Sissetulev kiri

Audit nr 2024/5 „Ostukorraldus SMIT-is“

Auditi programm

1

Auditi nimetus: ostukorraldus SMIT-is.

Auditi liik: tulemus- ja vastavusaudit.

Auditi läbiviimise alus: siseministri 27.02.2024 käskkiri nr 1-3/21 „Siseauditi osakonna 2024.

tööplaan“.

Auditeeritavad: Siseministeeriumi infotehnoloogia- ja arenduskeskus (edaspidi SMIT).

Täiendavalt viiakse auditi toiminguid läbi ka Siseministeeriumis ning Politsei- ja

Piirivalveametis.

Auditi eesmärk: hinnata, kas SMIT-i hankevajadused on välja selgitatud ja läbiviidud tõhusalt

ning asutuse eesmärke1 toetavalt.

Auditi ulatus ja auditeeritav periood: auditi ulatus hõlmab SMITi ostukorraldust2 perioodil

01.01.2022-30.11.20243. Auditi läbiviimisel analüüsitakse SMIT ja SIM valitsemisala IKT

ostuvajaduste väljaselgitamist, SMIT ostuplaanide (sh hankeplaani) koostamist,

infoturbestandardi ISO 27001 nõuete rakendamist hankeprotsessis, huvide konflikti vältimise

ja hankeplaani täitmise järelevalve tegevusi. Hankemenetluste läbiviimist käesoleva auditi

raames ei analüüsita.

Piirangud.

Auditi raames ei hinnata:

1) hanke läbiviimiseks valitud hankemenetluse liigi õiguspärasust;

2) hankemenetluse läbiviimise õiguspärasust;

3) hangitava asja või teenuse tegelikku ostuvajadust;

4) hankelepingu ja selle muutmise õiguspärasust;

5) hankelepingu täitmist;

6) hankeobjekti vastuvõtmise ja selle lepingule vastavuse dokumentatsiooni;

7) ostukorralduse protsessis osalevate töötajate kvalifikatsiooni ja pädevust.

1 SMIT põhimääruse § 7 kohaselt vastutab asutus ministeeriumi valitsemisala ülesannete täitmiseks vajalike IKT

teenuste arendamise, haldamise ja hankimise, infoturbega seotud tegevuste korraldamise ja küberturvalisuse

tagamise ning teistele riigi- ja kohaliku omavalitsuse asutustele ning riigi sihtasutustele tasuliste IKT teenuste

osutamise eest tingimusel, et see ei kahjusta SMIT põhiülesannete täitmist ministeeriumi valitsemisalas. 2 Mõiste „ostukorraldus“ ei ole SMIT juhistes määratud. Audiitorid mõistavad ostukorralduse all erinevate

protseduuride kogumit, mille eesmärk on tagada organisatsioonile vajaliku kauba ja teenuste soetamine

õigeaegselt, sobiva kvaliteediga ja optimaalse hinnaga, toetades samal ajal organisatsiooni strateegilisi eesmärke

ja järgides kehtivaid regulatsioone ning standardeid. Tõhus ostukorraldus loob väärtust, optimeerides ressursside

kasutamist ja tagades organisatsiooni tegevuse operatiivse järjepidevuse ning toetab strateegiliste eesmärkide

saavutamist. Ostukorraldus hõlmab nii (A) ostuvajaduse, sh riigihangete ja alla lihthanke piirmäära jäävate

väikeostude, tuvastamist, (B) hanke- ja ostuplaani koostamist, (C) plaanide elluviimist ning (D) järelevalvet. 3 Programmi muudatus: Auditeeritavat perioodi on programmi muutmise ajal selguse huvides täpsustatud.

2024.a hankeplaani täitmise kohta antakse hinnang seisuga 31.12.2024. Võrdlusmaterjali loomiseks viivad

audiitorid toiminguid läbi ka 2022. aasta kohta, kuid 2022. aasta ei ole auditi fookuses.

Audit nr 2024/5 „Ostukorraldus SMIT-is“

Auditi programm

2

Hinnangu andmise kriteeriumid.

SMIT-i ostukorraldus ja selle juhtimine on tõhus4, kui:

1) ostukorralduse protseduurid ja rollijaotus on kirjeldatud ja neid järgitakse;

2) ostukorraldus on allutatud valitsemisala strateegiliste eesmärkide saavutamisele ja

kokku lepitud prioriteetide õigeaegsele saavutamisele;

3) soetuste planeerimisel, sh hankeplaani koostamisel, on tuvastatud IKT seadmete,

tarkvara ja toe elukaarest tuleneva vajadusega ja arvestatud on kõigi

tegevusvaldkondade ostuvajadusi, mis tagavad asutuse töö jätkusuutlikkuse;

4) enne hankimist pööratakse tähelepanu omandamise kogumaksumuse

väljaselgitamisele;

5) asutus rakendab ostujuhtimisel riskijuhtimist, mis tuvastab ja hindab tarnijate ja

lepingutega seotud riske;

6) asutus rakendab ostukorralduse protseduurides meetmeid huvide konflikti vältimiseks;

7) asutuse hankeplaani täitmise üle on tagatud pidev järelevalve ja õpikohtade

tuvastamine;

8) ostuprotsessis arvestatakse andmete turvalisuse ja privaatsuse nõuetega;

9) IT arenduste ja valdkonna ostude teostamisel rakendatakse meetmeid tarnijast

sõltumatuse vältimiseks.

Auditi valimi koostamine:

Auditi valimit ei koostata. Kui auditi kestel osutub auditi valimi koostamine vajalikuks,

otsustatakse see jooksvalt auditi läbiviimise ajal.

Varasemalt läbi viidud auditid:

• SIM 2020.a audit „Huvide konflikti ennetus SMIT-is“.

• SIM 2018.a audit „Hangete maksumuse kavandamine“. Auditeeritud periood 2016-

2018.

• Riigikontroll on auditeerinud riigihangete läbiviimist SiM majandusaasta aruande

auditites.

Eesmärgi saavutamiseks läbiviidavad toimingud ja töö meetodid:

Auditi riskide hindamise5 tulemusena püstitati kriteeriumid, määrati uurimisküsimused, teostatavad

toimingud ja kogutav dokumentatsioon.

Auditi toimingud viivad läbi juhtivaudiitor Helena Ambrozevits (auditi juht) ja juhtivaudiitor

Edgar Reedik. Auditi järelevalvet teostab siseauditi osakonna juhataja Tarmo Olgo.

4 Määratluse aluseks on sisekontrollisüsteemi valdkonnad nii nagu need on määratletud COSO mudelis. 5 Auditi riskide hindamine. A3_1.

Audit nr 2024/5 „Ostukorraldus SMIT-is“

Auditi programm

3

Tabel 1. Läbiviidavate toimingute loetelu

6 Programmi muudatus: Auditi meeskonna otsusel jäetakse käesoleva auditi skoobist välja.

Kriteerium Alaküsimus Dokumentatsioon Töö meetod

I. Ostukorralduse protseduurid

1. Kas SMIT

ostukorralduse

protseduurid on

kirjeldatud?

1.1. Kas asutuse ostukorraldusprotsess on

kirjeldatud?

SMIT sisesed

korrad ja muu

dokumentatsioon

Dokumentide

analüüs,

intervjuu. 1.2. Kas SMIT ostukorralduse protsessis

on seotud osapoolte rollid ja vastutus

määratud?

1.3. Kas SMIT-il on riigi, valitsemisala ja

SMIT nõuetega kooskõlas olev

hankeplaan?

1.4. Kas SMIT-il on alla lihthanke

piirmäära jäävate ostuvajaduste

elluviimise kohta koostatud ostuplaan?

II. Ostude prioriteetsus ja hanke eseme seos strateegiliste eesmärkidega

2. Kas

ostukorraldus on

allutatud

valitsemisala IKT

eesmärkide

saavutamisele?

2.1. Kas SIM valitsemisalas ja SMIT-is

loodud protsessid (töökorraldus) tagavad,

et SMIT-i ostude planeerimisel on olemas

info valitsemisala prioriseeritud IKT

arendusvajaduste kohta?

Dokumentatsioon

ostuvajaduste

prioriseerimise

kriteeriumite

kohta; IKT

arenduste

prioriteedid; IT

arenduse, toote või

teenuse

vastavusanalüüsid

Sim valitsemisala

vajadustele, SMIT

hankeplaani

sisendid sh teistelt

SIM VA asutustelt

Dokumentide

analüüs,

intervjuu.

2.2. Kas SIM valitsemisalas ja SMIT-is

loodud protsessid tagavad, et SMIT-i

ostude planeerimisel on seotud osapooltel

olemas info soetuse (IKT seadmete ja

tarkvara) otse-, kaudsete ja

elukaarekulude kohta, sh elukaarest

tuleneva soetamisvajaduse kohta?

2.3. Kas SMIT ostukorralduse protsess

tagab, et rahalisi vahendeid kasutatakse

eelistatult hangeteks, mis on suunatud

valitsemisala IKT prioriteetide

saavutamisele ning olemasolevate

teenuste elukaare tagamisele?

2.4. Kas IKT arenduste mahakandmised

on põhjendatud ja kooskõlas SIM

valitsemisala prioriteetidega?6

III. Riskijuhtimine ostukorralduse protseduurides

Audit nr 2024/5 „Ostukorraldus SMIT-is“

Auditi programm

4

3. Kas asutuse

ostukorralduse

protseduurides

rakendatakse

riskijuhtimist?

3.1.Kas SMIT on kaardistanud ja

hinnanud ning kirjalikult fikseerinud

ostukorralduse protsessi riskid?

Asutuse hangete

riskianalüüs,

erinevate tarnijate

ja lepingutega

seotud

riskianalüüsid;

huvide konflikti

vältimiseks

kehtestatud

meetmete

kirjeldus; SMIT

meetmed ühest

tarnijast

sõltumatuse

vältimiseks.

Dokumentide

analüüs,

intervjuu.

3.2. Kas SMIT on kaardistanud ja

hinnanud ning kirjalikult fikseerinud iga

hankeplaanis oleva hanke elluviimisega

seotud riske?

3.3. Kas SMIT riskijuhtimise korraldus

tagab tarnijaga seotud riskide tuvastamise

ja hindamise? Sealhulgas, kas SMIT on

hinnanud tarnete katkemise riski, tarnija

suutlikkust täita oma kohustusi, tarnete

sõltuvust ühest tarnijast?

3.4. Kas SMIT riskijuhtimise korraldus

tagab huvide konfliktiga seotud riskide

tuvastamise ja hindamise?

3.5. Kas SMIT riskijuhtimise plaan

(riskide maandamise tegevuskava)

sisaldab meetmeid riskide

minimeerimiseks ja tarnete järjepidevuse,

tarnijast sõltuvuse ja huvide konflikti

riskide haldamiseks?

IV. Infoturbe nõuete järgimine

4. Kas SMIT

ostukorralduse

protsessis

järgitakse

infoturbenõudeid?

4.1. Kas SMIT ostukorralduse protsessis

järgitakse ISO27001 infoturbenõudeid?

Infoturbestandardi

ISO 27001 ja

SMIT sisemiste

kordade

omavaheline

võrdlus ja analüüs;

Tarnijatega

sõlmitud lepingute

tingimuste

analüüs; andmete

turvalisuse ja

privaatsuse nõuete

kirjeldus.

Dokumentide

analüüs,

intervjuu.

V. Hankeplaani täitmise järelevalve

5. Kas hankeplaani

täitmise

järelevalveks on

võimalused

loodud?

5.1. Kas SMIT ostukorralduse protsessiga

seotud osapooltele esitatakse hankeplaani

täitmise kohta teave ajal ja ulatuses, mis

võimaldab hinnata hangete teostamise

Hankeplaani

täitmise seire

aruanded,

juhtkonna

nõupidamiste

protokollid

Dokumentide

analüüs,

intervjuu.

Audit nr 2024/5 „Ostukorraldus SMIT-is“

Auditi programm

5

Teostatavate toimingute loetelu võib täieneda ja täpsustuda auditi käigus.

Avaliku teenistuse eetika põhimõtete järgimist hinnatakse iga kontrollitoimingu raames.

Tabel 2. Auditi läbiviimise ajakava

Tegevus Periood/tähtaeg

Auditi toimingute läbiviimine 07.10.-14.02.20257

Auditiaruande eelnõu auditeeritavale esitamine 31.03.2025

Auditeeritava poolt auditiaruande eelnõule vastamise tähtaeg 14.04.2025

Lõpparuande allkirjastamine 30.04.2025

Dokumentatsiooni loetelu:

• Riigihangete seadus;

• Riigivaraseadus;

• Siseministeeriumi valitsemisala hankekord;

• Siseministeeriumi valitsemisel oleva riigivara valitsemise kord;

• Siseministeeriumi info- ja kommunikatsiooni-tehnoloogia teenuste osutamise

põhimõtted;

• Siseministeeriumi valitsemisala raamatupidamise sise-eeskiri;

• Siseministeeriumi ja tema valitsemisala asutuste strateegilise planeerimise, seire ja

aruandluse kord;

• Siseministeeriumi infotehnoloogia- ja arenduskeskuse riigihangete kord;

• Siseministeeriumi infotehnoloogia- ja arenduskeskuse infoturbe kord;

• Siseministeeriumi infotehnoloogia- ja arenduskeskuse vara haldamise ja arvestuse kord;

• SMIT aastate 2022-2024 hankeplaanid koos kõigi muudatustega.

Ülevaade valdkonnast (taustinformatsioon) on toodud auditi programmi lisas.

Auditi programmi on kinnitanud:

Helena Ambrozevits (auditi juht)

juhtivaudiitor

(allkirjastatud digitaalselt)

7 Programmi muudatus: Auditi toimingute läbiviimise tähtaega pikendatakse täiendavate auditi toimingute

läbiviimise tõttu. Täiendavate auditi toimingute läbiviimise tõttu lükkuvad edasi ka teiste auditi etappide tähtajad.

mõju SIM ja valitsemisala prioriteetide

täitmisele?

Audit nr 2024/5 „Ostukorraldus SMIT-is“

Auditi programm

6

Edgar Reedik

juhtivaudiitor

(allkirjastatud digitaalselt)

Tarmo Olgo

siseauditi osakonna juhataja

(allkirjastatud digitaalselt)

Audit nr 2024/5 „Ostukorraldus SMIT-is“

Auditi programm

7

Lisa 1. Sõltumatuse deklaratsioon

Käesolevaga kinnitan oma sõltumatust auditeeritava objekti suhtes ja kohustun ennast

taandama töövõtust, kui olen läinud vastuollu minu poolt allkirjastatud kinnitusega

sõltumatuse kohta ja/või kui selleks on tekkinud potentsiaalne risk.

Olulisemad olukorrad, mille puhul on piisav põhjus väita, et auditi läbiviija ei ole

sõltumatu on järgmised:

• Auditi läbiviija auditeerib mistahes funktsiooni, mille eest ta viimase aasta jooksul ise

vastutas.

• Auditi läbiviija teeb mitteauditi alast tööd:

o osaleb asutuse juhtimises või teeb juhtkonna kompetentsi kuuluvaid otsuseid;

o osaleb vahetult kontrolliprotseduuride väljatöötamises ning rakendamises;

o võtab endale auditi objekti juhi või töötaja rolli;

o teostab majandustehinguid või võtab endale muid asutuse põhitegevusega seotud

tööülesandeid.

• Auditi läbiviijal on isiklikud huvid, isiklikud ja/või peresuhted auditi objektil, mis võivad

mõjutada tema erapooletut suhtumist auditeeritavasse või seada selle kahtluse alla.

• Auditi läbiviija võtab vastu auditeeritavate, koostööpartnerite või auditeeritavatega seotud

muude isikute ja organisatsioonide pakutavaid kingitusi või muid hüvesid, mis võivad

mõjutada tema erapooletut suhtumist auditeeritavasse või seada selle kahtluse alla.

• Auditi läbiviija on mõjutatud oma hinnangutes teiste inimeste otsustest, mille tõttu võib

tekkida kahtlusi auditi läbiviija töö tulemuse usaldusväärsuses või kvaliteedis.

Sõltumatuse deklaratsiooni on kinnitanud:

Helena Ambrozevits (auditi juht)

juhtivaudiitor

(allkirjastatud digitaalselt)

Edgar Reedik

juhtivaudiitor

(allkirjastatud digitaalselt)

Tarmo Olgo

siseauditi osakonna juhataja

(allkirjastatud digitaalselt)