Význam rozlíšenia interného a externého auditu v organizáciách
Audity predstavujú neodmysliteľnú súčasť systému riadenia a kontroly v rámci každej organizácie. Interný audit (IA) a externý audit (EA) však majú odlišné zameranie, ciele, organizačné začlenenie, štandardy, ako aj formu a adresátov svojich výstupov. Pochopenie týchto rozdielov je nevyhnutné pre efektívne nastavenie corporate governance, implementáciu kontrolných mechanizmov a budovanie dôvery medzi investormi, veriteľmi i verejnosťou.
Definícia a základný účel interného a externého auditu
Úloha interného auditu
Interný audit predstavuje nezávislú a objektívnu uisťovaciu a poradenskú činnosť, ktorá je zameraná na systematické zlepšenie procesov riadenia rizík, vnútorných kontrol a správy organizácie (governance). Pomáha tak organizácii dosahovať jej strategické a operačné ciele prostredníctvom disciplinovaného hodnotenia efektívnosti týchto mechanizmov.
Funkcia externého auditu
Externý audit je nezávislé overenie účtovnej závierky a súvisiacich informácií s cieľom vyjadriť audítorský výrok o tom, či finančné výkazy verne a poctivo odzrkadľujú finančnú situáciu a výsledky hospodárenia v súlade s príslušnými normami finančného výkazníctva.
Organizačné zaradenie a nezávislosť interného a externého auditu
Postavenie interného auditu
Interný audit je organizačne podriadený najvyššiemu vedeniu organizácie, no zároveň je funkčne nezávislý. Výsledky svojej činnosti reportuje priamo výboru pre audit alebo dozornej rade, čím sa zabezpečuje objektívnosť a nestrannosť. Nezávislosť interného auditu je zakotvená v jeho charte, ktorá mu okrem iného garantuje neobmedzený prístup k potrebným informáciám.
Umiestnenie a regulácia externého auditu
Externý audit vykonáva nezávislá audítorská firma, ktorú vyberajú akcionári alebo ktorá je ustanovená podľa platnej regulácie. Jeho nezávislosť je prísne regulovaná etickými pravidlami, ktoré zahŕňajú povinnú rotáciu kľúčových audítorských partnerov, zákaz poskytovania určitých poradenských služieb klientovi a transparentnosť honorárov.
Adresáti a zodpovednosť auditov
Kto využíva výstupy interného auditu
Interný audit je primárne určený pre manažment a orgány dohľadu, predovšetkým výbor pre audit. Jeho výsledky sú využívané na zlepšovanie vnútorných procesov a kontrolných mechanizmov. Interní audítori nenesú prevádzkovú zodpovednosť za auditované procesy, no poskytujú odporúčania a monitorujú ich implementáciu.
Externý audit pre akcionárov a regulatorné orgány
Externý audit slúži najmä akcionárom, veriteľom, regulátorom a kapitálovým trhom. Audítor nesie zodpovednosť za získanie primeraného uistenia, pričom však neponúka absolútnu garanciu. Na základe vykonaných postupov vydáva audítorský výrok k účtovnej závierke.
Rozsah činnosti interného a externého auditu
Široké spektrum interného auditu
Interný audit má rozsiahle pôsobenie, zahrnujúce finančné, operatívne, IT aspekty, kybernetickú bezpečnosť, dodržiavanie predpisov (compliance), environmentálne, sociálne a riadiace (ESG) reporty, firemnú kultúru, etiku, projektové riadenie a vzťahy s tretími stranami. Činnosť interného auditu zahŕňa uisťovacie audity, ako aj poradenské úlohy ako napríklad workshopy zamerané na riziká či pred-auditné hodnotenia projektov.
Zameranie externého auditu na finančné výkazy
Externý audit sa sústreďuje predovšetkým na overenie finančných výkazov a súvisiacich zverejnení. Tiež posudzuje vybrané prvky vnútorných kontrol nad finančným výkazníctvom (napr. podľa zákona SOX) a môže vykonávať doplnkové overenia ako jsou revízie polročných výkazov či iné formy uisťovacích služieb podľa dohody.
Štandardy a metodologické prístupy auditov
Medzinárodný rámec interného auditu
Činnosť interného auditu je riadená rámcom IPPF (International Professional Practices Framework), ktorý vydáva Institute of Internal Auditors (IIA). Súčasťou sú aj etické zásady IIA a metodika založená na rizikách (risk-based internal auditing – RBIA). Interný audit musí podľa týchto štandardov realizovať program zabezpečenia a zlepšovania kvality (Quality Assurance and Improvement Program – QAIP), vrátane externej validácie v intervale troch až piatich rokov.
Normy pre externý audit
Externý audit sa vykonáva podľa medzinárodných audítorských štandardov (ISA) a etických pravidiel vydaných IESBA. Zásadnú úlohu zohrávajú vnútorné systémy kontroly kvality (ISQM) a externé dohľady vykonávané regulátormi ako PCAOB, FRC či národnou komorou audítorov. Súčasťou sú povinné rotácie kľúčových partnerov auditu alebo auditných tímov.
Plánovanie a riziková orientácia v auditoch
Interný audit ako proaktívny nástroj riadenia rizík
Plánovanie interného auditu je založené na hodnotení rizík organizácie a jej apetíte k riziku. Ročný alebo viacročný plán reflektuje strategické ciele, zmeny procesov a výsledky predchádzajúcich auditov. Interný audit zároveň flexibilne reaguje na nové hrozby, incidenty a neočakávané udalosti, čím podporuje včasnú identifikáciu rizík.
Externý audit zameraný na riziká účtovných závierok
Plán externého auditu zahŕňa posúdenie inherentného a kontrolného rizika, stanovenie prahovej hodnoty materiality, identifikáciu oblastí so zvýšeným rizikom podvodu (napr. podľa ISA 240) a prípravu audítorských testov vrátane analytických postupov a vzorkovania. Cieľom je získať primerané uistenie o správnosti finančných výkazov.
Materialita a úroveň poskytovaného uistenia
Kvalitatívny prístup interného auditu
Interný audit nepracuje s finančnou materialitou ako pri externom audite. Posudzuje významnosť zistení v kontexte dosahovania cieľov, riadenia rizík a súladu s predpismi. Poskytuje skôr kvalitatívne uistenie zamerané na dizajn a efektívnosť vnútorných kontrol.
Kvantitatívne a kvalitatívne meranie uistenia pri externom audite
Externý audit využíva kvantitatívne a kvalitatívne kritériá materiality pre navrhovanie audítorských postupov a vyhodnocovanie prípadných chýb vo finančných výkazoch. Poskytuje primerané, no nie absolútne, uistenie o pravdivosti a správnosti finančných informácií.
Podvody a ich detekcia v rámci auditu
Úloha interného auditu v prevencii a vyšetrení podvodov
Interný audit hodnotí efektívnosť rámca na prevenciu, detekciu a reakciu na podvody. Môže sa podieľať na investigatívnych aktivitách, forenzných analýzach a podpore etických liniek. Zodpovednosť za riadenie rizika podvodov však ostáva na vedení organizácie.
Externý audit a detekcia podvodov
Externý audítor je povinný zvážiť riziká podvodov a navrhnúť primerané audítorské postupy, avšak nie je garantom ich odhalenia. V prípade zistení podvodov komunikuje svoje zistenia osobám zodpovedným za dohľad a posudzuje ich vplyv na audítorský výrok.
Audity v oblasti IT a kybernetickej bezpečnosti
Interný audit a detailná kontrola IT prostredia
Interní audítori často vykonávajú podrobné audity IT všeobecných kontrol (ITGC) a aplikačných kontrol (ITAC), hodnotia súlad s bezpečnostnými štandardmi, plány kontinuity prevádzky, správu identít a prístupov, riadenie zmien a kvalitu údajov v informačných systémoch.
Externý audit a relevancia IT kontrol pre finančné výkazy
Externý audit zahrňuje hodnotenie IT kontrol iba v rozsahu relevantnom pre finančné výkazy, aby sa zabezpečila spoľahlivosť systémov s dopadom na finančné vykazovanie. Tento posudok následne ovplyvňuje návrh audítorských testov.
Komunikácia výsledkov a nasledujúce kroky
Správy a odporúčania interného auditu
Interný audit vydáva správy obsahujúce hodnotenie návrhu a efektívnosti kontrol, identifikuje koreňové príčiny nedostatkov, vyhodnocuje riziká a navrhuje konkrétne odporúčania na zlepšenie. Zároveň sleduje implementáciu opatrení a informuje o stave výbor pre audit.
Audítorské správy a listy správe externého auditu
Externý audit vydáva audítorskú správu obsahujúcu výrok (bez výhrad, s výhradami, odmietnutie výroku alebo negatívny výrok) a sprievodný list správe (management letter), v ktorom sú dokumentované zistenia týkajúce sa nedostatkov v kontrolnom prostredí zistené počas overenia účtovnej závierky.
Spolupráca interného a externého auditu
Externí audítori môžu za určitých podmienok zohľadniť výsledky interného auditu, ak vyhodnotia jeho objektivitu, odbornosť a systematický prístup. V takejto miere môžu využiť prácu interného auditu na obmedzenie rozsahu vlastného testovania, avšak zodpovednosť za audítorský výrok vždy ostáva na externom audítorovi.
Etika, nezávislosť a riadenie konfliktov záujmov
Nezávislosť interného auditu
Interný audit musí zachovávať nezávislosť voči auditovaným procesom, pričom nesmie vykonávať operatívne úlohy, ktoré audituje. Je viazaný etickým kódexom IIA, ktorý kladie dôraz na integritu, objektivitu, dôvernosť a kompetentnosť.
Nezávislosť externého auditu je kritická pre dôveryhodnosť a objektívnosť audítorského posúdenia. Externí audítori sú viazaní etickými pravidlami a normami profesijnej nezávislosti, ktoré vylučujú akékoľvek konflikty záujmov a zabezpečujú nestrannosť ich hodnotení a záverov.
V konečnom dôsledku interný a externý audit navzájom dopĺňajú svoje funkcie a prístupy. Kým interný audit prispieva k zlepšovaniu procesov a riadenia rizík v organizácii, externý audit poskytuje nezávislé potvrdenie o spoľahlivosti finančného výkazníctva. Spolupráca a vzájomné uznanie oboch typov auditu vedú k vyššej kvalite riadenia a transparentnosti v organizáciách.
