Základní info
Den 1: Riziko, jeho kontext a metodika řízení rizik.
1. Role interního auditu ve vztahu k rizikům:
- Rozdíl mezi řízením rizik a auditem řízení rizik,
- interní audit jako nezávislé ujištění,
- vazba na správu a řízení organizace, řízení rizik a vnitřní kontrolní systém,
- hranice odpovědnosti interního auditu a managementu.
2. Co je riziko a proč nestačí jednoduchá tabulka:
- Rriziko jako účinek nejistoty na cíle,
- běžný model dopad × pravděpodobnost,
- výhody a limity rizikových matic,
- proč stejný výpočet může znamenat odlišnou závažnost.
3. Kontext rizika:
- Čeho se dopad týká,
- na co se vztahuje pravděpodobnost,
- proč hrozba sama o sobě není riziko,
- aktivum / objekt dopadu jako základ smysluplného hodnocení.
4. Aktiva, hrozby, zranitelnosti a dopady:
- Primární a podpůrná aktiva,
- hrozba jako působící faktor,
- zranitelnost jako důvod, proč hrozba může uspět,
- dopad ve vazbě na cíle a hodnotu organizace,
- vztah mezi rizikem a kontrolou.
5. Metodika řízení rizik jako předmět auditu:
- Co má metodika řízení rizik obsahovat,
- proč metodika není formalita,
- konzistence hodnocení napříč organizací,
- katalogy hrozeb a zranitelností jako pomůcka, nikoliv dogma,
- typické chyby v registrech rizik.
Den 2: Rizikově orientovaný interní audit v praxi.
6.Rizikově orientovaný plán interního auditu:
- Auditní univerzum,
- zdroje informací o rizicích,
- vazba plánu interního auditu na významná rizika organizace,
- co dělat, pokud registr rizik není použitelný,
- rozdíl mezi plánováním podle rizik a plánováním podle zvyku.
7. Riziko na úrovni auditní zakázky:
- Cíle auditované oblasti,
- identifikace relevantních rizik,
- vazba riziko – kontrola – testování – zjištění,
- formulace auditního zjištění přes riziko,
- doporučení jako reakce na konkrétní riziko.
8. Audit metodiky a systému řízení rizik:
- Jak posuzovat, zda metodika řízení rizik odpovídá potřebám organizace,
- jak ověřit, zda je metodika skutečně používána,
- jak hodnotit kvalitu registru rizik,
- jak posuzovat vazbu mezi riziky, kontrolami a rozhodováním vedení,
- rozdíl mezi existencí systému a jeho účinností.
9.Typické chyby v praxi:
- Rriziko bez vlastníka,
- dopad bez objektu,
- hrozba vydávaná za riziko,
- opatření bez vazby na riziko,
- kontrola bez ověřitelného účelu,
- registr rizik jako formální evidence bez dopadu na řízení,
- audit kontroluje dokument, ale nefunkční systém mu unikne.
10. Praktická aplikace:**
- Rozbor jednoduchého modelového příkladu,
- identifikace cíle, rizika, kontroly a zjištění,
- formulace auditního závěru ve vazbě na riziko,
- diskuse nad využitelností v praxi interního auditu.
