ESAÜ liikmed külastasid „Kolleegile külla“ ürituste sarja raames kolleege KPMG Tallinna kontoris 25.09.2014. Osalejaid võtsid vastu Karin Rätsep - KPMG Baltics OÜ nõustamisteenuste juht ja siseauditi teenuste juht, ning Teet Raidma - KPMG Baltics OÜ IT nõustamisteenuste juht. Külastuse jooksul tutvustas Karin Rätsep esmalt KPMG tausta ja ettevõtet, lisaks andis ülevaate oma tegutsemisvaldkondadest ning rääkis KPMG-s siseauditi teenuse pakkumisest. Seejärel rääkis Teet Raidma IT-st siseauditi kontekstis teemal „IT siseaudit muutuste tuules“. Seejärel tutvuti KPMG kontoriga.
KPMG kui organisatsioon
KPMG on ülemaailmne auditi-, maksu- ja nõustamisteenuseid pakkuvate ettevõtete võrgustik. Nad tegutsevad 155 riigis ja nende liikmesettevõtetes üle maailma töötab rohkem kui 155 000 inimest. Kohalik juhtimistasand hõlmab Eesti, Läti, Leedu ja Valgevene kontoreid, mis asuvad vastavalt Tallinnas, Riias, Vilniuses, Klaipedas ja Minskis. Need koonduvad ühtse ärinime KPMG Baltics OÜ alla. Balti regiooni kontorites töötab kokku ca 300 inimest.
Oma eeliseks peab KPMG tihedat ülemaailmset koostöövõrgustikku kõikide liikmesetevõtete vahel. Tänu selle on välja kujundatud ka virtuaalne klassiruumistiilis riikidevaheline koolitussüsteem, mis tagab grupi tasandil kõrgekvaliteediliste koolituste kättesaadavuse.
Nõustamisteenustest pakub KPMG maksu-, juhtimisalast, siseauditi, riskijuhtimise, pettuste juhtimise ja finantsnõustamist. Põhituumik igas riigis aga kombineeritakse vastavalt teenustele. KPMG on loonud ka oma advokaadibüroo. Siseauditite puhul praktiseeritakse palju sisemiste ekspertide kaasamist.
Tööde/projektide vastu võtmise eel hinnatakse kliendiriski. Välditakse huvide konflikti tekkimise võimalust olemasolevate klientidega, puuduliku maksudistsipliiniga ettevõtteid ning hinnatakse ettevõtte juhi mainet.
KPMG siseauditi teenuse pakkujana
Siseauditi teenust pakkuv tiim on kolmeliikmeline, kuhu vajadusel kaasatakse valdkondade (nt IT, pettuste jne) spetsialiste. Kogu vajalik kompetents on ettevõttes olemas. Siseauditi teenust osutavad tiimid on tavaliselt kolmeliikmelised. Üks inimene võib samaaegselt osaleda mitmes projektis. Ajaarvestust projektides osalemise kohta peetakse ressursiplaneerimise programmis.
Töö tegemine sarnaneb Karini sõnul Siseauditi tööprotsessiga. Lähtutakse standardist, iga 3. aasta tagant viiakse läbi kvaliteedikontroll. Juhul, kui KPMG-le on ettevõtte poolt üle antud kogu Siseauditi funktsioon, siis KPMG koostab kliendiga koostöös auditi universumi 3-4 aasta plaanis, mida vaadatakse iga-aastaselt üle. Tööplaan koostatakse koostöös juhtorganitega ning kõik auditi aruanded arutatakse samuti nendega läbi. Määravaks peab Karin siinjuures kliendi juhi/juhtide suhtumist siseauditisse.
KPMG on siseauditi teenuse pakkumise praktika jooksul kokku puutunud järgmiste raskustega;
- veenda ettevõtteid, kus siseauditifunktsioon on kohustuslik, siseauditi vajalikkuses;
- miks peab lisaks sisekontrolli ja siseauditi ülalpidamisele kulutama raha siseauditi kontrollimisele.
IT siseaudit
IT on pidevas muutuste tuules – pidevalt paisatakse turule uusi lahendusi ning kliendid soovivad muutustega sammu pidada, samas ei pruugi kõik uued lahendused klienti rahuldada ning erinevad tehnoloogiad ei pruugi alati üksteist toetada. Klient ootab pakutud lahendustest innovatiivsust, agiilsust, efektiivsust ja ärile suunatust.
Üldjuhul on IT organisatsioon vahendajaks kliendi ja teenusepakkuja vahel. Seetõttu on tihti vajalik auditeerida IT organisatsiooni. Sh peaks olulist tähelepanu pöörama sõlmitud lepingutele.
Siseauditi viib läbi järgmisi IT-auditeid:
- vastavusaudit – infotehnoloogia korraldamine toimub vastavuses kehtivate õigusaktidega, standarditega, hea tavaga vms;
- infoturbe audit – infoturbe riskid on hinnatud adekvaatselt, riskide maandamiseks on rakendatud piisavad meetmed;
- infrastruktuuri audit – infrastruktuur on üles ehitatud vastavalt vajadusele ja terviklikult, haldusprotseduurid on juurutatud korrektselt;
- protsessiaudit – näide: arendusprotsess järgib välja töötatud ja kinnitatud protsessireegleid, tagatud on mõistlik ressursikasutus;
- IT audit kui osa auditiprojektist – osa Siseauditi või finantsauditi raames tehtavast tööst, andmaks kindlust, kas IT süsteemidele või automaatsetele kontrollidele võib tugineda.
Traditsiooniline siseaudit võib anda järgmise tulemuse:
- kontrollide testimine retrospektiivne, tihti mitmeid kuid pärast sündmuste toimumist;
- testimine valimipõhine;
- tihti on liiga hilja andmaks ettevõttele maksimaalset lisaväärtust, olulised asjad võivad jääda fookusest välja.
Samas pidev siseaudit tegeleb järgmisega:
- kontrollide toimimise jälgimine automaatne ja pidev (tihti ka reaalajas);
- võimalik läbi vaadata 100% tehtud toimingutest;
- võimalik laiendada skoopi, kuna ei vaja pidevat tegelemist.
Siseauditi eesmärgiks on saada riskikohtadest teada nii vara kui võimalik. Siinkohal tuleb IT osas silmas pidada, et juhtkond disainib ja monitoorib, siseaudit hindab mõõdikute toimimist. Sealjuures võib siseaudit tugineda olemasolevatele mõõdikutele või luua oma mõõdikud. Siseauditi läbiviimisel tuleks kasutada eelkõige juba olemasolevat andmestikku (programmide logid, andmebaasidesse talletatav info jne). Lisaks tuleb juurde mõelda, mida oleks veel vaja ja võimalik mõõta.
IT osas on kasvavaks riskiks turvalisus. Ohustatud grupiks on seejuures kaardimaksetega tegelevad ettevõtted. Küberkuritegevuse osas panustatakse järjest rohkem väljastpoolt tuleva rünnaku ennetamisse. Samas jäetakse tahaplaanile võimalus, et rünnak võib toimuda ka seestpoolt.
Aitäh KPMG kolleegidele meeldiva ja sisuka külastuse eest!