Postupy auditora a auditorské standardy ISA: Metodika a aplikace

Frederik

Cíl externího auditu a význam auditorských standardů

Externí audit poskytuje přiměřenou jistotu, že účetní závěrka jako celek neobsahuje významné nesprávnosti způsobené podvodem nebo chybou. Přiměřená jistota je vysoká, ale nikoli absolutní úroveň jistoty, reflektující inherentní limity auditu (testování na vzorku, limity interních kontrol, profesionální úsudek, časové a nákladové omezení). Základním kompasem auditora jsou mezinárodní auditorské standardy ISA (International Standards on Auditing), systém řízení kvality podle ISQM 1/2 a etické požadavky IESBA Code, zejména nezávislost, integrita, objektivita a profesionální péče (due care).

Normativní rámec: ISA, ISQM a etické standardy

  • ISA: upravují plánování, posouzení rizik, získávání důkazů, dokumentaci a reportování. Klíčové jsou ISA 200 (cíl a obecné principy), 230 (dokumentace), 315/330 (rizika a reakce), 240 (podvod), 320 (významnost), 500+ (důkazy), 540 (odhady), 570 (going concern), 700/705/706 (závěr a modifikace), 701 (klíčové auditorské záležitosti – KAM), 600 (audit skupiny), 620 (experti) a další.
  • ISQM 1/2: systém řízení kvality na úrovni firmy a engagement quality review (EQR) pro vybrané zakázky s vysokým rizikem. Zaměřuje se na řízení rizik kvality v oblastech řízení, zdrojů, etiky, akceptace klienta, realizace zakázek a monitoringu.
  • IESBA Code: nezávislost v myšlení i ve vnímání, požadavky na identifikaci a zmírnění hrozeb (self-review, advocacy, familiarity, intimidation, self-interest).

Akceptace a pokračování spolupráce s klientem

  • Předběžný screening: integrita managementu a vlastníků, reputační rizika, konflikt zájmů, právní a sankční prověření (AML/CFT).
  • Nezávislost a kapacita: posouzení hrozeb nezávislosti, personální a odborné zdroje, dostupnost potřebných expertíz.
  • Engagement letter: formální potvrzení cíle, rozsahu, odpovědností managementu (příprava účetní závěrky, interní kontroly, poskytnutí informací) a auditora (přiměřená jistota a zpráva).

Plánování auditu a strategie zakázky

  • Celková strategie: určení rozsahu, načasování a směrování auditu, přidělení seniority a specialistů (IT, daně, oceňování).
  • Auditní plán: podrobný seznam postupů pro rizikové oblasti, včetně testů kontrol a substantivních testů podle ISA 330.
  • Materialita: stanovení overall materiality, performance materiality a prahů pro trivial errors s racionalitou a vazbou na metriky (zisk, tržby, aktiva, vlastní kapitál).

Pochopení subjektu a jeho prostředí (ISA 315)

Auditor získává porozumění obchodního modelu, odvětví, regulačního rámce, cílů a strategií, měření výkonnosti, informačních systémů a interních kontrol (včetně kontrolního prostředí, procesů hodnocení rizik, kontrolních aktivit, informačních toků a monitoringu). Výstupem je identifikace a zmapování rizik významné nesprávnosti (IR, CR) na úrovni účetní závěrky i tvrzení (assertions).

Významnost (ISA 320): kalibrace prahů a přehodnocování

  • Volba benchmarku: zohledňuje stabilitu zisků, cykličnost a kapitálovou strukturu; kombinovaná benchmarky jsou vhodné při volatilitě.
  • Performance materiality: snižuje riziko, že nezachycené a neoprávněné chyby překročí celkovou významnost.
  • Přehodnocení: během auditu se prahy revidují při změnách předběžných výsledků nebo při zjištěních.

Analytické postupy a identifikace neobvyklostí

Na úrovni plánování auditor využívá preliminary analytics (poměry, horizontální/vertikální analýzy, trendové a regresní testy) k identifikaci neobvyklých vzorců. V závěru se používají jako celkové analytické postupy pro zhodnocení přiměřenosti vykázaných výsledků vůči očekáváním.

Testy kontrol vs. substantivní testy (ISA 330)

  • Testy kontrol: vhodné, pokud auditor zamýšlí spoléhat se na efektivitu klíčových kontrol (např. trojbodová autorizace plateb, přístupová práva v ERP, automatizované vyrovnávání).
  • Substantivní testy: detailní testování transakcí a zůstatků (výběr vzorků, cut-off, existence/occurrence, valuation, rights & obligations, presentation & disclosure).
  • Mix přístupů: při vysokém riziku významné nesprávnosti (significant risks) ISA vyžaduje substantive procedures bez ohledu na testy kontrol.

Vzorkování a kvantifikace rizika výběru

  • Statistické vs. nestatistické: attribute sampling pro kontroly, monetary unit sampling (MUS) pro zůstatky; určení tolerovatelné chyby, očekávané odchylky a úrovně důvěry.
  • Výběr souboru: definice population, stratifikace, náhodné a systematické výběry; dokumentace inkluzí a vyjímek.
  • Projektování zjištění: extrapolace chyb na populaci, kvalitativní faktory (podvod vs. chyba, systematičnost).

Auditorské důkazy (ISA 500): dostatečnost a vhodnost

  • Externí potvrzení (ISA 505): bankovní potvrzení, pohledávky, závazky, právní důkazy (ISA 501), inventury zásob, fyzické prohlídky aktiv.
  • Odhady a manažerské úsudky (ISA 540): diskontní sazby, opravné položky, impairment, rezervy; testování modelů, vstupů a citlivostí (CCE – challenging, corroborating, evaluating).
  • Tržby (revenue): často významné riziko – testy cut-off, smluv, incoterms, vratků, dobropisů; analytické a detailní postupy.

IT audit a nástroje na podporu auditních postupů

  • General IT Controls (GITC): správa změn, přístupy, vývoj a provoz; spolehlivost automatizovaných kontrol a reportů.
  • CAATs a data analytics: testování celé populace (duplicitní platby, Benford analýzy, detekce odlehlých hodnot), opakované výpočty, digitální stopy v ERP.
  • Persistent audit file: skripty a knihovny testů s opakovaným využitím, auditorská stopa a verzování.

Podvod a neetické jednání (ISA 240)

  • Profesní skepticismus: hledání proti-důkazů, auditní brainstorming, analytika k detekci neobvyklostí.
  • Oblastí zranitelných vůči podvodu: závěrkové zápisy, uznávání výnosů, zásoby, propojené strany, nestandardní smlouvy a side letters.
  • Komunikace: s vedením a výborem pro audit o rizicích podvodu, zjištěních a interních kontrolách.

Going concern (ISA 570) a následné události (ISA 560)

  • Schopnost pokračovat: hodnocení obchodního plánu, cash-flow prognóz, kovenantů, dostupnosti financování; citlivosti a mitigace.
  • Upozornění ve zprávě: existují-li material uncertainties, odstavec zdůraznění či modifikovaný výrok.
  • Následné události: události po dni účetní závěrky do data zprávy; získávání písemných prohlášení a doplňkových důkazů.

Prověřování právních sporů, zásob a fyzických aktiv (ISA 501)

  • Inventury: pozorování inventarizace, testy počtů, cut-off, snížení hodnoty (NRV testy), zásoby v consignmantu.
  • Právní listiny: komunikace s právníky o sporech, sankcích a kontingenčních závazcích.
  • Hmotný a nehmotný majetek: existence, práva, indikátory impairmentu, kapitálové projekty ve výstavbě.

Práce ostatních: interní audit (ISA 610) a experti (ISA 620)

  • Interní audit: posouzení objektivity, kompetence a přístupu; rozsah využití jejich práce a koordinace.
  • Experti: znalci pro oceňování, aktuárské výpočty, IT; definování cíle, rozsahu a odpovědností, hodnocení adekvátnosti jejich výstupu.

Audit skupiny a komponent (ISA 600)

  • Strategie skupiny: určení významných komponent, rizikových oblastí a rozsahu práce komponentních auditorů (plnohodnotný audit, specifické postupy, analytické postupy).
  • Komunikace a kontrola kvality: pokyny, prahové hodnoty, materiální základ, review pracovních podkladů, zohlednění regulačních rozdílů.

Písemná prohlášení managementu a kumulace chyb

  • Management representation letter: potvrzení odpovědnosti za závěrku, úplnost informací, podvody, soudní spory, propojené strany.
  • Souhrn neopravených nesprávností: kvantifikace a kvalitativní posouzení neopravených chyb vůči materialitě.

Auditorská zpráva (ISA 700/705/706/701)

  • Typy výroků: bez výhrad, s výhradou, zamítnutí výroku, odmítnutí vyjádřit názor (disclaimer).
  • Odstavce: Basis for Opinion, Key Audit Matters (KAM) pro kotované subjekty, odstavce zdůraznění a jiné záležitosti.
  • Konzistence a transparentnost: jasný popis KAM: proč je významný, jaké postupy auditor provedl, vyvažování mezi srozumitelností a důvěrností.

Komunikace s výborem pro audit (ISA 260)

  • Obsah: plán a strategie, významná rizika, slabiny kontrol, nesrovnalosti, nezávislost, honoráře a neauditorské služby.
  • Časování: průběžně (interim) i při závěru; dokumentace diskusí a závazků k nápravě.

Dokumentace a archiv (ISA 230)

  • Požadavky: taková úroveň detailu, aby zkušený auditor bez předchozí účasti pochopil povahu, načasování, rozsah a výsledky postupů a závěry.
  • Finalizace: uzavření spisu v stanovené lhůtě, kontrola změn po datu zprávy, politika retence a důvěrnosti.

Řízení kvality zakázky: EQR a „hot/cold“ review

  • EQR (ISQM 2): povinný pro vysoce rizikové zakázky; nezávislé přehodnocení klíčových úsudků (KAM, going concern, významné nesprávnosti).
  • Interní inspekce: periodický monitoring kvality, korektivní opatření, školení a sdílení poznatků.

Audity menších subjektů a proporcionalita

U malých a středních podniků je důležitý princip proporcionality: méně formální, avšak přiměřeně zdokumentované postupy; důraz na přímou substanci, procesy vlastníka-manažera, hotovostní toky, propojené strany a jednodušší IT prostředí. Současně nesmí dojít ke snížení úrovně jistoty.

Specifika podle rámce vykazování a odvětví

  • IFRS vs. národní GAAP: rozdíly v účetním uznávání výnosů, leasingu (IFRS 16), impairmentu (IAS 36), finančních nástrojů (IFRS 9) a zveřejnění.
  • Regulovaná odvětví: banky (očekávané ztráty, kapitálové požadavky), pojišťovny (rezervy), veřejný sektor (specifické rámce).

Typický postup auditora: praktická osnova

  1. Akceptace zakázky, posouzení nezávislosti, podpis engagement letter.
  2. Plánování: materialita, celková strategie, auditní plán, alokace zdrojů.
  3. Pochopení a analýza rizik: mapování procesů, walkthrough, identifikace významných rizik.
  4. Testy kontrol (při relevantnosti) a návrh substantivních postupů.
  5. Provádění testů: potvrzení, inventury, právní dopisy, analytika a detailní testy.
  6. Hodnocení odhadů, going concern, následných událostí, propojených stran.
  7. Kumulace chyb, diskuse s managementem, požadavky na úpravy.
  8. Písemná prohlášení, finální analytické postupy, EQR (je-li vyžadován).
  9. Příprava auditorské zprávy (včetně KAM), komunikace s výborem pro audit.
  10. Uzavření spisu, interní kontroly kvality a post-audit lessons learned

Súvisiace články

Finanční páka: Zvyšování zisku a rizik

Finanční páka umožňuje investorům zvyšovat potenciální zisky pomocí vypůjčených prostředků, zároveň však výrazně zvyšuje riziko ztrát. Je nezbytné rozumět jejím principům, řídit rizika a dodržovat regulatorní omezení.

Transakce v půjčkách a splátkách

Transakce v půjčkách a splátkách zahrnují platby platební kartou, výběry hotovosti, úhrady faktur a převody peněz, přičemž klíčová je bezpečnost údajů a prevence proti podvodům pro zajištění finanční integrity klientů.