Interný vs externý audit

Posted on by Peter Kráľ
Interný vs externý audit

Prečo rozlišovať interný a externý audit

Audity sú kľúčovým prvkom systému riadenia a kontroly organizácií. Interný audit (IA) a externý audit (EA) však sledujú odlišné ciele, pracujú pod rozdielnou správou, riadia sa inými štandardmi a majú iné výstupy aj adresátov. Porozumenie týmto rozdielom je zásadné pre správne nastavenie corporate governance, efektívne uplatnenie kontrolných mechanizmov a pre dôveru investorov, veriteľov i verejnosti.

Základná definícia a účel

  • Interný audit: nezávislá a objektívna uisťovacia a poradenská činnosť zameraná na zlepšenie procesov riadenia rizík, kontroly a správy a riadenia (governance). Pomáha dosahovať ciele organizácie tým, že prináša systematický a disciplinovaný prístup k hodnoteniu a zlepšovaniu efektívnosti riadenia rizík a vnútorných kontrol.
  • Externý audit: nezávislé overenie účtovnej závierky (a súvisiacich informácií) s cieľom vyjadriť audítorský výrok o tom, či účtovná závierka verne a poctivo zobrazuje finančnú situáciu a výsledky hospodárenia podľa príslušného rámca finančného výkazníctva.

Správa, nezávislosť a umiestnenie v štruktúre

  • Interný audit: organizačne podlieha najvyššiemu vedeniu, avšak funkčne je nezávislý a reportuje výboru pre audit alebo dozornej rade. Nezávislosť sa zabezpečuje chartou IA, priamym prístupom k predstavenstvu a právom na neobmedzený prístup k informáciám.
  • Externý audit: vykonáva ho nezávislá audítorská firma zvolená akcionármi (alebo ustanovená v súlade s reguláciou). Nezávislosť je regulovaná etickými požiadavkami (rotácia kľúčového partnera, zákaz určitých poradenských služieb, transparentnosť honorárov).

Primárni adresáti a zodpovednosť

  • Interný audit: adresátmi sú manažment a orgány dohľadu (audit committee). Výstupy slúžia na zlepšenie procesov a kontrol; IA nepreberá prevádzkovú zodpovednosť za procesy, navrhuje odporúčania a sleduje ich implementáciu.
  • Externý audit: adresátmi sú akcionári, veritelia, regulátori a kapitálové trhy. Audítor nesie zodpovednosť za získanie primeraného uistenia, nie však absolútneho, a vyjadruje výrok k účtovnej závierke.

Rozsah a predmet práce

  • Interný audit: široký záber – financie, operatíva, IT, kybernetická bezpečnosť, compliance, ESG reporte, kultúra a etika, projektové riadenie, tretie strany. Prístupy siahajú od uisťovacích auditov po poradenské úlohy (risk workshop, návrh kontrol, pre-audit projektov).
  • Externý audit: primárne finančné výkazy a súvisiace zverejnenia, vybrané prvky vnútornej kontroly nad finančným výkazníctvom (napr. podľa SOX), doplnkové overenia (review, agreed-upon procedures, assurance nad nefinančným výkazníctvom, ak je dohodnuté).

Štandardy a metodické rámce

  • Interný audit: rámec IPPF (International Professional Practices Framework) vydaný IIA, kódex etiky IIA, metodika založená na riziku (risk-based internal auditing – RBIA), program zabezpečenia a zlepšovania kvality (QAIP) vrátane externej validácie v troj- až päťročnom cykle.
  • Externý audit: Medzinárodné audítorské štandardy (ISA), etické pravidlá IESBA, vnútorné systémy kontroly kvality (ISQM), externé dohľady (napr. regulátor PCAOB/FRC/komora audítorov) a povinná rotácia partnerov či tímov.

Prístup založený na riziku a plánovanie

  • Interný audit: ročný (viacročný) plán odvodzuje z hodnotenia rizík organizácie a jej apetítu k riziku. Zohľadňuje strategické zámery, zmeny procesov a výsledky predchádzajúcich auditov. Flexibilne reaguje na incidenty a nové hrozby.
  • Externý audit: plánovanie zahŕňa posúdenie inherentného a kontrolného rizika, stanovenie materiality, identifikáciu oblastí náchylných na podvody (ISA 240) a návrh testov (substantívne testovanie, testy kontrol). Dôležitá je analytická procedúra a vzorkovanie.

Materialita a úroveň uistenia

  • Interný audit: nepracuje s „finančnou materialitou“ v zmysle výroku; posudzuje významnosť v kontexte cieľov, rizík a compliance. Úroveň uistenia je často kvalitatívna, viazaná na dizajn a efektívnosť kontrol.
  • Externý audit: používa kvantitatívnu aj kvalitatívnu materialitu ako prah pre navrhovanie procedúr a hodnotenie chýb; poskytuje primerané (nie absolútne) uistenie k celku účtovnej závierky.

Fraud a podvody: zodpovednosť a rozsah

  • Interný audit: hodnotí, či je rámec prevencie, detekcie a reakcie na podvody adekvátne; môže vykonávať investigatívne práce, forenzné analýzy a podporu etických liniek, avšak vlastníctvo rizika podvodu zostáva manažmentu.
  • Externý audit: má povinnosť zvážiť riziká podvodov a navrhnúť primerané postupy, no nezaručuje ich odhalenie. Komunikuje zistenia správe (TCWG) a zvažuje dopad na výrok.

IT a kybernetika: rozdielne hĺbky a ciele

  • Interný audit: často vykonáva detailné ITGC/ITAC audity, hodnotí bezpečnostné štandardy, kontinuitu, identitu a prístupy, správu zmien a kvalitu dát.
  • Externý audit: posudzuje IT kontroly v rozsahu relevantnom pre finančné výkazy (ITGC, aplikatívne kontroly), aby určil spoliehanie sa na systémy a efektívne navrhol testy.

Komunikácia, reporty a následné kroky

  • Interný audit: vydáva správy s hodnotením dizajnu a efektívnosti kontrol, koreňovými príčinami, rizikovým hodnotením a odporúčaniami. Sleduje plnenie akčných plánov (follow-up) a reportuje stav výboru pre audit.
  • Externý audit: vydáva audítorskú správu s výrokom (bez výhrad, s výhradou, odmietnutie výroku, negatívny výrok) a list správe (management letter) s nedostatkami kontrol, ktoré zistil popri overovaní.

Využitie práce interného auditu externými audítormi

Externí audítori môžu za určitých okolností vziať do úvahy prácu interného auditu (posúdenie objektivity, kompetencie, systematického prístupu) a v obmedzenej miere ju využiť na zníženie rozsahu vlastného testovania. Rozhodnutie je však na externom audítorovi a nikdy nenahrádza jeho zodpovednosť za výrok.

Nezávislosť, etika a konflikty záujmov

  • Interný audit: musí byť nezávislý od auditovaných oblastí; IA neprevádzkuje procesy, ktoré audituje. Etický kódex vyžaduje integritu, objektivitu, dôvernosť a kompetentnosť.
  • Externý audit: striktné pravidlá nezávislosti voči klientovi (finančné väzby, poskytovanie zakázaných služieb, rotácia partnera). Verejný záujem má prednosť pred záujmom klienta.

Frekvencia, cyklus a pružnosť

  • Interný audit: kontinuálny program práce počas roka s možnosťou ad hoc auditov a real-time assurance; flexibilne reaguje na zmeny rizikového profilu.
  • Externý audit: prevažne ročný cyklus viazaný na uzávierku (interim a final); prípadne priebežné prehľady (review) polročných výkazov.

Verejný sektor a špecifiká regulovaných odvetví

V regulovaných sektoroch (bankovníctvo, poisťovníctvo, energetika) a vo verejnej správe sa uplatňujú osobitné požiadavky na rozsah interného auditu (nezávislá funkcia, minimálne pokrytie rizík) a externého auditu (povinné audity, rozšírené zverejnenia, dohľad nad kvalitou). Interný audit často plní aj úlohy hodnotenia súladu s reguláciou a rizikového rámca (napr. ICAAP/ORSA).

Výkonnosť a kvalita: zabezpečenie a dohľad

  • Interný audit: program QAIP, interné a externé posúdenia kvality, KPI (čas cyklu, implementácia odporúčaní, pokrytie rizík), maturita funkcie IA a talent manažment.
  • Externý audit: systém manažérstva kvality (ISQM), interné kontroly kvality zakázok, externé inšpekcie, peer review, disciplinárne opatrenia regulátora pri zlyhaniach.

Výber a spolupráca: ako nastaviť synergický vzťah

  • Mandát IA (charter): schvaľuje audit committee; vymedzuje prístup k informáciám a práva/obmedzenia.
  • Trojuholník spolupráce: interný audit – externý audit – manažment; zdieľanie rizikovej mapy, koordinácia plánov, výmena zistení bez narušenia nezávislosti.
  • Rotácia EA a tender: transparentné kritériá, posúdenie odbornosti, nezávislosti, technologických nástrojov a geografického pokrytia.

Praktické príklady rozdielov

  • Proces obstarávania: IA posúdi dizajn kontrol, segregáciu povinností, účinnosť monitoringu a odporučí zlepšenia. EA sa zameria na riziko nesprávneho vykázania (napr. kapitalizácia vs. náklady) a vykoná testy transakcií a kontrol relevantných pre výkazy.
  • Kybernetický incident: IA hodnotí odozvu, kontinuitu a obnovu, odporúča opatrenia. EA posudzuje, či má incident dopad na ocenenie aktív, zverejnenia a going concern.
  • Nový ERP systém: IA vykoná pre-implementačný audit, ITGC a change management. EA prispôsobí audítorský prístup k novej architektúre a testom integrít dát.

Obmedzenia a očakávania stakeholderov

  • Interný audit: nie je náhradou za manažérsku zodpovednosť; nemá vlastniť riziká ani procesy. Pridaná hodnota sa meria zlepšením kontrolného prostredia a úsporami z rizík.
  • Externý audit: neposkytuje absolútnu garanciu odhalenia podvodu a nezaručuje budúcu životaschopnosť; poskytuje primerané uistenie k minulému reportingu.

Zhrnutie kľúčových rozdielov

  • Účel: IA zlepšovanie procesov a riadenia rizík; EA výrok k účtovnej závierke.
  • Adresát: IA – manažment a výbor pre audit; EA – akcionári a trh.
  • Rozsah: IA – holistický a flexibilný; EA – finančne orientovaný a rámcovaný materialitou.
  • Štandardy: IA – IPPF/IIA; EA – ISA/IESBA a regulácia.
  • Frekvencia: IA – priebežná; EA – periodická (ročná/polročná).

Komplementárne piliere governance

Interný a externý audit sú komplementárne funkcie. Interný audit posilňuje kultúru kontroly, zvyšuje procesnú odolnosť a podporuje dosahovanie cieľov. Externý audit prináša kredibilitu finančnému reportingu a transparentnosť pre kapitálové trhy. Správne nastavená spolupráca, jasné mandáty a vysoké etické štandardy oboch funkcií vytvárajú silný systém uisťovania, ktorý chráni hodnotu pre všetkých stakeholderov.

Related Posts

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *