Analýza rizik a plánování vnitřního auditu
10. Plánování činnosti a rozvrhování kapacit vnitřních auditorů je založeno na analýze rizik.
11. Analýza rizik hodnotí míru rizik spojených s jednotlivými činnostmi povinné osoby tak, že zohlední pravděpodobnost selhání řídicího a kontrolního systému v jednotlivých oblastech a míru možné ztráty z tohoto selhání vyplývající. Výstup z provedené analýzy rizik předkládá osoba ve vedení funkce vnitřního auditu řídicímu orgánu, případně výboru pro audit, k projednání. Odlišné názory řídicího orgánu nebo výboru pro audit na výstup z analýzy rizik jsou zdokumentovány.
12. Na základě analýzy rizik sestavuje osoba ve vedení funkce vnitřního auditu návrh strategického a periodického plánu vnitřního auditu. Při přípravě plánu vyžaduje a vyhodnocuje podněty vedoucího orgánu, případně výboru pro audit, osob ve vrcholném vedení, zohledňuje požadavky příslušných právních předpisů na prověření vnitřním auditem a přihlíží k dalším významným relevantním požadavkům, informacím a skutečnostem, zejména k nově zaváděným činnostem povinné osoby a k obsahu zpráv orgánů dohledu. Zároveň bere v úvahu činnost vnitřního auditu jiných osob, které jsou členem téže skupiny, pokud je to relevantní, a auditora.
13. Plány činnosti vnitřního auditu jsou před schválením řídicím orgánem předloženy k projednání kontrolnímu orgánu, případně výboru pro audit. Důvody změn plánů vnitřního auditu jsou zdokumentovány.
14. Strategický plán vnitřního auditu je sestavován na období tří až pěti let. Strategický plán zajišťuje, že činnost vnitřního auditu je efektivně rozvržena na příslušné období (tří až pěti let), jsou zohledněna strategická rozhodnutí vedoucího orgánu povinné osoby a rizikovost jednotlivých činností a je určena předpokládaná perioda ověřování. Strategický plán je v návaznosti na provedenou analýzu rizik případně aktualizován.
15. Periodický plán vnitřního auditu je sestavován na období jednoho roku nebo kratší časový úsek. Periodický plán určuje cíl, předmět a termín plánovaných vnitřních auditů. Periodický plán dále rozvrhuje kapacitu na plánované vnitřní audity, mimořádné vnitřní audity, vzdělávání a ostatní činnosti.