Siseauditi liigid

Siseauditi funktsiooniks on üldistatult ettevõtte riskijuhtimise ja sisekontrollisüsteemide asjakohasuse, tõhususe analüüs ja sõltumatu hindamine. Tänapäeval hõlmab siseaudit peamiselt riski-, kontrolliprotsesside hindamist ja vastavuskontrolli, mis kõik toetavad äriühingu üldjuhtimist. Viimastel aastakümnetel teadvustatakse üha enam siseauditi olulisust, millest tulenevalt on kasvamas siseauditit rakendavate organisatsioonide arv ja siseauditi ulatus. Ühtlasi toetavad siseauditi funktsiooni tähtsust teadusuuringud, mille järgi aitab siseaudit kaasa äriühingu kvaliteetse üldjuhtimise tagamisele läbi järelevalve funktsiooni, finantspettuste riski maandamise, kontrolliprotsesside ja monitoorimise keskkonna parendamise.^[1]

Organisatsioonide keerukamaks muutumisega viiakse siseauditit läbi erinevate eesmärkide ja põhjustega, millest tulenevalt diferentseeritakse erisuguseid siseauditi liike. Sealhulgas on tüüpilised siseauditi liigid operatiivaudit (operational/management/performance audit), vastavusaudit (compliance audit), finantsaudit (financial audit), järelaudit (follow up audit), juurdlusaudit (investigative audit) ja IT-keskkonna audit.

Operatiivaudit[muuda | muuda lähteteksti]

Operatiivaudit on organisatsiooni süsteemide ja protseduuride struktureeritud ülevaade eesmärgiga hinnata, kas neid teostatakse tõhusalt ja tulemuslikult.^[2] Operatiivauditi läbi viimine eeldab, et organisatsioon on üksikasjalikult määratlenud oma protsesside eesmärgid, ühitanud operatiivsed tegevused seatud eesmärkidega, välja töötanud äriprotsesside kirjeldused ja toetavad administratiivsed ja tehnilised funktsioonid. Erinevalt enamiku finantsauditite tagasiulatuvast perspektiivist, on operatiivauditid suunatud rohkem tulevikku, defineerides tegevuse tugevused ja nõrkused, mida aluseks võtta ettevõtte arenemisvõimaluste kasutamiseks.^[3]

Vastavusaudit[muuda | muuda lähteteksti]

Vastavusaudit hindab organisatsiooni kinnipidamist kehtivatest seadustest ja regulatsioonidest. Eriti oluline on vastavusaudit organisatsioonides, mis tegutsevad rangelt reguleeritud tegevusharudes. Eeskätt tervishoiu- ja finantssektoris, kus tulenevalt arvukatest regulatiivsetest nõuetest võib tekkida raskusi IT- ja sisekontrollide implementeerimisel. Vastavusaudit võimaldab välja selgitada, kas kavandatud turvalisuse kontrolli meetmed on rakendatud ja kasutatud korrektselt. Audiitorid lähtuvad vastavuskontrolli teostamisel standarditest ja direktiividest.^[4]

Traditsioonilise lähenemisviisi puhul valivad ja tutvuvad audiitorid asjakohaste standardite ja parimate kehtivate tavadega, mille alusel koostavad vastavalt organisatsioonile vastavuskirjed, mida testitakse seejärel põhiliselt küsimus-vastus vormis. Antud manuaalse meetodi suurimateks miinusteks on töömahukus ja vähene võimalus korduvkasutuseks. Sestap on lihtsustamiseks kasutusele võetud tarkvarad, mis on traditsiooniliselt üles ehitatud kontrollnimekirja või staatilisele reeglitele vastavuse menetlemisele. Samas, osaliselt automatiseeritud vastavusaudit nõuab samuti audiitorite sisendit.^[4]

Järelaudit[muuda | muuda lähteteksti]

Vajadusel viiakse järelaudit ettevõttes tavapäraselt läbi kõige hiljem kuue kuu möödudes alates sise- ja välisauditi aruande välja andmisest. Neid viiakse läbi eesmärgiga et hinnata, kas auditi tulemusel tehtud tähelepanekute osas on toimunud muudatusi ja on hakatud sisse viima edasisi korrigeerivaid samme. Järelauditi eesmärk on vaadata üle eelmiste auditite tähelepanekud-soovitused ning hinnata juhtkonna tehtud plaanide adekvaatsust, piisavust ja ajastust korrektuuride elluviimise osas.^[5]

Siseauditite tulemused vaadatakse üle vähemalt üks kord aastas juhtkonnapoolse ülevaatuse raames, kuna ettevõtte juhatusel lasub vastutus kindlustada, et ettevõtteülesed protsessid- ja kontrollid (sealhulgas ka tulemuste raporteerimine valitsejatele) toimivad efektiivselt^[6]. Osa kontrollikeskkonnast moodustab ka raporteerimine auditikomiteele.

Oluline on prioriseerida kõrgema riskiga valdkonnad (kuna neis ilmnevad puudujäägid võivad ettevõttele kaasa tuua suurema rahalise ja mainekahju) ning seejärel kontrollikeskkonna täiendamisel neile keskenduda. Siseauditi juht töötab välja kontrollikeskkonna arendamise reeglid ja selle elluviimist toetavad auditiprotseduurid, mis esitatakse valitsejatele. Juhendid sisaldavad infot, millisel eesmärgil ja sagedusega täiendamise ülesandeid läbi viiakse. Mida kõrgem on tuvastatud auditirisk, seda sügavam on järelkontroll puuduste likvideerimise osas.^[6]

Finantsaudit[muuda | muuda lähteteksti]

Finantsaudit on protsess, mille käigus kontrollitakse ettevõtte või organisatsiooni finantsaruannete korrektsust ja terviklikkust^[7]. Finantsaruannete auditeerimisel on üha enam kasvamas siseaudiitorite tähtsus ja koostöö välisaudiitoritega. Ühelt poolt toetuvad välisaudiitorid siseaudiitorite eelnevale asjakohasele tööle ja teisalt võivad siseaudiitorid olla assisteerivas rollis. Auditi planeerimisel hindab välisaudiitor esmajärgus kliendi finantsaruannete olulise väärkajastamise riski. Eelnev hõlmab ühtlasi ülevaadet sisekontrollisüsteemidest, millega on omakorda seotud siseauditi funktsioon. Seega hindab välisaudiitor muu hulgas siseauditi funktsiooni sobivust ja sellele seatava usalduse ulatust.^[8]

Finantsauditi käigus toetuvad välisaudiitorid mitmetele siseauditi protseduuridele, sealhulgas peamiselt sisekontrollisüsteemide testimisele ja substantiivsetele protseduuridele. Rahvusvaheliste auditeerimise standardite (näiteks ISA 610) järgi peavad välisaudiitorid siseauditi hindamisel arvestama siseaudiitorite karakteristikuid (kompetentsus, objektiivsus, töö tulemuslikkus) ja veendumuse laadi (olulisuse tase, omane risk, tõendamise subjektiivsus). Teadusuuringute põhjal on välisaudiitorite tuginemine siseauditist mõjutatud nende hinnangust siseauditi kvaliteedile, omastest riskidest ja siseaudiitorite kättesaadavusest assisteerimisel ja koordineerimisel. Seega saavad kliendid mõjutada siseauditi panust finantsaruannete auditeerimisel, investeerides siseauditi kvaliteedi tõstmisse, hallates siseauditeerimise aega ning hõlbustades sise- ja välisaudiitorite koordineeritust.^[8]

Seega on finantsauditi eesmärk siseauditist kitsam, kuid mõlemad on teineteisest sõltuvad. Finantsauditi eesmärk on anda aruannete tarbijatele kindlus, et esitatud andmed on olulises osas tõepärased. Siseauditi ülesanne on tagada, et protsess lõpptulemuseni oleks tõepärane.^[9]

IT-audit[muuda | muuda lähteteksti]

Praktiliselt kõik toimivad ettevõtete ülesed protsessid on tänapäeval tihedalt seotud IT-süsteemidega. See muudab siseauditi valguses ka IT-keskkonna ja -riskide hindamise oluliseks. Pidevalt arenevas keskkonnas tuleb üha enam auditi riskide hindamise protsesse fokuseerida ka IT-keskkonna riskide kaardistamisele, testimisele ja vajadusel maandamisele.

IT-audit hõlmab automaatsete infosüsteemide protsesside kontrollimist. IT-auditi tulemusena antakse juhtkonnale hinnangud IT-keskkonna olemuse osas ning tehakse ettepanekud selle sisekontrollide ja olemasolevate turvasüsteemide täiendamise ja edasi arendamise osas. Hinnangud seotakse ettevõtteüleste riskihinnangutega ning seeläbi mõjutab IT-auditi tulemus ettevõtte kontrollikeskkonna hinnanguga. IT-auditi eesmärk on anda kindlus, et süsteemid kaitsevad ettevõtte vara ja toimivad parimat võimalikku tulemust silmas pidades.^[5]

Ameerika Ühendriikides on IT-audit kohustuslik vastavalt SEC-i kehtestatud reeglitele New Yorgi börsil noteeritud ettevõtetele, finantsinstitutsioonidele, tervishoiuorganisatsioonidele, riikliku rahastusega ettevõtetele ja mõnele teenuseosutajale^[3]. Lisaks peaks IT-auditi läbi viimist kindlasti kaaluma, kui ettevõtte süsteemides on esinenud tõrkeid süsteemide töös või andmete lekkeid, kui on esinenud süsteemide ründeid, kui puudub täielik ülevaade IT osakonna tööprotsessidest ja selge veendumus selle efektiivsuse kohta ning kui ettevõttel puudub kindlustunne süsteemi vastavuse osas Eesti ja rahvusvahelise tunnustusega standarditele^[10].

IT-auditeid viivad läbi olenevalt töövõtu keerukusest vastava kvalifikatsiooniga siseaudiitorid, välised IT-audiitorid, audiitorbürood ja sertifitseerimisettevõtted ^[3].

Viited[muuda | muuda lähteteksti]

↑ Martinov-Bennie, N., Soh, D. S. B. (2011). The Internal Audit Function: Perceptions of Internal Audit Roles, Effectiveness and Evaluation.
↑ Operational Audit. (2007). Bloomsbury Business Library - Business & Management Dictionary. 2007, p5323-5323, 1p.
↑ ^3,0 ^3,1 ^3,2 Gantz, S. D. (2013). The Basics of IT Audit: Purposes, Processes, and Practical Information. Chapter 1, 5.
↑ ^4,0 ^4,1 Ray, P., Parameswaran, N., Wong, A. K. Y., Yip, F. (2008). Towards Robust and Adaptive Semantic-Based Compliance Auditing.
↑ ^5,0 ^5,1 Shikati, C. (2017). Internal Audit: The types of internal audits. Kättesaadav: https://web.archive.org/web/20210424185816/https://medium.com/@cshikati/internal-audit-the-types-of-internal-audits-5eaf6ca43981.
↑ ^6,0 ^6,1 Chartered Institute of Internal Auditors. (2020). Following Up Recommendations/Management Actions.
↑ Financial Auditing. (2020). Cambridge Dictionary. Kättesaadav: https://dictionary.cambridge.org/dictionary/english/financial-auditing
↑ ^8,0 ^8,1 Stewart, J., Subramaniam, N., Zain, M. M. (2006). Internal Auditors’ Assessment of their Contribution to Financial Statement Audits: The Relation with Audit Committee and Internal Audit Function Characteristics.
↑ Plutus, L. (2017). Millised on siseauditi erinevused välis- ehk finantsauditist? Kättesaadav: https://www.siseaudit.ee/artiklid/millised-siseauditi-erinevused-valis-ehk-finantsauditist
↑ Kartim OÜ. (2019). IT-audit ettevõtetele. Kättesaadav: https://kartim.ee/it-teenused/it-audit/

[1] Martinov-Bennie, N., Soh, D. S. B. (2011). The Internal Audit Function: Perceptions of Internal Audit Roles, Effectiveness and Evaluation.

[2] Operational Audit. (2007). Bloomsbury Business Library - Business & Management Dictionary. 2007, p5323-5323, 1p.

[Gantz-3] 3,0 ^3,1 ^3,2 Gantz, S. D. (2013). The Basics of IT Audit: Purposes, Processes, and Practical Information. Chapter 1, 5.

[Ray-4] 4,0 ^4,1 Ray, P., Parameswaran, N., Wong, A. K. Y., Yip, F. (2008). Towards Robust and Adaptive Semantic-Based Compliance Auditing.

[Shikati-5] 5,0 ^5,1 Shikati, C. (2017). Internal Audit: The types of internal audits. Kättesaadav: https://web.archive.org/web/20210424185816/https://medium.com/@cshikati/internal-audit-the-types-of-internal-audits-5eaf6ca43981.

[Chartered-6] 6,0 ^6,1 Chartered Institute of Internal Auditors. (2020). Following Up Recommendations/Management Actions.

[7] Financial Auditing. (2020). Cambridge Dictionary. Kättesaadav: https://dictionary.cambridge.org/dictionary/english/financial-auditing

[Stewart-8] 8,0 ^8,1 Stewart, J., Subramaniam, N., Zain, M. M. (2006). Internal Auditors’ Assessment of their Contribution to Financial Statement Audits: The Relation with Audit Committee and Internal Audit Function Characteristics.

[9] Plutus, L. (2017). Millised on siseauditi erinevused välis- ehk finantsauditist? Kättesaadav: https://www.siseaudit.ee/artiklid/millised-siseauditi-erinevused-valis-ehk-finantsauditist

[10] Kartim OÜ. (2019). IT-audit ettevõtetele. Kättesaadav: https://kartim.ee/it-teenused/it-audit/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]