Rozdíl mezi interním a externím auditem

Martin Keg

Proč rozlišovat interní a externí audit

Audity jsou klíčovým prvkem systému řízení a kontroly organizací. Interní audit (IA) a externí audit (EA) však sledují odlišné cíle, pracují pod rozdílnou správou, řídí se jinými standardy a mají jiné výstupy i adresáty. Porozumění těmto rozdílům je zásadní pro správné nastavení corporate governance, efektivní uplatnění kontrolních mechanismů a pro důvěru investorů, věřitelů i veřejnosti.

Základní definice a účel

  • Interní audit: nezávislá a objektivní ujišťovací a poradenská činnost zaměřená na zlepšování procesů řízení rizik, kontroly a správy a řízení (governance). Pomáhá dosahovat cíle organizace tím, že přináší systematický a disciplinovaný přístup k hodnocení a zlepšování efektivnosti řízení rizik a vnitřních kontrol.
  • Externí audit: nezávislé ověření účetní závěrky (a souvisejících informací) s cílem vyjádřit auditorský výrok o tom, zda účetní závěrka věrně a poctivě zobrazuje finanční situaci a výsledky hospodaření podle příslušného rámce finančního výkaznictví.

Správa, nezávislost a umístění ve struktuře

  • Interní audit: organizačně podléhá nejvyššímu vedení, avšak funkčně je nezávislý a reportuje výboru pro audit nebo dozorčí radě. Nezávislost je zajišťována chartou IA, přímým přístupem k představenstvu a právem na neomezený přístup k informacím.
  • Externí audit: provádí jej nezávislá auditorská firma zvolená akcionáři (nebo ustanovená v souladu s regulací). Nezávislost je regulována etickými požadavky (rotace klíčového partnera, zákaz určitých poradenských služeb, transparentnost honorářů).

Primární adresáti a odpovědnost

  • Interní audit: adresáty jsou management a dozorčí orgány (audit committee). Výstupy slouží ke zlepšení procesů a kontrol; IA nepřebírá provozní odpovědnost za procesy, navrhuje doporučení a sleduje jejich implementaci.
  • Externí audit: adresáty jsou akcionáři, věřitelé, regulátoři a kapitálové trhy. Auditor nese odpovědnost za získání přiměřeného ujištění, nikoli absolutního, a vyjadřuje výrok k účetní závěrce.

Rozsah a předmět práce

  • Interní audit: široký rozsah – finance, operativa, IT, kybernetická bezpečnost, compliance, ESG reportování, kultura a etika, projektové řízení, třetí strany. Přístupy sahají od ujišťovacích auditů po poradenské úkoly (workshopy zaměřené na rizika, návrhy kontrol, pre-audit projektů).
  • Externí audit: primárně finanční výkazy a související zveřejnění, vybrané prvky vnitřní kontroly nad finančním výkaznictvím (např. dle SOX), doplňková ověření (review, agreed-upon procedures, assurance nad nefinančním výkaznictvím, pokud je dohodnuto).

Standardy a metodické rámce

  • Interní audit: rámec IPPF (International Professional Practices Framework) vydaný IIA, kodex etiky IIA, metodika založená na riziku (risk-based internal auditing – RBIA), program zabezpečení a zlepšování kvality (QAIP) včetně externí validace v tří- až pětiletém cyklu.
  • Externí audit: Mezinárodní auditorské standardy (ISA), etická pravidla IESBA, vnitřní systémy kontroly kvality (ISQM), externí dohlídky (např. regulátor PCAOB/FRC/komora auditorů) a povinná rotace partnerů či týmů.

Přístup založený na riziku a plánování

  • Interní audit: roční (víceletý) plán vychází z hodnocení rizik organizace a jejího apetitu k riziku. Zohledňuje strategické záměry, změny procesů a výsledky předcházejících auditů. Flexibilně reaguje na incidenty a nové hrozby.
  • Externí audit: plánování zahrnuje posouzení inherentního a kontrolního rizika, stanovení materiálnosti, identifikaci oblastí náchylných k podvodům (ISA 240) a návrh testů (substantivní testování, testy kontrol). Důležitá je analytická procedura a vzorkování.

Materiálnost a úroveň ujištění

  • Interní audit: nepracuje s „finanční materiálností“ ve smyslu výroku; hodnotí významnost v kontextu cílů, rizik a souladu. Úroveň ujištění je často kvalitativní, vázaná na design a efektivnost kontrol.
  • Externí audit: používá kvantitativní i kvalitativní materiálnost jako práh pro navrhování postupů a hodnocení chyb; poskytuje přiměřené (nikoli absolutní) ujištění k celku účetní závěrky.

Fraud a podvody: odpovědnost a rozsah

  • Interní audit: hodnotí, zda je rámec prevence, detekce a reakce na podvody adekvátní; může vykonávat investigativní práce, forenzní analýzy a podporu etických linek, avšak vlastnictví rizika podvodu zůstává managementu.
  • Externí audit: má povinnost zvážit rizika podvodů a navrhnout přiměřené postupy, ale nezaručuje jejich odhalení. Komunikuje zjištění správě (TCWG) a zvažuje dopad na výrok.

IT a kybernetika: rozdílné hloubky a cíle

  • Interní audit: často provádí detailní audity ITGC/ITAC, hodnotí bezpečnostní standardy, kontinuitu, identitu a přístupy, správu změn a kvalitu dat.
  • Externí audit: posuzuje IT kontroly v rozsahu relevantním pro finanční výkazy (ITGC, aplikační kontroly), aby určil spolehnutí na systémy a efektivně navrhl testy.

Komunikace, reporty a následné kroky

  • Interní audit: vydává zprávy s hodnocením designu a efektivity kontrol, kořenových příčin, rizikového hodnocení a doporučení. Sleduje plnění akčních plánů (follow-up) a reportuje stav výboru pro audit.
  • Externí audit: vydává auditorskou zprávu s výrokem (bez výhrad, s výhradou, odmítnutí výroku, negativní výrok) a dopis managementu (management letter) s nedostatky kontrol, které zjistil během ověřování.

Využití práce interního auditu externími auditory

Externí auditoři mohou za určitých okolností zohlednit práci interního auditu (posouzení objektivity, kompetencí, systematického přístupu) a v omezené míře ji využít ke snížení rozsahu vlastního testování. Rozhodnutí je však na externím auditorovi a nikdy nenahrazuje jeho odpovědnost za výrok.

Nezávislost, etika a konflikty zájmů

  • Interní audit: musí být nezávislý vůči auditovaným oblastem; IA neprovozuje procesy, které audituje. Etický kodex vyžaduje integritu, objektivitu, důvěrnost a kompetentnost.
  • Externí audit: přísná pravidla nezávislosti vůči klientovi (finanční vazby, poskytování zakázaných služeb, rotace partnera). Veřejný zájem má přednost před zájmy klienta.

Frekvence, cyklus a pružnost

  • Interní audit: kontinuální program práce během roku s možností ad hoc auditů a real-time assurance; flexibilně reaguje na změny rizikového profilu.
  • Externí audit: převážně roční cyklus vázaný na účetní závěrku (interim a final); případně průběžné přehledy (review) pololetních výkazů.

Veřejný sektor a specifika regulovaných odvětví

V regulovaných sektorech (bankovnictví, pojišťovnictví, energetika) a ve veřejné správě platí specifické požadavky na rozsah interního auditu (nezávislá funkce, minimální pokrytí rizik) a externího auditu (povinné audity, rozšířená zveřejnění, dozor nad kvalitou). Interní audit často plní i úlohy hodnocení souladu s regulací a rizikového rámce (např. ICAAP/ORSA).

Výkonnost a kvalita: zabezpečení a dohled

  • Interní audit: program QAIP, interní a externí hodnocení kvality, KPI (doba cyklu, implementace doporučení, pokrytí rizik), zralost funkce IA a talent management.
  • Externí audit: systém řízení kvality (ISQM), interní kontroly kvality zakázek, externí inspekce, peer review, disciplinární opatření regulátora při selháních.

Výběr a spolupráce: jak nastavit synergický vztah

  • Mandát IA (charter): schvaluje audit committee; vymezuje přístup k informacím a práva/omezení.
  • Trojúhelník spolupráce: interní audit – externí audit – management; sdílení mapy rizik, koordinace plánů, výměna zjištění bez narušení nezávislosti.
  • Rotace EA a tendr: transparentní kritéria, posouzení odbornosti, nezávislosti, technologických nástrojů a geografického pokrytí.

Praktické příklady rozdílů

  • Proces zadávání zakázek: IA posoudí design kontrol, segregaci povinností, účinnost monitoringu a doporučí zlepšení. EA se zaměří na riziko nesprávného vykázání (např. kapitalizace vs. náklady) a provede testy transakcí a kontrol relevantních pro výkazy.
  • Kybernetický incident: IA hodnotí odezvu, kontinuitu a obnovu, doporučuje opatření. EA posoudí, zda incident ovlivňuje ocenění aktiv, zveřejnění a going concern.
  • Nový ERP systém: IA provede pre-implementační audit, ITGC a change management. EA přizpůsobí auditorský přístup nové architektuře a testům integrity dat.

Omezení a očekávání stakeholderů

  • Interní audit: není náhradou za manažerskou odpovědnost; nemá vlastnit rizika ani procesy. Přidaná hodnota se měří zlepšením kontrolního prostředí a úsporami z rizik.
  • Externí audit: neposkytuje absolutní záruku odhalení podvodu ani nezaručuje budoucí životaschopnost; poskytuje přiměřené ujištění k minulému reportingu.

Shrnutí klíčových rozdílů

  • Účel: IA – zlepšování procesů a řízení rizik; EA – výrok k účetní závěrce.
  • Adresát: IA – management a výbor pro audit; EA – akcionáři a trh.
  • Rozsah: IA – holistický a flexibilní; EA – finančně orientovaný a rámcovaný materiálností.
  • Standardy: IA – IPPF/IIA; EA – ISA/IESBA a regulace.
  • Frekvence: IA – průběžná; EA – periodická (roční/pololetní).

Komplementární pilíře governance

Interní a externí audit jsou komplementární funkce. Interní audit posiluje kulturu kontroly, zvyšuje procesní odolnost a podporuje dosahování cílů. Externí audit přináší kredibilitu finančnímu reportingu a transparentnost pro kapitálové trhy. Správně nastavená spolupráce, jasné mandáty a vysoké etické standardy obou funkcí vytvářejí silný systém ujišťování, který chrání hodnotu pro všechny stakeholdery.

Súvisiace články

Opce a opční smlouvy

Opce představují právo koupit nebo prodat aktivum za předem stanovenou cenu do určitého data. Cena opce, tzv. prémie, závisí na tržní ceně aktiva, volatilitě, době do expirace a dalších faktorech. Kupující nese omezené riziko, prodávající v