Siseauditi roll valitsemises - 1. osa: Finantssektor

Tampere Ülikool
14.12.2020 - 10:33

Avaldame 3-osalise artiklite seeria, kus meie Soome kolleegid kirjeldavad siseauditi rolli valitsemise vaates lähtuvalt ettevõtte tegevusvaldkonnast - finantssektor, avalik haldus ja börsiettevõtted. Artikli autorid Tampere Ülikoolist kirjeldavad, kuidas siseaudit toimib erineva juriidilise ja kultuurilise taustaga organisatsioonides.

Finantssektoris mõjutavad siseauditi üksuse tööd ja auditeeritavaid teemasid tugevalt regulatsioonid ja seadusandlus. Lisaks IIA standarditele reguleerivad siseaudiitorite tööd seadused ja määrused, samuti Euroopa ja riiklike järelevalveasutuste soovitused ja suunised.

Sisekontrolli ja riskijuhtimise Kolme Kaitseliini Mudel, mis määratleb ettevõttes juhtimistasandite ning osapoolte kohustused ja vastutuse, on tüüpiline sisemine tegevusstruktuur finantssektoris. Asutus kasutab mudelit muuhulgas ka kontrolli- ja riskijuhtimismeetmete piisavuse hindamiseks.

Siseauditi funktsiooni loomine

Finantssektori seadusandlus, näiteks kindlustusseltside ja krediidiasutuste seadus nõuab siseauditi olemasolu ettevõttes ja kirjeldab siseauditit kui juhtimissüsteemi lahutamatut osa. Siseauditi funktsiooni kehtestamine ja sõltumatuse tagamine on tõstetud seaduse tasemele. Regulatiivsetes juhistes on öeldud, et ühingujuhtimise süsteem peab olema proportsionaalne funktsiooni ulatuse ja keerukusega, välistades samas siseauditi funktsiooni integreerimise mis tahes muu sisekontrolli funktsiooniga. Seega rõhutatakse õigusaktides siseauditi funktsiooni sõltumatuse ja objektiivsuse tähtsust, sealhulgas väikeste finantsosaliste jaoks.

Professionaalsed standardid

Finantssektori siseauditi üksused peavad järgima valdkonna regulatsioone. Euroopa pangandusinspektsioon juhendab krediidiasutuste siseauditeid, et need vastaksid siseauditi rahvusvahelistele kutsestandarditele. Siseauditi töö kvaliteet võimaldab panga järelevalveametnikel tugineda oma hinnangutes siseaudiitorite tööle. Siseauditi läbiviidud auditite tulemustega tutvumine on normaalne osa panga järelevalvetegevusest. Praktikas on pangajärelevalve asutus nõudnud, et sõltumatu väline asutus hindaks siseauditi funktsiooni vähemalt iga viie aasta järel nagu nõuavad ka IIA siseauditi kutsestandardid.

Finantsvaldkonna regulatsioonide kooskõla IIA kutsestandarditega hõlbustab siseaudiitorite tööd. Kui erinevate osapoolte nõuded on ühesugused, on tõenäolisem, et siseaudiitori töö ei kaldu kõrvale kutsestandarditest ja eetikareeglitest, millest vastavalt kutsestandarditele antakse ettevõtte juhatusele regulaarselt aru.

Regulatiivsed juhised siseauditi toimimiseks

Õigusaktid suunavad finantssektori ettevõtete juhtimist ka muu hulgas siseauditi funktsiooniga seotud küsimustes. Juhtkonnalt nõutakse, et see jälgiks siseauditi aruandeid oluliste puuduste ja riskide ning nende mõju osas ning oleks kursis ettepanekutega parendustegevuste osas. Siseauditi roll, eesmärgid ja tegevused on kõigile huvigruppidele kirjeldatud regulatsioonides, näiteks takistamatu juurdepääs infosüsteemidele ning kõigi komiteede ja otsuseid tegevate organite protokollidele, mis on toodud pangandusinspektsiooni siseauditi juhendis. Praktikas hõlbustavad juhtimise regulatiivsed nõuded siseauditi korraldamist ja ülesannete täitmist vastavalt IIA kutsestandarditele.

Riskipõhised ja regulatiivsed kontrollimeetmed

Kooskõlas IIA kutsestandarditega annab järelevalve organ juhiseid siseauditi funktsiooni töö korraldamiseks. Nõutakse siseauditi katvust ehk siseaudit peab hõlmama kõiki kontserni üksusi. Auditid peavad olema riskipõhised ja kooskõlas organisatsiooni eesmärkidega, nagu kutsestandardid nõuavad.

Määrus sisaldab ka nõudeid auditeerida teatavaid valdkondi kas siseauditi või mõne muu sõltumatu asutuse poolt. Mõnda teemat tuleks regulaarselt auditeerida näiteks vähemalt kord aastas. Mõnes auditeeritavas teemas on loetletud ka see, mida on vaja selles teemas konkreetselt hinnata. Seega, kuigi finantsmääruses nimetatakse riskipõhisust, tuleb tegelikkuses auditi kavasse lisada teatud kindlad audititeemad, neid auditeerida ja auditi tulemused esitada vastavalt määrusele. Kõik auditeeritavad teemad ei pruugi olla kõige olulisemad siseauditi või auditeeritava ettevõtte riskihinnangute põhjal, mis paraku suurendab siseauditi tööd finantssektoris ja auditite arvu. Teisalt, kuigi regulatsioon aitab siseauditil tuvastada võimalikke riske, on see tõstnud ka auditeerimise kvaliteet. Pädevusega seotud väljakutsed on olulised näiteks sisemiste meetmete usaldusväärsuse kontrollimisel ning protseduuride vastavuse ja tõhususe hindamisel.

Siseaudiitori kutsealased nõuded

Siseaudiitoril peavad olema ametialaste ülesannete tõhusaks täitmiseks vajalikud teadmised, oskused ja muu kvalifikatsioon. Lisaks auditi asjatundlikkusele, finantssektori sisulisele tundmisele ja heale suhtlemisoskusele peab siseaudiitor mõistma näiteks digitaliseerimist, küberriske, riskijuhtimist ja sellega seotud matemaatilisi mudeleid, et kvaliteetsed siseauditid annaksid ettevõttele lisaväärtust. Kvaliteetse siseauditi tagamiseks on oluline IIA siseauditi sertifikaadi omamine (CIA) ja finantssektori alaste teadmiste pidev ajakohasus.