Rahvusvahelise Siseaudiitorite Instituudi (IIA) väljaande „Tone at the Top“ detsembri number on pühendatud riskidele - riskijuhtimise vaatest kõige suurema riskiga valdkonnad ja lähiajal olulised teemad. Artikkel tugineb IIA läbiviidud ülemaailmsele uuringule ning annab ülevaate, milliseid riske peaksid siseaudiitorid ja juhid 2024. aastal luubi all hoidma.
IIA Internal Audit Foundation’i uuring „Risk in Focus 2024“ keskmes on siseauditi juhtidelt kogutud info organisatsioonide riskidest praegu ja lähemas perspektiivis. Samuti vaatas uuring, millised valdkonnad on siseauditi üksuste tööplaanides tähelepanu all 2024. aastal ning millised riskid on kõige olulisemad lähema kolme aasta vaates.
Uuring tõi kõige olulisemate riskidena välja küberturvalisuse ja inimressursid. Vt tabel 1.
Küberturvalisus
Kuivõrd küberkuritegevus on viimastel aastatel muutunud aina keerukamaks, on igati loomulik, et siseaudit pöörab sellele valdkonnale kõrgendatud tähelepanu. Siseaudit võib näiteks hinnata küberturvalisusega seotud juhtimisprotsesside tõhusust. Siseauditi võib koostada ka ülevaate sellest, kas organisatsioon teeb kõik endast oleneva, et maandada küberturvalisusega seotud riske. Kuigi küberturvalisus on juba mitu aastat olnud riskide edetabeli tipus, näitab uuring, et siseauditi üksused ei ole sellele valdkonnale piisavalt ressursse eraldanud – olukord on muutunud võrreldes aastataguse ajaga.
Kahjuks on just inimesed need, kelle tõttu on organisatsioonid küberturvelisuse osas enim haavatavad. Töötajaid „pommitatakse“ andmepüügi e-kirjadega või muude üha keerukamate skeemidega, mille eesmärk on küberkurjategijate juurdepääs kriitilisele infole ja varadele. Siinkohal on olulised juhtkonna seisukohad ja eeskuju, samuti teadlikkuse kasvatamine näiteks koolituste abil. Juhtkond (nõukogud) saavad toetada siseauditi üksuste fokusseeritust küberturvalisuse teemadele, tagades selleks vajalikud ressursid.
Inimressursid
Töötajate anded ja teadmised on organisatsiooni eduks üliolulised, sest inimressurss, mitmekesisus, võrdsus ja kaasatus ning talendijuhtimine on muutunud võtmeküsimusteks. Samas paljud ei tea või ei ole kindlad, kuidas neid valdkondi mõõta, milline on nende tegevuste mõju. Olukorra on teinud keeruliseks ka uute põlvkondade muutunud ootused ning kaug- ja hübriidtöövormid.
Siseaudit saab näiteks välja selgitada, millised selle valdkonna mõõdikud on kõige väärtuslikumad ja esitab peamised tulemusnäitajad (KPI-d) viisil, mida on lihtne mõista nii strateegilisest kui ka juhtimise vaatenurgast. Kuivõrd siseauditil on juurdepääs organisatsiooni infole, sealhulgas töötajate rahulolu tagamise tegevustele, saab kõrgem juhtkond seda infot kasutada, et viia inimressurssi jm strateegiaid kooskõlla töötegemise muutuvate viiside ja ootustega.
TOP riskid 2024
Valdkond | Kogu maailm | Euroopa |
| 73% | 84% |
2. Inimressursid | 51% | 50% |
3. Talitluspidevus | 47% | 35% |
4. Muudatused õigusaktides | 39% | 43% |
5. Digipööre | 34% | 33% |
6. Finantslikviidsus | 32% | 26% |
7. Turumuutused | 32% | 30% |
8. Geopoliitiline ebakindlus | 30% | 43% |
9. Valitsemine / aruandlus | 27% | 22% |
10. Tarneahel ja allhanked | 26% | 30% |
11. Organisatsioonikultuur | 26% | 20% |
12. Pettused | 24% | 13% |
13. Kommunikatsioon / maine | 21% | 12% |
14. Kliimamuutused | 19% | 31% |
15. Tervis ja ohutus | 11% | 13% |
16. Ühinemised ja ülevõtmised | 6% | 8% |
Tabel 1. Riskid 2024. aastal. Allikas: Risk in Focus 2024
Tulevikuvaade
„Risk in Focus 2024“ palus siseauditi juhtidel järjestada, milliste riskidega nende organisatsioonid kolme aasta pärast silmitsi seisavad (vt tabel 2). Pole üllatav, et küberturvalisus jäi esimeseks, digipööre liikus teisele ja kliimamuutused viiendale kohale.
Valdkond | % |
| 67 |
2. Digipööre | 55 |
3. Inimressursid | 46 |
4. Talitluspidevus | 41 |
5. Kliimamuutused | 39 |
6. Muudatused õigusaktides | 39 |
7. Geopoliitiline määramatus | 34 |
8. Turumuutused | 33 |
9. Tarneahel ja allhanked | 25 |
10. Finantslikviidsus | 23 |
11. Organisatsioonikultuur | 21 |
12. Valitsemine / aruandlus | 20 |
13. Pettused | 20 |
14. Kommunikatsioon / maine | 15 |
15. Tervis ja ohutus | 11 |
16. Ühinemised ja ülevõtmised | 11 |
Tabel 2. Allikas: Risk in Focus 2024
Digipööre
Raske on ennustada, millised uued tehnoloogiad avaldavad kõige suuremat mõju lähitulevikus, kuid tõenäoliselt on tehisintellekt (AI) üks neist. Kuivõrd AI muudab organisatsioonide juhtimist, saab siseaudit aidata mõista AI pakutavaid võimalusi ja ohte. Näiteks riske, mis on seotud privaatsusega, konfidentsiaalsusega, intellektuaalomandiga, teabe täpsusega jne.
Kliimamuutused
Ettevõtete aruandlus selles valdkonnas on olnud pikka aega vabatahtlik, kuid see muutub kiiresti, sest seadusandjad esitavad uusi nõudeid, sh näiteks Euroopa jätkusuutlikkuse aruandlusstandardid. Siseaudit saab näiteks aidata selle valdkonna uute kontseptsioonide alase teabega nagu näiteks topeltmõju (double materiality) või rohepesu (greenwashing).
Riskide omavaheline seotus
Siseauditi juhtide uuring tõi esile ka riskide seotuse – viisi, kuidas üks risk võib põhjustada teisi ja teisi ka suurendada. Näiteks küberjulgeoleku intsident ei valmista peavalu tavaliselt mitte ainult IT-üksusele ja sellest otseselt mõjutatud töötajatele. Lisaks muudele negatiivsetele mõjudele võib see mõjutada ka ettevõtte kaubamärki või koostöösuhteid, sh kliendid, äripartnerid või muud sidusrühmad.
Siseaudit võib näiteks pakkuda juhtkonnale tervikvaadet, ühendades näiliselt mitteseotud riskid, millega organisatsioon silmitsi seisab. Nõukogudel / auditikomiteedel soovitatakse kohtuda regulaarselt siseauditi juhtidega, et arutada riskijuhtimise, vastavuse, ärivõimaluste ja protsessidega seotud küsimusi.
Lõpetuseks pakuti uuringus välja ka need küsimused, mida võiks 2024. aastal nõukogu liikmetele esitada:
Millised regulatsioonid mõjutavad või eeldatavasti hakkavad mõjutama ettevõtet?
Kuidas ettevõte valmistub avalikustama oma keskkonna-, sotsiaal- ja juhtimisalase teavet, mida regulatsioonid nõuavad?
Kas ettevõte suudab koostada ESG alast usaldusväärset infot, et kasutada seda strateegiliste otsuste tegemisel?
Kas ettevõtte äripartnerid või teised selle väärtusahela liikmed ootavad ettevõttelt ESG alase teabe esitamist?