Abstrakt: Volba způsobu zajištění funkce interního auditu patří mezi důležitá strategická rozhodnutí středně velkých organizací. Tento článek porovnává tři základní modely: in-house tým, plný outsourcing a hybridní co-sourcing. Vychází z principů ekonomie transakčních nákladů a zdrojového přístupu a zaměřuje se na praktické dopady na nezávislost, kvalitu, flexibilitu a celkovou hodnotu auditu. Cílí na členy auditních výborů, finanční ředitele a manažery interního auditu, kteří hledají rámec pro rozhodování v prostředí rostoucích regulatorních a technologických nároků.
1. Kontext a teoretický rámec
Funkce interního auditu se za poslední dvě dekády proměnila z nákladového střediska zaměřeného na kontrolu compliance na nástroj řízení rizik a podpory strategických cílů. Středně velké organizace dnes čelí komplexnímu regulatornímu prostředí (GDPR, ESG reporting, kybernetický zákon, směrnice o náležité péči), rychlé digitální transformaci a rostoucím očekáváním stakeholderů. Udržení kompetentního interního auditního týmu pokrývajícího všechny tyto oblasti je pro organizace s obratem ve stovkách milionů korun obtížné.
Volba mezi interním zajištěním a externím dodavatelem není jen otázkou alokace zdrojů. Ekonomie transakčních nákladů (Williamson) zdůrazňuje náklady na vyhledávání partnera, sjednání smluv a vymáhání jejich plnění. V kontextu auditu jsou tyto náklady významné kvůli důvěrnosti dat, specifičnosti procesů a potřebě průběžné aktualizace znalostí. Zdrojový přístup (Barney) naopak doporučuje internalizovat zdroje, které jsou cenné, vzácné, obtížně napodobitelné a organizace je umí využít.
V praxi nejde o volbu jedné teorie. Optimální řešení obvykle kombinuje prvky obou pohledů a reflektuje konkrétní situaci organizace.
2. In-house model
Tradiční model staví na auditorech jako přímých zaměstnancích organizace.
Výhody. Interní auditoři získávají hluboké porozumění firemní kultuře, neformálním procesům a historickým souvislostem. Mohou kontinuálně sledovat implementaci doporučení a rychle reagovat na nové potřeby vedení. Při vysoké frekvenci auditních aktivit se fixní náklady efektivně rozpouštějí na jednotlivé úkoly. Vzniká dlouhodobá znalostní báze, kterou nelze snadno přenést.
Rizika. Dlouhodobé působení v jednom prostředí může oslabit kritický pohled. Udržet expertizu v rychle se měnících oblastech, jako je kybernetická bezpečnost, ESG audit nebo forenzní šetření, je pro středně velkou organizaci finančně i personálně náročné. Závislost auditora na zaměstnavateli může ovlivnit jeho nezávislost, zejména pokud auditované osoby mohou rozhodovat o jeho kariéře.
3. Plný outsourcing
Úplné přenesení auditní funkce na externího poskytovatele se nejčastěji uplatňuje v menších organizacích nebo tam, kde jsou auditní potřeby vysoce specializované.
Výhody. Externí firmy investují do vzdělávání svých týmů a udržují specialisty pro různé domény. Organizace získává okamžitý přístup k expertize bez fixních nákladů. Externí auditoři nepodléhají interním politickým tlakům, přinášejí zkušenosti z jiných organizací a obvykle disponují modernějšími nástroji.
Rizika. Klesá kontrola nad prioritizací a metodikou. Existuje riziko neúplného předání kontextu. Rotace lidí na straně dodavatele může vést ke ztrátě institucionální paměti. Skutečné srovnání nákladů s interním modelem je obtížné, protože dodavatelé používají různé způsoby kalkulace.
4. Co-sourcing
Hybridní model kombinuje strategickou kontrolu interního vedení s flexibilitou externích zdrojů. Pro většinu středně velkých organizací představuje nejvyváženější variantu.
Architektura. Jádro tvoří interní vedoucí auditu (CAE) a jeden či dva interní auditoři, kteří zajišťují strategické plánování, vztahy s auditním výborem a koordinaci. Specifické projekty, kapacitní špičky a vysoce specializované audity řeší externí dodavatelé. Mezi oběma vrstvami funguje systematický přenos znalostí.
Přínos. Organizace si ponechává „mozek“ auditu uvnitř (řízení, vztahy, sledování doporučení), zatímco „svaly“ (výkon specializovaných testů, technické audity, kapacitní špičky) flexibilně nakupuje na trhu. Studie IIA opakovaně potvrzují, že tento model dosahuje nejvyšší kvality díky synergii kontextové znalosti a externí expertizy.
Implementační výzvy. Smíšený tým s různými motivačními strukturami vyžaduje aktivní koordinaci. Je třeba zajistit jednotnou kvalitu napříč zdroji a systematicky sdílet znalosti. Bez toho hybridní model neplní očekávání.
5. Řízení rizik outsourcingu
Vztah mezi organizací a externím dodavatelem auditních služeb je strukturálně zatížen informační asymetrií a možným oportunistickým chováním. Úspěšná mitigace začíná již ve fázi výběru partnera a tvorby smlouvy.
Kvalita versus efektivita. Dodavatel může minimalizovat úsilí při formálním splnění smlouvy, nebo naopak nadhodnocovat rozsah auditů. V praxi se setkáváme s případy, kdy dodavatel systematicky navrhoval rozšíření auditů o oblasti s minimálním rizikem, ale vysokou časovou náročností. Roční náklady tak narostly o desítky procent při zanedbatelném přínosu pro řízení rizik.
Mitigace zahrnuje výkonové smlouvy s důrazem na hodnotu, nikoli odpracované hodiny, strukturovaný systém kontroly kvality, benchmarking nákladů a externí validaci v souladu se standardem IIA 1300.
Nezávislost a střet zájmů. Konsolidace trhu profesních služeb vede k tomu, že velcí poskytovatelé nabízejí poradenství, implementaci IT systémů i audit. Tato koncentrace vytváří strukturální střety zájmů. Evropská směrnice 2014/56/EU a zákon č. 93/2009 Sb. upravují rotaci auditorů a oddělení auditních a neauditních služeb. V praxi je vhodné požadovat oddělení týmů na úrovni právních entit, zavést přechodná období při změně rolí a aktivně zapojit auditní výbor do schvalování neauditních služeb současného auditora.
Kybernetická bezpečnost. Vzdálený přístup externích auditorů k citlivým datům představuje samostatnou kategorii rizik. Standardem se stává prověření certifikací (ISO 27001, SOC 2), penetračních testů a plánů reakce na incidenty. Datové toky musí být řízeny smluvně i technicky (šifrování, VPN, vícefaktorová autentizace, monitoring přístupů).
Regulatorní odpovědnost. Outsourcing auditu nepřenáší primární odpovědnost za vnitřní kontrolní systém z managementu organizace. Selhání externího dodavatele má stejné regulatorní důsledky jako selhání interního týmu. Ve smlouvách je proto vhodné zakotvit pojištění profesní odpovědnosti, sankce za nesplnění klíčových výstupů a právo auditovat dodavatele.
6. Rozhodovací rámec
Při volbě modelu je nutné systematicky vyhodnotit několik dimenzí.
Frekvence aktivit. Při kontinuálním auditním pokrytí s pravidelnými čtvrtletními cykly se interní tým ekonomicky vyplácí. Pro sporadické potřeby (jednou ročně) je výhodnější outsourcing s variabilní strukturou nákladů.
Specifičnost aktiv. Organizace s unikátními procesy a vysoce specializovanou kulturou potřebují auditní přístup, který nelze snadno standardizovat. Audit standardizovaných procesů (finanční reporting, HR, základní IT kontroly) lze efektivně outsourcovat.
Rizikový profil. Vysoce rizikové oblasti, jako je kybernetická bezpečnost, prevence praní peněz nebo ESG compliance, vyžadují špičkovou expertizu. Pro středně velké organizace je v těchto doménách obvykle optimální co-sourcing.
Celkové náklady vlastnictví. U interního modelu je třeba zahrnout mzdy, benefity, vzdělávání, certifikace, technologie, opportunity cost vedení a náklady na zastupování. U outsourcingu pak platby dodavateli, transakční náklady, supervizi, rizikovou prémii a náklady na případnou změnu dodavatele. V konkrétním projektu pro výrobní společnost s obratem 500 milionů korun byly přímé náklady outsourcingu o 15 % vyšší, ale po zahrnutí všech souvisejících položek byl celkový outsourcing o 8 % efektivnější.
7. Dopad digitální transformace
Automatizace auditních procesů, datová analytika a AI-asistované hodnocení rizik mění ekonomiku rozhodování. Investice do těchto technologií představují vysoké fixní náklady, které jsou pro středně velké organizace v interním modelu obvykle neúnosné. Cloudové auditní platformy (SaaS) snižují vstupní bariéry a otevírají specializované audity i menším organizacím.
Mění se i profil auditora. Schopnost pracovat s daty (Python, R, SQL, statistické metody) se stává standardem. Trend k průběžnému monitorování transakcí v reálném čase posouvá audit z periodické kontroly na nepřetržitou aktivitu. Tyto faktory dále posilují atraktivitu hybridních modelů.
8. Implementace v praxi
Úspěšný přechod na outsourcing nebo co-sourcing vyžaduje pečlivou komunikaci se stakeholdery, zejména auditním výborem, vedením a samotnými zaměstnanci. Komunikační plán by měl být spuštěn nejméně šest měsíců před implementací.
Přenos tichých znalostí z odcházejících interních auditorů na externí tým je kritický. Doporučuje se přechodné období v délce alespoň tří měsíců s dokumentovanými předávacími postupy.
Výběr dodavatele by neměl stát pouze na ceně, ale na vážené kombinaci technické expertizy, znalosti odvětví, kulturní kompatibility a stability. Smlouva by měla umožnit flexibilní škálování, přístup ke specialistům podle potřeby a jasné mechanismy měření výkonnosti.
9. Závěr
Tradiční binární volba mezi interním týmem a plným outsourcingem ustupuje sofistikovanějším hybridním přístupům. Co-sourcing se pro většinu středně velkých organizací jeví jako dominantní strategie, protože kombinuje výhody obou krajních modelů a omezuje jejich rizika.
Pro vedení organizací z této analýzy plyne několik doporučení. Nehledat univerzální řešení, protože optimální strategie je dynamická a vyvíjí se s organizací. Investovat do správy dodavatelů a kontroly kvality, bez nich žádný outsourcing dlouhodobě nefunguje. Plánovat na horizontu tří až pěti let, protože změny modelů jsou nákladné. A budovat portfoliový přístup, kde různé typy auditních činností používají různé sourcingové modely podle svých charakteristik.
Organizace, které úspěšně zvládnou kombinovat interní a externí zdroje, získají v oblasti řízení rizik a corporate governance měřitelnou konkurenční výhodu.
Reference
- Williamson, O. E.: The Economic Institutions of Capitalism, 1985
- Barney, J.: Firm Resources and Sustained Competitive Advantage, Journal of Management, 1991
- IIA Standard 1300: Quality Assurance and Improvement Program, https://www.theiia.org/en/standards/
- Evropská směrnice 2014/56/EU
- Zákon č. 93/2009 Sb., o auditorech
- Česká komora auditorů: https://www.kacr.cz/
- ISACA: https://www.isaca.org/
