Interní audit: funkce, rozsah a řízení rizik

Tae Teo

Definice, poslání a principy interního auditu

Interní audit je nezávislá a objektivní činnost ujišťování a poradenství, navržená tak, aby přinášela organizaci přidanou hodnotu a zlepšovala její operace. Pomáhá dosahovat cílů tím, že systematicky a disciplinovaně hodnotí a zlepšuje efektivitu řízení rizik, řízení a správy společnosti (governance) a vnitřních kontrol. Základem jsou integrita, objektivita, důvěrnost a kompetentnost, v souladu s Etickým kodexem a Mezinárodními standardy pro profesionální praxi interního auditu (IIA).

Postavení interního auditu ve správě a řízení (governance)

  • Orgány dohledu: výbor pro audit a dozorčí rada zajišťují nezávislost útvaru interního auditu (IA) a schvalují plán auditu, rozpočet a jmenování vedoucího interního auditu (CAE).
  • Výkonné vedení: odpovídá za provozování kontrol a řízení rizik; IA poskytuje ujištění a poradenství bez převzetí manažerských odpovědností.
  • Model tří linií: 1. linie (business vlastníci rizik), 2. linie (risk/compliance), 3. linie (interní audit) – IA hodnotí 1. a 2. linii a reportuje nezávisle výboru pro audit.

Rámec a standardy (IIA) a související normy

  • Definice IA a Etický kodex IIA: zásady integrity, objektivity, důvěrnosti, kompetentnosti.
  • Standardy atributů: nezávislost a objektivita, znalosti a dovednosti, program zajištění a zlepšování kvality (QAIP).
  • Standardy výkonu: plánování, provedení zadání, komunikace výsledků, monitorování opatření.
  • Propojení: ISO 31000 (risk), COSO (ERM a vnitřní kontrola), ISO 27001 (ISMS), ISO 22301 (BCM), ISO 37001 (antikorupce), ISO 19011 (audit manažerských systémů), SOX (je-li relevantní).

Rizikově orientovaný cyklus interního auditu

  1. Posouzení kontextu a apetitu k riziku: strategické cíle, klíčová rizika, tolerance a limity.
  2. Enterprise Risk Assessment (ERA): mapování rizik napříč procesy, scoring podle dopadu, pravděpodobnosti, rychlosti nástupu a detekovatelnosti.
  3. Roční/multiroční risk-based plán auditu: prioritizace témat podle zbytkového rizika, regulačních požadavků a změn v prostředí.
  4. Individuální zadání: cíl, rozsah, kritéria, metodika, alokace kapacit, harmonogram.
  5. Reporting a follow-up: hodnocení nedostatků, doporučení, akční plány, ověření nápravy.

Typologie auditů a rozsah

  • Procesní a provozní audit: P2P (procure-to-pay), O2C (order-to-cash), H2R (hire-to-retire), výroba, logistika.
  • Finanční a účetní audit vnitřní kontroly: účetní uzávěrky, inventarizace, controlling, IFRS/GAAP procesy.
  • IT a kybernetický audit: ITGC (přístupy, změny, provoz), aplikační kontroly, kyberodolnost, BCM/DRP, cloud governance.
  • Compliance audit: AML/CFT, sankce, GDPR, ochrana spotřebitele, whistleblowing, ESG reporting.
  • Audit výkonnosti (3E): hospodárnost, efektivita, účinnost programů.
  • Forenzní a protikorupční zaměření: red flags, analytika podvodů, hotline a vyšetřování podnětů (bez kolize rolí).

Plánování a přípravná fáze zadání

  • Charta interního auditu: mandát, pravomoci přístupu k informacím, vztah k výboru pro audit.
  • Objektivní kritéria a rozsah: zákon/regulace, interní politiky, mezinárodní normy, SLA/KPI.
  • Program auditu: riziková matice (RACM – risks & controls matrix), testy návrhu (design) a efektivnosti (operating effectiveness).
  • Materiálnost a vzorkování: statistické (atributy/variabilita) vs. nestatistické, velikost vzorku podle rizika a populace.

Provedení auditu: techniky a důkazní materiál

  • Walkthrough a process mining: ověření toků na reálných transakcích; využití logů a časových značek.
  • Testy návrhu a provozu kontrol: inspekce, opakované výpočty, dotazník, pozorování, reperformance.
  • Datová analytika: stratifikační a korelační analýzy, Benford, outliery, pravidla business logiky, kontinuální monitoring.
  • IT nástroje: GRC platformy, ETL, vizualizace, skriptování (SQL, Python) s auditní stopou.
  • Kvalita důkazů: relevantní, dostatečné, spolehlivé a užitečné; triangulace zdrojů.

Hodnocení vnitřních kontrol a zjištění

  • Rámec COSO: kontrolní prostředí, hodnocení rizik, kontrolní činnosti, informace/komunikace, monitoring.
  • Hodnotící škála závažnosti: kritické, vysoké, střední, nízké – s definicí dopadu, pravděpodobnosti a rychlosti nástupu.
  • Příčina–důsledek–kritérium–dopad: struktura zjištění; doporučení s vlastníkem a termínem.

Reportování, komunikace a sledování nápravných opatření

  1. Výchozí komunikace: konferenční zpráva (kick-off), dohodnutí přístupů a termínů.
  2. Průběžné sdílení zjištění: průběžné briefinky, aby se předešlo překvapením v závěru.
  3. Závěrečná zpráva: exekutivní shrnutí, kontext, metodika, zjištění a doporučení, hodnocení kontrol (rating).
  4. Follow-up: ověření implementace, testy účinnosti, aktualizace registru rizik a dashboardů.

Program zajištění a zlepšování kvality (QAIP)

  • Vnitřní hodnocení: průběžné a periodické sebehodnocení kvality pracovních materiálů, soulad se standardy.
  • Externí hodnocení: minimálně jednou za 5 let nezávislým hodnotitelem; výsledek reportován výboru pro audit.
  • KPI a efektivita IA: pokrytí rizik, včasnost, přijatelnost doporučení, míra implementace, ROI přidaná hodnota.

Nezávislost, objektivita a řízení konfliktů

CAE reportuje funkčně výboru pro audit a administrativně CEO. Auditoři nesmí navrhovat ani provozovat kontrolní mechanismy, které auditují. Rotace témat a zákaz auditu vlastní předchozí práce minimalizují self-review hrozby. Poradenství je možné, pokud neohrožuje budoucí objektivitu.

Kompetence a profesionalizace týmu

  • Odborné certifikace: CIA, CRMA, CISA, ACCA/CPA, CFE, ISO lead auditor (27001/22301/37001).
  • Hybridní dovednosti: procesní modelování, datová analytika, kybernetická bezpečnost, regulace odvětví.
  • Kontinuální vzdělávání: roční plán školení, shadowing, komunitní communities of practice.

Forenzní citlivost a prevence podvodů

IA není náhradou za management nebo compliance, ale je důležitým partnerem při budování anti-fraud rámce: hodnotí tón z vrchu, politiky, segregaci povinností (SoD), anomálie v datech a efektivitu hotline. Při vyšetřováních IA spolupracuje s právním oddělením a forenzními specialisty při zachování řetězce důkazů.

Specifika IT a kyber auditu

  • ITGC: řízení přístupů (IAM), změny (SDLC, DevSecOps), provoz (zálohy, monitoring, kapacity).
  • Cloud a třetí strany: model odpovědnosti, SLA/OLA, důkazy o kontrolách (SOC 1/2, ISO certifikace).
  • Kyberodolnost: hrozby, zranitelnosti, patch management, SIEM/SOAR, reakce na incidenty, testy obnovy.
  • Data a soukromí: mapy dat, DPIA, minimalizace, retenční pravidla, přenosy mimo EU.

ESG a ujišťování o nefinančních informacích

Rostoucí požadavky na ESG reporting (např. CSRD) kladou důraz na kvalitu dat, metodiky a vnitřní kontroly. IA může poskytovat limited assurance o procesech sběru, konsolidace a reportingu nefinančních ukazatelů a hodnotit rizika greenwashingu.

Pracovní materiály a dokumentace

  • Standardizace: šablony pro plán, RACM, testy, záznamy vzorků, evidenci důkazů a přeočkování.
  • Auditorská stopa: propojení cíle, testu, vzorku, důkazu, zjištění a doporučení; kontrola kvality před vydáním zprávy.
  • Retence a důvěrnost: bezpečné uložení, klasifikace, pravidla přístupu a doba uchování.

Přidaná hodnota a měření dopadu

Kromě souladu a kontroly IA přináší doporučení vedoucí k úsporám nákladů, zvýšení výnosů (např. odhalení úniků), zlepšení UX/standardizace a urychlení cyklů. Dopad se kvantifikuje odhadem ušetřených ztrát, snížením pravděpodobnosti rizik a zlepšením KPI/KRI.

Typické chyby a jak se jim vyhnout

  1. Nízká riziková orientace: stejná frekvence auditů bez ohledu na zbytkové riziko → zavést dynamický plán a kontinuální monitoring.
  2. Nedostatečná nezávislost: poradenství přerůstá v řízení kontrol → jasné hranice v Chartě a souhlas výboru pro audit.
  3. Slabá datová stopa: chybí doložitelnost testů → standardizovat pracovní materiály a revize.
  4. Překvapivé zjištění na závěr: slabá průběžná komunikace → zavést no surprises přístup.
  5. Neimplementovaná doporučení: chybí vlastnictví → RACI matice a eskalace přes výbor pro audit.

RACI matice odpovědností (příklad)

Aktivita 1. linie (business) 2. linie (risk/compliance) Interní audit Výbor pro audit
Provoz kontrol R S I I
Metodika rizik a politiky I R I I
Rizikové hodnocení (ERA) S R A I
Plán interního auditu I S R A
Implementace opatření R S I I

Pozn.: R – Responsible, A – Accountable, S – Support, I – Informed.

Checklist pro CAE a manažery

  • Aktualizovaná Charta IA a formální reportingové linie k výboru pro audit.
  • Roční risk-based plán navázaný na strategické cíle a apetitus k riziku.
  • QAIP s plánem interních i externích hodnocení kvality.
  • Dostatečné kompetence a kapacita týmu, včetně IT/kyber a datové analytiky.
  • Standardizované pracovní materiály, matice rizik a testů, evidence důkazů.
  • Mechanismus follow-up s termíny, vlastníky a eskalacemi.

Moderní interní audit je strategickým partnerem, který spojuje ujišťování s datově podloženým poradenstvím. V prostředí rostoucí komplexity, digitalizace a regulací poskytuje vedení a orgánům dohledu jistotu, že rizika jsou identifikována, kontroly účinné a procesy směřují k udržitelnému plnění cílů. Klíčem je nezávislost, riziková orientace, disciplinovaná metodika a neustálé zlepšování kvality.

Súvisiace články

Hypoteční úvěr

Hypoteční úvěr je dlouhodobá půjčka zajištěná nemovitostí, sloužící k financování nákupu, výstavby či rekonstrukce. Klienti musí splnit požadavky na příjem a vlastní vklad, úrokové sazby mohou být fixní či variabilní.

Pojistná činnost

Pojistná činnost zahrnuje sjednávání a správu pojištění, poskytování pojistných plnění a zprostředkování pojištění, včetně zajišťovací činnosti, a zajišťuje finanční ochranu a efektivní řízení rizik pro jednotlivce i podniky.

Mobilní obchod (m-commerce)

M-commerce umožňuje nákup a prodej zboží a služeb přes mobilní zařízení, nabízí flexibilitu a rychlý přístup, zároveň klade důraz na bezpečnost transakcí. Očekává se další dynamický růst tohoto segmentu.