Edusammude jälgimiseks on paremaid viise, kui teha järelauditeid, kinnitab oma järjekordses blogi-artiklis Richard Chambers, kes oli IIA pikaaegne president ja tegevjuht. Ta selgitab, miks ta nii mõtleb ja annab siseaudiitoritele väärt juhtnööre, mida teha teisiti.
Ühel hiljutisel seminaril, mida ma Dubais juhtisin, kerkis päevakorda järelauditite teema ning koolitusruumis tekkinud frustratsioon oli tuntav. Seminaril osalejad olid pettunud, sest sageli tehti järelauditeid just siis, kui avastati, et siseaudiitorite antud soovitused olid ellu viimata.
Tundsin oma seminaril osalejatele kaasa. Aastaid tagasi, noore siseaudiitorina, olin alati olnud uhke oma auditite aruannete üle, eriti just oma järelduste ja soovituste üle. Seega oli uue auditiaruande valmimise üle alati põhjust rõõmustada.
Kuid miski ei olnud demoraliseerivam kui see, kui ma tegin nõutud järelauditi ainult seetõttu, et olin avastanud, et minu hoolikalt koostatud soovitusi või välja pakutud tegevuskavasid ei olnud ellu viidud.
Kuidas nii, mõtlesin toona. Ettevõtte juhtkond oli ju nõustunud minu soovituste ja parandusmeetmetega (või pakkus välja omad ideed), et auditites tuvastatud probleeme lahendada. Niisiis, miks nad päris sageli ei viinud ellu minu ettepanekuid?
Juhtkonnalt oli alati palju vabandusi, kui järelaudititest selgus, et "probleeme ei olnud lahendatud". Need olin näiteks sellised:
- "Me alahindasime selle tegevuse keerukust, milles kokku leppisime."
- "Arva ära? Teie soovitused ei olnud teostatavad!"
- "Me ei teadnud, kui kaua lubatud tegevuste elluviimine aega võtab."
- "Asjaolud muutusid ja kokkulepitud toimingud ei kehti enam."
- "Selgus, et meil polnud probleemide lahendamiseks ressursse."
- "Koer sõi meie kodutöö ära jne."
Lõpuks hakkasin ma kartma järelauditeid, sest tulemused valmistasid väga sageli pettumuse.
Kui minust sai auditijuht (CAE), seadsin ma tõsiselt kahtluse alla järelauditite vajaduse ja seega väärtuse. Ma leidsin, et neist on harva kasu ja seega pole see siseauditi ressursside tõhus kasutamine. Lõppude lõpuks, mis avaldab organisatsioonile kõige suuremat mõju: kas teha auditeid kõrge riskiga uutes valdkondades/teemades või vaadata taas üle valdkondi, kuhu me vaid paar kuud varem olime juba aega ja energiat pühendanud? Isegi siis, kui leidsime, et kõik soovitused on ellu viidud, tundsin, et oleksime saanud oma ressursse targemalt kasutada.
Tol ajal valitsuse audiitorina ei olnud mul tegelikult valikut, kas järelauditeid teha või mitte.
Need olid meile kohustuslikud lähtuvalt siseaudiitorite kutsestandarditest ja õigusaktidest. Õnneks pakuvad IIA rahvusvahelised siseauditi kutsestandardid järelauditite tegemisel palju enam valikuvabadust. Fookus on nihkunud väljunditelt (järelauditid) tulemustele (leidude ja soovituste nõuded meie auditite aruannetes).
IIA standard 2500: edusammude jälgimine käsitleb siseaudiitorite kohustusi seoses leidude ja soovituste avaldamisega. Selles on kirjas:
Auditi juht peab looma ja haldama juhtkonnale esitatud audititulemuste elluviimise süsteemi.
2500.A1 – Auditi juht peab kehtestama järelkontrolliprotseduurid, et jälgida ja tagada, et juhtkonnale antud soovitused on tõhusalt rakendatud või et tippjuhtkond on aktsepteerinud riski, et meetmeid ei rakendata.
Standardis ei esine kusagil sõnu "järelaudit". Selle asemel on rõhk "järeltegevusel".
IIA annab üksikasjalikke soovitusi standardi 2500 rakendusjuhises, kuidas selliseid protsesse kavandada ja rakendada. Sellise protsessi kavandamisel rõhutatakse juhendis asjakohaselt, et siseaudiitorid „paluvad juhtkonnalt kaasabi tõhusa monitooringu protsessi loomiseks." Samuti märgitakse juhendis, et seireprotsess võib olla "keeruline või lihtne" olenevalt siseauditi funktsiooni suurusest ja keerukusest ning organisatsioonist, mida see teenindab.
IIA juhised pakuvad selgeid alternatiive kohustuslikele järelaudititele, millega paljud meist on aastaid vaeva näinud. Tegelikult on seal kirjas:
"...siseauditi juhid võivad perioodiliselt, näiteks kord kvartalis, küsida infot kõigi parandusmeetmete seisu kohta, mis oli plaanis eelmisel perioodil lõpule viia. Võib teha audititele ka perioodilisi järelkontrolli töövõtte koos oluliste soovitustega, et hinnata ellu viidud parandusmeetmete kvaliteeti. Aga ellu viimata soovitusi võib jälgida ka järgmiste auditi käigus, mis on plaanis teha samas valdkonnas. Auditi lähenemisviis valitakse hinnangulise riskitaseme ja olemasolevate ressursside põhjal.
Nagu juhises märgitakse, võib teha ka nö järelauditeid, eriti nende leidude osas, mis on seotud oluliste riskidega. Samuti mõistan, et mõnel juhul võib juhtkond, auditikomitee või seadusandja soovida, et siseaudit teeks rutiinseid järelauditeid. Sel juhul soovitan enne järelauditite tegemist väga praktilist lähenemist, mis tagab siseauditi nappide ressursside targema kasutamise.
Enne järelauditi planeerimist esitage endale mitu olulist küsimust:
-
Kas juhtkond on teatanud, et parandusmeetmed on ellu viidud? Ma ei alustaks kunagi järelauditit enne, kui olen juhtkonnalt eelnevalt küsinud: "Kas olete kokkulepitud parandusmeetmed ellu viinud?" Kui ei, siis peame ilmselt küsima, miks parandusmeetmed on ellu viimata või on ajakavast maas. Aga see pole õige aeg järeltoiminguteks. Järelauditit pole vaja, kui teate juba, et midagi on ikka veel "katki".
-
Kas kontrollitava valdkonna juhtkond on kunagi püüdnud siseauditit soovituste elluviimise või muude leidude osas eksitada? Kui jah, siis on see kriitiline punane lipp, mis õigustab kindlasti järelauditit. Kui aga juhtkond/ klient on usaldusväärne ja teil on avatud ja usaldav töösuhe, võiksite toetuda tema kinnitusele, et soovitused viiakse ellu või on seda juba tehtud. Kui probleemid on eriti suure riskiga, võiksite siiski teha valikulisi või valimipõhiseid järeltoiminguid, et saada juhtkonna väidetele kinnitust.
-
Kas kavandatud parandusmeetmed olid nii keerulised, et põhjustasid tõenäoliselt ettenägematuid probleeme? Tegevused muutuvad kõige tõenäolisemalt protsesside muutmisel ja kui tehakse keerulisi muudatusi, võib osutuda vajalikuks täiendav ülevaatus. Kuid kui kavandatud parandusmeetmed on suhteliselt lihtsad, on vead vähem tõenäolised ja ülevaatamine ei pruugi olla õigustatud.
-
Kas korduvad leiud on tõenäolised? Kui tunnete oma kliente hästi, võite teada mõnda juhti, kes kipuvad tegema samu vigu või kes näivad alahindavat siseauditi tähtsust. Kui kliendid on altid vigadele või kui esineb sageli korduvaid leide, on riskid suuremad. Kuid kui toimingud on hästi kontrollitud ja klient teatab, et parandusmeetmed on lõpule viidud, võite ilmselt järeltoimingud tegemata jätta.
-
Kas järelauditit nõuab revisjonikomisjon või seadus? Nagu eespool märgitud, nõuavad mõned auditikomiteed järelauditeid, eriti need, mille puhul leiud on suurema riskiga. Kui siseauditijuht usub, et see ootus tähendab siseauditi ressursside ebatõhusat kasutamist, soovitan tungivalt avameelset vestlust juhtkonna ja auditikomiteega, et pakkuda välja alternatiivsed viisid, nagu kirjeldab IIA standardi 2500 rakendusjuhis. Kuid otsus on lõpuks juhatuse mitte meie oma.
Kui pärast hoolikat hindamist tunduvad järelauditid ikkagi põhjendatud, võiksite endalt küsida, mis seda vajadust põhjustab.
- Kas audiitorite antud soovitused olid ebamäärased?
- Kas audiitorid ei olnud veenvad?
- Kas te ei kuulanud juhtkonda ning ei võtnud nende vastuväiteid tõsiselt?
- Kas antud soovitused või tegevuskavad on ebaselged või liiga üldised?
- Kas organisatsiooni sees valitseb mittevastavuse kultuur?
Ilmselgelt on parem leida korduvaid vigu, kui neid kahe silma vahele jätta ja mõnikord võib see tähendada, et on vaja teha järelaudit.
Kuid korduvad leiud on sageli nii siseauditi kui ka juhtkonna läbikukkumine.
Kui vajame oma töö tegemiseks sageli järelauditeid, siis peame jõudma algpõhjusteni. Parem on ennetada tõrkeid, kui neid tagantjärele tuvastada. On aeg mõista, et lõppeesmärk ei ole järelauditite arv. Selle asemel on eesmärk auditis antud põhjendatud soovituste elluviimine ja kindluse saamiseks tuleb kasutada seiresüsteemi.