Norman Marks avaldas hiljuti oma blogis artikli sellest, kas ja kuidas tippjuhtkond väärtustab siseaudiitorit. Tema otsekohesed väljaütlemised ning osaliselt IIA poolt antud juhistega vastanduvad seisukohad on kirjutatud lähtuvalt tippjuhtkonna ootustest siseauditile. Autor rõhutab, et artiklis kajastab ta oma isiklikke vaateid ning need ei peegelda IIA seisukohti!
Paljud siseaudiitorid sooviksid osaleda juhtkonna koosolekutel. Kuid kas siseaudiitorid väärivad kohta kõrgema juhtkonna lauas tippjuhtide hulgas? Või peaksid nad osalema koos tugiüksuste personaliga koosolekutel, mis on mõeldud allüksuste juhtidele? Või hoopis osalema keskastme juhtide koosolekutel?
Siseaudiitorite eesmärk on osaleda just nendel koosolekutel, kus on ettevõtte tegevjuht, finantsjuht, tegevdirektor, nõunikud ja tegevdirektori asetäitjad.
Praktikas on see aga harva saavutatav. Miks nii? Selle põhjuseks on asjaolu, et siseaudiitori tiitlist ja positsioonist on olulisem hoopis see, millist lisaväärtust siseaudiitorid saavad pakkuda tippjuhtide koosolekute aruteludesse.
Kui teie organisatsiooni juhatuse liikmed ja tegevjuht on samal arvamusel Drew Stein´iga (juhatuse liige ja endine tegevjuht Uus-Meremaal), siis siseaudiitoril ei ole kohta juhtkonna koosolekutel. Ta väidab järgmist:
- Peaaegu kõik siseauditi leiud on igavad tegevusala vastavuse probleemid, millele tähelepanu juhtimisel saab juhtkond koheselt sekkuda ning tuvastatud puudused parandada. Kuigi tegevusala terviklikkuse tagamine on oluline, ei ole tegemist kriitiliste probleemidega.
- Enamus tegevusala vastavusnõuete rikkumisi ja väikseid finantsrikkumisi on tavapäraste tööprotsesside käigus juhtide poolt tuvastatud juba enne siseauditi sekkumist.
Selleks, et siseaudiitorid oleksid oodatud tippjuhtkonna koosolekutele, peaksid nad auditeerima seda, mis on tähtis ning andma juhtkonnale kindlustunnet, nõuandeid ja vaatenurki valdkondades, mis on tähtsad.
Siseaudiitorite tehtav töö peab olema tippjuhtkonna jaoks nii oluline, et paneks neid huviga kuulama, mida siseauditil öelda on. Miks? Sest tippjuhtidele on tähtis selline info, mis aitab neil saavutada nende isiklikke ja ettevõtte eesmärke ning aitab organisatsiooni edukalt juhtida.
Oma raamatuga Auditing That Matters (Olulise auditeerimine) püüan ma suunata neid, kes soovivad kohta tippjuhtide koosolekutel, täitma eelnevalt kirjeldatud kahte eesmärki. Selle saavutamiseks peab siseauditi juht mõistma ja selgitama juhtidele riske, mis on seotud ettevõtte eesmärkidega. Sellest lähtudes peaks siseauditi juht tippjuhtide koosolekutel rääkima sellest, „mida nad peavad teadma, et olla edukas“ selle asemel, et öelda, „mida nad peavad teadma“.
Ma arvasin, et leian selles suunas kaasamõtlejaid, kuid siis nägin uut IIA täiendavat juhist „Engagement Planning: Establishing Objectives and Scope“ („Töövõtu planeerimine: eesmärkide ja ulatuse määratlemine“). Juhise aluseks olevad IIA Standardid (2200 seeria) näevad ette, et siseauditi töövõtu planeerimisel tuleb võtta arvesse riske „mis on antud töö seisukohalt asjakohased“. See peaks tähendama arusaamist, et auditeeritavas valdkonnas või üksuses toimuv kujutab riskiallikat ettevõtte eesmärkidele. Kuigi auditis piirdutakse sellega, kuidas kohalikud tegevused mõjutavad ettevõtte eesmärke, peaks audit ikkagi keskenduma ettevõtte riskidele tervikuna, mitte kohaliku tasandi eesmärkidega seotud riskidele.
Kuid IIA juhis räägib „esialgsest töövõtu riskide hindamise“ läbiviimisest kasutades kohalike protsesside kaardistamist ja ajurünnakut. Sellisel juhul on oht, et tulemuseks on auditid, mis on tähtsad sellele konkreetsele valdkonnale, kuid mitte ettevõttele kui tervikule.
Ei peaks olema tingimata vajalik läbi viia detailset riskide hindamist. Asukoht, üksus või protsess peaks olema auditite plaanis seetõttu, et seal on juba tuvastatud potentsiaalne riskiallikas ühele või mitmele ettevõtte eesmärgile. Auditit ei peaks lisama auditite plaani seetõttu, et auditeeritavas valdkonnas või üksuses on palju tulusid, varasid, inimesi või keerukaid süsteeme.
Audit peaks olema tööplaanis seetõttu, et auditeeritavas valdkonnas nähakse riskiallikat ettevõtte eesmärkidele.
Kõik, mida peaks töövõtu tasemel tegema, on minema natuke (mitte palju) sügavamale nende riskiallikate sisse ja otsustama, kuidas hinnata ja auditeerida seotud kontrolle. Detailset protsessi ja kontrollide kaardistamist ei ole tihti vajadust teha ning see on mh meie kõige väärtuslikuma ressursi ehk aja raiskamine.
Auditi eesmärk peaks olema pakkuda kindlustunnet, nõuannet ja vaatenurki, mis aitavad juhatusel ja tippjuhtkonnal juhtida riske ning saavutada nende jaoks olulisi eesmärke – ettevõtte eesmärke.
Kui siseaudiitori pakutav on tähtis tippjuhtkonnale, sest see sisaldab nõuandeid, kindlustunnet ja vaatenurki, mis on praktilise väärtusega ja aitavad juhtida organisatsiooni kui tervikut, oled sa teretulnud tippjuhtkonna laua taha! Kui sinu info on oluline ainult keskastmejuhtidele, siis sellise taseme koosolekutel sa ka osaled. Kui su aruanne näeb välja nagu politseiraport, istud sa aga piltlikult öeldes köögis.
Kas teie siseaudit hindab, auditeerib ning pakub kindlustunnet, nõuandeid ja vaatenurki valdkondades, mis on tippjuhtkonnale tähtsad?