Zavedení funkce interního auditu (IA) je pro regulované subjekty ve finančním sektoru vyžadováno jak evropskou, tak národní legislativou (např. MiFID II, AIFMD, ZPKT, ZISIF, CRD IV, Solvency II), přičemž nutnost a rozsah IA se posuzuje na základě principu vhodnosti a přiměřenosti s ohledem na povahu, rozsah a složitost podnikatelské činnosti.
Úvěrové instituce a velcí obchodníci s cennými papíry
Banky, spořitelní a úvěrová družstva, vybraní obchodníci s cennými papíry podléhají klíčovým předpisům Capital Requirements Directive (CRD IV) a Capital Requirements Regulation (CRR), které byly promítnuty do národních právních předpisů (zákon č. 21/1992 Sb., o bankách, zákon č. 256/2004, o podnikání na kapitálovém trhu a další) a do Vyhlášky ČNB č. 163/2014 Sb. Interní audit je v tomto sektoru detailně upraven, zejména v § 49 zmíněné vyhlášky. V oblasti CRR je povinností interního auditu alespoň jednou ročně ověřit funkčnost a soulad s regulací v klíčových oblastech, jako jsou interní modely pro úvěrové, tržní a operační riziko. Interní audit ověřuje také správnost zařazování instrumentů do obchodního portfolia a obezřetnost oceňování pozic ve finančních instrumentech.
Pojišťovny a zajišťovny
Pro ně je povinnost silného řídícího a kontrolního systému zakotvena v rámci konceptu Solventnost II, tedy Směrnice 2009/138/ES, která byla transponována do Zákona o pojišťovnictví. Interní audit je v rámci tohoto konceptu definován jako jedna z klíčových funkcí a požadavky na jeho funkci u pojišťoven jsou analogické jako u úvěrových institucí. Interní audit představuje třetí linii obrany (po sebekontrole a funkcích řízení rizik/compliance) a musí být objektivní a nezávislý. Při plánování činnosti interního auditu v sektoru pojišťoven je kladen důraz na uplatňování rizikového pohledu.
Menší obchodníci s cennými papíry a větší investiční zprostředkovatelé
Další skupinou povinných osob jsou menší obchodníci s cennými papíry a větší investiční zprostředkovatelé (IZ) pro něž je základní povinnost těchto subjektů mít mechanismy vnitřní kontroly (včetně procedur pro posouzení rizik) vyplývá z transpozice Nařízení EU 2017/565 (dále MiFID II) do § 12a odst. 1 ZPKT. MiFID II ukládá povinnost zřídit a udržovat funkci interního auditu, pokud je to vhodné a přiměřené s ohledem na povahu, rozsah a složitost činnosti. ČNB dále ve svém stanovisku vymezuje, kdy je interní audit velmi doporučován i pro IZ. Za vhodnou a přiměřenou považuje ČNB potřebu interního auditu typicky tehdy, pokud IZ využívá distribuční řetězec v podobě vyšších desítek zaměstnanců (pracovníků) nebo vázaných zástupců, v závislosti i na dalších aspektech činnosti.
Investiční společnosti a samosprávné fondy
Jsou taktéž povinnými osobami ohledně interního auditu, což vyplývá z evropské regulace (př. Nařízení EU 231/2013 - AIFMR) i z tuzemského ZISIF. V ZISIF je funkce interního auditu zavedena hned ve dvou oblastech, a to jak v rámci řídícího a kontrolního systému administrátora, tak u obhospodařovatele.
Funkce interního auditu je neustále rozšiřována novou regulací, jako je nařízení DORA (Nařízení EU 2022/2554) nebo MiCA (Nařízení EU 2023/1114). Podle nařízení DORA je nezávislost interních auditních funkcí vymezena mj. v čl. 6 odst. 4, přičemž jedinou výjimku z povinnosti auditu IKT mají mikropodniky. Povinnost auditu nezávislými auditory se u druhého uvedeného unijního předpisu vztahuje například na poskytovatele služeb souvisejících s kryptoaktivy neboli CASP, jež podrobněji upravuje hlava V nařízení MiCA. Tyto předpisy zvyšují tlak na odbornost a kapacity IA, neboť IA musí ověřovat funkčnost a soulad i v technicky náročných oblastech, například v rámci interních modelů pro řízení rizik a zajištění auditovatelnosti digitálních transakcí.
IA musí být zřízen jako objektivní a nezávislá funkce na provozních činnostech a je povinen posoudit vhodnost celého rámce správy a řízení, včetně ověřování souladu postupů s platnými zákony a předpisy. Funkce interního auditu nesmí být formální.
Naše společnost nabízí služby interního auditu pro finanční instituce formou outsourcingu. Při využití těchto služeb získáte:
- Nezávislý přístup a odbornost: Získáte přístup ke kvalifikovaným interním auditorům, kteří dokážou ověřovat procesy ve finančních subjektech. Tím, že se auditoři nepodílejí na jiné činnosti ve společnostech jsou mimo střet zájmů a jsou nezávislí.
- Splnění regulatorní požadavků: Pomůžeme vám eliminovat rizika spojená s formálním a nedostatečným pojetím interního auditu, které ČNB rozporuje. Naše audity jsou komplexní, zaměřené na procesy a rizika. Výstupem jsou kvalifikované zprávy pro management společnosti.
- Přidanou hodnotu pro management: Zkušený interní auditor by měl poskytovat "přidanou hodnotu" a hodnotící názory, které slouží jako podpora pro rozhodování vedení. Zajistíme, že vaše interní kontrola funguje, a doporučíme jasná opatření, která posílí procesní jistotu.
Kontaktujte nás, rádi vám pomůžeme se zavedením či posílení interního auditu ve vaší společnosti. Proměňte regulatorní požadavek ve vaši konkurenční výhodu.
