Kolmandate osapoolte riskid – mida uus IIA valdkondlik nõue siseaudiitorilt ootab?

ESAÜ korraldas koolituse, et tutvustada eelmisel aastal avaldatud IIA valdkondlikku nõuet, mis puudutab kolmandate osapoolte riskide käsitlemist siseauditi töövõttudes. Koolituse viis läbi PwC siseauditi ning GRC valdkonna juht Karin Grents, kes omab pikaajalist auditeerimiskogemust ning on oma senises töös väga palju just kokku puutunud kolmandate osapooltega seotud protsesside auditeerimisega.

Rahvusvaheline siseauditi raamistik (sh IIA standardid) on viimastel aastatel liikunud üldpõhimõtetelt järjest konkreetsemate ootuste suunas. Üheks oluliseks uueks elemendiks selles arengus on valdkondlikud nõuded (Topical Requirements for internal auditing | The IIA). Need on IIA poolt välja töötatud juhised konkreetsete riskivaldkondade auditeerimiseks. Kui standardid kirjeldavad, kuidas siseauditit teha, siis valdkondlikud nõuded täpsustavad, mida hinnata teatud tüüpi riskide või teemade puhul. Oluline on seejuures, et need ei ole soovituslikud praktikad, vaid on siduvad nendele siseaudiitoritele, kes juhinduvad IIA standarditest.

Samas tuleb välja tuua, et valdkondlik nõue ei nõua alati eraldi auditit, vaid sisuliselt on need „läbivad teemad“, mis peavad integreeruma erinevatesse audititesse. Rakendusjuhis eeldab, et siseaudiitor hindab, kas konkreetne teema on tema töövõtuga seotud, ning kui on, siis katab nõude asjakohases ulatuses ja dokumenteerib selle. Sama oluline on dokumenteerida, mis ulatuses ja millistel kaalutlustel kõiki nõudeid konkreetses töös ei kaeta.  Need põhimõtted kehtivad kõigi valdkondlike nõuete puhul.

Tänaseks on IIA juba avaldanud valdkondlikud nõuded kolmel teemal, millest üks käsitleb kolmandate osapooltega seotud riskide juhtimist ja auditeerimist. See ei ole juhuslik valik – organisatsioonide kasvav sõltuvus partneritest, teenusepakkujatest ja tarneahelatest tähendab, et riskid ei piirdu enam ainult ettevõtte enda protsessidega. Kolmandate osapoolte valdkondlik nõue jõustub alates 15. septembrist 2026. 

Küsimus ei ole „Kas?“, vaid „Kuidas?“ ja „Mida?“

Kuigi enamik organisatsioone juba täna haldab tarnijaid ja teenusepakkujaid, toob uus nõue teema suuremasse fookuse ka siseaudiitorite vaates. Kolmandate osapooltega seotud riskid on eeldatavasti moel või teisel enamus siseauditi üksuste riskiregistrites ja auditiuniversumites kaetud. Uus nõue aitab ühetaolisemalt aru saada ja praktiseerida, et kuidas auditeerida midagi, mis on hajutatud üle organisatsiooni, hõlmab mitut funktsiooni ja ei pruugi olla ühtse protsessina formaliseeritud.

Just siin oli koolituse suurim praktiline väärtus. Tänu koolitaja mitmekülgsele kogemusele antud valdkonna auditeerimisel toodi hulgaliselt elulisi näiteid mh olukordadest, kus raamistik on formaalselt olemas, kuid tegelik praktika erineb; või vastupidi, kus protsess toimib, kuid ei ole läbipaistev ega dokumenteeritud.

See lõi hea pinnase ka osalejatevahelisteks aruteludeks. Jagati kogemusi olukordadest, kus näiteks:

• lepingud on tugevad, kuid seire nõrk (sh kas ja kuidas rakendada kolmanda osapoole auditeerimise õigust ja kes seda tegema peaks);
• kaalutlusprotsess kolmandate osapoolte kaasamiseks on formaalselt kirjeldamata, kuid praktikas „tehakse ära“;
• või vastutus kolmandate osapoolte haldamisel on jaotatud, ent mitte selgelt mõistetud.

Kolm tasandit, mille kaudu kolmandate osapoolte riske auditites katta

Koolitusel raamiti kolmandate osapoolte riskide haldamise auditeerimine kolme põhimõttelise küsimuse kaudu (millele on üles ehitatud kõik seni avaldatud IIA valdkondlikud nõuded).

Esiteks, raamistik: kas organisatsioonil on toimiv ja selgelt määratletud lähenemine kolmandate osapoolte kasutamiseks? See hõlmab otsustusloogikat (millal ja miks teenust sisse osta), rolle ja vastutusi ning sisekordi kogu elutsükli ulatuses.

Teiseks, riskijuhtimine: kas kolmandate osapooltega seotud riske hinnatakse ja juhitakse süsteemselt? Siin ei piisa üksikust riskianalüüsist lepingu sõlmimisel – oluline on, et riskihindamine toimuks enne koostöö algust ja jätkuks selle vältel, arvestades muutuvat keskkonda. 

Kolmandaks, rakendatavad kontrollid: kas kehtestatud kontrollid päriselt toimivad? See on sageli koht, kus auditis selgub suurim erinevus „paberil“ ja tegeliku praktika vahel.

Elutsükli mõtteviis aitab auditit struktureerida

Ühe praktilise tööriistana käsitleti kolmandate osapoolte suhte elutsüklit – alates valikust kuni koostöö lõpetamiseni. Selline lähenemine annab loogilise struktuuri, mida ka teema auditeerimisel järgida.

Koolituse aruteludes tuli esile, et kõik etapid ei ole organisatsioonides võrdselt küpsed. Sageli on tugevamalt reguleeritud valikuprotsess (sh hanked) ja lepingute sõlmimine. Oluliselt nõrgemalt kipuvad olema reguleeritud ja läbi mõeldud: 

• onboarding,
• pidev seire,
• lepingu lõpetamise ja ülemineku juhtimine. 

Just need „hallid alad“ on sageli ka auditite suurima lisandväärtuse allikas.

Riskipõhisus ei ole loosung, vaid läbiv töövõte

Oluline sõnum oli ka see, et teema katmine siseauditites peab olema selgelt riskipõhine.

See tähendab muu hulgas, et:

• kõiki partnereid ei ole mõistlik auditeerida sama sügavusega,
• fookus peab olema kriitilistel teenustel ja suure mõjuga riskidel,
• siseaudiitor peab hindama, kas organisatsiooni enda lähenemine (nt tarnijate klassifitseerimine) on põhjendatud ja toimiv. 

Praktikas tähendab see, et auditiküsimus ei ole ainult „kas on olemas protsess“, vaid „kas protsess aitab juhtida just neid riske, mis on organisatsiooni jaoks kõige olulisemad“.

Mida koolituselt kaasa võtsin?

Kuigi koolituse eesmärk oli tutvustada uut IIA valdkondlikku nõuet ja selle rakendamist praktikas, eeldab selle sisuline kasutamine paratamatult ka materjali põhjalikku iseseisvat läbitöötamist. Nagu koolitaja mainis, on dokument juba ka tõlgitud eesti keelde ja pärast IIA poolset ülevaatamist ka avalikult kättesaadav IIA ja ESAÜ kodulehelt. 

Koolitus andis aga mitu head mõttekohta, mida siseaudiitorina organisatsioonis juhtide ja vastutavate töötajatega edasi arutada.

Esiteks – teenust saab sisse osta, kuid vastutust mitte. Tegemist ei ole kindlasti heureca! leiuga, kuid praktikas kipub selle mõtte tajumine aeg-ajalt hajuma. Vastutuse säilimine tähendab muu hulgas ka seda, et organisatsioonil peab olema toimiv kontrollisüsteem, sõltumata sellest, kes teenust osutab.

Teiseks – kolmandate osapoolte kaasamine on ressursimahukas. Sageli nähakse sisseostmist võimalusena ressursse vabastada, kuid tegelikkuses kaasneb sellega arvestatav haldus- ja järelevalvekoormus. Seetõttu tasub enne otsustamist realistlikult hinnata, kas ja millises mahus aitab välise teenuse kasutamine seatud eesmärke saavutada. Enamasti on see põhjendatud eelkõige spetsiifilise kompetentsi kaasamisel, mitte niivõrd töökoormuse vähendamisel.

Kolmandaks – kolmandate osapoolte juhtimine ei piirdu lepingu sõlmimisega. Üha olulisem on vaadata kogu koostöö elutsüklit, sh pidevat seiret nii teenuse kvaliteedi kui ka teenusepakkuja vastavuse osas algselt seatud nõuetele. Läbimõeldud ja süsteemne lähenemine aitab tagada, et organisatsioon saab ootustele vastava tulemuse.