Rahvusvahelised siseauditeerimise kutsetegevuse standardid
Rahvusvahelised siseauditeerimise kutsetegevuse standardid on IIA (The Institute of Internal Auditors) ehk Rahvusvahelise Siseaudiitorite Instituudi põhimõtete järgi ja rahvusvaheliste siseauditeerimise standardite alusel koostatud standardid[1]. Vastavus rahvusvahelistele siseauditeerimise standarditele on vajalik siseaudiitorite ning siseauditi funktsiooni kohustuste täitmiseks[2]. Standardid on põhimõtetel tuginev kohustuslike nõuete kogum, mis koosneb siseauditeerimise kutsetegevusele ja selle tegevuse mõjususe hindamisele esitatavad põhinõuetest, mis on rahvusvaheliselt rakendatavad nii organisatsiooni kui ka üksikisiku tasandil ning tõlgendustest, mis selgitavad standardites sisalduvaid mõisteid või kontseptsioone.[2] Esimene versioon rahvusvahelistest siseauditeerimise kutsetegevuse standarditest anti välja 2008. aasta oktoobris ning neid täiendati jooksvalt. Standardid kehtisid kuni 31. detsembrini 2016. aastal. [3] Uus versioon rahvusvahelistest siseauditeerimise kutsetegevuse standarditest rakendus 1. jaanuaril 2017. aastal. [4] Eesti keelde on tõlkinud standardid Eesti Siseaudiitorite Ühing, kes teeb Rahvusvahelise Siseaudiitorite Instituudiga (IIA) koostööd.[5]
Siseaudiitorid juhinduvad oma tegevuses Rahvusvahelise Siseaudiitorite Instituudi (IIA) rahvusvahelistest kutsetegevuse raampõhimõtetest – IPPF (International Professional Practices Framework), mille üheks osaks ongi rahvusvahelised siseauditeerimise kutsetegevuse standardid. Lisaks on raampõhimõtete osaks ka siseauditi missiooni, aluspõhimõtted, eetikakoodeks, definitsioon ning rakendussuunised (implementation guidance) ja täiendavad juhised (supplemental guidance). [6] Standardid koos eetikakoodeksiga hõlmavad rahvusvaheliste kutsetegevuse raampõhimõtete kõiki kohustuslikke elemente; seega tähendab vastavus eetikakoodeksile ja Standarditele vastavust kõigile rahvusvaheliste kutsetegevuse raampõhimõtete kohustuslikele elementidele.[2]Standardis kasutatavad mõisted on loetletud eraldiseisvas sõnastikus. Enne standardiga tutvumist on soovituslik tutvuda mõistete tähendusega, et tagada standardi õiget tõlgendamist. Standardis eristatakse kahte konstruktsiooni – kindlas kõneviisis peab ja/või tuleb ning tingivas kõneviisis peaks ja/või tuleks. Esimene paar tähistab seda, et tegemist on standardi nõudega, mida tuleb rakendada tingimusteta ning teise paari puhul eeldatakse standardi nõuete rakendamist, kuid professionaalse hinnangu järgi on lubatav nõuetest kõvale kalduda. [2]
Standardite eesmärgid
muuda- anda suuniseid rahvusvaheliste kutsetegevuse raampõhimõtete kohustuslike elementide järgimiseks;
- anda raampõhimõtted erinevate väärtust lisavate siseauditeerimisteenuste osutamiseks ja edendamiseks;
- kehtestada alused siseauditeerimisehindamiseks;
- edendada organisatsiooni protsesside ja tegevuse täiustamist. [2]
Standardite jaotus
muudaStandardid jagunevad kaheks põhikategooriaks: tunnus- ja tegevusstandarditeks.
- Tunnusstandardid käsitlevad siseauditeerimist läbiviivate organisatsioonide ja isikute omadusi.
- Tegevusstandardid kirjeldavad siseauditeerimistegevuse olemust ning sätestavad kvaliteedikriteeriumid, mille alusel saab hinnata nende teenuste osutamist.
Tunnus- ja tegevusstandardeid rakendatakse kõikide siseauditeerimise teenuste puhul.[2]
Tunnus- ja tegevusstandardeid laiendavad rakendusstandardid, millega kehtestatakse nõuded nii kindlustandvate (A) kui ka nõuandvate (C) teenuste kohta.[2]
Kindlustandvad teenused hõlmavad siseaudiitori poolset objektiivset tõendusmaterjali hindamist eesmärgiga esitada arvamusi või järeldusi funktsiooni, tegevuse, funktsiooni, protsessi, süsteemi või muu auditi objekti kohta. Kindlustandva töö olemuse ja ulatuse määratleb siseaudiitor.[2]
Nõuandvad teenused on olemuslikult nõustavad ja neid osutatakse üldiselt tellija spetsiifilisel palvel. Nõuandva teenuse sisu ning olemus määratletakse kokkuleppel tellijaga.[2]
Standardid kehtivad nii üksikisikutele siseaudiitorile kui ka siseauditi funktsiooni kandvatele organisatsiooni üksustele. Vastavuse standardile vastutab reeglina siseauditi funktsiooni kandva organisatsiooni üksuse juht. Juhul kui standard on mingis osas vastuolus riigis kehtiva seadusega või muu regulatsiooniga, siis tuleb eeskätt täita seadust ning seejärel järgida standardit. Juhul kui selline piirang leiab aset, siis võib seda mainida ka auditi tulemuste avaldamisel. Lisaks sellele, kui on teada, et mistahes muust standardist või regulatsioonist tulenev nõue on rangem kui standard, siis tuleb järgida rangemaid nõudeid. [2]
Standardite nimekiri
muuda- 1000 – Eesmärk, õigused, kohustused ning vastutus
- 1010 – Kohustuslike juhiste tunnustamine siseauditi põhimääruses
- 1000.A1 – kindlustandvate teenuste iseloom ja olemus peab olema sätestatud siseauditi põhimääruses
- 1000.C1 – nõuandvate teenuste iseloom peab olema määratus siseauditi põhimääruses
- 1010 – Kohustuslike juhiste tunnustamine siseauditi põhimääruses
- 1100 – Sõltumatus ja objektiivsus
- 1110 – Organisatsiooniline sõltumatus
- 1110.A1 – siseauditi funktsioon peab olema vahelesegamistest vaba
- 1111 – Otsene suhtlus kõrgema juhtorganiga
- 1112 – Siseauditi juhi rollid väljaspool siseauditeerimist
- 1120 – Individuaalne objektiivsus
- 1130 – Sõltumatuse või objektiivsuse kahjustamine
- 1130.A1 – siseaudiitor peab hoiduma nende tegevuste hindamisest, mille eest ta on varem ise vastutanud
- 1130.A2 – need kindlustandvad töö osad, mille eest vastutab siseauditi juht. peab olema auditeeritud väliste auditi poolt
- 1130.A3 – siseaudiitor võib osutada kindlustandvaid teenuseid valdkonnas, kus ta on varem osutanud nõuandvaid teenuseid teatud tingimustel
- 1130.C1 – siseaudiitor võib osutada nõuandvaid teenuseid nende tegevuste osas, mille eest ta on varem vastutanud
- 1130.C2 – juhul kui esineb mingeid asjaolusid, mis võivad mõjutada siseaudiitori sõltumatust või objektiivsust, siis sellest peab töö tellijat teavitama
- 1110 – Organisatsiooniline sõltumatus
- 1200 – Asjatundlikkus ja nõutav ametialane hoolsus
- 1210 – Asjatundlikkus
- 1210.A1 – siseauditi juht vastutab siseauditi üksuse töötajate kompetentsuse eest; vajaliku kompetentsi puudumise korraldab siseauditi juht selle hankimist
- 1210.A2 – siseaudiitoril peavad olema teadmised hindamaks pettuseriski
- 1210.A3 – siseaudiitoril peavad olema peamiselt teadmised infotehnoloogiaalastest riskidest ja kontrollidest
- 1210.C1 – kui siseaudiitoril puuduvad teadmised või oskused töö teostamiseks, siis siseauditi juht pead tagama selle saamist või tööst keelduma
- 1220 – Nõutav ametialane hoolsus
- 1220.A1 – siseaudiitor peab rakendama nõutavat ametialast hoolsust standardis väljatoodud asjaolusid arvestades
- 1220.A2 – siseaudiitorit peavad kaaluma tehnoloogiapõhise auditi ning teiste andmeanalüüsi meetodite kasutamist
- 1220.A3 – siseaudiitorid peavad olema tähelepanelikud oluliste riskide suhtes
- 1220.C1 – siseaudiitor peavad rakendama nõutavat ametalast hoolsust nõuandva töö jooksul arvestades standardis väljatoodud asjaolusid
- 1230 – Jätkuv ametialane areng
- 1210 – Asjatundlikkus
- 1300 – Kvaliteedi tagamise ja täiustamise programm
- 1310 – Nõuded kvaliteedi tagamise ja täiustamise programmile
- 1311 – Sisemine hindamine
- 1312 – Välishindamine
- 1320 – Aruandlus kvaliteedi tagamise ja täiustamise programmi kohta
- 1321 – Väljendi "on vastavuses Rahvusvaheliste siseauditeerimise kutsetegevuse standarditega" kasutamine
- 1322 – Mittevastavuse avaldamine
- 2000 – Siseauditi funktsiooni juhtimine
- 2010 – Planeerimine
- 2010.A1 – siseauditi funktsiooni tööplaan peab põhinema riskide dokumenteeritud hindamisel, mida tuleb läbi viia vähemalt kord aastas.
- 2010.A2 – siseauditi juht peab tuvastama ja kaaluma tippjuhtkonna, kõrgema juhtorgani ning teiste huvirühmade ootusi siseauditi hinnangute ning teiste järelduste osas.
- 2010.C1 – siseauditi juht peab kavandatavate nõuandvate tööde vastuvõtmisel arvestama töö potentsiaali riskijuhtimise parendamisel, väärtuse lisamisel ja organisatsiooni tegevuse parendamisel.
- 2020 – Teavitamine ja heakskiitmine
- 2030 – Ressursside juhtimine
- 2040 – Poliitikad ja protseduurid
- 2050 – Koordineerimine ja tuginemine
- 2060 – Aruandlus tippjuhtkonnale ja kõrgemale juhtorganile
- 2070 – Väline teenuseosutaja ning organisatsiooni vastutus siseauditeerimise eest
- 2010 – Planeerimine
- 2100 – Töö iseloom
- 2110 – Valitsemine
- 2110.A1 – siseauditi funktsioon peab hindama organisatsiooni eetikaalaste eesmärkide, programmide ja tegevuste kavandamist, teostamist ning mõjusust
- 2110.A2 – siseauditi funktsioon peab hindama, kas organisatsiooni infotehnoloogia valitsemine toetab organisatsiooni strateegiaid ja eesmärkide saavutamist
- 2120 – Riskijuhtimine
- 2120.A1 – siseauditi funktsioon peab hindama riskivaldkondi, mis puudutavad organisatsiooni valitsemist, tegevust ja infosüsteeme
- 2120.A2 – siseauditi funktsioon peab hindama pettuse esinemise tõenäosust ja organisatsioonipoolset pettuseriski juhtimist.
- 2120.C1 – nõuandvate tööde käigus peavad siseaudiitorid käsitlema riske, mis on seotud töö eesmärkidega, ja olema tähelepanelikud teiste oluliste riskide olemasolu suhtes
- 2120.C2 – siseaudiitorid peavad organisatsiooni riskijuhtimise protsesside hindamisel kasutama nõuandvate tööde käigus omandatud teadmisi riskidest
- 2120.C3 – abistades juhtkonda riskijuhtimise protsesside loomisel või parendamisel, peavad siseaudiitorid hoiduma mistahes juhtimisvastutuse võtmisest riskijuhtimisega tegelemise kaudu
- 2130 – Kontroll
- 2130.A1 – siseauditi funktsioon peab hindama organisatsiooni valitsemist, tegevust ja infosüsteeme puudutavaid riske hõlmavate kontrollide adekvaatsust ning mõjusust
- 2130.C1 – siseaudiitorid peavad organisatsiooni kontrolliprotsesside hindamisel kasutama nõuandvate tööde käigus omandatud teadmisi kontrollidest
- 2110 – Valitsemine
- 2200 – Töö planeerimine
- 2201 – Asjaolud, millega tuleb planeerimisel arvestada
- 2201.A1 – tööde planeerimisel organisatsiooniväliste osapoolte jaoks peavad siseaudiitorid sõlmima tellijaga kirjaliku kokkuleppe, mis sisaldab töö eesmärke, ulatust, vastavaid kohustusi ja teisi ootuseid, kaasa arvatud piiranguid töötulemuste levitamisel ja töödokumentidele juurdepääsul
- 2201.C1 – siseaudiitorid peavad saavutama kokkuleppe nõuandva töö tellijaga eesmärkide, ulatuse, vastavate kohustuste ja muude tellija ootuste osas
- 2210 – Töö eesmärgid
- 2210.A1 – siseaudiitorid peavad teostama vaatluse all oleva tegevusega seotud esialgse riskide hindamise
- 2210.A2 – töö eesmärkide väljatöötamisel peavad siseaudiitorid arvesse võtma oluliste vigade, pettuse, mittevastavuse ja muude ohtude esinemise tõenäosust
- 2210.A3 – valitsemise, riskijuhtimise ja kontrollide hindamiseks on vaja adekvaatseid kriteeriume
- 2210.C1 – nõuandvate tööde eesmärgid peavad tellijaga kokkulepitud ulatuses käsitlema valitsemist, riskijuhtimise ja kontrolliprotsesse
- 2210.C2 – nõuandva töö eesmärgid peavad olema kooskõlas organisatsiooni väärtuste, strateegiate ja eesmärkidega
- 2220 – Töö ulatus
- 2220.A1 – töö ulatus peab hõlmama asjassepuutuvaid süsteeme, andmeid, personali ja füüsilisi varasid, sealhulgas selliseid, mis on kolmandate osapoolte kontrolli all.
- 2220.A2. – juhul, kui kindlustandva töö jooksul tekivad olulised nõustamisvõimalused, tuleks sõlmida kirjalik kokkulepe eesmärkide, ulatuse, vastavate kohustuste ja muude ootuste kohta ning edastada nõuandva töö tulemused vastavalt nõuandva töö standarditele
- 2220.C1. – nõuandvate tööde tegemisel peavad siseaudiitorid tagama, et töö ulatus on piisav, arvestades kokkulepitud eesmärke. Juhul, kui siseaudiitoritel tekivad töö käigus kahtlused ulatuse suhtes, siis tuleb neid kahtlusi arutada tellijaga ja otsustada, kas tööd jätkata
- 2220.C2. – nõuandvate tööde käigus peavad siseaudiitorid käsitlema kontrolle, mis on seotud töö eesmärkidega, ja olema tähelepanelikud kõikide oluliste kontrollidega seotud küsimuste suhtes
- 2230 – Ressursside määramine töö jaoks
- 2240 – Tööprogramm
- 2240.A1 – tööprogramm peab sisaldama toiminguid informatsiooni kindlakstegemiseks, analüüsimiseks, hindamiseks ja dokumenteerimiseks töö jooksul
- 2240.C1 – nõuandvate tööde tööprogrammid võivad erineda oma vormi ja sisu poolest, sõltuvalt töö iseloomust
- 2201 – Asjaolud, millega tuleb planeerimisel arvestada
- 2300 – Töö teostamine
- 2310 – Informatsiooni kindlakstegemine
- 2320 – Analüüs ja hindamine
- 2330 – Informatsiooni dokumenteerimine
- 2330.A1 – siseauditi juht peab kontrollima ligipääsu töödokumentidele
- 2330.A2 – siseauditi juht peab välja töötama nõuded töödokumentide säilitamiseks, olenemata dokumentide säilitamise viisist ja infokandjast
- 2330.C1 – siseauditi juht peab välja töötama eeskirjad, mis reguleerivad nõuandvate tööde dokumentide haldamist ja säilitamist, samuti nende väljastamist organisatsioonisisestele ja -välistele osapooltele
- 2340 – Järelevalve teostamine töö üle
- 2400 – Tulemuste aruandlus
- 2410 – Aruandluse kriteeriumid
- 2410.A1 – lõplik aruandlus töö tulemuste kohta peab sisaldama asjakohaseid järeldusi ning rakendatavaid soovitusi ja/või tegevuskavasid
- 2410.A2 – siseaudiitoritel soovitatakse rahuldavat sooritust töö aruandluses tunnustada
- 2410.A3 – töö tulemuste väljastamisel organisatsioonivälistele osapooltele tuleb aruandluses märkida selle jagamise ja kasutamise piirangud
- 2410.C1 – aruandlus nõuandvate tööde käigu ja tulemuste kohta erineb oma vormilt ja sisult, olenevalt töö iseloomust ning tellija vajadustest
- 2420 – Aruandluse kvaliteet
- 2421 – Vead ja kajastamata jätmised
- 2430 – Fraasi "Läbi viidud vastavuses Rahvusvaheliste siseauditeerimise kutsetegevuse standarditega" kasutamine
- 2431 – Töö osas mittevastavuse avalikustamine
- 2440 – Tulemuste levitamine
- 2440.A1 – siseauditi juht vastutab lõpptulemuste jagamise eest nendele osapooltele, kes saavad tagada töö tulemuste nõuetekohase arvessevõtmise
- 2440.A2 – juhul, kui õiguslikud, seaduses sätestatud või regulatiivsed nõuded ei sätesta teisiti, peab siseauditi juht enne tulemuste organisatsioonivälistele osapooltele avaldamist: 1) hindama potentsiaalset riski organisatsioonile; 2)konsulteerima vastavalt vajadusele tippjuhtkonna ja/või juristiga; 3) kontrollima levitamist, kehtestades piiranguid tulemuste kasutamisele.
- 2440.C1 – siseauditi juht vastutab nõuandva töö lõpptulemuste jagamise eest tellijatele
- 2440.C2 – nõuandva töö käigus võidakse kindlaks teha valitsemise, riskijuhtimise ja kontrollidega seotud küsimusi
- 2450 – Koondarvamus
- 2410 – Aruandluse kriteeriumid
- 2500 – Seire teostamine
- 2500.A1 – siseauditi juht peab sisse seadma järelkontrolli protsessi, et jälgida ja tagada juhtkonnapoolsete abinõude mõjus rakendamine või abinõude mitterakendamisest tuleneva riski aktsepteerimine tippjuhtkonna poolt
- 2550.C1 – siseauditi funktsioon peab seirama nõuandva töö tulemustega tegelemist vastavalt kokkuleppele tellijaga
- 2600 – Riskide võtmisest teavitamine
Viited
muuda- ↑ "Audiitortegevuse seadus". Riigiteataja. 01.03.2019. Vaadatud 24.11.2019.
- ↑ 2,00 2,01 2,02 2,03 2,04 2,05 2,06 2,07 2,08 2,09 2,10 2,11 The Institute of Internal Auditors (01.01.2017). "Rahvusvahelised siseauditeerimise kutsetegevuse standardid" (PDF). Originaali (PDF) arhiivikoopia seisuga 13.04.2021. Vaadatud 24.11.2019.
- ↑ The Institute of Internal Auditors (oktoober 2008). "Rahvusvahelised siseauditeerimise kutsetegevuse standardid" (PDF). Originaali (PDF) arhiivikoopia seisuga 26.10.2020. Vaadatud 27.11.2019.
- ↑ The Institute of Internal Auditors. "International Standards for the Professional Practice of Internal Auditing". Originaali arhiivikoopia seisuga 3.04.2019. Vaadatud 27.11.2019.
- ↑ Eesti Siseaudiitorite Ühing. "Ühingust". Vaadatud 27.11.2019.
- ↑ Eesti Siseaudiitorite Ühing. "Kutsetegevuse raampõhimõtted". Vaadatud 27.11.2019.