in Internal Audit Planning July 2009Add - PA 2050-2: Assurance Maps July 2009Add - PA 2050-3: Relying on the Work of Other Assurance Providers October 2010Change - PA 2060-1: Reporting to Senior Management and the Board May 2010Add - PA 2110-1: Governance: Definition April 2010Add - PA 2110-2: Governance: Relationship with Risk and Control April 2010Add - PA 2110-3: Governance: Assessments April 2010Add - PA 2120-2: Managing the Risk of the Internal Audit Activity April 2009Add - PA 2200-2: Using a Top-down, Risk-based Approach to Identify the Controls to be Assessed in an Internal Audit Engagement April 2010Add - PA 2300-1: Use of Personal Information in Conducting Engagements May 2010Add - PA 2320-1: Analytical Procedures May 2010Add - PA 2330.A1-2: Granting Access to Engagement Records May 2010Add - PA 2400-1: Legal Considerations in Communicating Results May 2010Add - PA 2440-2: Communicating Sensitive Information Within and Outside the Chain of Command May 2010Add - PA 2440.A2-1: Communications Outside the Organization May 2010

Practice Guides (PG):

PG Assessing the Adequacy of Risk Management Dec. 2010PG Measuring Internal Audit Effectiveness and Efficiency Dec. 2010PG CAEs - Appointment, Performance Evaluation and Termination May 2010PG Auditing Executive Compensation and Benefits April 2010PG Evaluating Corporate Social Responsibility/Sustainable Development Feb. 2010PG Formulating and Expressing Internal Audit Opinions April 2009PG Auditing External Business Relationships May 2009PG Internal Auditing and Fraud Dec. 2009GTAG-15 Information Security Governance June 2010GTAG-14 Auditing User-developed Applications June 2010GTAG-13 Fraud Prevention and Detection in an Automated World Dec. 2009GTAG-12 Auditing IT Projects Mar. 2009

23

Doporučení pro praxi (DP):

DP 2010–2: Využití procesu řízení rizik při plánování interního auditu vydáno v červenci 2009DP 2050–2: Mapy ujišťovacích činností vydáno v červenci 2009DP 2050–3: Spolehnutí se na práci ostatních dodavatelů ujištění vydáno v říjnu 2010 DP 2060–1: Předávání zpráv vedení a orgánům společnosti změna v květnu 2010DP 2110–1: Řízení a správa společnosti: Definice vydáno v dubnu 2010DP2110–2: Řízení a správa společnosti: Souvislost s rizikem a s řízením a kontrolou vydáno v dubnu 2010DP 2110–3: Řízení a správa společnosti: Hodnocení vydáno v dubnu 2010DP 2120–2: Řízení rizik interního auditu vydáno v dubnu 2009DP 2200–2: Používání rizikově zaměřeného přístupu „shora-dolů“ („top down“) k identifikaci kontrolních a řídicích mechanismů, které budou hodnoceny v průběhu zakázky interního auditu vydáno v dubnu 2010DP 2300–1: Využívání osobních informací při provádění zakázek vydáno v květnu 2010DP 2320–1: Analytické postupy vydáno v květnu 2010DP 2330.A1–2: Poskytování přístupu k záznamům pořízeným v rámci zakázky vydáno v květnu 2010DP 2400–1: Právní aspekty při předávání výsledků vydáno v květnu 2010DP 2440–2: Předávání citlivých informací v rámci nebo vně hierarchie řízení vydáno v květnu 2010DP 2440.A2–1: Předávání informací vně společnosti vydáno v květnu 2010

Praktické pomůcky:Od poslední novely Rámce profesní praxe interního auditu bylo vydáno 12 nových Praktických pomůcek.

Internationalstandards

Code of Ethics

PositionPapers

Definition

Practice Advisories

Practice Guides

ZÁVAZNÉ SMĚRNICE

DŮRAZNĚ DOPORUČENÉ

SM

ĚRNICE

Etickýkodex

Stanoviska Prakticképomůcky

Mezinárodní standardy

Doporučenípro praxi

Definice

26

DEFINITION OF INTERNAL AUDITING

Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization ac-complish its objectives by bringing a systematic, disci-plined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

27

DEFINICE INTERNÍHO AUDITU

Interní audit je nezávislá, objektivně ujišťovací a poraden-ská činnost zaměřená na přidávání hodnoty a zdokonalo-vání procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích cílů tím, že přináší systematický meto-dický přístup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a řízení a správy organizace.

Internationalstandards

Code of Ethics

PositionPapers

Definition

Practice Advisories

Practice Guides

ZÁVAZNÉ SMĚRNICE

DŮRAZNĚ DOPORUČENÉ

SM

ĚRNICE

Etickýkodex

Stanoviska Prakticképomůcky

Mezinárodní standardy

Doporučenípro praxi

Definice

30

CODE OF ETHICSIntroduction

Ye purpose of Ye Institute’s Code of Ethics is to pro-mote an ethical culture in the profession of internal audit-ing.

Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an or-ganization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

A code of ethics is necessary and appropriate for the pro-fession of internal auditing, founded as it is on the trust placed in its objective assurance about risk management, control, and governance.

Ye Institute’s Code of Ethics extends beyond the Defini-tion of Internal Auditing to include two essential compo-nents:

1. Principles that are relevant to the profession and practice of internal auditing;

2. Rules of Conduct that describe behavior norms ex-pected of internal auditors. Yese rules are an aid to interpreting the Principles into practical applications and are intended to guide the ethical conduct of in-ternal auditors.

“Internal auditors” refers to Institute members, recipients of or candidates for IIA professional certifications, and those who provide internal auditing services within the Definition of Internal Auditing.

Applicability and Enforcement

Yis Code of Ethics applies to both individuals and enti-ties that provide internal auditing services.

For Institute members and recipients of or candidates for IIA professional certifications, breaches of the Code of Ethics will be evaluated and administered according to Ye Institute’s Bylaws and Administrative Guidelines. Ye fact that a particular conduct is not mentioned in the Rules of Conduct does not prevent it from being unacceptable or discreditable, and therefore, the member, certification holder, or candidate can be liable for disciplinary action.

Principles

Internal auditors are expected to apply and uphold the following principles:

1. IntegrityYe integrity of internal auditors establishes trust and thus provides the basis for reliance on their judgment.

2. ObjectivityInternal auditors exhibit the highest level of professional objectivity in gathering, evaluating, and communicating information about the activity or process being examined. Internal auditors make a balanced assessment of all the relevant circumstances and are not unduly influenced by their own interests or by others in forming judgments

3. ConfidentialityInternal auditors respect the value and ownership of in-formation they receive and do not disclose information without appropriate authority unless there is a legal or professional obligation to do so.

31

ETICKÝ KODEXÚvod

Cílem Etického kodexu Institutu interních auditorů (dále jen Etického kodexu) je podpora etické kultury v profesi interního auditu.

Interní audit je nezávislá, objektivně ujišťovací a poraden-ská činnost zaměřená na přidávání hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosa-hovat jejích cílů tím, že přináší systematický metodický pří-stup k hodnocení a zlepšování účinnosti systému řízení rizik, řídicích a kontrolních procesů a správy a řízení organizace.

Etický kodex je nezbytný a důležitý pro profesi interního auditu, neboť ta je založena na důvěře, která je součástí objektivního ujištění poskytovaného touto profesí v oblas-ti řízení a správy společnosti, řízení rizik a řídicího a kon-trolních systému.

Tento Etický kodex přesahuje rámec Definice interního auditu a zahrnuje dvě významné části:

1. Základní zásady, které jsou důležité pro profesi a praxi interního auditu;

2. Pravidla jednání, která popisují normy chování oče-kávaného od interního auditora. Tato pravidla jsou pomůckou pro uplatňování Základních zásad v praxi a slouží jako návod pro etické jednání interních audi-torů.

„Interními auditory“ se rozumí členové Institutu a držite-lé nebo kandidáti profesionální certifikace IIA a ti, kteří poskytují služby interního auditu v souladu s Definicí in-terního auditu.

Uplatnitelnost a vymahatelnost

Tento Etický kodex se vztahuje na subjekty, které po-skytují služby interního auditu, a to jak na fyzické, tak i na právnické osoby.

Porušení Etického kodexu členy Institutu interních au-ditorů, držiteli nebo kandidáty profesních certifikací IIA bude hodnoceno a při jeho řešení bude postupová-no podle pravidel a administrativních směrnic Institutu. Skutečnost, že některý dílčí způsob jednání není obsažen v Pravidlech jednání, nemění nic na tom, aby toto jed-nání nemohlo být považováno za nepřijatelné nebo dis-kreditující, a tedy by mohlo být podnětem pro zahájení disciplinárního řízení vůči členu Institutu, držiteli nebo kandidátovi certifikace.

Základní zásady

Od interních auditorů se očekává, že budou dodržovat a uplatňovat následující základní zásady:

1. IntegritaIntegrita interních auditorů vytváří důvěru, která je zá-kladním prvkem víry ve spolehlivost jejich úsudků.

2. ObjektivitaPři shromažďování, hodnocení a předávání informací o prověřovaných činnostech a procesech, prokazují interní auditoři nejvyšší úroveň profesní objektivity. Interní au-ditoři vyváženým způsobem hodnotí všechny podstatné okolnosti a nenechají se při tvorbě svých úsudků nadměr-ně ovlivňovat svými vlastními zájmy nebo zájmy jiných.

3. DůvěrnostInterní auditoři respektují vlastnictví a hodnotu informa-cí, které získávají při své činnosti a tyto informace nepo-skytují bez příslušného souhlasu, pokud neexistuje právní nebo profesní povinnost tak učinit.

32

4. CompetencyInternal auditors apply the knowledge, skills, and experi-ence needed in the performance of internal auditing ser-vices.

Rules of Conduct

1. IntegrityInternal auditors:

1.1. Shall perform their work with honesty, diligence, and responsibility.

1.2. Shall observe the law and make disclosures expected by the law and the profession.

1.3. Shall not knowingly be a party to any illegal activity, or engage in acts that are discreditable to the professi-on of internal auditing or to the organization.

1.4. Shall respect and contribute to the legitimate and ethical objectives of the organization.

2. ObjectivityInternal auditors:

2.1. Shall not participate in any activity or relationship that may impair or be presumed to impair their un-biased assessment. Yis participation includes those activities or relationships that may be in conflict with the interests of the organization.

2.2. Shall not accept anything that may impair or be pre-sumed to impair their professional judgment.

2.3. Shall disclose all material facts known to them that, if not disclosed, may distort the reporting of activities under review.

3. ConfidentialityInternal auditors:

3.1. Shall be prudent in the use and protection of infor-mation acquired in the course of their duties.

3.2. Shall not use information for any personal gain or in any manner that would be contrary to the law or detrimental to the legitimate and ethical objectives of the organization.

4. CompetencyInternal auditors:

4.1. Shall engage only in those services for which they have the necessary knowledge, skills, and experience.

4.2. Shall perform internal auditing services in accordance with the International Standards for the Professional Practice of Internal Auditing.

4.3. Shall continually improve their proficiency and the effectiveness and quality of their services.

33

4. KompetentnostPři poskytování služeb interního auditu uplatňují interní auditoři potřebné vědomosti, dovednosti a zkušenosti.

Pravidla jednání

1. IntegritaInterní auditoři:

1.1. Budou vykonávat svoji práci čestně, s náležitou péčí a odpovědně.

1.2. Budou dodržovat zákony a budou poskytovat infor-mace, které jsou vyžadovány ze zákona nebo profesí interního auditu.

1.3. Nebudou se vědomě zapojovat do jakýchkoli nezá-konných aktivit nebo se zúčastňovat činností, které by diskreditovaly profesi interního auditu nebo orga-nizaci.

1.4. Budou respektovat oprávněné zájmy organizace a její etické cíle a přispívat k jejich dosažení.

2. ObjektivitaInterní auditoři:

2.1. Nezúčastní se žádných činností nebo vztahů, kte-ré mohou narušovat nebo mohou být chápány jako narušení jejich objektivního úsudku. To se týká také činností a vztahů, které mohou být v konfliktu se zá-jmy organizace.

2.2. Nepřijmou nic, co by mohlo narušit nebo by moh-lo být chápáno jako narušení jejich profesionálního úsudku.

2.3. Uvedou všechny významné skutečnosti, které jsou jim známy a které, pokud by nebyly uvedeny, by mohly zkreslit zprávu o činnostech, které byly předmětem auditu.

3. DůvěrnostInterní auditoři:

3.1. Budou obezřetní při použití a ochraně informací, kte-ré získají v průběhu plnění svých povinností.

3.2. Nepoužijí získané informace pro jakýkoli osobní pro-spěch a ani žádným jiným způsobem, který by byl v rozporu se zákonem nebo na újmu oprávněných zájmů organizace a jejích etických cílů.

4. Kompetentnost Interní auditoři:

4.1. Budou poskytovat pouze takové služby, pro které mají nezbytné vědomosti, dovednosti a zkušenosti.

4.2. Budou všechny své služby provádět v souladu s Me-zinárodními standardy pro profesní praxi interního auditu.

4.3. Budou soustavně zdokonalovat svou odbornost, kva-litu a účinnost jimi poskytovaných služeb.

Internationalstandards

Code of Ethics

PositionPapers

Definition

Practice Advisories

Practice Guides

ZÁVAZNÉ SMĚRNICE

DŮRAZNĚ DOPORUČENÉ

SM

ĚRNICE

Etickýkodex

Stanoviska Prakticképomůcky

Mezinárodní standardy

Doporučenípro praxi

Definice

36

INTRODUCTION

Internal audit engagements are conducted in diverse legal and cultural environments; within organizations that vary in purpose, size, complexity, and structure; and by persons within or outside the organization. While differences may affect the practice of internal auditing in each environ-ment, conformance with Ye IIA’s International Standards for the Professional Practice of Internal Auditing (4e Stan-dards) is essential if the responsibilities of internal auditors are to be met. If internal auditors are prohibited by laws or regulations from conforming with certain parts of the Standards, they should conform with all other parts of the Standards and make appropriate disclosures.

If internal auditors use the Standards in conjunction with the standards issued by other authoritative bodies, they may also cite the use of other standards in their audit communications, as appropriate. If inconsistencies exist between the Standards and other standards, internal audit must conform with the Standards, and may conform with the other standards if they are more restrictive.

Ye purpose of the Standards is to:

1. Delineate basic principles that represent the practice of internal auditing as it should be.

2. Provide a framework for performing and promoting a broad range of value-added internal audit activities.

3. Establish the basis for the evaluation of internal audit performance.

4. Foster improved organizational processes and opera-tions.

Ye Standards are principles-focused, mandatory require-ments consisting of:

• Statements of basic requirements for the professional practice of internal auditing and for evaluating the ef-

fectiveness of its performance, which are internationally applicable at organizational and individual levels.

• Interpretations, which clarify terms or concepts within the Statements.

Ye Standards employ terms that have been given specific meanings that are included in the Glossary. Specifically, the Standards use the word “must” to specify an uncon-ditional requirement and the word “should” where con-formance is expected unless, when applying professional judgment, circumstances justify deviation.

It is necessary to consider both the Statements and their Interpretations and the specific meanings from the Glos-sary to understand and apply the Standards correctly.

Ye structure of the Standards includes Attribute, Perfor-mance, and Implementation Standards. Attribute Stan-dards address the attributes of organizations and individu-als performing internal audit services. Ye Performance Standards describe the nature of internal audit services and provide quality criteria against which the performance of these services can be measured. Ye Attribute and Perfor-mance Standards apply to all internal audit services. Ye Implementation Standards expand upon the Attribute and Performance Standards, providing the requirements applicable to assurance (A) or consulting (C) activities.

Assurance services involve the internal auditor’s objective assessment of evidence to provide an independent opinion or conclusions regarding an entity, an operation, a func-tion, a process, system, or other subject matter. Ye nature and scope of the assurance engagement are determined by the internal auditor. Yere are generally three parties involved in assurance services: (1) the person or group di-rectly involved with the entity, operation, function, pro-cess, system, or other subject matter — the process owner, (2) the person or group making the assessment — the

37

ÚVOD KE STANDARDŮM

Interní audit je vykonáván v různém právním a kulturním prostředí; uvnitř organizací lišících se zaměřením, velikos-tí a strukturou, prostřednictvím interních zaměstnanců i externích odborníků. Tyto rozdíly mohou sice ovlivňo-vat praxi interního auditu v daném prostředí, má-li však interní audit naplňovat řádně své odpovědnosti, musí být vždy jeho činnost ve shodě s Mezinárodními Standardy pro profesní praxi interního auditu vydanými IIA (dále Stan-dardy). Pokud zákony nebo regulační opatření neumož-ňují interním auditorům nebo funkci interního auditu, aby postupovali ve shodě s určitou částí Standardů, je ne-zbytné dodržovat všechny ostatní části Standardů a řádně o této situaci informovat.

Pokud jsou Standardy používány ve spojení se standardy vydanými jinými odbornými organizacemi, v případech, kdy je to vhodné, mohou auditní zprávy také odkazovat na tyto standardy. Pokud v takovém případě existují rozdí-ly mezi Standardy a ostatními použitými standardy, interní auditoři a funkce interního auditu se musí řídit Standardy IIA; mohou se však také řídit ostatními standardy, pokud jsou jejich ustanovení přísnější než Standardy IIA.

Cílem Standardů je:

1. Vymezit základní principy praxe interního auditu2. Poskytnout rámec pro provádění a podporu širokého

spektra služeb interního auditu, přinášejících přida-nou hodnotu

3. Vytvořit základnu pro hodnocení výkonu interního auditu

4. Podporovat zdokonalené organizační procesy a postupy

Standardy jsou závaznými požadavky, které vycházejí ze základních zásad. Standardy se skládají ze:

• Základních požadavků kladených na profesionální pra-xi interního auditu a na hodnocení účinnosti jeho vý-konu. Tyto požadavky jsou aplikovatelné mezinárodně jak na fyzické, tak i na právnické osoby.

• Interpretací, které vysvětlují pojmy nebo pojetí použitá v textu jednotlivých požadavků.

Standardy používají výrazy, kterým je přikládám specific-ký význam; tyto výrazy jsou obsaženy ve Výkladu pojmů. Standardy používají slovo „muset“ pro stanovení nepod-míněného požadavku a slovo „měl by“ tam, kde je oče-káván soulad, vyjma případů, kdy při použití profesního úsudku dané okolnosti zdůvodňují odchylku.

Pro správné pochopení a používání Standardů je nezbytné řídit se formulacemi jednotlivých požadavků, jejich inter-pretacemi a současně i konkrétními výklady uvedenými ve Výkladu pojmů.

Standardy se skládají ze Základních standardů, Standardů pro výkon interního auditu a Prováděcích standardů. Zá-kladní standardy obsahují zásadní požadavky a vlastnosti týkající se útvarů a subjektů poskytujících služby interní-ho auditu. Standardy pro výkon interního auditu popisují charakter služeb interního auditu a poskytují kvalitativ-ní kritéria, na jejichž základě lze činnost interního audi-tu hodnotit. Základní standardy a Standardy pro výkon interního auditu se vztahují na všechny služby interního auditu. Prováděcí standardy jsou nadstavbou Základních standardů a Standardů pro výkon interního auditu a ob-sahují požadavky týkající ujišťovacích (A) a poradenských (C) činností.

Ujišťovací služby představují objektivní posouzení infor-mací, jehož cílem je poskytnutí nezávislého názoru nebo závěrů ohledně určitého procesu, systému nebo jiného předmětu posouzení. Charakter a rozsah ujišťovací za-kázky určuje auditor. Ujišťovací služby obvykle zahrnují tři strany: (1) Jedince nebo skupinu, kteří jsou v přímém

38

internal auditor, and (3) the person or group using the assessment — the user.

Consulting services are advisory in nature, and are gener-ally performed at the specific request of an engagement client. Ye nature and scope of the consulting engage-ment are subject to agreement with the engagement cli-ent. Consulting services generally involve two parties: (1) the person or group offering the advice — the internal auditor, and (2) the person or group seeking and receiving the advice — the engagement client. When performing consulting services the internal auditor should maintain objectivity and not assume management responsibility.

Ye review and development of the Standards is an ongo-ing process. Ye Internal Audit Standards Board engages in extensive consultation and discussion prior to issuing the Standards. Yis includes worldwide solicitation for public comment through the exposure draft process. All exposure drafts are posted on Ye IIA’s Web site as well as being distributed to all IIA institues.

Suggestions and comments regarding the Standards can be sent to:

Ye Institute of Internal AuditorsStandards and Guidance

247 Maitland AvenueAltamonte Springs, FL 32701-4201, USA

E-mail: guidance@theiia.orgWeb: http://www.theiia.org

39

vztahu k dané organizační jednotce, jednotlivým činnos-tem, funkci, systému nebo jiné předmětné záležitosti – vlastníka procesu (2) Jedince nebo skupinu provádějící hodnocení – interního auditora (3) Jedince nebo skupinu využívající toto hodnocení – uživatele

Poradenské služby mají charakter poradenství a jsou ob-vykle prováděny na základě specifické žádosti klienta. Charakter a rozsah poradenské zakázky je předmětem do-hody s klientem. Poradenské služby obvykle zahrnují dvě strany: (1) Jedince nebo skupinu poskytující konzultaci – interního auditora (2) Jedince nebo skupinu požadující a přijímající konzultaci – klienta zakázky. Při poskytová-ní poradenských služeb by měl interní auditor zachovávat objektivitu a nepřijímat řídicí odpovědnost.

Rozvoj a revize Standardů jsou nepřetržitými procesy. Standardy jsou před jejich vydáním intenzivně diskutová-ny v Radě pro standardy interního auditu (Internal Audit Standards Board) a podrobeny širokému mezinárodnímu připomínkovému řízení. Všechny návrhy jsou uveřejňová-ny na webových stránkách IIA a jsou distribuovány všem národním institutům.

Náměty a komentáře týkající se Standardů mohou být za-sílány na adresu:

Ye Institute of Internal AuditorsStandards and Guidance

247 Maitland AvenueAltamonte Springs, FL 32701-4201, USA

e-mail: guidance@theiia.orgWeb: http://www.theiia.org

40

INTERNATIONAL STANDARDS FOR THE PROFESSIONAL PRACTICE OF INTERNAL AUDITING

Attribute Standards

1000 – Purpose, Authority, and ResponsibilityYe purpose, authority, and responsibility of the internal audit activity must be formally defined in an internal au-dit charter, consistent with the Definition of Internal Au-diting, the Code of Ethics, and the Standards. Ye chief audit executive must periodically review the internal au-dit charter and present it to senior management and the board for approval.

Interpretation:4e internal audit charter is a formal document that defines the internal audit activity’s purpose, authority, and respon-sibility. 4e internal audit charter establishes the internal audit activity’s position within the organization; including the nature of the chief audit executive’s functional reporting relationship with the board; authorizes access to records, per-sonnel, and physical properties relevant to the performance of engagements; and defines the scope of internal audit activi-ties. Final approval of the internal audit charter resides with the board.

1000.A1 – Ye nature of assurance services provided to the organization must be defined in the internal au-dit charter. If assurances are to be provided to parties outside the organization, the nature of these assurances must also be defined in the internal audit charter.

1000.C1 – Ye nature of consulting services must be defined in the internal audit charter.

1010 – Recognition of the Definition of Internal Au-diting, the Code of Ethics, and the Standards in the Internal Audit Charter. Ye mandatory nature of the Definition of Internal Au-diting, the Code of Ethics, and the Standards must be recognized in the internal audit charter. Ye chief audit executive should discuss the Definition of Internal Audit-ing, the Code of Ethics, and the Standards with senior management and the board.

1100 – Independence and ObjectivityYe internal audit activity must be independent, and internal auditors must be objective in performing their work.

Interpretation:Independence is the freedom from conditions that threaten the ability of the internal audit activity to carry out internal audit responsibilities in an unbiased manner. To achieve the degree of independence necessary to effectively carry out the responsibilities of the internal audit activity, the chief audit executive has direct and unrestricted access to senior manage-ment and the board. 4is can be achieved through a dual-reporting relationship. 4reats to independence must be man-aged at the individual auditor, engagement, functional, and organizational levels.

Objectivity is an unbiased mental attitude that allows inter-nal auditors to perform engagements in such a manner that they believe in their work product and that no quality com-promises are made. Objectivity requires that internal auditors do not subordinate their judgment on audit matters to oth-ers. 4reats to objectivity must be managed at the individual auditor, engagement, functional, and organizational levels.

1110 – Organizational IndependenceYe chief audit executive must report to a level within the organization that allows the internal audit activity to fulfill its responsibilities. Ye chief audit executive must confirm

41

MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU

Základní standardy

1000 – Účel, pravomoci a odpovědnostiÚčel, pravomoci a odpovědnosti interního auditu musí být formálně stanoveny ve statutu interního auditu, který je v souladu s Definicí interního auditu, Etickým kodexem a se Standardy. Vedoucí interního auditu musí pravidelně ověřovat aktuálnost statutu interního auditu. Vedoucí in-terního auditu musí předkládat Statut interního auditu vedení a orgánům společnosti ke schválení.

Interpretace:Statutem interního auditu se rozumí formální dokument, který definuje účel, pravomoci a odpovědnosti interního audi-tu. Statut interního auditu určuje postavení interního auditu v rámci společnosti, včetně povahy vztahu funkční podříze-nosti vedoucího interního auditu vůči orgánům společnos-ti; dále stanoví oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje rozsah činnosti interního auditu. Konečné schválení statutu interního auditu přísluší orgánům společnosti.

1000.A1 – Charakter ujišťovacích služeb poskytova-ných společnosti musí být definován ve statutu inter-ního auditu. Pokud je ujištění poskytováno subjektům vně společnosti, musí být charakter těchto ujišťovacích služeb též definován ve statutu interního auditu. 1000.C1 – Charakter poradenských služeb musí být definován ve statutu interního auditu.

1010 – Přijetí Definice interního auditu, Etického ko-dexu a Standardů ve statutu interního audituVe statutu interního auditu musí být respektován povin-ný charakter Definice interního auditu, Etického kodexu a Standardů. Vedoucí interního auditu by měl obsah De-finice interního auditu, Etického kodexu a Standardů pro-diskutovat s vedením a orgány společnosti.

1100 – Nezávislost a objektivita Působení interního auditu musí být nezávislé a interní au-ditoři musí při výkonu své práce postupovat objektivně.

Interpretace:Nezávislost znamená nepřítomnost podmínek, za kterých je ohrožena schopnost interního auditu vykonávat odpovědnosti interního auditu nezaujatým způsobem. K dosažení stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu má vedoucí interního auditu přímý a neomezený přístup k vedení a orgánům společnosti. Stupně nezávislosti nezbytného pro účinné provádění odpovědností funkce interního auditu může být dosaženo prostřednictvím dvou linií řízení. Ohrožení nezávislosti musí být řízeno na úrovni jednotlivého auditora, zakázky, funkčních a orga-nizačních úrovní.

Objektivita je nezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět zakázky takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje při-jímání kompromisů ohledně její kvality. Objektivita vyžadu-je, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům. Ohrožení objektivity musí být řízeno na úrovni jednotlivého auditora, zakázky, funkčních a organizačních úrovní.

1110 – Organizační nezávislost Vedoucí interního auditu musí podávat zprávy takovému organizačnímu stupni ve společnosti, který internímu auditu umožňuje plnění jeho funkcí. Vedoucí interního

42

to the board, at least annually, the organizational indepen-dence of the internal audit activity.

Interpretation:Organizational independence is effectively achieved when the chief audit executive reports functionally to the board. Ex-amples of functional reporting to the board involve the board:• Approving the internal audit charter;• Approving the risk based internal audit plan;• Receiving communications from the chief audit executive on the internal audit activity’s performance relative to its plan and other matters;• Approving decisions regarding the appointment and re-moval of the chief audit executive; and• Making appropriate inquiries of management and the chief audit executive to determine whether there are inap-propriate scope or resource limitations.

1110.A1 – Ye internal audit activity must be free from interference in determining the scope of internal audit-ing, performing work, and communicating results.

1111 – Direct Interaction With the BoardYe chief audit executive must communicate and interact directly with the board.

1120 – Individual ObjectivityInternal auditors must have an impartial, unbiased atti-tude and avoid any conflict of interest.

Interpretation:Conflict of interest is a situation in which an internal au-ditor, who is in a position of trust, has a competing profes-sional or personal interest. Such competing interests can make it difficult to fulfill his or her duties impartially. A conflict of interest exists even if no unethical or improper act results. A conflict of interest can create an appearance of impropriety that can undermine confidence in the internal auditor, the internal audit activity, and the profession. A conflict of inter-

est could impair an individual’s ability to perform his or her duties and responsibilities objectively.

1130 – Impairment to Independence or ObjectivityIf independence or objectivity is impaired in fact or ap-pearance, the details of the impairment must be disclosed to appropriate parties. Ye nature of the disclosure will depend upon the impairment.

Interpretation:Impairment to organizational independence and individ-ual objectivity may include, but is not limited to, personal conflict of interest, scope limitations, restrictions on access to records, personnel, and properties, and resource limitations, such as funding. 4e determination of appropriate parties to which the details of an impairment to independence or objectivity should be disclosed is dependent upon the expectations of the internal audit activity’s and the chief audit executive’s responsibilities to senior management and the board as described in the in-ternal audit charter, as well as the nature of the impairment.

1130.A1 – Internal auditors must refrain from assess-ing specific operations for which they were previously responsible. Objectivity is presumed to be impaired if an internal auditor provides assurance services for an activity for which the internal auditor had responsibil-ity within the previous year.

1130.A2 – Assurance engagements for functions over which the chief audit executive has responsibil-ity must be overseen by a party outside the internal audit activity.

1130.C1 – Internal auditors may provide consulting services relating to operations for which they had previ-ous responsibilities.

43

auditu musí nejméně jednou ročně potvrdit orgánům spo-lečnosti organizační nezávislost funkce interního auditu.

Interpretace:Organizační nezávislost je dosažena účinným způsobem teh-dy, pokud je vedoucí interního auditu funkčně podřízen or-gánům společnosti. Příklady funkčního podřízení orgánům společnosti zahrnují situace, kdy orgány společnosti: • schvalují Statut interního auditu,• schvalují rizikově zaměřený plán interního auditu,• dostávají od vedoucího interního auditu informace tý-

kající se výkonnosti interního auditu ve vztahu k plánu a informace o ostatních záležitostem,

• schvalují rozhodnutí ohledně jmenování a odvolání ve-doucího interního auditu, a

• provádějí odpovídající dotazování vedení společnosti a vedoucího interního auditu, aby zjistili, zda neexistuje nepřiměřené omezení rozsahu a zdrojů auditu.

1110.A1 – Při stanovení rozsahu působnosti interní-ho auditu, při vlastním provádění prací a při sdělování výsledků nesmí internímu auditu do těchto činností nikdo zasahovat.

1111 – Přímá vzájemná součinnost s orgány společnostiVedoucí interního auditu musí komunikovat a být ve vzá-jemné součinnosti přímo s orgány společnosti.

1120 – Objektivita jednotlivce Interní auditoři musí postupovat nestranně a nezaujatě a musí se vyhýbat jakémukoliv střetu zájmů.

Interpretace:Střet zájmů je situace, v níž má interní auditor, vystupují-cí v roli důvěryhodné osoby, protichůdný profesní či osobní zájem. Tyto protichůdné zájmy mohou znesnadnit nestran-né plnění povinností auditora. Střet zájmů existuje dokonce i v případě, kdy se nestane nic neetického nebo nesprávného. Střet zájmů může vytvořit zdání nevhodnosti, které může na-

rušit důvěru v interního auditora, k funkci interního auditu a k této profesi. Střet zájmů by mohl narušit schopnost jedince plnit objektivně své povinnosti a odpovědnosti.

1130 – Narušení nezávislosti nebo objektivityPokud dojde ke zdánlivému či faktickému narušení ne-závislosti nebo objektivity, musí být o této skutečnosti předány podrobné informace příslušné organizační úrovni ve společnosti. Způsob sdělení informací závisí na povaze tohoto narušení.

Interpretace:Narušení organizační nezávislosti a objektivity jednotlivce může zahrnovat následující situace (které však nejsou jejich vyčerpávajícím výčtem): osobní konflikt zájmu, omezení roz-sahu působnosti auditu, omezení přístupu k dokladům, oso-bám a majetku a omezení zdrojů, např. finančních.

Stanovení příslušných subjektů, kterým musí být sděleny detaily týkající se narušení nezávislosti a objektivity, závisí na odpovědnostech očekávaných od funkce interního auditu a jeho výkonného vedení směrem k vedení a orgánům společ-nosti, jak je uvedeno ve statutu interního auditu a dále také závisí na charakteru tohoto narušení.

1130.A1 – Interní auditoři nesmí hodnotit takové pro-cesy, za jejichž provádění byli předtím odpovědni. Jest-liže auditor poskytuje ujištění o činnosti, za kterou byl během předchozího roku odpovědný, znamená to, že objektivita je narušena.

1130.A2 – Na ujišťovací zakázky (audity) činností, za jejichž provádění je odpovědný vedoucí interního auditu, musí dohlížet subjekt vně interního auditu.

1130.C1 – Interní auditoři mohou poskytovat pora-denské služby týkající se činností, za jejichž provádění byli předtím odpovědni.

44

1130.C2 – If internal auditors have potential impair-ments to independence or objectivity relating to pro-posed consulting services, disclosure must be made to the engagement client prior to accepting the engage-ment.

1200 – Proficiency and Due Professional CareEngagements must be performed with proficiency and due professional care.

1210 – ProficiencyInternal auditors must possess the knowledge, skills, and other competencies needed to perform their individual re-sponsibilities. Ye internal audit activity collectively must possess or obtain the knowledge, skills, and other compe-tencies needed to perform its responsibilities.

Interpretation:Knowledge, skills, and other competencies is a collective term that refers to the professional proficiency required of internal auditors to effectively carry out their professional responsibili-ties. Internal auditors are encouraged to demonstrate their proficiency by obtaining appropriate professional certifica-tions and qualifications, such as the Certified Internal Audi-tor designation and other designations offered by 4e Institute of Internal Auditors and other appropriate professional orga-nizations.

1210.A1 – Ye chief audit executive must obtain com-petent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.

1210.A2 – have sufficient knowledge to evaluate the risk of fraud and the manner in which it is managed by the organization, but are not expected to have the expertise of a person whose primary responsibility is detecting and investigating fraud.

1210.A3 – Internal auditors must have sufficient knowledge of key information technology risks and controls and available technology-based audit tech-niques to perform their assigned work. However, not all internal auditors are expected to have the expertise of an internal auditor whose primary responsibility is information technology auditing.

1210.C1 – Ye chief audit executive must decline the consulting engagement or obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.

1220 – Due Professional Care Internal auditors must apply the care and skill expected of a reasonably prudent and competent internal auditor. Due professional care does not imply infallibility.

1220.A1 –Internal auditors must exercise due profes-sional care by considering the:• Extent of work needed to achieve the engagement’s

objectives;• Relative complexity, materiality, or significance of

matters to which assurance procedures are applied;• Adequacy and effectiveness of governance, risk man-

agement, and control processes;• Probability of significant errors, fraud, or noncompli-

ance; and• Cost of assurance in relation to potential benefits.

1220.A2 – In exercising due professional care internal auditors must consider the use of technology-based au-dit and other data analysis techniques.

1220.A3 – Internal auditors must be alert to the sig-nificant risks that might affect objectives, operations, or resources. However, assurance procedures alone, even

45

1130.C2 – Pokud jsou interní auditoři vystaveni možné-mu narušení nezávislosti a objektivity ve vztahu k nabí-zeným poradenským službám, musí být klient o této sku-tečnosti informován ještě před přijetím takové zakázky.

1200 – Odbornost a náležitá profesní péčeZakázky musí být prováděny odborně a s náležitou pro-fesní péčí.

1210 – OdbornostInterní auditoři musí mít znalosti, dovednosti a další schopnosti potřebné pro plnění svých úkolů. Funkce in-terního auditu jako celek musí mít nebo být schopna za-jistit takové znalosti, dovednosti a další schopnosti, které jsou potřebné pro plnění jejích odpovědností.

Interpretace:Znalosti, dovednosti a další schopnosti jsou společným ter-mínem označujícím profesní odbornost vyžadovanou od in-terních auditorů, která je nezbytná pro účinný výkon jejich profesních odpovědností. Interním auditorům se doporučuje, aby prokazovali svou odbornost získáním odpovídajících pro-fesních kvalifikací a certifikací, např. osvědčení Certifikovaný Interní Auditor a další osvědčení nabízená Mezinárodním institutem interních auditorů a ostatními, pro tento účel vhodnými profesními organizacemi.

1210.A1 – Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro provedení zakázky jako celku nebo její části, vedoucí interního au-ditu musí zajistit odborné poradenství a podporu.

1210.A2 – Interní auditoři musí mít dostatečné zna-losti, aby mohli ohodnotit riziko podvodu a způsob jakým je toto riziko řízeno v rámci společnosti, ale ne-očekává se od nich taková kvalifikace, jako je požado-vána od osoby, jejíž hlavní odpovědností je odhalování a vyšetřování podvodu.

1210.A3 – Interní auditoři musí v rámci provádění svěřených úkolů mít dostatečné znalosti klíčových rizik a řídicích a kontrolních mechanismů v oblasti infor-mačních technologií. Dále musí mít dostatečné znalos-ti dostupných softwarově podporovaných auditorských postupů. Od všech interních auditorů se však neočeká-vá taková kvalifikace jako od interního auditora, jehož hlavní odpovědností je audit informační technologie.

1210.C1 – Pokud nemají interní auditoři znalosti, dovednosti a další schopnosti potřebné pro provedení poradenské zakázky jako celku nebo její části, musí ve-doucí interního auditu odmítnout tuto zakázku nebo zajistit odborné poradenství a podporu.

1220 – Náležitá profesní péčeInterní auditoři musí uplatňovat péči a dovednosti, jaké se očekávají od přiměřeně uvážlivého a způsobilého inter-ního auditora. Náležitá profesní péče neznamená neomyl-nost.

1220.A1 – Interní auditor musí při uplatňování náleži-té profesní péče vzít v úvahu:

• rozsah práce potřebný k dosažení cílů zakázky (audi-tu),

• relativní složitost, významnost nebo závažnost oblastí, které jsou předmětem postupů poskytujících ujiště-ní,

• přiměřenost a účinnost procesů řízení a správy společ-nosti, řízení rizik a řídicích a kontrolních procesů,

• pravděpodobnost výskytu významných chyb, podvo-du nebo odchylek,

• náklady potřebné pro poskytnutí ujištění ve vztahu k jeho možným přínosům.

1220.A2 – Při uplatňování náležité profesní péče musí interní auditor zvážit použití softwarově podporovaných auditorských postupů a ostatních postupů analýzy dat.

46

when performed with due professional care, do not guarantee that all significant risks will be identified.

1220.C1 – Internal auditors must exercise due profes-sional care during a consulting engagement by consid-ering the:

• Needs and expectations of clients, including the na-ture, timing, and communication of engagement re-sults;

• Relative complexity and extent of work needed to achieve the engagement’s objectives; and

• Cost of the consulting engagement in relation to po-tential benefits.

1230 – Continuing Professional DevelopmentInternal auditors must enhance their knowledge, skills, and other competencies through continuing professional development.

1300 – Quality Assurance and Improvement ProgramYe chief audit executive must develop and maintain a quality assurance and improvement program that covers all aspects of the internal audit activity.

Interpretation:A quality assurance and improvement program is designed to enable an evaluation of the internal audit activity’s con-formance with the Definition of Internal Auditing and the Standards and an evaluation of whether internal auditors apply the Code of Ethics. 4e program also assesses the ef-ficiency and effectiveness of the internal audit activity and identifies opportunities for improvement.

1310 – Requirements of the quality assurance and im-provement program Ye quality assurance and improvement program must in-clude both internal and external assessments.

1311 – Internal AssessmentsInternal assessments must include:

• Ongoing monitoring of the performance of the internal audit activity; and

• Periodic reviews performed through self-assessment or by other persons within the organization with sufficient knowledge of internal audit practices.

Interpretation:Ongoing monitoring is an integral part of the day-to-day supervision, review, and measurement of the internal audit activity. Ongoing monitoring is incorporated into the routine policies and practices used to manage the internal audit activ-ity and uses processes, tools, and information considered neces-sary to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.

Periodic reviews are assessments conducted to evaluate confor-mance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.

Sufficient knowledge of internal audit practices requires at least an understanding of all elements of the International Professional Practices Framework.

1312 – External AssessmentsExternal assessments must be conducted at least once ev-ery five years by a qualified, independent reviewer or re-view team from outside the organization. Ye chief audit executive must discuss with the board:

• Ye need for more frequent external assessments; and• Ye qualifications and independence of the external re-

viewer or review team, including any potential conflict of interest.

47

1220.A3 – Interní auditor musí být ostražitý vůči vý-znamným rizikům, která mohou ovlivnit cíle, postupy nebo zdroje. Postupy poskytující ujištění, i když jsou prováděny s náležitou profesní péčí, však samy o sobě nezaručí, že budou odhalena všechna významná rizika.

1220.C1 – Interní auditoři při uplatňování náležité profesní péče musí v rámci poradenské zakázky vzít v úvahu:

• potřeby a očekávání klientů, včetně charakteru, nača-sování a způsobu sdělení výsledků zakázky,

• relativní složitost a rozsah práce potřebné k dosažení cílů zakázky,

• náklady na poradenskou zakázku ve vztahu k jejím možným přínosům.

1230 – Průběžný profesní rozvojInterní auditoři musí zlepšovat své znalosti, dovednosti a další schopnosti prostřednictvím průběžného profesního rozvoje.

1300 – Program pro zabezpečení a zvyšování kvality interního auditu Vedoucí interního auditu musí vypracovat a pravidelně aktualizovat program pro zabezpečení a zvyšování kvality interního auditu, který zahrnuje všechna hlediska funkce interního auditu.

Interpretace:Program pro zabezpečení a zvyšování kvality je navržen tak, aby umožnil hodnocení souladu činnosti interního auditu s Definicí interního auditu a se Standardy a dále umožnil hodnocení, zda se interní auditoři řídí Etickým kodexem. Tento program také hodnotí účinnost a efektivnost činností interního auditu a identifikuje příležitosti ke zlepšení.

1310 – Požadavky kladené na Program pro zabezpeče-ní a zvyšování kvalityProgram pro zabezpečení a zvyšování kvality musí zahrno-vat jak interní, tak externí hodnocení.

1311 – Interní hodnocení Interní hodnocení musí zahrnovat:

• průběžné sledování výkonnosti funkce interního auditu,• pravidelné prověrky prováděné prostřednictvím sebe-

hodnocení nebo s využitím jiných osob v rámci společ-nosti, které mají dostatečné znalosti postupů interního auditu.

Interpretace:Průběžné sledování je nedílnou součástí každodenního do-hledu (supervize), prověřování a měření činnosti interního auditu. Průběžné sledování je začleněno do běžných zásad a postupů používaných k řízení interního auditu; průběžné sledování používá procesy, nástroje a informace, které jsou po-važovány za nezbytné pro hodnocení souladu s Definicí inter-ního auditu, Etickým kodexem a Standardy.

Pravidelné prověrky jsou definovány jako analýzy hodnotící soulad s Definicí interního auditu, s Etickým kodexem a se Standardy.

Dostatečná znalost postupů interního auditu vyžaduje ale-spoň porozumění všem prvkům Mezinárodního rámce pro profesní praxi interního auditu.

1312 – Externí hodnocení Externí hodnocení musí být provedeno minimálně jednou za pět let odborně způsobilým a nezávislým externím hod-notitelem nebo externím hodnotícím týmem. Vedoucí in-terního auditu musí s orgány společnosti projednat:• potřebu častějších externích hodnocení,• odbornou způsobilost a nezávislost externího hodnoti-

tele nebo hodnotícího týmu, včetně jakéhokoli možné-ho konfliktu zájmů.

48

Interpretation:A qualified reviewer or review team demonstrates competence in two areas: the professional practice of internal auditing and the external assessment process. Competence can be demonstrat-ed through a mixture of experience and theoretical learning. Experience gained in organizations of similar size, complexity, sector or industry, and technical issues is more valuable than less relevant experience. In the case of a review team, not all members of the team need to have all the competencies; it is the team as a whole that is qualified. 4e chief audit executive uses professional judgment when assessing whether a reviewer or re-view team demonstrates sufficient competence to be qualified.

An independent reviewer or review team means not having either a real or an apparent conflict of interest and not being a part of, or under the control of, the organization to which the internal audit activity belongs.

1320 – Reporting on the quality assurance and impro-vement programYe chief audit executive must communicate the results of the quality assurance and improvement program to senior management and the board.

Interpretation:4e form, content, and frequency of communicating the re-sults of the quality assurance and improvement program is established through discussions with senior management and the board and considers the responsibilities of the internal audit activity and chief audit executive as contained in the internal audit charter. To demonstrate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards, the results of external and periodic internal assess-ments are communicated upon completion of such assessments and the results of ongoing monitoring are communicated at least annually. 4e results include the reviewer’s or review team’s assessment with respect to the degree of conformance.

1321– Use of “Conformswith the International Stan-dards for the Professional Practice of Internal Auditing”Ye chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program sup-port this statement.

Interpretation:4e internal audit activity conforms with the Standards when it achieves the outcomes described in the Definition of Inter-nal Auditing, Code of Ethics, and Standards. 4e results of the quality assurance and improvement program include the results of both internal and external assessments. All internal audit activities will have the results of internal assessments. Internal audit activities in existence for at least five years will also have the results of external assessments.

1322 – Disclosure of NonconformanceWhen nonconformance with the Definition of Internal Auditing, the Code of Ethics, or the Standards impacts the overall scope or operation of the internal audit activity, the chief audit executive must disclose the nonconformance and the impact to senior management and the board.

49

Interpretace:Odborně způsobilý hodnotitel nebo hodnotící tým prokazu-je způsobilost ve dvou oblastech: v profesní praxi interního auditu a v procesu externího hodnocení. Způsobilost může být prokázána kombinací zkušeností a teoretických znalos-tí. Zkušenosti získané ve společnostech obdobných velikostí a složitostí, v obdobném sektoru nebo odvětví, a zkušenosti v oblasti technických aspektů jsou hodnotnější než zkušenosti (z tohoto pohledu) méně relevantní. Jedná-li se o hodnotící tým, nemusí mít všichni členové týmu způsobilost ve všech oblastech, ale kvalifikovaný musí být tým jako celek. K vy-hodnocení, zda hodnotitel nebo hodnotící tým prokazují do-statečnou způsobilost z hlediska kvalifikace, používá vedoucí interního auditu svůj profesní úsudek.

Nezávislost hodnotitele nebo hodnotícího týmu znamená, že nejsou ve skutečném ani zdánlivém konfliktu zájmů a že nejsou součástí nebo nejsou ve sféře vlivu společnosti, k níž náleží funkce interního auditu.

1320 – Podávání zpráv o programu pro zabezpečení a zvyšování kvality interního audituVedoucí interního auditu musí informovat vedení a or-gány společnosti o výsledcích programu pro zabezpečení a zvyšování kvality.

Interpretace:Forma, obsah a frekvence předávání výsledků týkajících se programu pro zabezpečení a zvyšování kvality jsou stanoveny po dohodě s vedením a orgány společnosti a berou v úvahu odpovědnosti interního auditu a jeho výkonného vedení tak, jak jsou stanoveny ve statutu interního auditu. Za účelem prokázání souladu s Definicí interního auditu, s Etickým ko-dexem a se Standardy, jsou výsledky externích hodnocení a vý-sledky pravidelných interních hodnocení předávány po ukon-čení příslušného hodnocení. Výsledky průběžného sledování jsou sdělovány nejméně jednou ročně. Tyto výsledky obsahují hodnocení hodnotitele nebo hodnotícího týmu ohledně stupně souladu.

1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu“Vedoucí interního auditu může deklarovat, že činnost in-terního auditu je v souladu s Mezinárodními standardy pro profesní praxi interního auditu, pouze pokud výsledky pro-gramu pro zabezpečení a zvyšování kvality tuto deklaraci podporují.

Interpretace:Činnost interního auditu je v souladu se Standardy, pokud dosahuje výsledků uvedených v Definici interního auditu, Etickém kodexu a ve Standardech. Výsledky programu pro zabezpečování a zvyšování kvality obsahují jak výsledky interního, tak externího hodnocení kvality. Všechny útvary interního auditu budou mít k dispozici výsledky interního hodnocení. Útvary interního auditu, který existuje alespoň pět let, budou též disponovat výsledky externího hodnocení kvality.

1322 – Informování týkající se nesouladuPokud má nesoulad s Definicí interního auditu, Etickým kodexem nebo Standardy dopad na celkový rozsah působ-nosti a postupy interního auditu, musí vedoucí interního auditu informovat vedení a orgány společnosti o tomto nesouladu a jeho dopadech.

50

PERFORMANCE STANDARDS

2000 – Managing the Internal Audit ActivityYe chief audit executive must effectively manage the in-ternal audit activity to ensure it adds value to the organi-zation.

Interpretation:4e internal audit activity is effectively managed when:• 4e results of the internal audit activity’s work achieve the

purpose and responsibility included in the internal audit charter;

• 4e internal audit activity conforms with the Definition of Internal Auditing and the Standards; and

• 4e individuals who are part of the internal audit activity demonstrate conformance with the Code of Ethics and the Standards.

4e internal audit activity adds value to the organization (and its stakeholders) when it provides objective and relevant assu-rance, and contributes to the effectiveness and efficiency of go-vernance, risk management, and control processes.

2010 – PlanningYe chief audit executive must establish risk-based plans to determine the priorities of the internal audit activity, consistent with the organization’s goals.

Interpretation:4e chief audit executive is responsible for developing a risk-based plan. 4e chief audit executive takes into account the organization’s risk management framework, including using risk appetite levels set by management for the different activi-ties or parts of the organization. If a framework does not exist, the chief audit executive uses his/her own judgment of risks after consultation with senior management and the board.

2010.A1 – Ye internal audit activity’s plan of en-gagements must be based on a documented risk as-

sessment, undertaken at least annually. Ye input of senior management and the board must be considered in this process.

2010.A2 – Ye chief audit executive must identify and consider the expectations of senior management, the board, and other stakeholders for internal audit opinions and other conclusions.

2010.C1 – Ye chief audit executive should consider ac-cepting proposed consulting engagements based on the engagement’s potential to improve management of risks, add value, and improve the organization’s operations. Accepted engagements must be included in the plan.

2020 – Communication and ApprovalYe chief audit executive must communicate the internal audit activity’s plans and resource requirements, includ-ing significant interim changes, to senior management and the board for review and approval. Ye chief audit executive must also communicate the impact of resource limitations.

2030 – Resource ManagementYe chief audit executive must ensure that internal audit resources are appropriate, sufficient, and effectively de-ployed to achieve the approved plan.

Interpretation:Appropriate refers to the mix of knowledge, skills, and other competencies needed to perform the plan. Sufficient refers to the quantity of resources needed to accomplish the plan. Re-sources are effectively deployed when they are used in a way that optimizes the achievement of the approved plan.

2040 – Policies and ProceduresYe chief audit executive must establish policies and pro-cedures to guide the internal audit activity.

51

STANDARDY PRO VÝKON INTERNÍHO AUDITU

2000 – Řízení interního audituVedoucí útvaru interního auditu musí účinně řídit výkon interního auditu tak, aby interní audit přinášel společnosti přidanou hodnotu.

Interpretace:Činnost interního auditu je účinně řízena, pokud: • výsledky interního auditu dosahují účelu a plní odpověd-

nosti stanovené ve statutu interního auditu,• výkon interního auditu je realizován v souladu s Definicí

interního auditu a se Standardy,• jednotlivci, účastnící se výkonu interního auditu, proka-

zují soulad s Etickým kodexem a se Standardy.

Interní audit přidává hodnotu společnosti a ostatním za-interesovaným subjektům (stakeholders) pokud posky-tuje objektivní a náležité ujištění a přispívá k účinnosti a efektivnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů.

2010 – PlánováníNa základě vyhodnocení rizik musí vedoucí útvaru inter-ního auditu vytvořit plány, které v souladu s cíli společ-nosti stanoví priority výkonu interního auditu.

Interpretace:Vedoucí interního auditu je odpovědný za vytvoření plánu založeného na vyhodnocení rizik. Vedoucí interního auditu využívá rámec řízení rizik společnosti, včetně úrovní rizikové tolerance stanovené vedením pro jednotlivé činnosti nebo čás-ti společnosti. Pokud rámec řízení rizik neexistuje, projedná vedoucí interního auditu nejdříve tuto skutečnost s vedením a orgány společnosti a poté použije své vlastní posouzení rizik.

2010.A1 – Plán zakázek interního auditu musí být za-ložen na zdokumentovaném vyhodnocení rizik, které je

prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a orgánů společnosti.

2010.A2 – Vedoucí interního auditu musí identifikovat a vzít v úvahu, co vedení, orgány společnosti a ostatní za-interesované subjekty (stakeholders) očekávají od názorů a dalších závěrů interního auditu.

2010.C1 – Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek s ohledem na schop-nost těchto zakázek zdokonalovat proces řízení rizik, při-nášet přidanou hodnotu a zdokonalovat procesy ve spo-lečnosti. Přijaté zakázky musí být zahrnuty do plánu.

2020 – Komunikace a schvalováníVedoucí útvaru interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich prů-běžných významných změn, k posouzení a schválení vede-ní a orgánům společnosti. Vedoucí interního auditu musí též informovat o dopadech vzniklých v důsledku omezení zdrojů.

2030 – Řízení zdrojůVedoucí interního auditu musí zajistit, aby zdroje inter-ního auditu pro splnění schváleného plánu byly vhodné, dostatečné a účinně rozmístěné.

Interpretace:Vhodnými zdroji se rozumí kombinace znalostí, dovedností a dalších schopností potřebných pro splnění plánu. Dostateč-nými zdroji se rozumí množství zdrojů potřebných pro usku-tečnění plánu. Zdroje jsou účinně rozmístěny, pokud jsou po-užívány způsobem, který vede k dosažení schváleného plánu optimální cestou.

2040 – Zásady a postupyVedoucí interního auditu musí stanovit zásady a postupy, kterými se řídí činnost interního auditu.

52

Interpretation:4e form and content of policies and procedures are depen-dent upon the size and structure of the internal audit activity and the complexity of its work.

2050 – CoordinationYe chief audit executive should share information and coordinate activities with other internal and external pro-viders of assurance and consulting services to ensure prop-er coverage and minimize duplication of efforts.

2060 – Reporting to Senior Management and the Board Ye chief audit executive must report periodically to se-nior management and the board on the internal audit ac-tivity’s purpose, authority, responsibility, and performance relative to its plan. Reporting must also include significant risk exposures and control issues, including fraud risks, governance issues, and other matters needed or requested by senior management and the board.

Interpretation:4e frequency and content of reporting are determined in dis-cussion with senior management and the board and depend on the importance of the information to be communicated and the urgency of the related actions to be taken by senior management or the board.

2070 – External Service Provider and Organizational Responsibility for Internal AuditingWhen an external service provider serves as the internal audit activity, the provider must make the organization aware that the organization has the responsibility for maintaining an effective internal audit activity.

Interpretation4is responsibility is demonstrated through the quality assur-ance and improvement program which assesses conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.

2100 – Nature of WorkYe internal audit activity must evaluate and contribute to the improvement of governance, risk management, and control processes using a systematic and disciplined ap-proach.

2110 – GovernanceYe internal audit activity must assess and make appro-priate recommendations for improving the governance process in its accomplishment of the following objectives:

• Promoting appropriate ethics and values within the or-ganization;

• Ensuring effective organizational performance manage-ment and accountability;

• Communicating risk and control information to ap-propriate areas of the organization; and

• Coordinating the activities of and communicating in-formation among the board, external and internal audi-tors, and management.

2110.A1 – Ye internal audit activity must evaluate the design, implementation, and effectiveness of the organization’s ethics-related objectives, programs, and activities.

2110.A2 – Ye internal audit activity must assess whether the information technology governance of the organization supports the organization’s strategies and objectives.

53

Interpretace:Forma a obsah zásad a postupů jsou závislé na velikosti a struktuře útvaru interního auditu a složitosti jeho práce.

2050 – KoordinaceVedoucí interního auditu by měl sdílet informace a ko-ordinovat činnost s ostatními interními a externími do-davateli obdobných ujišťovacích a poradenských služeb tak, aby bylo zajištěno dostatečné pokrytí auditními a po-radenskými činnostmi a byly minimalizovány duplicity činností.

2060 – Předávání zpráv vedení a orgánům společnostiVedoucí interního auditu musí vedení a orgánům společ-nosti pravidelně předávat zprávy, týkající se účelu, pravo-moci, odpovědností interního auditu a jeho výkonnosti v porovnání s plánem interního auditu. Tyto zprávy musí též obsahovat zjištění týkající se významných rizik, řídi-cího a kontrolního systému, včetně rizik podvodu a dále zjištění ohledně řízení a správy společnosti a dalších záleži-tostí dle potřeb a požadavků vedení a orgánů společnosti.

Interpretace:Četnost a obsah předávaných zpráv jsou stanoveny na zákla-dě diskuse s vedením a orgány společnosti a závisí na důle-žitosti předávaných informací a na naléhavosti souvisejících opatření, které mají být přijaty vedením a orgány společnosti.

2070 – Externí poskytovatel služeb a organizační od-povědnost za provádění interního audituPokud externí poskytovatel služeb provádí činnosti inter-ního auditu, musí upozornit společnost, že odpovědnost za udržování účinného interního auditu má samotná spo-lečnost.

Interpretace:Tato odpovědnost je prokazována prostřednictvím programu pro zabezpečení a zvyšování kvality, který hodnotí soulad s Definicí interního auditu, Etickým kodexem a Standardy.

2100 – Charakter práceInterní audit musí systematicky a metodicky hodnotit procesy řízení a správy společnosti, řízení rizik a řídicí a kontrolní procesy a přispívat k jejich zdokonalování.

2110 – Řízení a správa společnosti Interní audit musí hodnotit a poskytovat vhodná doporu-čení za účelem zdokonalení procesu řízení a správy společ-nosti. V této roli plní následující cíle:

• podpora vhodných etických a hodnotových kritérií v rámci společnosti,

• zajištění účinného řízení výkonnosti společnosti a účin-ného přiřazení zodpovědnosti,

• předávání informací týkajících se rizik a vnitřního řídi-cího a kontrolního systému příslušným organizačním úrovním v rámci společnosti,

• koordinace těchto činností a předávání informací mezi orgány společnosti, externími a interními auditory a ve-dením.

2110.A1 – Interní audit musí hodnotit nastavení, re-alizaci a účinnost cílů, plánů a činností souvisejících s oblastí etických principů dané společnosti.

2110.A2 – Interní audit musí zhodnotit, zda proces řízení a správy informačních technologií společnosti podporuje strategie a cíle společnosti.

54

2120 – Risk ManagementYe internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.

Interpretation:Determining whether risk management processes are effective is a judgment resulting from the internal auditor’s assessment that:

• Organizational objectives support and align with the or-ganization’s mission;

• Significant risks are identified and assessed;• Appropriate risk responses are selected that align risks with

the organization’s risk appetite; and• Relevant risk information is captured and communi-

cated in a timely manner across the organization, en-abling staff, management, and the board to carry out their responsibilities.

4e internal audit activity may gather the information to support this assessment during multiple engagements. 4e results of these engagements, when viewed together, provide an understanding of the organization’s risk management pro-cesses and their effectiveness.

Risk management processes are monitored through ongoing management activities, separate evaluations, or both.

2120.A1 – Ye internal audit activity must evaluate risk exposures relating to the organization’s governance, operations, and information systems regarding the:

• Reliability and integrity of financial and operational information.

• Effectiveness and efficiency of operations and pro-grams.

• Safeguarding of assets; and• Compliance with laws, regulations, policies, proce-

dures, and contracts.

2120.A2 – Ye internal audit activity must evaluate the potential for the occurrence of fraud and how the orga-nization manages fraud risk.

2120.C1 – During consulting engagements, internal auditors must address risk consistent with the engage-ment’s objectives and be alert to the existence of other significant risks.

2120.C2 – Internal auditors must incorporate knowl-edge of risks gained from consulting engagements into their evaluation of the organization’s risk management processes.

2120.C3 – When assisting management in establish-ing or improving risk management processes, internal auditors must refrain from assuming any management responsibility by actually managing risks.

2130 – ControlYe internal audit activity must assist the organization in maintaining effective controls by evaluating their ef-fectiveness and efficiency and by promoting continuous improvement.

2130.A1 – Ye internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within the organization’s governance, operations, and information systems regarding the:

• Reliability and integrity of financial and operational information;

• Effectiveness and efficiency of operations and pro-grams;

• Safeguarding of assets; and• Compliance with laws, regulations, policies, proce-

dures, and contracts.

55

2120 – Řízení rizikInterní audit musí hodnotit účinnost procesů řízení rizik a přispívat ke zdokonalování těchto procesů.

Interpretace:Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem úsudku interního auditora založeném na zhodnocení, že:• cíle společnosti podporují poslání společnosti a jsou s ním

v souladu,• významná rizika jsou identifikována a ohodnocena,• v reakci na rizika jsou podnikány přiměřené kroky, které

dávají do souladu velikost rizika s rizikovou tolerancí spo-lečnosti,

• důležité informace týkající se rizik jsou získávány a včas sdělovány napříč společností; tyto informace umožňují zaměstnancům, vedení a orgánům společnosti vykonávat jejich odpovědnosti.

K podpoře takového zhodnocení může interní audit získávat informace prostřednictvím několika zakázek. Společný po-hled na výsledky těchto zakázek pak poskytuje porozumění procesům řízení rizik ve společnosti a jejich účinnosti.

Procesy řízení rizik jsou sledovány prostřednictvím průběž-ných řídicích činností, samostatných hodnocení nebo pro-střednictvím kombinace obou uvedených činností.

2120.A1 – Interní audit musí hodnotit rizika týkají-cích se řízení a správy společnosti, procesů společnosti a informačních systémů z hlediska:

• spolehlivosti a integrity finančních a provozních in-formací,

• účinnosti a efektivnosti procesů, a plánů,• ochrany aktiv,• dodržování zákonů, předpisů zásad, postupů a smluv.

2120.A2 – Interní audit musí hodnotit možnost výskytu podvodu a způsob, jakým společnost řídí riziko podvodu.

2120.C1 – V průběhu poradenských zakázek se interní auditoři musí zabývat riziky souvisejícími s cíli zakázky a musí být obezřetní vzhledem k existenci dalších vý-znamných rizik.

2120.C2 – Interní auditoři musí při hodnocení procesu řízení rizik dané společnosti používat znalosti rizik získa-né v průběhu poradenských zakázek.

2120.C3 – Při poskytování pomoci vedení při zavádě-ní nebo zlepšování procesů řízení rizik, interní auditoři nesmí přijmout jakoukoli řídicí odpovědnost, která by znamenala skutečné řízení rizik.

2130 – Řízení a kontrola Interní audit musí napomáhat společnosti udržovat účinné řídicí a kontrolní systémy tím, že hodnotí jejich účinnost a efektivnost a podporuje jejich neustálé zdokonalování:

2130.A1 – Interní audit musí v rámci procesů řízení a správy společnosti, procesů a informačních systémů společnosti hodnotit přiměřenost a účinnost řídicích a kontrolních mechanismů reagujících na rizika, a to z hlediska:

• spolehlivosti a integrity finančních a provozních in-formací,

• účinnosti a efektivnosti procesů a plánů,• ochrany aktiv,• dodržování zákonů, předpisů , zásad, postupů a smluv.

56

2130.C1 – Internal auditors must incorporate knowl-edge of controls gained from consulting engagements into evaluation of the organization’s control processes.

2200 – Engagement PlanningInternal auditors must develop and document a plan for each engagement, including the engagement’s objectives, scope, timing, and resource allocations.

2201 – Planning ConsiderationsIn planning the engagement, internal auditors must con-sider:

• Ye objectives of the activity being reviewed and the means by which the activity controls its performance;

• Ye significant risks to the activity, its objectives, re-sources, and operations and the means by which the potential impact of risk is kept to an acceptable level;

• Ye adequacy and effectiveness of the activity’s risk management and control processes compared to a rel-evant control framework or model; and

• Ye opportunities for making significant improve-ments to the activity’s risk management and control processes.

2201.A1 – When planning an engagement for par-ties outside the organization, internal auditors must establish a written understanding with them about objectives, scope, respective responsibilities, and other expectations, including restrictions on distribution of the results of the engagement and access to engagement records.

2201.C1 – Internal auditors must establish an under-standing with consulting engagement clients about objectives, scope, respective responsibilities, and other client expectations. For significant engagements, this understanding must be documented.

2210 – Engagement ObjectivesObjectives must be established for each engagement.

2210.A1 – Internal auditors must conduct a prelimi-nary assessment of the risks relevant to the activity under review. Engagement objectives must reflect the results of this assessment.

2210.A2 – Internal auditors must consider the prob-ability of significant errors, fraud, noncompliance, and other exposures when developing the engagement ob-jectives.

2210.A3 – Adequate criteria are needed to evaluate controls. Internal auditors must ascertain the extent to which management has established adequate criteria to determine whether objectives and goals have been accomplished. If adequate, internal auditors must use such criteria in their evaluation. If inadequate, internal auditors must work with management to develop ap-propriate evaluation criteria.

2210.C1 – Consulting engagement objectives must ad-dress governance, risk management, and control pro-cesses to the extent agreed upon with the client.

2210.C2 – Consulting engagement objectives must be consistent with the organization’s values, strategies, and objectives.

2220 – Engagement ScopeYe established scope must be sufficient to satisfy the ob-jectives of the engagement.

2220.A1 – Ye scope of the engagement must include consideration of relevant systems, records, personnel, and physical properties, including those under the con-trol of third parties.

57

2130.C1 – Interní auditoři musí při hodnocení řídi-cích a kontrolních procesů dané společnosti používat znalosti řídicích a kontrolních mechanismů, které zís-kali v průběhu poradenských zakázek.

2200 – Plánování zakázkyPro každou zakázku musí interní auditoři vypracovat a zdokumentovat plán, který zahrnuje cíle zakázky včetně stanovení rozsahu, načasování a rozvržení zdrojů.

2201 – Přístup k plánováníPři plánování jednotlivých zakázek musí interní auditoři vzít v potaz:

• cíle prověřované činnosti a prostředky, kterými je vý-kon této činnost řízen a kontrolován,

• významná rizika související s touto činností, její cíle, zdroje, postupy a prostředky, použitím kterých je udr-žován možný dopad rizika na přijatelné úrovni,

• přiměřenost a účinnost procesu řízení rizik a řídicích a kontrolních procesů týkajících se prověřované činnos-ti a jejich porovnání s celkovým rámcem nebo mode-lem řízení a kontroly,

• příležitosti pro dosažení významných zdokonalení pro-cesů řízení rizik prověřované činnosti a jejích řídicích a kontrolních procesů.

2201.A1 – Při plánování zakázky, která zahrnuje subjek-ty vně společnosti, musí interní auditoři dospět s těmito subjekty k písemné dohodě týkající se cílů, rozsahu, pří-slušných odpovědností a dalších očekávání, včetně ome-zení distribuce výsledků této zakázky a přístupu k zázna-mům shromážděným v rámci této zakázky.

2201.C1 – Interní auditoři musí dosáhnout shody s klienty poradenské zakázky ohledně cílů, rozsahu, příslušných odpovědností a dalších očekávání klienta. U významných zakázek musí být tato shoda zdoku-mentována.

2210 – Cíle zakázkyKaždá zakázka musí mít stanoveny své cíle.

2210.A1 – Interní auditoři musí provést předběžné ohodnocení rizik souvisejících s prověřovanou činností. Cíle zakázky musí respektovat výsledky tohoto ohod-nocení.

2210.A2 – Při určování cílů auditu musí interní audi-toři zvážit pravděpodobnost výskytu významných chyb, podvodu, odchylek a ostatních rizik.

2210.A3 – K hodnocení řídicích a kontrolních systé-mů je nezbytná existence přiměřených kritérií. Interní auditoři musí zjistit, do jaké míry vedení zavedlo při-měřená kritéria, prostřednictvím kterých lze určit, zda stanovené úkoly a cíle byly splněny. Pokud jsou tato kritéria přiměřená, interní auditoři je musí použít pro svá hodnocení. Pokud nejsou tato kritéria přiměřená, interní auditoři musí ve spolupráci s vedením vytvořit vhodná hodnotící kritéria.

2210.C1 – Cíle poradenské zakázky se musí zaměřovat na procesy řízení a správy společnosti, na procesy řízení rizik a na procesy řízení a kontroly v rozsahu dohodnu-tém s klientem.

2210.C2 – Cíle poradenské zakázky musí být stanove-ny v souladu s hodnotami společnosti, jejími strategie-mi a cíli.

2220 – Rozsah zakázkyStanovený rozsah zakázky musí být dostatečný ke splnění cílů zakázky.

2220.A1 – Při stanovení rozsahu zakázky musí být vza-ty v úvahu příslušné systémy, záznamy, personál a fy-zický majetek včetně majetku, který je pod kontrolou třetích stran.

58

2220.A2 – If significant consulting opportunities arise during an assurance engagement, a specific written un-derstanding as to the objectives, scope, respective re-sponsibilities, and other expectations should be reached and the results of the consulting engagement commu-nicated in accordance with consulting standards.

2220.C1 – In performing consulting engagements, in-ternal auditors must ensure that the scope of the en-gagement is sufficient to address the agreed-upon ob-jectives. If internal auditors develop reservations about the scope during the engagement, these reservations must be discussed with the client to determine whether to continue with the engagement.

2220.C2 – During consulting engagements, internal auditors must address controls consistent with the en-gagement’s objectives and be alert to significant control issues.

2230 – Engagement Resource AllocationInternal auditors must determine appropriate and suffi-cient resources to achieve engagement objectives based on an evaluation of the nature and complexity of each en-gagement, time constraints, and available resources.

2240 – Engagement Work ProgramInternal auditors must develop and document work pro-grams that achieve the engagement objectives.

2240.A1 – Work programs must include the proce-dures for identifying, analyzing, evaluating, and docu-menting information during the engagement. Ye work program must be approved prior to its implementation, and any adjustments approved promptly.

2240.C1 – Work programs for consulting engagements may vary in form and content depending upon the na-ture of the engagement.

2300 – Performing the EngagementInternal auditors must identify, analyze, evaluate, and document sufficient information to achieve the engage-ment’s objectives.

2310 – Identifying InformationInternal auditors must identify sufficient, reliable, rel-evant, and useful information to achieve the engagement’s objectives.

Interpretation:Sufficient information is factual, adequate, and convincing so that a prudent, informed person would reach the same conclusions as the auditor. Reliable information is the best at-tainable information through the use of appropriate engage-ment techniques. Relevant information supports engagement observations and recommendations and is consistent with the objectives for the engagement. Useful information helps the organization meet its goals.

2320 – Analysis and EvaluationInternal auditors must base conclusions and engagement results on appropriate analyses and evaluations.

2330 – Documenting InformationInternal auditors must document relevant information to support the conclusions and engagement results.

59

2220.A2 – Jestliže se v průběhu ujišťovací zakázky obje-ví významný prostor k poskytnutí poradenských služeb, je zapotřebí dosáhnout konkrétní písemné shody týka-jící se cílů, rozsahu a příslušných odpovědností a dal-ších očekávání. Výsledky takové poradenské zakázky by měly být předány v souladu se standardy týkajícími se poskytování poradenství.

2220.C1 – Při provádění poradenských zakázek musí interní auditoři zajistit, aby rozsah zakázky byl dosta-tečný vzhledem k dohodnutým cílům zakázky. Mají-li interní auditoři během zakázky výhrady k jejímu rozsa-hu, musí tyto výhrady projednat s klientem a rozhod-nout, zda pokračovat v práci na této zakázce.

2220.C2 – V průběhu poradenských zakázek se interní auditoři musí zabývat řídicími a kontrolními mecha-nismy, které jsou v souladu s cíli zakázky a musí věnovat pozornost významným aspektům řídicího a kontrolní-ho systému.

2230 – Rozvržení zdrojů v rámci zakázkyNa základě ohodnocení povahy a složitosti každé zakáz-ky, časových omezení a dostupnosti zdrojů musí interní auditoři určit zdroje přiměřené a vhodné ke splnění cílů zakázky.

2240 – Pracovní program zakázky Interní auditoři musí vypracovat pracovní programy, které vedou k dosažení cílů zakázky. Tyto plány musí být zdo-kumentovány.

2240.A1 – Pracovní programy musí zahrnovat postupy pro identifikaci, analýzu, hodnocení a zaznamenávání informací v průběhu zakázky. Pracovní program musí být schválen před jeho realizací, všechny případné změny pracovního programu musí být schváleny neprodleně.

2240.C1 – Pracovní programy poradenských zakázek se mohou lišit svou formou a obsahem, a to v závislosti na charakteru zakázky.

2300 – Realizace zakázkyZa účelem splnění cílů zakázky musí interní auditoři iden-tifikovat, analyzovat, hodnotit a dokumentovat dostatečné informace.

2310 – Identifikace informacíKe splnění cílů zakázky musí interní auditoři identifiko-vat informace, které jsou dostatečné, spolehlivé, relevantní a účelné.

Interpretace:Dostatečná informace je natolik konkrétní, odpovídající a přesvědčivá, že jakákoli uvážlivá a informovaná osoba by dospěla ke stejným závěrům jako auditor. Spolehlivá infor-mace je informace nejlépe získatelná prostřednictvím přísluš-ných postupů pro provedení zakázky. Relevantní informace slouží v rámci dané zakázky k podpoře pozorování a doporu-čení. Relevantní informace je v souladu s cíli zakázky. Účelná informace napomáhá společnosti dosahovat jejích cílů.

2320 – Analýza a hodnoceníInterní auditoři musí závěry a výsledky dané zakázky pod-ložit vhodnými analýzami a hodnoceními.

2330 – Dokumentace informacíInterní auditoři musí dokumentovat související informa-ce, které podporují závěry a výsledky zakázky.

60

2330.A1 – Ye chief audit executive must control ac-cess to engagement records. Ye chief audit executive must obtain the approval of senior management and/or legal counsel prior to releasing such records to external parties, as appropriate.

2330.A2 – Ye chief audit executive must develop re-tention requirements for engagement records, regard-less of the medium in which each record is stored. Yese retention requirements must be consistent with the organization’s guidelines and any pertinent regula-tory or other requirements.

2330.C1 – Ye chief audit executive must develop pol-icies governing the custody and retention of consulting engagement records, as well as their release to internal and external parties. Yese policies must be consistent with the organization’s guidelines and any pertinent regulatory or other requirements.

2340 – Engagement SupervisionEngagements must be properly supervised to ensure ob-jectives are achieved, quality is assured, and staff is devel-oped.

Interpretation:4e extent of supervision required will depend on the profi-ciency and experience of internal auditors and the complex-ity of the engagement. 4e chief audit executive has overall responsibility for supervising the engagement, whether per-formed by or for the internal audit activity, but may designate appropriately experienced members of the internal audit ac-tivity to perform the review. Appropriate evidence of supervi-sion is documented and retained.

2400 – Communicating ResultsInternal auditors must communicate the results of engage-ments.

2410 – Criteria for CommunicatingCommunications must include the engagement’s objec-tives and scope as well as applicable conclusions, recom-mendations, and action plans.

2410.A1 – Final communication of engagement results must, where appropriate, contain internal auditors’ opinion and/or conclusions. When issued, an opinion or conclusion must take account of the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information.

Interpretation: Opinions at the engagement level may be ratings, conclusions, or other descriptions of the results. Such an engagement may be in relation to controls around a specific process, risk, or business unit. 4e formulation of such opinions requires con-sideration of the engagement results and their significance.

2410.A2 – Internal auditors are encouraged to ac-knowledge satisfactory performance in engagement communications.

2410.A3 – When releasing engagement results to par-ties outside the organization, the communication must include limitations on distribution and use of the results.

2410.C1 – Communication of the progress and results of consulting engagements will vary in form and con-tent depending upon the nature of the engagement and the needs of the client.

2420 – Quality of CommunicationsCommunications must be accurate, objective, clear, con-cise, constructive, complete, and timely.

61

2330.A1 – Vedoucí interního auditu musí stanovit pravidla pro přístup k záznamům pořízeným v rámci zakázky. Před zpřístupněním záznamů externím sub-jektům musí vedoucí interního auditu získat souhlas vedení a/nebo právního zástupce.

2330.A2 – Bez ohledu na povahu média, na kterém jsou záznamy uloženy, vedoucí interního auditu musí stanovit požadavky na archivaci záznamů pořízených v rámci zakázky. Tyto požadavky musí být vypracovány v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky.

2330.C1 – Vedoucí interního auditu musí stanovit zásady pro úschovu a archivaci informací pořízených v rámci poradenské zakázky a také zásady pro jejich vy-dání interním a externím subjektům. Tyto zásady musí být v souladu s předpisy společnosti a všemi související-mi regulatorními nebo jinými požadavky.

2340 – Dohled (supervize) nad prováděním zakázkyNad zakázkami musí být prováděn řádný dohled (super-vize) tak, aby bylo zaručeno, že jsou splněny jejich cíle, je zajištěna jejich odpovídající kvalita a že kompetence za-městnanců jsou dostatečné.

Interpretace:Rozsah požadovaného dohledu bude záviset na odbornosti a zkušenostech interních auditorů a na složitosti dané zakáz-ky. Vedoucí interního auditu má celkovou odpovědnost za do-hled nad zakázkou, ať již je prováděna samotným interním auditem nebo jiným subjektem. Vedoucí interního auditu může ale též pověřit tímto prověřením dostatečně zkušené zaměstnance interního auditu. Příslušné doklady týkající se provádění dohledu jsou zdokumentovány a uchovávány.

2400 – Předávání výsledkůInterní auditoři musí předávat informace týkající se vý-sledků zakázky.

2410 – Kritéria komunikaceZprávy musí obsahovat cíl a rozsah zakázky, příslušné zá-věry, doporučení a seznam opatření navržených k odstra-nění nedostatků.

2410.A1 – V případech, kdy je to vhodné, musí závě-rečná zpráva o výsledcích zakázky obsahovat závěry nebo názor interního auditora, popřípadě obojí. Při vydávání názoru nebo závěru se musí zohlednit očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů (stakeholders) a názor nebo závěr musí být podloženy do-statečnou, spolehlivou, relevantní a účelnou informací.

Interpretace:Názory uvedené v zakázce mohou mít formu ratingů, závěrů nebo dalších popisů výsledků. Taková zakázka se může týkat řídicích a kontrolních mechanismů vztahujících se ke speci-fickému procesu, riziku nebo odbornému útvaru. Formulace těchto názorů vyžaduje, aby byly zváženy výsledky zakázky a jejich významnost.

2410.A2 – Interním auditorům se doporučuje, aby v případě uspokojivého výsledku zakázky tuto skuteč-nost zmínili v související zprávě.

2410.A3 – Pokud jsou výsledky zakázky předávány sub-jektům vně společnosti, musí související zpráva obsahovat omezení týkající se distribuce a použití těchto výsledků.

2410.C1 – Informace/zprávy o postupu a výsledcích poradenských zakázek se budou lišit svou formou a ob-sahem, a to v závislosti na charakteru zakázky a potře-bách klienta.

2420 – Kvalita zprávZprávy musí být přesné, objektivní, jasné, stručné, kon-struktivní, úplné a včasné.

62

Interpretation:Accurate communications are free from errors and distortions and are faithful to the underlying facts. Objective communi-cations are fair, impartial, and unbiased and are the result of a fair-minded and balanced assessment of all relevant facts and circumstances. Clear communications are easily under-stood and logical, avoiding unnecessary technical language and providing all significant and relevant information. Con-cise communications are to the point and avoid unnecessary elaboration, superfluous detail, redundancy, and wordiness. Constructive communications are helpful to the engagement client and the organization and lead to improvements where needed. Complete communications lack nothing that is es-sential to the target audience and include all significant and relevant information and observations to support recommen-dations and conclusions. Timely communications are oppor-tune and expedient, depending on the significance of the issue, allowing management to take appropriate corrective action.

2421 – Errors and OmissionsIf a final communication contains a significant error or omission, the chief audit executive must communicate corrected information to all parties who received the origi-nal communication.

2430 – Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing”Internal auditors may report that their engagements are “conducted in conformance with the International Stan-dards for the Professional Practice of Internal Auditing”, only if the results of the quality assurance and improvement program support the statement.

2431 – Engagement Disclosure of Nonconformance When nonconformance with the Definition of Internal Auditing, the Code of Ethics or the Standards impacts a specific engagement, communication of the results must disclose the:• Principle or rule of conduct of the Code of Ethics

or Standard(s) with which full conformance was not achieved;

• Reason(s) for nonconformance; and • Impact of nonconformance on the engagement and the

communicated engagement results.

2440 – Disseminating ResultsYe chief audit executive must communicate results to the appropriate parties.

Interpretation:4e chief audit executive or designee reviews and approves the final engagement communication before issuance and decides to whom and how it will be disseminated.

2440.A1 – Ye chief audit executive is responsible for communicating the final results to parties who can en-sure that the results are given due consideration.

2440.A2 – If not otherwise mandated by legal, statu-tory, or regulatory requirements, prior to releasing re-sults to parties outside the organization the chief audit executive must:

• Assess the potential risk to the organization;• Consult with senior management and/or legal coun-

sel as appropriate; and• Control dissemination by restricting the use of the

results.

2440.C1 – Ye chief audit executive is responsible for communicating the final results of consulting engage-ments to clients.

63

Interpretace:Přesné zprávy neobsahují chyby a zkreslení a věrným způ-sobem odpovídají zjištěným skutečnostem. Objektivní zprá-vy jsou nestranné, nezaujaté a nezkreslené a jsou výsledkem spravedlivého a vyváženého ohodnocení všech souvisejících skutečností a okolností. Jasné zprávy jsou snadno pochopitelné a logické, neobsahují nepotřebné technické výrazy a poskytu-jí všechny významné a relevantní informace. Stručné zprávy jdou k podstatě věci a vyhýbají se nepotřebným podrobným popisům, přemíře detailů, nadbytečnosti informací a rozvláč-nosti. Konstruktivní zprávy přinášejí klientovi a společnosti prospěch a zdokonalení tam, kde je to potřebné. Úplné zprávy nepostrádají nic, co by bylo nezbytné z hlediska cílové skupiny uživatelů a obsahují všechny významné a související informa-ce a pozorování nezbytná pro zdůvodnění doporučení a závě-rů. Včasné zprávy jsou dobře načasované, odpovídajícím způ-sobem reagující na vznik nenadálých situací a to vzhledem k důležitosti zjištěného problému. Včasné zprávy umožňují vedení přijmout odpovídající nápravné opatření. 2421 – Chyby a opomenutíPokud závěrečná zpráva obsahuje závažné chyby nebo opomenutí, musí vedoucí interního auditu poskytnout opravené informace všem osobám, které obdržely původ-ní zprávu.

2430 – Užívání výrazu „Provedeno v souladu s Mezi-národními standardy pro profesní praxi interního au-ditu“ Interním auditorům je doporučeno informovat o tom, že jejich zakázky jsou “Provedeny v souladu s Mezinárodní-mi standardy pro profesní praxi interního auditu”. Tento výraz však mohou použít pouze tehdy, pokud výsledky programu pro zabezpečení a zvyšování kvality toto stano-visko podporují.

2431 – Poskytnutí informací v případě nesouladuPokud má nesoulad s Etickým kodexem a Standardy do-pad na konkrétní zakázku, zpráva o výsledcích musí ob-sahovat:

• výčet zásad nebo pravidel jednání obsažených v Etic-kém kodexu nebo ve Standardech, s kterými nebylo dosaženo souladu,

• důvod(y) nesouladu,• dopad nesouladu na danou zakázku a její výsledky.

2440 – Distribuce výsledkůVedoucí interního auditu musí předat výsledky všem pří-slušným stranám.

Interpretace:Před vydáním závěrečné zprávy o zakázce vedoucí interního auditu nebo jím pověřená osoba tuto zprávu prověří, schválí a rozhodne komu a jak bude distribuována.

2440.A1 – Vedoucí interního auditu odpovídá za pře-dání závěrečných výsledků těm subjektům, které jsou schopny zajistit, že těmto výsledkům bude věnována odpovídající pozornost.

2440.A2 – Pokud není právními, statutárními nebo re-gulatorními požadavky stanoveno jinak, vedoucí inter-ního auditu před předáním výsledků auditu subjektům vně společnosti musí:

• zhodnotit případné riziko hrozící společnosti,• dle potřeby se poradit s vedením a/nebo s právním

zástupcem,• stanovit omezení, za kterých mohou být výsledky po-

užity a zajistit tak kontrolu nad jejich distribucí.

2440.C1 – Vedoucí interního auditu odpovídá za pře-dání závěrečných výsledků poradenských zakázek kli-entům.

64

2440.C2 – During consulting engagements, gover-nance, risk management, and control issues may be identified. Whenever these issues are significant to the organization, they must be communicated to senior management and the board.

2450 – Overall Opinions When an overall opinion is issued, it must take into ac-count the expectations of senior management, the board, and other stakeholders and must be supported by suffi-cient, reliable, relevant, and useful information.

Interpretation:4e communication will identify:• 4e scope, including the time period to which the opinion pertains;• Scope limitations;• Consideration of all related projects including t he reliance on other assurance providers;• 4e risk or control framework or other criteria used as a basis for the overall opinion; and• 4e overall opinion, judgment, or conclusion reached.4e reasons for an unfavorable overall opinion must be stated.

2500 – Monitoring ProgressYe chief audit executive must establish and maintain a system to monitor the disposition of results communi-cated to management.

2500.A1 – Ye chief audit executive must establish a follow-up process to monitor and ensure that man-agement actions have been effectively implemented or that senior management has accepted the risk of not taking action.

2500.C1 – Ye internal audit activity must monitor the disposition of results of consulting engagements to the extent agreed upon with the client.

2600 – Resolution of Senior Management’s Acceptance of RisksWhen the chief audit executive believes that senior man-agement has accepted a level of residual risk that may be unacceptable to the organization, the chief audit executive must discuss the matter with senior management. If the decision regarding residual risk is not resolved, the chief audit executive must report the matter to the board for resolution.

65

2440.C2 – Při poradenských zakázkách mohou být identifikovány problémy v oblasti řízení a správy spo-lečnosti, řízení rizik, a řídicího a kontrolního systému. Pokud jsou tyto problémy pro společnost významné, musí být sděleny vedení a orgánům společnosti.

2450 – Celkové názoryKdyž je vydáván celkový názor musí v něm být zohledně-na očekávání vedení, orgánů společnosti a ostatních za-interesovaných subjektů (stakeholders) a názor musí být podložen dostatečnou, spolehlivou, relevantní a účelnou informací.

Interpretace:Takové sdělení bude zahrnovat: • rozsah, včetně časového období, ke kterému se názor vztahuje, omezení rozsahu,• zvážení všech souvisejících projektů, včetně spolehnutí se na ostatní poskytovatele ujištění,• riziko nebo vnitřní řídicí a kontrolní rámec nebo další kritéria využitá jako základ pro formulaci celkového názoru, a• celkový názor, úsudek nebo závěr, ke kterým se dospělo.• Musí být uvedeny důvody vedoucí k nepříznivému celkovému názoru.

2500 – MonitorováníVedoucí interního auditu musí zavést a udržovat systém, který umožní sledovat, jak se s výsledky předanými vede-ní dále nakládá.

2500.A1 – Vedoucí interního auditu musí zavést pro-ces následné kontroly, který bude sledovat a zaručovat, že nápravná opatření byla účinně provedena, nebo že vedení společnosti převzalo odpovědnost za riziko ne-provedení nápravných opatření.

2500.C1 – Interní audit musí sledovat způsob naklá-dání s výsledky poradenských zakázek v rozsahu do-hodnutém s klientem.

2600 – Rozhodnutí o přijetí rizika vedením společnosti Pokud se vedoucí interního auditu domnívá, že vedení společnosti přijalo takový stupeň zbytkového rizika, kte-rý by mohl být pro tuto společnost nepřijatelný, musí s vedením tuto skutečnost projednat. Pokud se nepodaří dosáhnout rozhodnutí ohledně zbytkového rizika, musí vedoucí interního auditu předat tuto záležitost k vyřešení orgánům společnosti.

66

GLOSSARY

Add ValueYe internal audit activity adds value to the organization (and its stakeholders) when it provides objective and rel-evant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes.

Adequate ControlPresent if management has planned and organized (de-signed) in a manner that provides reasonable assurance that the organization’s risks have been managed effectively and that the organization’s goals and objectives will be achieved efficiently and economically.

Assurance ServicesAn objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization. Examples may include financial, performance, compli-ance, system security, and due diligence engagements.

BoardA board is an organization’s governing body, such as a board of directors, supervisory board, head of an agency or legislative body, board of governors or trustees of a non-profit organization, or any other designated body of the organization, including the audit committee to whom the chief audit executive may functionally report.

CharterYe internal audit charter is a formal document that de-fines the internal audit activity’s purpose, authority, and responsibility. Ye internal audit charter establishes the internal audit activity’s position within the organization; authorizes access to records, personnel, and physical prop-erties relevant to the performance of engagements; and defines the scope of internal audit activities.

Chief Audit ExecutiveChief audit executive describes a person in a senior posi-tion responsible for effectively managing the internal au-dit activity in accordance with the internal audit charter and the Definition of Internal Auditing, the Code of Eth-ics, and the Standards. Ye chief audit executive or others reporting to the chief audit executive will have appropriate professional certifications and qualifications. Ye specific job title of the chief audit executive may vary across orga-nizations.

Code of EthicsYe Code of Ethics of Ye Institute of Internal Auditors (IIA) are Principles relevant to the profession and practice of internal auditing, and Rules of Conduct that describe behavior expected of internal auditors. Ye Code of Ethics applies to both parties and entities that provide internal audit services. Ye purpose of the Code of Ethics is to promote an ethical culture in the global profession of in-ternal auditing.

ComplianceAdherence to policies, plans, procedures, laws, regula-tions, contracts, or other requirements.

Conflict of InterestAny relationship that is, or appears to be, not in the best interest of the organization. A conflict of interest would prejudice an individual’s ability to perform his or her du-ties and responsibilities objectively.

67

VÝKLAD POJMŮ

Add Value – Přinášet přidanou hodnotu Interní audit přidává hodnotu společnosti a ostatním za-interesovaným subjektům (stakeholders) pokud poskytuje objektivní a náležité ujištění a přispívá k účinnosti a efek-tivnosti procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů.

Adequate control – Odpovídající kontrolní a řídicí sys-témy/mechanismyOdpovídající kontrolní a řídicí systémy existují, jestliže vedení společnosti postupuje (plánuje a navrhuje) tako-vým způsobem, který poskytuje přiměřenou jistotu, že rizika organizace jsou účinně řízena a že cíle organizace budou realizovány efektivně a hospodárně.

Assurance services – Ujišťovací služby/popř. audit Objektivní posouzení průkazného materiálu, jehož cí-lem je poskytnutí nezávislého zhodnocení procesů řízení a správy společnosti, řízení rizik a řídicích a kontrolních systémů dané společnosti. Příkladem jsou finanční audi-ty, audity výkonnosti, audity souladu, bezpečností audity a audity prováděné před akvizicí nového subjektu (due diligence).

Board – Orgány společnostiOrgány společnosti jsou řídící orgány, jako jsou předsta-venstvo, dozorčí rada, ředitel instituce nebo legislativního orgánu, řídicí orgány (rada správců) neziskových organiza-cí nebo jakékoli jinak ustanovené řídicí orgány společnos-ti, včetně výboru pro audit, kterému je vedoucí interního auditu funkčně podřízen.

Charter – Statut (vymezení funkcí a působnosti inter-ního auditu)Statutem interního auditu se rozumí písemný dokument, který definuje účel, pravomoci a odpovědnosti interního auditu. Statut určuje postavení interního auditu v rámci

společnosti, oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definu-je rozsah činností interního auditu.

Chief Audit Executive – Vedoucí interního audituVedoucí interního auditu je charakterizován jako osoba v seniorské pozici, která je odpovědná za účinné řízení činnosti interního auditu tak, aby byla v souladu se Statu-tem interního auditu, Definicí interního auditu, Etickým kodexem a se Standardy. Vedoucí interního auditu nebo ostatní, kteří jsou mu podřízeni mají odpovídající profesní certifikaci a kvalifikaci. Specifický název pro pozici vedou-cího interního auditu se může v jednotlivých společnos-tech lišit.

Code of Ethics – Etický kodexEtický kodex Institutu interních auditorů (IIA) tvoří Prin-cipy relevantní profesi a praxi interního auditu a Pravidla jednání, která popisují chování, které je od interních au-ditorů očekáváno. Etický kodex se týká všech jednotlivců a subjektů poskytujících služby interního auditu. Poslá-ním Etického kodexu je celosvětová podpora etického pří-stupu v rámci profese interního auditu.

Compliance – SouladDodržování zásad, plánů, postupů, zákonů, regulatorních norem, smluv a dalších požadavků.

Conflict of Interest – Konflikt/střet zájmůJakýkoliv vztah, který není v nejlepším zájmu dané or-ganizace nebo se takovým jeví. Konflikt zájmů negativně ovlivňuje schopnost jednotlivce vykonávat své funkce ob-jektivně.

68

Consulting ServicesAdvisory and related client service activities, the nature and scope of which are agreed with the client, are intended to add value and improve an organization’s governance, risk management, and control processes without the in-ternal auditor assuming management responsibility. Ex-amples include counsel, advice, facilitation, and training.

ControlAny action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Man-agement plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that ob-jectives and goals will be achieved.

Control EnvironmentYe attitude and actions of the board and management regarding the importance of control within the organiza-tion. Ye control environment provides the discipline and structure for the achievement of the primary objectives of the system of internal control. Ye control environment includes the following elements:

• Integrity and ethical values. • Management’s philosophy and operating style. • Organizational structure. • Assignment of authority and responsibility. • Human resource policies and practices. • Competence of personnel.

Control ProcessesYe policies, procedures, and activities that are part of a control framework, designed to ensure that risks are con-tained within the risk tolerances established by the risk management process.

EngagementA specific internal audit assignment, task, or review activ-ity, such as an internal audit, control self-assessment re-view, fraud examination, or consultancy. An engagement may include multiple tasks or activities designed to ac-complish a specific set of related objectives.

Engagement ObjectivesBroad statements developed by internal auditors that de-fine intended engagement accomplishments.

Engagement Work ProgramA document that lists the procedures to be followed during an engagement, designed to achieve the engage-ment plan.

External Service ProviderA person or firm outside of the organization that has special knowledge, skill, and experience in a particular discipline.

FraudAny illegal act characterized by deceit, concealment, or violation of trust. Yese acts are not dependent upon the threat of violence or physical force. Frauds are perpetrated by parties and organizations to obtain money, property, or services; to avoid payment or loss of services; or to secure personal or business advantage.

GovernanceYe combination of processes and structures implemented by the board to inform, direct, manage, and monitor the activities of the organization toward the achievement of its objectives.

69

Consulting Services – Poradenské službyPoradenská činnost a související klientské služby, jejichž charakter a rozsah jsou dohodnuty s klientem a očekává se od nich přinášení přidané hodnoty a zdokonalení řízení a správy společnosti, řízení rizik a řídicích a kontrolních procesů, aniž by interní auditor přebíral řídicí odpověd-nost. Příkladem jsou právní a jiné poradenství, podpora a školení.

Control – Řídicí a kontrolní mechanismusJakékoli opatření přijaté vedením a orgány společnosti nebo dalšími subjekty s cílem řízení rizika a zvýšení prav-děpodobnosti, že stanovené cíle budou splněny. Vedení plánuje, organizuje a řídí provádění jednotlivých kroků, které poskytnou přiměřenou jistotu, že cíle budou do-saženy.

Control Environment – Kontrolní prostředíPostoje a kroky orgánů a vedení společnosti, týkající se řídicího a kontrolního systému v dané organizaci. Řídicí a kontrolní prostředí poskytuje pravidla a strukturu pro dosažení hlavních cílů systému řízení a kontroly a zahrnu-je tyto prvky:

• integritu a etické hodnoty,• filosofii vedení a styl řízení,• organizační strukturu,• stanovení pravomocí a odpovědností,• zásady a postupy řízení lidských zdrojů,• kvalifikaci zaměstnanců.

Control Processes – Řídicí a kontrolní procesyZásady, postupy a činnosti, které jsou součástí rámce říze-ní a kontroly, a které mají zajistit, že rizika jsou udržována v mezích tolerance rizika, která je stanovena prostřednic-tvím procesu řízení rizik.

Engagement – Zakázka Konkrétní zadání interního auditu, úkol nebo prověřovací činnost (jako jsou např. šetření interního auditu, prověrka sebehodnocení řídicího a kontrolního systému, vyšetřová-ní podvodu nebo poradenství). Zakázka může zahrnovat více dílčích úkolů nebo činností, jejichž cílem je splnění konkrétních stanovených cílů.

Engagement Objectives – Cíle zakázkyŠiroce formulované tvrzení, jímž interní auditoři definují plánované výsledky zakázky.

Engagement Work Program – Pracovní plán zakázkyDokument obsahující postupy, které mají být použity v průběhu zakázky a které slouží ke splnění plánu zakázky.

External Service Provider – Externí poskytovatel služebOsoba nebo firma, vně dané společnosti, která má v určité oblasti specifické znalosti, dovednosti a zkušenosti.

Fraud – Podvod Jakákoli nezákonná činnost, při které dochází k podvod-nému jednání, zatajování informací a narušení důvěry. Při této činnosti nemusí dojít k pohrůžce násilím nebo fyzic-kým násilím. Podvody páchají jednotlivci i společnosti s cílem získat finanční prostředky, majetek nebo služby, vyhnout se platbě za určité služby nebo jejich ztrátě a za-jistit si osobní nebo podnikatelské zvýhodnění.

Governance – Řízení a správa organizaceKombinace procesů a struktur zavedených orgány společ-nosti za účelem informování, kontroly, řízení a monito-rování činností organizace směrem k dosažení jejích cílů.

70

ImpairmentImpairment to organizational independence and individ-ual objectivity may include personal conflict of interest, scope limitations, restrictions on access to records, person-nel, and properties, and resource limitations (funding).

IndependenceYe freedom from conditions that threaten the ability of the internal audit activity to carry out internal audit re-sponsibilities in an unbiased manner.

Information Technology ControlsControls that support business management and gover-nance as well as provide general and technical controls over information technology infrastructures such as ap-plications, information, infrastructure, and people.

Information Technology GovernanceConsists of the leadership, organizational structures, and processes that ensure that the enterprise’s information technology sustains and supports the organization’s strate-gies and objectives. Internal Audit ActivityA department, division, team of consultants, or other practitioner(s) that provides independent, objective assur-ance and consulting services designed to add value and improve an organization’s operations. Ye internal audit activity helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of governance, risk manage-ment and control processes.

International Professional Practices FrameworkYe conceptual framework that organizes the authorita-tive guidance promulgated by Ye IIA. Authoritative Guidance is comprised of two categories – (1) mandatory and (2) endorsed and strongly recommended.

MustYe Standards use the word “must” to specify an uncondi-tional requirement.

ObjectivityAn unbiased mental attitude that allows internal auditors to perform engagements in such a manner that they be-lieve in their work product and that no quality compro-mises are made. Objectivity requires that internal auditors do not subordinate their judgment on audit matters to others.

Residual RiskYe risk remaining after management takes action to re-duce the impact and likelihood of an adverse event, in-cluding control activities in responding to a risk.

RiskYe possibility of an event occurring that will have an im-pact on the achievement of objectives. Risk is measured in terms of impact and likelihood.

Risk AppetiteYe level of risk that an organization is willing to accept.

Risk ManagementA process to identify, assess, manage, and control poten-tial events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives.

71

Impairment – NarušeníNarušení organizační nezávislosti a individuální objekti-vity může zahrnovat osobní konflikt zájmu, omezení roz-sahu, omezení přístupu k dokladům, osobám a majetku a omezení zdrojů (finančních).

Independence – NezávislostNepřítomnost stavu, který ohrožuje schopnost interního auditu vykonávat odpovědnosti interního auditu nezauja-tým způsobem.

Information Technology Controls – Kontrolní mecha-nismy v oblasti informačních technologií Kontrolní mechanismy, které podporují řízení společnosti a její správu, a současně poskytují celkovou a technickou kontrolu nad prvky infrastruktury informačních techno-logií, kterými jsou např. aplikace, informace, infrastruktu-ra a personál.

Information Technology Governance – Řízení a správa informačních technologiíJejími prvky jsou řízení, organizační struktura a procesy, které zajišťují, že informační technologie trvale podporují strategii a cíle společnosti a jsou s nimi v souladu.

Internal Audit Activity – Interní auditÚtvar, divize, poradenský tým nebo jiní odborníci, kteří poskytují nezávislé, objektivní, ujišťovací a konzultační služby, jejichž účelem je přidávání hodnoty a zdokonalo-vání procesů ve společnosti. Interní audit pomáhá spo-lečnosti dosahovat jejích cílů tím, že přináší systematický metodický přístup k hodnocení a zdokonalování účinnos-ti procesů řízení a správy společnosti, řízení rizik a procesů řízení a kontroly.

International Professional Practices Framework – Me-zinárodní rámec pro profesní praxiKoncepční rámec závazných směrnic stanovených IIA. Závazné směrnice sestávají ze dvou kategorií – (1) povinné a (2) podporované a důrazně doporučené.

Must – MusetStandardy používají slovo „muset“ pro vyjádření bezpod-mínečného požadavku.

Objectivity – ObjektivitaNezaujatý myšlenkový postoj, který umožňuje interním auditorům provádět zakázky takovým způsobem, který zajišťuje důvěru ve výsledek jejich práce a zamezuje přijí-mání kompromisů ohledně kvality. Objektivita vyžaduje, aby interní auditoři nepodřizovali svůj úsudek týkající se předmětu auditu jiným subjektům nebo jedincům.

Residual Risk – Zbytkové (reziduální) rizikoRiziko přetrvávající poté, co vedení přijme opatření ome-zující dopad a pravděpodobnost nepříznivé události, včet-ně zavedení řídicích a kontrolních postupů reagujících na riziko.

Risk – RizikoMožnost, že dojde k určité události, která bude mít ne-gativní vliv na dosažení stanovených cílů. Riziko se měří na základě jeho dopadu a pravděpodobnosti výskytu.

Risk Appetite – Riziková toleranceÚroveň rizika, kterou je společnost ochotna přijmout.

Risk Management – Řízení rizikProces identifikace, ohodnocení, řízení a kontroly možné-ho výskytu událostí a situací za účelem poskytnutí přimě-řeného ujištění ohledně dosažení cílů společnosti.

72

ShouldYe Standards use the word “should” where conformance is expected unless, when applying professional judgment, circumstances justify deviation.

SignificanceYe relative importance of a matter within the context in which it is being considered, including quantitative and qualitative factors, such as magnitude, nature, effect, rel-evance, and impact. Professional judgment assists inter-nal auditors when evaluating the significance of matters within the context of the relevant objectives.

StandardA professional pronouncement promulgated by the In-ternal Audit Standards Board that delineates the require-ments for performing a broad range of internal audit ac-tivities, and for evaluating internal audit performance.

Technology-based Audit TechniquesAny automated audit tool, such as generalized audit soft-ware, test data generators, computerized audit programs, specialized audit utilities, and computer-assisted audit techniques (CAATs).