Kontrolní činnost Dozorčí komise KA ČR (dále také „DK“) je zajišťována prováděním souhrnných kontrol, kontrol dodržování členských povinností a mimořádných kontrol kvality auditorské činnosti. Systém provádění kontrol je v souladu s § 24 odst. 4 zákona č. 93/2009 Sb., o auditorech, a o změně některých zákonů, ve znění pozdějších předpisů, (dále jen „zákon o auditorech) nastaven tak, aby bylo zajištěno provedení kontroly kvality u auditorů, kteří neprovádí povinný audit ani u jednoho subjektu veřejného zájmu, nejméně jednou za šest let. U nově zapsaných auditorů OSVČ a auditorských společností jsou kontroly zpravidla realizovány do tří let od zápisu do evidence auditorů a auditorských společností.
Kontroly provádí členové DK spolu s kontrolory kvality (zaměstnanci z oddělení kontroly kvality KA ČR). Souhrnné kontroly a mimořádné kontroly jsou vykonávány ve většině případů dvoučlenným týmem, který je tvořen jedním členem DK a jedním kontrolorem kvality. Kontroly kvality u auditorů OSVČ a auditorských společností provádějících auditorskou činnost v menším rozsahu a kontroly týkající se pouze dodržování členských povinností dle § 2 b) a c) dozorčího řádu (dále jen „DŘ“) jsou prováděny pouze kontrolory kvality. Kontroly realizované u větších auditorských společností jsou prováděny vícečlennými kontrolními skupinami skládajícími se z členů DK a kontrolorů kvality a jsou časově náročnější.
Kontroly provedené v roce 2023
Na rok 2023 bylo naplánováno celkem 221 kontrol, z čehož bylo realizováno 194 kontrol a 27 kontrol nebylo provedeno. Důvodem neprovedení kontrol byly nejčastěji vážné zdravotní důvody auditora, v několika málo případech kontroly neproběhly pro nesoučinnost auditora a následně bylo s auditory zahájeno přestupkové řízení.
Naplánované a realizované kontroly v roce 2023
Z celkového počtu 194 kontrol provedených v roce 2023 bylo 86 kontrol realizováno u auditorských společností a 108 kontrol bylo uskutečněno u auditorů OSVČ. V roce 2023 bylo provedeno 9 společných kontrol s kontrolory RVDA. Také v roce 2023 byly některé kontroly provedeny distančně. Tento způsob kontrol byl zaveden v roce 2020. Distančně bylo v roce 2023 provedeno 23 kontrol, tj. 12 % z celkového počtu uskutečněných kontrol.
Distanční kontroly provedené v letech 2020–2023
Hodnocení výsledků provedených kontrol v roce 2023
Výsledky provedených kontrol hodnotí dozorčí komise v souladu s DŘ na svých zasedáních, která jsou zpravidla jedenkrát za měsíc. Výsledné hodnocení každé kontroly u auditora či auditorské společnosti podléhá schvalovacímu procesu, jehož výsledkem je i určení časové periody provedení příští kontroly. Toto hodnocení může v návaznosti na výsledky kontrolní činnosti vyústit i v návrh DK na zahájení kárného řízení. Výsledné hodnocení nevylučuje provedení mimořádné kontroly kvality v dřívějším termínu.
V roce 2023 bylo ukončeno interním hodnocením DK na jejich jednotlivých zasedáních celkem 180 kontrol. Z tohoto počtu bylo 24 kontrol uzavřeno se schválením provedení příští kontroly v zákonné, tedy šestileté lhůtě. U 49 zkontrolovaných subjektů bylo z důvodu zjištění méně závažných nedostatků schváleno provedení následné kontroly v mírně zkrácené lhůtě. U 107 zkontrolovaných subjektů bylo vzhledem ke zjištěným nedostatkům opakování kontroly naplánováno ve zkrácené lhůtě do tří let (a to u 55 auditorských společností a 52 auditorů OSVČ).
Výsledky ukončených kontrol s následným opakováním v zákonné či zkrácené lhůtě
Počty uzavřených kontrol s uvedením časové periody opakování kontroly v porovnání s předchozími lety
K opakování kontrol v kratší časové lhůtě se přistupuje, pokud je shledána nedostatečná dokumentace provedeného auditu (popř. jiné ověřovací zakázky) či je-li zjištěn nedostatek alespoň v jedné z prověřovaných oblastí (ISA, standardy KA ČR, etický kodex, systém řízení kvality).
Pokud je zjištěna významná chyba či auditor nemá dostatečnou dokumentaci dokládající vlastní provedení ověřovací zakázky nebo vydal nesprávný výrok auditora, příp. je shledáno porušení zákona o auditorech, podá DK návrh na zahájení kárného řízení. Častým důvodem pro podání návrhu na zahájení kárného řízení jsou také opakované nedostatky v auditorských spisech zjištěné při provedené následné kontrole kvality. Z celkového počtu 180 ukončených kontrol na jednotlivých zasedáních DK v roce 2023 bylo 32 kontrol (tj. 18 %) ukončeno podáním návrhu DK na zahájení kárného řízení.
Počet podaných návrhů na zahájení kárného řízení v letech 2020 až 2023
Nedostatky zjišťované v rámci kontrolní činnosti
Dodržování vybraných ustanovení zákona č. 253/2008 sb. (AML)
V rámci prováděných kontrol je stále větší pozornost věnována prověřování plnění vybraných povinností dle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „zákon č. 253/2008 Sb.“).
Při kontrolách je ověřováno zejména:
- plnění povinnosti identifikace osoby, účastníka obchodu v hodnotě převyšující částku jeden tisíc eur,
- v rámci kontroly klienta je ověřováno plnění povinnosti zjišťovat skutečného majitele dle § 9 odst. 2 písm. b) zákona č. 253/2008 Sb.,
- plnění povinností informovat o nesrovnalostech při zjišťování skutečného majitele dle § 15a zákona č. 253/2008 Sb.,
- plnění oznámení podezřelého obchodu dle § 18 zákona č. 253/2008 Sb.,
- zajištění proškolení zaměstnanců dle § 23 zákona č. 253/2008 Sb.
V těchto kontrolovaných oblastech jsou shledávána dílčí pochybení, která ilustrují příklady uvedené níže.
Příklad č. 1: Společnost dle § 23 zákona č. 253/2008 Sb. zajistila proškolení zaměstnanců v oblasti AML. Toto školení je v auditorské společnosti realizováno každý rok, avšak:
- společnost nemá dokumentaci o proškolení v této oblasti nebo
- ze školení je pořízen záznam obsahující osnovu školení, ale v obsahové náplni školení chybí typologie a znaky podezřelých obchodů.
Příklad č. 2: Auditor provedl identifikaci klienta, ale jeho dokumentace neobsahovala všechny povinné údaje o identifikaci dle § 8 odst. 2 písm. a) zákona č. 253/2008 Sb., které ověřil z průkazu totožnosti. Těmito údaji jsou jméno, příjmení, datum narození, bydliště, pohlaví, orgán, který průkaz totožnosti vydal, a doba jeho platnosti či byla identifikace provedena až po podpisu smlouvy o provedení auditu.
Příklad č. 3: V kontrolovaných spisech občas nebývá vždy doloženo, zda auditor jako povinná osoba ověřil skutečného majitele dle § 9 odst. 2 písm. b zákona č. 253/2008 Sb.
Systém řízení kvality
V rámci provedených kontrol auditorské společnosti i auditoři OSVČ předkládají své interní směrnice k nastavenému vnitřnímu systému řízení kvality.
Od 15. prosince 2022 nabyl účinnosti nový mezinárodní standard pro řízení kvality ISQM 1 (dále jen ISQM 1). Směrnici pro řízení kvality bylo třeba upravit tak, aby odpovídala požadavkům tohoto nového standardu. Dle požadavku odst. 13 ISQM 1 měl být systém řízení kvality navržen a zaveden do 15. prosince 2022. Vyhodnocení systému řízení kvality požadované ISQM 1 mělo být provedeno do jednoho roku, tedy do 15. prosince 2023.
Přesto bylo v některých případech zjištěno, že auditorská společnost či statutární auditor neměl interní postupy ohledně řízení kvality dle tohoto nového standardu dostatečně či vůbec nastaveny.
Mezinárodní auditorské standardy
ISA 230 – Dokumentace auditu
Nedostatky se dále hojně vyskytují v oblasti souladu spisu auditora s mezinárodním auditorským standardem ISA 230 – Dokumentace auditu. V auditní dokumentaci často bývají nedostatečně zdokumentovány testy věcné správnosti (popř. testy kontrol) tak, aby dokumentace umožnila jinému auditorovi posoudit, jaký konkrétní test byl proveden a jaký cíl sledoval, jaká tvrzení pokrýval, jaký byl jeho rozsah a zda závěr z testu vyplývající je adekvátní. Auditoři často uvádějí, že předepsané postupy provedli, avšak jejich dokumentace ve spisu je pouze obecná, neúplná nebo zcela chybí.
S vazbou na nedostatečně zdokumentovanou metodu výběru vzorků stále nebývají uvedeny charakteristické identifikační znaky konkrétních testovaných položek. Neprůkazným způsobem nebo zcela opomenuta je povinnost auditora zdokumentovat projednání významných záležitostí s vedením a s osobami pověřenými správou a řízením účetní jednotky. Spis tak v mnoha případech není, bez další detailní diskuse s auditorem, průkazným materiálem poskytujícím informace o vyhodnocení rizik auditorem, jeho reakce na tato rizika a o závěrech, ke kterým došel a které následně promítl do svého výroku.
ISA 240 – Postupy auditorů související s podvody
Při vyhodnocení možných rizik podvodů auditoři nedostatečně dokumentují aplikaci profesního skepticismu. Především nebývají vyhodnoceny faktory rizika možných podvodů ze strany vedení, příp. vlastníků, a to např. tlak na snížení daňového základu, tlak na dosažení hospodářských výsledků a tím dosažení prémií nebo splnění finančních ukazatelů stanovených v úvěrových smlouvách. Diskuze auditora s vedením a s osobami pověřenými řízením a správou účetní jednotky bývá zdokumentována velmi neurčitě. Přitom je důležité jasně uvést, kdy a s kým bylo o riziku možného podvodu, případně o existenci podvodu nebo podezření na něj diskutováno. Mezinárodní auditorský standard ISA 240 – Postupy auditorů související s podvody při auditu účetní závěrky (dále jen ISA 240) přímo stanoví požadavky na to, co má auditor diskutovat (vyhodnocení rizika podvodu z pohledu vedení, proces zavedený k odhalování a předcházení podvodu a také dotaz na možný podvod). Diskusi je třeba zdokumentovat včetně závěru. Finální potvrzení ze strany vedení a osob pověřených správou a řízením má být uvedeno v prohlášení vedení.
Dle odst. 32 ISA 240 má „vedení jedinečnou možnost páchat podvody, protože může manipulovat účetní záznamy a sestavit podvodnou účetní závěrku tím, že nedodržuje kontroly, které jinak zdánlivě fungují účinně.“ V důsledku toho je auditor povinen považovat riziko obcházení kontrol vedením vždy za riziko významné. Auditor je proto povinen navrhnout, provést a zdokumentovat auditorské postupy, které na toto riziko reagují. ISA 240 v reakci na toto riziko požaduje zkontrolovat správnost účetních zápisů v hlavní knize a dalších úprav provedených při sestavení účetní závěrky, proto je auditor mimo jiné povinen v takových případech při jejich návrhu a provádění:
- klást otázky osobám zapojeným do zpracování účetní závěrky ohledně nepatřičné nebo nezvyklé činnosti vztahující se ke zpracování účetních zápisů a dalších úprav,
- vybrat účetní zápisy a další úpravy (včetně ryze klasifikačních zápisů a úprav – i ty mohou vést k podvodnému výkaznictví v rozvaze nebo výkazu zisku a ztráty) provedené na konci účetního období a zvážit nutnost otestovat účetní zápisy a další úpravy během daného období,
- prověřit, zda nejsou účetní odhady vytvořeny předpojatě, a provést zpětnou kontrolu úsudků a předpokladů vedení v souvislosti s významnými účetními odhady uvedenými v účetní závěrce za předcházející období.
Možnými příklady oblastí s významnými účetními odhady jsou opravné položky, rezervy, odpisování dlouhodobého majetku (životnost), ocenění reálnou hodnotou či problematika odložené daně (např. využitelnost daňových ztrát).
Indikátorem možné manipulace mohou být i časté změny v používaných účetních metodách.
Auditor by také měl, až na specifické výjimky, předpokládat, že účtování o výnosech je spojeno s riziky výskytu podvodu, a vyhodnotit, jaké druhy výnosů, výnosových transakcí a tvrzení vedou ke vzniku těchto rizik. Následně je povinen naplánovat, provést a zdokumentovat auditorské postupy reagující na tato rizika, a to typicky včetně vlivu na větší velikost testovaného vzorku. Ze spisu musí být patrný rozdíl v reakci na různou výši identifikovaného rizika. Samostatným tématem je populace, ze které jsou vybírány vzorky pro test výnosů. Ne vždy bude auditor vybírat vzorky ze zaúčtovaných tržeb.
Vodítka pro auditory mohou poskytnout přílohy standardu ISA 240 – příloha 1 Příklady faktorů rizika podvodu a příloha 2 Příklady možných auditorských postupů, kterými lze reagovat na vyhodnocená rizika výskytu materiální nesprávnosti způsobené podvodem.
ISA 500 – Důkazní informace
Dokumentace provedených postupů zaznamenaná ve spisech auditorů stále nezřídka neobsahuje vysvětlivky a popis, co a proč bylo provedeno a s jakým výsledkem. Není tak doložen rozsah provedených auditorských postupů, jejich výsledky a získané důkazní informace. Získané důkazní informace z provedených testů musí v návaznosti na mezinárodní auditorský standard ISA 500 – Důkazní informace především splňovat požadavky na jejich dostatečnost a vhodnost.
Z kontrolovaných auditorských spisů často není jasné, jaké významné záležitosti z auditu vyplynuly, a závěry týkající se těchto záležitostí.
Při dokumentaci povahy, načasování a rozsahu provedených auditorských postupů je auditor povinen zaznamenávat charakteristické identifikační znaky konkrétních testovaných položek nebo záležitostí.
ISA 330 – Reakce na vyhodnocená rizika
Zásadní vliv na vyhodnocené riziko materiální nesprávnosti má posouzení vnitřního kontrolního prostředí auditované účetní jednotky. V auditní dokumentaci nebývá vždy uvedeno, jaké auditor navrhl a provedl auditorské postupy v reakci na vyhodnocená rizika dle požadavků mezinárodního auditorského standardu ISA 330 – Reakce auditora na vyhodnocená rizika.
K testování provozní účinnosti vnitřních kontrol auditoři obvykle nepřistupují. Nedostatečným způsobem ale bývá zdokumentováno už jen samotné posouzení nastavení a provádění interních kontrol. Nemluvě o tom, že některé účetní jednotky není možné auditovat bez dostatečného prověření kontrol v oblasti IT.
Plánovaná reakce auditora na vyhodnocená rizika včetně dopadu na velikost vzorku testovaných položek by měla být obsažena již v plánu auditu a ve fázi realizace auditu by měly být navržené testy provedeny, vyhodnoceny a řádně zdokumentovány.
Dále u kontroly účetní závěrky před jejím zveřejněním je relativně častým nedostatkem skutečnost, že auditor nezkontroluje konečnou verzi účetní závěrky před jejím zveřejněním, zvláště pak informace uvedené v příloze v účetní závěrce. Zde bývají nedostatkem chybějící nebo neaktualizované informace.
Nedostatky zjišťované u zakázek přezkoumání hospodaření
- Provedené přezkumné postupy jsou nedostatečně dokumentovány, zejména nelze ověřit, jaké konkrétní postupy auditoři provedli, pokud jde o dílčí předměty přezkoumání uvedené v § 2 zákona č. 420/2004 Sb., o přezkoumávání hospodaření územních samosprávných celků a dobrovolných svazků obcí, ve znění pozdějších předpisů.
- Někteří auditoři k přezkoumání přistupují obdobně, jako k auditu účetní závěrky, tj, zabývají se především účetnictvím územního celku, aniž by si uvědomili, že přezkoumání je sice ověřovací zakázkou, avšak se specifickým předmětem ověřování. Základním úkolem auditora je přezkoumat, zda územní celek dodržuje ty právní normy, které se týkají jednotlivých dílčích předmětů přezkoumání (ověřování zákonnosti).
- Při vyhotovení zprávy auditora o výsledku přezkoumání auditoři nerespektují vzor uvedený v příloze 2 k Auditorskému standardu č. 52 – Přezkoumání hospodaření územních samosprávných celků. Do zprávy např. doplňují informace, které jsou nadbytečné a které by měly být uvedeny např. v dopisu vedení.
- V některých případech auditoři ve zprávě neuvedou zjištěné chyby a nedostatky s poukazem na jejich nevýznamnost, aniž by si uvědomili, že do zprávy o výsledku přezkoumání hospodaření je třeba uvést veškeré, tedy i nevýznamné, chyby a nedostatky.