5. IT Audit - tud.ttu.ee

5. IT Audit

Miks auditist?Audit on IT juhtimises oluliseks instrumendiks:– Mittevastavuste õigeaegne avastamine võimaldabkorrigeerivate ja preventiivsete toimingute abilleevendada IT riske– IT toimimise parendamine–…2

Auditeerimisprotsess

Eriti lühike auditikoodeks• Auditeerimine pole mõnus –eriti auditeeritavale• Mõlemad osapooled, nii auditeerija kui kaauditeeritav peavad teadma mitte ainultseda,mida teha, vaid ka seda,mida mitte teha4

“Hirm auditi ees”• Auditeeritav:Ära lase ennast tabada“püksid rebadel”• Auditeeritaval on auditistkasu –KUI AUDIT ON TEHTUDKORREKTSELT5

Loengu eesmärgid• Mida nõutakse korrektselt audiitorilt• Juhised infosüsteemide auditeerimiseks• Auditeerimise tehnikad• Kuidas audiitorile vastata6

Auditeerimise tehnikad• Plaanimine• Kontroll-listid• Auditi tähelepanekud• Auditi raportid7

Auditi eesmärkAuditi eesmärgiks onobjektiivsete andmete kogumine selleks, etanda põhjendatud hinnangauditeeritavate süsteemide seisundile8

Auditi tüübid• Siseaudit• Välisaudit– Teine osapool:• Klient auditeerib teenuse pakkujat– Kolmas osapool:• Audiitoriks on sõltumatu organisatsioon9

• VastavusauditAuditi alamtüübid– vastavus standarditele reeglitele, kordadele jne• Süsteemiaudit• Protsessiaudit• Tooteaudit10

Typical Audit SystemDefine Audit:Purpose,Scope,ObjectivesGather dataand/or otherevidenceEvaluateevidenceanddecideFindingsnegative?YesPrepare reportReview andsubmit w orkingpaperSufficient?YesNoNoAudit findingreportReview andsubmit reportfindingReportLast auditobject?YesAuditorFunctionNoManagementRepresentativeFunction11

Definitsioonid: “kes”• audiitor – isik, kellel on vajalikkvalifikatsioon ja kes viib läbi auditi• klient – auditit telliv isik võiorganisatsioon; siseauditi puhul – ettevõttejuhtkond• auditeeritav – organisatsioon, süsteem,toode või isik, mida/keda auditeeritakse12

Definitsioonid: “mis”• Tähelepanek – väide auditeerimisel leitudmittevastavuste kohta• Tõendus – informatsioon auditeeritavaobjekti kohta, mida on võimalik tõestada• Mittevastavus – auditeeritava objektierinevus nõuetest13

Auditi faasid• Auditi plaanimine ja ettevalmistamine• Auditi läbiviimine• Auditi tulemuste aruanne (raport)• Korrigeerivate toimingute määratlemine14

Standard Four PhasesSuccesful InternalAuditingPreparation Performance Reporting Follow -upSelect teamOpening MeetingRecordingNonconformancesVerification ofCorrective &Preventive ActionsAudit ManualEvalustionInterview ingResultsEvaluationRe-AuditAuditScheduleFormulationExaminingReportsDistributionDiscussionClosing15

Auditi kava• Sissejuhatav kohtumine• Info kogumine• Mittevastavuste registreerimine• Mittevastavuste hindamine• Nõuetele vastavuse määratlemine• Tähelepanekute fikseerimine• Kokkuvõttev/lõpetav kohtumine16

Tõendus• Pole mõjutatud emotsioonidest ja/võieelarvamustest• Põhineb vaatlusel• On verbaalne või dokumenteeritud• On verifitseeritav17

Auditi vajadus• Preventiivne toiming, leidaprobleemid varakult• Juhtkonnale vajalikkontrollimehhanism• Tagada süsteemide töö nõuetevastavalt• Organisatsiooni parendamisemehhanism18

Audit peab olema• avatud• aus• konstruktiivneAuditeeritavale on audit alati kasulik19

Audiitorid pole• Ebaausad• Üliaktiivsed• Urgitsejad• Inkvisiitorid• Politsei• Karistus meie pattude eest20

Auditi programm• Tagab, et süsteemid rahuldavaddokumenteeritud nõudeid• Tagab, et dokumenteeritud nõuded onpraktilised, arusaadavad ja et neidjärgitakse äriprotsessis• Tagab auditi tulemuste fikseerimise –mittevastavused, korrektiivsed japreventiivsed meetmed21

Vastavusaudit(Complience Audit)

Vastavusauditid• Vastavusaudit kontrollib ettevõttesüsteemide vastavust auditi aluseksolevale standardile• Üldiselt on kõik auditid suuremal võivähemal määral vastavusauditid– Näiteks, ka tooteauditi puhul määratletaksevastavust spetsifikatsioonile, joonisele jmt23

Süsteemiaudit(Systems Audit)

Süsteemiaudit• Süsteemiaudit käsitleb ettevõtetsüsteemsel tasemel– näiteks, ettevõtte süsteemide interaktsioon• Tüüpilised süsteemiauditid:– Dokumentide kontroll– Testimisvahendid– Seirevahendid (monitooring)– Ründetõrjevahendid25

Protsessiaudit(Process Audit)

Protsessiaudit• Protsessiaudit valideerib ettevõtte protsesse• Protsessid on (enamasti) süsteemi osad – seegaprotsessiaudit on süsteemiauditi osa• Protsessiaudit on sageli süsteemiauditi osa, kuidsiseaudit võib auditeerida ka mõningaidprotsesse eraldi• Oluline on valideerida protsessideinteraktsioonide tõhusust27

Tooteaudit(Product Audit)

Tooteaudit• Tooteaudit määratleb, kas (lõpp)toode võiteenus vastab tema kasutuseesmärkidele,st. kas toode/teenus vastab nõuetele• Tooteauditi võib teha:– klient– harva ka siseaudit29

Mida auditeeritakse?

ISO/QS-9000Quality Management System• Dokumenteeri, mis teed• Tee vastavalt dokumentatsioonile• Registreeri, mis teed (jälg)• Say what you do and do what you say32

Protseduurid ja süsteemid33

Protseduurid ja süsteemid34

Dokumentatsiooni roll:• Süsteemi dokumentatsioon– vs. NÕUDED• Mis sisaldub standardites jt dokumentides– vs. OBJEKTIIVSED LEIUD• Mis tegelikult toimub35

Detailid

Keerulised ärisuhted• Ettevõte eieksisteerivaakumis.Seosed on niiettevõttesees kui kavälistepartneritega37

Olulised ja kriitilised protsessid• Olulised protsessid– protsessid, mis tagavad organisatsiooni olulistefunktsioonide täitmise– on otseselt seotud kliendihuvide ja nõuetetagamisega• Kriitilised protsessid– oluliste protsesside alamhulk– protsessid, mis tagavad organisatsiooni elulistefunktsioonide täitmise,st. nende protsesside katkemine pärsiborganisatsiooni jätkusuutlikkuse38

Vastutused

Kliendid vastutavad• Määratlevad auditi eesmärgid javajadused ning algatavadauditeerimisprotsessi• Määratlevad auditeeriva organisatsiooni• Määratlevad auditi üldskoobi• Saavad auditi raporti• Määratlevad korrigeerivad toimingud(vajaduse korral)40

Audiitorid vastutavad• Vastavus auditi nõuetega• Auditi plaan• Leidude dokumenteerimine• Auditi tulemuste raport (aruanne)• Korrigeerivate tomingute tõhususeverifitseerimine41

Auditeeritavad vastutavad• Töötajate informeerimine auditi eesmärkidest ja skoobist• Vastutavate isikute määramine audiitoritega kohtumiseks• Ressursside eraldamine audiitoritele nende töötoimivuse ja tõhususe tagamiseks• Tagada audiitorite ligipääs kõigile vajalikele materjalideleja isikutele• Koostöö audiitoritega auditi eesmärkide saavutamiseks• Korrigeerivate toimingute määratlemine ja algatamine42

Audiitori omadused• Haridus• Kogemus• Koolitus• Pädevus• Suhtlemisoskus• Üldinformatsioon osakonnast• Standardite hea tundmine43

Auditi plaanimine• Eesmärk• Skoop• Standardid ja juhendid• Meeskond ja juht• Auditi kestus• Kontakt-osakonnad/isikud• Määrata kuupäev jakellaaeg• Kontroll-list• Konfidentsiaalsusnõuded44

Auditi sagedus• Auditeerimise sageduse määrab klient (va. nt.Finantsinspektsiooni audit)• Auditi sageduse määramisel arvestatakse:– Eelmiste auditite tulemusi– Toimingu olulisust ja seisundit– Määratletud nõudeid– Olulisi muudatusi juhtimises, organisatsioonis,poliitikates, tehnoloogiates– Muudatusi süsteemis endas• Siseaudit võib toimuda regulaarselt vastavaltjuhtkonna otsusele45

Kontroll-listid

Kontroll-listid• Aitavad auditit planeerida• Tagavad põhjalikkuse ja järjekindluse• Määratlevad olulised kontroll-punktid• Tüürivad auditit47

Kontroll-listid – sisu• Organisatsioon• Vastutused/õigused• Kvalifikatsioon/koolitus• Mittevastavuse kontroll• Leiud48

Info kontroll-listideks• Standardid• Juhtkonna prioriteedid• Sise- ja välisauditite aruanded• Toote/protsessi info• Piirangud49

Dokumentide ülevaatus• Tööprotseduuride vastavus standarditele• Eelnevate audite korrigeerivad toimingud• Kontroll-listide vormid• Mõned küsimused:– Missugused on osakonna funktsioonid?– Missugused nendest funktsioonidest onolulised?50

Auditi eelne teavitus• Teavita aegsasti auditi toimumise ajast,kestusest, skoobist• Veendu, et vajalikud töötajad on teavitatud51

Auditi läbiviimine52

Auditi plaan pole kivist• Pole olnud audit, mis oleks toimunudtäpselt plaani järgi53

Esimene (ava-) kohtumine• Tutvusta auditi tiimiosakonna töötajatele• Kirjelda (veelkord)auditi toimumiseaega, kestust jaskoopi• Lepi kokku ametliksuhtlemisviis• Esita dokumentideülevaatuse leiud54

Oluline (primaarne) mittevastavus(Major nonconformance)• Süsteemi täielik (totaalne) mittevastavusstandardile• Ühe nõude puhul on (liiga) suur arvmitteolulisi mittevastavusi, miskummulatiivselt viivad süsteemi krahhile55

Sekundaarne (väheoluline) mittevastavus(Minor nonconformance)• Mittevastavus, mis ei tingi süsteemi krahhi56

• = audiitori arvamusTähelepanek(Observation)– Traditsiooniline interpretatsioon: korrigeerivtoiming pole vajalik– KUID!!! Mõnedel audiitoritel onTÄHELEPANEK intepreteeritud erinevalt• Näiteks: audiitor teebki ainult tähelepanekuid(olulisi, mitteolulisi, teisejärgulisi jne)57

Auditi kulg• Selgita, millega tahad tutvuda, mida näha• Ära eelda, et “PAHA” on olemas• Ära ole pettunud järelduse“Probleeme pole” puhul• Kasuta oma kontroll-listi juhendi-plaanina• Tee märkmeid (ära usalda oma mälu):– Antud auditi tarvis– Järgnevate audite tarvis– Teiste audiitorite tarvis• Iga tähelepaneku jaoks:– Ignoreeri (aruandes)– Fikseeri (arundes)– Märgista järelkontrolli vajavaks (later followup)– Pöördu osakonna juhataja/teistespetsialistide poole selgituse saamiseks58

Head tavad auditeerimisel• Teavita eelnevalt – pole vaja üllatusi• Selgita probleemi olulisust• Avalikusta kohe tulemused – midagi pole vaja varjata• Ära unusta, et audit põhjustab stressi!• Esita küsimused “õigele” inimesele(“õiged” on need, kes teevad)• Räägi lihtsalt ja selgelt, ära “räägi surnuks”• Hoidu emotsionaalsusest• Ära katkesta auditeeritavat, ära räägi vahele• Ära otsi puudusi59

Halvad tavad auditeerimisel• Esitada liiga palju küsimusi• Esitada suunavaid küsimusi• Öelda, et saad aru, kui ei saanud• Vastata ise oma küsimustele• Provotseerida vaidlust• Olla erapoolik• Kritiseerida isikuid60

Tõendite kogumine• Intervjueeri personali• Analüüsi dokumentatsiooni• Fikseeri tähelepanekud tingimustest jatoimingutest• Dokumenteeri vastavused• Dokumenteeri mittevastavused, märkides ära– Miks on tegemist mittevastavusega–Kus leiti– Kes osales(id)– Objektiivsed tõendid– Viited standarditele61

Mittevastavus eksisteerib kuna ...• Süsteem ei vasta standardi(te)le,protseduuridele või teistelenõuetele• Teostus ei vasta süsteemile• Teostus pole tõhus62

Mittevastavuste gradatsioon• Olulised (major)– Standardi mingit osa on ignoreeritud– Võib põhjustada mittevastava toote/teenuseväljastamise– Protseduur, mida regulaarselt on ignoreeritud• Väheolulised, sekundaarsed (minor)– 3 kuni 5 VÄHEOLULIST ühessüsteemis/protsessis võib anda OLULISEmittevastavuse• Leiud (findings)– Väheoluline probleem, üksik intsident– Leiule peab auditeeritav reageerima• Tähelepanek (observation)– Võimalus süsteemi/protsessi parendada63

Mittevastavuste gradatsioon:KÜSIMUSED• Mis juhtub süsteemiga, kui mittevastavustei korrigeerita?• Missugune on halva stsenaariumitõenäosus?• Kas võib juhtuda, et mittevastavtoode/teenus jõuab lõppkasutajani?64

Kokkuvõttev kohtumine(Closing Meeting)• Tänud kõigile!• Allkirjad osalejatelt• Ülevaade auditi eesmärkidest jaskoobist• Piirangud• Mis oli positiivset – seekõigepealt!• Leidude loetelu• Küsimused ja vastused.Konsensus.• Kokkuvõte – mitte unustadakonsensust• Aitäh!65

Mittevastavuste aruanne

Meelespea• Ole konkreetne–Kus–Mis•Nimi•Number–Miks• Süsteem• Protseduur• Kontrolli fakte!67

Kokkuvõte• Mittevastavuste arv• Mittevastavuste asukoht• Toimingud, kus mittevastavusi ei leitud• Enamlevinud mittevastavuste tüübid• Soovitused68

Mis välja jätta• Mitteolulised detailid• See, millest ei räägitud• Konfidentsiaalsed andmed• Ebamäärased väited/avaldused• Audiitori (sinu) arvamus69

Korrigeerivad toimingud• Auditeeritav kavandab toimingud leitudmittevastavuste korrigeerimiseks(vastutaja, tähtaeg)• Auditeeritav vastutab korrigeerivatetoimingute plaanimise, teostamise ja seireeest70

Auditi järelkontroll• Hinnang korrigeerivale toimingule• Vastus: kes, mida, millal, kuidas• Vastuse hinnang• Dokumentatsiooni ülevaatus• Korrigeeriva toimingu kinnitus• Järeldus71

Järelkontroll• Enam detailne• Variatsioonid72

Siseaudit

Siseauditi mõisteSiseaudit on SÕLTUMATU ja objektiivne, kindlustandev ningKONSULTEERIV tegevus, mis on suunatud ettevõtteTEGEVUSE TÄIUSTAMISEKS ja väärtuse lisamiseks.Ta aitab kaasa asutuse EESMÄRKIDE SAAVUTAMISELE,kasutades süsteemset ja distsiplineeritud lähenemist,hindamaks ja täiustamaks riskide juhtimise, kontrolli javalitsemiskultuuri efektiivsust.The Institute of Internal Auditors (1999.a )74

Mida peab arvestama siseaudit?• Siseauditil peab olema aastaplaan• Siseaudit nõuab tõhusaid korrigeerivaidtoiminguid– mõned mittevastavused ei nõua korrigeerivaidtoiminguid– mõned mittevastavused nõuavad minimaalseidkorrigeerivaid toiminguid– mõned mittevastavused nõuavad põhjalikkekorrigeerivaid toiminguid• Siseaudit verifitseerib korrigeerivaid toiminguid• Siseauditi aruanne annab juhatusele ülevaateettevõtte riskidest75

Siseauditi roll• Katalüsaator• Liides erinevate üksuste ja gruppide vahel• Nõuandja• Oluliste sündmuste registreerija76

Example of Internal Audit SystemAuditManagerAssignedAuditorFormulateYearly AuditScheduleOn Time?NoEscalateSchedule Follow -upSchedule Audit andAssign AuditorTrack Follow -upDetermine AppropriateFollow -up DatePlan IndividualAuditAudit PlanExists?Contact Auditee - Agreeon Follow -up Audit DateNoPerf orm Audit EnsuringImplementaion of andEffectivness of ReactionContact Auditee -Agree on Date,Time, Scope ofAuditNonconformance/Corrective ActionReportOK?YesYesPerf orm AuditNonconformanceNoClose Audit & FileResultsUpdate AuditScheduleManagementReview Input77

Siseauditi tegevuse alusedA. KREDIIDIASUTUSTE SEADUS• Krediidiasutuse sisekontrolli süsteemi osana moodustataksesõltumatu siseauditi üksus, mis jälgib kogu krediidiasutusetegevust.• (1) Siseauditi üksus tegutseb krediidiasutuse NÕUKOGU pooltkinnitatud põhimääruses sätestatud korras.• (2) Siseauditi üksuse töötajatel on ÕIGUS JÄLGIDA piirangutetakrediidiasutuse tööd ning osaleda juhatuse ja krediidiasutusepõhikirja alusel moodustatud komiteede koosolekutel.• (3) Siseauditi üksusel on ÕIGUS NÕUDA krediidiasutusetöötajatelt nende tegevuses ilmnenud puuduste ja eksimustekohta kirjalikke seletusi ning ilmnenud puuduste kõrvaldamist.78

Sisekontroll ja siseauditi osa sellesKREDIIDIASUTUSTE SEADUS (§55)• Krediidiasutuse juhatus (LOE: JUHTKOND) on kohustatud– töötama välja ning RAKENDAMA asutuse tegevusekontrollimise süsteemid, tagama nende järgimise,PIDEVALT HINDAMA nende piisavust ning vajaduselneid TÄIUSTAMA;– korraldama sisekontrolli süsteemi tõhusa toimimise;• Sisekontrolli süsteem peab hõlmama kõiki krediidiasutusejuhtimistasandeid, et tagada tegevuse EFEKTIIVSUS, finantsaruandluseUSALDATAVUS ning VASTAVUS seadustele jakrediidiasutuse juhtkonna poolt kinnitatud dokumentidele.• Krediidiasutuse sisekontrolli süsteemi osana moodusta-taksesõltumatu SISEAUDITI ÜKSUS, mis jälgib kogu asutusetegevust.79

Näide: Eesti ÜhispankNÕUKOGUNõukogu esimeesSISEAUDITI OSAKOND7JUHATUSJuhatuse esimeesAin HanschmidtVALDKOND VALDKOND VALDKOND VALDKOND80

COSO sisekontrolli definitsioonSisekontroll on protsess, mis on loodud tagamaks piisavatkindlust järgmiste eesmärkide saavutamisel:• Äriprotsesside toimivus ja efektiivsus• Finantsaruandluse usaldusväärsus• Vastavus seadustele ja muudele normatiivaktideleVõtmekontseptsioonid:• Sisekontroll on protsess. See on vahend eesmärgisaavutamiseks, mitte eesmärk ise.• Sisekontrolli viivad läbi inimesed. See ei koosne ainultpoliitikatest ja kordadest, vaid INIMESTEST igal organisatsioonitasandil.• Sisekontroll ei taga eesmärgi saavutamisel absoluutsetkindlust81

Sisekontrolli süsteem• COSO (http://www.coso.org/) kuubik sisekontrollisüsteemi komponentidest82

Sisekontrolli süsteemi komponendid• KONTROLLIKESKKONDSeadusandlus, tööjõupoliitika, väärtushinnangud• RISKIDE HINDAMINEKeskendumine olulisele, ressursside planeerimine• KONTROLLTEGEVUSEDKinnitused, autoriseerimised, võrdlused, kohustuste lahusus• INFO JA KOMMUNIKATSIOONRegulaarne info kontrolltegevuste toimumise, protsessi- jakeskkonna-muudatuste ning erandite kohta. Info liikumineorganisatsioonis ülevalt alla ja alt üles. Kommunikatsioonisväljendub iga töötaja arusaamine tema osastsisekontrollisüsteemis.• SEIRESisekontrollisüsteemi sõltumatu hindamine - audit83

Sisekontrollide liigid ja tehnikadLiigitamine ajalisesdimensioonis– Suunavad kontrollid(korrad, reeglid)– Ennetavad kontrollid(süsteemsed kontrollid,eelmisest tegevusestsõltuvad kontrollid,kohustuste lahusus)– Järelkontrollid(aruandlus, inventuurid,auditi jälje analüüsid)Liigitamine eesmärgi alusel– Andmete käideldavusele– Andmete terviklikkusele– Konfidentsiaalsuselesuunatud kontrollidLiigitamine toimimiskeskkonnaalusel– Manuaalsedkontrollid– Süsteemsedkontrollid84

Siseauditi töökorraldus1. Siseaudiitorid töötavad juhatusega ja välisaudiitoritegakooskõlastatud ja nõukogu poolt kinnitatud TÖÖPLAANIALUSEL2. Auditite eesmärk on testida oluliste SISEKONTROLLIDETOIMIMIST läbi erinevate organisatsiooni tasandite,kontrollides grupi töötajate toimingute vastavust kehtestatudreeglitele ja grupi huvidele3. Auditid lõpetatakse RAPORTIGA, mis on läbi arutatud jaallkirjastatud auditeeritud valdkonna eest vastutava juhiga.4. Auditite käigus tehtud TÄHELEPANEKUTE kõrvaldamisekslepitakse kokku tähtajad ning määratakse töötajad, kesvastutavad lahenduste leidmise ja rakendamise eest5. Siseaudit viib läbi JÄRELKONTROLLE tähelepanekutelereageerimise tulemuste fikseerimiseks85

Siseauditi tööplaan• Siseauditi osakonna tööplaani aluseks on auditeeritava valdkonnategevuse riskianalüüs• Riskianalüüsi koostamisela) Moodustatakse loetelu valdkonna protsessidestb) Hinnatakse iga üksiku protsessi riski vastavalt kehtivalemetoodikalec) Omistatakse protsessidele riskitasemed: kõrge, keskmine jamadal• Tööplaan koostamisel järgitakse põhimõtet, eta) Kõrge riskiga protsesse auditeeritakse 1x aastasb) Keskmise riskiga protsesse auditeeritakse vähemalt 1x kaheaasta jooksulc) Madala riskiga protsesse auditeeritakse vähemalt 1x kolmeaasta jooksul86

Olles auditeeritav ...

Kes on audiitor?88

Kes on audiitor?89

Kes on audiitor?• Ka audiitor on inimene, ta peab valideerima dokumentide, st.veenduma, et töötajad järgivad dokumentatsiooni.90

Mida audiitorid teevad?• Audiitorid analüüsivaddokumente ja poliitikaid(verifitseerimine)• Seejärel audiitorid selgitavad,kuidas töötajad toimivad. Nadteevad kindlaks, kas kõiktöötajad täidavaddokumenteeritud protseduureja poliitikaid (valideerimine)• Audiitorid selgitavad, kas kõiktöötajad on koolitatud omaülesannete täitmiseksVerification:are we building the thing right?Validation:are we building the right thing?91

Audiitor leiab probleemi• Kui audiitor leiab probleemi, siis ta teavitab sellestkoheselt – mitteteavitamine on välistatud.• Leiu kohta võetakse asjasse puutuvalt töötajalt allkiri.– Allkiri ei tähenda probleemi tunnustamist, vaid ainult faktikinnitust– Kas probleem on või polnud, selgitatakse päevalõpu kohtumistelvõi lõppkohtumisel (final meeting)• Kui audiitor ei teavita töötajat leiust, siis leidu polnud.Audiitorid ei teavita juhtkonda probleemist ilma sedaeelnevalt probleemiga seotud töötajatega arutamast –“fair play” põhimõttest peetakse alati kinni.92

Töötaja kohustused• Töötaja peab teadma, missugunedokumentatsioon tema tegevustreglementeerib – see peab olemadokumendi viimane versioon.• Töötaja peab teadma, mis koolitust on tasaanud – kui ei tea, küsi oma ülemuselt!• Töötaja peab täitma kõik tema töögaseotud vormid – audiitorid kkontrollivad,kas kõik on tehtud reeglitele vastavalt.93

Käitumine auditi ajal• Ole rahulik. Oota, kuni audiitor esitab küsimuse.• Kuula tähelepanelikult küsimust, enne kuivastad. Kui sa ei saanud küsimusest aru, paluaudiitoril küsimust korrata. Kui küsimus pole ikkaarusaadav, siis ütle seda audiitorile.Iialgi ära vasta küsimusele, millest sa aru eisaanud.• Räägi alati tõtt. Ära püüa midagi varjata. Kui saarvad, et varjates sa aitad kedagi, siis tea – sa eiaita. Pea meeles, et üks vale võib hävitadausalduse – ja ka kogu auditi. Usaldus kaotataksehetkega, selle tagasivõitmine võtab aastaid.94

Mida mitte teha• Kui sa ei tea audiitori küsimusele vastust, siis ütle sedaaudiitorile. Ära püüa vastust võltsida/välja mõelda.• Ära varja midagi. Kõik mida audiitor teada tahab, on see,mis tööd sa teed ja kuidas sa seda teed. Kuna seda satead, siis saad sellest ka vabalt audiitorile rääkida.• Ära anna vastuseid teiste isikute eest. Kui sa tead, kesseda tööd teeb, siis teata seda audiitorile.• Ära anna vastuseid teiste poolt tehtava töö kohta.Eeldatakse, et audiitor esitab küsimusi ainult sinu töökohta. Kui audiitor siiski küsib teiste töö kohta, tulebvastata: “see pole minu töö/kohustus/vastutus”.95

Veel nõuandeid• Audiitorid ei testi sinu mälu. Kui sul on vajavaadata dokumentatsiooni, siis nii ütlegiaudiitorile. Eks audiitor siis otsusta, kas sa peadmälu värskendama või ei.• Vasta ainult küsimustele – ära anna“vabatahtlikult” informatsiooni. Audiitorit polevaja abistada.• Ära püüa asju selgitada, kui audiitor pole sedapalunud. Las audiitor esitab küsimusi, kui miskipole talle arusaadav.96