5. IT Audit - tud.ttu.ee
5. IT Audit - tud.ttu.ee
5. IT Audit - tud.ttu.ee
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>5.</strong> <strong>IT</strong> <strong>Audit</strong>
Miks auditist?<strong>Audit</strong> on <strong>IT</strong> juhtimises oluliseks instrumendiks:– Mittevastavuste õigeaegne avastamine võimaldabkorrig<strong>ee</strong>rivate ja preventiivsete toimingute abill<strong>ee</strong>vendada <strong>IT</strong> riske– <strong>IT</strong> toimimise parendamine–…2
<strong>Audit</strong><strong>ee</strong>rimisprotsess
Eriti lühike auditikoodeks• <strong>Audit</strong><strong>ee</strong>rimine pole mõnus –eriti audit<strong>ee</strong>ritavale• Mõlemad osapooled, nii audit<strong>ee</strong>rija kui kaaudit<strong>ee</strong>ritav peavad teadma mitte ainultseda,mida teha, vaid ka seda,mida mitte teha4
“Hirm auditi <strong>ee</strong>s”• <strong>Audit</strong><strong>ee</strong>ritav:Ära lase ennast tabada“püksid rebadel”• <strong>Audit</strong><strong>ee</strong>ritaval on auditistkasu –KUI AUD<strong>IT</strong> ON TEHTUDKORREKTSELT5
Loengu <strong>ee</strong>smärgid• Mida nõutakse korrektselt audiitorilt• Juhised infosüst<strong>ee</strong>mide audit<strong>ee</strong>rimiseks• <strong>Audit</strong><strong>ee</strong>rimise tehnikad• Kuidas audiitorile vastata6
<strong>Audit</strong><strong>ee</strong>rimise tehnikad• Plaanimine• Kontroll-listid• <strong>Audit</strong>i tähelepanekud• <strong>Audit</strong>i raportid7
<strong>Audit</strong>i <strong>ee</strong>smärk<strong>Audit</strong>i <strong>ee</strong>smärgiks onobjektiivsete andmete kogumine selleks, etanda põhjenda<strong>tud</strong> hinnangaudit<strong>ee</strong>ritavate süst<strong>ee</strong>mide seisundile8
<strong>Audit</strong>i tüübid• Siseaudit• Välisaudit– Teine osapool:• Klient audit<strong>ee</strong>rib t<strong>ee</strong>nuse pakkujat– Kolmas osapool:• Audiitoriks on sõltumatu organisatsioon9
• Vastavusaudit<strong>Audit</strong>i alamtüübid– vastavus standarditele r<strong>ee</strong>glitele, kordadele jne• Süst<strong>ee</strong>miaudit• Protsessiaudit• Tooteaudit10
Typical <strong>Audit</strong> SystemDefine <strong>Audit</strong>:Purpose,Scope,ObjectivesGather dataand/or otherevidenceEvaluat<strong>ee</strong>videnceanddecideFindingsnegative?YesPrepare reportReview andsubmit w orkingpaperSufficient?YesNoNo<strong>Audit</strong> findingreportReview andsubmit reportfindingReportLast auditobject?Yes<strong>Audit</strong>orFunctionNoManagementRepresentativeFunction11
Definitsioonid: “kes”• audiitor – isik, kellel on vajalikkvalifikatsioon ja kes viib läbi auditi• klient – auditit telliv isik võiorganisatsioon; siseauditi puhul – ettevõttejuhtkond• audit<strong>ee</strong>ritav – organisatsioon, süst<strong>ee</strong>m,toode või isik, mida/keda audit<strong>ee</strong>ritakse12
Definitsioonid: “mis”• Tähelepanek – väide audit<strong>ee</strong>rimisel lei<strong>tud</strong>mittevastavuste kohta• Tõendus – informatsioon audit<strong>ee</strong>ritavaobjekti kohta, mida on võimalik tõestada• Mittevastavus – audit<strong>ee</strong>ritava objektierinevus nõuetest13
<strong>Audit</strong>i faasid• <strong>Audit</strong>i plaanimine ja ettevalmistamine• <strong>Audit</strong>i läbiviimine• <strong>Audit</strong>i tulemuste aruanne (raport)• Korrig<strong>ee</strong>rivate toimingute määratlemine14
Standard Four PhasesSuccesful Internal<strong>Audit</strong>ingPreparation Performance Reporting Follow -upSelect teamOpening M<strong>ee</strong>tingRecordingNonconformancesVerification ofCorrective &Preventive Actions<strong>Audit</strong> ManualEvalustionInterview ingResultsEvaluationRe-<strong>Audit</strong><strong>Audit</strong>ScheduleFormulationExaminingReportsDistributionDiscussionClosing15
<strong>Audit</strong>i kava• Sissejuhatav kohtumine• Info kogumine• Mittevastavuste registr<strong>ee</strong>rimine• Mittevastavuste hindamine• Nõuetele vastavuse määratlemine• Tähelepanekute fiks<strong>ee</strong>rimine• Kokkuvõttev/lõpetav kohtumine16
Tõendus• Pole mõjuta<strong>tud</strong> emotsioonidest ja/või<strong>ee</strong>larvamustest• Põhineb vaatlusel• On verbaalne või dokument<strong>ee</strong>ri<strong>tud</strong>• On verifits<strong>ee</strong>ritav17
<strong>Audit</strong>i vajadus• Preventiivne toiming, leidaprobl<strong>ee</strong>mid varakult• Juhtkonnale vajalikkontrollimehhanism• Tagada süst<strong>ee</strong>mide töö nõuetevastavalt• Organisatsiooni parendamisemehhanism18
<strong>Audit</strong> peab olema• ava<strong>tud</strong>• aus• konstruktiivne<strong>Audit</strong><strong>ee</strong>ritavale on audit alati kasulik19
Audiitorid pole• Ebaausad• Üliaktiivsed• Urgitsejad• Inkvisiitorid• Politsei• Karistus meie pat<strong>tud</strong>e <strong>ee</strong>st20
<strong>Audit</strong>i programm• Tagab, et süst<strong>ee</strong>mid rahuldavaddokument<strong>ee</strong>ri<strong>tud</strong> nõudeid• Tagab, et dokument<strong>ee</strong>ri<strong>tud</strong> nõuded onpraktilised, arusaadavad ja et neidjärgitakse äriprotsessis• Tagab auditi tulemuste fiks<strong>ee</strong>rimise –mittevastavused, korrektiivsed japreventiivsed m<strong>ee</strong>tmed21
Vastavusaudit(Complience <strong>Audit</strong>)
Vastavusauditid• Vastavusaudit kontrollib ettevõttesüst<strong>ee</strong>mide vastavust auditi aluseksolevale standardile• Üldiselt on kõik auditid suuremal võivähemal määral vastavusauditid– Näiteks, ka tooteauditi puhul määratletaksevastavust spetsifikatsioonile, joonisele jmt23
Süst<strong>ee</strong>miaudit(Systems <strong>Audit</strong>)
Süst<strong>ee</strong>miaudit• Süst<strong>ee</strong>miaudit käsitleb ettevõtetsüst<strong>ee</strong>msel tasemel– näiteks, ettevõtte süst<strong>ee</strong>mide interaktsioon• Tüüpilised süst<strong>ee</strong>miauditid:– Dokumentide kontroll– Testimisvahendid– Seirevahendid (monitooring)– Ründetõrjevahendid25
Protsessiaudit(Process <strong>Audit</strong>)
Protsessiaudit• Protsessiaudit valid<strong>ee</strong>rib ettevõtte protsesse• Protsessid on (enamasti) süst<strong>ee</strong>mi osad – s<strong>ee</strong>gaprotsessiaudit on süst<strong>ee</strong>miauditi osa• Protsessiaudit on sageli süst<strong>ee</strong>miauditi osa, kuidsiseaudit võib audit<strong>ee</strong>rida ka mõningaidprotsesse eraldi• Oluline on valid<strong>ee</strong>rida protsessideinteraktsioonide tõhusust27
Tooteaudit(Product <strong>Audit</strong>)
Tooteaudit• Tooteaudit määratleb, kas (lõpp)toode võit<strong>ee</strong>nus vastab tema kasutus<strong>ee</strong>smärkidele,st. kas toode/t<strong>ee</strong>nus vastab nõuetele• Tooteauditi võib teha:– klient– harva ka siseaudit29
Mida audit<strong>ee</strong>ritakse?
ISO/QS-9000Quality Management System• Dokument<strong>ee</strong>ri, mis t<strong>ee</strong>d• T<strong>ee</strong> vastavalt dokumentatsioonile• Registr<strong>ee</strong>ri, mis t<strong>ee</strong>d (jälg)• Say what you do and do what you say32
Protseduurid ja süst<strong>ee</strong>mid33
Protseduurid ja süst<strong>ee</strong>mid34
Dokumentatsiooni roll:• Süst<strong>ee</strong>mi dokumentatsioon– vs. NÕUDED• Mis sisaldub standardites jt dokumentides– vs. OBJEKTIIVSED LEIUD• Mis tegelikult toimub35
Detailid
K<strong>ee</strong>rulised ärisuhted• Ettevõte eieksist<strong>ee</strong>rivaakumis.Seosed on niiettevõttes<strong>ee</strong>s kui kavälistepartneritega37
Olulised ja kriitilised protsessid• Olulised protsessid– protsessid, mis tagavad organisatsiooni olulistefunktsioonide täitmise– on otseselt seo<strong>tud</strong> kliendihuvide ja nõuetetagamisega• Kriitilised protsessid– oluliste protsesside alamhulk– protsessid, mis tagavad organisatsiooni elulistefunktsioonide täitmise,st. nende protsesside katkemine pärsiborganisatsiooni jätkusuutlikkuse38
Vastutused
Kliendid vastutavad• Määratlevad auditi <strong>ee</strong>smärgid javajadused ning algatavadaudit<strong>ee</strong>rimisprotsessi• Määratlevad audit<strong>ee</strong>riva organisatsiooni• Määratlevad auditi üldskoobi• Saavad auditi raporti• Määratlevad korrig<strong>ee</strong>rivad toimingud(vajaduse korral)40
Audiitorid vastutavad• Vastavus auditi nõuetega• <strong>Audit</strong>i plaan• Leidude dokument<strong>ee</strong>rimine• <strong>Audit</strong>i tulemuste raport (aruanne)• Korrig<strong>ee</strong>rivate tomingute tõhususeverifits<strong>ee</strong>rimine41
<strong>Audit</strong><strong>ee</strong>ritavad vastutavad• Töötajate inform<strong>ee</strong>rimine auditi <strong>ee</strong>smärkidest ja skoobist• Vastutavate isikute määramine audiitoritega kohtumiseks• Ressursside eraldamine audiitoritele nende töötoimivuse ja tõhususe tagamiseks• Tagada audiitorite ligipääs kõigile vajalikele materjalideleja isikutele• Koostöö audiitoritega auditi <strong>ee</strong>smärkide saavutamiseks• Korrig<strong>ee</strong>rivate toimingute määratlemine ja algatamine42
Audiitori omadused• Haridus• Kogemus• Koolitus• Pädevus• Suhtlemisoskus• Üldinformatsioon osakonnast• Standardite hea tundmine43
<strong>Audit</strong>i plaanimine• Eesmärk• Skoop• Standardid ja juhendid• M<strong>ee</strong>skond ja juht• <strong>Audit</strong>i kestus• Kontakt-osakonnad/isikud• Määrata kuupäev jakellaaeg• Kontroll-list• Konfidentsiaalsusnõuded44
<strong>Audit</strong>i sagedus• <strong>Audit</strong><strong>ee</strong>rimise sageduse määrab klient (va. nt.Finantsinspektsiooni audit)• <strong>Audit</strong>i sageduse määramisel arvestatakse:– Eelmiste auditite tulemusi– Toimingu olulisust ja seisundit– Määratle<strong>tud</strong> nõudeid– Olulisi muudatusi juhtimises, organisatsioonis,poliitikates, tehnoloogiates– Muudatusi süst<strong>ee</strong>mis endas• Siseaudit võib toimuda regulaarselt vastavaltjuhtkonna otsusele45
Kontroll-listid
Kontroll-listid• Aitavad auditit plan<strong>ee</strong>rida• Tagavad põhjalikkuse ja järjekindluse• Määratlevad olulised kontroll-punktid• Tüürivad auditit47
Kontroll-listid – sisu• Organisatsioon• Vastutused/õigused• Kvalifikatsioon/koolitus• Mittevastavuse kontroll• Leiud48
Info kontroll-listideks• Standardid• Juhtkonna priorit<strong>ee</strong>did• Sise- ja välisauditite aruanded• Toote/protsessi info• Piirangud49
Dokumentide ülevaatus• Tööprotseduuride vastavus standarditele• Eelnevate audite korrig<strong>ee</strong>rivad toimingud• Kontroll-listide vormid• Mõned küsimused:– Missugused on osakonna funktsioonid?– Missugused nendest funktsioonidest onolulised?50
<strong>Audit</strong>i <strong>ee</strong>lne teavitus• Teavita aegsasti auditi toimumise ajast,kestusest, skoobist• V<strong>ee</strong>ndu, et vajalikud töötajad on teavita<strong>tud</strong>51
<strong>Audit</strong>i läbiviimine52
<strong>Audit</strong>i plaan pole kivist• Pole olnud audit, mis oleks toimunudtäpselt plaani järgi53
Esimene (ava-) kohtumine• Tutvusta auditi tiimiosakonna töötajatele• Kirjelda (v<strong>ee</strong>lkord)auditi toimumiseaega, kestust jaskoopi• Lepi kokku ametliksuhtlemisviis• Esita dokumentideülevaatuse leiud54
Oluline (primaarne) mittevastavus(Major nonconformance)• Süst<strong>ee</strong>mi täielik (totaalne) mittevastavusstandardile• Ühe nõude puhul on (liiga) suur arvmitteolulisi mittevastavusi, miskummulatiivselt viivad süst<strong>ee</strong>mi krahhile55
Sekundaarne (väheoluline) mittevastavus(Minor nonconformance)• Mittevastavus, mis ei tingi süst<strong>ee</strong>mi krahhi56
• = audiitori arvamusTähelepanek(Observation)– Traditsiooniline interpretatsioon: korrig<strong>ee</strong>rivtoiming pole vajalik– KUID!!! Mõnedel audiitoritel onTÄHELEPANEK intepret<strong>ee</strong>ri<strong>tud</strong> erinevalt• Näiteks: audiitor t<strong>ee</strong>bki ainult tähelepanekuid(olulisi, mitteolulisi, teisejärgulisi jne)57
<strong>Audit</strong>i kulg• Selgita, millega tahad tutvuda, mida näha• Ära <strong>ee</strong>lda, et “PAHA” on olemas• Ära ole pe<strong>ttu</strong>nud järelduse“Probl<strong>ee</strong>me pole” puhul• Kasuta oma kontroll-listi juhendi-plaanina• T<strong>ee</strong> märkmeid (ära usalda oma mälu):– An<strong>tud</strong> auditi tarvis– Järgnevate audite tarvis– Teiste audiitorite tarvis• Iga tähelepaneku jaoks:– Ignor<strong>ee</strong>ri (aruandes)– Fiks<strong>ee</strong>ri (arundes)– Märgista järelkontrolli vajavaks (later followup)– Pöördu osakonna juhataja/teistespetsialistide poole selgituse saamiseks58
Head tavad audit<strong>ee</strong>rimisel• Teavita <strong>ee</strong>lnevalt – pole vaja üllatusi• Selgita probl<strong>ee</strong>mi olulisust• Avalikusta kohe tulemused – midagi pole vaja varjata• Ära unusta, et audit põhjustab stressi!• Esita küsimused “õigele” inimesele(“õiged” on n<strong>ee</strong>d, kes t<strong>ee</strong>vad)• Räägi lihtsalt ja selgelt, ära “räägi surnuks”• Hoidu emotsionaalsusest• Ära katkesta audit<strong>ee</strong>ritavat, ära räägi vahele• Ära otsi puudusi59
Halvad tavad audit<strong>ee</strong>rimisel• Esitada liiga palju küsimusi• Esitada suunavaid küsimusi• Öelda, et saad aru, kui ei saanud• Vastata ise oma küsimustele• Provots<strong>ee</strong>rida vaidlust• Olla erapoolik• Kritis<strong>ee</strong>rida isikuid60
Tõendite kogumine• Intervju<strong>ee</strong>ri personali• Analüüsi dokumentatsiooni• Fiks<strong>ee</strong>ri tähelepanekud tingimustest jatoimingutest• Dokument<strong>ee</strong>ri vastavused• Dokument<strong>ee</strong>ri mittevastavused, märkides ära– Miks on tegemist mittevastavusega–Kus leiti– Kes osales(id)– Objektiivsed tõendid– Viited standarditele61
Mittevastavus eksist<strong>ee</strong>rib kuna ...• Süst<strong>ee</strong>m ei vasta standardi(te)le,protseduuridele või teistelenõuetele• Teostus ei vasta süst<strong>ee</strong>mile• Teostus pole tõhus62
Mittevastavuste gradatsioon• Olulised (major)– Standardi mingit osa on ignor<strong>ee</strong>ri<strong>tud</strong>– Võib põhjustada mittevastava toote/t<strong>ee</strong>nuseväljastamise– Protseduur, mida regulaarselt on ignor<strong>ee</strong>ri<strong>tud</strong>• Väheolulised, sekundaarsed (minor)– 3 kuni 5 VÄHEOLULIST ühessüst<strong>ee</strong>mis/protsessis võib anda OLULISEmittevastavuse• Leiud (findings)– Väheoluline probl<strong>ee</strong>m, üksik intsident– Leiule peab audit<strong>ee</strong>ritav reag<strong>ee</strong>rima• Tähelepanek (observation)– Võimalus süst<strong>ee</strong>mi/protsessi parendada63
Mittevastavuste gradatsioon:KÜSIMUSED• Mis juhtub süst<strong>ee</strong>miga, kui mittevastavustei korrig<strong>ee</strong>rita?• Missugune on halva stsenaariumitõenäosus?• Kas võib juh<strong>tud</strong>a, et mittevastavtoode/t<strong>ee</strong>nus jõuab lõppkasutajani?64
Kokkuvõttev kohtumine(Closing M<strong>ee</strong>ting)• Tänud kõigile!• Allkirjad osalejatelt• Ülevaade auditi <strong>ee</strong>smärkidest jaskoobist• Piirangud• Mis oli positiivset – s<strong>ee</strong>kõigepealt!• Leidude loetelu• Küsimused ja vastused.Konsensus.• Kokkuvõte – mitte unustadakonsensust• Aitäh!65
Mittevastavuste aruanne
M<strong>ee</strong>lespea• Ole konkr<strong>ee</strong>tne–Kus–Mis•Nimi•Number–Miks• Süst<strong>ee</strong>m• Protseduur• Kontrolli fakte!67
Kokkuvõte• Mittevastavuste arv• Mittevastavuste asukoht• Toimingud, kus mittevastavusi ei lei<strong>tud</strong>• Enamlevinud mittevastavuste tüübid• Soovitused68
Mis välja jätta• Mitteolulised detailid• S<strong>ee</strong>, millest ei räägi<strong>tud</strong>• Konfidentsiaalsed andmed• Ebamäärased väited/avaldused• Audiitori (sinu) arvamus69
Korrig<strong>ee</strong>rivad toimingud• <strong>Audit</strong><strong>ee</strong>ritav kavandab toimingud lei<strong>tud</strong>mittevastavuste korrig<strong>ee</strong>rimiseks(vastutaja, tähtaeg)• <strong>Audit</strong><strong>ee</strong>ritav vastutab korrig<strong>ee</strong>rivatetoimingute plaanimise, teostamise ja seir<strong>ee</strong>est70
<strong>Audit</strong>i järelkontroll• Hinnang korrig<strong>ee</strong>rivale toimingule• Vastus: kes, mida, millal, kuidas• Vastuse hinnang• Dokumentatsiooni ülevaatus• Korrig<strong>ee</strong>riva toimingu kinnitus• Järeldus71
Järelkontroll• Enam detailne• Variatsioonid72
Siseaudit
Siseauditi mõisteSiseaudit on SÕLTUMATU ja objektiivne, kindlustandev ningKONSULTEERIV tegevus, mis on suuna<strong>tud</strong> ettevõtteTEGEVUSE TÄIUSTAMISEKS ja väärtuse lisamiseks.Ta aitab kaasa asutuse EESMÄRKIDE SAAVUTAMISELE,kasutades süst<strong>ee</strong>mset ja distsiplin<strong>ee</strong>ri<strong>tud</strong> lähenemist,hindamaks ja täiustamaks riskide juhtimise, kontrolli javalitsemiskultuuri efektiivsust.The Institute of Internal <strong>Audit</strong>ors (1999.a )74
Mida peab arvestama siseaudit?• Siseauditil peab olema aastaplaan• Siseaudit nõuab tõhusaid korrig<strong>ee</strong>rivaidtoiminguid– mõned mittevastavused ei nõua korrig<strong>ee</strong>rivaidtoiminguid– mõned mittevastavused nõuavad minimaalseidkorrig<strong>ee</strong>rivaid toiminguid– mõned mittevastavused nõuavad põhjalikkekorrig<strong>ee</strong>rivaid toiminguid• Siseaudit verifits<strong>ee</strong>rib korrig<strong>ee</strong>rivaid toiminguid• Siseauditi aruanne annab juhatusele ülevaat<strong>ee</strong>ttevõtte riskidest75
Siseauditi roll• Katalüsaator• Liides erinevate üksuste ja gruppide vahel• Nõuandja• Oluliste sündmuste registr<strong>ee</strong>rija76
Example of Internal <strong>Audit</strong> System<strong>Audit</strong>ManagerAssigned<strong>Audit</strong>orFormulateYearly <strong>Audit</strong>ScheduleOn Time?NoEscalateSchedule Follow -upSchedule <strong>Audit</strong> andAssign <strong>Audit</strong>orTrack Follow -upDetermine AppropriateFollow -up DatePlan Individual<strong>Audit</strong><strong>Audit</strong> PlanExists?Contact <strong>Audit</strong><strong>ee</strong> - Agr<strong>ee</strong>on Follow -up <strong>Audit</strong> DateNoPerf orm <strong>Audit</strong> EnsuringImplementaion of andEffectivness of ReactionContact <strong>Audit</strong><strong>ee</strong> -Agr<strong>ee</strong> on Date,Time, Scope of<strong>Audit</strong>Nonconformance/Corrective ActionReportOK?YesYesPerf orm <strong>Audit</strong>NonconformanceNoClose <strong>Audit</strong> & FileResultsUpdate <strong>Audit</strong>ScheduleManagementReview Input77
Siseauditi tegevuse alusedA. KREDIIDIASUTUSTE SEADUS• Krediidiasutuse sisekontrolli süst<strong>ee</strong>mi osana moodustataksesõltumatu siseauditi üksus, mis jälgib kogu krediidiasutusetegevust.• (1) Siseauditi üksus tegutseb krediidiasutuse NÕUKOGU pooltkinnita<strong>tud</strong> põhimääruses sätesta<strong>tud</strong> korras.• (2) Siseauditi üksuse töötajatel on ÕIGUS JÄLGIDA piirangutetakrediidiasutuse tööd ning osaleda juhatuse ja krediidiasutusepõhikirja alusel moodusta<strong>tud</strong> komit<strong>ee</strong>de koosolekutel.• (3) Siseauditi üksusel on ÕIGUS NÕUDA krediidiasutusetöötajatelt nende tegevuses ilmnenud puuduste ja eksimustekohta kirjalikke seletusi ning ilmnenud puuduste kõrvaldamist.78
Sisekontroll ja siseauditi osa sellesKREDIIDIASUTUSTE SEADUS (§55)• Krediidiasutuse juhatus (LOE: JUHTKOND) on kohusta<strong>tud</strong>– töötama välja ning RAKENDAMA asutuse tegevusekontrollimise süst<strong>ee</strong>mid, tagama nende järgimise,PIDEVALT HINDAMA nende piisavust ning vajaduselneid TÄIUSTAMA;– korraldama sisekontrolli süst<strong>ee</strong>mi tõhusa toimimise;• Sisekontrolli süst<strong>ee</strong>m peab hõlmama kõiki krediidiasutusejuhtimistasandeid, et tagada tegevuse EFEKTIIVSUS, finantsaruandluseUSALDATAVUS ning VASTAVUS seadustele jakrediidiasutuse juhtkonna poolt kinnita<strong>tud</strong> dokumentidele.• Krediidiasutuse sisekontrolli süst<strong>ee</strong>mi osana moodusta-taksesõltumatu SISEAUD<strong>IT</strong>I ÜKSUS, mis jälgib kogu asutusetegevust.79
Näide: Eesti ÜhispankNÕUKOGUNõukogu esim<strong>ee</strong>sSISEAUD<strong>IT</strong>I OSAKOND7JUHATUSJuhatuse esim<strong>ee</strong>sAin HanschmidtVALDKOND VALDKOND VALDKOND VALDKOND80
COSO sisekontrolli definitsioonSisekontroll on protsess, mis on loodud tagamaks piisavatkindlust järgmiste <strong>ee</strong>smärkide saavutamisel:• Äriprotsesside toimivus ja efektiivsus• Finantsaruandluse usaldusväärsus• Vastavus seadustele ja muudele normatiivaktideleVõtmekontseptsioonid:• Sisekontroll on protsess. S<strong>ee</strong> on vahend <strong>ee</strong>smärgisaavutamiseks, mitte <strong>ee</strong>smärk ise.• Sisekontrolli viivad läbi inimesed. S<strong>ee</strong> ei koosne ainultpoliitikatest ja kordadest, vaid INIMESTEST igal organisatsioonitasandil.• Sisekontroll ei taga <strong>ee</strong>smärgi saavutamisel absoluutsetkindlust81
Sisekontrolli süst<strong>ee</strong>m• COSO (http://www.coso.org/) kuubik sisekontrollisüst<strong>ee</strong>mi komponentidest82
Sisekontrolli süst<strong>ee</strong>mi komponendid• KONTROLLIKESKKONDSeadusandlus, tööjõupoliitika, väärtushinnangud• RISKIDE HINDAMINEKeskendumine olulisele, ressursside plan<strong>ee</strong>rimine• KONTROLLTEGEVUSEDKinnitused, autoris<strong>ee</strong>rimised, võrdlused, kohustuste lahusus• INFO JA KOMMUNIKATSIOONRegulaarne info kontrolltegevuste toimumise, protsessi- jakeskkonna-muudatuste ning erandite kohta. Info liikumineorganisatsioonis ülevalt alla ja alt üles. Kommunikatsioonisväljendub iga töötaja arusaamine tema osastsisekontrollisüst<strong>ee</strong>mis.• SEIRESisekontrollisüst<strong>ee</strong>mi sõltumatu hindamine - audit83
Sisekontrollide liigid ja tehnikadLiigitamine ajalisesdimensioonis– Suunavad kontrollid(korrad, r<strong>ee</strong>glid)– Ennetavad kontrollid(süst<strong>ee</strong>msed kontrollid,<strong>ee</strong>lmisest tegevusestsõltuvad kontrollid,kohustuste lahusus)– Järelkontrollid(aruandlus, inventuurid,auditi jälje analüüsid)Liigitamine <strong>ee</strong>smärgi alusel– Andmete käideldavusele– Andmete terviklikkusele– Konfidentsiaalsuselesuuna<strong>tud</strong> kontrollidLiigitamine toimimiskeskkonnaalusel– Manuaalsedkontrollid– Süst<strong>ee</strong>msedkontrollid84
Siseauditi töökorraldus1. Siseaudiitorid töötavad juhatusega ja välisaudiitoritegakooskõlasta<strong>tud</strong> ja nõukogu poolt kinnita<strong>tud</strong> TÖÖPLAANIALUSEL2. <strong>Audit</strong>ite <strong>ee</strong>smärk on testida oluliste SISEKONTROLLIDETOIMIMIST läbi erinevate organisatsiooni tasandite,kontrollides grupi töötajate toimingute vastavust kehtesta<strong>tud</strong>r<strong>ee</strong>glitele ja grupi huvidele3. <strong>Audit</strong>id lõpetatakse RAPORTIGA, mis on läbi aruta<strong>tud</strong> jaallkirjasta<strong>tud</strong> audit<strong>ee</strong>ri<strong>tud</strong> valdkonna <strong>ee</strong>st vastutava juhiga.4. <strong>Audit</strong>ite käigus teh<strong>tud</strong> TÄHELEPANEKUTE kõrvaldamisekslepitakse kokku tähtajad ning määratakse töötajad, kesvastutavad lahenduste leidmise ja rakendamise <strong>ee</strong>st<strong>5.</strong> Siseaudit viib läbi JÄRELKONTROLLE tähelepanekutelereag<strong>ee</strong>rimise tulemuste fiks<strong>ee</strong>rimiseks85
Siseauditi tööplaan• Siseauditi osakonna tööplaani aluseks on audit<strong>ee</strong>ritava valdkonnategevuse riskianalüüs• Riskianalüüsi koostamisela) Moodustatakse loetelu valdkonna protsessidestb) Hinnatakse iga üksiku protsessi riski vastavalt kehtivalemetoodikalec) Omistatakse protsessidele riskitasemed: kõrge, keskmine jamadal• Tööplaan koostamisel järgitakse põhimõtet, eta) Kõrge riskiga protsesse audit<strong>ee</strong>ritakse 1x aastasb) Keskmise riskiga protsesse audit<strong>ee</strong>ritakse vähemalt 1x kaheaasta jooksulc) Madala riskiga protsesse audit<strong>ee</strong>ritakse vähemalt 1x kolmeaasta jooksul86
Olles audit<strong>ee</strong>ritav ...
Kes on audiitor?88
Kes on audiitor?89
Kes on audiitor?• Ka audiitor on inimene, ta peab valid<strong>ee</strong>rima dokumentide, st.v<strong>ee</strong>nduma, et töötajad järgivad dokumentatsiooni.90
Mida audiitorid t<strong>ee</strong>vad?• Audiitorid analüüsivaddokumente ja poliitikaid(verifits<strong>ee</strong>rimine)• S<strong>ee</strong>järel audiitorid selgitavad,kuidas töötajad toimivad. Nadt<strong>ee</strong>vad kindlaks, kas kõiktöötajad täidavaddokument<strong>ee</strong>ri<strong>tud</strong> protseduureja poliitikaid (valid<strong>ee</strong>rimine)• Audiitorid selgitavad, kas kõiktöötajad on koolita<strong>tud</strong> omaülesannete täitmiseksVerification:are we building the thing right?Validation:are we building the right thing?91
Audiitor leiab probl<strong>ee</strong>mi• Kui audiitor leiab probl<strong>ee</strong>mi, siis ta teavitab sellestkoheselt – mitteteavitamine on välista<strong>tud</strong>.• Leiu kohta võetakse asjasse puutuvalt töötajalt allkiri.– Allkiri ei tähenda probl<strong>ee</strong>mi tunnustamist, vaid ainult faktikinnitust– Kas probl<strong>ee</strong>m on või polnud, selgitatakse päevalõpu kohtumistelvõi lõppkohtumisel (final m<strong>ee</strong>ting)• Kui audiitor ei teavita töötajat leiust, siis leidu polnud.Audiitorid ei teavita juhtkonda probl<strong>ee</strong>mist ilma seda<strong>ee</strong>lnevalt probl<strong>ee</strong>miga seo<strong>tud</strong> töötajatega arutamast –“fair play” põhimõttest p<strong>ee</strong>takse alati kinni.92
Töötaja kohustused• Töötaja peab teadma, missugunedokumentatsioon tema tegevustreglement<strong>ee</strong>rib – s<strong>ee</strong> peab olemadokumendi viimane versioon.• Töötaja peab teadma, mis koolitust on tasaanud – kui ei tea, küsi oma ülemuselt!• Töötaja peab täitma kõik tema töögaseo<strong>tud</strong> vormid – audiitorid kkontrollivad,kas kõik on teh<strong>tud</strong> r<strong>ee</strong>glitele vastavalt.93
Käitumine auditi ajal• Ole rahulik. Oota, kuni audiitor esitab küsimuse.• Kuula tähelepanelikult küsimust, enne kuivastad. Kui sa ei saanud küsimusest aru, paluaudiitoril küsimust korrata. Kui küsimus pole ikkaarusaadav, siis ütle seda audiitorile.Iialgi ära vasta küsimusele, millest sa aru eisaanud.• Räägi alati tõtt. Ära püüa midagi varjata. Kui saarvad, et varjates sa aitad kedagi, siis tea – sa eiaita. Pea m<strong>ee</strong>les, et üks vale võib hävitadausalduse – ja ka kogu auditi. Usaldus kaotataksehetkega, selle tagasivõitmine võtab aastaid.94
Mida mitte teha• Kui sa ei tea audiitori küsimusele vastust, siis ütle sedaaudiitorile. Ära püüa vastust võltsida/välja mõelda.• Ära varja midagi. Kõik mida audiitor teada tahab, on s<strong>ee</strong>,mis tööd sa t<strong>ee</strong>d ja kuidas sa seda t<strong>ee</strong>d. Kuna seda satead, siis saad sellest ka vabalt audiitorile rääkida.• Ära anna vastuseid teiste isikute <strong>ee</strong>st. Kui sa tead, kesseda tööd t<strong>ee</strong>b, siis teata seda audiitorile.• Ära anna vastuseid teiste poolt tehtava töö kohta.Eeldatakse, et audiitor esitab küsimusi ainult sinu töökohta. Kui audiitor siiski küsib teiste töö kohta, tulebvastata: “s<strong>ee</strong> pole minu töö/kohustus/vastutus”.95
V<strong>ee</strong>l nõuandeid• Audiitorid ei testi sinu mälu. Kui sul on vajavaadata dokumentatsiooni, siis nii ütlegiaudiitorile. Eks audiitor siis otsusta, kas sa peadmälu värskendama või ei.• Vasta ainult küsimustele – ära anna“vabatahtlikult” informatsiooni. Audiitorit polevaja abistada.• Ära püüa asju selgitada, kui audiitor pole sedapalunud. Las audiitor esitab küsimusi, kui miskipole talle arusaadav.96