Siseaudit – kuidas edasi?

Heikko Mäe, Kristiina Normak ja Merili Tuisk

Lähiaastatel seisab siseauditi funktsioon valiku ees – kas jätkata senise kontrollidele suunatud lähenemisega või muuta suunda ja liikuda koos juhtkonnaga riskikeskse tegevuse poole. Kas me oleme selliseks muutuseks valmis ka Eestis?

PricewaterhouseCoopers (PwC) tegi ülemaailmse uuringu, et selgitada välja trendid, mis järgneva viie aasta jooksul tõenäoliselt siseauditi funktsiooni mõjutavad. Laiaulatusliku ülevaate saamiseks tehti küsitlus ajakirja Fortune edetabeli Fortune 500 esimese 250 ettevõtte siseauditi juhti seas. Lisaks intervjueeriti mitmeid tunnustatud siseauditi juhte ja arvamusliidreid ning võeti arvesse PwC eelnev kliendikogemus. Tulemuste koondamisel selgus, et olulisimaks oodatavaks muudatuseks lähitulevikus on senise kontrollidele suunatud siseauditi tähtsuse vähenemine. Sellest tulenevalt on vajalik hinnata ümber siseauditi funktsiooni pakutav väärtus ning võtta omaks riskikeskne lähenemine.

Muudatused on eelkõige tingitud organisatsioonide suurenenud vajadusest riskide maandamise ja kindlustloovate tegevuste järele, millele on omakorda paljuski aidanud kaasa aina keerulisemad regulatsioonid läbipaistvuse ja finantsnäitajate usaldusväärsuse tagamiseks. Nende rakendamine nõuab lisaks rahalistele investeeringutele ka kogu organisatsiooni ja töötajate pühendumist, mis jätab samas vähem aega igapäevasele äritegevusele keskendumiseks. Seetõttu tunnevad ettevõtete juhtkonnad üha suurenevat vajadust tõhusa kontrollikeskkonna loomise järele, ja seda nii riskide juhtimiseks kui ka nende maandamiseks. Seega ei ole riskide juhtimine kaugeltki enam ainult siseauditi või mõne funktsiooni ülesanne, vaid laieneb kogu organisatsioonile. Julgen väita, et Eestis on valdavalt esindatud äärmused, kus siseauditi funktsioon kas juba keskendub riskijuhtimise tõhususele või siis sellele veel ei mõelda. Esile võib tuua ka puudulikke teadmisi riskide juhtimisest ja seeläbi suutmatust hinnata antud protsessi toimimise tõhusust.

Olukorras, kus teiste üksuste roll kontrolli ja riskide juhtimise osas kasvab, peab siseaudit leidma uusi võimalusi oma tegevuse väärtuse tõstmiseks huvigruppide esindajate jaoks. Uuringu tulemused näitasid, et siseaudit funktsiooni võimalik pakutav väärtus sõltub kahest faktorist:

  1. siseauditi funktsiooni peamisest fookusest, ning
  2. organisatsiooni riskijuhtimise protsesside suhtelisest „küpsusastmest“ - mida küpsem ja arenenum on organisatsiooni riskijuhtimine, seda efektiivsem saab ka siseaudit lisaväärtuse loomisel olla. Nimetatud seost illustreerib järgnev joonis.

Arvestades suurenenud tähelepanu riskide juhtimisele seisab siseaudit valiku ees – kas jätkata kontrollide toimimise ja vastavuse hindajana või keskenduda kindlustunde andmisele tõhusa riskide juhtimise osas. Riskikeskne lähenemine eeldab, et siseaudiitorid võtavad kasutusele kõikehõlmava kontseptuaalse lähenemise auditile, riskide hindamisele ja nende juhtimisele, mis ulatub oluliselt kaugemale kitsalt kontrollidele keskendunud lähenemisest. PwC uuringu tulemused näitavad, et riskikeskse lähenemise valimisel on organisatsiooni vajadustele ja huvigruppide ootustele vastamise tõenäosus oluliselt suurem.

Tulenevalt eelnevast, on pakutud välja järgnevad 10 soovitust, millede täitmine saab lähiaastatel olema siseauditi edu aluseks. Eesti kontekstis ei ole kohane teha järeleandmisi viidates organisatsioonide „suuruste“ vahele, vaid käsitleda neid põhimõtteliste võimalustena siseauditi funktsiooni korraldamisel:

Nr. 1 Saavuta organisatsioonis piisav strateegiline tähtsus – ole tippjuhtkonnale ekspert ja nõustaja!

Nr. 2 Koosta organisatsiooni eesmärkidele ning huvigruppide ootustele vastav siseauditi strateegiline plaan ja uuenda seda regulaarselt.

Nr. 3 Informeeri jooksvalt peamisi huvigruppe (sh. tippjuhtkonda) organisatsiooni ohustavatest riskidest ning kontrollitrendidest nende maandamiseks.

Nr. 4 Kujunda siseauditi järgneva viie aasta personalistrateegia vastavuses organisatsiooni ja huvigruppide vajadustega.

Nr. 5 Paku auditi komiteele ja tippjuhtkonnale kindlust organisatsioonitasandi riskide juhtimise toimivuse osas hinnates iga-aastaselt riskide juhtimist ning uuendades siseauditi plaane vastavalt tulemustele.

Nr. 6 Loo integreeritud lähenemine IT audititele koostades IT auditi strateegia ja iga-aastasel IT riskide hindamisel tuginev auditi plaan.

Nr. 7 Rakenda auditi tehnoloogiaid, et läbi efektiivsuse, tulemuslikkuse ja kvaliteedi tõstmise säilitada siseauditi kõrget taset.

Nr. 8 Jaga siseauditi teadmisi ja ekspertiisi – tööta välja siseauditi teadmiste ja oskuste juhtimise kava, et tagada nende levitamine kogu organisatsioonis.

Nr. 9 Pööra tähelepanu siseauditi kvaliteedi tagamisele ja parendamisele – lisaks Rahvusvaheliste Siseauditistandardite järgimisele on oluline ka regulaarne sisemine ja väline kvaliteedihindamine .

Nr. 10 Seosta siseauditi tulemuslikkuse mõõdikud strateegiliste eesmärkide ja huvigruppide ootustega ning hinda jooksvalt nende täitmist.

Kokkuvõtteks võib öelda, et kui siseauditi tahab ka viie aasta pärast olla oluline ja hinnatud funktsioon, siis tuleb keskenduda riskide juhtimisele, mis on tõhus abivahend nii organisatsiooni eesmärkide saavutamisel kui ka siseauditi funktsiooni väärtuse suurendamisel.

Artikli lühendatud versioon ilmus Eesti Päevalehe Ärilehes 16. aprillil 2008