Älä arvaa tai oleta, vaan tiedä

Sisäisellä tarkastuksella saadaan arvokasta tietoa päätöksenteon tueksi. Ulkoiset ja sisäiset riskit on tunnettava, jotta niitä voidaan hallita. 

Kirjoittaja: Helge Vuoti | Kuva: Shutterstock 

Yritysjohtajat luotsaavat organisaatioitaan kohti tavoitteitaan jatkuvan epävarmuuden vallitessa, tehden niin tietoisia päätöksiä kuin mahdollista. Hyvä johtaja etsii keinoja, joilla tavoitteet saavutetaan parhaalla mahdollisella tavalla. Keinoihin kuuluvat esimerkiksi tavoitteiden mittaaminen, päätösten vaikutusten arviointi sekä riskienhallinnan, sisäisen valvonnan, sisäisen tarkastuksen ja tilintarkastuksen hyödyntäminen.

Sisäinen valvonta tukee tavoitteiden saavuttamista

Onnistunut sisäinen valvonta ja riskienhallinta tukevat sekä yrityksen tavoitteiden saavuttamista että listayhtiöille tarkoitetun hallinnointikoodin (Corporate Governance) toteuttamista. Jokaisen yrityksen on tiedettävä, mitkä sisäiset ja ulkoiset riskit uhkaavat sen toimintaa ja miten näitä riskejä hallitaan. Mitä paremmin riskit ovat yrityksen tiedossa, sitä paremmin niitä voidaan hallita. Näin vältytään arvailulta ja oletuksilta.

Ymmärrys riskienhallinnan merkityksestä paranee koko ajan, mutta miten on sisäisen tarkastuksen laita. Entä miten lakisääteistä tilintarkastusta hyödynnetään johtamisessa? Molemmat ovat oivia keinoja arvioida yrityksen toimintaa ja varmistua siitä, että johdolle ja hallitukselle välittyy tieto olennaisista asioista.

Tilintarkastus keskittyy tilinpäätöksen varmentamiseen

Lakisääteisessä tilintarkastuksessa keskitytään yritysten kirjanpidon, tilinpäätöksen, toimintakertomuksen ja hallinnon lainmukaisuuden tarkastukseen. Tilintarkastaja raportoi yhtiökokoukselle. Tilintarkastuksen luonteen vuoksi tarkastuksen kohteena eivät ole – eivätkä kuulukaan olla – kaikki yrityksen talous- ja varainhallinnan järjestelmät ja kontrollit. Lakisääteisen tilintarkastuksen tavoitteena on saada kohtuullinen varmuus olennaisista tilinpäätökseen ja hallinnon lainmukaisuuteen vaikuttavista seikoista.

Tilintarkastusyhteisö voi lakisääteisen tilintarkastuksen lisäksi tarjota tarkastamilleen yhteisöille oheispalveluita tietyin rajoituksin. Sisäisen tarkastuksen palvelujen tarjoaminen tilintarkastusasiakkaalle on kuitenkin poissuljettua esimerkiksi PIE-yhtiöiden eli yleisen edun kannalta merkittävien yhtiöiden kohdalla.

Sisäinen tarkastus keskittyy arvioituihin riskeihin

Sisäisen valvonnan asianmukainen järjestäminen on yhtiön hallituksen vastuulla. Toimitusjohtajan vastuulla puolestaan on varmistaa sisäisen valvonnan tehokas käytännön toteutuminen.

Hallituksen ja yritysjohdon näkökulmasta varmuus on saatava muistakin asioista kuin tilinpäätöksestä tai hallinnon lainmukaisuudesta. Sisäisen tarkastuksen kautta yhtiön hallitus ja johto voivat valvoa sitä, että yhtiön toiminta on lakien ja säännösten mukaista, tehokasta ja tuottavaa sekä raportointi luotettavaa ja omaisuus turvattua.

Sisäisen tarkastuksen kohdentaminen perustuu arvioon yhtiön riskeistä. Sen tehtävä on varmistaa myös sisäisen valvonnan toteutuminen. Sisäisessä tarkastuksessa pyritään muun muassa kontrollien todentamiseen ja testaukseen. Näin varmistutaan toimivista käytänteistä ja tuotetaan johdolle tietoa päätöksenteon tueksi.

Sisäisen tarkastuksen tulee kattaa esimerkiksi seuraavat osa-alueet:

  • sisäinen valvonta
  • riskienhallinta
  • johtaminen ja hallinto
  • liiketoiminnalliset tavoitteet
  • mittarit ja seuranta
  • toiminnallinen tehokkuus ja tuottavuus
  • säädösten ja ohjeiden noudattaminen
  • luotettava sisäinen ja ulkoinen taloudellinen informaatio
  • omaisuuden ja tietojen turvaaminen.

Sisäisen tarkastuksen ammattistandardit ja eettiset säännöt on laatinut sisäisen tarkastuksen kansainvälinen kattojärjestö The Institute of Internal Auditors (The IIA).

Sisäinen tarkastus PIE-yhtiöissä

PIE-yhtiöiden osalta pörssiyhtiöiden hallinnointikoodi antaa rungon sille, miten sisäinen tarkastus tulee järjestää. Sen mukaan listayhtiön on määriteltävä, miten sisäisen tarkastuksen tehtävät on yhtiössä järjestetty.

Hallinnointikoodin lisäksi sijoituspalvelu- ja rahastoyhtiöitä koskevat Finanssivalvonnan määräykset ja ohjeet käsittelevät sisäistä tarkastusta. Laeista löytyy omia säännöksiä sisäisen tarkastuksen osalta esimerkiksi luottolaitoksille, vakuutusyhtiöille, rahastoyhtiöille ja vaihtoehtorahastoille.

Tavoitteena tehokkaasti toimiva sisäinen tarkastus

Hallituksen tehtävä on varmistaa, että sisäisellä tarkastuksella on riittävät resurssit yhtiön toiminnan laatu, laajuus ja monimuotoisuus huomioon ottaen. Yrityksen sisäisen tarkastuksen toiminto voidaan järjestää joko yhtiön omana in-house-toimintona tai kokonaan tai osittain ulkoistettuna palveluna.

Ulkoistettuna palveluna toteutettu sisäinen tarkastus voi olla hyvä ratkaisu silloin, kun yrityksellä ei ole tarvetta kokoaikaiseen sisäiseen tarkastajaan. Sisäisen tarkastuksen ajankäyttö on näin helpommin mitoitettavissa yrityksen tarpeisiin.

Ulkoistettuna palveluna toteutetun sisäisen tarkastuksen puitteissa voi olla helpompi tuoda hankalia asioita yrityksen johdon tietoon verrattuna tilanteeseen, jossa sisäistä tarkastusta hoitaisi yhtiössä pitkään työskennellyt henkilö. Erityisesti väärinkäytösten selvittämisessä voi olla tarkoituksenmukaista käyttää ulkopuolista tahoa riippumattomuuden korostamiseksi sekä erityisosaamisen tuomiseksi selvitystyöhön. Ulkopuolinen taho voi myös tuoda uusia näkemyksiä tai kokemusta erilaisista käytänteistä, toimintatavoista, työvälineistä ja analysointitavoista.

Vaikka sisäinen tarkastus olisikin ulkoistettu, yhtiössä on oltava sisäisen tarkastuksen vastuuhenkilö.

Yhtiössä työskentelevän henkilön tehtävään voi kuulua esimerkiksi tarkastusten koordinointi ja käytännön toimissa auttaminen. Tämä voi tarkoittaa auttamista esimerkiksi tietojärjestelmiin pääsyssä, aineistotoimituksissa ja haastatteluvarauksissa.

On suositeltavaa, että sisäisen tarkastuksen ja johdon välisten keskustelujen lisäksi hallituksella tai tarkastusvaliokunnalla on ainakin kerran vuodessa mahdollisuus tavata sisäinen tarkastus.

Sisäisen tarkastuksen yhteistyö tilintarkastuksen kanssa

Sisäisen tarkastuksen kansainvälisissä ammattistandardeissa edellytetään, että sisäinen tarkastus koordinoi eri varmennustoimintojen työtä. Lisäksi se varmistaa, että päällekkäiseltä työltä ja valvonta-aukkoilta vältytään. Samalla tavalla tilintarkastajalla on mahdollisuus hyödyntää sisäisen tarkastuksen työtä omaa tarkastussuunnitteluaan varten.

Käytännössä tilintarkastajan ja sisäisen tarkastajan on hyödyllistä tavata vähintään vuosittain, tutustua toistensa tarkastussuunnitelmiin ja -raportteihin sekä keskustella yhtiön toiminnasta, sisäisestä valvonnasta ja riskien hallinnasta. Tällöin välitetään suoraan tietoa todennäköisesti juuri niistä riskeistä, jotka huolestuttavat johtoa ja hallitusta eniten.

Helge Vuoti, CCSA, CFE, CIA, CISA, toimii partnerina BDO Oy:lla. 

Artikkeli on julkaistu alun perin Profiitti – Talous & tilintarkastus 1/2020 -lehdessä.