Proces auditu: plánování, testování, reporting a doporučení

Eva Senková

Poslání interního auditu a proč záleží na procesu

Interní audit je nezávislá a objektivní ověřovací a poradenská činnost, která zvyšuje hodnotu a zlepšuje operace organizace. Kvalita přínosu interního auditu stojí na robustním procesu: plánování (risk-based), testování (získání dostatečných a relevantních důkazů) a zpráva (jasná, včasná, akceschopná). Správně navržený proces zajišťuje soulad s profesionálními standardy (IIA), posiluje důvěryhodnost útvaru a usnadňuje spolupráci s vedením a auditním výborem.

Rámec a principy: standardy IIA, model tří linií a etika

  • Standardy IIA: definují požadavky na nezávislost, řízení kvality (QAIP), plánování, výkon, dokumentaci a komunikaci výsledků.
  • Model tří linií: 1. linie (operativa a vlastníci rizik), 2. linie (risk, compliance), 3. linie (interní audit). Interní audit poskytuje nezávislé ujištění mimo řízení rizik a kontrol.
  • Etický kodex: integrita, objektivita, důvěrnost, kompetence. Konflikty zájmů se dokumentují a řídí před zahájením zakázky.

Typy auditů a předmět: procesní, finanční, compliance, IT/kyber, projektový, ESG

Předmět auditu může být funkce (např. nákup), proces (O2C, P2P), entita (dceřiná společnost), téma (kybernetická bezpečnost, GDPR) nebo projekt (implementace ERP). Kombinace finančních, provozních a IT pohledů zvyšuje úplnost závěrů.

Rizikově orientované plánování (RBIA): od auditního universa po roční plán

  1. Audit universe: inventarizace všech auditovatelných objektů (procesy, lokality, systémy, projekty).
  2. Hodnocení rizik: pravděpodobnost × dopad; faktory: finanční objem, regulační požadavky, změny, historie incidentů, vlastník procesu, zralost kontrol.
  3. Prioritizace: teplotní mapa a portfolio témat; zohlednění apetitu k riziku a strategických priorit.
  4. Roční/multiroční plán: vyvážení povinných (regulačních) a flexibilních auditů; schválení auditním výborem.

Plánování konkrétní zakázky: cíle, rozsah, kritéria, zdroje

  • Cíle auditu: co chceme ujistit nebo posoudit (např. adekvátnost kontrol k prevenci podvodů v P2P).
  • Rozsah: procesní kroky, rozsah dat, časové období, lokality, systémy; co je in scope vs. out of scope.
  • Kritéria: zákony, standardy, interní směrnice, KPI/SLAs, rámce (COSO, COBIT, ISO 27001).
  • Zdroje a harmonogram: kapacity týmu, specialisté (IT, data analytics), plán schůzek, milníky, cut-off datum.
  • Komunikace: oznámení auditu, požadavky na dokumenty (PBC list), jmenování průvodce procesu.

Pochopení procesu a mapování rizik: walkthrough a kontrolní body

  1. Walkthrough: sledování transakce end-to-end; ověření, že popis procesu odpovídá realitě.
  2. Mapa rizik: identifikace inherentních rizik (např. segregace povinností, autorizace, změny master dat, manuální zásahy).
  3. Kontrolní matice: přiřazení klíčových kontrol (preventivní vs. detekční; manuální vs. automatické; ITGC vs. aplikační) a definování testů.
  4. Materialita: stanovení prahů významnosti pro zjištění a výběr vzorků.

Program auditu: testy návrhu a testy účinnosti

  • Test návrhu (Design Effectiveness): zda je kontrola vhodně navržena, aby mitigovala riziko (např. tři úrovně schvalování podle limitů).
  • Test provozní účinnosti (Operating Effectiveness): zda kontrola fungovala konzistentně během období (důkazy, logy, podpisy, systémové záznamy).
  • ITGC: přístupová práva, změnové řízení, provoz; bez spolehlivých ITGC nelze spoléhat na aplikační kontroly.

Výběr vzorků a analytické postupy: statistické a nestatistické přístupy

  • Nestatistický výběr: judgemental, cílené vzorky (high-value, high-risk položky, okrajové případy).
  • Statistický výběr: náhodný/stratifikovaný, PPS (Monetary Unit Sampling) pro populace transakcí; definování confidence level a tolerované chyby.
  • Analytické postupy: trendové a poměrové analýzy, Benford, duplikáty dodavatelů, anomálie v časování, klíčová slova v poznámkách.

CAATs a datová analytika: od úplného testování po kontinuální audit

  • CAATs (Computer-Assisted Audit Techniques): extrakce dat (SQL), křížové vazby, skripty na 100 % populací (duplicitní platby, rozdělené faktury).
  • Kontinuální audit/monitoring: pravidelné spouštění pravidel, dashboardy, alerty pro 1. a 2. linii; interní audit využívá výstupy pro cílené testy.
  • Kvalita dat: lineage, úplnost, přesnost; dokumentovat transformace a kontrolní součty.

Důkazní báze: druhy důkazů a jejich spolehlivost

Druh důkazu Příklady Relativní spolehlivost
Externí nezávislý Potvrzení banky, potvrzení salda od odběratele Vysoká
Interní z automatických zdrojů Systémové logy, reporty z ERP s kontrolními součty Středně vysoká (pokud jsou ITGC spolehlivé)
Interní manuální Podpisy na formulářích, emailová schválení Střední až nižší
Verbální Rozhovory, vyjádření Nízká (vyžaduje korelaci)

Řízení podvodu (fraud) v auditu: hodnocení rizik a cílené testy

  • Fraud risk assessment: trojúhelník podvodu (tlak, příležitost, racionalizace), hotspoty (dodavatelé, hotovost, slevy, akce, cestovné).
  • Testy: propojení dodavatel–zaměstnanec, kulaté částky, rozdělování faktur, neobvyklé časy zadávání, falešné dodací listy.
  • Forenzní eskalace: při indikaci podvodu se mění cíl zakázky; uplatnit řetězec důkazů a pravidla uchování důkazů.

Fieldwork: realizace testů, průběžná zjištění, validace

  1. Testování: provedení procedur podle programu; sledování výjimek a jejich kvalifikace (izolované vs. systémové).
  2. Průběžná komunikace: no surprises – sdílení „fact packs“ se zodpovědnými, průběžná validace faktů.
  3. Root cause analysis (RCA): 5x proč, Ishikawa; zjištění musí směřovat k příčině, nikoliv jen symptomu.

Klasifikace zjištění a hodnocení kontrolního prostředí

  • Hodnocení rizika zjištění: vysoké (okamžitá náprava, potenciál materiální škody), střední, nízké.
  • Úroveň příčiny: politika/proces, systém/automatizace, lidé/kompetence, kultura/řízení.
  • Rating zakázky: „přiměřené ujištění“ vs. „významné nedostatky“; jasná kritéria konzistence.

Zpráva z auditu: struktura, styl a akceschopnost

  • Struktura: exekutivní shrnutí, cíl a rozsah, metodika, klíčová zjištění (se stupněm rizika), doporučení, reakce managementu, termíny, odpovědné osoby.
  • SMART doporučení: specifická, měřitelná, dosažitelná, relevantní, časově vázaná; propojení na riziko a kritérium.
  • Jasnost a stručnost: vyhnout se žargonu; každý bod má mít „fakt–kritérium–příčina–důsledek–doporučení“.
  • Vizualizace: teplotní mapy, procesní mapy, datové highlighty (bez přetížení).

Closing meeting a akční plány: závazky a realizace

  1. Closing: projít finální zjištění, dohodnout realistická opatření a termíny; zaznamenat menší odchylky ve stanoviscích.
  2. Management response: „co“ (opatření), „kdo“ (vlastník), „kdy“ (termín), „jak“ (kroky a metriky).
  3. Register akčních plánů: centrální evidence, statusy, důkazy o implementaci, validace interním auditem.

Follow-up a monitorování: od uzavření po udržitelnost

  • Ověření implementace: kontrola důkazů (policy, konfigurace, vzorky transakcí po změně).
  • Udržitelnost: revize po 3–6 měsících, zda opatření nezůstala jen „na papíře“.
  • Reportování výboru: přehled otevřených zjištění, opožděných akcí, riziková teplota.

Dokumentace a pracovní papíry: audit trail a kvalita

  • Pracovní papíry: plán, program, testy, populace, vzorky, důkazy, závěry; logická a reprodukovatelná stopa.
  • Retention a bezpečnost: pravidla uchovávání, klasifikace důvěrnosti, oddělení klientských dat.
  • Peer review: interní kontrola kvality, sign-off vedoucím auditu; QAIP a periodické externí hodnocení.

Agilní audit a rychlé iterace: když se rizika mění rychle

  • Sprinty a backlog: rozdělení zakázky na krátké iterace s prioritizovanými tématy.
  • Průběžné deliverables: flash zjištění a mini-doporučení během auditu, ne až na konci.
  • Spolupráce: častější stand-upy s procesními vlastníky, bez ztráty nezávislosti.

IT audit a bezpečnost: specifika testování v digitálním prostředí

  • ITGC: identity & access management (SoD, recertifikace), change management, operace (zálohy, monitoring, DR/BCP).
  • Aplikační kontroly: úplnost a přesnost zpracování, automatizované validační kontroly, integrační rozhraní.
  • Kybernetická rizika: patching, zranitelnosti, SIEM, incident response; metriky MTTD/MTTR.

Compliance a regulace: sladění s právními požadavky

  • Zákonné rámce: AML/CFT, GDPR, sektorové regulace (finanční trh, energetika, farmacie).
  • Testy: soulad politik, záznamy o školeních, vzorkování transakcí, kontrola oznámení incidentů.
  • Koordinace: s 2. linií (compliance) a externím auditorem při SOX/ICS, aby se zabránilo duplicitám.

KPI interního auditu a reportování výkonu

  • Coverage: procento auditního universa pokryté v cyklu 2–3 let.
  • On-time delivery: podíl zpráv doručených v plánovaném termínu.
  • Implementace doporučení: procento uzavřených akčních plánů v termínu; recidiva zjištění.
  • Stakeholder value: zpětná vazba managementu a výboru (survey), příklady ušetřených nákladů/zmírněných rizik.

Šablona životního cyklu auditu: od spouštěče po uzavření

  1. Spouštěč (plán/požadavek) → oznámení auditu.
  2. Předběžný průzkum → plán zakázky → PBC požadavky.
  3. Walkthrough a kontrolní matice → program testů.
  4. Fieldwork → průběžná zjištění → RCA.
  5. Draft zprávy → management response → finalizace.
  6. Follow-up → uzavírání akčních plánů → report výboru.

Checklist před vydáním zprávy

  • Dostatek a vhodné důkazy pro klíčová tvrzení (triangulace, reperformance).
  • Konzistentní hodnocení rizika zjištění vs. kritéria a dopad.
  • SMART doporučení s vlastníky a termíny, schválená managementem.
  • Jasné vyjádření o rozsahu, omezeních a použití zprávy.
  • Interní peer review a formální schválení vedoucím auditu.

Audit jako katalyzátor zlepšování

Silný proces interního auditu – pevné plánování, disciplinované test

Súvisiace články

Referenční sazby EURIBOR a BRIBOR

Referenční sazby EURIBOR a BRIBOR klíčově ovlivňují financování a oceňování finančních nástrojů. EURIBOR využívá hybridní metodiku založenou na reálných transakcích, zatímco BRIBOR má historický význam. Obě sazby podléhají přísné regulaci E

Odvětvová struktura národního hospodářství

Odvětvová struktura národního hospodářství představuje členění ekonomiky podle charakteru výsledků činností podniků, zahrnující výrobní (průmysl, zemědělství, stavebnictví) a nevýrobní odvětví (školství, zdravotnictví, služby). Vývoj strukt