Abstrakt: IT audit přestal být jen kontrolním nástrojem zaměřeným na compliance a stal se klíčovou součástí podnikového řízení. V éře digitální transformace, kybernetických hrozeb a regulačního tlaku představuje systematickou disciplínu, která propojuje technologii, řízení rizik a strategii podniku. Tento článek shrnuje hlavní metodické rámce, fáze auditního cyklu, specializované oblasti (cloud, DevOps, umělá inteligence) a regulační kontext relevantní pro české i evropské firmy. Cílem je poskytnout vedoucím IT, finančním ředitelům a interním auditorům přehled, který jim pomůže nastavit auditní program odpovídající aktuálním rizikům.
Co je IT audit a proč se mění
IT audit lze definovat jako systematický, nezávislý a zdokumentovaný proces získávání důkazů a jejich objektivního vyhodnocení vzhledem ke stanoveným kritériím v oblasti informačních technologií. Klasická definice z konce devadesátých let však nedostatečně postihuje současné prostředí, ve kterém audit musí adresovat strategická rizika digitální transformace, kybernetické hrozby a chování algoritmů.
Historicky lze rozlišit čtyři generace IT auditu. První generace v letech 1960 až 1980 prováděla audit takzvaně okolo počítače a soustředila se na vstupy a výstupy. Druhá generace mezi roky 1980 a 2000 začala kontrolovat samotné zpracování. Třetí, dnešní generace pracuje s počítačem jako nástrojem auditu pomocí specializovaných softwarů. Čtvrtá, vznikající generace se zaměřuje na audit algoritmů, modelů strojového učení a etiky umělé inteligence.
Metodické rámce
COBIT 2019
COBIT 2019 představuje paradigmatický posun od jednotného přístupu k přizpůsobitelnému rámci řízení založenému na takzvaných designových faktorech. Definuje 40 cílů řízení a správy organizovaných do modelu governance systému, kde každý cíl má své praktiky, informační toky a organizační struktury.
Pro auditory je obzvláště užitečný model hodnocení zralosti procesů s úrovněmi 0 až 5. Úroveň 0 znamená, že proces není implementován. Úroveň 1 popisuje proces, který svého účelu dosahuje, ale chybí mu systematický přístup. Úroveň 2 je řízený proces s plánováním a monitoringem. Úroveň 3 znamená standardizovaný proces. Úroveň 4 popisuje předvídatelný proces v definovaných limitech. Nejvyšší úroveň 5 odpovídá optimalizovanému procesu, který je kontinuálně zlepšován.
ISO/IEC 27001:2022
Norma definuje požadavky na vytvoření, provoz a kontinuální zlepšování systému řízení bezpečnosti informací (ISMS). Pro auditora je klíčové pochopení cyklu PDCA a aplikace 93 kontrol z přílohy A, které jsou rozděleny do čtyř kategorií (organizační, lidské, fyzické a technologické). Vhodnost kontrol auditor vždy posuzuje v kontextu organizace a výsledků analýzy rizik.
ISO/IEC 19011:2018
Tento standard poskytuje pokyny pro auditování systémů řízení a stanovuje šest principů auditu: integritu, spravedlivé prezentování, náležitou profesionální péči, důvěrnost, nezávislost a přístup založený na důkazech. Tyto principy tvoří základ profesionální etiky auditora.
NIST Cybersecurity Framework
NIST CSF poskytuje odvětvově neutrální přístup ke kybernetickým rizikům. Skládá se z jádra (funkce identifikovat, chránit, detekovat, reagovat, obnovit), z implementačních úrovní popisujících zralost programu a z profilů, které sladí standardy s cíli organizace. Pro audit je vhodným základem pro plánování zaměřené na rizika.
Fáze auditního cyklu
Plánování zaměřené na rizika
Audit začíná definicí auditního univerza, tedy úplného inventáře auditovatelných entit. Patří sem nejen klasické IT systémy, ale také cloudové služby, dodavatelé a outsourcované funkce. Moderní přístupy doplňují kvalitativní hodnocení rizik o kvantitativní modely. Nejznámější je model FAIR (Factor Analysis of Information Risk), který riziko vyjadřuje jako součin frekvence hrozby a velikosti ztráty. Datově řízené plánování umožňuje smysluplnější alokaci omezených auditních kapacit.
Sběr důkazů a vzorkování
Při rostoucím objemu dat tradiční vzorkování naráží na limity. Používají se proto kombinace metod, jako je peněžně jednotkové vzorkování (MUS) pro detekci nadhodnocení, stratifikované náhodné vzorkování pro heterogenní populace nebo systematické vzorkování pro velké databáze.
Počítačem podporované auditní techniky (CAAT) tvoří základ moderního IT auditu. Generalizovaný auditní software (například ACL nebo IDEA) umožňuje přímou analýzu klientských dat. Metoda testovacích dat ověřuje systémovou logiku pomocí simulovaných transakcí. Integrovaná testovací zařízení vkládají fiktivní entity pro průběžné testování. Software pro kontinuální audit umožňuje monitoring v reálném čase.
Testování kontrol
Auditor rozlišuje mezi efektivitou návrhu a operační efektivitou. Posouzení návrhu odpovídá na otázku, zda je kontrola správně koncipována a teoreticky schopná řešit identifikované riziko. Posouzení operační efektivity ověřuje, zda kontrola skutečně funguje po celé sledované období, konzistentně, kompetentně prováděna a se správně řešenými výjimkami.
Analytické postupy
Substantivní analytické postupy zahrnují regresní analýzu pro modelování vztahů, analýzu poměrů pro srovnání období a entit, trendovou analýzu pro identifikaci sezónních vzorců a aplikaci Benfordova zákona pro detekci možné manipulace s daty.
Specializované auditní oblasti
Audit identit a přístupů
Klasická perimetrová bezpečnost ustupuje architektuře nulové důvěry (Zero Trust). Audit posuzuje policy engine, který rozhoduje na základě identity, stavu zařízení a kontextu, dále administrátora politik a body jejich vynucování. Klíčová je matice oddělení povinností (SoD), kterou je dnes vhodné modelovat na základě rizika a doplnit kompenzačními kontrolami tam, kde plné oddělení není proveditelné.
Cloudové prostředí
Audit cloudu vychází z modelu sdílené odpovědnosti. U IaaS odpovídá zákazník za operační systém a vše nad ním. U PaaS sdílí odpovědnost s poskytovatelem, který spravuje runtime. U SaaS leží na zákazníkovi především správa dat a přístupů. Při multi-cloud strategii nabývají na významu nástroje pro ochranu cloudových workloadů (CWPP), správu konfigurace (CSPM) a brokery cloudového přístupu (CASB).
DevOps a CI/CD
Audit musí adresovat rychlé cykly nasazení. Patří sem testování bezpečnosti zdrojového kódu (SAST a DAST integrované do pipeline), bezpečnost kontejnerů včetně skenování obrazů a politik orchestrace, audit infrastruktury jako kódu a posouzení mechanismu schvalování změn v rámci agilních týmů.
Umělá inteligence a algoritmický audit
Nasazení modelů strojového učení do podnikových rozhodnutí vyžaduje rozšíření auditního záběru. Patří sem řízení rizika modelu (validace, monitoring degradace, dokumentace předpokladů), compliance v oblasti etiky (detekce zaujatosti, vysvětlitelnost) a auditní techniky pro vysvětlitelnou AI, jako jsou metody LIME, SHAP nebo kontrafaktuální vysvětlení.
Kontinuální audit a moderní analytika
Posun od periodických kontrol ke kontinuálnímu monitoringu mění povahu auditní práce. Architektury řízené událostmi využívají komplexní zpracování událostí (CEP), streamovací technologie (Apache Kafka, Apache Flink) a algoritmy detekce anomálií. Robustní program kontinuálního auditu vyžaduje řízení kvality dat ve všech dimenzích, sledování datové linie a katalog datových aktiv.
Pokročilá analytika doplňuje audit o nové schopnosti. Metody zpracování přirozeného jazyka analyzují smlouvy, monitorují interní komunikaci a posuzují dopad regulatorních změn. Grafové databáze odhalují podvodné sítě, vzorce přístupů a koncentrační rizika v dodavatelském řetězci.
Regulatorní kontext
GDPR a navazující evropské předpisy zavedly princip ochrany osobních údajů již v návrhu (privacy by design). Audit posuzuje implementaci práv subjektů údajů, hodnocení dopadu na ochranu osobních údajů (DPIA) a podmínky přeshraničního předávání dat. Doplňují se další jurisdikce, například CCPA a CPRA v Kalifornii, brazilský LGPD nebo čínský PIPL.
V regulovaných sektorech, zejména ve finančních službách, narůstá důraz na operační odolnost. Banky a pojišťovny musí identifikovat důležité obchodní služby, definovat tolerance dopadu a provádět scénářové testování. Pro auditora je klíčové ověřit, zda jsou tyto procesy nejen nastaveny, ale i pravidelně testovány.
Doporučení pro praxi
Moderní IT auditor potřebuje kompetence napříč obory. Technické porozumění infrastruktuře, datová analytika, znalost rizik a obchodního kontextu se musí spojit s pevnou metodickou základnou. Kontinuální vzdělávání není volitelné, je to nutnost daná tempem technologických změn. Spolupráce s kybernetickými experty, datovými inženýry a obchodními analytiky se stává standardem.
Praktická doporučení pro vedení interního auditu zahrnují tato pravidla: investujte do automatizace rutinních kontrol, definujte rizikové ukazatele propojené s podnikovými cíli, zaveďte kontinuální audit nejprve v oblastech s vysokou frekvencí transakcí a budujte týmovou znalost obchodních procesů, ne jen technologií.
Závěr
IT audit se přesouvá od kontrolní funkce ke strategickému partnerovi vedení. Úspěch v tomto prostředí vyžaduje rovnováhu mezi rigorózní metodikou a adaptivní praxí, mezi lidským úsudkem a strojovou analytikou. Pro české firmy, které čelí stejným regulacím jako jejich západoevropští konkurenti, je dobře nastavený IT audit nejen nástrojem compliance, ale také zdrojem důvěry zákazníků a investorů.
Reference
- ISACA (2019): COBIT 2019 Framework: Introduction and methodology
- ISO/IEC 27001:2022: Information security management systems
- ISO/IEC 19011:2018: Guidelines for auditing management systems
- NIST (2018): Framework for improving critical infrastructure cybersecurity
- Gallegos, F. a kol. (2004): Information technology control and audit
- Weber, R. (1999): Information systems control and audit
- Jans, M. a kol. (2013): The case for process mining in auditing, International Journal of Accounting Information Systems
- Stoel, D. a kol. (2012): An analysis of attributes that impact information technology audit quality, International Journal of Accounting Information Systems
