Rozdiely medzi interným a externým auditom
Význam rozlíšenia interného a externého auditu
Audity predstavujú zásadný nástroj riadenia a kontrolných mechanizmov v organizáciách. Interný audit (IA) a externý audit (EA) majú odlišné ciele, organizačné umiestnenie, metodologické prístupy, ako aj rôznych adresátov svojich výstupov. Ich rozlíšenie je nevyhnutné pre efektívne nastavenie corporate governance, zabezpečenie dôveryhodnosti finančných informácií a transparentnosť voči investorom, veriteľom či regulačným orgánom.
Základné definície a ciele auditov
- Interný audit: nezávislý a objektívny proces hodnotenia, ktorý sa zameriava na zlepšovanie systémov riadenia rizík, interných kontrol a riadenia organizácie. Interný audit pomáha zabezpečiť dosahovanie strategických cieľov prostredníctvom systematického, disciplinovaného a rizikovo orientovaného prístupu.
- Externý audit: nezávislé overenie finančných výkazov organizácie s cieľom vyjadriť dôveryhodný audítorský výrok o vernosti a správnosti účtovnej závierky podľa platných účtovných štandardov a rámcov finančného výkazníctva.
Organizačná príslušnosť a zabezpečenie nezávislosti
- Interný audit: väčšinou priamo podriadený najvyššiemu vedeniu, avšak funkčne nezávislý. Reportuje spravidla výboru pre audit alebo dozorným orgánom. Nezávislosť je garantovaná audítorskou chartou, právom na prístup k informáciám a priamym kontaktom s predstavenstvom.
- Externý audit: vykonávaný nezávislou audítorskou firmou, ktorú volí valné zhromaždenie akcionárov alebo je ustanovený reguláciou. Audítorská nezávislosť je zakotvená etickými normami a reguláciami, vrátane rotácie kľúčových osôb, obmedzenia poskytovania poradenských služieb klientom a transparentnosti honorárov.
Primárni prijímatelia správ a zodpovednosť auditu
- Interný audit: výstupy sú určené manažmentu a dozorčím orgánom (napríklad auditnému výboru). Slúžia na zlepšovanie vnútorných procesov a kontrolných mechanizmov. Interný auditor nenesie prevádzkovú zodpovednosť, ale poskytuje odporúčania a monitoruje ich implementáciu.
- Externý audit: primárnymi adresátmi sú akcionári, investori, veritelia, regulátori a finančné trhy. Audítor zabezpečuje primerané uistenie o účtovnej závierke, nesie zodpovednosť za audítorský výrok, hoci nepreberá zodpovednosť za samotné účtovníctvo organizácie.
Rozsah pôsobnosti a predmet auditu
- Interný audit: zahŕňa široké spektrum oblastí vrátane financií, operatívy, IT systémov, kybernetickej bezpečnosti, súladu s legislatívou (compliance), environmentálnych, sociálnych a riadiacich aspektov (ESG), etiky a kultúry, projektového manažmentu a spolupráce s tretími stranami. Realizuje uisťovacie audity aj poradenské služby ako sú workshopy hodnotenia rizík či pre-audity nových projektov.
- Externý audit: zameriava sa primárne na overenie finančných výkazov a súvisiace zverejnenia, vrátane hodnotenia vnútornej kontroly nad finančným výkazníctvom (napr. požiadavky podľa zákona Sarbanes-Oxley). Môže vykonávať aj doplnkové overovacie postupy, ak sú dohodnuté s klientom.
Štandardy a odborné rámce riadenia auditu
- Interný audit: riadi sa rámcom IPPF (International Professional Practices Framework) vydaným Inštitútom interných audítorov (IIA), kódexom etiky, a uplatňuje metodológie založené na hodnotení rizík (risk-based internal auditing). Súčasťou je aj Program zabezpečenia a zlepšovania kvality (QAIP), vrátane pravidelných externých hodnotení kvality v cykle troch až piatich rokov.
- Externý audit: podlieha medzinárodným audítorským štandardom (ISA), etickým pravidlám IESBA, vnútorným systémom kontroly kvality (ISQM) a dohľadu externých regulátorov, napríklad PCAOB, FRC alebo národných komôr audítorov. Povinná je tiež rotácia audítorských partnerov alebo tímov zabezpečujúca nezávislosť.
Prístupy k riziku a plánovanie auditu
- Interný audit: vypracúva viacročné a ročné plány na základe komplexného hodnotenia rizík a rizikového apetítu organizácie. Zohľadňuje strategické ciele, zmeny v procesoch, výsledky predchádzajúcich auditov a flexibilne reaguje na nové hrozby či neplánované udalosti.
- Externý audit: plánovanie zahŕňa analýzu inherentného a kontrolného rizika, určenie finančnej materiality, identifikáciu oblastí náchylných na podvodné konanie (v súlade s ISA 240) a návrh adekvátnych audítorských postupov – vrátane testovania kontrol a substantiálnych overovacích testov.
Materialita a úroveň poskytovaného uistenia
- Interný audit: nepoužíva tradičný koncept finančnej materiality používaný pri výrokoch. Hodnotí významnosť nálezov vzhľadom na ciele organizácie, riadenie rizík a súlad s pravidlami. Úroveň uistenia je prevažne kvalitatívna, zameraná na dizajn a efektívnosť kontrolných procesov.
- Externý audit: používa kvantitatívnu a kvalitatívnu materialitu ako kritérium pri navrhovaní pracovných postupov a posudzovaní chýb, pričom poskytuje primerané, nie absolútne, uistenie o spoľahlivosti účtovnej závierky.
Zodpovednosť za odhalenie podvodov a ich manažment
- Interný audit: posudzuje účinnosť rámca na prevenciu, detekciu a riešenie podvodov. Môže vykonávať forenzné vyšetrovania a podporovať etické linky, avšak zodpovednosť za riziko podvodov zostáva na manažmente organizácie.
- Externý audit: má povinnosť zvážiť riziká podvodu a navrhnúť audítorské postupy zamerané na ich zistenie, avšak nemôže zaručiť ich odhalenie. Ak zistí podvodné praktiky, informuje o tom orgány riadenia (TCWG) a zohľadňuje ich dopad na audítorský výrok.
Audity informačných technológií a kybernetickej bezpečnosti
- Interný audit: vykonáva detailné audity IT všeobecných kontrol (ITGC) a aplikačných kontrol (ITAC), hodnotí bezpečnostné štandardy, kontinuitu prevádzky, správu prístupov a identít, riadenie zmien a kvalitu dát v informačných systémoch.
- Externý audit: zameriava sa na vyhodnotenie IT kontrol relevantných pre finančné výkazy, aby určil rozsah spoliehania sa na IT systémy a navrhol primerané testy efektívnosti týchto systémov.
Komunikácia a formálne výstupy auditu
- Interný audit: vydáva podrobné správy o dizajne a účinnosti kontrol s identifikáciou koreňových príčin a rizík, spolu s odporúčaniami na zlepšenie. Monitoruje implementáciu odporúčaní (follow-up) a pravidelne komunikuje so správnym auditným výborom.
- Externý audit: publikuje audítorskú správu obsahujúcu audítorský výrok (bez výhrad, s výhradou, odmietnutie výroku alebo negatívny výrok) a správu manažmentu s uvedením zistených nedostatkov v kontrolách počas overovania účtovnej závierky.
Spolupráca interného a externého auditu
Externí audítori môžu v určitých prípadoch zohľadniť výsledky a procesy interného auditu, ak posúdia jeho objektivitu, kompetentnosť a systematický prístup. Takáto spolupráca môže viesť k zníženiu rozsahu externých testov, avšak zodpovednosť za audítorský výrok ostáva výlučne na externom audítorovi.
Etické princípy a nezávislosť v audite
- Interný audit: musí si zachovávať nezávislosť od oblastí, ktoré audit vykonáva, neimplementuje kontrolné procesy, ktoré hodnotí, a dodržiava etický kódex požadujúci integritu, objektivitu, dôvernosť a odbornú spôsobilosť.
- Externý audit: je viazaný prísnymi pravidlami nezávislosti, vyvaruje sa finančných vzťahov a poskytovaniu súbežných poradenských služieb klientovi a podlieha povinnosti rotácie audítorských partnerov. Verejný záujem prevláda nad záujmami klienta.
Frekvencia a cyklus vykonávania auditov
- Interný audit: prebieha kontinuálne počas roka s možnosťou realizácie ad hoc auditov, pričom umožňuje pružnú reakciu na vznikajúce riziká a meniace sa podmienky v organizácii.
- Externý audit: primárne sa realizuje v ročnom cykle viazanom na uzávierku účtovnej závierky, často doplnený o polročné prehliadky (review) a iné špecializované overenia.
Špecifiká auditov vo verejnom sektore a regulovaných odvetviach
Vo verejnej správe a regulovaných odvetviach, ako sú bankovníctvo, poisťovníctvo či energetika, platia prísnejšie požiadavky na rozsah a povahu interného a externého auditu. Interný audit tu často zahŕňa aj hodnotenia súladu s regulačnými požiadavkami a rizikovými rámcami (napr. ICAAP, ORSA). Externý audit je spojený s povinnými auditmi, rozšírenými zverejňovaniami a dohľadom nad kvalitou auditov zo strany regulačných orgánov.
Zabezpečenie kvality a dohľad nad auditom
Zabezpečenie kvality auditu je kľúčovým prvkom pre udržanie dôvery v auditné procesy. Interné audítorské oddelenia implementujú interné kontroly kvality, pravidelné školenia a hodnotenia výkonnosti audítorov. Na strane externého auditu sú inštitúcie povinné podliehať nezávislým externým kontrolám kvality, ktoré vykonávajú profesijné orgány a regulačné autority, zabezpečujúc dodržiavanie platných štandardov a etických pravidiel.
Celkové pochopenie rozdielov i prepojení medzi interným a externým auditom umožňuje organizáciám efektívnejšie riadiť riziká, zlepšovať vnútorné procesy a plniť regulačné požiadavky. Kombinácia týchto dvoch auditných foriem prináša komplexnejší pohľad na fungovanie organizácie a posilňuje jej transparentnosť a dôveryhodnosť voči všetkým zainteresovaným stranám.
