Plán auditu a kontrol: interní a externí audit s periodicitou

Eva Senková

Účel a rozsah plánu auditu a kontrol

Plán auditu a kontrol je strategický dokument, který stanovuje co, kdy a jakým způsobem bude v organizaci ověřováno s cílem poskytnout přiměřené ujištění o adekvátnosti a efektivnosti vnitřního kontrolního systému. Propojuje interní a externí audit, operativní kontroly, compliance, bezpečnost a řízení rizik do koherentního harmonogramu a zajišťuje, aby byly zdroje nasazeny rizikově přiměřeně.

Governance a principy (Three Lines Model)

  • 1. linie (business/operativa): vlastní a provádí kontroly v procesech, odpovídá za jejich návrh a účinnost.
  • 2. linie (risk/compliance/bezpečnost): stanovuje metodiku, monitoruje dodržování, provádí tematické kontroly.
  • 3. linie (interní audit): nezávislé a objektivní ujištění pro vedení a dozorčí orgány.

Plán auditu a kontrol má jasně definované kompetence, nezávislost a eskalace, aby se předešlo duplicitám a slepým místům.

Typy auditů a kontrol

  • Interní audit (IA): rizikově orientované mise zaměřené na procesy, projekty, IT, kybernetickou bezpečnost, finanční a provozní oblasti.
  • Externí audit (EA): ověření účetní závěrky, soulad s normami/standardy (např. ISO), dozorové audity regulátorů.
  • Compliance kontroly: tematická ověření norem (GDPR, AML, BOZP, ESG reporting).
  • Operativní (1. linie) kontroly: průběžné kontrolní aktivity zabudované v procesech (schvalování, princip čtyř očí, rekonsiliace).
  • IT a datové audity: správa přístupů, změnové řízení, BCM/DR, cloud governance, kvalita dat.
  • Follow-up a verifikace nápravných opatření: potvrzení uzavření zjištění.

Metodický rámec a normy

Plán vychází z uznávaných rámců (např. zásady dle IIA, ISO 19011 pro audity systémů managementu) a interních směrnic organizace. Klíčové je nezávislé postavení IA, etické zásady, systém kvality (QAIP) a dokumentované metodické postupy (plánování, provedení, reporting, follow-up).

Audit universe a rizikově orientované plánování

  1. Definujte „audit universe“: úplný seznam auditovatelných entit (procesy, lokality, IT systémy, projekty, právnické osoby).
  2. Rizikové hodnocení: pravděpodobnost × dopad, zohlednit regulační změny, incidenty, změny v podnikání, expozici třetích stran.
  3. Stanovení priority: heatmapa, prahy pro „High/Medium/Low“; zapojit vedení a auditní výbor.
  4. Výpočet kapacit: FTE, dovednosti, externí expertízy; rezervy na ad hoc a investigativní mise.

Stanovení frekvencí a periodicity

Frekvence musí odrážet rizikovost, regulatorní požadavky, historická zjištění a změny v prostředí. Doporučení:

Rizikový rating Interní audit Compliance/2. linie Operativní kontroly Poznámky
Vysoký min. 1× ročně čtvrtletně až měsíčně denně/týdně možnost kontinuálního monitoringu a datové analytiky
Střední každých 18–24 měsíců čtvrtletně/pololetně týdně/měsíčně rotace témat, sampling rozšířený při změnách
Nízký každých 36 měsíců ročně měsíčně/čtvrtletně možné samo-hodnocení 1. linie s validací

Roční a víceletý plán auditu

  • Strategický (3letý) horizont: pokrytí celého audit universe alespoň jednou; flexibilita pro „emerging risks“.
  • Roční plán: konkrétní mise s odhadem MD (man-days), týmem, kvartály realizace a vazbou na rizika.
  • Rolling plán: čtvrtletní přehodnocování podle incidentů, změn a kapacitních možností.

Struktura záznamu auditní mise

Kód Název mise Oblast/proces Rizika Rozsah Frekvence Odhad MD Vedoucí Termín
IA-2025-07 Kybernetická bezpečnost – přístupová práva IT/Bezpečnost Neoprávněný přístup, únik dat IAM, recertifikace, SoD 1× ročně 25 Senior Auditor Q2

Koordinace interního a externího auditu

  • Výměna plánů: snížit duplicitu, synchronizovat načasování testů (např. inventury, uzávěrky).
  • Reliance strategy: rozsah, do jaké míry může externí auditor využít práci IA (kvalita, objektivita, rozsah).
  • Sdílená témata: ITGC, IFRS/GAAP oblasti, kontrolní prostředí a zjištění s dopadem na výrok.

Metodika testování kontrol

  1. Walkthrough a mapování procesu: tok dat, klíčové kontrolní body, vlastníci.
  2. Návrh vs. efektivita: zda kontrola existuje a zda funguje důsledně v průběhu období.
  3. Sampling: statistický (atributy/proměnné) nebo cílený; definujte confidence level a tolerovanou odchylku.
  4. Datová analytika: kompletní testy populace (duplicitní platby, segregační konflikty, přístupy mimo pracovní dobu).
  5. Důkazy: důkazy, pracovní materiály, reperforming, logy, printscreeny, podpisy a časové razítka.

Kontinuální audity a monitoring

Pro vysokorizikové a datově náročné oblasti se zavádí kontinuální testování (automatizované kontrolní skripty, alerty) a kontinuální monitoring 2. linie (indikátory selhání kontrol, prahové hodnoty, trendová analýza). Výstupy se promítají do čtvrtletních zpráv a úprav frekvencí.

Kapacity, dovednosti a nezávislost

  • Plán kapacit: FTE podle mise, rezerva na ad hoc investigace (5–15 %), rotace auditorů k omezení familiarity risk.
  • Skill matrix: účetnictví, IT/kyber, data analytics, regulatorní domény, komunikační a prezentační dovednosti.
  • Etika a nezávislost: deklarace střetů zájmů, „cooling-off“ období.

Řízení zjištění a nápravných opatření

  1. Hodnocení zjištění: Kritické/Vysoké/Střední/Nízké podle dopadu a pravděpodobnosti.
  2. Akční plány: vlastník, milníky, náklady, metrika úspěšnosti, datum uzavření.
  3. Follow-up: ověření důkazů, test účinnosti po implementaci.

Reportování a komunikace

  • Úvodní briefing: cíl, rozsah, přístup, logistika.
  • Průběžná komunikace: princip „no surprises“, průběžná zjištění a otázky.
  • Závěrečná zpráva: exekutivní shrnutí, rating, zjištění, root cause, rizika, doporučení, reakce managementu.
  • Souhrny pro vedení/auditní výbor: dashboard KPI, stav akčních plánů, trend zjištění.

KPI a metriky auditu a kontrol

  • Pokrývka audit universe: % entit zkontrolovaných podle plánu (ročně/3 roky).
  • Dodržení harmonogramu: % misí doručených včas, průměrné překročení MD.
  • Kvalita: počet reworků, výsledky interního QA, hodnocení stakeholderů.
  • Efektivita nápravy: % včas uzavřených akčních plánů, průměrné dny do uzavření.
  • Kontrolní incidenty: počet materiálních incidentů mezi audity.

Roční kalendář a koordinace frekvencí

Čtvrtletí Interní audity Externí audity/dozory Compliance kampaně Kontinuální testy
Q1 Finanční uzávěrkové procesy, IAM Preliminární procedury výročního auditu Etika & střety zájmů Měsíční skripty plateb
Q2 Nákupy a Třetí strany ISO dozor GDPR samo-hodnocení Přístupy adminů
Q3 BCM/DR testy, skladové zásoby ITGC testy (externí) BOZP inspekce AML screening
Q4 Předvýroční testy výnosů Výroční audit účetní závěrky ESG data a metriky SoD konflikty

RACI a odpovědnosti

Aktivita R A C I
Tvorba ročního plánu IA Vedoucí IA Audit Committee Risk, CFO CEO, externí auditor
Riziková identifikace Risk manažer CRO Procesní vlastníci IA
Follow-up zjištění Vlastníci opatření Funkční manažer IA/Compliance Audit Committee

Integrace s řízením rizik a strategií

Plán auditu a kontrol musí být v souladu s risk appetite organizace a plánem mitigací. Zjištění se převádějí do registru rizik, kde ovlivňují rating procesů a následné frekvence testů.

Digitalizace a automatizace

  • GRC platformy: plánování, pracovní materiály, workflow zjištění, dashboardy.
  • Analytika a AI: anomálie v transakcích, NLP nad zjištěními, prediktivní identifikace slabých míst.
  • Kontinuální kontrolní skripty: automatické alerty, důkazy v logách, audit trail.

Šablona politiky plánu auditu a kontrol

  • Účel, rozsah, definice (audit, kontrola, mise, zjištění, rating).
  • Principy nezávislosti a objektivity, kvalita (QAIP).
  • Proces rizikového plánování, periodicita revizí plánu (min. ročně).
  • Koordinace s 1. a 2. linií, externím auditem a regulátory.
  • Reporting, eskalace, SLA na akční plány a follow-up.
  • Ochrana důvěrných informací a správa dokumentace.

Checklist pro sestavení ročního plánu

  • Aktualizovaný audit universe a risk heatmapa.
  • Seznam povinných regulovaných auditů/dozorů a jejich termínů.
  • Kalkulace kapacit (FTE, externí zdroje), rezervy na ad hoc.
  • Předběžné rozsahy misí, předpoklady a předběžné datové požadavky.
  • Schválení audit committee a komunikace managementu.
  • Nastavené KPI a harmonogram čtvrtletních revizí plánu.

Typické chyby a jak se jim vyhnout

  • Frekvence „podle zvyku“: vždy vázat na rizika a důkazy, pravidelně rekalibrovat.
  • Duplicitní testy IA/EA/Compliance: sdílené plánování a reliance.
  • Nedostatečné důkazy: standardizovat pracovní materiály, kontrolní listy, revize kvality.
  • Slabý follow-up: jasné vlastnictví, SLA, automatické připomínky a reporting.
  • Nehostinná komunikace: „no surprises“, workshopy k validaci zjištění před uzamčením zprávy.

Dobře navržený plán auditu a kontrol propojuje interní a externí ověřování do jednoho rizikově řízeného rámce. Klíčové jsou správně nastavené frekvence, koordinace linií, datová analytika a disciplinovaný follow-up. Takový plán zvyš

Súvisiace články

Oprava poškozené fasády budov

Oprava fasády vyžaduje přesnou diagnostiku typu systému, identifikaci příčin poškození a vhodný výběr materiálů pro dlouhodobou ochranu a funkčnost obvodového pláště budovy.