Riskienarviointiprosessi laadunhallintajärjestelmän suunnittelussa

Riskienarviointiprosessi on yksi avainmuutoksista laadunhallintajärjestelmän suunnittelussa uuden standardin mukaan. Riskienarviointiprosessin avulla suunnitellaan järjestelmän muut osa-alueet seuranta- ja korjaamisprosessia lukuun ottamatta.

Kirjoittaja: Tuula Minkkinen

Artikkeli on osa useamman artikkelin sarjaa, jossa käydään läpi kansainvälisen laadunhallintastandardin ISQM 1 mukaiseen laadunhallintajärjestelmään liittyviä vaatimuksia.

Riskienarviointiprosessi voidaan yksinkertaistettuna jakaa seuraaviin vaiheisiin:

Ensimmäisessä vaiheessa asetetaan laatutavoitteet jokaiseen edellä kuvattuun kuuteen komponenttiin liittyen. Standardin nimittämien laatutavoitteiden lisäksi tilintarkastajan tulee asettaa mahdolliset muut laatutavoitteet tai standardin laatutavoitteiden alatavoitteet, jotka tilintarkastajan oman arvion mukaan ovat tarpeellisia laadunhallintajärjestelmän tavoitteiden saavuttamiseksi. On kuitenkin todennäköistä, että ainakin pienemmillä toimijoilla standardin asettamat laatutavoitteet ovat riittävät, eikä muita niiden lisäksi tarvita. Lisäksi on huomioitava se, että standardinkin asettamista laatutavoitteista valitaan omaan laadunhallintajärjestelmään vain ne, jotka ovat omassa toiminnassa relevantteja.

Toisessa vaiheessa pyritään tunnistamaan ja arvioimaan aiemmin asetettujen laatutavoitteiden saavuttamista vaarantavat riskit, joista käytetään nimitystä laaturiskit. Laaturiskit taas toimivat pohjana prosessin seuraavalle vaiheelle, eli vastaamistoimenpiteiden suunnittelulle ja käyttöönotolle. Näiden toimenpiteiden tulisi olla luonteeltaan, ajoitukseltaan ja laajuudeltaan sellaisia, että ne perustuvat ja niillä vastataan syihin, jotka ovat johtaneet laaturiskeistä tehtyihin arvioihin. Tällä tarkoitetaan esimerkiksi sitä, että jos laaturiskin on tunnistettu liittyvän vain tiettyyn toimeksiantotyyppiin (esimerkiksi tilintarkastustoimeksiantoihin) tai tiettyyn asiakasyhteisöihin (esimerkiksi tietyt toimialat kuten rakennusala), niin myös toimenpiteet kohdistuvat vain näihin toimeksianto- tai asiakastyyppeihin. Vastaavasti jos tilintarkastaja on arvioinut jonkin tietyn laaturiskin olevan korkeamman kuin jonkin toisen, tähän korkeampaan laaturiskiin vastaavat toimenpiteet ovat yksityiskohtaisemmat ja laajemmat kuin matalamman riskin vastaamistoimenpiteet. Lisäksi laaturiskien tulisi olla yleisestikin tilintarkastajan toimintaan liittyviä – ison yhteisön laaturiskit todennäköisesti poikkeavat yksin toimivan laaturiskeistä.

Alla olevassa kuvassa on esitetty riskienarviointiprosessin vaiheet yksityiskohtaisemmin:

Klikkaamalla saat kuvan isommaksi.

Riskienarviointiprosessi on iteratiivinen, eli vaiheet käydään läpi niin monta kertaa kuin on tarvetta. On mahdollista, että vastaamistoimenpiteiden suunnitteluvaiheessa huomataan, että joku laaturiski on jäänyt aiemmin tunnistamatta, jolloin palataan riskien tunnistamis- ja arviointivaiheeseen tai jopa laatutavoitteiden asettamisvaiheeseen, kunnes taas palataan suunnittelemaan vastaamistoimenpiteitä.

Riskienarviointiprosessi on kokonaisuudessaan skaalautuva, jolloin tilintarkastajan toiminnan luonne ja olosuhteet sekä tilintarkastajan suorittamien toimeksiantojen luonne ja olosuhteet vaikuttavat prosessin toteutukseen. Pienellä toimijalla riskienarviointiprosessin toteuttaminen saattaa olla yhden henkilön vastuulla ja laatutavoitteita, laaturiskejä ja vastaamistoimenpiteitä koskeva dokumentaatio on suppeampaa kuin monimutkaisemmassa tilintarkastusyhteisössä.

Lue myös:

Tilintarkastajan laadunhallintajärjestelmä toimeksiantojen laadun mahdollistajana

Uudistuneiden kansainvälisten laadunhallintastandardien mukaisesti suunniteltu laadunhallintajärjestelmä tulee ottaa käyttöön viimeistään 15.12.2022. Suomen Tilintarkastajat ry julkaisee aiheeseen liittyvän artikkelisarjan, joista koostetaan myöhemmin kattava tiivistelmä apuvälineeksi standardien soveltamisessa. Tiivistelmä julkaistaan yhtä aikaa yhdistyksen laatiman laadunhallintajärjestelmää koskevan mallin kanssa. Malli toimii esimerkkinä yksin toimivan tilintarkastajan laadunhallintajärjestelmästä, mutta myös muut pienemmät tilintarkastustoimijat voivat saada siitä pohjan omalle järjestelmälleen. Malli sekä tiivistelmä julkaistaan 15.11.2022 mennessä.