Interní audit jako nástroj zlepšování procesů

Veronika Benková

Interní audit jako katalyzátor zlepšování procesů

Interní audit je nezávislá a objektivní assurance a konzultační činnost, která má zvyšovat hodnotu a zlepšovat fungování organizace. Namísto vnímání auditu jako „policisty“ se moderní přístup soustředí na zvyšování výkonnosti procesů, posílení řízení rizik a podporu governance. Auditoři kombinují znalosti rizik, kontrol, datové analytiky a metodik změny tak, aby doporučení přinášela měřitelná zlepšení.

Mandát, nezávislost a model tří linií

  • Mandát vyplývá ze Stanovisek interního auditu (Audit Charter), schváleného výborem pro audit a představenstvem.
  • Nezávislost je zajištěna organizačním začleněním přímo pod výbor pro audit a funkční odděleností od řízení procesů.
  • Model tří linií: 1. linie (provoz) vlastní riziko a kontroly, 2. linie (risk, compliance) nastavuje rámce, 3. linie (interní audit) poskytuje nezávislé ujištění a doporučení.

Rámec standardů a etiky

Interní audit se opírá o mezinárodní rámec profese (IPPF) a Etický kodex (integrita, objektivita, důvěrnost, kompetence). Program zajištění kvality (QAIP) pravidelně hodnotí shodu se standardy a podporuje zlepšování metodiky.

Risk-based plánování: propojení rizik a zlepšování

  1. Identifikace rizik prostřednictvím rozhovorů, workshopů, analýzy incidentů a dat.
  2. Hodnocení pravděpodobnosti/dopadu a zralosti kontrol.
  3. Roční/multiroční plán auditu zaměřující se na procesy s nejvyšší hodnotou zlepšení (výkon, compliance, reputace).

Životní cyklus zakázky: od definice cíle po follow-up

  • Scoping: jasný cíl (výkonnost, kvalita, náklady, čas), kritéria a stakeholdeři.
  • Mapování procesu: vstupy, výstupy, měřitelné ukazatele, systémové toky, odpovědnosti (RACI).
  • Testování kontrol a analytika: přehledy výjimek, transakční testy, walkthrough a reperformance.
  • Root-cause analýza: 5× Proč, Ishikawa, fault tree.
  • Reporting: prioritizovaná zjištění s dopadem a nákladově-přínosovou analýzou doporučení.
  • Follow-up: sledování akčních plánů, verifikace efektivity nápravy.

Měřitelné zlepšování: od shody k výkonu

Audit transformuje nálezy na KPI a KRI zaměřené na kvalitu procesu (chybovost), rychlost (doba cyklu), náklady (pracovní hodiny, poplatky), bezpečnost (incidenty) a spokojenost zákazníka (NPS). Doporučení mají být SMART a přiřazena k „vlastníkům“ a termínům.

Datová analytika a nepřetržitý audit

  • CAATs (Computer-Assisted Audit Techniques): skripty na 100 % populace transakcí, detekce anomálií a outlierů.
  • Kontinuální monitorování: pravidelné dávky kontrol (např. duplicitní platby, segregace povinností, cenové odchylky).
  • Vizualizace: dashboardy pro vedení s trendy a korelacemi.

Metodiky zlepšování: Lean, Six Sigma a kontrolní rámce

Auditoři využívají Lean/Six Sigma nástroje (DMAIC, mapování hodnotového toku, analýza variability) a propojují je s kontrolními standardy (COSO, ISO 9001/27001). Výsledkem jsou doporučení, která zároveň redukují plýtvání a posilují kontroly.

Agilní interní audit

  • Iterativní přístup: krátké sprinty, pravidelné showcase pro sponzory, průběžná komunikace zjištění.
  • Backlog rizik: dynamicky prioritizovaný seznam oblastí a testů.
  • Hodnota dříve: „rychlé výhry“ (quick wins) s okamžitým dopadem na proces.

Kontrolní prostředí a kultura

Silná kultura kontroly a etiky je předpokladem udržitelného zlepšování. Audit posuzuje tone at the top, mechanismy hlášení (whistleblowing), odměňování a konflikty zájmů a doporučuje zásahy do politik a školení.

Integrace s rizikem a compliance

Synergie se 2. linií zabraňuje duplicitám a únavě z kontrol. Společné mapy rizik, issue tracking a sdílená metadata o kontrolách umožňují rychlejší korekce a komplexní doporučení.

Procesní oblasti s vysokým potenciálem zlepšení

  • Purchase-to-Pay: správa dodavatelů, 3-way match, duplicitní faktury, slevy a platební termíny.
  • Order-to-Cash: kreditní limity, přesnost fakturace, DSO, reklamace a odpočty.
  • Record-to-Report: účetní závěrkové kontroly, odchylky a mezifiremní vyrovnání.
  • ITGC a kyberbezpečnost: přístupy, změny, zálohy, SLA v cloudu, segregace povinností v ERP.
  • Projektový management a CAPEX: business case, stage-gate, rozpočtová disciplína, post-implementační hodnocení.

Řízení rizika podvodů a prevence ztrát

Audit hodnotí anti-fraud rámec, testuje red flags (neobvyklé dodávky, manipulace s daty, konflikt zájmů) a doporučuje posílení kontrol: povinné dovolené, rotace, schvalování výjimek, forenzní postupy a data loss prevention.

Automatizace a robotická procesní automatizace (RPA)

  • Identifikace kandidátů na RPA u vysokého objemu manuálních transakcí a pravidel.
  • Kontroly nad roboty: logování, řízení změn, fallback postupy, monitorování chyb.
  • Audit algoritmů: vysvětlitelnost, tréninková data, segregace prostředí a testování biasu.

Návrh doporučení s ohledem na hodnotu

Doporučení mají adresovat dopad (finanční, regulační, reputační), náročnost implementace (komplexita, náklady, změna systému) a time-to-value. Prioritizace přináší rychlé přínosy a připravuje půdu pro strukturální změny.

Měření hodnoty interního auditu

  • KPI efektivity: podíl dokončených zakázek podle plánu, cyklus od scopu po report, přesnost odhadů času.
  • KPI dopadu: % implementovaných doporučení, ušetřené náklady/odvrácené ztráty, zlepšení KPI procesu.
  • Hodnota pro stakeholdery: spokojenost vedení, rating výboru pro audit, počet „repeat findings“.

Výkaznictví a storytelling

Silný report je krátký a věcný: Executive Summary (klíčová zjištění, riziko, doporučení), heatmapa rizik, root-cause, benefity a plán. Přílohy obsahují detailní testy a důkazy. Grafické prvky zlepšují pochopení kauzalit.

Spolupráce s managementem: konzultační role bez ztráty nezávislosti

Audit může facilitovat workshop zlepšování, doporučit benchmarky či návrh KPI. Nese však hranici: nevstupuje do rozhodování o nastavení kontrol ani neprovozuje procesy, aby si zachoval objektivitu.

Audity souladu a regulace vs. výkonnostní audity

Vedle compliance auditů (zákony, normy, licence) roste význam výkonnostních auditů (ekonomika–efektivita–účelnost). Ty cílí na poměr náklady/výstupy a hledají příležitosti ke zlepšení produktivity a kvality.

Propojení se strategií a transformací

Při velkých změnách (ERP, reorganizace, M&A) audit hodnotí připravenost, řízení změn, migrační rizika a post-go-live stabilizaci. Zaměřuje se na benefit realization a integritu dat.

Kontrolní self-assessment a kultivace vlastnictví rizika

CSA/RCM (Control Self-Assessment/ Risk Control Matrix) zapojuje 1. linii do mapování rizik a kontrol. Audit tyto matice využívá jako vstup a validuje jejich realitu testy.

Maturity model interního auditu a procesů

  • Ad-hoc: reaktivní kontroly, nízká standardizace.
  • Definované: jednotná metodika, plánované zakázky.
  • Řízené daty: analytika, kontinuální testy, risk-based planning.
  • Optimalizující: agilita, prediktivní metriky, propojení s výkonnostním managementem.

Příklad auditorského programu pro proces P2P

  1. Mapování procesu a key controls (vendor master, 3-way match, schvalování výjimek).
  2. Datová analytika: duplicity, rozdělené objednávky, maverick buying, platby bez PO.
  3. Testy vzorků: soulad se segregací povinností, ověření dokumentace.
  4. Root-cause: nejednotné workflow, slabé parametry systému, chybějící SLA s dodavateli.
  5. Doporučení: standardizace workflow, posílení three-way match, automatické blokace, školení.

Digitální stopa a evidence důkazů

Auditorská evidence musí být úplná, přesná a reprodukovatelná. Používají se pracovní listy, verzování důkazů, chain-of-custody a nástroje pro bezpečné sdílení (DLP, práva přístupu).

Řízení změn a implementace doporučení

Doporučení se mění na akční plány s milníky, odpovědnostmi, metrikami úspěchu a riziky neimplementování. Audit verifikuje nejen dokončení, ale i efektivitu – zda se KPI procesu skutečně zlepšily.

Interní komunikace a školení

Auditoři školí první a druhou linii v oblasti rizik, kontrol a datové gramotnosti. Šíří best practices, katalog kontrol a vzorové RACI pro klíčové procesy.

Ekonomika interního auditu: náklady a přínosy

Rozpočet auditu se hodnotí vůči přínosům: snížené ztráty, odvrácené pokuty, zkrácené cykly, nižší poplatky a zlepšení spokojenosti zákazníka. Business case pro auditorské projekty posiluje přijetí změn.

Limity a etické dilema

Audit nepřebírá manažerskou odpovědnost, neimplementuje kontroly a neodborníkuje mimo kompetence. Při konzultacích zachovává objektivitu a zohledňuje konflikty zájmů. Důvěrné informace zpracovává s náležitou péčí.

Audit jako partner v kontinuálním zlepšování

Interní audit je silným nástrojem pro tvorbu hodnoty, když spojuje nezávislé ujištění s analytikou, procesními metodikami a pragmatickými doporučeními. Klíčem je risk-based fokus, měřitelné dopady a partnerství s liniemi. Výsledkem je plynulejší, odolnější a efektivnější organizmus – s lepším řízením rizik a vyšším výkonem.

Súvisiace články

Pojištění proti zneužití platebních karet

Pojištění proti zneužití platebních karet od Home Credit poskytuje finanční ochranu před neoprávněnými transakcemi a krytí škod vzniklých ztrátou či odcizením klíčů a osobních dokladů, čímž zvyšuje bezpečnost klientů.

Správce výběru mýtného v dopravní ekonomice

Národní dálniční společnost, a. s., jako správce výběru mýtného, zajišťuje efektivní výběr poplatků, provoz a údržbu mýtných systémů a implementuje moderní technologie, čímž podporuje financování a rozvoj dopravní infrastruktury v ČR.