Merike Rabi: Praktikas öeldakse sageli siseaudiitori kohta sisekontroll, kuid sisekontroll on protsess. Siseaudit on funktsioon, mida täidavad teatud inimesed, kes annavad hinnangu protsessile.
Merike Rabi: Siseaudiitoril on erinevaid rolle. Tihti loovad need, kellel on kohustus luua siseaudiitori funktsioon (näiteks avalikus sektoris), selle käsukorras ja nad ei oskagi midagi oodata. Kui käia välja 7?8 võimalikku siseaudiitori rolli, öeldakse, et 3?4 neist vajatakse, aga ülejäänud on meie jaoks ebaoluline. Oluline on, et huvigrupid, kelle jaoks siseaudiitor töötab, määratleksid ka tema rollid.
Kaks peamist siseaudiitori rolli on olla konsultant ja olla kindluseandja. Viimane tähendab, et ta peab andma objektiivset infot ja olema sõltumatu. Siseaudiitori vabastab töölt nõukogu, mitte juhatus ? seda just selleks, et kindlustada sõltumatus.
Vivika Tael: Põhiline on hinnata auditeeritava valdkonna sisekontrolli süsteeme ehk protsessi. Näiteks pangas eksisteerivad erinevad protsessid, mis on reeglina määratletud ja neis protsessides on olemas pidevad kontrollimehhanismid näiteks rahade liigutamisel, autoriseerimisel, etteantud limiitidest kinnipidamisel.
Teine pool sellest kontrollist on tagantjärele analüüsimine, kas protsessid toimivad nii, nagu ette nähtud. Kui ei toimi, tuleb see välja tuua ja leida ka põhjus, miks ei toimi. Siseaudiitor peab andma konkreetse lahenduse, mida juhtkond saaks süsteemi muutmiseks ja parandamiseks teha.
Audit on seda edukam, mida konkreetsemaid soovitusi ta suudab anda ? audiitor peab valdkonda ja protsessi hästi tundma. Hinnang võib tulla ka selline, et kõik on positiivne, aga kui hinnang on negatiivne, siis sisaldab see põhjendust ja soovitust juhtkonnale, mida teha, et asi jälle toimima hakkaks.
Marge Vahemäe: Siseaudiitori funktsioon on juhtkonna ellu kutsutud ja see eeldab nendega koostööd. Audiitor ei saagi oma tööd teha, kui tal pole tippjuhiga head kontakti.
Merike Rabi: Juhtkonnal peab selleks soov olema. Kui juhtkond ise enam ei oma kontrolli ja ülevaadet ettevõttes toimuvate protsesside üle, siis tuleb võtta siseaudiitor. Kui aga juhtkond käib ise oma sisekontrollisüsteemist üle ? näiteks jalutab objektil, küsib inimeste käest, kuidas läheb, vaatab aruandeid ja loodud on protseduurireeglid, siis ta ei vaja audiitorit.
Oluline tähelepanek väikeettevõtete puhul on see, et arvatakse: kuna oleme väiksed, siis võime ignoreerida sisekontrolli häid tavasid.
Hea näide on funktsioonide lahususe nõue, mida sageli rikutakse ? näiteks inimene, kes pääseb juurde varadele, ei peaks juurde pääsema raamatupidamissüsteemidele. Tüüpiline on, et raamatupidaja maksab ka palka.
Põhjendus, miks seda kuldreeglit rikutakse, on tihti selline: meil on nii head ja ausad inimesed. See on küll väga tore, aga alati oleks hea omada ennetavat kontrolli.
Kõiki halbu juhtumeid avalikkus ei tea, aga situatsioone, kus töötaja läheb rahadega Bahamale, juhtub rohkem, kui me teame. Isegi headel inimestel võib elus tulla ette keerulisi situatsioone.
Kui küsida pärast sellist juhtumit juhi käest, kas ta oleks arvanud, et tema firmas võib nii juhtuda, siis öeldakse alati, et mingil juhul ei oleks seda oodanud.
Seega ? ükskõik kui suur või väike firma on, peaks olema sisekontrollisüsteem, et ennetada riske, ükskõik kui vähetõenäolised need riskid on.
Vahel on juhtkond hoolimatu riskide maandamise osas, aga vahel ei tehta seda ka lihtsalt teadmatusest.
Vivika Tael: Kohe kui tekivad esimesed probleemid ja rahas mõõdetavad kahjud, hakatakse otsima vahendeid, kuidas kontrollisüsteeme rakendada.
Jaan Koppel: Ettevõtte kiire areng toob kaasa ka rohkem riske ning siis on vaja kindlasti sisekontrolli süsteem paika panna.
Ene Andre: Tuleb ette. Mina soovitan alustuseks kirjalikult mängureeglites kokku leppida, sest suulised reeglid kipuvad meelest minema. Piisab ka neljast-viiest punktist. Juhile on see ka hea, sest ta teab, milles on kokku lepitud.
Merike Rabi: Süsteem on alati olemas, riskide maandamiseks on juhtkond ju alati kas teadlikult või mitteteadlikult mingeid meetmeid rakendanud.
Väikeettevõtted võiksid läbi mõelda kõige halvemad stsenaariumid, mis võivad erinevates protsessides juhtuda, ja mõelda, kas meil on olemas mingid riskijuhtimise võtted ? läbi lepingute, kindlustuse, protseduuride. Tasub küsida, kas me oleme valmis riske ennetama?
Kui vastused on paberile pandud, võib juht nende toimimist pisteliselt kontrollida.
Marge Vahemäe: Osal juhtudel tuleneb vajadus ka seadusest, kuid enamasti oleneb ettevõtte juhtkonnast, kui vajalikuks ta siseaudiitori ametikohta oma struktuuris peab. Vahel võidakse ka leida, et siseauditit pole regulaarselt vaja teostada, vaid piisab 3?4 korrast aastas.
Juhtkond võiks võrrelda ka seda, kui suured oleks palgatöötaja puhul kulud võrreldes teenuse väljast ostmise kuludega.
Merike Rabi: Iga auditi puhul on võtmetegur selles, et audiitor peab aru saama auditeeritavast valdkonnast. Näiteks väga levinud on IT-auditi sisseostmine.
Samas on valdkondi, millest arusaajaid audititeenust müüvates firmades ei pruugi olla. Siis on variant võtta inimene siiski oma ettevõttesse palgale ning ta välja õpetada, kuid sel juhul võib tekkida teine probleem ? inimesel pole kogu aeg tööd. Audiitori töömaht tuleneb aga riskide hindamisest.
Jaan Koppel: Kui väiksemas firmas ei kannata rahaliselt välja siseaudiitori palgale võtmine, siis võiks juhid käia riskide maandamise kursusel. Nii saavad nad üldisegi pildi, mida ja kuidas kontrollida.
Ene Andre: Püsivus, sihikindlus, valdkonna tundmine, analüüsioskus, oskus andmeid koguda ja neist aru saada.
Tuleb osata inimesi kuulata ja nad rääkima panna. Väga oluline on ka ideemüügi oskus.
Jaan Koppel: Inimeste käest ja dokumentidest tuleb vajalik teave kätte saada, see analüüsida ja oluline info tagasi anda. Ega vabu siseaudiitoreid turul palju pole ? R Kioskis oli see ametikoht pikalt vaba.
Merike Rabi: Eestis on 13 litsentseeritud siseaudiitorit ? võrreldes Venemaaga, kus on neid 10. Kogu see eriala on Eestis hakanud arenema viimase viie aasta jooksul.
Minu jaoks on olemas professionaalne audit ja ülejalaaudit, kus auditi nime all joostakse lihtsalt mingid protseduurid läbi. Kui hakata vaatama, mis on olnud selle auditi eesmärk või ulatus, siis see polegi selgelt defineeritud. Kas on tehtud finantsaudit, tulemusaudit, vastavusaudit, on ka üsna segane.
Ma toon alati paralleeli arsti professiooniga: kõigepealt õpib ta ülikoolis, praktiseerib teise arsti käe all ja siis saab temast doktor, kes oma töös enam protseduurireegleid ei vaja. Kui ta läheb südamerabanduses patsiendi juurde, teab ta täpselt, mida peab tegema, mitte ei võta käsiraamatut välja. Audit on samasugune ? vaja on professionaalset otsustamist, standardprogrammid siin ei tööta. Tuleb endale aru anda, et kui julgen midagi väita, siis tasub ka küsida, mille alusel ma seda väidan. Auditirisk, et audiitor teeb valesid järeldusi, eksisteerib muidugi alati.
Oluline on, et huvigrupp ? ettevõtte juhtkond ? on auditiga rahul ja tema jaoks on sellele väärtus.
Jaan Koppel: Juhi jaoks auditi kättesaamisel alles töö algab.
Ene Andre: Mina olen oma praktikas proovinud nii teha, et soovitused, mida ma auditis annan, oleksid selleks hetkeks, kui audit jõuab juhi lauale, juba ellu rakendatud või juurutamisel.
Merike Rabi: Siseaudiitorid võiksidki end rohkem panna juhi olukorda: kui auditis on näiteks 10 soovitust antud, siis võiks panna need diagrammile, mille ühel teljel on rakendamise raskus ja teisel rahaline mõju. Kui juht selle diagrammi saab, on tal kohe selge, et selle soovitusega kaasneb risk 10 miljonit krooni või 100 krooni ja kui keeruline on soovitust ellu viia.
On ideaalne, kui juht saab auditiga kaasa tegevusplaani koos soovitustega asjade lahendamiseks.
Ene Andre: Ettevõttes taheti inkassatsiooni arvelt, mille puhul volitatud firma viib raha panka, kulusid kokku hoida ja otsustati ise raha panka viia. Raamatupidaja võttiski kilekoti ja hakkas panga poole minema, kui talle tuli sõbranna vastu. Naised läksid kohvikusse lobisema ning raha viimine läks meelest.
Järgmisel päeval oli raamatupidaja üllatunud, et huvitav, eile oli inkassatsioonipäev, aga raha ei ole. Siis tuli talle meelde, et raha on tal hoopis kodus, kuhu ta pärast kohvikus istumist läks.
Merike Rabi: Mul on üks kogemus, mil juhtkond küsis minult kui siseaudiitorilt, et kas ma raporteerin tulemustest ka nõukogule. Minu jaatava vastuse peale öeldi, et siis me ei räägi teile midagi.
Teine näide ei pärine Eestist ning see käib kontrollikeskkonna kohta. Üksuse juht, kes ootas Euroopa Liidust saabuvaid rahasid, oli sama asutuse aadressil loonud endale firma, mille kaudu ta lootis hakata kliente konsulteerima, kuidas Euroopa Liidust raha kätte saada. Lisaks sellele oli ta loonud pettusevastase osakonna, mida juhtis tema kauaaegne tuttav, kel oli parajasti kohtus käsil kaks kohtuprotsessi, millest üks puudutas riigivilja vargust.
Valvekaamerate pildi jälgimine oli aga lahendatud nii, et tegevjuhi üsna eakas sõber, ametilt siseauditi juht, istus päevad läbi arvuti ees ja jälgis DOSi pilti, mis tal parasjagu ees oli ? seda seepärast, et ta lihtsalt rohkem ei tundnud arvutit. See oligi kontrollikeskkond.
Sisekontrollisüsteem saab olla tõhus vaid siis, kui kontrollikeskkond on tugev. Kui aga kontrollikeskkonnas on võim juhi sõprade käes, siis sel juhul ei saa tõhususest juttu olla.
Jaan Koppel: Minule on töö kurvemad hetked need, kus firmas on läbi viidud varade kontroll ja ma istun üle laua inimesega, kes on firmalt varastanud ning pean kuulama tema rasket elulugu.
Seotud lood
Telia Digikoristuspäev toimub juba 31. jaanuaril. Meenutame, kuidas viidi sel aastal digikoristust läbi Eesti Kaitseväes, kus IT-süsteemidest ja seadmetest kustutati kokku kümnete terabaitide ulatuses digikeltsa.