Význam rozlišovania interného a externého auditu
Auditné procesy predstavujú základný nástroj riadenia a kontroly v organizáciách rôznych veľkostí a odvetví. Interný audit a externý audit však plnia odlišné úlohy a ciele, ktoré sa prejavujú v ich organizačnej štruktúre, štandardoch, reporte výsledkov a cielenej skupine príjemcov. Dôkladné pochopenie týchto rozdielov je nevyhnutné na efektívne nastavenie podnikovej správy (corporate governance), zabezpečenie robustných kontrolných mechanizmov a budovanie dôvery naprieč investormi, veriteľmi a verejnosťou.
Definícia a účel interného a externého auditu
Interný audit
Interný audit predstavuje nezávislú a objektívnu uisťovaciu a poradenskú činnosť, ktorá podporuje zlepšenie systémov riadenia rizík, interných kontrol a správy a riadenia organizácie (governance). Jeho úlohou je pomáhať organizácii dosahovať strategické a operačné ciele prostredníctvom systematického, disciplinovaného prístupu k hodnoteniu efektívnosti riadenia rizík, procesov a kontrolných mechanizmov.
Externý audit
Externý audit predstavuje nezávislé overenie účtovnej závierky a s ňou súvisiacich finančných informácií s cieľom poskytnúť audítorský výrok o tom, či tieto dokumenty verne a spravodlivo zobrazujú finančnú situáciu a výsledky hospodárenia organizácie v súlade s platným rámcom finančného výkazníctva.
Organizačné zaťaženie a nezávislosť auditov
Postavenie interného auditu
Interný audit sa organizačne zvyčajne začleňuje pod najvyšší manažment, no jeho funkčná nezávislosť je zabezpečená priamym reportovaním výboru pre audit alebo dozornej rade. Nezávislosť sa ďalej garantuje prostredníctvom interných auditných charterov, ktoré definujú práva interneho auditu vrátane neobmedzeného prístupu k relevantným informáciám a možnosťou komunikácie priamo s predstavenstvom spoločnosti.
Postavenie externého auditu
Externý audit vykonáva nezávislá audítorská spoločnosť, ktorú zvolia akcionári alebo ktorá je ustanovená v súlade s platnou legislatívou. Nezávislosť externých audítorov je striktná a upravujú ju profesionálne etické pravidlá, ktoré zahŕňajú povinnú rotáciu kľúčových osôb, obmedzenia pri poskytovaní poradenských služieb a transparentné zverejnenie honorárov.
Cieľové skupiny a zodpovednosti v auditnom procese
Adresáti interného auditu
Hlavnými príjemcami výstupov interného auditu sú manažment a kontrolné orgány organizácie, ako napríklad výbor pre audit. Interný audit nepreberá priamu prevádzkovú zodpovednosť za auditované procesy, jeho úlohou je navrhnúť zlepšenia, sledovať implementáciu odporúčaní a posilňovať kontrolné prostredie.
Adresáti externého auditu
Externý audit je určený predovšetkým pre externých stakeholderov, medzi ktorých patria akcionári, veritelia, regulátori a finančné trhy. Externý audítor nesie zodpovednosť za poskytnutie primeraného uistenia o spoľahlivosti účtovnej závierky, pričom garantuje, že finančné výkazy nie sú významne skreslené.
Rozsah a predmet práce interného a externého auditu
Interný audit
Interný audit má široký záber, ktorý presahuje len finančné oblasti a zahŕňa aj operatívu, IT bezpečnosť, compliance, environmentálne, sociálne a riadiace aspekty (ESG), etiku, projektové riadenie a riadenie vzťahov s tretími stranami. Používa rozmanité prístupy od klasických uisťovacích auditov až po poradenské aktivity ako napríklad facilitovanie risk workshopov či pre-audit projektov.
Externý audit
Externý audit sa primárne zameriava na overenie finančných výkazov, vrátane posúdenia kľúčových aspektov vnútornej kontroly nad finančným výkazníctvom podľa medzinárodných alebo národných regulácií (napríklad SOX). Externí audítori môžu tiež vykonávať doplnkové služby ako review finančných výkazov, agreed-upon procedures či poskytovať uistenie nad nefinančnými správami, ak sú tieto služby dohodnuté.
Medzinárodné štandardy a metodologické prístupy
Štandardy interného auditu
Interný audit sa riadi medzinárodným rámcom profesionálnych praktík (IPPF) vydaným Inštitútom interných audítorov (IIA), ktorý zahŕňa aj etický kódex. Auditné plány vychádzajú z hodnotenia rizík a využívajú metodiku riadenú rizikom (risk-based internal auditing – RBIA). Na zabezpečenie kvality pracuje interný audit s Programom zabezpečenia a zlepšovania kvality (QAIP), čo zahŕňa pravidelné externé hodnotenia v intervaloch 3 až 5 rokov.
Štandardy externého auditu
Externý audit je regulovaný Medzinárodnými audítorskými štandardmi (ISA), etickými pravidlami podľa IESBA a vnútornými systémami kontroly kvality (ISQM). Pracuje pod dohľadom externých orgánov, ako sú PCAOB, FRC alebo národné komory audítorov a striktne dodržiava pravidlá rotácie audítorských partnerov a auditných tímov.
Rizikové hodnotenie a plánovanie auditov
Prístup interného auditu
Interný audit vypracováva ročné a viacročné plány na základe komplexného hodnotenia rizikového profilu organizácie a jej rizikovej tolerancie. Zohľadňuje strategické ciele, procesné zmeny, výsledky predchádzajúcich auditov a je schopný pružne reagovať na nové incidenty či hrozby.
Prístup externého auditu
Externý audit sa plánuje na základe posúdenia inherentného a kontrolného rizika, stanovenia materiality, identifikácie oblastí so zvýšeným rizikom podvodov a následnom návrhu auditných procedúr vrátane testovania detailov a kontrol. Používajú sa analytické metódy a dôkladné vzorkovanie dát.
Materialita a úroveň poskytnutého uistenia
Materialita v internom audite
Interný audit neaplikuje finančnú materialitu v zmysle auditného výroku, ale hodnotí významnosť zistení v kontexte dosahovania cieľov organizácie, riadenia rizík a súladu s predpismi. Úroveň poskytnutej spoľahlivosti je prevažne kvalitatívna a orientovaná na dizajn a efektívnosť kontrolných mechanizmov.
Materialita v externom audite
Externý audit využíva kvantitatívne a kvalitatívne kritériá materiality na plánovanie a realizáciu auditných postupov a na vyhodnotenie významnosti zistených chýb. Cieľom je poskytnúť primerané (avšak nie absolútne) uistenie o pravdivom a korektnom zobrazení účtovnej závierky.
Riešenie podvodov a podozrení na nepravosti
Úloha interného auditu pri podvodoch
Interný audit hodnotí efektívnosť rámcov prevencie, detekcie a reakcie na podvody v organizácii. Môže sa zapájať do investigatívnych činností, forenzných analýz a podpory etických liniek, no zodpovednosť za riadenie rizika podvodov nesie primárne manažment.
Povinnosti externého auditu v oblasti podvodov
Externý auditor má povinnosť zvážiť riziká spojené s podvodmi a navrhnúť vhodné auditné procedúry na ich identifikáciu, hoci nezaručuje ich úplné odhalenie. O zistených podozreniach informuje osoby zodpovedné za dohľad (TCWG) a zohľadňuje ich v audítorskom výroku.
IT audity a kybernetická bezpečnosť – rozdielne úrovne a ciele
Interný audit v oblasti IT
Interný audit často vykonáva podrobné kontroly IT všeobecných a aplikačných kontrol (ITGC/ITAC), posudzuje dodržiavanie bezpečnostných štandardov, kontinuitu prevádzky, riadenie identít a prístupov, správu zmien a integritu dát.
Externý audit v oblasti IT
Externý audit posudzuje relevantné IT kontroly, ktoré majú vplyv na finančné výkazy, aby určil mieru spoléhání sa na systémy a navrhol adekvátne testy na potvrdenie spoľahlivosti finančných údajov.
Spôsob komunikácie, reportovania a implementácie odporúčaní
Správy interného auditu
Interný audit pripravuje detailné správy, ktoré obsahujú hodnotenie dizajnu a efektívnosti kontrol, identifikáciu koreňových príčin zistených nedostatkov, rizikové hodnotenia a konkrétne odporúčania na zlepšenie. Sleduje následnú implementáciu opatrení a pravidelne reportuje stav výboru pre audit.
Správy externého auditu
Externý audit vydáva audítorskú správu s jedným z právnych výrokov (bezvýhradný, s výhradou, odmietnutie výroku, negatívny výrok) a sprievodný list manažmentu, v ktorom sú zdokumentované zistené slabiny kontrol, objavené počas vykonávania overovania.
Využitie práce interného auditu externými audítormi
Externí audítori môžu v rámci svojej práce zohľadniť výsledky interného auditu, ak posúdia jeho objektivitu, kompetenciu a systematickosť prístupu. Táto práca môže prispieť k redukcii rozsahu vlastného testovania, avšak rozhodnutie o jej využití a výsledný audítorský výrok zostávajú plne v kompetencii externého audítora.
Etika, nezávislosť a riešenie konfliktov záujmov
Etické princípy interného auditu
Interný audit musí zachovávať nezávislosť od auditovaných operácií a nemal by prevádzkovať procesy, ktoré audituje. Etický kódex IIA kladie dôraz na integritu, objektivitu, dôvernosť a odbornú kompetenciu.
Pravidlá nezávislosti externého auditu
Externí audítori sú viazaní prísnymi pravidlami nezávislosti od svojich klientov, medzi ktoré patria zákaz finančných väzieb, obmedzenia pri poskytovaní vybraných poradenských služieb a povinnosť rotácie audítorských partnerov. Verejný záujem má jednoznačne prioritu pred záujmom klienta.
Záverom je potrebné zdôrazniť, že interný a externý audit plnia v organizácii komplementárne úlohy, ktoré sa navzájom dopĺňajú a posilňujú systém riadenia rizík, kontroly a transparentnosti. Efektívna spolupráca medzi týmito dvoma formami auditu prispieva k lepšiemu pochopeniu vnútorných procesov, zvyšuje dôveru zainteresovaných strán a podporuje udržateľný rozvoj organizácie. Zároveň je nevyhnutné zabezpečiť, aby oba typy auditu fungovali v súlade s platnou legislatívou, etickými zásadami a odbornými štandardmi, čím sa potenciálne riziká minimalizujú a dosiahnu sa stanovené ciele s maximálnou efektívnosťou.
