Auditiuniversum

Auditiuniversum on kõigi võimalike auditeeritavate objektide kogum ehk see kujutab endast võimalikku auditeerimise ulatust organisatsioonis.^[1]

Kogu auditiuniversumi organiseerimise protsess algab sellest, et organisatsiooni juhtkond paneb paika omapoolsed riskihinnangud ja lähenemisviisi riskijuhtimisele. Selle vaatab üle siseauditi juht (ingl k. Chief Audit Executive) ning selline ülevaade organisatsioonist aitab tal otsustada, kuidas auditiuniversumit korraldada või ajakohastada.^[2] Et auditiuniversum oleks arusaadavam on soovitatav jagada organisatsioon komponentideks, näiteks struktuuriüksuste, protsesside, tootmisliinide, programmide või muu sellise alusel. Olenevalt ettevõtte suurusest ja keerukusest võib antud komponentide suurus varieeruda. Vastavalt riskitasemele selgitatakse seejärel välja iga komponendi auditeerimisvajadus ning selle sagedus. Sageduse määrab ära siseauditi juht ja see võib olla näiteks iga-aastane, kord kolme või üleüldse kord viie aasta jooksul – vastavalt sellele, kas antud komponendi risk on suur või väike. Riskide hindamise tulemusena koostatakse tööplaan ning siseauditi eesmärk on antud tööplaani alusel auditiuniversumis välja toodud komponente auditeerida. Organisatsioon on aga pidevas muutumises ja arenemises, ning selle tõttu muutuvad ka juhtkonna hinnangud. Tulenevalt sellest on soovitatav auditiuniversumit ning tööplaani uuendada vähemalt kord aastas. Olenevalt aga ettevõtte tegevusvaldkonnast, sealsetest süsteemidest või protsessidest võib osutuda vajalikuks selle uuendamine lühema perioodi tagant. Kõik muudatused, mis auditiuniversumis tehakse, tuleb dokumenteerida ja säilitada.^[1] Kõigest eelnevast tulenevalt saab aga öelda, et ühegi ettevõtte auditiuniversum ei ole samasugune. On öeldud, et siseauditiuniversum on kunst, mitte teadus – selle struktuur peab olema kohandatud just vastavalt teie ettevõtte suurusele ja keerukusele.^[3]

Kas auditiuniversum on kohustuslik?[muuda | muuda lähteteksti]

Lühike vastus sellele küsimusele on “ei”. Siseaudiitorite Instituut (ing k. Institute of Internal Auditoris – IIA) on kinnitanud, et rahvusvaheliste standardite järgi ei ole vajalik koostada auditiuniversumit ühe siseauditi tegevusena.^[3] Siseauditi juht saab valida, kas auditiuniversum koostada ja/või säilitada, mis põhineks sellistel teguritel nagu organisatsiooni geograafiline ulatus; turusektori volatiilsus; tegevused; riskid; auditikomitee, juhatuse ja teiste kõrgemate huvirühmade kindlustandvad nõuded.^[2]

Rahvusvaheliste standardis tegevusstandard "2010 – Planeerimine" ütleb, et siseauditi juht peab koostama riskidel põhineva plaani, määramaks siseauditi üksuse prioriteedid, mis on järjepidevad organisatsiooni eesmärkidega. Selle tõlgenduses on välja toodud, et siseauditi juht on vastutav riskipõhise plaani koostamise eest ning siseauditi juht peab arvesse võtma organisatsiooni riskijuhtimise raampõhimõtteid, arvestades juhtkonna poolt organisatsiooni eri osadele või tegevustele seatud riskivalmiduse piire. Standardis olev kindlustandev töö 2010.A1 toob välja, et siseauditi üksuse tööplaan peab põhinema riskide dokumenteeritud hindamisel, mida tuleb läbi viia vähemalt kord aastas ning selles protsessis tuleb arvestada tippjuhtkonna ja kõrgema juhtorgani ettepanekutega.^[4] Eelnevalt mainitud dokumenteeritud hindamine ei pea tulenema auditiuniversumist, vaid see võib põhineda ka ettevõtte kui terviku riskide tuvastamise ja hindamise protsessil. Seega võib järeldada, et auditiuniversumi koostamine pole kohustuslik, vaid on siseauditi juhi enda otsus.

Auditiuniversumist saadav kasu[muuda | muuda lähteteksti]

Siseauditi kui funktsiooni väärtus on tänapäeval muutumas tugeva ettevõtte- ja riskijuhtimise, tõhusa sisekontrolli ja efektiivse tegevuse jaoks igas organisatsioonis üha olulisemaks. Auditiuniversumi üheks eeliseks on, et see lubab auditeerimisel olla läbipaistev peamiste riskide ja muude riskivaldkondade suhtes igal aastal. Samuti annab see teavet valdkondade kohta mida organisatsioonis ei auditeerita.^[2] Auditiuniversum annab infot iga osakonna kohta ettevõttes ning see ei anna teadmisi mitte ainult riskide kohta, vaid see annab ka ülevaate ettevõtte strateegiatest. Siseaudiitoril tekib tänu auditiuniversumile parem arusaam iga osakonna rolli ja olulisuse kohta.^[3] Auditiuniversum on ka kasulik abivahend edastamaks infot auditeeritavate valdkondade kohta. See on väärtuslik abivahend siseaudiitori juhile, aidates tal kujundada üleüldist arvamust auditi kohta, kuna see katab kõiki ettevõttes olulisi valdkondi. Kuigi auditiuniversum ei ole standarditest tulenevalt kohustuslik, on see vajalik aruanne kindlustunde tekitamiseks, kuna see katab kõiki tegevusi organisatsioonis ning see on ka vajalik komponent koordineerimisel.^[2] Standardi 2050 "Koordineerimine ja tuginemine“ eesmärgiks on aidata siseauditi praktikutel tuvastada puudujääke ja dubleerimist kindlustandvates tegevustes, liigitada riske kategooriatesse ja tuvastada võimalikke riske puudutavaid teabeallikaid.^[5] Auditiuniversum ja auditi plaan on heaks lähtepunktiks arutamaks riskijuhtimise osakonnaga, millised riskid on ettevõttes olulisemad ja millistele ei pea kohe tähelepanu pöörama. Seega on auditiuniversum kasulik abivahend kõikidele, sest sealt saab kätte kogu info ettevõtte kohta. Kõigest eelnevast tulenevalt ei tohiks aga siseaudit võtta endale eesmärgiks, et ainuõige ja kasulik on üles loetleda kõik auditeeritavad valdkonnad ja koostada auditiuniversum. Kasulikum oleks regulaarne kontroll selle üle, kas ettevõttel oleks vaja see välja töötada ning kui on, siis mis oleks selle eesmärk ja millist väärtust see planeerimise ja tulemuslikkuse osas annab.^[2]

Auditiuniversumi struktuur ja osad[muuda | muuda lähteteksti]

Auditiuniversumi struktuur ettevõttes väljendab seda, kuidas organisatsioon on üles ehitatud ning juhitud. Auditiuniversum peaks olema lihtsasti mõistetav ja jälgitav^[2]. Auditeerimisel tuleb auditeerijal ehk enamasti ettevõtte sisekontrollil kindlaks teha, mida ja kui palju täpselt auditeerida. Liiga paljude üksuste auditeerimisel kulutab siseaudit liiga palju aega iga auditeeritava üksuse taustteabe ja riskihinnangute täiendamisel ning asjakohastamisel. Teisest küljest kui valida liiga vähe auditeeritavaid üksusi, kaotatakse vajalik detailsus ning seetõttu ei pruugi riskihinnangud sisekontrollile anda tõest pilti.^[3]

Auditeerimise eristamiseks saab rakendada kriteeriume. Need võivad olla liigitatud äriüksuste hierarhia, ettevõtte ülesehituse, äriprotsessi mudeli, juhtimisraamistiku, teenuste kataloogi või mis tahes muu funktsionaalse jaotuse järgi, mis peegeldab kõige paremini seda, kuidas organisatsioon suhtub oma varadesse või toimingutesse.^[6]

Ühe näitena saab auditi kriteeriumitena kasutada auditeerimise eesmärke, sagedust ning tüüpi. Eesmärkide alla saab liigitada äriauditi, mis keskendub äri protsessidele ja kontrollidele, IT-auditi, mis vaatleb IT komponente ning kontrolle ja lisaks ka integreeritud auditi, mille puhul keskendutakse nii ärilisele kui ka IT osale.^[2]

Sageduse järgi saab auditid liigitada näiteks vajaduspõhiseks, iga-aastaseks, korduvaks ja järelkontrolli auditiks. Vajaduspõhist auditit tehakse siis, kui juhtkond selleks vajadust näeb, iga-aastane audit tehakse suure riskiga valdkondades, mille puhul on vajalik tagada iga-aastane kindlus. Korduvad auditid viiakse läbi valdkondades, mis on piisava olulisusega, et neid iga mõne aasta tagant kontrollida ning järelkontrolli auditit rakendatakse enamasti valdkondades, mis on kõrge riskiga ning eesmärgiga kontrollida, kas riski maandamiseks on varem antud soovitused rakendatud.^[2]

Kolmandaks kriteeriumiks on auditi tüüp. Täieliku auditi korral hinnatakse põhikontrollide kavandamise ja toimimise tõhusust. Lisaks kuulub selle kriteeriumi alla projekteerimise või toimimise tõhususe audit, mille käigus keskendutakse kontrolli projekteerimise efektiivsusele ja/või kontrolli efektiivsusele. Kolmandana tüübina võib välja tuua osalise auditi. Sellisel juhul hinnatakse spetsiifilisi põhikontrolle, mis on kindla ulatusega ning nõutud juhtkonna poolt.^[2]

Olenemata sellest, kuidas organisatsioon kirjeldab kriteeriume, mida auditiuniversumis kasutada, on peaaegu alati olemas teatavad üldised kontrollid, mida üksuste tasandil kontrollitakse. Auditid, mis keskenduvad üksuste tasandil kontrollidele, nõuavad sageli mitme lähenemisviisi kasutamist, kuna need hõlmavad tavaliselt palju sisekontrolli liike.^[6]

Viited[muuda | muuda lähteteksti]

↑ ^1,0 ^1,1 Rahandusministeerium. "Sisekontrollisüsteemi hindamine". 2011.
↑ ^2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 ^2,7 ^2,8 Chartered Institute of Internal Auditors. "Audit universe". 2019
↑ ^3,0 ^3,1 ^3,2 ^3,3 Steve Bruce CA (17. aprill 2018). "Internal Audit: Understanding the audit universe and the journey to risk maturity". Vaadatud 30. novembril 2019.
↑ Eesti Siseaudiitorite Ühing (31. detsember 2016). "IIA Standardid" (PDF). Originaali (PDF) arhiivikoopia seisuga 26. oktoober 2020. Vaadatud 8. detsembril 2019.
↑ "IIA andis välja standardi 2050 uue juhendi". 23. veebruar 2018. Originaali arhiivikoopia seisuga 4. detsember 2019. Vaadatud 30. novembril 2019.
↑ ^6,0 ^6,1 Stephen D. Gantz (2014). The Basics of IT Audit: Purposes, Processes, and Practical Information. Waltham, USA: Elsevier Inc. Lk 107.

[:0-1] 1,0 ^1,1 Rahandusministeerium. "Sisekontrollisüsteemi hindamine". 2011.

[:1-2] 2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 ^2,7 ^2,8 Chartered Institute of Internal Auditors. "Audit universe". 2019

[:2-3] 3,0 ^3,1 ^3,2 ^3,3 Steve Bruce CA (17. aprill 2018). "Internal Audit: Understanding the audit universe and the journey to risk maturity". Vaadatud 30. novembril 2019.

[4] Eesti Siseaudiitorite Ühing (31. detsember 2016). "IIA Standardid" (PDF). Originaali (PDF) arhiivikoopia seisuga 26. oktoober 2020. Vaadatud 8. detsembril 2019.

[5] "IIA andis välja standardi 2050 uue juhendi". 23. veebruar 2018. Originaali arhiivikoopia seisuga 4. detsember 2019. Vaadatud 30. novembril 2019.

[:3-6] 6,0 ^6,1 Stephen D. Gantz (2014). The Basics of IT Audit: Purposes, Processes, and Practical Information. Waltham, USA: Elsevier Inc. Lk 107.

[1]

[2]

[3]

[4]

[5]

[6]