Interní audit a ESG: Jak postavit účinný plán kontroly a otestovat design i funkčnost udržitelných kontrolních mechanismů

Proč dnes interní audit posuzuje nejen finance, ale i ESG

Ještě před pěti lety se interní auditoři českých firem soustředili především na finanční reporting, compliance a kybernetickou bezpečnost. Od schválení směrnice CSRD 2022/2464 a publikace prvních European Sustainability Reporting Standards (ESRS) se však do ročního plánu auditu dostává také udržitelnost. Důvod je jednoduchý: spolehlivost ESG dat se stává strategickou otázkou – investoři, banky i státní zakázky vyžadují číselně podložené prokázání „zelených“ a „sociálních“ závazků. Pokud firma nezvládne interně ohlídat procesy sběru, výpočtu a zveřejnění ESG metrik, vystavuje se riziku regulatorních sankcí, reputační ztráty i zvýšených nákladů na kapitál.

Ve své konzultační praxi vidím tři hlavní faktory, které roli interního auditu v ESG katalyzují:

• Regulace – CSRD vyžaduje limited a časem reasonable assurance externího auditora; interní audit musí připravit půdu.
• Komplexita hodnotového řetězce – metriky jako Scope 3 emisí nebo diverzita dodavatelů vyžadují prokazatelné datové toky napříč odděleními.
• Očekávání stakeholderů – ratingové agentury a banky si žádají interní protokoly o kontrolách a management letter od CAE (Chief Audit Executive).

Co vše interní audit v ESG obnáší a proč nejde o „copy-paste“ z financí

Interní audit ESG v sobě kombinuje prvky finančního auditu (důkazní dokumentace, testy kontroly), provozního auditu (efektivita procesů) a non-financial assurance definovaného normou ISO 14016:2020 – Assurance of Sustainability Reports. Nestačí tedy převzít kontrolní matrici z finančního oddělení a připojit další sloupec. ESG přináší řadu specifik:

1. Ne-numerická data – údaje o životním prostředí či lidských právech bývají kvalitativní; audit vyžaduje triangulaci (dokument + rozhovor + pozorování).
2. Externí normy designu kontroly – pro emise CO₂ platí metodiky GHG Protocol, pro diverzitu ESRS S1; audit musí posuzovat soulady se standardy, nikoli jen interní politiky.
3. Vysoká granularita – stejná metrika se sbírá v desítkách závodů nebo poboček; sample size je tedy zásadně větší.
4. IT i manuální zdroje dat – kombinace senzorů, ERP, Excelu a papírových formulářů komplikuje testování data lineage.

Podle Směrnice International Professional Practices Framework (IPPF 2024) musí interní audit při hodnocení ESG kontrol dodržet tři kroky:

• Testování designu – zda kontrola pokrývá riziko (např. automatická validace emisních faktorů při importu dat).
• Testování funkčnosti – zda kontrola fungovala operationally effective po celé období (nejčastěji 12 měsíců).
• Vyhodnocení dostatečnosti důkazů – jestli je možné závěry interního auditu sdílet s externím auditorem pro group audit approach.

Z výzkumu IIA (2023) vyplývá, že 61 % evropských CAE plánuje navýšit rozpočet na ESG audit o více než 20 %. Čím dříve firma nastaví procesy, tím nižší náklady a stres při externím ověření.

Jak krok za krokem postavit plán interního auditu ESG

1 | ESG risk assessment jako vstup do ročního plánu

Výchozím bodem je mapa ESG rizik – typicky se vychází z výsledku Double Materiality Assessment (DMA) popsaného v článku Dvojí materialita: základní princip CSRD…. Auditoři přiřadí každému riziku skóre dopadu / pravděpodobnosti a převedou na audit universe:

• High – Scope 1 & 2 emise, BOZP, etika dodavatelů.
• Medium – spotřeba vody, gender pay gap, whistleblowing.
• Low – komunitní investice, dobrovolnictví.

Z praxe: výrobní firma se skleněnými obaly (obrat 9 mld. Kč) vyhodnotila Scope 1 & 2 jako „HIGH“ a alokovala 120 interních auditních hodin na test funkčnosti kontrol plynových pecí.

2 | Audit charter a komunikace s dozorčí radou

Podle IIA Standard 1110 má interní audit povinnost informovat orgán dohledu o rozsahu prací. V ESG oblasti doporučuji doplnit charter o:

• Vztah k externímu ověřovateli – sdílení dokumentace, společné plánování.
• Reporting – periodicita, formát (dashboard ESG kontrol).
• Kompetence týmu – certifikace Certified ESG Auditor (CESGA), ISAE školení.

3 | Detaily kontrolního plánu

Každý auditní úkol (assignment) musí obsahovat:

1. Cíl (např. ověřit spolehlivost ukazatele LTIFR – Lost Time Injury Frequency Rate).
2. Kritéria (ESRS S1, GRI 403, interní politika BOZP).
3. Rozsah (závody Kolín, Teplice; období 1–12/2024).
4. Metodu (walk-through, reperformance, data analytics).
5. Počet vzorků podle Monetary Unit Sampling či statistiky.

Benchmark: Podle průzkumu Deloitte 2022 volí většina firem 95 % úroveň jistoty a chybu 5 % u vysokorizikových KPI. To znamená testovat 59 záznamů z populace 1500 hodnot LTIFR.

4 | Testování designu kontrol

Při design assessmentu auditor posuzuje, zda kontrola pokrývá riziko a zda je dokumentována. Praktický postup:

• Mapujte input-process-output pro každý KPI.
• Seznamte se se specifikací ESRS (např. ESRS E5 – odpad) a ověřte, zda kontrola sleduje povinné dimenze (typ odpadu, metoda likvidace atd.).
• Ověřte, že kontrola má kontrolora, frekvenci, dokumentaci výsledku.

Tip z praxe: V IT nástroji (např. ServiceNow GRC) vytvořte kontrolní knihovnu s tagem „ESG“ a vazbou na konkrétní ESRS paragraf.

5 | Testování funkčnosti (operating effectiveness)

U každé kontroly vyberte reprezentativní vzorky. Například kontrola „schválit faktor emisí před načtením do ERP“:

1. Populace: 24 měsíčních importů za 2 roky.
2. Metoda výběru: systémový random start, interval = N/n.
3. Pro každý import ověřte approval log v systému a fyzický podpis databáze faktorů.

Pokud 1 z 20 vzorků selže, lze kontrolu označit jako ineffective a stanovit remediation plan (např. dvojí schvalování, automatický alert).

Podrobný návod: 1 200 + slov praktických doporučení krok za krokem

Krok 1 – Sjednoťte terminologii a odpovědnosti

Bez jasného RACI matrix vzniká chaos. Doporučené role:

• Data Owner – zajišťuje úplnost a přesnost dat, např. vedoucí BOZP.
• Process Owner – nastavuje kontrolu (např. manažer výroby).
• Control Performer – provádí kontrolu (datový analytik).
• CAE – schvaluje auditní program a reportuje boardu.

Krok 2 – Vybudujte datovou architekturu „audit ready“

ESG data často sedí v Excelu. Přechod na centralizovanou platformu (např. Microsoft Sustainability Manager) ušetří 30–40 % auditního času. Požadavky:

1. Automatické ETL z ERP, senzorů a HR systému.
2. Detailní audit trail (kdo, kdy, co změnil).
3. Role-based access – schvalovatelé mají práva jen „approve“, ne „edit“.

Investice: 250–400 tis. Kč licence + 150–200 tis. implementace; návratnost do 2 let díky kratším auditům.

Krok 3 – Vytvořte kontrolní katalog v souladu s COSO 2017

COSO definuje 17 principů; u ESG se nejčastěji doplňují:

• P12 – Kontroly obecně v IT (ITGC).
• P13 – Kontroly specifické pro proces (např. schvalování emisních faktorů).
• P16 – Informování externích subjektů (GRI, ESRS report).

Každá kontrola má atributy: ID, ESRS reference, frekvence, účel, popis testu, owner, důkaz.

Krok 4 – Nastavte kontinuální monitoring

Moderní nástroje (Power BI, Qlik) umožňují Continuous Auditing – např. alert, když denní spotřeba plynu vyskočí o >10 % proti průměru. Interní audit pak testuje už jen efektivitu algoritmu, nikoli každý záznam.

Krok 5 – Dokumentujte zjištění a opravte root cause

Každý finding by měl obsahovat:

• Condition (co se stalo),
• Criteria (čím požadavek porušuje),
• Cause (proč),
• Consequences (dopad na KPI i strategie),
• Corrective action (SMART, odpovědná osoba, termín).

Pozor na management override – pokud vedení upravuje KPI po auditu, hrozí scope limitation externího auditora.

Krok 6 – Vytěžte synergie s finančním auditem

Část testů (access management, change management) využijete pro finanční i ESG audit. Sdílený ITGC testing může snížit náklady o 15–20 %.

Případové studie

CASE 1 – Energetická společnost (2 000 FTE)

• Problém: Přepisy údajů o spotřebě paliv mezi SCADA a ERP způsobovaly 8 % odchylku.
• Auditní zjištění: Chyběl automatický kontrolní součet Gross→Net calorific value.
• Řešení: Doplněn ETL skript a kontrola tolerance <2 %.
• Výsledek: Při externím reasonable assurance 2023 už bez kvalifikace.

CASE 2 – E-commerce platforma

• Problém: ESG tým neměl přístup do HR dat kvůli GDPR, nemohl ověřit gender pay gap.
• Auditní zjištění: Porušení principu need-to-know – Data Owner = HR, Control Performer = ESG.
• Řešení: Anonymizační vrstva v Snowflake, kontrolu provádí HR.
• Výsledek: KPI auditovatelné, splněn ESRS S1.

Náklady, časové rámce a kapacitní plán

Fáze	Trvání	Interní hodiny	Externí náklady (Kč)
Risk Assessment	4 týdny	60	0 – in-house
Kontrolní katalog	8 týdnů	120	80 000 (šablony)
Test designu	6 týdnů	100	120 000 (konzultant)
Test funkčnosti	10 týdnů	160	0
Reporting & Follow-up	4 týdny	40	0

Celkem 480 interních hodin (≈0,3 FTE) a externí náklady 200 000 Kč při využití hotových nástrojů a šablon.

Časté chyby českých firem a jak se jim vyhnout

• Audit plán bez vazby na DMA – interní audit testuje méně významné KPI, ale vynechává klíčová klimatická rizika.
• Nepřiměřený sampling – příliš málo vzorků u vysokorizikových dat vede k negativnímu závěru.
• Chybějící ITGC v cloudových nástrojích ESG – povolený admin účet pro všechny.
• Nedokumentované judgementy – manažerské odhady (např. emisní faktory) bez podpisu a důkazů.
• Minimalizace findings – snaha „vyjednat“ přehodnocení závažnosti; externí auditor to odhalí.

Závěr: Interní audit jako předskokan úspěšného ESG reportingu

Interní audit má unikátní příležitost stát se mostem mezi operativou a regulací. Transparentní, dobře naplánovaný kontrolní program posílí důvěru stakeholderů, sníží náklady na externí ověření a pomůže managementu lépe řídit ESG rizika. Začněte mapou rizik, vybudujte kontrolní katalog, testujte design i funkčnost a hlavně vytvořte kulturu kontroly. Pak se z ESG nedostatku stane konkurenční výhoda.

Přečtěte si také

• Základní přehled ESRS standardů: Co od vás bude vyžadovat ESG reporting podle CSRD
• ESRS G1 v praxi: Jak nastavit etiku, boj s korupcí a správu řízení