Proces interního auditu

Petra Svobodová

Interní audit jako katalyzátor zlepšování procesů

Interní audit je nezávislá a objektivní assurance a konzultační činnost, která má za cíl zvyšovat hodnotu a zlepšovat fungování organizace. Místo vnímání auditu jako „policisty“ se moderní přístup soustředí na zvyšování výkonnosti procesů, posílení řízení rizik a podporu governance. Auditoři kombinují znalosti rizik, kontrol, datové analytiky a metodik změny tak, aby doporučení přinášela měřitelná zlepšení.

Mandát, nezávislost a model tří linií

  • Mandát vychází ze Stanoviska interního auditu (Audit Charter), schváleného auditním výborem a představenstvem.
  • Nezávislost je zajištěna organizačním zařazením přímo pod auditní výbor a funkčním oddělením od řízení procesů.
  • Model tří linií: 1. linie (provoz) vlastní riziko a kontroly, 2. linie (risk, compliance) nastavuje rámce, 3. linie (interní audit) poskytuje nezávislé ujištění a doporučení.

Rámec standardů a etiky

Interní audit se opírá o mezinárodní rámec profese (IPPF) a Etický kodex (integrita, objektivita, důvěrnost, kompetence). Program zajištění kvality (QAIP) pravidelně hodnotí soulad se standardy a podporuje zlepšování metodiky.

Risk-based plánování: propojení rizik a zlepšování

  1. Identifikace rizik prostřednictvím rozhovorů, workshopů, analýzy incidentů a dat.
  2. Hodnocení pravděpodobnosti/ dopadu a vyspělosti kontrol.
  3. Roční/multiroční plán auditu zaměřený na procesy s nejvyšší hodnotou zlepšení (výkon, compliance, reputace).

Životní cyklus zakázky: od definice cíle po follow-up

  • Scoping: jasný cíl (výkonnost, kvalita, náklady, čas), kritéria a stakeholdeři.
  • Mapování procesu: vstupy, výstupy, měřitelné ukazatele, systémové toky, odpovědnosti (RACI).
  • Testování kontrol a analytika: přehledy výjimek, transakční testy, walkthrough a reperformance.
  • Root-cause analýza: 5× Proč, Ishikawa, fault tree.
  • Reporting: prioritizovaná zjištění s dopadem a nákladově-přínosovou analýzou doporučení.
  • Follow-up: sledování akčních plánů, verifikace účinnosti nápravy.

Měřitelné zlepšování: od souladu k výkonu

Audit transformuje nálezy na KPI a KRI zaměřené na kvalitu procesu (chybovost), rychlost (doba cyklu), náklady (pracovní hodiny, poplatky), bezpečnost (incidenty) a spokojenost zákazníka (NPS). Doporučení mají být SMART a vázána na konkrétní „ownery“ a termíny.

Datová analytika a nepřetržitý audit

  • CAATs (Computer-Assisted Audit Techniques): skripty na 100 % populace transakcí, detekce anomálií a outlierů.
  • Kontinuální monitorování: pravidelné dávky kontrol (např. duplicitní platby, segregace povinností, cenové odchylky).
  • Vizualizace: dashboardy pro vedení s trendy a korelacemi.

Metodiky zlepšování: Lean, Six Sigma a kontrolní rámce

Auditoři využívají Lean/Six Sigma nástroje (DMAIC, mapování hodnotového toku, analýza variability) a propojují je s kontrolními standardy (COSO, ISO 9001/27001). Výsledkem jsou doporučení, která zároveň snižují plýtvání a posilují kontroly.

Agilní interní audit

  • Iterativní přístup: krátké sprinty, pravidelné showcase pro sponzory, průběžná komunikace zjištění.
  • Backlog rizik: dynamicky prioritní seznam oblastí a testů.
  • Hodnota dříve: „rychlé výhry“ (quick wins) s okamžitým dopadem na proces.

Kontrolní prostředí a kultura

Silná kultura kontroly a etiky je předpokladem udržitelného zlepšování. Audit posuzuje tone at the top, mechanismy oznamování (whistleblowing), odměňování a konflikty zájmů a doporučuje zásahy do politik a školení.

Integrace s riskem a compliance

Synergie se 2. linií zabraňuje duplicitám a únavě z kontrol. Společné mapy rizik, issue tracking a sdílená metadata o kontrolách umožňují rychlejší korekce a holistická doporučení.

Procesní oblasti s vysokým potenciálem zlepšení

  • Purchase-to-Pay: správa dodavatelů, 3-way match, duplicitní faktury, slevy a platební termíny.
  • Order-to-Cash: kreditní limity, přesnost fakturace, DSO, reklamace a odpočty.
  • Record-to-Report: závěrečné kontroly, variability a mezifiremní vyúčtování.
  • ITGC a kyberbezpečnost: přístupy, změny, zálohy, SLA v cloudu, segregace povinností v ERP.
  • Projektový management a CAPEX: business case, stage-gate, rozpočtová disciplína, post-implementační hodnocení.

Řízení rizika podvodu a prevence ztrát

Audit hodnotí anti-fraud rámec, testuje red flags (neobvyklé dodávky, manipulace s daty, konflikt zájmů) a doporučuje posílení kontrol: povinné dovolené, rotace, schvalování výjimek, forenzní postupy a data loss prevention.

Automatizace a robotická procesní automatizace (RPA)

  • Identifikace kandidátů na RPA při vysokém objemu manuálních transakcí a pravidel.
  • Kontroly nad roboty: logování, řízení změn, fallback postupy, monitorování chyb.
  • Audit algoritmů: vysvětlitelnost, tréninková data, segregace prostředí a testování biasu.

Návrh doporučení s ohledem na hodnotu

Doporučení mají adresovat dopad (finanční, regulační, reputační), náročnost implementace (komplexita, náklady, změna systému) a time-to-value. Prioritizace přináší rychlé přínosy a připravuje půdu pro strukturální změny.

Měření hodnoty interního auditu

  • KPI efektivity: podíl dokončených zakázek podle plánu, cyklus od scopu po report, přesnost odhadů času.
  • KPI dopadu: % implementovaných doporučení, ušetřené náklady/odvrácené ztráty, zlepšení KPI procesu.
  • Stakeholder value: spokojenost vedení, rating auditního výboru, počet „repeat findings“.

Reportování a storytelling

Silný report je stručný a věcný: Executive Summary (klíčová zjištění, rizika, doporučení), heatmapa rizik, root-cause analýza, benefity a plán. Přílohy obsahují detailní testy a důkazy. Grafické prvky zlepšují pochopení kauzalit.

Spolupráce s managementem: konzultační role bez ztráty nezávislosti

Audit může facilitovat workshopy zlepšování, doporučit benchmarky či design KPI. Přitom však zachovává hranice: nevstupuje do rozhodování o nastavení kontrol ani neprovozuje procesy, aby si uchoval objektivitu.

Audity souladu a regulace vs. výkonnostní audity

Kromě compliance auditů (zákony, normy, licence) roste význam výkonnostních auditů (ekonomika–efektivita–účelnost). Ty cílí na poměr náklady/výstupy a hledají příležitosti ke zvýšení produktivity a kvality.

Propojení se strategií a transformací

Při rozsáhlých změnách (ERP, reorganizace, M&A) audit hodnotí připravenost, řízení změn, migrační rizika a post-go-live stabilizaci. Zaměřuje se na benefit realization a integritu dat.

Kontrolní self-assessment a kultivace vlastnictví rizika

CSA/RCM (Control Self-Assessment/Risk Control Matrix) zahrnuje 1. linii do mapování rizik a kontrol. Audit tyto matice používá jako vstup a ověřuje jejich realitu testy.

Maturity model interního auditu a procesů

  • Ad-hoc: reaktivní kontroly, nízká standardizace.
  • Definované: jednotná metodika, plánované zakázky.
  • Řízené daty: analytika, kontinuální testy, risk-based plánování.
  • Optimalizující: agilita, prediktivní metriky, propojení s výkonnostním managementem.

Příklad auditorského programu pro proces P2P

  1. Mapování procesu a key controls (vendor master, 3-way match, schvalování výjimek).
  2. Datová analytika: duplicity, rozdělené objednávky, maverick buying, platby bez PO.
  3. Vzorkové testy: shoda se segregací povinností, ověření dokumentace.
  4. Root-cause: nejednotné workflow, slabé parametry systému, chybějící SLA s dodavateli.
  5. Doporučení: standardizace workflow, posílení three-way match, automatické blokace, školení.

Digitální stopa a evidence důkazů

Auditorská evidence musí být kompletní, přesná a reprodukovatelná. Používají se pracovní listy, verzování důkazů, chain-of-custody a nástroje pro bezpečné sdílení (DLP, práva přístupu).

Řízení změn a implementace doporučení

Doporučení se převádějí na akční plány s milníky, odpovědnostmi, metrikami úspěchu a riziky neimplementace. Audit ověřuje nejen dokončení, ale i efektivitu – zda se KPI procesu skutečně zlepšila.

Interní komunikace a školení

Auditoři školí první a druhou linii v oblasti rizik, kontrol a datové gramotnosti. Šíří best practices, katalog kontrol a vzorové RACI pro klíčové procesy.

Ekonomika interního auditu: náklady a přínosy

Rozpočet auditu se hodnotí vůči přínosům: snížené ztráty, odvrácené pokuty, zkrácené cykly, nižší poplatky a zlepšení spokojenosti zákazníka. Business case pro auditní projekty posiluje přijetí změn.

Limity a etické dilemata

Audit nepřebírá manažerskou odpovědnost, neimplementuje kontroly a neodborně zasahuje mimo kompetence. Při konzultacích zachovává objektivitu a zohledňuje konflikty zájmů. Důvěrné informace zpracovává s náležitou péčí.

Audit jako partner v kontinuálním zlepšování

Interní audit je silný nástroj pro tvorbu hodnoty, když spojuje nezávislé ujištění s analytikou, procesními metodikami a pragmatickými doporučeními. Klíčem je risk-based fokus, měřitelné dopady a partnerství s liniemi. Výsledkem je plynulejší, odolnější a efektivnější organizace – s lepším řízením rizik a vyšším výkonem.

Súvisiace články

Kalibrace inerciální měřicí jednotky IMU v terénu

Kalibrace inerciální měřicí jednotky (IMU) přímo v terénu zásadně zvyšuje přesnost navigace dronů eliminací driftu a chyb v odhadech rychlosti. Článek nabízí efektivní postupy kalibrace biasů gyroskopů a akcelerometrů s důrazem na teplotní

ESG skóre: číslo s významným dopadem

ESG scoring hodnotí firmy z hlediska environmentálních, sociálních a řídících faktorů a výrazně ovlivňuje investiční rozhodování, zlepšuje přístup k financování a napomáhá plnění regulačních požadavků v oblasti udržitelnosti.

Pet-friendly pronájmy v ekonomickém kontextu

Pet-friendly pronájmy zvyšují poptávku a snižují neobsazenost bytů, přinášejí však i náklady na opotřebení a hygienu. Efektivní finanční a smluvní rámec s pet kaucí, poplatky a pojištěním minimalizuje rizika a podporuje udržitelnost nájmu.