Probleemid auditite aruannetega

31.08.2002

Pakume teile lugemiseks tõlkeartiklit Norman Marks`ilt, kes on arvamusliider, endine siseauditi juht ja riskijuht mitmetes „Fortune 500“ firmades ning raamatute „World Class Risk Manangement“ ja „Auditing that Matters“ autor. Norman Marks kirjutab siseauditi aruannetest, tema artikli pealkiri originaalis on "The Problem with Most Audit Reports", see on avaldatud 3.08.2017 http://emea.misti.com/

Kuidas hindavad siseauditi väärtust meie huvirühmad nagu nõukogu ja tippjuhtkond? Mida me siseaudiitoritena neile anname? Millele nad toetuvad oma otsuseid tehes?

Tõenäoliselt saavad nad infot otsesuhtluses auditi eest vastutava isikuga (CAE) ja ehk mõne tema meeskonna liikmega. Peamine info, millele nad aga kindlasti tahaksid tugineda, on siseauditi töö tulemus ehk auditiaruanne.

Las ma kirjeldan probleemi, nii nagu mina seda näen. Tüüpiline auditiaruanne on igav. Tüüpiline auditiaruanne ei anna nõukogule ega tippjuhtkonnale teavet, mida neil tegelikult oleks vaja organisatsiooni juhtimiseks. Tüüpiline auditiaruanne on tehtud töö ja saadud tulemuste dokumenteerimine. See kajastab pigem seda, mida meie siseaudiitoritena  tahame öelda, mitte niiväga seda, mida organisatsiooni juhid peavad tegelikult teadma.

Rahvusvaheline Siseaudiitorite Instituut (IIA) pakub meile kohustuslikke juhiseid standardite rakendamiseks. Need tuginevad soovitulikele juhistele – praktilised juhendid ja nõuanded (Practice Guides and Advisories). Hiljuti avaldati uus praktiline juhend (Practice Guide - PG) auditi aruande kohta: Practice Guide: Audit Reports: Communicating Assurance Engagement Results Recommended Guidance.

Kokkuvõtlik ülevaade lehel, kus praktiline juhend (PG) asub, on õige, öeldes: "Kuna siseauditile on olemas selge nõudlus, et tagasiulatuva vaate asemel antakse hinnanguid pigem ettevaatavalt, siis peaksid siseaudiitorid kohanduma uuenduslike meetoditega auditi tulemuste hindamisel ja tutvustamisel juhtidele."

Probleemiks on aga see, et praktilises juhendis (PG) kirjeldatud mudel on aegunud vähemalt kümne aastat. PG-s kirjeldatakse auditi aruannet stiilis, mis ei paku sidusrühmadele vajalikku teavet, kui nad seda vajavad ja sellises vormis, mis kataks nende tegelikke vajadusi. Viimasel kümnendil või isegi kahel on välja paistnud paar inimest, kes kirjutavad raamatuid ja pakuvad auditiaruannete kirjutamise alast koolitust.

Üks neist on Penni Fromm. Oma veebilehel ütleb ta, et siseauditi aruande kasutajateks on hõivatud inimesed. Kui siseauditi- ja vastavusaruanded ei räägi riskidest lühidalt, täpselt ja tõhusalt, ei saa sellised aruanded olla edukad. Sellised aruanded ei edasta kriitilist sõnumit riskidest, mis on hästi juhitud ja muudest riskidest, mis ohustavad organisatsiooni ja nõuavad reageerimist.

Teine selline inimene on Angela Maniak. Oma kiirsoovitustes (Quick Tips) ütleb ta:

  • Tee oma kirjutis lühike, korrektne, järjekindel ja kutsuv.
  • Tee oma sõnum loetavaks, arusaadavaks ja kiiresti kasutatavaks.
  • Loo enda professionaalsus ja usaldusväärsus läbi kirjutatud sõnade.

Jah, ma võin muidugi praktilise juhendi (PG) kõrvale jätta, kuid see ei ole konstruktiivne. Luba siinkohal esitada väljavõte mu uuest raamatust "Auditing that Matters". Ma ei pruugi olla objektiivne, kuid arvan, et juba ainult juhised auditi aruannete kohta selles raamatus (mis on palju ulatuslikumad kui PG-s) õigustavad selle ostu. Otsustage ise!

1) On oluline mitte ainult kontrollida, mis on oluline, vaid ka edastada (kommunikeerida) seda, mis on oluline.

Ja see ei tähenda, et kommunikeerida tuleks audiitorile olulisi küsimusi. Tegemist on sellise infoga, mis on oluline kõikidele sidusrühmadele – esmatasandi juhtidele, keskastmejuhtidele ja tippjuhtkonnale, nõukogule ning teistele asjassse puutvatele pooltele (nt regulaatorid ja välisaudiitorid). Vaid vahetud juhid peavad saama teada, kui tavapärased asjad ei tööta nii nagu vaja.

Ma eeldan, et auditi meeskond edastab selle teabe, asjakohase info algpõhjuste kohta ja muu sellise ning toimivad nõuanded selle kohta, kuidas võimalikult kiiresti olukorda parandada.

2) Kui keskastmejuhtide (senior management) probleemist teavitamisel pole mingit väärtust, siis ma jätan tavaliselt selle mainimata. Võin vaid öelda, et "auditi käigus tuvastati täiendavaid probleeme, mille juhtkond viivitamata parandas". Kui ma mainin, et sellega teemaga seotud risk oli märkimisväärne, siis viitan ka sellele, et juhtkond on nüüdeks riski maandanud.

3) Juhtkond ei vaja kõiki üksikasju. Nad peaksid saama nendega tegelda tuginedes aruannetele, mis nad saavad esmatasandi juhtidelt.

Mulle meeldib esitada küsimust: "Mida nad peavad teadma?" Nad peavad teadma midagi,

  • et nad saaksid tegutseda;
  • et nad saaksid jälgida;
  • mis kujutab endast märkimisväärset ja vastuvõetamatut ohtu nende või organisatsiooni eesmärkidele.

Kõik, mis jääb nendest põhimõtetest kõrvale, ei ole juhtkonnale mitte ainult ebaoluline, vaid võib muuhulgas halvendada ka auditi aruande kvaliteeti.

4) Me peame tegema hõivatud juhtidele lugemise lihtsaks, et nad saaksid eristada olulist ja reageerida meie töö tulemustele.

5) Soovin, et juhid loeksid vaid aruande kokkuvõtet, et saada kätte kõige kriitilisem teave ja soovitused tegutsemiseks.

6) Usun, et siseaudit peaks esitama oma hinnangu kontrollide toimimise kohta ja andma kindlustunde, et riske hallatakse soovitud tasemel.

Mulle meeldib, kui auditi aruande lugeja näeks seda infot aruandest kohe. See on kõige olulisem informatsioon, mida me siseaudiitoritena juhtidele kommunikeerime, nii et see peaks olema aruande esiküljel ja keskel.

7) Kui on fakte või küsimusi, mis ei nõua juhtkonna tähelepanu ja reageerimist, siis miks me peame neile sellest rääkima?

Tippjuht võib esmatasandi juhtidele lahendamiseks suunata vähem olulised küsimused – need küsimused, millest me räägime auditi lõppkoosolekul. Seega on minu jaoks küsitav iga teema, mida auditi meeskond soovib raportisse lisada, kuid mis läheb kaugemale sellest, mida tippjuht peab teadma.

8) Muudatus on meie lõpptoode.

Auditi leiul ja soovitusel puudub väärtus, välja arvatud juhul, kui see toob kaasa vajaliku ja asjakohase muudatuse juhtkonna poolt.

Olles IIA vastu aus, siis ütlen, et juhised ei tohiks olla praktikast liiga kaugel. Olnud IIA komitee liige, kes kirjutas praktilisi juhiseid, võin ma kinnitada, et see on väljakutse kirjutada kasulikke juhiseid, mida enamus aktsepteerib, kuid mis viiksid ka siseauditi praktikat edasi. Paraku ma ei usu, et see PG on kooskõlas praeguse parima praktikaga, rääkimata sellest, milles on vaja edasi areneda.

Kindlustunde, nõuannete ja teadmiste tõhus kommunikeerimine on kriitiline edutegur siseauditi kutsealal. Kui me ebaõnnestume selles, siis me ebaõnnestume ka oma kutseala tegeliku väärtuse näitamisel.

See on minu arvamus. Milline on sinu oma?