Definice, účel a přidaná hodnota externího auditu
Externí audit je nezávislé ujištění poskytované kvalifikovaným auditorem o tom, že účetní závěrka a související informace věrně a poctivě zobrazují finanční situaci a výsledky hospodaření účetní jednotky v souladu s uplatněným rámcem finančního výkaznictví. Základním úkolem je zvýšit důvěryhodnost informací pro akcionáře, věřitele, regulátory a širší kapitálový trh, přičemž audit zároveň přináší sekundární užitky ve formě zlepšení procesů, interních kontrol a kvality dat.
Rámec a principy: standardy, etika a nezávislost
- Mezinárodní standardy auditu (ISA): definují postupy plánování, provedení a vykazování auditu (např. ISA 200 – celkové cíle, ISA 315 – identifikace a posouzení rizik, ISA 330 – reakce auditora na rizika, ISA 700 – zpráva auditora).
- Etika a nezávislost: etický kodex pro účetní a auditory (IESBA) požaduje integritu, objektivitu, profesionální způsobilost, mlčenlivost a profesionální chování. V praxi se řídí hrozbami (vlastnický zájem, sebekontrola, advokacie, familiárnost, zastrašování) a vhodnými zárukami (rotace partnera, oddělení týmů, přehledy nezávislosti).
- Řízení kvality: požadavky systémů řízení kvality v auditorských firmách (např. ISQM 1/2) – řízení rizik kvality, dohled a inspekce spisů (EQCR).
Rozsah a typy auditů
- Audit individuální účetní závěrky: základní mandát na úrovni účetní jednotky.
- Audit konsolidované skupiny: koordinace práce komponentních auditorů, sladění významnosti a rizik (ISA 600).
- Zvláštní zakázky ujišťování: přehledné ujištění, dohodnuté postupy, ujišťování nefinančních informací (ISAE 3000, např. udržitelnost/ESG, skleníkové plyny – ISAE 3410).
- Forenzní a vyšetřovací práce: specializované na podezření z podvodu, nejsou náhradou finančního auditu.
Fáze externího auditu: od přijetí klienta po uzavření spisu
- Přijetí a pokračování spolupráce: hodnocení integrity managementu, rizik angažovanosti, konfliktů zájmů a nezávislosti.
- Plánování: pochopení podnikání, prostředí a interního kontrolního systému; stanovení významnosti; identifikace a posouzení rizik významných nesprávností.
- Návrh strategie a programu auditu: kombinace testů kontrol a věcných postupů (substantivních testů a analytiky).
- Realizace testů: shromažďování přiměřených a dostatečných důkazů, průběžná komunikace s vedením a orgány správy.
- Uzavření a vykazování: celkové vyhodnocení zkreslení, závěr o going concern, následné události, písemná prohlášení vedení, zpráva auditora a dopis managementu.
Významnost (materialita) a tolerovaná úroveň zkreslení
Významnost je práh, nad kterým by rozumný uživatel považoval zkreslení za důležité pro své rozhodování. Stanovuje se pro účely účetní závěrky jako celku a alokuje se na jednotlivé oblasti (výkonná významnost). Orientační benchmarky (příklad): 5–10 % zisku před zdaněním, 0,5–1 % tržeb, 1–2 % aktiv nebo vlastního kapitálu – podle kontextu a stability výsledků. Kromě kvantitativních faktorů se berou v úvahu i kvalitativní aspekty (porušení kovenantů, podvod, vliv na trendy).
Posuzování rizik a interní kontrolní systém
- Model rizika auditu: AR = IR × CR × DR (inherentní × kontrolní × detekční riziko). Auditor upravuje detekční riziko rozsahem a povahou testů.
- Komponenty kontrol podle rámce COSO: kontrolní prostředí, posuzování rizik, kontrolní činnosti, informace a komunikace, monitorování.
- Kritické procesy: tržby, zásoby, dlouhodobý majetek (odpisy/impairment), finanční instrumenty (oceňování), rezervy a závazky, příjmy a hotovost.
Podvod a neúmyslné chyby: profesionální skepticismus
Auditor plánuje a provádí audit s vědomím, že existuje riziko podvodu (ISA 240). Hodnotí trojúhelník podvodu (motivace, příležitost, racionalizace), vykonává brainstorming rizik, zaměřuje postupy na manipulaci s tržbami, fiktivní obchodní případy, management override a zneužití odhadů. Profesionální skepticismus znamená kritické hodnocení důkazů, nikoli nedůvěru za každou cenu.
Auditorské důkazy: povaha, zdroj, spolehlivost
| Druh důkazu | Příklady | Relativní spolehlivost |
|---|---|---|
| Externí přímé potvrzení | Bankovní potvrzení, potvrzení pohledávek, právní listiny | Velmi vysoká |
| Externí nezávislé doklady | Výpisy, smlouvy, faktury od třetích stran | Vysoká |
| Interní doklady podpořené kontrolami | ERP reporty, schvalovací workflow | Střední |
| Dotazy a vysvětlení | Rozhovory s managementem | Nízká (nutné koroborovat) |
| Analytické postupy | Poměry, trendy, regrese | Střední až vysoká (dle kvality dat) |
Analytické postupy a data analytics
- V plánování: analýza trendů, poměrů, sezónnosti a anomálií na vysoké úrovni.
- Substantivní analytika: přesně formulovaná očekávání (např. tržby = počet jednotek × průměrná cena), kvantifikace akceptovatelného rozdílu a test přesnosti.
- Pokročilá analytika: testy integrity dat, vizualizace datových populací, Benford, shlukování, odhalení transakčních řetězců, process mining v ERP, sledování schvalovacích vzorců.
Vzorkování a výběr položek
Auditor často testuje reprezentativní vzorek populace. Při statistickém vzorkování jsou využívány pravděpodobnostní výběry a intervaly spolehlivosti; nestatistické se opírají o profesionální úsudek. Metody zahrnují MUS (monetary-unit sampling) zaměřené na nadhodnocení, stratifikaci podle rizika a cílený výběr položek (cut-off, neobvyklé zápisy, velké a rizikové transakce).
Testování kontrol a věcné postupy
- Testy kontrol: vhodné, pokud auditor spoléhá na účinnost kontrol (např. trojité schvalování plateb, three-way match, automatizované IT kontroly, segregace povinností).
- Věcné testy detailů: shoda dokladů, potvrzení, fyzické inventury, přepočty odpisů a rezerv, revize smluv, cut-off testy.
- Substantivní analytika: jako doplněk nebo alternativa k testům detailů při předvídatelných vztazích.
Oceňování, odhady a manažerský úsudek
Největší rizika jsou soustředěna v účetních odhadech (očekávané kreditní ztráty, impairment goodwillu, oceňování derivátů, rezervy na spory). Auditor hodnotí metody, předpoklady a vstupní data, provádí back-testing, citlivostní analýzy a případně využívá odborníky (ISA 620).
IT prostředí a reliance na systémy
Posouzení IT obecných kontrol (přístupy, změny, provoz) je předpokladem pro spolehnutí se na aplikační kontroly a automatizované reporty. V digitálním prostředí auditor ověřuje integritu rozhraní, logiku pravidel, parametry ERP a rizika kybernetických incidentů ovlivňujících integritu finančních dat.
Audit skupiny a práce jiných
- Komponentní auditoři: komunikace rozsahu, významnosti a rizik, přezkoumání jejich práce a konsolidačních úprav.
- Využití interního auditu: koordinace a vhodné využití jejich práce (ISA 610) bez narušení nezávislosti.
- Odborníci: oceňování, právní posudky, aktuárské výpočty; auditor hodnotí kompetence, schopnosti a objektivitu.
Going concern, následné události a související strany
- Schopnost pokračovat v činnosti: analýza likvidity, kovenantů, refinančních rizik, objednávkového portfolia; pokud existuje materiální nejistota, požaduje se zveřejnění a případně odstavec o zdůraznění skutečnosti (ISA 570).
- Následné události: události po rozvahovém dni do data zprávy auditora (ISA 560), úpravy nebo zveřejnění podle povahy.
- Související strany: identifikace transakcí, přiměřenost podmínek a zveřejnění (ISA 550).
Zpráva auditora a komunikace s orgány správy
- Typy názorů: bez výhrad, s výhradou, negativní názor, odmítnutí vyjádřit názor (omezení rozsahu, pervazivní zkreslení).
- Klíčové auditorské záležitosti (KAM): oblasti s nejvyšší významností vyžadující zásadní auditorský úsudek (ISA 701) ve zprávě pro veřejný zájem.
- Komunikace s orgány správy: významná zjištění o kontrolách, odhadech, úpravách a neopravovaných zkresleních, nezávislost (ISA 260), dopis managementu s doporučeními.
Compliance, regulace a specifika sektorů
V regulovaných sektorech (bankovnictví, pojišťovnictví, energetika) se audit rozšiřuje o zvláštní požadavky dohledu, reporting podle sektorových rámců a testy souladu (např. kapitálová přiměřenost, solventnost, regulační výkazy). Auditor zvažuje i zákonné povinnosti oznamovat určitá zjištění regulatorním orgánům.
ESG ujišťování a integrované výkaznictví
Roste poptávka po ujišťování nefinančních informací (klima, lidská práva, řízení dodavatelského řetězce). Uplatňuje se rámec ISAE 3000 s důrazem na kritéria (standardy udržitelnosti), připravenost dat, sledovatelnost (traceability) a testy emission data včetně třetích stran. Klíčová je konzistence s finančními dopady (impairment, rezervy, CapEx).
Typické chyby a slabá místa, která audit odhaluje
- Nedostatečné oddělení povinností a slabé schvalovací procesy v nákupu a platbách.
- Nesprávný cut-off tržeb a nákladů, agresivní kapitálizace nákladů.
- Neaktuální rezervy a odhady (právní spory, záruky, pohledávky), chybějící impairment.
- Slabá IT bezpečnost ovlivňující integritu finančních dat.
- Nekonzistentní zveřejnění a porušení kovenantů bez adekvátní komunikace.
Řízení spolupráce: harmonogram, deliverables a komunikace
- Kick-off a PBC seznam: „Prepared by Client“ seznam dokumentů a reportů, dohoda o datech a přístupech.
- Interim práce: testy kontrol, předběžná analytika, inventury.
- Year-end práce: substantivní testy, potvrzení, odhady, zveřejnění.
- Uzavření: prohlášení vedení, zpráva auditora, dopis managementu, závěrečné jednání.
Matice rizik a reakcí auditora (ilustrace)
| Oblast | Riziko nesprávnosti | Reakce auditora |
|---|---|---|
| Tržby | Uznávání mimo období, fiktivní prodeje | Cut-off testy, potvrzení zákazníků, vzorky smluv, analýza marží |
| Zásoby | Nadhodnocení, zastaralost | Inventura, testy ocenění, obrat zásob, politika write-down |
| Finanční nástroje | Oceňování úrovně 2/3, modelové předpoklady | Opakované provedení modelů, externí data, odborník |
| Odhady a rezervy | Skreslení úsudkem | Back-testing, citlivosti, srovnání s událostmi po rozvaze |
| IT kontroly | Neautorizované změny, slabé přístupy | Testy GITC, logy přístupů, konfigurace aplikací |
