Interní a externí audit: rozdíly v zaměření a cílech

Natália Šimková

Proč rozlišovat interní a externí audit

Audity jsou klíčovým prvkem systémů řízení a kontroly organizací. Interní audit (IA) a externí audit (EA) však sledují odlišné cíle, pracují pod rozdílnou správou, řídí se odlišnými standardy a mají jiné výstupy i adresáty. Porozumění těmto rozdílům je zásadní pro správné nastavení corporate governance, efektivní uplatnění kontrolních mechanismů a pro důvěru investorů, věřitelů i veřejnosti.

Základní definice a účel

  • Interní audit: nezávislá a objektivní ujišťovací a poradenská činnost zaměřená na zlepšení procesů řízení rizik, kontroly a správy a řízení (governance). Pomáhá dosahovat cíle organizace tím, že přináší systematický a disciplinovaný přístup k hodnocení a zlepšování efektivity řízení rizik a vnitřních kontrol.
  • Externí audit: nezávislé ověření účetní závěrky (a souvisejících informací) s cílem vyjádřit auditorský výrok o tom, zda účetní závěrka věrně a poctivě zobrazuje finanční situaci a výsledky hospodaření podle příslušného rámce finančního výkaznictví.

Správa, nezávislost a umístění ve struktuře

  • Interní audit: organizačně podléhá nejvyššímu vedení, avšak funkčně je nezávislý a reportuje výboru pro audit nebo dozorčí radě. Nezávislost je zajištěna chartou IA, přímým přístupem k představenstvu a právem neomezeného přístupu k informacím.
  • Externí audit: provádí ho nezávislá auditorská firma zvolená akcionáři (nebo ustanovená v souladu s regulací). Nezávislost je upravena etickými požadavky (rotace klíčového partnera, zákaz některých poradenských služeb, transparentnost odměn).

Primární adresáti a odpovědnost

  • Interní audit: adresáty jsou management a orgány dohledu (audit committee). Výstupy slouží ke zlepšení procesů a kontrol; IA nepřebírá provozní odpovědnost za procesy, navrhuje doporučení a sleduje jejich implementaci.
  • Externí audit: adresáty jsou akcionáři, věřitelé, regulátoři a kapitálové trhy. Auditor nese odpovědnost za získání přiměřeného ujištění, nikoliv absolutního, a vyjadřuje výrok k účetní závěrce.

Rozsah a předmět práce

  • Interní audit: široký záběr – finance, operativa, IT, kybernetická bezpečnost, compliance, ESG reporty, kultura a etika, projektové řízení, třetí strany. Přístupy sahají od ujišťovacích auditů po poradenské úkoly (workshopy řízení rizik, návrh kontrol, pre-audit projektů).
  • Externí audit: primárně finanční výkazy a související zveřejnění, vybrané prvky vnitřní kontroly nad finančním výkaznictvím (např. podle SOX), doplňující ověření (review, agreed-upon procedures, assurance nad nefinančním výkaznictvím, pokud je dohodnuto).

Standardy a metodické rámce

  • Interní audit: rámec IPPF (International Professional Practices Framework) vydaný IIA, kodex etiky IIA, metodika založená na riziku (risk-based internal auditing – RBIA), program zajištění a zlepšování kvality (QAIP) včetně externí validace v tří- až pětiletém cyklu.
  • Externí audit: Mezinárodní auditorské standardy (ISA), etická pravidla IESBA, vnitřní systémy kontroly kvality (ISQM), externí dohlídky (např. regulátor PCAOB/FRC/komora auditorů) a povinná rotace partnerů či týmů.

Přístup založený na riziku a plánování

  • Interní audit: roční (víceletý) plán vychází z hodnocení rizik organizace a jejího apetitu k riziku. Zohledňuje strategické záměry, změny procesů a výsledky předchozích auditů. Flexibilně reaguje na incidenty a nové hrozby.
  • Externí audit: plánování zahrnuje posouzení inherentního a kontrolního rizika, stanovení materiálnosti, identifikaci oblastí náchylných na podvody (ISA 240) a návrh testů (substantivní testování, testy kontrol). Důležitá je analytická procedura a vzorkování.

Materiálnost a úroveň ujištění

  • Interní audit: nepracuje s „finanční materiálností“ ve smyslu výroku; posuzuje významnost v kontextu cílů, rizik a compliance. Úroveň ujištění je často kvalitativní, vázaná na design a efektivitu kontrol.
  • Externí audit: používá kvantitativní i kvalitativní materiálnost jako práh pro návrh procedur a hodnocení chyb; poskytuje přiměřené (nikoliv absolutní) ujištění k celku účetní závěrky.

Fraud a podvody: odpovědnost a rozsah

  • Interní audit: hodnotí, zda je rámec prevence, detekce a reakce na podvody adekvátní; může provádět investigativní práce, forenzní analýzy a podporu etických linek, avšak vlastnictví rizika podvodu zůstává managementu.
  • Externí audit: má povinnost zvážit rizika podvodů a navrhnout přiměřené postupy, ale nezaručuje jejich odhalení. Komunikuje zjištění správě (TCWG) a zvažuje dopad na výrok.

IT a kybernetika: rozdílné hloubky a cíle

  • Interní audit: často provádí detailní ITGC/ITAC audity, hodnotí bezpečnostní standardy, kontinuitu, identitu a přístupy, správu změn a kvalitu dat.
  • Externí audit: posuzuje IT kontroly v rozsahu relevantním pro finanční výkazy (ITGC, aplikační kontroly), aby určil spolehání se na systémy a efektivně navrhl testy.

Komunikace, reporty a následné kroky

  • Interní audit: vydává zprávy s hodnocením designu a efektivity kontrol, příčin chyb, rizikovým hodnocením a doporučeními. Sleduje plnění akčních plánů (follow-up) a reportuje stav výboru pro audit.
  • Externí audit: vydává auditorskou zprávu s výrokem (bez výhrad, s výhradou, odmítnutí výroku, negativní výrok) a dopis vedení (management letter) se zjištěnými nedostatky kontrol, které objevil při ověřování.

Využití práce interního auditu externími auditory

Externí auditoři mohou za určitých okolností zvážit práci interního auditu (posouzení objektivity, kompetencí, systematického přístupu) a omezeně ji využít ke snížení rozsahu vlastního testování. Rozhodnutí je však na externím auditorovi a nikdy nenahrazuje jeho odpovědnost za výrok.

Nezávislost, etika a střety zájmů

  • Interní audit: musí být nezávislý na auditovaných oblastech; IA neprovozuje procesy, které audituje. Etický kodex vyžaduje integritu, objektivitu, důvěrnost a kompetentnost.
  • Externí audit: přísná pravidla nezávislosti vůči klientovi (finanční vazby, poskytování zakázaných služeb, rotace partnera). Veřejný zájem má přednost před zájmem klienta.

Frekvence, cyklus a pružnost

  • Interní audit: kontinuální program práce během roku s možností ad hoc auditů a real-time assurance; flexibilně reaguje na změny rizikového profilu.
  • Externí audit: převážně roční cyklus vázaný na uzávěrku (interim a finální); případně průběžné přehledy (review) pololetních výkazů.

Veřejný sektor a specifika regulovaných odvětví

V regulovaných sektorech (bankovnictví, pojišťovnictví, energetika) a ve veřejné správě platí zvláštní požadavky na rozsah interního auditu (nezávislá funkce, minimální pokrytí rizik) a externího auditu (povinné audity, rozšířená zveřejnění, dohled nad kvalitou). Interní audit často plní i úlohy hodnocení souladu s regulací a rizikového rámce (např. ICAAP/ORSA).

Výkonnost a kvalita: zajištění a dohled

  • Interní audit: program QAIP, interní a externí hodnocení kvality, KPI (čas cyklu, implementace doporučení, pokrytí rizik), zralost funkce IA a talent management.
  • Externí audit: systém řízení kvality (ISQM), interní kontroly kvality zakázek, externí inspekce, peer review, disciplinární opatření regulátora při selháních.

Výběr a spolupráce: jak nastavit synergický vztah

  • Mandát IA (charter): schvaluje audit committee; vymezuje přístup k informacím a práva/omezení.
  • Trojúhelník spolupráce: interní audit – externí audit – management; sdílení rizikové mapy, koordinace plánů, výměna zjištění bez narušení nezávislosti.
  • Rotace EA a výběrové řízení: transparentní kritéria, posouzení odbornosti, nezávislosti, technologických nástrojů a geografického pokrytí.

Praktické příklady rozdílů

  • Proces zadávání zakázek: IA posoudí design kontrol, segregaci povinností, účinnost monitoringu a doporučí zlepšení. EA se zaměří na riziko nesprávného vykázání (např. kapitalizace vs. náklady) a provede testy transakcí a kontrol relevantních pro výkazy.
  • Kybernetický incident: IA hodnotí reakci, kontinuitu a obnovu, doporučuje opatření. EA posuzuje, zda incident má dopad na ocenění aktiv, zveřejnění a going concern.
  • Nový ERP systém: IA provede pre-implementační audit, ITGC a change management. EA přizpůsobí auditorský přístup nové architektuře a testům integrity dat.

Omezení a očekávání stakeholderů

  • Interní audit: není náhradou manažerské odpovědnosti; nesmí vlastnit rizika ani procesy. Přidaná hodnota se měří zlepšením kontrolního prostředí a úsporami z rizik.
  • Externí audit: neposkytuje absolutní garanci odhalení podvodu a nezaručuje budoucí životaschopnost; poskytuje přiměřené ujištění k minulému reportingu.

Shrnutí klíčových rozdílů

  • Účel: IA zlepšování procesů a řízení rizik; EA výrok k účetní závěrce.
  • Adresát: IA – management a výbor pro audit; EA – akcionáři a trh.
  • Rozsah: IA – holistický a flexibilní; EA – finančně orientovaný a rámcovaný materiálností.
  • Standardy: IA – IPPF/IIA; EA – ISA/IESBA a regulace.
  • Frekvence: IA – průběžná; EA – periodická (ročně/pololetně).

Komplementární pilíře governance

Interní a externí audit jsou komplementární funkce. Interní audit posiluje kulturu kontroly, zvyšuje procesní odolnost a podporuje dosahování cílů. Externí audit přináší kredibilitu finančnímu reportingu a transparentnost pro kapitálové trhy. Správně nastavená spolupráce, jasné mandáty a vysoké etické standardy obou funkcí vytvářejí silný systém ujišťování, který chrání hodnotu pro všechny stakeholdery.

Súvisiace články

Výše škody v pojišťovnictví

Výše škody v pojišťovnictví představuje finanční vyjádření majetkové nebo zdravotní újmy a je klíčová pro stanovení náhrad za pojistné události i úpravu pojistných sazeb, ovlivňující řízení rizik a finanční stabilitu pojišťoven.

Pojištění kybernetických rizik

Kyberpojištění pro malé firmy kryje přímé škody jako obnovu dat či výpadek provozu i odpovědnost vůči třetím stranám, přičemž vyžaduje splnění minimálních bezpečnostních standardů jako MFA, zálohy a patch management.