1 Základní koncepty a východiska pro problematiku vnitřního

kontrolního prostředí

1.1 Úvod
Pro pochopení kontrolních a auditních procesů je nezbytné pro začátek pochopit hlavní cíle fungování
entit, které budou předmětem ujišťovacích postupů. Za zjišťovací postupy budeme dále uvažovat
veškeré kontrolní a auditní postupy, které soukromá nebo veřejná instituce využívá v rámci svého
kontrolního prostředí. Kontrola jako taková je přirozenou součástí konceptu řízení společnosti, kdy je
nedílnou součástí postupů vedení společnosti nebo veřejného subjektu. Jednoduše kdo řídí, ten
zároveň v rámci své působnosti kontroluje, jak jsou jeho rozhodnutí a pokyny odpovědnými
zaměstnanci naplňovány.
V rámci pochopení strategie stanovování cílů společnosti je nezbytné na začátku vymezit koncept pro
řízení a kontrolu společnosti. Pro pochopení této problematiky si v následujících bodech vymezíme dva
základní koncepty. První z nich je účinný v oblasti obchodních korporací bez ohledu na to, je-li jejich
konečný vlastník soukromý nebo veřejný subjekt. Druhý potom popisuje podstatu řídicích a kontrolních
procesů v prostředí veřejné správy.

1.2 Vymezení pojmu Corporate Governance

1.2.1 Individuální cíle obchodních korporací

Hlavním úsilím konceptu Corporate Governance je dosahování cílů konečných vlastníků. Jednou
z hlavních příčin vývoje tohoto konceptu je možný konflikt dosahování cílů výkonného managementu
oproti cílům konečného vlastníka.
Modelovým příkladem individuálního cíle vlastníků je v praxi především dosažení maximalizovaného
zisku společnosti. Ukazatel, který je v praxi využíván, je především EBT („Earnings before Taxes“) – zisk
před zdaněním (finanční ukazatel hospodářského výsledku firmy před odečtením daně z příjmů). Jiným
příkladem individuálního cíle společnosti může být maximalizace tržního podílu. Takové společnosti
většinu výnosů společnosti reinvestují v rámci rozvoje na daném, sousedním nebo jiném trhu.
Maximalizace zisku bude jako strategický cíl využitý až v dlouhodobém horizontu po ovládnutí daného
trhu.
Výkon obchodního vedení společnosti, prostřednictvím kterého má být dosahováno předem
stanovených cílů, je v odpovědnosti statutárního orgánu a vrcholového vedení.
V případě, že není systém motivace managementu na dosahování cílů společnosti nastaven
odpovídajícím způsobem, mohou se dílčí cíle managementu a vrcholového vedení odchylovat.
Vrcholový management, který není současně konečným vlastníkem, nemusí být přirozeně motivován
k dosahování cílů vlastníků. Může tak v praxi vznikat konflikt, kdy manažeři začnou obhajovat vlastní
zájmy oproti zájmům vlastníků.
Jako konkrétní příklad může být nedostatečně nastavený systém strategického plánování, který
nereflektuje reálné možnosti výkonu společnosti (je podhodnocený). Takové plánování může vést k
výkonům, které nebudou dostatečně prosazovat požadovaný maximalizovaný zisk společnosti.
Jednoduše řečeno: podhodnocený plán hospodářského výsledku, který je kritériem odměňování
vrcholového vedení společnosti, není dostatečný pro motivaci dosahování maximalizovaného zisku.
Z důvodu možného konfliktu cílů managementu a vlastníků korporace byl vyvinutý model Coprorate
Governance.

1.2.2 Vazby a vztahy v konceptu Corporate Governance

Koncept řízení a kontroly společnosti se v čase vyvíjel dlouhodobě. V praxi jde především o soubor
pravidel, systémového nastavení odpovědností všech subjektů v rámci organizace a dílčích procesů,
kterými se naplňují cíle. Vývoj Corporate Governance je spojen především s dlouhodobým vývojem
vlastnické struktury organizací.
Corporate Governance je realizována přímo samotnými vlastníky v případě společností s jednoduchou
vlastnickou strukturou. U komplikovanějších struktur jsou jednotlivé role rozděleny mezi definované
zástupce vlastníků. Jde tak zejména o statutární orgány společností zastoupené např. představenstvem
v akciové společnosti, dále dozorovými a kontrolními orgány. Příkladem je dozorčí rada, která pro
vlastníky společnosti dohlíží na naplňování cílů ze strany představenstva nebo vrcholového
managementu. V praxi je tak zaváděn soubor kontrolních mechanismů a opatření, jejichž řádnou
aplikací je ochráněna investice konečného vlastníka.

Obrázek č. XY – Nastavení vazeb Corporate Governance v akciové společnosti (zjednodušený model)

1.2.3 Definice a principy Corporate Governance podle OECD
Podle OECD1 Dobrá správa a řízení společností pomáhá budovat prostředí důvěry, transparentnosti a
odpovědnosti nezbytné pro podporu dlouhodobých investic, finanční stability a integrity podnikání, a
tím podporuje silnější růst a inkluzívnější společnosti. Pro potřeby řádné správy obchodních korporací
bylo Corporate Governance definováno jako:
„vztahy mezi vedením společnosti, její radou, akcionáři a ostatními dotčenými subjekty a jednak
způsob, jakým jsou dosahovány cíle dané společnosti, struktura jejích orgánů a jak je plněn dohled
nad její činností.2“
Jako formalizovaný pojem vyvinula koncept Corporate Governance OECD, která v roce 1999 vydala
Principy Corporate Governance, které v roce 2004 prošly revizí a byly přizpůsobeny stávajícím
potřebám.
V konceptu Corporate Governance se OECD dlouhodobě snaží k zajištění a vymahatelnosti naplňování
cílů vlastníků. Hlavní principy OECD směřují zejména k:

• zajištění efektivního právního a regulačního rámce pro řádné řízení společností;

• ochraně a usnadnění výkonu práv akcionářů;
• rovnému zacházení vůči akcionářům;
• posílení práv akcionářů;
• zajištění přístupnosti a transparentnosti informací týkajících se společnosti, zejména pokud jde
o její finanční situaci, činnost, vlastnictví a řízení společnosti;
• zajištění odpovědnosti dozorčí rady.

Principy řádné správy obchodních korporací jsou v českém právním řádu kodifikovány. Aktuální právní
předpis, který vymezuje pravidla, odpovědnosti, vazby, vztahy a nastavení pravidel Corporate
Governance je zákon č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních
korporacích). Tato právní úprava pokrývá všechny obchodní i neziskové korporace a nastavení
Corporate Governance v rámci těchto korporací. V širším pojetí Corporate Governance existuje mnoho
dalších právních předpisů, které se týkají vnitřního kontrolního prostředí a dalších externích faktorů,
které regulují procesy řádné správy, zejména vztahy k třetím subjektům.

1.3 Vymezení pojmů Good Governance

1.3.1 Veřejný zájem a jeho role v konceptu Good Governance

Oproti konceptu řádné správy soukromých korporací se principy řádné správy ve veřejném sektoru liší
především v tom, že není jednoznačně definovaný individuální cíl pro naplňování cílů veřejné správy.
Pro pochopení konceptu Good Governance se nejprve podrobněji zaměříme na proces stanovení
veřejného zájmu.
Smyslem řádné veřejné správy je naplnění veřejného zájmu. Svým charakterem je veřejná správa
odlišná od sféry soukromé, která slouží k naplnění individuálních zájmů. Veřejný zájem se v
demokratických společnostech generuje skrze svobodné volby.
„Veřejný zájem je tzv. neurčitý právní pojem. To znamená, že jeho obsah není výslovně vymezen a
zahrnuje jevy nebo skutečnosti, které nelze obecně definovat. Obsah tohoto pojmu musí případ od
případu posuzovat sám správní orgán a pojem veřejný zájem závisí na odborném posouzení správního

1
http://www.oecd.org/corporate/
2
https://www.mpo.cz/dokument2566.html
orgánu v každém jednotlivém případě. Neexistuje žádný seznam možných veřejných zájmů. Obecně lze
říct, že zájem je zájmem veřejným, jestliže je zájmem alespoň podstatné části společnosti a směřuje
k všeobecnému blahu a dobru. Proto se nejedná o veřejný zájem v případě zájmu individuálního či úzké
skupiny, nebo zájem v rozporu s právními předpisy.“3
Generování veřejného zájmu tak není proces jednoznačný a zahrnuje vysokou míru komplexnosti.
V tomto konceptu existují druhy veřejného zájmu, které spojují většinu společnosti. Příkladem může
být ekonomický růst nebo kvalita zdravotní péče nebo zdravé životní prostředí. Na nižší úrovni,
například v oblasti prioritizace využití veřejných statků, se však zájmy veřejnosti mohou značně lišit.
V takovém případě je hlavním nástrojem pro stanovení veřejného zájmu proces demokratických voleb.
Na základě nabídky programů jednotlivých politických subjektů se při volbách občané na základě
většinového názoru volbou rozhodují, jak budou takové veřejné statky využity ve prospěch širší
veřejnosti.
Veřejný zájem je následně jedním z hlavních účelů existence a fungování veřejných institucí. Veřejné
zájmy, které jsou všeobecně uznané, jsou zpravidla formulovány v právních normách. Na centrální
úrovni státní správy zpravidla ve formě zákonných a podzákonných norem, na úrovni územní
samosprávy poté ve formě závazných usnesení a vyhlášek rady nebo zastupitelstva obce.

1.3.2 Nastavení vazeb a vztahů v konceptu Good Governance

Stejně jako v soukromém, tak i ve veřejném sektoru je podstatné pro řádné fungování veřejných
institucí nastavení vzájemný vztahů, pravomocí a odpovědností jednotlivých subjektů v celém systému.
Nastavení těchto vazeb, vztahů a odpovědností je ukotveno v právním řádu. Zásadním předpisem pro
fungování konceptu je ústava a listina základních práv a svobod. V ostatních právních předpisech jsou
podrobněji rozepsány konkrétní postupy. Příkladem je např. tzv. kompetenční zákon č. 2/1969 Sb.,
České národní rady o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické
republiky, nebo Zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu.

Obrázek č. XY – Nastavení vazeb Good Governance na úrovni státní správy (zjednodušený model)

3
HAVELKOVÁ, Svatava. Veřejný zájem. Ochrana přírody [online]. 2008, č. 3. Dostupné z:
http://www.casopis.ochranaprirody.cz/pravo-v-ochrane-prirody/verejny-zajem
Obrázek č. XY – Nastavení vazeb Good Governance na úrovni územní samosprávy
(zjednodušený model)

1.4 ODDĚLENÍ POLITICKÉ ÚROVNĚ A ÚROVNĚ VEŘEJNÉ SPRÁVY

„Smyslem řádné veřejné správy je naplnění veřejného zájmu. Svým charakterem je veřejná správa
odlišná od sféry soukromé, která slouží k naplnění individuálních zájmů. Veřejný zájem se
v demokratických společnostech generuje skrze svobodné volby. V reprezentativních demokratických
společnostech se dle typu politického systému – prezidentský, poloprezidentský, parlamentní – přenáší
rozhodování o veřejném zájmu na užší či širší skupinu reprezentantů. Političtí reprezentanti nesou
hlavní zodpovědnost za realizaci řádné veřejné správy. Aparát státní správy, skládající se z úředníků
a dalších státních zaměstnanců, je pověřen realizací politických rozhodnutí. Jelikož žádný úředník ani
státní zaměstnanec nemá legitimitu z voleb, nesmí být tvůrcem politiky. Jeho úkolem je naplnění
politického zadání dle jeho nejlepšího vědomí a svědomí, s respektem k právním předpisům. V tom se
demokratické systémy odlišují od nedemokratických politických systémů.
V mezinárodní praxi neexistuje ideální model nastavení interakcí mezi politickou a úřednickou úrovní
veřejné správy. Každý stát má svá specifika – historickou zkušenost, politickou kulturu, mentalitu,
ústavu, institucionální design, velikost, kapacity hospodářských a lidských zdrojů atd. Tato specifika
musí nastavení interakcí mezi politickou a úřednickou úrovní respektovat a reflektovat.
V transatlantickém kontextu nacházíme jak systémy řádné veřejné správy, které jsou na všech úrovních
politicky řízeny a s příchodem nové politické reprezentace se do velké míry mění i úřednický aparát
(Americký model), tak i systémy s velmi silným oddělením politické a úřednické roviny, kdy je úřednický
aparát personálně stabilní (Westminsterský model).
Mezi těmito dvěma póly nalezneme systémy veřejné správy, které balancují vliv politický a úřednický,
úřednický aparát je stabilní na nižních úrovních, ovšem s častější fluktuací na vrcholových úřednických
postech (kontinentální evropské modely). Hlavní výzvou pro systémy s malou mírou politického vlivu je
zajistit loajalitu úředníků k realizaci politických rozhodnutí, což předpokládá rozvinutou demokratickou
kulturu a úřednický étos. Naopak pro systémy s velkou mírou politického vlivu je hlavní výzvou respekt
k právu a pravidlům, která zajistí určitou míru nezávislosti úředníků. Kvůli vysoké fluktuaci je také
nezbytnou podmínkou dostatečný kapitál lidských zdrojů.
V zemích, které trpí špatnými formami vládnutí, se často objevují snahy o odpolitizování veřejné správy.
Tento termín je zavádějící, protože faktickým důsledkem odpolitizování veřejné správy by byla
marginalizace vlivu voleb, a tedy přechod k nedemokratické formě vládnutí. Špatné formy vládnutí se
naopak projevují zejména privatizací výkonu veřejné správy. A to jak na úrovni politické, tak i úřednické.
Cesta k řádné veřejné správě by v zemích procházejících transformací neměla vést skrze plné
odpolitizování, ale nastavení jasného řádu a pravidel. S tím úzce souvisí i rozdělení odpovědnosti a její
vymáhání.4“

1.5 Corporate Governance majetkových účastí veřejných subjektů

Samostatnou dílčí oblastí, kde je možné dojít ke konfliktu konceptu Corporate Governance a Good
Governance, jsou majetkové účasti (podnikatelské právnické osoby), jejichž konečným vlastníkem je
subjekt veřejné správy. Jde tedy o společnosti majoritně nebo částečně ovládané ze strany státu, kraje
nebo obce.
Primárním účelem obchodních korporací je dlouhodobě maximalizace tržního podílu nebo dosahování
zisku. V případě veřejně ovládané korporace by mohly zájmy vlastníka (veřejný zájem) převážit nad
hlavním cílem obchodní korporace. V praxi můžeme jmenovat například krajem ovládané nemocnice.
Vzhledem k tomu, že v oblasti zdravotnictví existuje trh, neměly by veřejně ovládané korporace být
zvýhodňovány na úkor ostatních společností, které jsou vlastněny soukromými osobami.
Pro poskytování veřejných statků a služeb, které nemají charakter podnikatelského konkurenčního
subjektu, se tak z hlediska ovládání jeví jako užitečnější forma právní subjektivity například příspěvková
organizace, která je veřejným subjektem pro účely poskytování veřejných služeb přímo zřízena.
Mimo výše uvedený konflikt také existuje významné riziko kontinuity dlouhodobé strategie a stanovení
cílů veřejně ovládaných majetkových účastí. Toto souvisí s volebním cyklem, který je v Česku zpravidla

4
VČELÁK, Josef a WAGENKNECHT, Lukáš. Politika řádné veřejné správy pro Českou republiku. Centrum of Excellence for Good Governance
o. s., 2014.
čtyřletý. Po výměně politického vedení orgánů veřejné správy se může i strategie vedení zásadně
měnit.
V neposlední řadě je také významné riziko odosobnění prosazování individuálních podnikatelských
zájmů vzhledem k tomu, že v orgánech společností jsou zástupci veřejnosti, kteří nemusí mít stejnou
osobní motivaci jako v případě soukromých vlastníků obchodních korporací.
V této souvislosti je také potřeba zmínit zvýšené riziko korupčního prostředí spojené s možnými střety
zájmů volených zástupců, kteří vykonávají akcionářská nebo obdobná vlastnická práva.
2 Integrovaný rámec vnitřního kontrolního prostředí

2.1 Úvod
V konceptu Corporate Governance a Good Governance se v průběhu času vyvinula potřeba podrobněji
popsat a definovat jednotlivé procesy, prostřednictvím kterých organizace dosáhne základního
standardu nastavení kvalitního kontrolního prostředí. V této kapitole se proto zaměříme na model
vnitřního kontrolního prostředí organizace COSO (The Committee of Sponsoring Organizations of the
Treadway Commission), dále také “COSO”.

2.1 COSO a jeho vznik.

COSO vznikla v roce 1985 jako spojené úsilí několika profesních organizací, které se angažovaly za
účelem podpory Národní komise pro podvodné účetní výkaznictví (The Treadway Commission). Šlo o
reakci na vlnu manipulací s účetními doklady, která se rozvinula v osmdesátých letech minulého století
v USA. Tento trend byl považován za dobu vzniku tzv. kreativního účetnictví, jehož cílem nebylo
prvotně zobrazení věrného obrazu účetní závěrky, ale zkreslení zisku společnosti prostřednictvím
falšování účetních výkazů.
The Treadway Commission byla původně společně podporována a financována pěti hlavními
odbornými účetními asociacemi a institucemi se sídlem ve Spojených státech:
• The American Institute of Certified Public Accountants (AICPA)
• American Accounting Association (AAA)
• Financial Executives International (FEI)
• Institute of Internal Auditors (IIA)
• The Institute of Management Accountants (IMA).
Komise doporučila, aby organizace sponzorující Komisi spolupracovaly na vypracování integrovaného
rámce pro vnitřní kontrolu. Těchto pět organizací tvořilo to, co se nyní nazývá Výbor sponzorujících
organizací komise Treadway. Tento výbor v roce 1992 vydal první integrovaný rámec pro vnitřní
kontrolní prostředí nazvaný COSO ERM.

2.1.1 Tři oblasti cílů COSO1

Vzhledem k tomu, že úsilím všech řídicích i kontrolních aktivit společnosti by mělo být společné
dosahování cílů společnosti, byly v integrovaném rámci definovány tři oblasti zaměření cílů, které by
měly být hodnoceny a zohledněny.
Interní kontrolní systém je proces uskutečňovaný vedením společnosti a jinými pracovníky organizace,
jehož cílem je poskytnout přiměřené ujištění o plnění cílů v následujících kategoriích:

1. Cíle operací
Účelnost a hospodárnost
Ochrana aktiv proti znehodnocení či ztrátě

1
Applying COSO's ERM — Integrated Framework, COSO 1992
2. Cíle výkaznictví
Spolehlivost, včasnost, transparentnost
3. Cíle souladu
Soulad s legislativou a jinými platnými předpisy
Uvedené cíle systematicky navazují na cíle konečných vlastníků společnosti. Zohledňují přitom
požadavky kvalitního kontrolního prostředí společnosti i vnějších vlivů, které působí na její hospodaření
a fungování.

2.2 5 komponent COSO

Samotný koncept se postupně vyvíjel v několika fázích. V roce 1992 bylo poprvé definováno pět
komponent vnitřního kontrolního prostředí. Šlo o základní prvky kontrolního prostředí, které zahrnují:

1) kontrolní prostředí v širším pojetí organizace

2) systém hodnocení rizik
3) konkrétní kontrolní aktivity a postupy
4) informace a komunikace v rámci organizace
5) monitoring

Obrázek č. XY – Komponenty COSO v modelu ERM I

2.2.1 Kontrolní prostředí2

Tato komponenta tvoří úplný základ vnitřního kontrolního systému. Jde o soubor všech procesů a
subjektů, které ovlivňují celkovou kvalitu fungování řídicích a kontrolních mechanismů.

2
VČELÁK, Josef a WAGENKNECHT, Lukáš. Politika řádné veřejné správy pro Českou republiku. Centrum of
Excellence for Good Governance o. s., 2014.
Zásadní vliv na celkové nastavení má jak politika ve smyslu strategie organizace, tak nastavení cílů a
uspořádání metod a postupů kontrolních činností.
Hlavním úsilím tohoto konceptu je nastavení tzv. „pozitivního kontrolního prostředí.“ Význam má
proto zejména přístup vedení společnosti k celkovému konceptu a strategii v rámci organizace.
Projevuje se například požadavek na bezúhonnost klíčových zaměstnanců nebo formalizaci obecných
principů a postupů etického jednání. Trendem posledního desetiletí je také postupná kodifikace
etických hodnot a přístupů jak u soukromých organizací, tak i u subjektů veřejné správy. Nejčetněji
využívaným nástrojem jsou etické kodexy.
K dalším z možných prvků kvalitního kontrolního prostředí patří dostatečné vymezení pravomocí a
odpovědností v rámci organizace nebo nastavení jasné personální politiky s důrazem na odbornou
způsobilost, objektivitu, odbornost a nestrannost.

2.2.2 Hodnocení rizik

Koncept řízení rizik se zaměřuje především na řídicí a kontrolní aktivity zaměřené do budoucna.
Společnost by tak měla vynakládat průběžné úsilí pro předcházení možným budoucím hrozbám oproti
stylu řízení organizace založeném především na řešení aktuálních negativních dopadů a situací u dílčích
procesů v odpovědnosti managementu.
V soukromém sektoru je zavedení procesů řízení rizik v odpovědnosti managementu. Není legislativně
požadován ani regulován. Výjimkou je specificky oblast pojišťovnictví a finanční a bankovní sektor.
V těchto oblastech je hodnocení rizik nedílnou součástí hlavních obchodních procesů. U finančních
institucí Zákon č. 21/1992 Sb., o bankách, požaduje zavedení vnitřního kontrolního systému, který musí
být rizikově zaměřený. Legislativní regulace je zaměřena například na hodnocení rizik spojených s
kreditním/úvěrovým rizikem, rizikem likvidity nebo s kapitálovým rizikem.
Druhou skupinou subjektů, u kterých je požadováno ze strany státu zavedení systému řízení rizik, jsou
subjekty veřejné správy. Zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě výslovně
požaduje jako jeden z hlavních cílů finanční kontroly zajištění ochrany veřejných prostředků proti
možným rizikům.

2.2.3 Kontrolní aktivity

Kontrolní činnosti by měly v každé organizaci směřovat ke snižování přirozeného (tvz. inherentního)
rizika. Postupy mohou být zaměřené ex-ante, v takovém případě jsou nazvány preventivní. Průběžné
nebo následné kontroly pak označujeme jako detekční.
Jako nezbytná součást kontrolních aktivit jsou nápravy zjištěných nedostatků. Veškeré postupy jsou
zaměřeny na dosahování předběžných cílů, nicméně náklady na opatření k nápravě by neměly
přesáhnout užitek z nich. Vždy je tak nezbytné uvažovat ekonomickou stránku kontrolních aktivit.

2.2.4 Informace a komunikace

Bez kvalitních informací není možné efektivně řídit. Proto je nezbytné, aby měla společnost dostatečně
zdokumentované jednotlivé postupy. Požadavek na dostatečnou evidenci je definován jako tzv. auditní
stopa. V praxi jde především o to, aby kdokoliv, kdo má dostatečné, objektivní, úplné a relevantní
informace o konkrétním procesu, mohl dojít ke stejným závěrům jako osoba odpovědná za
rozhodování v rámci takového konkrétního procesu.
Efektivní a účinná komunikace v organizaci postupuje směrem dolů, napříč i nahoru přes všechny prvky
a celou strukturu veřejnosprávní organizace. Komunikovat je potřeba i s externími stranami. Základem
komunikace jsou informace, které musí naplňovat očekávání skupiny nebo jednotlivce a umožnit jim
efektivní plnění jejich povinností.

2.2.5 Monitoring3

„Monitorování vnitřní kontroly by mělo zahrnovat zásady a postupy určené k zajištění adekvátního
a včasného vyřešení kontrolních zjištění. Schvalující osoba, pověřené schvalující osoby a hlavní účetní
správce veřejného rozpočtu a jeho resortních subjektů, by měly:
• Včas vyhodnotit zjištění auditu nebo jiných prověrek, včetně těch, které poukazují na
nedostatky a obsahují doporučení auditorů a dalších osob, které hodnotí operace
veřejnoprávní organizace.
• Určit příslušná opatření podle zjištění a doporučení.
• Splnit ve stanovené lhůtě všechna opatření, která napraví nebo jinak vyřeší otázky, na které
bylo upozorněno.
Proces nápravy začíná tehdy, když se výsledky auditu nebo jiné prověrky oznámí managementu a končí
se přijetím opatření:
• Náprava zjištěných nedostatků.
• Zlepšení.
• Důkaz, že zjištění a doporučení si nevyžadují angažovanost vedoucích zaměstnanců.“

Obrázek č. XY – Integrovaný rámec COSO ERM I

2.2.6 Aktualizovaný integrovaný rámec COSO ERM II 20044

V roce 2004 proběhla první větší revize modelu COSO a byl vydán aktualizovaný model COSO ERM II.

3
VČELÁK, Josef a WAGENKNECHT, Lukáš. Politika řádné veřejné správy pro Českou republiku. Centrum of
Excellence for Good Governance o. s., 2014.
4
Enterprise Risk Management — Integrated Framework, Executive Summary COSO, 2014. Dostupné z:
https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdf
Šlo především o reakci na zavedení zákona Sarbanex – Oxley act ve Spojených státech amerických,
který byl přijatý na základě nového druhu podvodného jednání při vykazování hospodaření
soukromých společností. Jedním z nejznámějších příkladů byla kauza společnosti Enron Corporation,
podnikající v oblasti energetiky. Před vyhlášením bankrotu tato korporace zaměstnávala přes 20 tisíc
zaměstnanců. Tato společnost měla od 90. let minulého století stabilní kontinuální růst hodnoty akcií.
Za několik let zásadním způsobem znásobila objem svých aktiv z 10 mld. USD až na hodnotu 111 mld.
v roce 2000. Tyto výsledky však byly po dlouhou dobu systematicky zkreslovány. Šlo o selhání, na
kterém se podílel nejenom management, ale také externí auditoři, kteří na zjištěné problémy
neupozornili. V roce 2001 se přišlo na zásadní pochybení v účetnictví ve formě podvodného jednání.
Následně spadla hodnota akcií z necelých sto dolarů na 50 centů za akcii. Společnost vyhlásila na
začátku roku 2002 bankrot. Sarbanex – Oxley act zavedl povinnost hodnocení vnitřního kontrolního
systému ze strany managementu a povinnost auditora toto hodnocení ověřovat. Model COSO byl
doporučeným standardem pro takové hodnocení.
V nové revizi integrovaného rámce COSO ERM II do komponent nově přibyla oblast stanovování cílů a
byla více rozpracována oblast hodnocení rizik včetně jejich identifikace a přijímání nápravných
opatření.

2.2.7 Aktualizovaný rámec COSO ERM II 2013

Poslední komplexní revizí prošel integrovaný rámec COSO v roce 2013. Mimo hlavní cíle zaměření
vnitřního kontrolního systému a komponenty nově přibylo 17 podrobnějších principů, které tvoří
základ jednotlivých komponent.

Kontrolní prostředí

1. Závazek k čestnosti a etickým hodnotám

2. Nejvyšší orgány společnosti demonstrují nezávislost a na managementu a
vykonávají dohled
3. Management vytvoří organizační strukturu, pravomocí a odpovědnosti
4. Závazek získat a udržet kompetentní zaměstnance
5. Zaměstnanci jsou odpovědní za vlastní kontrolní systém při naplňování cílů
 Hodnocení rizik

6. Stanovování cílů
7. Identifikace a analýza rizik
8. Vyhodnocování rizika podvodů
9. Identifikace a analýza významných změn

Informace a komunikace

13. Používání relevantních informací

14. Interní komunikace
15. Externí komunikace

Kontrolní aktivity

10. Výběr a rozvoj kontrolní činnosti, která přispívá ke snížení rizik

11. Výběr a rozvoj kontrolní činnosti v oblasti IT
12. Organizace stanovuje politiky a postupy

Monitorovací činnosti

16. Provádět průběžné hodnocení, jestli komponenty jsou přítomné a funkční

17. Vyhodnocovat a komunikovat nedostatky týkající se systému vnitřního
řízení a kontroly

Efektivnost fungování vnitřního kontrolního systému se projevuje jak zavedením všech principů, tak
jejich vzájemnou součinností.

Systém vnitřního řízení a kontroly je účinný, pokud všech 5 komponent a 17 principů je

„přítomných“ a „funkčních“:

• „Přítomný“ - komponenty a principy existují a jsou implementovány

• „Funkční“ – komponenty a principy napomáhají k efektivnímu dosahování cílů organizace

I při zavedení všech komponent, cílů a principů integrovaného rámce je podstatné vnímat to, že
jakýkoliv model může mít své limity. V případě integrovaného rámce jsou to zejména:

• Chybný lidský úsudek při rozhodování

• Lidské selhání (chyby)

• Schopnost vedoucích pracovníků překonat kontrolní systém

• Externí vlivy, které organizace nemůže ovlivnit

2.3 Faktory zásad COSO
Pro jednodušší pochopení konceptu COSO a zejména jeho principů je níže ucelený přehled konkrétních
subprocesů nebo aktivit, které by mohly být předmětem pozornosti managementu a ověření
nezávislého auditora. Pro tyto účely vyvinula COSO 81 faktorů, jejichž cílem je blíže definovat vlastnosti
jednotlivých zásad.

2.3.1 Aplikace faktorů komponenty kontrolní prostředí

2.3.2 Aplikace faktorů komponenty hodnocení rizik

2.3.3 Aplikace faktorů komponenty kontrolní činnosti

2.3.4 Aplikace faktorů komponenty informace a komunikace

2.3.5 Aplikace faktorů komponenty monitorovací činnosti
3 Model tří pásem obrany vnitřního kontrolního prostředí

3.1 Úvod
Tato kapitola navazuje na definovaný Integrovaný rámec vnitřní kontroly COSO. Na základě potřeby
podrobnějšího uspořádání vztahů a vazeb komponent kontrolní prostředí, kontrolní postupy/procesy
a hodnocení rizik definoval Institut interních auditorů (dále také „IIA“) model 3 pásem obrany. Koncept
byl vyvinut za účelem dosažení efektivního systému vnitřního řízení a kontroly uvnitř každé organizace.
Nezáleží na tom, jestli je to organizace veřejného nebo soukromého sektoru, ani jak je velká, ale v
určité míře by měla tato 3 pásma obrany fungovat v každé organizaci. Jedná se o obecně uznávaný
model a státy jako Austrálie nebo Velká Británie mají efektivní hospodaření s veřejnými prostředky
založeno právě na tomto modelu. Model jasně definuje role a odpovědnosti jednotlivých skupin uvnitř
organizace tak, aby bylo dosaženo efektivní koordinace řízení rizik. Mimo tento koncept se budeme
v této kapitole zabývat modelem Public Internal Control, který je zohledněný v doporučeních Evropské
komise pro nastavení kontrolního prostředí jednotlivých orgánu Evropské unie i v doporučeních pro
jednotlivé členské státy

3.2 Model tří pásem obrany.

Institut interních auditorů vydal v roce 2013 ve svém doporučení modelový koncept tří pásem obrany1.
Věcně jde o koncept, který by měl sloužit k lepšímu pochopení rozdělení pravomocí a odpovědností
v oblasti vnitřní kontroly organizace, aby došlo k větší efektivitě a interakci mezi jednotlivými subjekty,
a stejně tak aby byly minimalizovány nedostatky a možné duplicity v kontrolách společnosti.
Podle doporučení IIA „tři pásma obrany poskytují jednoduchý a efektivní způsob pro dosažení
komunikace ohledně risk managementu, řízení a kontrol prostřednictvím vyjasnění základních a
nezbytných rolí a odpovědností. Model poskytuje svěží vhled a jednotlivé operace, pomáhá poskytnout
ujištění na úspěšné dosažení aktivit risk managementu a je použitelný pro jakoukoliv organizaci bez
ohledu na její velikost a komplexnost.
Dokonce i v organizacích kde neexistuje formální rámec systému řízení rizik může model tří pásem
obrany zlepšit účinnost v oblasti rizik a kontrolních mechanismů a zlepšit efektivitu systému risk
managementu.“

1
THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL, Position Paper, January
2013, IIA
Obrázek č. XY – Model tří pásem obrany v soukromém sektoru2

Obrázek č. XY – Model tří pásem obrany ve veřejném sektoru3

2,3
THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL, Position Paper, January
2013, IIA
3.2.1 První pásmo obrany

První pásmo obrany je v působnosti výkonného managementu. Jde tedy o běžné kontrolní postupy
v rámci manažerské odpovědnosti jednotlivých pracovníků organizace.
V oblasti systému řízení rizik jde o aktivity, které vykonávají na běžné každodenní bázi.
Výkonný management vlastní rizika a je odpovědný za:
• Vyhodnocování rizik
• Řízení rizik
• Snižování rizik
Aby byl model v prvním pásmu obrany efektivně implementován, je pro společnost nezbytné najít
odpovědi na následující otázky:
1. Do jaké míry jsou cíle vnitřního kontrolního systému v souladu s cíli organizace?
2. Jak vrcholový management demonstruje závazek k čestnosti a etickým hodnotám? (Tone at
the top)
3. Do jaké míry organizační struktury jsou stanoveny role a pravomoci?
4. Je koncepce sebehodnocení nastavena uvnitř celé organizace? (Self-assessment)
5. Kdo dává ujištění o funkčnosti a efektivitě systému řízení a kontroly?

3.2.2 Druhé pásmo obrany

Ve druhé linii obrany jsou průřezové funkce a procesy, jejichž hlavní náplní práce je definování
standardizovaných postupů, podle nichž postupují výkonní zaměstnanci realizující běžné operativní
postupy. Procesy definované IIA zahrnují:
• Procesy řízení rizik
• Soulad s externími standardy, např. kvalita (ISO) BOZP, nákupní procesy, compliance apod.
• Controllingové funkce, funkce finančního reportingu, funkce zaměřené na finanční rizika apod.
Risk management v druhém pásmu obrany poskytuje v organizaci podporu všem úrovním vedení a
výkonným zaměstnancům a nezávisle se ptá na:
• Rizikový apetit a strategii
• Vyhodnocování rizik
• Risk reporting
• Plán na snížení rizik

Aby byl model v druhém pásmu obrany efektivně implementován, je pro společnost nezbytné najít
v oblasti systému řízení rizik odpovědi na následující otázky:
1. Jaký je proces je stanovený pro identifikaci rizik a jejich průběžnou aktualizaci při vzniku nových
rizik?
2. Jak organizace zajišťuje, že řízení rizik je nedílnou součástí operačního plánování a každodenní
činností jednotlivých zaměstnanců?
3. Do jaké míry je princip vlastnictví rizika zakotven v delegování pravomocí?
4. Jak se řízení rizik organizačně koordinuje v rámci organizace?
 5. Kdo dává ujištění, že systém řízení rizik je efektivní?

3.2.3 Třetí pásmo obrany

V třetím pásmu obrany poskytuje funkce interního auditu nezávislé objektivní ujištění pro vedení
společnosti a jeho orgány. Funkční nezávislost na managementu je jedním z hlavních faktorů, které
odlišuje ujišťovací a kontrolní funkce třetího pásma. Význam interního auditu je podstatný nejenom
pro velké a střední organizace. Stejně důležité ujištění v konceptu tří pásem obrany má funkce
interního auditu i u malých organizaci zejména proto, že na ně působí stejné externí faktory. Protože
zpravidla mají méně formalizovanou strukturu, může být pro takové organizace komplikovanější zajistit
kvalitní kontrolní prostředí a systém řízení rizik.
Funkce interního auditu v třetím pásmu obrany poskytuje nezávislé ujištění o:
• 1. a 2. pásmu obrany
• Vhodnosti a účinnosti vnitřní kontroly
• Účinnosti provádění politik

Aby byl model ve třetím pásmu obrany efektivně implementován, je pro společnost nezbytné
najít odpovědi na následující otázky:
1. Poskytuje interní audit skutečné ujištění?
2. Přezkoumává interní audit řízení a rizikové procesy?
3. Jedná interní audit opravdu jako 3. pásmo obrany?
4. Je interní audit považován jako partner managementu?
5. Je strategie interního auditu v souladu se strategií organizace?
6. Zaměřuje se interní audit na to, co má být předmětem auditu?

3.2.4 Ostatní subjekty (externí audit, regulátor)

Mezi subjekty, které stojí vně definovaných pásem obrany, ale které mají zároveň významný vliv na
vnitřní kontrolní procesy organizace, patří externí auditor a regulátoři. V případě veřejné správy plní
roli externího auditora Nejvyšší kontrolní úřad, který je jedním z ústavních orgánů České republiky. U
soukromých subjektů jde potom o externího auditora, který poskytuje nezávislé ujištění v oblasti
věrného obrazu finančních výkazů. Dalšími subjekty, jejichž pravomoci jsou definované zákonnými
předpisy, jsou například Česká národní banka v oblasti regulace finančních institucí. Vykonává dohled
nad dodržováním zákonných postupů. Právě v tomto sektoru se legislativa podrobně zaměřuje na
definované vnitřní kontrolní prostředí, funkci řízení rizik nebo vnitřního auditu.
3.2.5 Vzájemná koordinace

Mimo management, průřezové a koordinační funkce a interní audit také nemůžeme opomenout
vrcholovou úroveň společnosti, která je zejména příjemcem informací a má také vyhrazené kontrolní
a strategické rozhodovací funkce. Jde především o dozorové orgány typu dozorčí rada, výbor pro
audit nebo nejvyšší orgány společnosti reprezentující akcionáře, zpravidla valná hromada.

V neposlední řadě je nutné zmínit potřebu vzájemné koordinace jednotlivých linií obrany. I když má
každá z nich vlastní definované pravomoci a odpovědnosti, musí ve společnosti působit tak, aby byly
dosahovány cíle společnosti. Žádný prvek konceptu sám bez interakce s ostatními nemůže dosáhnout
kvalitního kontrolního prostředí.

3.3 Funkční model PIC (PIFC), vypracovaný Evropskou komisí

V rámci společné iniciativy Evropské komise a OECD nazvané Sigma byla v roce 2007 vydána
publikace „PIFC Public Internal Financial Control4.“ V rámci tohoto projektu Evropská komise vydala
komplexní doporučení členským státům pro zavádění a zlepšování systému vnitřní kontroly.

Koncept je založen na definicí pro vnitřní kontrolní systém, vycházející z:

• konceptu COSO
• standardu ISO31000 – Governance
• definice vnitřního kontrolního systému dle standardů INTOSAI (standardy pro nejvyšší auditní
instituce).

Jako hlavní nosná klíčová slova pro definování pojmu „vnitřní kontrola“ jsou podle tohoto konceptu:

• Jde o proces
• Je vlastněný lidmi
• Poskytuje přiměřené ujištění o dosahování stanovených cílů

V průběhu času byl koncept redefinován z PIFC na PIC. Vypuštěním slova finanční došlo k ujištění, že
se koncept nevztahuje pouze na finanční transakce, ale na všechny kontrolní mechanismy a postupy
subjektů veřejného sektoru členských státu EU.

Mezi hlavní principy celého konceptu patří:

• Řádná správa (Good Governance) jako hlavní nosič konceptu

• COSO/INTOSAI koncept vnitřní kontroly založený na decentralizované manažerské
odpovědnosti
• Zahrnutí dalších relevantních mezinárodních standardů
• Centralizovaná nebo decentralizovaná funkce interního auditu
• Jasné vymezení odpovědností v systému
• Funkce centrální harmonizace
• Procesy finanční inspekce striktně odděleny od interního auditu.
• Aktivní interakce mezi poskytovateli interního a externího ujištění

4
DE KONING, Robert. PIFC Public Financial Internal Control, project Sigma [online]. January, 2007. ISBN: 978-90-
9021218-0. Dostupné z: https://www.academia.edu/35860900/PIFC_Public_Internal_Financial_Control
Model PIC je založený na třech pilířích.

Obrázek č. XY – Tři pilíře PIC

Prvním pilířem je systém finančního řízení a kontroly. Jde o soubor řídicích, schvalovacích a
kontrolních postupů v odpovědnosti vedení organizace, včetně procesů finanční inspekce.

Druhým pilířem v definovaném modelu PIC je interní audit, u kterého musí být zajištěna funkční
nezávislost na výkonném managementu, který audituje.

Třetím prvkem, který celý systém zastřešuje, je tzv. centrální harmonizace. V praxi jde o organizační
jednotku podřízenou vládě nebo ministerstvu financí, která má za úkol harmonizovat přístup
členského státu a jednotlivé aktivity související s vnitřním kontrolním prostředím subjektů veřejného
sektoru. Mezi tyto aktivity patří především:

• Zajištění odpovídajícího přijatelného legislativního rámce

• Dohled nad aplikací standardů na národní úrovni
• Poskytování metodické podpory
• Průběžné monitorování systému vnitřní kontroly a identifikování nedostatků a slabých míst
• Centrální reporting na úrovni vlády a parlamentu
• Podpora vzdělávání a certifikace v oblasti vnitřního kontrolního prostředí.

Pro zajištění aktivní interakce mezi externími a interními kontrolními a auditními subjekty Evropská
komise dlouhodobě doporučuje zavádění výborů pro audit ve veřejném sektoru.
4 Hodnocení rizik

4.1 Úvod
Další z komponent integrovaného rámce COSO pro vnitřní kontrolní prostředí je hodnocení rizik. V této
kapitole budou podrobněji rozebrané jednotlivé fáze procesu řízení rizik. Současně budou podrobněji
popsány taktiky využívané v tomto konceptu pro snižování negativních dopadů přirozených
(inherentních) rizik.

4.2 Pojem riziko

Hodnocení rizik je samostatná komplexní disciplína. Proto je definice procesu hodnocení rizik
obsažena v mnoha konceptech.

„Vnitřního řízení a kontroly je nejlépe dosaženo, pokud je považováno jako součást procesu řízení
rizik.1“

„Riziko – vliv nejistoty na dosažení cílů (pozitivní i negativní).2“

„Řízení rizik – koordinované činnosti řízení organizace s ohledem na rizika.3“

Samotný pojem riziko je, jak je uvedeno výše, možné vnímat jako vliv nejistoty na dosahování cílů
společnosti. Zjednodušeně by mohl být výstižným synonymem pro pojem riziko použit termín hrozba
nebo možnost selhání nebo určité ztráty.

V konceptu hodnocení rizik je nutné vnímat i možné pozitivní dopady rizik na procesy společnosti a
dosahování cílů. V některých případech může být tzv. inherentní (přirozené) riziko příležitostí
společnosti pro zavedení efektivních procesů.

Praktickým příkladem může být riziko ekonomické recese, které nemůže společnost sama o sobě
nijak ovlivnit. Nicméně v některých případech může být ekonomická recese příležitostí pro rozvoj
podnikání, jehož výstupy jsou v době ekonomického útlumu na trhu žádanější.

4.3 Standardy interního auditu pro oblast rizik

Integrovaný rámec profesní praxe interního auditu (IPPF)4 definuje několik standardů, zaměřených na
oblast rizik.

2100 – Charakter práce (Standart IPPF)

1
IFAC – Managing Risk as an Integral Part of Managing an Organization 2015
2
ISO 31000:2009
3
ISO 31000:2009

4
https://www.interniaudit.cz/ippf/interaktivni-prehled.php?idKategorie=12
 • Interní audit musí systematicky a metodicky hodnotit procesy řízení a správy společnosti,
řízení rizik a řídicí a kontrolní procesy a přispívat k jejich zdokonalování.

2120 – Řízení rizik (Standard IPPF)

• „Interní audit musí hodnotit účinnost procesů řízení rizik a přispívat ke zdokonalování těchto
procesů.“

Interpretace:

Rozhodnutí, zda jsou procesy řízení rizik účinné, je výsledkem úsudku interního auditora založeném na
zhodnocení, že:

• cíle společnosti podporují poslání společnosti a jsou s ním v souladu,

• významná rizika jsou identifikována a ohodnocena,
• v reakci na rizika jsou podnikány přiměřené kroky, které dávají do souladu velikost rizika s
rizikovou tolerancí společnosti,
• důležité informace týkající se rizik jsou získávány a včas sdělovány napříč společností; tyto
informace umožňují zaměstnancům, vedení a orgánům společnosti vykonávat jejich
odpovědnosti.

K podpoře takového zhodnocení může interní audit získávat informace prostřednictvím několika
zakázek. Společný pohled na výsledky těchto zakázek pak poskytuje porozumění procesům řízení rizik
ve společnosti a jejich účinnosti.

Procesy řízení rizik jsou sledovány prostřednictvím průběžných řídících činností, samostatných
hodnocení nebo prostřednictvím kombinace obou uvedených činností.

2120.A1 – Interní audit musí hodnotit rizika týkající se řízení a správy společnosti, procesů společnosti
a informačních systémů z hlediska:

• dosahování strategických cílů společnosti,

• spolehlivosti a integrity finančních a provozních informací,
• účinnosti a efektivnosti procesů, a plánů,
• ochrany aktiv,
• dodržování zákonů, předpisů zásad, postupů a smluv.

2120.A2 – Interní audit musí hodnotit možnost výskytu podvodu a způsob, jakým společnost řídí riziko
podvodu.

2120.C1 – V průběhu poradenských zakázek se interní auditoři musí zabývat riziky souvisejícími s cíli
zakázky a musí být obezřetní vzhledem k existenci dalších významných rizik.

2120.C2 – Interní auditoři musí při hodnocení procesu řízení rizik dané společnosti používat znalosti
rizik získané v průběhu poradenských zakázek.

2120.C3 – Při poskytování pomoci vedení při zavádění nebo zlepšování procesů řízení rizik, interní
auditoři nesmí přijmout jakoukoli řídicí odpovědnost, která by znamenala skutečné řízení rizik.
4.4 Auditorské riziko

Koncept auditorského rizika je definován v mezinárodním auditorské standardu ISA 3205 (pro účely
ověření účetní závěrky).

Podle výše zmíněného standardu „Auditorské riziko vyjadřuje možnost, že auditor vydá k účetní
závěrce, která je významně (materiálně) zkreslená, nesprávný výrok.“

Samotné riziko se skládá ze tří složek.

AR = IR x CR x DR, kde

AR je celkové souhrnné auditorské riziko pro daný účet.

IR je inherentní (přirozené) riziko, že vznikne významná nesprávnost v důsledku nesprávnosti

zůstatku účtu či účetní operace (uvažujeme, že není vůbec nastavený vnitřní kontrolní systém).

CR je kontrolní riziko, že prostřednictvím vnitřních kontrolních mechanismů nebude zamezeno vzniku

významné nesprávnosti, která vznikne v účetní závěrce.

DR je detekční riziko, že samotný auditor při ověřování nezjistí významnou nesprávnost v účetní
závěrce.

V praxi je tedy možné ve vztahu k detekčnímu riziku dojít k závěru, že může být tím vyšší, čím je
inherentní a kontrolní riziko nižší. Stejně tak čím vyšší je přirozené a kontrolní riziko, tím nižší musí
být úroveň rizika detekčního.

V případě vysokého inherentního a kontrolního rizika bude auditor muset stanovit větší vzorek pro
testování v rámci auditního šetření, aby snížil celkové auditní riziko na předem stanovenou
přijatelnou mez.

4.5 Fáze řízení rizik

Procesy spojené s řízením rizik jsou realizované:

• na úrovni společnosti v odpovědnosti managementu (v rámci 1. a 2. pásma obrany),

• na úrovni strategického plánování aktivit interního auditu (roční a střednědobý plán),
• na úrovni konkrétní dílčí auditní zakázky.

Na všech těchto úrovních se uplatní následující části procesu řízení rizik:

A. Identifikace (zjišťování) rizik

B. Analýza (hodnocení) rizik
C. Stanovení nápravných a preventivních opatření
D. Monitorování a vykazování rizik

5
https://www.kacr.cz/file/3243/isa-volume-1-cz-kapitola-7-84-93-str.pdf
Dříve než si rozebereme jednotlivé fáze procesu řízení rizik, blíže se stručně zaměříme na
„systematičnost“ procesu řízení rizik tak, jak požadují standardy (viz bod Standardy interního auditu
pro oblast rizik).

Zmíněný metodický přístup vychází z procesní teorie PDCA (Plan, Do, Check, Act), kterou vyvinul
doktor W. Edwars Deming považovaný za tvůrce vybraných moderních metod řízení kvality se
zaměřením na rozvoj kritického myšlení.

Základem metody PDCA je její cykličnost. Po dokončení samotného cyklu tedy přichází další, ve kterém
se aplikuje opakovaně stejný postup. Tímto přístupem by měla společnost dosahovat cíle, který je
zaměřený na zdokonalování konkrétních postupů. Druhou zásadní charakteristikou celého cyklu je
oddělení jednotlivých fází. Hlavním důvodem je předcházení možných zkreslení při hodnocení
(měření).

Jednotlivé fáze obsahují přípravu (naplánuj), kde jsou soustředěny aktivity zaměřené na podrobné
naplánování aplikovaného procesu. Věcně jde tedy především o stanovení cílů. Druhým krokem
(proveď) je samotná aplikace stanoveného cíle v praxi. Ve třetí fázi cyklu (ověř) dojde k nasbírání
konkrétních měřitelných a ověřitelných dat, která slouží jako podklad pro porovnání výsledku se
stanoveným cílem. Posledním krokem (jednej) dojde k aplikaci pozitivních výsledků jako nového
standardu. V případě, že cyklus nepřinesl žádné prokazatelné zdokonalení, zůstáváme u standardu
původního.

Obrázek č. XY – Metoda PDCA

Obrázek č. XY – Aplikace metody PDCA na proces řízení rizik

4.5.1 Identifikace rizik

Při identifikaci rizik se údaje o riziku zanesou do registru rizik, který obvykle obsahuje:

• Pořadové číslo rizika, vlastníka rizika

• Typ rizika (např. Riziko informační a technologické)
• Podskupinu typu rizika (např. Nesprávně určená přístupová práva)
• Popis projevu rizika

Samotná identifikace probíhá v prvním a druhém pásmu obrany sběrem dat a informací u
pracovníků, kteří s riziky pravidelně pracují. V případě tvorby vlastního registru rizik interního auditu
je možné vytvořit přehled rizik buď v rámci samostatné auditní nebo konzultační zakázky, v průběhu
prvotního audit universe, nebo průběžně v rámci hodnocení rizik jednotlivých auditních zakázek.

Při sběru dat a identifikaci rizik je třeba brát v úvahu celou řadu rizikových faktorů.

Příklad externích rizikových faktorů

• Výkonnost ekonomiky
• Změny v legislativě

Příklad interních rizikových faktorů

• Změny na manažerských postech

• Informační systémy
4.5.2 Analýza (hodnocení) rizik

Identifikovaná rizika je nezbytné kvantifikovat tak, aby bylo možné vyhodnotit vliv, jakým by mohla
negativně ohrozit společnost.

Metody, které jsou standardně využívané pro hodnocení rizik jsou:

• Individuální hodnocení (dotazníkové šetření)

• Skupinové hodnocení – probíhá většinou metodou řízené diskuse (skupinový workshop)
• Formální (stanovený postup, matematické ohodnocení)
• Neformální (hodnocení na stupnici 1 – 5)

Samotná analýza rizik spočívá ve stanovení významnosti identifikovaných rizik.

Každému riziku, které bylo identifikováno, je třeba ve fázi analýzy rizik přiřadit pravděpodobnost
vzniku/výskytu (P) a stupeň dopadu (D).

Na základě těchto charakteristik u každého rizika určíme významnost vlivu rizika (V)

P stanovení pravděpodobnosti vzniku možného rizika

D představuje závažnost rizika pro plnění cílů

Významnost rizika je součinem hodnot pravděpodobnosti vzniku a stupně dopadu.

V=PxD

Hodnoty pravděpodobnosti vzniku a stupně dopadu je možné neformálně vyhodnotit na stupnici 1 – 5,

kde je hodnota 1 nejnižší a 5 nejvyšší z pohledu obou veličin. Při takovémto hodnocení je nejprve
nezbytné definovat k jednotlivým hodnotám kritéria takového hodnocení.

Tabulka č. XY – Přiklad kritérií hodnocení pravděpodobnosti vzniku rizika v neformálním modelu

hodnocení

Úroveň Slovní označení Popis

5 Téměř jisté Vyskytne se skoro vždy

4 Pravděpodobné Pravděpodobnost se vyskytne

3 Možné Někdy se může vyskytnout
2 Nepravděpodobné Někdy se může vyskytnout, ale není to pravděpodobné
1 Téměř vyloučené Vyskytne se pouze ve výjimečných případech
Tabulka č. XY – Přiklad kritérií hodnocení stupně dopadu rizika v neformálním modelu hodnocení

Úroveň Slovní označení Popis

5 Katastrofické Krizové situace řešené nejvyšší úrovni řízení mající vliv na chod organizace
(např. neplnění strategických cílů při zajišťování veřejného zájmu)

4 Významné Ovlivňuje vnitřní i vnější chod organizace, řeší většinou vyšší stupně
vedoucích zaměstnanců (např. vznik významných ztrát – škody, soudní
spory)

3 Střední
2 Nevýznamné
1 Zanedbatelné
Ovlivňuje vnitřní i vnější chod organizace, řeší většinou střední stupně
vedoucích zaměstnanců
Ovlivňuje zejména vnitřní chod organizace, řeší většinou nižší stupně
vedoucích zaměstnanců
Neovlivňuje znatelně ani vnitřní chod organizace, neřeší se většinou na
úrovni vedoucích zaměstnanců

Při využití formálního hodnocení pravděpodobnosti a dopadu je zpravidla jako veličina využívána
hodnota čas, nebo procento pro pravděpodobnost vzniku, a finanční objem vyjádření v peněžních
prostředcích pro stupeň dopadu.

Obrázek č. XY – Grafické vyjádření hodnocení rizik – mapa rizik

R1
3
Dopad

2
R2
1
R3
0
0 1 2 3 4 5

Pravděpodobnost

Na výše uvedené mapě jsou graficky zobrazena tři rizika. Riziko R1 vykazuje hodnoty pravděpodobnosti
výskytu 4,5 a stupně dopadu také 4,5. Obdobně jsou vyjádřena i další dvě rizika.
4.5.3 Nápravná a preventivní opatření

Stanovení nápravných a preventivních opatření se provádí u rizik s vyšší významností jejich vlivu.
V konceptu řízení rizik se v praxi využívají taktiky, jejichž cílem je snížení negativních dopadů a výskytu
četnosti jejich vzniku. Mezi tyto taktiky patří:
• Vyloučení rizika
• Snížení rizika
• Přijetí rizika
• Přenos rizika

Cílem první taktiky - vyloučení rizika - je úplné zamezení možné příčiny vzniku konkrétního rizika, resp.
zákaz určité konkrétní činnosti. V praxi je možné uvést příklad úplného zákazu kouření na pracovišti,
který je možnou příčinou vzniku požáru v areálu výrobního podniku.
Druhá taktika – snížení rizika – plně možné příčiny neodstraňuje. Konkrétním příkladem může být
oddělení odpovědnosti určité aktivity, která je sdílena několika odpovědnými odděleními nebo
pozicemi v rámci společnosti.
Přijetím rizika v praxi společnosti akceptuje jeho stávající míru a nepodniká dodatečná nápravná
opatření na jeho omezení. Jde zejména o případy, kdy je aktuální míra významnosti rizika pro
společnosti akceptovatelná. Dodatečné náklady by zpravidla překračovaly dopady rizika v případě, že
by nastalo.
Přenos rizika je taktikou, kdy společnost zabezpečí negativní dopady rizik prostřednictvím třetího
subjektu. Modelovým příkladem této taktiky je pojištění majetku společnosti pro případ živelní
události.
V praxi je možné jednotlivé taktiky kombinovat. Hlavním cílech všech aktivit v rámci této fáze řízení
rizik je jejich snížení na hodnotu, která je pro společnost akceptovatelná.
V případě rizik, která mají negativní dopady na organizace, je možné přijímat dva druhy opatření.
V prvním případě jde o opatření, která mají okamžitý nápravný charakter a není potřeba je promítat
do změny procesních standardů. Taková nápravná opatření jsou většinou spjatá s nedodržováním
stanovených postupů ze strany odpovědných zaměstnanců.
Druhým případem jsou opatření spojená se změnou / zefektivněním procesních postupů, která se
promítnou do úpravy standardů využívaných v budoucnu. Jde tak svým charakterem o preventivní
opatření. I tato opatření jsou nápravná, nicméně mají systémový charakter.

4.5.4 Monitorování rizik

Tato fáze je velice důležitá v kontextu požadavku na systematické řízení rizik požadovaného standardy
IPPF. Monitorování rizik je vyžadováno jak v prvním resp. druhém pásmu obrany, tak i v případě třetího
pásma interního auditu, které je odpovědné zavést systém monitorování nápravných opatření
zaměřených na rizika související se zjištěními interního auditu.

Monitorování významných rizik spočívá v operativním sledování rizik a posuzování nápravných

opatření. Sledování rizik provádí jednotliví vlastníci činností u všech významných rizik spadajících do
jejich kompetence. V rámci pravidelného vykazování rizik uvádějí aktuální stav nápravných opatření,
zdůvodnění neplnění termínu realizace atd.
4.6 Riziková kapacita a rizikový apetit

Hodnoty rizikové kapacity a rizikového apetitu by měly vycházet především z požadavků akcionářů na
přístup managementu k plnění cílů společnosti. Bez stanovení těchto hodnot je systém řízení a
hodnocení rizik v praxi nerealizovatelný.

4.6.1 Riziková kapacita

Hodnota rizikové kapacity odpovídá na otázku: Co mohu při řízení rizik ještě ustát?

Určení rizikové kapacity (Risk capacity) podniku je nutné vnímat jako stanovení největší velikosti ztráty,
kterou je podnik schopen přežít. Je vhodné posuzovat tento ukazatel v závislosti na velikosti a struktuře
společnosti, jejího kapitálu i schopnosti získat další zdroje financování.

Risk kapacita může být tím větší, čím větší je:

• Její celkový kapitál

• Podíl vlastního kapitálu na celkovém kapitálu, ovlivňující stabilitu firmy
• Schopnost získat dostatečné zdroje financování

4.6.2 Rizikový apetit

Hodnota rizikového apetitu odpovídá na otázku: Kam až můžu při řízení rizik dojít?

Při stanovení přijatelného (tolerovaného) rizika (Risk appetite) je nezbytné zvažovat takovou výši
ztráty, kterou je podnik ochoten přijmout v rámci své rizikové kapacity. Podstatná je závislost na
postoji managementu k riziku a požadavcích a očekáváních všech stakeholderů (akcionář, vrcholový
management, orgány společnosti).

Strategické rozhodnutí firmy závisející na:

• Požadavcích stakeholderů (akcionářů, věřitelů, regulátorů, finančních institucí, ratingových

agentur atd.)
• Postoji managementu k riziku (averze vs. ochota přijmout riziko)
 Obrázek č. XY – Grafické zobrazení Rizikové kapacity a Rizikového apetitu

5
RC
4

R1
3
Dopad

2
RA
R2
1

R3
0
0 1 2 3 4 5

Pravděpodobnost

4.7 Koncept řízení/hodnocení rizik v kontextu požadavku na zavedení vnitřního

kontrolního systému v průběhu interního auditu

Koncept řízení rizik vychází v první fázi z identifikace a hodnocení inherentních (přirozených) rizik. Jde
tedy o prvotní hodnocení rizik, která jsou uvažována bez zavedení kontrolních mechanismů konkrétní
organizace.

Druhým hodnocením procházejí rizika s uvažováním již zavedených kontrol. Teprve po tomto
hodnocení je nezbytné vyhodnotit, jestli jsou hodnocená rizika pod stanovenou hodnotou risk kapacity
společnosti. V případě, že konkrétní riziko převyšuje hodnotu risk kapacity, je nezbytné zavést
dodatečné kontrolní mechanismy tak, aby bylo dostatečně řízené a jeho významnost se dostala pod
hodnotu risk kapacity.

Debata, která může probíhat mezi interním auditem a odpovědným managementem, je na úrovni
efektivity zavedených opatření. Jinými slovy jde o to, jak rozsáhlá budou nápravná opatření a jak vysoké
budou vynaložené náklady na jejich implementaci.
 Obrázek č. XY – Přístup k hodnocení rizik v průběhu interního auditu

5
RC
stávající kontrolní mechanismy
4

R1 Inherentní (přirozené)
doporučené kontrolní mechanismy
3
Dopad

2 R1 po zavedení kontrol managementu

RA
R1 po přijetí doporučení IA
1

0
0 1 2 3 4 5

Pravděpodobnost

4.8 Rozdíl mezi pojmy „Riziko - Příčina zjištění - Dopad zjištění – Zjištění“ pro potřeby
auditní zprávy

Pro pochopení rozdílu mezi pojmy riziko, příčina zjištění, dopad zjištění a samotné zjištění je nezbytné
si jednotlivé pojmy stručně vymezit. Pojem rizika je podrobně popsán v předchozím textu této kapitoly.
Zjednodušeně jde o potenciální hrozbu, která může mít negativní dopad na společnost.

V případě zjištění jde o popis skutečného negativního stavu, který byl identifikován v rámci auditního
šetření interním auditorem.

Příčina zjištění je popis toho, proč nebyly podklady, dokumenty nebo realizované procesy dostatečné.
Nezbytným předpokladem pro možné popsání příčiny zjištění je identifikace kritéria stavu, který měl
být na základě nastavených procesů, schválených požadavků managementu, legislativy nebo dobré
praxe, ve skutečnosti realizován. Modelovým příkladem příčiny zjištění je

• Porušení předpisů, postupu, rozhodnutí

• Nedostatečně nastavené kontrolní mechanismy

Dopad zjištění – jde o popis faktorů, které na základě identifikovaného zjištění skutečně negativně
ovlivnily fungování společnosti. V praxi jde zejména o možnou finanční ztrátu.
5 Podvodné jednání a role Interního auditu při jeho identifikaci

5.1 Úvod
Interní audit není přímo odpovědný za vyšetřování podvodného jednání. Nicméně i tak má interní
auditor povinnost zvažovat rizika podvodu při veškerých aktivitách, které realizuje v souvislosti
s výkonem funkce interního auditu. V této kapitole si společně vymezíme nejdůležitější druhy
podvodného jednání.

5.2 Pojem korupce

V širším pojetí je korupce definována jako situace, kdy určitá fyzická osoba zneužije své postavení ve
funkci spojené s politikou nebo veřejnou správou pro to, aby si zajistila určitý prospěch.

Výše uvedená funkce může být získána v rámci mandátu získaného prostřednictvím voleb, nebo
jmenováním do veřejné funkce spjaté s možností rozhodovat o veřejných statcích nebo službách.

Prospěch nemusí mít pouze podobu finančního zisku, může jít také o nepeněžní plnění nebo sjednání
jiné výhody (protiplnění za určitou výhodu). Nemusí se týkat pouze konkrétní fyzické osoby, ale i osob
z jejího blízkého okolí.

Opakem korupce je pojem „integrita“. Zahrnuje dvě základní motivace:

• chovat se čestně, poctivě a odpovědně,

• dodržovat pravidla a zákony.

Problematikou potírání korupce se dlouhodobě věnuje OECD (Organizace pro hospodářskou spolupráci
a rozvoj). Základní definice a závazné právní normy OECD jsou součástí Úmluvy o boji proti podplácení
zahraničních veřejných činitelů v mezinárodních obchodních transakcích. Úmluva mj. definuje trestný
čin podplácení zahraničního veřejného činitele. Cílem úmluvy je vytvořit srovnatelné podmínky pro
podnikání v mezinárodním prostředí. Úmluvu podepsalo 44 členských států OECD. Česká republika jí
ratifikovala na konci roku 1999.

V užším pojetí je korupce zakotvena v českém právním řádu jako součást konkrétních definovaných
trestných činů uvedených v příslušných ustanovení trestního zákoníku (zákon č. 40/2009 Sb.). Jde
zejména o následující trestné činy1:

• § 209 Podvod,
• § 260 Poškození finančních zájmů Evropské unie,
• § 331 Přijetí úplatku,
• § 332 Podplácení,
• § 333 Nepřímé úplatkářství,
• § 334 Společné ustanovení pak vymezuje pojmy „úplatek“, „úřední osoba“ a „obstarávání věci
obecného zájmu,
• § 329 Zneužití pravomoci úřední osoby,
• § 330 Maření úkolů úřední osoby z nedbalosti,

1
Co je korupce. Policie.cz [online]. Dostupné z: https://www.policie.cz/clanek/co-je-korupce.aspx
 • § 180 Neoprávněné nakládání s osobními údaji,
• § 255 Zneužití informace a postavení v obchodním styku,
• § 256 Sjednání výhody při zadání veřejné zakázky, při veřejné soutěži a veřejné dražbě,
• § 257 Pletichy při zadání veřejné zakázky a při veřejné soutěži,
• § 258 Pletichy proti veřejné dražbě.

Podvodným jednáním se také dlouhodobě zabývá Evropská unie. Ve Smlouvě o fungování Evropské
unie (2012/C 326/01)2 je v kapitole 6 (boj proti podvodům) definován postup, jakým by EU a její
členské státy měly přistupovat k boji proti podvodům.

Článek 325

(bývalý článek 280 Smlouvy o ES)

1. Unie a členské státy bojují proti podvodům a jiným protiprávním jednáním ohrožujícím
finanční zájmy Unie opatřeními přijatými podle tohoto článku, která mají odstrašující účinek a
poskytují v členských státech a v orgánech, institucích a jiných subjektech Unie účinnou
ochranu.
2. Členské státy přijmou k zamezení podvodů ohrožujících finanční zájmy Unie stejná opatření,
jaká přijímají k zamezení podvodů ohrožujících jejich vlastní finanční zájmy.
3. Aniž jsou dotčena ostatní ustanovení Smluv, členské státy koordinují svou činnost zaměřenou
na ochranu finančních zájmů Unie proti podvodům. Za tím účelem organizují společně s
Komisí úzkou a pravidelnou spolupráci mezi příslušnými orgány.
4. K zajištění účinné a rovnocenné ochrany v členských státech a v orgánech, institucích a jiných
subjektech Unie přijímají Evropský parlament a Rada řádným legislativním postupem po
konzultaci s Účetním dvorem opatření nezbytná k předcházení a potírání podvodů
ohrožujících finanční zájmy Unie.
5. Komise každoročně předkládá ve spolupráci s členskými státy Radě a Evropskému parlamentu
zprávu o opatřeních, která byla přijata k provedení tohoto článku.“

EU v souladu se smlouvou o Evropské unii v roce 1996 přijala Úmluvu o ochraně finančních zájmů
Evropských společenství3. Tento dokument zavazuje členské státy trestně stíhat podvodné jednání na
souhrnném rozpočtu evropských společenství a definuje pojem dotační podvod.

Základní principy a definice EU v roce 2018 transformovala do SMĚRNICE EVROPSKÉHO PARLAMENTU

A RADY (EU) 2017/1371 o boji vedeném trestněprávní cestou proti podvodům poškozujícím finanční
zájmy Unie4. Tato směrnice blíže specifikuje trestné činy v oblasti podvodů poškozujících finanční zájmy
unie. Stejně jako předchozí úmluva o ochraně finančních zájmů EU nová směrnice ukládá povinnost
členským státům přijmou opatření nezbytná k zajištění toho, aby podvody poškozující finanční zájmy
unie byly považovány za trestný čin, pokud byly spáchány úmyslně.

5.3 Možné důvody nepoctivosti

2
https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:12012E/TXT&from=EN
3
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A41995A1127%2803%29
4
https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32017L1371&from=EN
Pro možné nastavení kontrolních mechanismů, které by snižovaly negativní dopady podvodného
jednání ve společnosti, je nezbytné pochopit vnitřní motivaci osob, které se na podvodném jednání
podílejí. Mezi nejčastější motivy patří zejména:

• Vlastní prospěch
• Vypadat dobře před sebou nebo před ostatními
• Altruismus
• Příležitost k pomstě

Jedním z nejčastějších motivů je vlastní prospěch osob, které se na podvodu podílejí. Jde zejména o
finanční nebo jiná plnění, která z takové činnosti plynou. Druhý možný motiv je spojený se skupinovým
faktorem působení podvodného jednání. Jde o případy, kdy se jedinec pohybuje ve skupině, pro kterou
je podvodné jednání běžné. Stejně tak jde o situaci, kdy vrcholové vedení společnosti nepodporuje
etické jednání a odolnost proti podvodům. Altruismus a příležitost k pomstě jsou vnitřní motivy, které
také mohou negativně ovlivňovat aktivní přístup jedince k podvodům.

5.4 Vybrané formy korupce (nepoctivosti)

5.4.1 Úplatek

Jednou z nejběžnějších forem korupce je úplatek. Jde o přijetí nebo poskytnutí neoprávněné výhody
(finanční nebo nefinanční) v souvislosti s rozhodováním určité funkce nebo pozice v organizaci. Pro
možné předcházení úplatkářství je nezbytné předem definovat, co je v podmínkách společnosti
vnímáno jako úplatek. Jde zpravidla o stanovení finančního limitu pro definovaný úplatek. Samotný
úplatek nemusí být pouze poskytnutí určitého finančního obnosu ze neoprávněné protiplnění. Mezi
metody, jak poskytnout úplatek může patřit:

Poskytnutí úplatku v hotovosti

Hotovostní úplatek je stále jedním z nejběžnějších způsobů jak poskytnout nebo přijmout úplatek.
Hlavní výhodou tohoto postupu je nulová evidence peněžního toku. Nevýhodou pro osoby, které touto
formou získají neoprávněný prospěch je to, že nemohou následně formálně doložit peněžní příjem
spojený s podvodem.

Poskytnutí úplatku prostřednictvím nadhodnocených služeb.

V praxi jsou využívány především služby, které jsou zpětně těžko ověřitelné. Může jít například o
marketingové, reklamní nebo poradenské aktivity. Stejně tak je možné úplatek skrývat prostřednictvím
poskytnutí darů na sportovní účely nebo pro nadace fiktivně zřízené pro dobročinné účely.

Poskytnutí úplatku na fiktivní plnění.

Jde o případy, kdy jsou hrazeny faktury, které nejsou podložené žádným věcným plněním dodaných
služeb nebo statků.

Účet v daňovém ráji

Společnosti založené v takzvaných off shore (daňové ráje, které nezveřejňují skutečné majitele
právnických osob) se obvykle využívají pro evidované finanční platby spojené s podvodným jednáním.
Využití bankovních účtů takových společností je spojené se zakrytím skutečné identity osob, které se
na podvodu podílejí. Obchodování se společností z daňového ráje samo o sobě indikuje rizika možného
podvodného jednání.

5.4.2 Příklady manipulace veřejných zakázek a dotací

Pořizování veřejných statků a služeb stejně jako poskytování dotací z veřejných prostředků jsou pro
veřejný sektor vysoce rizikové oblasti. Hlavním důvodem je to, že u těchto procesů probíhá většina
finančních toků mezi veřejným subjektem a třetí stranou.

I v soukromém sektoru je oblast nákupu možné vnímat v souvislosti s podvodným jednáním za

rizikovější. Společnosti proto často zavádějí preventivní kontrolní mechanismy, které by rizikům
uplácení a podvodu měly předcházet. Patří mezi ně např. pravidelná rotace nákupčích.

Mezi nejčastější formy manipulace veřejných zakázek patří následující formy:

Zakázka vůbec neproběhne

V tomto případě nepostupuje odpovědná osoba podle předem stanovených interních postupů nebo
podle procedur stanovených zákonem. Tedy bez jakéhokoliv soutěžení je uzavřena smlouva
s dodavatelem tzv. napřímo. Je nezbytné vnímat jako samostatnou zakázku jakoukoliv smlouvu, tedy i
dodatek na nové plnění, který navazuje na již dříve uzavřenou smlouvu.

Dělení zakázek

Zákon nebo interní postupy společnosti obvykle stanovují limitní částky pro postupy soutěžení
dodavatelů. U větších zakázek je vyžadováno podrobnější hodnocení nabídek, oslovení více
dodavatelů, nebo větší způsob publikace vyhlášené soutěže. Rozdělením zakázky jednoho souvisejícího
plnění, které je nad stanovený limit, na více zakázek s nižším limitem plnění a méně přísnými pravidly
výběru je jednou z možností podvodného jednání při veřejných zakázkách. Hlavním znakem tohoto
druhu korupce je, že jeden dodavatel je vítězem všech nebo více podlimitních zakázek stejného
předmětu plnění, čímž se vyhne přísnějším pravidlům, která by mohla vést k výběru jiné výhodnější
nabídky.

Diskriminační kvalifikační kritéria

Další formou nežádoucího podvodného jednání v oblasti nákupu je stanovení kritérií, které cíleně
omezí okruh možných dodávek. Dopadem je výběr, který nemusí poskytnout nejnižší možnou cenu
zboží a služeb při zachování požadované kvality a definovaných parametrů. Stejně tak může být
dopadem výběr konkrétního výrobku, kterým se vyloučí jiní dodavatelé, kteří mohou dodat zboží
splňující stejné kvalitativní parametry za výhodnější cenu.
Zmanipulované hodnocení

Aby při procesu výběru dodavatele byl vybrán dodavatel, jehož nabídka je nejvýhodnější, je nezbytné
předem jasně nastavit pravidla jeho výběru. U kritérií, která jsou jednoznačná, jako je například cena,
doba záruky, nebo doba dodání, je komplikované výběr zmanipulovat. U subjektivních hodnotících
kritérií, jako například blíže nespecifikovaná kvalita dodaných služeb, je nezbytné předem konkrétně
a jasně nastavit postup, jak taková kritéria budou při výběru dodavatele hodnocena.

Mimo to je také možné proces výběru dodavatele manipulovat tak, že se přiřadí větší váha kritériím,
která jsou ve skutečnosti méně podstatná. Příkladem může být takové nastavení, kdy bude rozhodovat
jako kritérium s nejvyšší váhou doba záruky, která v konkrétním případě nemusí být tolik významná
oproti ostatním kritériím (např. cena, doba dodání atd.).

Bid ridding

Bid ridding je zakázaná spolupráce soutěžitelů. Jde o koordinovaný postup, kdy se několik soutěžitelů
předem domluví na předložení nabídek tak, aby byl vybrán jeden z nich. V tomto případě je pro
zadavatele prakticky nemožné dosáhnout nejvýhodnější nabídky. Bid ridding je jednou
z nejzávažnějších forem kartelových dohod. V trestněprávní rovině tato aktivita spadá především pod
trestný čin pletichy při zadání veřejné zakázky a při veřejné soutěži. Hlavní obranou proti takovému
podvodnému jednání je maximální otevřenost výběrového řízení a oslovení co největšího okruhu
potencionálních dodavatelů.

5.4.3 Přehnaný politický vliv

Dlouhodobá koncentrace politické moci jednoho politického subjektu nebo osoby může vést
k přenášení politického vlivu do rozhodovacích procesů na úrovni veřejné správy. Obecně je správné,
když politická elita určuje strategické priority. Například politickým rozhodnutím výstavby dálnice
v určitém území se realizuje zastupitelská demokracie. Nicméně již není správné, pokud jsou navazující
zákonné postupy ovlivněny klientelismem nebo nepotismem spojeným s vrcholovými politiky. Politici
by neměli zasahovat do rozhodovacích procesů definovaných zákonem v rozporu s takovýmto
zákonem. Příkladem mohou být manipulace veřejných zakázek nebo dotací na základě politického
klíče, kdy dochází k přerozdělování veřejných prostředků ne na základě předem stanovených priorit a
kritérií, ale na základě politické příslušnosti nebo jiných souvisejících vazeb.

5.4.4 Převzetí státu (Policy/state capture)

Ovládnutí státu je nejvyšší formou korupce, kterou může být napaden stát. Organizované finanční nebo
zločinecké skupiny již v tomto modelu nemusejí při korupčním jednání porušovat zákony a schválené
postupy. Tyto skupiny postupně ovládnou legislativní proces a mají přímý vliv na justiční a kontrolní
mechanismy státu.

Mezi oblasti zájmu této formy korupce patří zejména:

• Ovládnutí veřejných institucí pro soukromý prospěch nebo trestnou činnost

 • Zneužití veřejných prostředků pro ovlivnění politické soutěže
• Zneužití legislativní moci
• Ovlivnění průběhu trestního nebo soudního řízení
• Zneužití kontrolních a auditních funkcí
• Zneužívání soukromých médií pro vlastní prospěch a ovlivnění veřejného mínění
• Ovládnutí veřejnoprávních médií pro vlastní prospěch a ovlivnění veřejného mínění

5.4.5 Střet zájmů

„Střet zájmů patří mezi největší překážky řádné správy, a to jak v soukromém, tak i veřejném sektoru.
Zvládnutí střetu zájmů je hlavní výzvou pro řádnou správu, klíčem ke zlepšení podnikatelského prostředí
a hlavním opatření v boji proti korupci. Zatímco v soukromém sektoru je řešení možného střetu zájmů
spíše otázka vnitřních pravidel organizace, ve veřejném sektoru je nutné vytvořit legislativní pravidla,
jak střet zájmů co nejvíce omezit nebo poskytnout návod na řešení, pokud se střet zájmů objeví. Již
v roce 2003 Organizace pro hospodářskou spolupráci a rozvoj (OECD) vydala souhrnný report shrnující
dobrou praxi veřejného sektoru v oblasti řešení střetu zájmů státních úředníků nebo politiků.“5

Podle definice OECD je střet zájmů „Konflikt mezi veřejnou povinností a soukromými zájmy veřejného
činitele, ve kterém veřejní činitelé mají soukromoprávní zájmy, které by mohly nevhodně ovlivnit
výkon jejich úředních povinností a odpovědností.6“

OECD definovala tři úrovně střetu zájmů. Jde o skutečný střet zájmů, potencionální střet zájmů a
faktický střet zájmů.

1. Skutečný střet zájmů

Příklad: Pokud úředník vlastní akcie společnosti XYZ a společnost se uchází o veřejné zakázky, kde
úředník může alespoň nějakým způsobem ovlivnit rozhodovací proces.

2. Zdánlivý střet zájmů

Příklad: Pokud úředník vlastní akcie společnosti XYZ a společnost se uchází o veřejné zakázky, kde
úředník nemůže přímo ovlivnit rozhodovací proces.

3. Potencionální střet zájmů

Příklad: Státní úředník drží podíl v chemické společnosti. Tato firma by mohla být potencionálně stíhána
(např. pro trestný čin znečištění životního prostředí) regulačním orgánem, v němž má tento úředník
rozhodovací pravomoc nebo může alespoň nějakým způsobem ovlivnit rozhodovací proces.“7

Mimo OECD se podrobněji střety zájmů, který souvisí s problematikou veřejných zakázek nebo čerpání
finančních prostředků ze souhrnného rozpočtu evropského společenství, ve svých závazných právních
předpisech zabývá také Evropská unie.

5
PEČEŇA, Lukáš. Střet zájmu a jeho řešení ve veřejné správě. Good Governancem z.s., 2017. Dostupné z:
https://goodgovernance.cz/2017/05/23/stret-zajmu-a-jeho-reseni-ve-verejne-sprave/
6
https://www.oecd.org/gov/ethics/49107986.pdf
7
PEČEŇA, Lukáš. Střet zájmu a jeho řešení ve veřejné správě. Good Governancem z.s., 2017. Dostupné z:
https://goodgovernance.cz/2017/05/23/stret-zajmu-a-jeho-reseni-ve-verejne-sprave/
V roce 2018 přijala EK Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18.
července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie. Článek 61 nově
upravuje definici střetu zájmů následovně:

„Článek 61

Střet zájmů

1. Účastníci finančních operací ve smyslu kapitoly 4 této hlavy a jiné osoby, včetně vnitrostátních
orgánů na všech úrovních, podílející se na plnění rozpočtu v přímém, nepřímém a sdíleném řízení, včetně
přípravy na tuto činnost, na auditu nebo na kontrole, se zdrží jakéhokoli jednání, jež by mohlo uvést
jejich zájmy do střetu se zájmy Unie. Přijmou rovněž vhodná opatření, která u funkcí v rámci jejich
odpovědnosti zamezí vzniku střetu zájmů a která řeší situace, jež lze objektivně vnímat jako střet zájmů.

2. Případné riziko střetu zájmů týkající se zaměstnance vnitrostátního orgánu přednese tento
zaměstnanec svému přímému nadřízenému. Případné riziko střetu zájmů týkající se zaměstnance, na
něhož se vztahuje služební řád, přednese tento zaměstnanec příslušné pověřené schvalující osobě.
Příslušný přímý nadřízený nebo pověřená schvalující osoba písemně potvrdí, zda střet zájmů existuje.
Je-li zjištěn střet zájmů, zajistí orgán oprávněný ke jmenování nebo příslušný vnitrostátní orgán, aby
dotčený zaměstnanec ukončil veškerou činnost v dané věci. Příslušná pověřená schvalující osoba nebo
příslušný vnitrostátní orgán zajistí, aby byly učiněny veškeré další vhodné kroky v souladu s platným
právem.

3. Pro účely odstavce 1 ke střetu zájmů dochází, je-li z rodinných důvodů, z důvodů citových vazeb, z
důvodů politické nebo národní spřízněnosti, z důvodů hospodářského zájmu nebo z důvodů jiného
přímého či nepřímého osobního zájmu ohrožen nestranný a objektivní výkon funkcí účastníka finančních
operací nebo jiné osoby podle odstavce 1.“8

5.4.6 Obcházení daní

Další ze systémových forem korupce je obcházení placení daní zejména ze strany velkých národních
nebo nadnárodních korporací. Některé velké korporace se dlouhodobě vyhýbají placení daní tím, že
využívají nesouladu v daňových systémech členských států unie a třetích států (tzv. daňových rájů). Jde
o koncept tzv. agresivního daňového plánování, které zahrnuje využívání mezer v daňovém systému a
nesouladu daňových systémů. Může také vést ke dvojímu nezdanění nebo dvojímu odpočtu.

Pro tyto účely EU přijala v rámci své legislativní činnosti Směrnici rady (EU) 2016/1164 z 12. 7. 2016,
kterou se stanoví pravidla proti praktikám vyhýbání se daňovým povinnostem, která mají přímý vliv na
fungování vnitřního trhu. Směrnice přímo nedefinuje pojem agresivní daňové plánování, ale vymezuje
nové postupy, které by měly obcházení placení daní minimalizovat. Patří mezi ně:

• „nová pravidla pro odečitatelnost úroků, kdy se výše úroků odečitatelných od základu daně
daňového poplatníka bude odvíjet od výše provozního zisku před zdaněním (EBITDA)
společnosti;
• povinnost přiřadit mateřské společnosti zisky zahraničních dceřiných společností, a zdanit je
tak v základu daně mateřské společnosti;
• nová opatření proti hybridním nesouladům při transakcích mezi spojenými osobami. Ta
mají zajistit, aby transakce vedoucí k příjmu osvobozenému od daně na straně příjemce, které

8
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32018R1046
 zároveň představují daňově uznatelný náklad na straně plátce příjmu, nebo transakce vedoucí
ke dvojímu uplatnění týchž nákladů v různých členských státech, byly daňově relevantní pouze
v jednom členském státě, a zamezilo se tak zneužívání těchto situací.“9

Přijetí dokumentu navazuje na inciativu OECD v oblasti boje proti agresivnímu daňovému plánování.
Z této iniciativy (BESP - Base Erosion and Profit Shifting)10 byly do výše zmíněné směrnice
implementovány tyto základní principy:

• Omezení odpočitatelnosti úroků do výše 30 % zisku (EBITDA),

• Zdanění při odchodu, stěhování společnosti nebo přesunu majetku (tzv. Exit Tax),
• Stanovení obecného pravidla proti zneužívání daňového práva,
• Stanovení tzv. CFC (Controlled Foreign Company) pravidel pro ovládané zahraniční
společnosti,
• Stanovení pravidel pro tzv. hybridní nesoulady a hybridní struktury, které umožňují dvojí
nezdanění stejného příjmu ve dvou státech nebo ve více státech, nebo dvojí odpočet stejných
nákladů ve dvou státech.11

5.5 Standardy interního auditu pro oblast podvodného jednání

V předešlém textu jsme se podrobněji zabývali problematikou podvodného jednání. Možné dopady
podvodů, které mohou napadnout organizaci, by měly být zvažovány jak při hodnocení rizik
společnosti, tak při zavádění jejích kontrolních mechanismů.

Role interních auditorů v oblasti odhalování podvodů je podrobně specifikována ve standardech IPPF
(Mezinárodní rámec profesní praxe interního auditu)

Definice podvodu dle IPPF

„Fraud – Podvod

Jakákoli nezákonná činnost, při které dochází k podvodnému jednání, zatajování informací a narušení
důvěry. Při této činnosti nemusí dojít k pohrůžce násilím nebo fyzickým násilím. Podvody páchají
jednotlivci i společnosti s cílem získat finanční prostředky, majetek nebo služby, vyhnout se platbě za
určité služby nebo jejich ztrátě a zajistit si osobní nebo podnikatelské zvýhodnění.“

Vybrané standardy IPPF v oblasti kompetencí interních auditorů souvisejících s odhalováním

podvodů:

„1210 – Odbornost

Interní auditoři musí mít znalosti, dovednosti a další schopnosti potřebné pro plnění svých úkolů.
Funkce interního auditu jako celek musí mít nebo být schopna zajistit takové znalosti, dovednosti a
další schopnosti, které jsou potřebné pro plnění jejích odpovědností.

9
Novela směrnice proti daňovým únikům (ATAD II) přijata, PWC, 2017, https://pwc-ceska-
republika.blogs.com/pwc_ceska_republika_news/2017/07/novela-sm%C4%9Brnice-proti-
da%C5%88ov%C3%BDm-%C3%BAnik%C5%AFm-atad-ii-p%C5%99ijata.html
10
https://www.oecd.org/tax/beps/
11
ATAD – Anti Tax Avoidance Directive, Fučík a partneři, 2017, https://www.fucik.cz/publikace/a-t-a-d-anti-tax-
avoidance-directive/
1210.A2 – Interní auditoři musí mít dostatečné znalosti, aby mohli ohodnotit riziko podvodu a způsob,
jakým je toto riziko řízeno v rámci společnosti, ale neočekává se od nich taková kvalifikace, jako je
požadována od osoby, jejíž hlavní odpovědností je odhalování a vyšetřování podvodu.

2120.A2 – Interní audit musí hodnotit možnost výskytu podvodu a způsob, jakým společnost řídí riziko
podvodu.

2210.A2 – Při určování cílů auditu musí interní auditoři zvážit pravděpodobnost výskytu významných
chyb, podvodu, odchylek a ostatních rizik.“

Interní auditoři by měli mít dostatečné kompetence v oblasti hodnocení rizik podvodů, ale není
požadováno, aby se jejich kvalifikace shodovala s profesemi zaměřenými na odhalování a vyšetřování
podvodného jednání. Interní auditor tedy nemusí být odborníkem na forensní vyšetřování ani
v postupech orgánů činných v trestním řízení.

Naopak by interní auditor měl v rámci hodnocení rizik jak na úrovní dlouhodobých plánů, tak u
konkrétních auditních zakázek, zohlednit možná rizika podvodů, která se u ověřovaných procesů
mohou vyskytovat.
6 Legislativa vnitřního kontrolního systému a interního auditu v ČR a
mezinárodní auditní standardy

6.1 Úvod
Vzhledem k tomu, že je pojem vnitřní kontrolní systém a corporate governance relativně komplexní,
zasahuje v oblasti nastavení vnitřního kontrolního prostředí relativně velké množství právních
předpisů. V této kapitole si vymezíme ty nejpodstatnější, které podrobněji rozvádějí nastavení systémů
a nejdůležitějších subjektů.

6.2 Vybrané právní předpisy

6.2.1 Právní předpisy v oblasti corporate governance

Právním předpisem českého právního řádu, který mj. obsáhle definuje nastavení práv a povinností
jednotlivých orgánů obchodních korporací, je Zákon č. 90/2012 Sb., o obchodních společnostech a
družstvech (zákon o obchodních korporacích). Je v něm podrobně popsaná zákonná působnost
konečných vlastníků (akcionářů akciových společnosti, jednatelů společností s ručením omezeným
atd.). Stejně tak zákon podrobně vymezuje pravomoci a odpovědnosti kontrolního orgánu (dozorčí
rady), nebo orgánu, v jehož působnosti je obchodní vedení společnosti (představenstvo, jednatel atd.).
Jde tedy v oblasti soukromého práva o nejkomplexnější právní předpis, který obsahuje:

• Hlavní principy corporate governance

• Definice, pravomoci a odpovědnosti jednotlivých subjektů
• Kontrolní funkce jednotlivých orgánů společnosti

Mimo zákon o korporacích je důležitým právním předpisem pro nastavení corporate governance
specifických právnických osob zákon č. 89/2012 Sb., občanský zákoník. V tomto zákoně jsou například
podrobněji definovány konkrétní odpovědnosti a pravomoci orgánů nadace. Mimo to je také v § 159
tohoto zákona definovaná tzv. zásada řádného hospodáře, která je uplatňována jak v korporacích
soukromého, tak veřejného práva. Doslovně zákon vymezuje: „Kdo přijme funkci člena voleného
orgánu, zavazuje se, že ji bude vykonávat s nezbytnou loajalitou i s potřebnými znalostmi a pečlivostí.
Má se za to, že jedná nedbale, kdo není této péče řádného hospodáře schopen, ač to musel zjistit při
přijetí funkce nebo při jejím výkonu, a nevyvodí z toho pro sebe důsledky.“

U vybraných společností soukromého sektoru, tzv. subjektů veřejného zájmu, je vymezena povinnost
zavést výbor pro audit. Podrobnější požadavky na výbor pro audit jsou pak definovány zákonem
č. 93/2009 Sb., o auditorech a o změně některých zákonů (zákon o auditorech).

Pokud má společnost povinnost zavést výbor pro audit, podle výše zmíněného zákona:

„Většina členů výboru pro audit musí být nezávislá a odborně způsobilá. Nejméně jeden člen výboru pro
audit musí být osobou, která je nebo byla statutárním auditorem nebo osobou, jejíž znalosti anebo
dosavadní praxe v oblasti účetnictví zajišťují předpoklad řádného výkonu funkce člena výboru pro audit,
a to s ohledem na odvětví, ve kterém subjekt veřejného zájmu působí; tento člen musí být vždy
nezávislý.“
Výbor pro audit má ze zákona minimálně 3 členy a má povinnost mj. sledovat účinnost vnitřní kontroly,
systému řízení rizik a účinnost vnitřního auditu a jeho funkční nezávislost.

Na členy výboru pro audit zákon klade v ustanovení § 44 požadavky v souvislosti s jejich potřebnou
praxí:

„Nejméně jeden člen výboru pro audit musí být osobou, která je nebo byla statutárním auditorem nebo
osobou, jejíž znalosti anebo dosavadní praxe v oblasti účetnictví zajišťují předpoklad řádného výkonu
funkce člena výboru pro audit, a to s ohledem na odvětví, ve kterém subjekt veřejného zájmu působí;
tento člen musí být vždy nezávislý.

Odborně způsobilým členem výboru je kromě osoby uvedené v odstavci 5 ten, kdo nejméně dva roky

a) zastával výkonnou řídící funkci v účetní jednotce, která působí ve stejném odvětví jako subjekt
veřejného zájmu, nebo

b) byl odpovědným za výkon funkce řízení rizik, vyhodnocování souladu činností s právními předpisy,
vnitřního auditu nebo pojistně matematické funkce nebo jiné obdobné funkce.“

Nastavení pravomocí a odpovědností ve veřejném sektoru je soustředěno v několika předpisech na

obecné úrovni. Jde především o:

• Ústavní zákon č. 1/1993 Sb., Ústava České republiky

• Zákon č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České
socialistické republiky
• Zákon č. 128/2000 Sb., o obcích (obecní zřízení)
• Zákon č. 129/2000 Sb., o krajích (krajské zřízení)
• Zákon č. 131/2000 Sb., o hlavním městě Praze

Mimo to jsou konkrétní detailnější oprávnění podrobněji definována v mnoha dalších zákonech, které
se většinou vztahují ke konkrétní instituci státu, kterou je takový zákon zřízený (pokud není zřízený
přímo z ústavy). Pro příklad můžeme uvést:

• Zákon č. 256/2000 Sb., zákon o Státním zemědělském intervenčním fondu a o změně

některých dalších zákonů (zákon o Státním zemědělském intervenčním fondu)
• Zákon č. 166/1993 Sb., zákon o Nejvyšším kontrolním úřadu

Dalším podstatným zákonem, který v systému fungování pravomocí a odpovědnosti odděluje

politickou rovinu zastupitelské demokracie a rovinu úředníků od úřednické roviny (na úrovni státní
správy tzv. státní služba).

• Zákon č. 234/2014 Sb., o státní službě

• Zákon č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých
zákonů

6.2.2 Právní předpisy v oblasti vnitřního kontrolního systému

Komplexní popis odpovědností nastaveného modelu tří pásem obrany ve veřejném sektoru je
podrobně popsán v zákoně č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých
zákonů (zákon o finanční kontrole). Obsahuje:

• manažerské schvalovací a kontrolní postupy při nakládání s veřejnými prostředky,

• definici zásady řádného finančního řízení, odkazující na principy hospodárnosti, efektivnosti a
účelnosti,
• povinnost zavedení systému řízení rizik v orgánech veřejné správy,
• systém interního auditu.

V soukromém sektoru takto podrobně nejsou pravidla kontrolního prostředí zákonem stanovena a je
ponecháno na vlastníkovi, jak si vnitřní kontrolní systém nastaví. Existují však určitá odvětví
soukromého sektoru, která povinnost zavést vnitřní kontrolní systém včetně interního (vnitřního)
auditu mají.

Jde zejména o finanční instituce, jejichž podrobnější regulace je vymezena zákonem Zákon č. 21/1992
Sb., o bankách. § 8b zákona vymezuje povinnost zavést vnitřní kontrolní systém včetně systému řízení
rizik a vnitřního auditu.

6.3 Mezinárodní standardy pro oblasti Interního auditu

The Institute of Internal Auditors Inc. vznikl v USA v roce 1941 a reprezentuje více než 180 tis.
odborníků ze 190 zemí. V České republice je zastoupený Českým institutem interních auditorů, který
působí od března 1995 a má přes 1000 členů. IIA vydal a pravidelně aktualizuje Mezinárodní rámec
profesní praxe interního auditu (IPPF). Jde zejména o sadu mezinárodních auditních standardů pro
profesi interního auditu. Součástí rámce jsou:

• Poslání interního auditu

• Hlavní principy profesní praxe interního auditu
• Definice interního auditu
• Etický kodex
• Standardy
• Prováděcí směrnice
• Doplňkové směrnice
• Doporučení pro praxi.

Poslední tři části rámce jsou nepovinné, resp. doporučující dokumenty.

 1

6.3.1 Poslání interního auditu

„Poslání interního auditu vyjadřuje cíle, o jejichž dosažení interní audit pro danou organizaci usiluje.
Zahrnutí Poslání do nového IPPF je záměrné a ukazuje, jak využít celý rámec k tomu, aby odborníci
dokázali Poslání naplnit. Posláním Interního auditu je zvyšovat a chránit hodnotu organizace tím, že
poskytuje objektivně ujišťovací služby založené na vyhodnocení rizik, poskytuje poradenství a přináší
porozumění podstatě věci.“

6.3.2 Principy interního auditu

„Hlavní principy, jako celek, vyjadřují účinnost interního auditu. Aby bylo možné útvar interního auditu
považovat za účinný, měly by být účinným způsobem zavedeny všechny Principy. Způsob, kterým interní
auditor, podobně jako útvar interního auditu, prokazuje splnění Hlavních principů, se může podstatně
lišit mezi jednotlivými organizacemi. Nicméně neschopnost dosažení jakéhokoli z Hlavních principů by
mohla vést k závěru, že útvar interního auditu nebyl tak účinný, jak by při naplňování Poslání interního
auditu mohl být.“

Hlavní principy interního auditu jsou následující:

• Prokazuje integritu.
• Prokazuje kompetentnost a náležitou profesní péči.
• Je objektivní a oproštěný od nepatřičného ovlivňování (je nezávislý).
• Je v souladu se strategií, cíli a riziky dané organizace.
• Má patřičné postavení a disponuje odpovídajícími zdroji.

1
IIA – www.interniaudit.cz/IPPF
 • Prokazuje kvalitu a průběžné zlepšování.
• Účinně komunikuje.
• Poskytuje ujištění založené na vyhodnocení rizik.
• Rozumí podstatě věci, je proaktivní a zaměřený směrem do budoucna.
• Podporuje zlepšování organizace.

6.3.3 Definice interního auditu

Definice interního auditu v sobě obsahuje věcné vymezení profese interního auditu se všemi
podstatnými aspekty.

„Interní audit je nezávislá, objektivně ujišťovací a poradenská činnost zaměřená na přidávání

hodnoty a zdokonalování procesů v organizaci. Interní audit pomáhá organizaci dosahovat jejích
cílů tím, že přináší systematický metodický přístup k hodnocení a zlepšování účinnosti systému řízení
rizik, řídicích a kontrolních procesů a řízení a správy organizace.2“

6.3.4 Etický kodex

Stejně jako u jiných profesí má interní audit podrobněji formulované požadavky na etické hodnoty,
které se promítají do celé profese. Etický kodex je tak povinnou součástí celého rámce. Hlavním cílem
etického kodexu tak je takové etické principy a hodnoty v profesi interního auditu podporovat.

Etický kodex obsahuje souhrn zásad a principů, na nichž je etický přístup k profesi založený. Etický
kodex je důležitý především proto, že interní audit je založený zejména na důvěře orgánů společnosti
a jejího vedení na tom, že ujištění interního auditu je objektivní a nezávislé.

Mezi základní zásady patří:

• Integrita
• Objektivita
• Důvěrnost
• Kompetentnost

Pravidla jednání pak podrobněji vymezují povinnosti interních auditorů v rámci jednotlivých zásad.

6.3.5 Standardy

Nejpodrobnější částí IPPF jsou podrobné auditní standardy. Cílem Standardů je:

• Usměrňovat soulad se závaznými prvky Mezinárodního rámce profesní praxe.

• Poskytnout rámec pro provádění a podporu širokého spektra služeb interního auditu,
přinášejících přidanou hodnotu.
• Vytvořit základnu pro hodnocení výkonu interního auditu.

2
IIA – www.interniaudit.cz/IPPF
 • Podporovat zdokonalené organizační procesy a postupy.

Strukturou jsou rozděleny na standardy řady tisíc, tzv. základní standardy, které podrobněji rozvádí
pravomoci a odpovědnosti funkce interního auditu v organizaci. Standardy řady dva tisíce pak vymezují
podrobně jednotlivé auditní postupy a popisují charakter služeb interního auditu. Jsou tak považovány
za základní kritéria pro výkon auditní činnosti.

Základní standardy a standardy pro výkon interního auditu se vztahují na všechny služby interního
auditu.

Jednotlivé standardy jsou dále rozvedeny v tzv. prováděcích standardech. Ty jsou podrobněji
rozvedeny pro služby ujišťovacího charakteru (anglicky assurance), které jsou označeny písmenem „A“
a pro služby poradenství (anglicky consulting), které jsou označeny písmenem „C“.

Základní rozdíl mezi prováděcími standardy je v počtu subjektů, kterým jsou určeny.

Ujišťovací služby představují objektivní posouzení informací, jehož cílem je poskytnutí názorů nebo
závěrů ohledně určitého subjektu, činnosti, funkce, procesu, systému nebo jiných předmětů
posouzení.

Charakter a rozsah ujišťovací zakázky určuje auditor.

Ujišťovacích služeb se obecně účastní tři strany:

1. Jedinec nebo skupina, kteří jsou v přímém vztahu k danému subjektu, jednotlivým činnostem,
funkci, procesu, systému nebo jiné předmětné záležitosti – vlastník procesu
2. Jedinec nebo skupina provádějící hodnocení – interní auditor
3. Jedinec nebo skupina využívající toto hodnocení – uživatel.

Poradenské služby mají charakter poradenství a jsou obvykle prováděny na základě specifické žádosti
klienta.

Charakter a rozsah poradenské zakázky je předmětem dohody s klientem.

Poradenské služby obvykle zahrnují dvě strany:

1. Jedince nebo skupinu poskytující konzultaci – interního auditora.

2. Jedince nebo skupinu požadující a přijímající konzultaci – klienta zakázky. Při poskytování
poradenských služeb by měl interní auditor zachovávat objektivitu a nepřijímat řídicí
odpovědnost.

Standardy, spolu s Etickým kodexem, obsahují všechny závazné prvky Mezinárodního rámce profesní
praxe interního auditu.

Z tohoto důvodu soulad s Etickým kodexem a Standardy znamená soulad se všemi závaznými prvky
Mezinárodního rámce profesní praxe interního auditu.
7 Role NKÚ

7.1 Úvod
Nejvyšší kontrolní úřad poskytuje externí nezávislé ujištění procesů řízeních ve veřejném sektoru.
V této kapitole si krátce rozebereme jeho hlavní úkoly v systému nakládání s prostředky ve veřejném
sektoru.

7.2 Standardy ISSAI a jejich aplikace ze strany NKÚ

NTOSAI je nezávislá a nepolitická mezinárodní organizace, která sdružuje nejvyšší auditní instituce
celého světa. V současné době má více než 190 členů. Cílem organizace je podporovat výměnu
zkušeností v oblasti auditu finančních prostředků veřejného sektoru. Byla založena v roce 1953 ve
Vídní.

Kontrolní postupy NKÚ vycházejí z mezinárodních standardu ISSAI vydaných INTOSAI

Kontrolní standardy NKÚ se skládají ze čtyř částí:

• 100 - Základní principy kontroly veřejného sektoru,

• 200 - Základní principy finančního auditu,
• 300 - Základní principy auditu výkonnosti,
• 400 - Základní principy kontroly legality.

Existence NKÚ je zakotvena v Ústavě ČR a jeho činnost a pravomoci upravuje zákon č. 166/1993 Sb.,
o Nejvyšším kontrolním úřadu. Auditní postupy NKÚ se zaměřují na:

• Audit zákonnosti a správnosti finančního řízení a účetnictví.

• Audit výkonnosti, který je zaměřený na zkoumání výkonnosti, hospodárnosti, efektivnosti a
účelnosti veřejné správy; audit výkonnosti se nezabývá pouze finančními operacemi jako
takovými, ale celou škálou vládních aktivit včetně organizačních a správních systémů.

V praxi se se audity zaměřují na následující oblasti:

• daně,
• veřejné zakázky,
• informační systémy (systémy zpracování dat),
• dotace,
• mezinárodní organizace dotované z veřejného rozpočtu,
• naplňování vládních politik,
• věrný obraz účetnictví vybraných kapitol státního rozpočtu nebo institucí veřejného sektoru,
• atd.

Na úrovni Evropské unie naplňuje požadavky INTOSAI Evropský účetní dvůr, který je orgánem
Evropské unie. Byl založený, aby prováděl kontrolu finančních prostředků EU. Jako externí auditor
EU se podílí na zlepšování finančního řízení EU a vystupuje jako nezávislý strážce finančních zájmů
občanů Unie. Evropský účetní dvůr vznikl 1977 na základě tzv. Smlouvy o změně určitých finančních
 předpisů (Bruselské smlouvy), uzavřené mezi státy Evropských společenství 22. července 1975.
Evropský účetní dvůr sídlí v Lucemburku.

7.3 Limská deklarace

Kongres Mezinárodní organizace nejvyšších auditních institucí (INTOSAI) konaný v říjnu 1977 v Limě
vyhlásil a rozšířil dokument nazvaný „Limská deklarace směrnic o principech auditu“1. Mezi zásadní
požadavky deklarace patří:

• Požadavek na nezávislost auditu státního sektoru.

• Nezávislost nejvyšší auditní instituce by měla být zakotvena v právním řádu.
• Právní stát a demokracie jsou základními předpoklady pro skutečně nezávislý audit státního
sektoru.
• Státní instituce nemohou být nezávislé absolutně, protože jsou součástí státu jako celku, mají
být nejvyšší auditní instituce vybaveny funkční a organizační nezávislostí potřebnou k plnění
svých úkolů.
• Potřebná míra jejich nezávislosti mají být zakotveny v ústavě; podrobnosti mohou být
stanoveny zákonem.
• Audit aktivit vlády, jejích správních úřadů a dalších podřízených institucí; to však neznamená,
že je vláda podřízena nejvyšší auditní instituci.
• Přístup ke všem záznamům a dokumentům vztahujícím se k finančnímu řízení; má mít
oprávnění požadovat, ústně či písemně, jakékoliv informace, které považuje za nezbytné.
• Ústavou zmocněna a povinována nezávisle předkládat každý rok parlamentu nebo jinému
odpovědnému veřejnému orgánu zprávu o svých zjištěních; tato zpráva má být zveřejněna
potřebná míra jejich nezávislosti mají být zakotveny v ústavě; podrobnosti mohou být
stanoveny zákonem.
• Auditu nejvyšších auditních institucí mají podléhat veškeré operace s veřejnými prostředky,
bez ohledu na to, zda a jakým způsobem se odrážejí v národním rozpočtu. Vyčlenění některých
částí finančního řízení z národního rozpočtu nemá vést k vyloučení těchto oblastí z auditu
nejvyšší auditní instituce.
• Rozšiřování hospodářských aktivit vlády často vede ke zřizování podniků podle soukromého
práva. Má-li vláda v těchto podnicích podstatnou účast (zvláště, je-li tato účast většinová)
anebo vykonává-li rozhodující vliv, mají takové podniky podléhat auditu nejvyšší auditní
instituce.
• Je vhodné, aby takové audity byly prováděny jako audity následné; mají se týkat otázek
hospodárnosti, efektivnosti a účelnosti.
• Zprávy předkládané parlamentu a veřejnosti o těchto podnicích mají respektovat omezení
plynoucí z požadavků na ochranu průmyslového a obchodního tajemství.

1 https://www.nku.cz/assets/o-nas/postaveni-a-pusobnost/limska-deklarace.pdf
8 Jednotlivé fáze auditní zakázky a auditní plán

8.1 Úvod
Následující kapitola se podrobněji zaměřuje na procesní postupy, které musí interní auditor realizovat
v průběhu auditních prací dílčí ujišťovací zakázky tak, aby naplnil požadavky standardů. Současně se
společně zaměříme na proces přípravy a schválení plánu interního auditu, který stejně tak musí
naplňovat požadavky definované v mezinárodních standardech.

8.2 Dílčí fáze auditní zakázky

Realizace ujišťovací zakázky se dá rozdělit na dva základní ucelenější celky. Prvním z nich je předběžné
šetření. V rámci této fáze auditu dochází k auditním postupům, které vyústí ve vyhotovení auditního
programu. Auditor se v této fází snaží podrobně a detailně pochopit auditované procesy, aby mohl
vyhodnotit rizika a stanovit konkrétní cíle auditu.
Ve fázi výkonu auditu již probíhá testování předem stanovených hypotéz a formulací auditních
závěrů.

Jednotlivé procesní kroky interního auditu:

• Předběžné šetření
• Podklady pro auditní šetření
• Analýza rizik konkrétního auditu
• Konkrétní cíle auditu
• Stanovení vzorku pro testování
• Program auditu

• Výkon auditu
• Testování
• Zjištění
• Extrapolace
• Komunikace závěrů

Po zahájení auditních prací, které vedoucí auditního týmu oznámí auditovanému subjektu, auditoři
nejprve shromažďují veškeré potřebné podklady. Jde zejména o předpisy, směrnice, dokumenty,
záznamy. Mimo to může i ve fázi přípravy auditu realizovat auditní pohovory.

Pokud je to nezbytné pro pochopení auditovaných procesů, mohou auditoři sestavovat procesní
vývojové diagramy nebo analyzovat data. Mimo to je v této fázi možné realizovat tzv. průběhový test.
Auditoři si vyberou jednu položku (např. jeden účetní případ, jeden výrobek, jeden personální spis
apod.) a na základě skutečného sledování dokumentů nebo reálného postupu auditor podrobně
pochopí průběh auditovaného procesu.

Následně auditní tým vyhotoví podrobnou analýzu rizik auditovaných procesů, která zohlední jak
inherentní rizika, tak rizika s uvažováním zavedených kontrolních mechanismů v dané společnosti.

Po vyhotovení takovéto analýzy rizik již bude auditní tým schopen formulovat konkrétní cíle auditu,
které bude následně ověřovat. Takové konkrétní cíle auditu jsou de facto hypotézami, které budou
v průběhu výkonu auditu testovány.
Posledním krokem před sestavením programu auditu bude stanovení konkrétního vzorku operací,
které bude auditní tým při realizaci auditu testovat. Vzorek auditor sestavuje tak, aby výsledky
následného testování mohly být zobecněny. Pokud auditor ověří vzorek 200 operací, například
zaúčtování 200 faktur na příslušné účty, vzorek je vybrán tak, aby byl dostatečně reprezentativní.
Závěry následného testování potom budou s předem stanovenou mírou pravděpodobnosti vypovídat
o fungování systému účtování faktur, kterých se vzorek týká.

Program auditu je formalizovaný dokument, který obsahuje především konkrétní cíle auditu, které
budou v rámci výkonu auditu ověřeny. Běžně jsou v program auditu také popsány:

• Auditované období (např. poslední tři roky)

• Auditované subjekty (útvary, které se na procesu podílí a které budou také příjemci auditní
zprávy)
• Předpokládané dokončení auditu
• Jména auditorů

Přílohou auditního spisu jsou dále

• Identifikovaná rizika a analýza rizik

• Předem stanovený vzorek

Testování je metoda, která auditorovi umožní ověřit, jak je konkrétní proces uplatňovaný v praxi.
Testování probíhá prostřednictvím:

• Testu shody – auditor ověřuje naplnění konkrétního postupu, např. zaúčtování konkrétního
účetního případu na příslušné účty
• Testu věcné správnosti – auditor ověřuje naplnění komplexního souboru kvalifikovaného
posouzení konkrétní operace, např. věcné, formální správnosti uzavřené smlouvy včetně
posouzení její výhodnosti
• Průběhového testu – jde o výběr jedné konkrétní položky, kterou auditor pozoruje od začátku
procesu až po jeho dokončení napříč jednotlivými organizačními útvary společnosti, např.
výroba jednoho výrobku v rámci celého procesu od přijetí materiálu, přes výrobu, kontrolu
výrobku a jeho expedici

Na základě dokončených testů, získaných dokumentů, pohovorů nebo jiné auditní evidence auditor
formuluje své závěry do zjištění v auditní zprávě.

K tomu, aby mohl auditor poskytnout mimo konkrétní zjištění také ujištění o fungování systému, musí
extrapolovat závěry testování. Jde o proces, kdy se výsledky testování zobecňují na celý základní
soubor.

Budeme uvažovat případ, že organizace má za ověřované období (kalendářní rok) celkem 5000
účetních případů. Základní soubor je tedy 5000 operací. Na základě statistického vzorku je auditorem
vybrány k testování 200 operací resp. faktur, u kterých bude ověřovat, že byly zaúčtovány na správné
účty.

Auditor odhalí v testovaném vzorku 200 faktur, ze základního souboru 5000 faktur chyby v polovině
případů. V případě, kdy byl vzorek vybrán reprezentativně, tedy vzorek byl vybrán statistickými
metodami, může auditor v rámci extrapolace (zobecnění výsledků testování 200 faktur na celý základní
soubor 5000 faktur) vyvodit systémové závěry na celý proces.
Při počtu 100 chybných faktur tak bude, v případě, že je vzorek vybrán reprezentativně (zejména
pomocí statistických metod) dojít k závěru, že celý proces, který čítá 5000 položek, selhává s 50 %
chybovostí.

Závěrečná zjištění včetně ujištění o fungování systému formuluje auditor do závěrečné auditní zprávy,
která je dále projednávána.

8.3 Roční plán interního auditu ve standardech IIA

Interní audit je zodpovědný za hodnocení všech procesů („auditní prostor“ – „audit universe“)
příslušné organizace, včetně správních procesů a procesů řízení rizik. Při přípravě ročního plánu tak
interní auditoři musí mít podrobně zmapované všechny procesy, které jsou ve společnosti realizovány.

Při tvorbě plánu je standardním postupem komunikace s vrcholovým managementem, jehož vstupy
mohou být ve finální verzi plánu interního auditu zohledněny.

Proto, aby byl dodržený požadavek na přiměřené ujištění ze strany interních auditorů, které zahrnuje
rizikově zaměřený přístup k auditu, je součástí ročního plánu analýza rizikových oblastí společnosti.

Standard IPPF 2010 – Plánování1 vymezuje:

„Vedoucí interního auditu musí vytvořit rizikově zaměřený plán, který v souladu s cíli společnosti stanoví
priority výkonu interního auditu.“

Interpretace:

„Z hlediska přípravy rizikově zaměřeného plánu vedoucí interního auditu komunikuje s vedením a
orgány společnosti, a získává tak pochopení týkající se organizačních strategií, klíčových obchodních
cílů, souvisejících rizik a procesů řízení rizik. Vedoucí interního auditu musí prověřit a, pokud je to nutné,
musí upravit tento plán v reakci na změny v podnikatelském prostředí, rizicích, procesech, plánech,
systémech a v řídicích a kontrolních mechanismech dané společnosti.“

„2010.A1 – Plán zakázek interního auditu musí být založen na zdokumentovaném vyhodnocení rizik,
které je prováděno nejméně jednou ročně. V tomto procesu musí být vzaty v úvahu návrhy vedení a
orgánů společnosti.

2010.A2 – Vedoucí interního auditu musí identifikovat a vzít v úvahu, co vedení, orgány společnosti a
ostatní zainteresované subjekty (stakeholders) očekávají od názorů a dalších závěrů interního auditu.

2010.C1 – Vedoucí interního auditu by měl zvážit přijetí navržených poradenských zakázek s ohledem
na schopnost těchto zakázek zdokonalovat proces řízení rizik, přinášet přidanou hodnotu a
zdokonalovat procesy ve společnosti. Přijaté zakázky musí být zahrnuty do plánu.“

Po vyhotovení plánu interního auditu je vedoucí interního auditu podle standardů povinen celý
dokument projednat se všemi zainteresovanými subjekty ve společnosti. Mezi ně patři vrcholové

1
IIA – www.interniaudit.cz/IPPF
vedení, představenstvo, dozorčí rada a samozřejmě také výbor pro audit, pokud je ve společnosti
zřízen.

Standard 2020 – Komunikace a schvalování2 vymezuje:

„Vedoucí interního auditu musí předkládat plány interního auditu a požadavky na zdroje, včetně jejich
průběžných významných změn, k posouzení a schválení vedení a orgánům společnosti. Vedoucí
interního auditu musí též informovat o dopadech vzniklých v důsledku omezení zdrojů.“

8.4 Kapacitní modelování ročního plánu

Při tvorbě ročního plánu interního auditu je možné vycházet ze zkušeností předchozích let. Vedoucí
interního auditu v praxi projde úvahou, kdy kvalifikovaně přiřadí v rámci plánu časovou dotaci
jednotlivým aktivitám, které jsou povinnou součástí plánu interního auditu. Jako první krok tedy
stanoví předpokládanou časovou kapacitu všech zaměstnanců útvaru interního auditu.

Dalším krokem je vyhodnocení potřeby zdrojů na vzdělávání auditorů. Jde o úvahu jak z hlediska
potřebné časové dotace, tak z pohledu potřeby finančních prostředků v rozpočtu pro příští rok.

Po odečtení celkové časové dotace na potřeby vzdělávání jsou do ročního plánu zahrnuty následující
aktivity:

• Výkon plánovaných auditních (ujišťovacích zakázek)

• Výkon plánovaných konzultačních zakázek
• Prostor pro mimořádné auditní zakázky (doporučení max. 20 % času)
• Potřeba out/co sourcingu
• Průběžné vzdělávání (viz výše)
• Potřebná časová kapacita na aktivity pro zabezpečení programu kvality interního auditu

Roční plán tak zahrnuje veškeré aspekty činností interního auditu pro nadcházející rok. Plán je
následně projednáván a schvalován orgány společnosti a případně vrcholovým vedením.

Mimo roční plán je standardním postupem současně aktualizovat střednědobý plán, který zahrnuje
celý auditní cyklus interního auditu. Zaměřuje se rizikově na jednotlivé oblasti na základě audit
universe. Cílem je v rámci střednědobého cyklu (zpravidla 3 roky) pokrýt veškerá rizika společnosti.

Rizikové oblasti s nejvyšší mírou významnosti jsou do plánu zařazovány každoročně, středně
významná rizika jednou za dva roky a nejnižší významná rizika každé tři roky. Stejně jako roční plán je
schvalován orgány společnosti.

Statický přístup je založený na ročních plánech vyhotovených a schválených na pevně stanovené

období. Rolující roční plány jsou odlišné v tom, že jsou upravovány na základě změny cílů společnosti
a vyhodnocení nejvýznamnějších rizik v průběhu kalendářního roku.

2
IIA – www.interniaudit.cz/IPPF
9 Auditní zpráva, supervize a kvalita

9.1 Úvod
Auditní zpráva je v souvislosti s konkrétní ujišťovací zakázkou zásadním výstupem činnosti interního
auditu. Mezinárodní standardy kladou značné nároky na výstupy interního auditu i na ověření jeho
kvality ve formě supervize. Pro zajištění kvality a zpětnou vazbu o fungování interního auditu uvnitř
společnosti je podle mezinárodních standardů interní audit povinen zavést program pro zabezpečování
a zvyšování kvality. V této kapitole si probereme všechny podstatné požadavky standardů pro výše
uvedené oblasti. Standardy v těchto oblastech velice podrobně popisují jednotlivé požadavky na
interní audit, proto je obsah těch nejpodstatnějších součástí této kapitoly.

9.2 Auditní zpráva

Auditní standardy pro oblast auditní zprávy1:

„2410 – Kritéria komunikace

Zprávy musí obsahovat cíl, rozsah a výsledky zakázky.
2410.A1 – Závěrečná zpráva o výsledcích zakázky musí obsahovat využitelné závěry a také využitelná
doporučení a/nebo akční plány. Pokud je to vhodné měl by být obsažen i názor interních auditorů. Názor
musí zohledňovat očekávání vedení, orgánů společnosti a ostatních zainteresovaných subjektů
(stakeholders) a musí být podložen dostatečnou, spolehlivou, relevantní a účelnou informací.
2410.A2 – Interním auditorům se doporučuje, aby v případě uspokojivého výsledku zakázky tuto
skutečnost zmínili v související zprávě.
2410.A3 – Pokud jsou výsledky zakázky předávány subjektům vně společnosti, musí související zpráva
obsahovat omezení týkající se distribuce a použití těchto výsledků.
2410.C1 – Informace/zprávy o postupu a výsledcích poradenských zakázek se budou lišit svou formou
a obsahem, a to v závislosti na charakteru zakázky a potřebách klienta.
Interpretace: Názory uvedené v zakázce mohou mít formu ratingů, závěrů nebo dalších popisů výsledků.
Taková zakázka se může týkat řídicích a kontrolních mechanismů vztahujících se ke specifickému
procesu, riziku nebo odbornému útvaru. Formulace těchto názorů vyžaduje, aby byly zváženy výsledky
zakázky a jejich významnost.

2420 – Kvalita zpráv

Zprávy musí být přesné, objektivní, jasné, stručné, konstruktivní, úplné a včasné.
Interpretace:
Přesné zprávy neobsahují chyby a zkreslení a věrným způsobem odpovídají zjištěným skutečnostem.
Objektivní zprávy jsou nestranné, nezaujaté a nezkreslené a jsou výsledkem spravedlivého a
vyváženého ohodnocení všech souvisejících skutečností a okolností.

1
IIA – www.interniaudit.cz/IPPF
Jasné zprávy jsou snadno pochopitelné a logické, neobsahují nepotřebné technické výrazy a poskytují
všechny významné a relevantní informace.
Stručné zprávy jdou k podstatě věci a vyhýbají se nepotřebným podrobným popisům, přemíře detailů,
nadbytečnosti informací a rozvláčnosti.
Konstruktivní zprávy přinášejí klientovi a společnosti prospěch a zdokonalení tam, kde je to potřebné.
Úplné zprávy nepostrádají nic, co by bylo nezbytné z hlediska cílové skupiny uživatelů, a obsahují
všechny významné a související informace a pozorování nezbytná pro zdůvodnění doporučení a závěrů.
Včasné zprávy jsou dobře načasované, odpovídajícím způsobem reagující na vznik nenadálých situací a
to vzhledem k důležitosti zjištěného problému. Včasné zprávy umožňují vedení přijmout odpovídající
nápravné opatření

2421 – Chyby a opomenutí

Pokud závěrečná zpráva obsahuje závažné chyby nebo opomenutí, musí vedoucí interního auditu
poskytnout opravené informace všem osobám, které obdržely původní zprávu.

2430 – Užívání výrazu „Provedeno v souladu s Mezinárodními standardy pro profesní praxi interního
auditu “
Označení, že zakázky jsou „Provedeny v souladu s Mezinárodními standardy pro profesní praxi interního
auditu”, lze použít pouze tehdy, pokud je to podloženo výsledky programu pro zabezpečení a zvyšování
kvality.

2431 – Poskytnutí informací v případě nesouladu

Pokud má nesoulad s Etickým kodexem a Standardy dopad na konkrétní zakázku, zpráva o výsledcích
musí obsahovat:
• výčet zásad nebo pravidel jednání obsažených v Etickém kodexu nebo ve Standardech, s kterými
nebylo dosaženo souladu v plném rozsahu,
• důvod(y) nesouladu,
• dopad nesouladu na danou zakázku a její výsledky.“

Jedním ze zásadních požadavků na kvalitu auditní zprávy je zodpovězení předem stanovených cílů,
které jsou součástí programu každého konkrétního auditu. Pokud by auditní zpráva na předem
stanovené cíle založené na analýze rizik konkrétního auditu neodpověděla, bylo by to nejzásadnějším
pochybením. Mimo to musí auditní zpráva naplňovat požadavky na její formu a musí se zakládat na
dostatečné auditní evidenci. Jednoduše řečeno, každé zjištění ve zprávě musí být podloženo evidencí
(důkazem), který takové zjištění dostatečně dokumentuje. Auditní závěr tak musí být podložen tzv.
auditní stopou. Jde o to, aby každý kvalifikovaný auditor došel na základě auditního spisu ke stejným
závěrům.
Samotné projednání auditní zprávy probíhá na jednotlivé úrovni vedení společnosti, která má
dostatečné pravomoci a odpovědnosti přijmout nápravná opatření k auditním zjištěním.
Pokud nedojde ke konsenzu, je zpráva projednána na další vyšší úrovni vedení.
Pokud by vedení společnosti neakceptovalo zjištění auditora, které naplňuje požadavky auditních
standardů, a nepřijalo by dostatečná nápravná opatření ke snížení rizik plynoucích z auditních zjištění,
přejímá tzv. zbytkové riziko. Je tedy v praxi možné, že orgány nebo vedení společnosti finální auditní
závěr nebudou reflektovat. V tomto případě by měly být závěry projednány s orgány společnosti, které
mohou postoj managementu zohlednit v rámci své kontrolní činnosti.
Pokud vedení společnosti přijme nápravná opatření a konkrétní termíny pro jejich naplnění, jsou
zaneseny do tzv. akčních plánů. Interní audit průběžně sleduje a vyhodnocuje, jak jsou nápravná
opatření ze strany managementu naplňována. Přehled plnění nápravných opatření je standardně
součástí roční zprávy o fungování vnitřního kontrolního systému. Pokud by opatření nebyla ze strany
managementu ve velkém objemu naplňována, pozbývala by činnost interního auditu přidané hodnoty
pro společnost. Je proto důležitým úkolem pro dozorové orgány – dozorčí radu a výbor pro audit, aby
plnění nápravných opatření sledovalo.
Níže je uveden možný přehled jednotlivých částí auditní zprávy:

Cíl / cíle auditu

Rizikové oblasti auditu
Auditní postupy
Případná omezení auditu
Poděkování auditovaným
Stručný popis auditovaného procesu
Celkové shrnutí závěrů včetně hodnocení systému
Podrobná zjištění
Zjištění – Co se stalo?
• Skutečný stav – jak to bylo
• Posuzované kritérium – jak to mělo být
Příčina zjištění – Proč se to stalo?
Dopad zjištění – Co z toho plyne?
Doporučení auditora
Přílohy
Obecné informace:
• Auditní tým
• Auditované období
• Kontaktní informace
• Seznamy zkratek
• Analytické přílohy
• Přehled hodnocení závažnosti jednotlivých zjištění

9.3 Supervize
Auditní standardy pro oblast supervize2:

2
IIA – www.interniaudit.cz/IPPF
„2340 – Dohled (supervize) nad prováděním zakázky
Nad zakázkami musí být prováděn řádný dohled (supervize) tak, aby bylo zaručeno, že jsou splněny
jejich cíle, je zajištěna jejich odpovídající kvalita a že kompetence zaměstnanců jsou dostatečné.
Interpretace: Rozsah požadovaného dohledu bude záviset na odbornosti a zkušenostech interních
auditorů a na složitosti dané zakázky. Vedoucí interního auditu má celkovou odpovědnost za dohled
nad zakázkou, ať již je prováděna samotným interním auditem nebo jiným subjektem. Vedoucí interního
auditu může ale též pověřit tímto prověřením dostatečně zkušené zaměstnance interního auditu.
Příslušné doklady týkající se provádění dohledu jsou zdokumentovány a uchovávány.“
Supervize je jedním ze základních nástrojů pro průběžné sledovaní kvality činnosti interního auditu.
V praxi se projevuje kontrolou všech významných dokumentů a výstupů činnosti interního auditu.
Vedoucí interního auditu, nebo jím pověřený zaměstnanec tak průběžně sleduje kvalitu a obsah
auditních prací. Pro možné zdokumentování supervize je možné užít běžné parafování jednotlivých
dokumentů, které supervizí proběhly. Standardně je supervize součástí auditního software, pokud jej
má interní audit k dispozici. Mimo věcnou kontrolu auditních výstupů může supervize také spočívat
v ověření odborné způsobilosti auditorů.

9.4 Kvalita
Auditní standardy pro oblast kvality interního auditu3:

„1300 – Program pro zabezpečení a zvyšování kvality

Vedoucí interního auditu musí vypracovat a pravidelně aktualizovat program pro zabezpečení a
zvyšování kvality interního auditu, který zahrnuje všechna hlediska funkce interního auditu.

Interpretace: Program pro zabezpečení a zvyšování kvality je navržen tak, aby umožnil hodnocení
souladu činnosti interního auditu se Standardy a dále umožnil hodnocení, zda se interní auditoři řídí
Etickým kodexem. Tento program také hodnotí účinnost a efektivnost činností interního auditu a
identifikuje příležitosti ke zlepšení. Vedoucí interního auditu by měl podporovat orgány společnosti v
jejich dohledu nad programem pro zabezpečení a zvyšování kvality.

1310 – Požadavky kladené na Program pro zabezpečení a zvyšování kvality

Program pro zabezpečení a zvyšování kvality musí zahrnovat jak interní, tak externí hodnocení.

1311 – Interní hodnocení Interní hodnocení musí zahrnovat:

• průběžné sledování výkonnosti funkce interního auditu,
• pravidelná sebehodnocení nebo hodnocení prováděná jinými osobami v rámci společnosti, které mají
dostatečné znalosti postupů interního auditu.

Interpretace:

3
IIA – www.interniaudit.cz/IPPF
Průběžné sledování je nedílnou součástí každodenního dohledu (supervize), prověřování a měření
činnosti interního auditu. Průběžné sledování je začleněno do běžných zásad a postupů používaných k
řízení interního auditu; průběžné sledování používá procesy, nástroje a informace, které jsou
považovány za nezbytné pro hodnocení souladu s Etickým kodexem a Standardy.
Pravidelná hodnocení jsou definována jako analýzy hodnoticí soulad s Etickým kodexem a se Standardy.
Dostatečná znalost postupů interního auditu vyžaduje alespoň porozumění všem prvkům
Mezinárodního rámce profesní praxe interního auditu.

1312 – Externí hodnocení

Externí hodnocení musí být provedeno minimálně jednou za pět let odborně způsobilým a nezávislým
externím hodnotitelem nebo externím hodnoticím týmem. Vedoucí interního auditu musí s orgány
společnosti projednat:
• formu a četnost externích hodnocení,
• odbornou způsobilost a nezávislost externího hodnotitele nebo hodnoticího týmu, včetně
jakéhokoli možného střetu zájmů.
Interpretace: Externí hodnocení mohou být provedena prostřednictvím uceleného externího hodnocení
nebo ve formě sebehodnocení s nezávislým externím potvrzením (validací). Externí hodnotitel musí
vyjádřit závěr týkající se souladu s Etickým kodexem a se Standardy; externí hodnocení může také
obsahovat komentáře k provozním nebo strategickým oblastem.
Odborně způsobilý hodnotitel nebo hodnoticí tým prokazuje způsobilost ve dvou oblastech: v profesní
praxi interního auditu a v procesu externího hodnocení. Způsobilost může být prokázána kombinací
zkušeností a teoretických znalostí. Zkušenosti získané ve společnostech obdobných velikostí a složitostí,
v obdobném sektoru nebo odvětví, a zkušenosti v oblasti technických aspektů jsou hodnotnější než
zkušenosti (z tohoto pohledu) méně relevantní. Jedná-li se o hodnoticí tým, nemusí mít všichni členové
týmu způsobilost ve všech oblastech, ale kvalifikovaný musí být tým jako celek. K vyhodnocení, zda
hodnotitel nebo hodnoticí tým prokazují dostatečnou způsobilost z hlediska kvalifikace, používá vedoucí
interního auditu svůj profesní úsudek.
Nezávislost hodnotitele nebo hodnoticího týmu znamená, že nejsou ve skutečném ani zdánlivém střetu
zájmů a že nejsou součástí nebo nejsou ve sféře vlivu společnosti, k níž náleží funkce interního auditu.
Z hlediska snížení výskytu zdánlivého nebo možného střetu zájmů by vedoucí interního auditu měl
podporovat orgány společnosti v jejich dohledu nad externím hodnocením.

1320 – Podávání zpráv o Programu pro zabezpečení a zvyšování kvality

Vedoucí interního auditu musí informovat vedení a orgány společnosti o výsledcích programu pro
zabezpečení a zvyšování kvality. Předávané informace by měly zahrnovat:
• rozsah a frekvenci jak interních, tak externích hodnocení,
• informace o kvalifikaci a nezávislosti hodnotitele(ů) nebo hodnoticího týmu, včetně možných
střetů zájmů,
• závěry učiněné hodnotiteli,
• plány nápravných opatření.
Interpretace:
Forma, obsah a frekvence předávání výsledků týkajících se programu pro zabezpečení a zvyšování
kvality jsou stanoveny po dohodě s vedením a orgány společnosti a berou v úvahu odpovědnosti
interního auditu a jeho výkonného vedení tak, jak jsou stanoveny ve statutu interního auditu. Za účelem
prokázání souladu s Etickým kodexem a se Standardy jsou výsledky externích hodnocení a výsledky
pravidelných interních hodnocení předávány po ukončení příslušného hodnocení. Výsledky průběžného
sledování jsou sdělovány nejméně jednou ročně. Tyto výsledky obsahují hodnocení hodnotitele nebo
hodnoticího týmu ohledně stupně souladu.

1321 – Užívání výrazu „Je v souladu s Mezinárodními standardy pro profesní praxi interního auditu “
Uvedení, že činnost interního auditu je v souladu s Mezinárodními standardy pro profesní praxi
interního auditu, je možné pouze pokud to výsledky programu pro zabezpečení a zvyšování kvality
podporují.
Interpretace:
Činnost interního auditu je v souladu s Etickým kodexem a se Standardy, pokud dosahuje výsledků v
nich uvedených. Výsledky programu pro zabezpečování a zvyšování kvality obsahují jak výsledky
interního, tak externího hodnocení kvality. Všechny útvary interního auditu budou mít k dispozici
výsledky interního hodnocení. Útvary interního auditu, které existují alespoň pět let, budou též
disponovat výsledky externího hodnocení kvality.
1322 – Informování týkající se nesouladu

Pokud má nesoulad s Etickým kodexem nebo Standardy dopad na celkový rozsah působnosti a postupy
interního auditu, musí vedoucí interního auditu informovat vedení a orgány společnosti o tomto
nesouladu a jeho dopadech.“

Program kvality je formalizovaný dokument, který obsahuje vymezení postupů pro průběžné
hodnocení kvality stejně jako vymezení postupů pravidelného hodnocení v podmínkách konkrétní
společnosti.
Průběžné hodnocení kvality interního auditu je zabezpečeno především prostřednictvím supervize,
která je vymezena v předchozím bodu této kapitoly. Pro průběžné hodnocení je nezbytné dostatečně
vymezit také kvalitativní hodnotitelná kritéria, která by řadoví auditoři, vedoucí interního auditu a
útvar interního auditu jako celek měli naplňovat. Mohou sloužit také jako podklad pro stanovování
odměn. Mezi takováto kritéria patří například naplňování plánů interního auditu, dodržování dílčích
požadavků na standardy apod. Jak již bylo uvedeno, takováto kritéria musí být měřitelná.
Sebehodnocení je zabezpečeno především prostřednictvím hodnotících dotazníků, které vyplňují jak
zástupci auditovaných subjektů, tak interní auditoři, kteří se podílejí na výkonu auditní nebo
konzultační zakázky navzájem.
Externí hodnocení nebo sebehodnocení s následnou validací probíhá v praxi tak, že hodnotitel ověřuje
naplňování každého jednotlivého auditního standardu a jednotlivého ustanovení etického kodexu. Své
závěry zpravidla zaznamenává do hodnotícího checklistu. Druhou částí externího hodnocení nebo
sebehodnocení s validací je podrobná prověrka auditního (auditních) spisu. Na jednotlivých
dokončených auditech hodnotitel opět ověřuje jak naplňování auditních standardů, tak etického
kodexu. Stejně tak ověřuje, jestli jsou nastavené postupy v souladu se standardy a kodexem a také
jestli jsou ze strany auditorů dodržovány.
Výsledná zpráva z externího hodnocení musí být prezentována vrcholovému vedení společnosti a
příslušným orgánům společnosti. V praxi může nastat případ, kdy hodnotitel konstatuje nedodržení
některých konkrétních standardů, nicméně toto porušení se nemusí odvíjet od nedostatečné práce
interního auditu. Může se jednat o nedodržení standardů souvisejících se zabezpečením nezávislosti
funkce interního auditu, které musí být podporováno právě ze strany vrcholového vedení nebo orgánů
společnosti.
Stejně tak jako v případě závěrů běžného interního auditu musí být i k závěrům externího hodnocení
přijata konkrétní nápravná opatření s konkrétními termíny jejich naplnění.
10 Auditní postupy, auditní evidence

10.1 Úvod
Dostatečné zdokumentování veškerých aktivit v průběhu interního auditu je podstatné pro zajištění
požadavku tzv. auditní stopy. Jde především o to, aby jakýkoliv jiný dostatečně způsobilý auditor na
základě auditní evidence mohl dojít ke stejným závěrům, jaké jsou obsaženy v auditní zprávě. Proto si
v této kapitole podrobněji uvedeme, jaké jsou nároky auditních standardů na auditní evidenci a
nastavení postupů pro dostatečný a kvalitní průběh auditních prací.

10.2 Statut a manuál interního auditu

Standardy pro vyhotovení Statutu interního auditu1:

„1000 – Účel, pravomoci a odpovědnosti

Účel, pravomoci a odpovědnosti interního auditu musí být formálně stanoveny ve statutu interního
auditu, který je v souladu s Posláním interního auditu a se závaznými prvky Mezinárodního rámce
profesní praxe interního auditu (Hlavní principy profesní praxe interního auditu, Etický kodex,
Standardy, Definice interního auditu). Vedoucí interního auditu musí pravidelně ověřovat aktuálnost
statutu interního auditu. Vedoucí interního auditu musí předkládat statut interního auditu vedení a
orgánům společnosti ke schválení.

Interpretace:
Statutem interního auditu se rozumí formální dokument, který definuje účel, pravomoci a odpovědnosti
interního auditu. Statut interního auditu určuje postavení interního auditu v rámci společnosti, včetně
povahy vztahu funkční podřízenosti vedoucího interního auditu vůči orgánům společnosti; dále stanoví
oprávnění k přístupu k dokladům, osobám a majetku, které souvisejí s prováděním zakázek, a definuje
rozsah činnosti interního auditu. Konečné schválení statutu interního auditu přísluší orgánům
společnosti.
1000.A1 – Charakter ujišťovacích služeb poskytovaných společnosti musí být definován ve statutu
interního auditu. Pokud je ujištění poskytováno subjektům vně společnosti, musí být charakter těchto
ujišťovacích služeb též definován ve statutu interního auditu.
1000.C1 – Charakter poradenských služeb musí být definován ve statutu interního auditu.

1010 – Přijetí Závazných směrnic ve statutu interního auditu

Ve statutu interního auditu musí být respektován povinný charakter Hlavních principů profesní praxe
interního auditu, Etického kodexu, Standardů a Definice interního auditu. Vedoucí interního auditu by
měl obsah Poslání interního auditu a závazných prvků Mezinárodního rámce profesní praxe interního
auditu diskutovat s vedením a orgány společnosti.“
Statut interního auditu je formalizovaný dokument, který je stěžejné pro naplnění základních
standardů v oblasti funkční podřízenosti, objektivity a nezávislosti interního auditu v organizaci.
V tomto dokumenty je nezbytné vymezit práva přístupu k:

1 IIA – www.interniaudit.cz/IPPF
Orgánům a vedení společnosti
• veškerým informacím,
• veškerým osobám v organizaci,
• veškerému majetku v organizaci,
• veškerým ostatním zdrojům a výstupů v organizaci.

Schvalování statutu by mělo proběhnout na úrovni všech orgánů společnosti, aby byly pravomoci a
odpovědnosti funkce interního auditu v organizaci vymahatelné. Součástí nebo přílohou statutu by měl
být i etický kodex interních auditorů. Je možné jej podrobněji rozpracovat v podmínkách dané
organizace. Jiným přístupem je také uvést jako přílohu statutu etický kodex, který je součásti IPPF.

Dalším významným procesním dokumentem je manuál interního auditu. Obsahuje soubor minimálních
standardů a doporučení pro auditní činnost.
Forma je závislá na:
• charakteru společnosti,
• velikosti útvaru interního auditu,
• míře regulace daného odvětví.

U větších útvarů interního auditu, které působí např. v rámci koncernové struktury je zpravidla manuál
podrobnější. Vzhledem k tomu, že manuál i statut interního auditu by měl být pravidelně revidován, je
vhodné v jednotlivých částech těchto dokumentů referovat konkrétní standardy IPPF. Při revizi
dokumentů bude pro vedoucího interního auditu jednodušší zohlednit aktualizaci standardů po jejich
vydání.

10.3 Požadavky na auditní evidenci

Standardy pro oblast auditní evidence2:

„2300 – Realizace zakázky

Za účelem splnění cílů zakázky musí interní auditoři identifikovat, analyzovat, hodnotit a dokumentovat
dostatečné informace.
2310 – Identifikace informací
Ke splnění cílů zakázky musí interní auditoři identifikovat informace, které jsou dostatečné, spolehlivé,
relevantní a účelné.
Interpretace:
Dostatečná informace je natolik konkrétní, odpovídající a přesvědčivá, že jakákoli uvážlivá a
informovaná osoba by dospěla ke stejným závěrům jako auditor.
Spolehlivá informace je informace nejlépe získatelná prostřednictvím příslušných postupů pro
provedení zakázky.
Relevantní informace slouží v rámci dané zakázky k podpoře pozorování a doporučení.

2 IIA – www.interniaudit.cz/IPPF
Relevantní informace je v souladu s cíli zakázky.
Účelná informace napomáhá společnosti dosahovat jejích cílů.

2330 – Dokumentace informací

Interní auditoři musí dokumentovat dostatečné, spolehlivé, relevantní a účelné informace, které
podporují výsledky zakázky a její závěry.

2330.A1 – Vedoucí interního auditu musí stanovit pravidla pro přístup k záznamům pořízeným v rámci
zakázky. Před zpřístupněním záznamů externím subjektům musí vedoucí interního auditu získat souhlas
vedení a/nebo právního zástupce.

2330.A2 – Bez ohledu na povahu média, na kterém jsou záznamy uloženy, vedoucí interního auditu
musí stanovit požadavky na archivaci záznamů pořízených v rámci zakázky. Tyto požadavky musí být
vypracovány v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými
požadavky.

2330.C1 – Vedoucí interního auditu musí stanovit zásady pro úschovu a archivaci informací pořízených
v rámci poradenské zakázky a také zásady pro jejich vydání interním a externím subjektům. Tyto zásady
musí být v souladu s předpisy společnosti a všemi souvisejícími regulatorními nebo jinými požadavky.“

Podle charakteru a formy rozdělujeme informace na analytické, dokumentární, věcné a svědecké.

Analytické informace – jsou sestaveny na základě vzájemného vztahu údajů, nebo v případě interních
kontrolních mechanismů, na základě konkrétních strategií a postupů z nichž jsou sestaveny. Analýza
vede ke získání indicií ve formě hypotéz či závěrů založených na prošetřování jednotlivých součástí jako
celku v případě shod, nesrovnalostí, vztahů příčiny a následku atd.
Součástí auditního spisu musí být analytické informace dokumentovány tak, aby byl zřejmě a ověřitelný
nejenom jejich finální výstup, ale tako hypotézy a postupy, díky kterým jsou finální výstupy získávány.
V rámci analytických informací je možné využít jako zdroje nejenom data z interních informačních
systému. Jde např. o historická data, která je možné porovnávat k identifikaci vývojových trendů. Mimo
interní zdroje analytických informací mohou být využívány například externí benchmarky trhu.
Konkrétním příkladem může být například pro oblast vývoje dílčích segmentů maloobchodního prodeje
databáze GFK3, která obsahuje historická data vývoje tržního podílu jednotlivých podílů komodit
vybraných trhů (maloobchod, energie, automobilový průmysl atd.).

Dokumentární informace – existují v nějaké trvalé podobě jako například formě šeku, faktury,
přepravních záznamů, záznamů o převzetí nákupních příkazů apod.
Z pohledu spolehlivosti mají dokumentární informace vyšší míru ujištění. Originální dokumenty mají
stejně tak vyšší míru spolehlivosti než neověřené kopie dokumentů.
Věcné informace – skládají se z přímého pozorování a prohlídky vykonané interním auditorem (např.
přepočítání zásob).

3 https://www.gfk.com/cz/
Osobní pozorování konkrétního procesu je oproti studiu dokumentace mnohem efektivnější v situaci,
kdy interní auditor ověřuje jeho zavedení a efektivitu. Stejně tak je osobní pozorování významné pro
porovnání, jestli jsou dodržovány postupy vymezené ve vnitřní dokumentaci organizace.
Svědecké informace – zajištěny prostřednictvím výpovědi zaměstnance, klienta a jiných osob.
Spolehlivost svědeckých informací je závislá na konkrétní situaci, ve které jsou využívány. Zpravidla
jsou řízené pohovory využívány pro pochopení konkrétního procesu. Není podstatné, jestli je takový
proces popsaný interními směrnicemi, nebo jde o proces dosud nedokumentovaný. Při realizaci
auditních pohovorů je nezbytná dostatečná příprava. Pro efektivní vedení řízeného pohovoru je
doporučováno, aby jeden auditor pokládal předem připravené otázky a vedl pohovor a druhý auditor
vedl písemný záznam. Pro vyšší míru ujištění je efektivní následné odsouhlasení záznamu/zápisu
z pohovoru, zejména v případě zásadních zjištění identifikovaných v průběhu řízeného pohovoru.

Veškerá dokumentace interního auditu je majetkem organizace. Řízení přístupu k dokumentaci

/evidenci interního auditu obecně zůstává pod kontrolou vedoucího IA. Management a ostatní členové
organizace mohou požádat o nahlédnutí do pracovních materiálů o provedeném auditu. Takový
přístup je zpravidla podstatný pro možné vysvětlení a zdůvodnění doporučení auditora. Vedoucí
interního auditu při tom zvažuje důvěrnost informací.
Při poskytování informací je vždy podstatné vést evidenci takového poskytování, včetně osob, které do
dokumentace nahlédnuly.
V případě interních auditorů je běžná praxe, že si vzájemně udělí přístup do dokumentace dokončených
interních auditů.
Jestliže o evidenci interního auditu požádá externího auditor, podléhá takové poskytnutí předchozímu
schválení vedoucím interního auditu.
V případě jiného zpřístupnění dokumentace interního auditu (zejména mimo organizaci) je před
uvolněním k nahlédnutí je potřeba souhlas vrcholového vedení a / nebo právního zástupce.
11 Druhy auditů, měření výkonnosti, stanovení vzorku a extrapolace

11.1 Úvod
V této kapitole si uvedeme do souvislosti auditní postupy, které jsou využívány ve fázi výkonu auditní
zakázky. Testování je základním nástrojem pro ověření dílčích procesů, které jsou na základě analýzy
rizik v průběhu výkonu auditu ověřovány.

11.2 Vybrané druhy auditů

Jednotlivé auditní zakázky se mohou svým přístupem lišit. Podle jejich zaměření si níže uvedeme
možné druhy, resp. charakteristiky, vybraných druhů auditů.

Audit systému

Hlavním cílem auditů systémů na všech úrovních příslušné implementační struktury je ověřit účinné
fungování řídicího a kontrolního systému. Celkový závěr za auditovaný řídicí a kontrolní systém je dán
na základě definovaných klíčových požadavků pro všechny klíčové prvky systému. Tyto klíčové
požadavky se dále rozpadají do jednotlivých kritérií pro hodnocení. Tento druh auditu je mimo interní
audit také využíván např. v auditu projektů spolufinancovaných ze strukturálních fondů
spolufinancovaných ze souhrnného rozpočtu EU.

Audit operací

Audity operací se provádějí za každý účetní rok na vzorku operací. Provádějí se na základě podkladů,
jež představují auditní stopu, a ověřuje se jimi legalita a správnost výdajů vykázaných. Modelovým
příkladem mohou být audity zaměřené na ověření podmínek poskytnuté dotace. Tento druh auditu
je mimo interní audit také využíván např. v auditu projektů spolufinancovaných ze strukturálních
fondů spolufinancovaných ze souhrnného rozpočtu EU.

Audit finančních výkazů

Cílem finančního auditu je ověřování údajů vykázaných ve finančních a statistických výkazech,

rozvaze, výkazu zisku a ztráty, přehledu o peněžních prostředcích, přehledu o změnách vlastního
kapitálu a příloze, zda věrně zobrazují majetek, zdroje jeho financování a hospodaření s ním a s
rozpočtovanými prostředky. Tento druh auditu je typicky pro externí audit, který se zaměřuje na
ověření věrného obrazu finančních výkazů a účetních operací, které jsou promítnuté do účetní
závěrky. Finanční audity také realizuje Nejvyšší kontrolní úřad podle standardů INTOSAI.

Audity výkonu

Audit výkonu zkoumá výběrovým způsobem hospodárnost, efektivnost a účelnost operací i

přiměřenost a účinnost vnitřního kontrolního systému. Mimo interní audit jsou také tyto audity
realizovány Nejvyšším kontrolním úřadem.

11.3 Hodnocení výkonnosti

Při hodnocení výkonnosti dílčích procesů se audit zaměřuje na ověření dílčích kritérií výkonnosti tzv.
klíčových ukazatelů výkonnosti (KPI – z anglického Key Performance Indicator). Dříve než se
podrobněji zaměříme na tato kritéria, vymezíme si obecné zásady, které jsou často v souhrnu
popisována jako tzv. zásady 3E.

Hospodárností se rozumí takové použití prostředků k zajištění stanovených úkolů s co nejnižším

vynaložením těchto prostředků, a to při dodržení odpovídající kvality plněných úkolů. Hospodárnost
je definována jako minimalizace výdajů prostředků na vstupu za předpokladu dosažení přiměřené
(odpovídající) kvality výstupu. Prověřuje se případná možnost využití levnějších vstupů, za
předpokladu zajištění potřebné stabilní kvality v požadovaném čase (případně zajištění ostatních
individuálních kritérií a priorit).

Efektivností se rozumí takové použití prostředků, kterým se dosáhne nejvýše možného rozsahu,
kvality a přínosu plněných úkolů ve srovnání s objemem prostředků vynaložených na jejich plnění.
Efektivnost je vyjádřením maximalizace výsledků činnosti ve vztahu k použitým disponibilním
veřejným prostředkům. V rámci prověřování efektivnosti se zaměřujeme na to, zda je zajištěn
požadovaný výstup. K plnému ocenění efektivnosti je vhodné porovnání informací o poměru vstupů a
výstupů v jiné (podobné) organizaci (benchmarking).

Účelností se rozumí takové použití prostředků, které zajistí optimální míru dosažení cílů při plnění
stanovených úkolů.

Účinnost se týká měření toho, do jaké míry bylo dosaženo cílů, a vztahu mezi zamýšleným a
faktickým dopadem činnost.

Mimo výše uvedené zásady zaměřené na výkonnost je velice podstatná z tzv. zásada legality.

Legalita je naplnění požadavku na soulad jakéhokoliv výdaje nebo příjmu se zákonem. Zásada legality
v praxi může prolomit požadavek na ostatní výše uvedené zásady. Jednoduše někdy zákonem
uložená povinnost pro organizaci nemusí maximalizovat výnos. Nicméně při nedodržení zásady
legality společnosti může hrozit riziko související se sankcí za nedodržení zákona. Zpravidla jde o
finanční sankci nebo riziko ukončení podnikatelské činnosti.

Kritéria výkonu by měla dát informaci o úrovni zajištění principů 3E - hospodárnosti, účelnosti a
efektivnosti úkonu. Kritéria mohou být:

• základní (měří sledované činnosti),

• smíšená (kombinace ukazatelů např. indexy, podíly).

Kritéria výkonu musí být:

• významná pro měření výkonu,

• přesně a srozumitelně definovaná, aby byla snadno a jednoznačně pochopitelná v tom, co
mají měřit a umožňovala orientaci v původu vstupních dat,
• porovnatelná, s ohledem na možnost srovnávání dat pořízených v minulost se současnými
nebo s daty jiných orgánů veřejné správy. V případě změny definice ukazatele je třeba
prověřit/změřit výkon před a po změně,
• spolehlivá, vstupní informace vycházející z výběru např. malého nebo nedostatečně
reprezentativního vzorku mohou významným způsobem zkreslovat hodnoty výkonu,
• aktuální, aby zachycovala vývoj výkonu v reálném čase (denně, týdně, čtvrtletně, ročně) a
poskytovala tak aktuální informace, dostupná, sběr či pořízení některých dat může být příliš
nákladné.
Možné druhy srovnávacích kritérií auditu výkonu

• dodržování ustanovení zákonných norem,

• normativy a kalkulace,
• technické standardy (normy),
• kritéria obsažená ve smlouvě,
• odborné posudky (názory odborníků z příslušného oboru),
• výsledky jiných srovnatelných subjektů ve srovnatelných činnostech a podmínkách,
• výsledky předchozího hospodaření zkoumaného subjektu,
• vyhodnocení alternativních řešení z hlediska jejich náročnosti finanční a časové.

V průběhu interního audiu by měla být výše zmíněná kritéria 3E jedním z podstatných prvků
ověřování ze strany interního auditu. Bez předem stanovených výkonnostních kritérií není možné
ověřit, jestli je auditovaný proces dostatečně řízený ze strany příslušné úrovně vedení společnosti.

11.4 Stanovení vzorku, výběr vzorku a extrapolace

Vzhledem k tomu, že interní audit podává „přiměřené“ ujištění, není v praxi možné ověřovat
v průběhu auditních prací s 100% všech operací (dílčích postupů). Z tohoto důvodu je auditní praxi
využíváno vzorkování. Jednoduše jsou nejsou ověřeny všechny ale vybrané operace. Aby auditor
mohl poskytnout ujištění o fungování systému, musí být vybraný vzorek reprezentativní. Pokud
vzorek tento požadavek naplňuje, může auditor po dokončení testování provést tzv. extrapolaci.
Extrapolace je zobecněním závěru testování na celý základní soubor, tedy na všechny operace za
sledované období.

Při testování rozlišujeme následující druhy testů:

Průběhový test

Auditor vybere jednu konkrétní operaci a sleduje její průběh od začátku až do konce. Příkladem může
být prověření procesu výroby konkrétního produktu od fáze přijetí objednávky, přijetí materiálu na
vstupní sklad, předání materiálu do výroby, jeho kompletaci, testování shodnosti výrobku, jeho
balení, vyskladnění a expedici. U tohoto testu, který může být využíván ve fázi přípravy auditu je
přínosem pochopení celého procesu a identifikace rizikových míst.

Test shody

Auditor se zaměřuje na ověření konkrétní charakteristiky, jestli byl naplněný předem stanovený
požadavek a odpovídá na otázku splnil/nesplnil

Test věcné správnost

Auditor ověřuje multikriteriální charakteristiky ověřované operace. Příkladem je ověření požadavku

na dostatečnost a efektivitu uzavřené smlouvy. V tomto případě nelze jednoduše říci, smlouva je
v pořádku, je potřeba odborná expertýza o úsudek pro kvalifikovaný závěr, jestli je ověřená smlouva
z pohledu auditora v pořádku.

Před zahájením testování je nezbytné stanovit přípustnou a očekávanou chybovost. Přípustná

chybovost vychází z risk kapacity společnosti stanovené vrcholovým vedením nebo orgány
společnosti. Ve veřejné správě je dle standardů INTOSAI přípustná chybovost stanovena na hodnotu
2 %. To znamená, že při zobecnění testování na celý soubor je možné akceptovat 2 % chyb. Zpravidla
se chybovost vztahuje k finančnímu dopadu nebo k počtu operací. Například při ověření spolehlivosti
systému kontroly výroby je akceptovatelné, aby z každých 100 vyrobených kusů vykazovali dva vadu.
Stejně tak při zaúčtování sto účetních případů je přípustné, aby byly dva chybné.

U prostředků poskytovaných ze souhrnného rozpočtu EU Evropská komise stanovila přípustnou

chybovost v rozmezí 2% - 5 %. Ideální řízený proces je pod kontrolou, pokud je chybovost operací
(podpořených projektů spolufinancovaných ze souhrnného rozpočtu EU) pod hladinou 2 %. Pokud je
chybovost v rozmezí 2% - 5%, je systém dostatečný, ale doporučuje se přijmout dodatečná opatření
pro snížení chybovosti pod 2%. Nad 5% chybovosti je hodnoceno selhání systému.

V podmínkách soukromých společnosti je na vedení organizace, aby předem stanovila míru přípustné
chybovosti.

Statistický výběr vzorku

Jde o náhodný výběr položek vzorku nebo uplatnění teorie pravděpodobnosti, přičemž všechny
položky základního souboru mají šanci být vybrány.

Náhodný výběr

Jde o metodu výběru vzorků takovým způsobem, že každá položka v souboru má stejnou šanci být
vybrána, přičemž v praxi lze použít tabulek náhodných čísel, počítačového generátoru náhodných
čísel či jiného typu náhodné metody.

Systematický výběr

Spočívá ve výběru každé n-té položky od náhodně zvoleného počátku (např. pokud je vzorek 50,
vybereme padesátou, stou atd. položku souboru). Tato metoda je v principu pouze pseudonáhodná,
poskytuje však dobrou alternativu náhodného výběru. Auditor by se měl ujistit, že položky v souboru
nevykazují určitou periodicitu charakteristik a pokud vykazují, lze použít jiný počátek nebo rozdílné
rozmezí.

Kumulativní výběr vzorku

Při použití této metody je výběr založen na peněžní velikosti jednotlivých položek souboru.
Pravděpodobnost, že určitá položka bude vybrána, je přímo úměrná její velikosti v peněžním
vyjádření, tzn. každá peněžní jednotka (ne položka, na rozdíl od výše uvedených technik) v souboru
má stejnou šanci být vybrána.

Shlukový výběr

předpokládá rozdělení souboru na menší podsoubory, náhodný výběr několika těchto podsouborů a
následně prověření všech položek ve vybraných podsouborech.

Stratifikovaný výběr

Při použití této techniky je soubor rozdělen do menších podsouborů (straty) podle určitých
charakteristik a pak jsou z každého podsouboru náhodně vybrány určité položky, jejichž počet závisí
na počtu položek v každém podsouboru.

Nestatistický výběr vzorku

Auditor vybírá položky vzorku na základě vlastního odborného úsudku. V tomto případě nemohou
být závěry extrapolovány, protože není dostatečné ujištění, že všechny položky základního souboru
mají šanci být vybrány.

Výběr pomocí úsudku

Při použití této metody vybírá auditor položky na základě svého porozumění činnosti a oblasti
podnikání klienta.

Před výběrem vzorku a konkrétním testováním je nezbytné stanovit velikost vzorku. Tato aktivita je
velice důležitá pro ujištění o reprezentativnosti závěrů auditora. Jednoduše samotný výběr vzorku je
relativně méně náročný oproti předcházejícímu stanovaní jeho velikosti.

Aby byl vzorek reprezentativní a mohlo dojít k extrapolaci, je nezbytné využití statistických metod pro
stanovení velikosti vzorku. Pokud je velikost vzorku stanovena jiným způsobem, např. na základě
vyhodnocení zdrojů interního auditu, které jsou k dispozici, extrapolace nebude možná.

Stanovení velikosti vzorku výpočtem

Při stanovení velikosti vzorku u testů výpočtem a využitím statistických tabulek je nezbytné předem
znát následující faktory, které budou dosazeny do výpočtu a které ovlivní velikost vzorku:

N - velikost základního souboru

z - požadovaný stupeň jistoty (spolehlivosti) auditu; koeficient spolehlivosti
d - přípustná míra odchylky (chybovost); např. 3 %, tj. d=0,03
r - očekávaná míra odchylky (na základě auditorské zkušenosti); např. 2 %, tj. r=0,02

Požadovaný stupeň jistoty by měl auditor stanovit na základě jeho předchozí znalosti systému. Pokud
v předběžném šetření auditu vyhodnotil nízká rizika související s ověřovaným procesem, bude moci
využít nižší stupeň jistoty auditu resp. koeficient spolehlivosti. Testovaný vzorek tak bude ve
skutečnosti nižší. V případě, že bude ověřovaný proces vyhodnocen jako rizikový, bude stupeň jistoty
resp. koeficient spolehlivosti vyšší a velikost ověřovaného vzorku bude vyšší.
Stanovení vzorku dle tabulek

Příklad bez zohlednění velikosti vzorku

• pro požadovanou 95% jistotu

• v závorce je počet očekávaných odchylek
• číslo před závorkou je počet položek ve vzorku