Kauza se točí kolem daru v kryptoměně a následné aukce. Auditorské shrnutí uvádí, že úřad nevyhodnotil všechna rizika, čímž mohl porušit povinnosti dané zákonem o finanční kontrole. Podstatné je i to, že se pokračovalo v prodeji, přestože se objevila informace o zajištění části bitcoinů policií. Na definitivní závěry se čeká až po zveřejnění celé zprávy a po dalším postupu policie a soudů.

Audit naznačuje porušení zákona o finanční kontrole. Co tento zákon řeší a kde mohlo dojít k pochybení?

Zjednodušeně řečeno jde o to, aby se při nakládání s veřejnými prostředky dodržovaly právní předpisy, aby si organizace veřejného sektoru byla vědoma všech možných rizik a aktivně jim předcházela či je řešila. Důležité je také to, aby hospodaření na straně příjmů i výdajů splňovalo zásady hospodárnosti, účelnosti a efektivity - například aby se pořizovalo jen to, co je skutečně potřeba, v odpovídající kvalitě a za přiměřenou cenu.

Jak má podle vás fungovat nezávislý interní audit, aby se chyby neopakovaly?

Začnu obecněji: téměř každá země si prošla tím, čemu se říká "auditní tsunami". Česká veřejná správa není výjimkou. Všechno se začne nezávisle auditovat a kontrolovat, až se nakonec přestane skutečně rozhodovat. Auditní zprávy pak slouží jako univerzální alibi, že věci nešlo udělat lépe.

Interní audit ale může ukázat, jak upravit procesy a komunikaci, aby se podobným problémům předcházelo. Stejně důležitý je i manažerský přístup. Nestačí jen formálně odškrtávat kolonky, je potřeba kvalifikovaně zvažovat přínosy a rizika jednotlivých kroků veřejné správy. Jen tak budou rozhodnutí informovanější a celý sektor bude fungovat efektivněji.

Jaký je rozdíl mezi interním a externím auditem - a proč je dobré mít oba?
Interní audit provádějí zaměstnanci úřadu, kteří sice spadají přímo pod ministra, ale zároveň musí fungovat nezávisle a dodržovat přísné etické a profesní standardy. Jejich práce se řídí ročním plánem vycházejícím z analýzy rizik, ale mohou provádět i mimořádné, tzv. ad hoc audity. Interní audit je tedy nedílnou součástí systému řízení a prevence rizik.

Externí auditorská firma se naopak najímá pro konkrétní úkol nebo zakázku. I ta musí postupovat podle jasných etických a profesních pravidel. V citlivých kauzách je však klíčovým faktorem důvěra veřejnosti, a proto se běžně přizve externí firma. U ní se předpokládá nezávislost a absence vazeb na vedení ministerstva. Ta si následně vyžádá podklady, včetně interního auditu. Najímání externích auditorů je v podobných případech zcela obvyklým postupem.

Mělo ministerstvo nástroje na poctivou předběžnou kontrolu před přijetím daru?

Předběžná kontrola znamená vyhodnotit všechna rizika ještě před přijetím peněz a zvážit účelnost. Ze shrnutí externího auditu plyne, že tady mohlo dojít k pochybení. Ale bez kompletního přístupu k plné verzi auditu nejde v této fázi dělat nějaké zásadní soudy…

Co audit označil jako nejzávažnější?

Podle mě fakt, že nebyla vyhodnocena všechna rizika - odtud se odvíjí zbytek kauzy, včetně pokračování aukce poté, co ministerstvo mělo informace, že policie část bitcoinů zajistila. Zákon klade důraz na práci s riziky, ale popisuje ji obecně. V reálné praxi se však požadavek na vyhodnocení rizik a práci s riziky realizuje spíš ve formální rovině. To znamená, že se učiní často záznam, že kontrola proběhla a nebyla identifikována žádná rizika.

Jak nastavit pravidla pro přijímání darů v digitálních aktivech?

Potřebujeme obecný rámec pro veřejný sektor, jak s kryptem zacházet a jak řídit jeho rizika. Konkrétní pravidla přijetí mohou orgány doplnit vlastními interními předpisy.

Jak se ve výsledcích auditu odráží odpovědnost jednotlivých aktérů?
Shrnutí říká, že ministerstvo mělo informace o možném kriminálním původu daru, přesto se v transakci pokračovalo. To se mělo promítnout do posouzení rizikovosti a do péče řádného hospodáře. Všechny kroky finanční kontroly a analýzy rizik - měly být hotové před přijetím daru a později při aukci měly zohlednit nové informace. Auditoři konstatují, že postup nebyl systematický. Možná proběhly dílčí kontrolní kroky, ale ne celkové vyhodnocení.

Kdo měl zajistit právní stanovisko a proč se to nestalo?

Odpovědnost vyplývá z organizační struktury ministerstva a náplně práce jednotlivých aktérů. Potřebovali bychom ale zápisy z porad a detail komunikace uvnitř úřadu i směrem k policii či financím. Audit je nezávislé posouzení a ukazuje manažerské selhání a problémy v řízení rizik, ale jeho závěry nemusí být úplné. O odpovědnosti má smysl mluvit až po zveřejnění kompletních výsledků a trestněprávní rovina je pak na policii a soudech.

Možná zde dojde i k paradoxní situaci, že stát vlivem růstu ceny bitcoinu na celé transakci vydělá a nevznikne žádná škoda, samozřejmě kromě reputační. Ale pointa celé kauzy je, že odpovědní politici a úředníci měli zvážit reálná rizika, která mohla nastat - a to se zřejmě nestalo. Pokud na tom nakonec stát vydělá, tak to bude spíš štěstí v neštěstí než zásluha profesionálního řízení.

Jaké varovné signály (třeba vazby na darknet) se podle vás přehlížely?

Střetly se dvě roviny. Formální přístup byl, že je dárce "papírově" čistý a není přímý důkaz o zločinném původu kryptoměny, takže vše je OK. Manažerský přístup: jde o velké peníze, bitcoiny, reputaci - shromážděte maximum informací z veřejných i neveřejných zdrojů a rozhodujte informovaně.

To je obecný problém naší veřejné správy. Bije se tady často formální výklad zákonů a předpisů s manažerským přístupem, který víc reflektuje rizika, přínosy a benefity. Současný stav nahrává udržování statusu quo, který často znamená, že operace jsou formálně pořádku, dodržují se zákony atd., ale z hlediska managementu a přínosu pro společnost ta operace nemusí dávat žádný smysl.

V čem selhala koordinace mezi ministerstvem spravedlnosti, policií a dalšími orgány?

Pro nás pozorovatele zvenčí to vypadá na přístup v duchu "my jsme si odehráli svoje, jsme z obliga, a jak k tomu přistoupí kolegové z druhého ministerstva, nás nezajímá". Tomu se říká resortismus.

Jak se má stát připravit na častější případy digitálních aktiv?

Podle mého názoru je tahle zkušenost tak názorná, že si odteď si dá veřejný sektor velký pozor na cokoliv, co souvisí s bitcoinem. Je ale nutné mít nějaký rámec, jak zacházet s kryptem ve veřejné správě.