COVID-19 ja siseauditi rollid kriisis

Tõlkis Mare Timian
04.09.2020 - 14:56

Vahendame ajakirjas Internal Auditor 27.07.2020 avaldatud IIA tegevjuht ja president Richard Chambersi (pildil) artiklit "Understanding the Roots in Internal Audit's Response to COVID-19".

On justkui ilmselge, et COVID-19 mõju on nii suurtele kui väikestele organisatsioonidele olnud märkimisväärne, Iga päev toob uusi teadmisi pandeemia ja sellega seotud probleemidest ning ohtudest kontrollide nõrkuse, kulukate ebaõnnestumiste ja uute riskide valguses.

Nüüdseks on ka ilmnenud, et paljud organisatsioonid on nende negatiivsete mõjude vastu võitlemiseks reageerinud tänuväärselt kiiresti. Esimestele piirangutele reageerisid nad koheselt, kohandades oma protsesse ja oma tehnoloogiaid, et tagada jätkuv tootlikkus. Võitluses pandeemiaga tasakaalustasid nad uusi loomingulisi lähenemisviise sotsiaalselt vastutustundlike tegevustega.

Ka siseaudit on selles kriisis oma väärtust tõestanud. IIA uuringutes on leitud, et siseaudiitorid kohanevad oma organisatsioonide vajaduettevõtlusele stega, võttes sageli endale ebatraditsioonilisi rolle ja avaldades pandeemiale reageerimisel märkimisväärset paindlikkust ajakohastades oma riskihinnanguid ja vaadates uuesti üle oma auditiplaane. Kuid isegi siis, kui meid saadab edu ja me tähistame õnnestumisi kohanemisel pandeemiaga, peame tunnistama, et otsuseid tehakse sageli napi infoga ja lühiajalisi eesmärke silmas pidades.

Tõepoolest, pikaajalisi strateegiaid saab edasi lükata uute riskide ja väljakutsete keeristormis, mis tekivad ja muutuvad tohutu kiirusega.

iia_artikkel_2020_puu_pilt.jpgPandeemiaga seotud riskide loetelu, kus siseaudit saab anda kindlust ja nõu, on pikk: kriisiplaanid, äritegevuse järjepidevus, küberturvalisus, suhted kolmandate osapooltega, töötajate tervis, tootlikkus ning palju muud.

Peame arvestama, et siseauditi töökvaliteedis võib esineda kompromisse, kuna siseaudiitorid selleks, et vastata oma organisatsioonide vajadustele, rabelevad sageli üksikute ja kitsaste ad-hoc teemadega. Üks selgemaid ohte töökvaliteedile on see, kui ei süveneta ning ei tuvastata kontrollide nõrkuste ja ebaõnnestumiste algpõhjusi.

Kirjutasin pealiskaudsete auditileidude rumalusest mitu aastat tagasi oma blogipostituses pealkirjaga "Hea siseaudit keskendub ka juurtele, mitte ainult puudele". Paljud selle postituse tähelepanekud peavad paika ka täna. Postitusest:

  • Siseaudiitoritena on meil kiusatus oma aruannetes sageli rõhutada nõudeid, mida kõike tuleb järgida. Kuid tegelikult on vaja kirjeldada riskijuhtimisest või kontrolli ebaõnnestumistest tulenevaid tagajärgi ja teha seda veenvalt. Uue IT-süsteemi rike, peamised nõuetele vastavuse reeglid või kriitiline finantskontroll köidavad juhtkonna ja juhatuse tähelepanu kindlasti. Siseauditi aruanded sisaldavad sageli ka põhjalikke arutelusid nõuetega seotud mõjude teemal. Kuid tegelikult on ainus, mis on sensatsioonilisem kui puuduste kirjeldamine ja see on lugejale võimalike kahjulike tagajärgede selgitamine.
  • Kuigi aruanded, mis hõlmavad ulatuslikku kirjeldust reeglitest ja mõjudest, võivad anda küll suurepärase proosa, kuid paraku pole nendest sageli tegelikult mingit kasu. Mul oli kunagi üks juht, kes tunnistas mulle kohe kõhklemata, et tal on probleeme. Ta palus kohe auditi alguses mul mitte tagasi tulla infoga, mida ta juba teadis. Tema sõnade järgi: "Ma ei vaja kedagi, kes tuleks siia ja ütleks mulle, et mul on probleeme. Ma tean, et mul on probleeme. Mul on vaja kedagi, kes oskaks mulle öelda, kuidas neid probleeme lahendada." Kõige rohkem aitasidki teda aruandesse lisatud soovitused, kuidas probleemid ära lahendada.
  • Kriteeriume (mis oleks pidanud olema), tingimusi, mõjusid ja soovitusi nimetatakse sageli auditi tulemuste põhielementidena. Kuid on veel üks element, millest sageli kõige vähem aru saadakse ja võib-olla on see kõige kriitilisem: põhjused (või algpõhjused). Algpõhjust mõistmata on praktiliselt võimatu anda häid soovitusi probleemide lahendamiseks või riskide maandamiseks.

Tsiteerisin oma ajaveebipostituses USA valitsuse Aruandluskohustuse Kollase Raamatu auditeerimise standardeid ja tsiteerisin selle juhiseid algpõhjuste kindlakstegemiseks.

  • "Põhjus tuvastab tingimuse põhjuse või selgituse või teguri või tegurid, mis põhjustavad erinevust olemasoleva olukorra (tingimus) ja nõutava või soovitud seisundi (kriteeriumide) vahel, mis võib olla ka aluseks parandusmeetmete soovitustele. Tavalised tegurid hõlmavad halvasti kavandatud põhimõtteid, protseduure või kriteeriume; ebajärjekindel, mittetäielik või ebaõige rakendamine või programmi juhtimisest sõltumatud tegurid. Audiitorid võivad hinnata, kas tõendid pakuvad mõistlikku või veenvat argumenti, miks väljaöeldud põhjus on peamine tegur või tegurid, mis aitavad kaasa tingimuse ja kriteeriumide erinevusele."

Lõpuks viitasin IIA Practice Advisory algpõhjuste analüüsile - see on osa Implementation Guide 2320 , mis on kättesaadav kõigile IIA liikmetele - ja see pakub lihtsa protsessi, mille keskmes on küsimus "miks".

  • Näiteks: "Töötaja kukkus. Miks? Põrandal oleva õli tõttu. Miks? Katkise osa tõttu. Miks? Kuna see osa on pidevalt katki. Miks? Hanketavade muutuste tõttu."Miks?

Siseaudiitoritel on hädavajalik koostada leiud, mis hõlmavad kõiki viit kriteeriumi - kriteeriumid, tingimus, tagajärg / tagajärjed, põhjus ja parandusmeetmed / soovitus. Kuid isegi kui viis C-d on tõhusas aruandluses olulised, võib algpõhjuste väljaselgitamine olla oluliselt väärtuslikum.

Nüüd on selgem kui kunagi varem, kuidas auditi igas etapis leida juurpõhjused - selleks kasuta "miks" küsimusi. Meie kõigi prioriteetide prioriteet peab olema maksimaalselt sügavale kaevumine, et leida kontrollinõrkuste ja ebaõnnestumiste algpõhjused. Panused on liiga kõrged, et juhtkond võtaks vastu midagi muud, kui meie parima töö.