Peale mitmeaastast ettevalmistustööd, kuhu olid kaasatud tuhanded huvirühmade esindajad üle maailma, avaldas IIA / Institute of Internal Auditors uued ülemaailmsed siseauditi standardid 9. jaanuaril 2024. Need jõustuvad 9. jaanuaril 2025.
Siseaudiitorid peaksid olema nüüd proaktiivsed, et ellu viia standardite kõige olulisemaid muudatusi. Tuleb endalt kindlasti küsida, millistes valdkondades võivad tekkida olulised riskid ja millised neist vajavad tegevuskavades erilist tähelepanu ja millel täpselt on vaja hoida fookust?
119-leheküljeline Standardite dokument pole just kerge lugemine
IIA avaldas ka lühendatud versiooni, mis sisaldab ainult kohustuslikke juhiseid ja on poole lühem. Sellegipoolest võivad paljud siseaudiitorid leida, et standardeid on keeruline kiiresti omandada. Seda arvesse võttes vaatasime standardid läbi, et tuvastada olulisimad muudatused, millest iga siseaudiitor peaks nüüd ja kohe teadlik olema.
IPPF - kutsetegevuse raamistiku arendamisele suunatud uuringud ja tegevused algasid juba 2019. aastal. Tegevused kulmineerusid 2023. aasta märtsis standardite kavandi avaldamisega avalikuks aruteluks ja kommenteerimiseks. Tahan siinkohal tunnustada rahvusvahelist siseauditi standardite nõukogu (IIASB) nende pühendunud töö, keskendumise ja põhjaliku kaalutlemise eest selles protsessis.
Järgnevalt toome välja kõige olulisemad muudatused standardites
1. UUS RÕHUASETUS ON AVALIKUL HUVIL
Uute standardite sissejuhatuses rõhutatakse, et IIA on pühendunud standardite kehtestamisele avalikkuse kaasabil ja avalikkuse huvides ning IIASB vastutab standardite kehtestamise ja haldamise eest avalikkuse huvides.
Valdkonna I eesmärgi sõnastus rõhutab, et siseaudit kasvatab organisatsiooni võimekust teenida avalikku huvi. See uus eesmärk täiendab oluliselt IPPF missiooni, lisades sellele olulise kihi, miks me teeme seda, mida teeme.
Siseauditi kontekstis tähendab avaliku huvi teenimine tavaliselt ootust, et siseaudiitorid tegutsevad viisil, mis toob kasu ühiskonnale laiemalt, mitte ainult oma ettevõttele, kus ta töötab. See hõlmab ettevõtte läbipaistvust, vastutust ja head juhtimistava.
2. UUENDATUD STRUKTUUR ON LOOGILINE JA TERVIKLIK
IPPF orgaaniline areng oli muutnud raamistiku lapiteki-laadseks, milles oli väga keeruline orienteeruda. Alustades täiesti puhtalt lehelt, on integreeritud kõik vana IPPF põhikomponendid loogilisemasse ja intuitiivsemasse struktuuri. 52 standardit on nüüd jagatud viide valdkonda:
Need valdkonnad kokku hõlmavad 15 põhimõtet ja igale põhimõttele järgnevad sellega seotud standard(id) (kohustuslikud "Nõuded") ja sellega seotud juhised ("Kaalutlused elluviimisel").
Uued standardid muudavad kogu IPPF-i struktuuri ja nummerdamissüsteemi nii, et auditi käsiraamatuid, poliitikaid ja protseduure, tarkvara, töölehti ja muid dokumente, mis viitavad vanadele IPPF-i jaotistele ja nummerdamisskeemile, tuleb ajakohastada.
Lisaks võib nõuete ja juhiste integreerimine standardite sildi alla – lisaks üsna pika sisuga dokumendi loomisele – tekitada segadust kohustuslike ja soovituslike protseduuride osas. Lõppkokkuvõttes muudab uus struktuur aga vajalike määratluste, nõuete ja juhiste leidmise intuitiivsemaks.
3. TÄPSEMAD STANDARDID
Mõistame kõik põhilist seost poliitikate ja protseduuride vahel. Poliitikad selgitavad, mida oodatakse, ja protseduurid annavad üksikasjalikud juhised, kuidas poliitikaid ellu viiakse. See analoogia aitab mõista fundamentaalset nihet vanalt IPPF-ilt uutele Standarditele üleminekul.
Üldiselt määratles IPPF põhimõtted (poliitikad), mille rakendamine oli siseauditi juhtide ülesanne, ning juhid otsustasid, milliseid protseduure kasutada. Uued Standardid sisaldavad aga konkreetseid protseduure standarditena, nõudes nii poliitika kui protseduuri üheaegset rakendamist.
2024. aastal valminud eelnõu tekitas selle uue muudatusega olulise arutelu. Vana IPPF oli asendatud uute põhimõtetega, millele järgnesid põhjalikud reeglid, millest peaaegu kõik olid märgitud kohustuslikuks.
Kuigi lõplikus standardite versioonis vähendati oluliselt kohustuslike reeglite hulka, sisaldavad need siiski täpsemaid nõudeid võrreldes eelmise IPPF-ga. Siseauditijuhid peaksid võtma aja iga standardi läbilugemiseks – eriti just V valdkond (Elluviimine) –, et kinnitada, et need nõuded kajastavad praegusi tavasid või vajadusel neid värskendatakse.
4. VÄHEM ERISUSI KINDLUSTANDVATE JA NÕUANDVATE TEENUSTE NÕUETES
Kui vana IPPF esitas selged ja eristuvad nõuded nõustamisteenustele, siis uued standardid kehtivad nii kindlustandvatele kui ka nõuandvatele teenustele, välja arvatud üksikud standardid, kus on määratletud teisiti. V valdkonna (Elluviimine) sissejuhatus ja valitud standardid annavad nüüd piiratud hulgal juhiseid nõuandvatele töödele ((vt 13.2, 13.3, 13.4, 13.6, 14.2 ja 14.5).
Siseauditi juhtidel, kes pakuvad mitmesuguseid nõuandvaid teenuseid, võib olla keeruline järgida kõiki nõudeid, eriti kui nõuandev töö ei sisalda auditieelset testimist, näiteks sellega seotud lihtsustamist, koolitust või soovituste andmist võimalike poliitikamuudatuste kohta. Eelkõige võivad V teema teatud nõuded osutuda keeruliseks.
5. SUUREM RÕHK SISEAUDITI STRATEEGIALE, SUHETE LOOMISELE JA KOMMUNIKATSIOONILE
On loodud mitu uut standardit, mida varem otseselt ei eksisteerinud:
On teada, et mõned siseauditi üksused on nende valdkondadega ajalooliselt tegelenud. AuditBoardi 2024. aasta uuringus "Focus on the Future" selgus, et ainult igal viiendal siseauditi üksusel on laiahaardeline ja hästi dokumenteeritud strateegiline plaan 3-5 aastaks.
Need uued standardid täiendavad tavasid kohustuslike nõuetega, nõudes siseauditi üksuselt strateegilisemat lähenemist. Siseauditijuhtidel soovitatakse need standardid hoolikalt läbi lugeda ja veenduda, kas tema üksuses on need nõuded täidetud. Vastavuse tõendamiseks võib vaja minna täiendavaid üksikasju või dokumente.
Standardid seavad siseauditijuhile ka kõrgemad ootused suhtlemisel juhatuse ja kõrgema juhtkonnaga, andes selgeid juhised konkreetsete küsimuste arutamiseks. Paljud siseauditijuhid viivad seetõttu läbi põhjalikumaid arutelusid kui varasemalt.
Iga valdkonna III teema (juhtimine) standardi nõuded seavad siseauditijuhile mitu kohustuslikku tingimust ning ka konkreetsed juhatuse ja kõrgema juhtkonna tegevused kui olulised tingimused, mis aitavad kaasa, et siseaudit saaks täita siseauditi eesmärki. Juhatuse või kõrgema juhtkonna mittenõustumine nende oluliste tingimustega nõuab siseauditijuhilt järelkontrolli (tagasiside, dokumentatsioon).
6. UUS RÕHUASETUS TULEMUSLIKKUSE MÕÕTMISELE
Nagu eespool märgitud, nõuab uus standard (12.2) siseauditijuhilt eesmärkide väljatöötamist üksuse tulemuslikkuse hindamiseks, arvestades nõukogu ja tippjuhtkonna sisendit ning ootusi. Standard ei nõua konkreetsete tulemuseesmärkide kasutamist, kuid sellega seotud juhistes on toodud näidismõõdikud nagu:
Kuna siseauditijuhi tulemuslikkuse mõõtmise metoodika peab kaasa aitama üksuse eesmärkide saavutamisele ja edendama üksuse pidevat arengut, on kriitiliselt oluline lisada need mõõdikud üksuse strateegilisse plaani.
7. SUUREMAD NÕUDED KVALITEEDIHINDAMISTELE
Nii sise- kui välishindamiste kvaliteedistandardid on oluliselt muutunud:
Mõned siseauditijuhid peavad uued standardid ellu viima juba 2025. aasta jaanuariks. Sellest tulenevalt võib nendes üksustes, mille välishindamine on 2025. aastal, viia hindamised läbi IPPF-i vanade nõuete järgi.
SOOVITUSED EDASISTEKS TEGEVUSTEKS
Siseauditijuhtide jaoks on IIA uutele standarditele üleminek uue ja olulise protsessi algus. Täieliku vastavuse tagamiseks soovitame:
- Vaadata läbi ja mõista standardite uusi nõudeid
- Teha oma üksuse "lünkade analüüs" vastavuse hindamiseks
- Tuvastada peamised tegevused täieliku vastavuse saavutamiseks
- Koostada tegevuskava vastavuslünkade kõrvaldamiseks koos ajaskaala ja tulemusmõõdikutega
- Teavitada oma peamisi huvirühmi uutest nõuetest ja hoida neid kursis meetmetega, mis on vajalikud vastavuse saavutamiseks
- Teha "valmisoleku hindamine"
Kuigi IIA uute standarditega kohandumine võib tunduda raske koormusena juba niigi ülekoormatud siseauditi funktsioonidele, on tulemus seda väärt. Siseauditi kutsestandardid eristavad meid paljudest teistest riski- ja järelevalvefunktsioonidest. Vastavus on hädavajalik.
Autorid:
Richard Chambers, CIA, CRMA, CFE, CGAP, is the CEO of Richard F. Chambers & Associates. Previously, he served for over a decade as the president and CEO of The Institute of Internal Auditors (IIA).
Patricia Miller, CIA, CRMA QIAL, CPA, CISA is the owner of PKMiller Risk Consulting.