Riskienarviointiprosessi – laaturiskien tunnistaminen ja arvioiminen

Riskienarviointiprosessi voidaan yksinkertaistettuna jakaa kolmeen eri vaiheeseen: laatutavoitteiden asettaminen, laaturiskien tunnistaminen ja arvioiminen sekä riskeihin vastaavien toimenpiteiden suunnitteleminen. Näistä vaiheista laaturiskeihin liittyvät toimenpiteet ovat todennäköisesti haastavin osa-alue, koska se on kokonaan uusi käsite laadunhallintajärjestelmän yhteydessä.

Kirjoittaja: Tuula Minkkinen

Artikkeli on osa useamman artikkelin sarjaa, jossa käydään läpi kansainvälisen laadunhallintastandardin ISQM 1 mukaiseen laadunhallintajärjestelmään liittyviä vaatimuksia.

Miten laaturiskejä tunnistetaan ja arvioidaan?

Laaturiskien tunnistaminen tarkoittaa sitä, että tilintarkastaja pyrkii muodostamaan käsityksen niistä tilanteista, tapahtumista, olosuhteista, toimimisista tai toimimatta jättämisistä, jotka voivat vaikuttaa haitallisesti laatutavoitteiden saavuttamiseen. Tätä vaihetta voidaan kuvata siten, että kysytään yhä uudelleen kysymys: mikä voi mennä pieleen tavoitteen saavuttamisessa – vastaavalla tavalla kuin tilinpäätösten tilintarkastusprosessissakin kysytään olennaisen virheellisyyden riskien tunnistamisvaiheessa. Laaturiskien arvioinnissa taas otetaan huomioon se, miten ja missä määrin tunnistetut tilanteet ja tapahtumat saattavat vaikuttaa haitallisesti laatutavoitteiden saavuttamiseen. Eli arvioidaan tunnistettujen tilanteiden ja tapahtumien todennäköisyys ja mahdollinen vaikutus.

Käytännössä joka ikistä toimintaan liittyvää riskiä ei pystytä tunnistamaan, eivätkä kaikki tunnistetut riskit ole välttämättä laaturiskejä – vaikka olisivatkin laatuun liittyviä riskejä. Ammatillinen harkinta auttaa tilintarkastajaa määrittämään, mitkä riskeistä ovat laaturiskejä. Arvioinnissa huomioidaan se,

  • onko jokseenkin mahdollista, että riski toteutuuja
  • yksin tai yhdessä muiden riskien kanssa vaikuttaa haitallisestiyhden tai useamman laatutavoitteen saavuttamiseen.

Riskin todennäköisyyttä ja vaikutusta voidaan pyrkiä arvioimaan esimerkiksi seuraavien tekijöiden kautta:

  • Miten usein tilanne/ tapahtuma/ olosuhde jne. tapahtuisi?
  • Miten kauan menisi tapahtumisesta siihen, että sillä olisi vaikutusta?
  • Miten paljon menisi aikaa tilanteen korjaamiseen?

Laaturiskien arvioimisen ei tarvitse sisältää formaaleja luokituksia tai pistemääriä, joskaan niitä ei ole mitään estettä käyttää. Standardi ei kuitenkaan tätä vaadi.

Vastaamistoimenpiteiden suunnittelu

Vastaamistoimenpiteet ovat tilintarkastajan suunnittelemia ja käyttöönottamia toimintaperiaatteita, jotka vastaavat tunnistettuihin laaturiskeihin. Tällä tarkoitetaan esimerkiksi sitä, että jos tilintarkastajan tunnistama laaturiski liittyy vain yhteen toimeksiantotyyppiin, joita hän suorittaa, niin myös vastaamistoimenpiteet kohdistuvat vain näihin toimeksiantoihin (eikä kaikkiin toimeksiantoihin ja toimeksiantotyyppeihin).

Vastaamistoimenpiteiden suunnitteluprosessin osalta on löydettävissä myös yhtymäkohtia tilintarkastustoimeksiannon tarkastustoimenpiteiden suunnitteluun. Vastaamistoimenpiteiden suunnittelun apuna voidaan toimenpiteitä pohtia kolmesta eri näkökulmasta: luonne, ajoitus ja laajuus.

Vastaamistoimenpiteen luonteen osalta voidaan pohtia seuraavaa:

  • Onko toimenpide estävä, havaitseva tai näiden yhdistelmätoimenpide?
  • Onko toimenpide manuaalinen vai automaattinen?
  • Mitä resursseja, osaamista tms. tarvitaan toimenpiteen suorittamiseksi?
  • Kuka toteuttaa toimenpiteen, toteutetaanko se yhteisön tasolla vai toimeksiannoissa vai näiden yhdistelmänä?

Vastaamistoimenpiteen ajoituksen osalta voidaan pohtia seuraavaa:

  • Onko toiminta tietyin aikavälein tapahtuva vai jatkuvaa toimintaa?
  • Jos tietyin aikavälein tapahtuvaa, miten usein toiminta tapahtuu?

Vastaamistoimenpiteen laajuuden osaltavoidaan pohtia seuraavaa:

  • Pitääkö toimenpiteen vastata kaikkiin tapahtumisiin ja olosuhteisiin, vai vain tiettyihin? Esim. kaikkiin tilintarkastustoimeksiantoihin, vai vain tietyin tyyppisiin, tiettyä toimialaa tai tiettyä kokoluokkaa koskeviin toimeksiantoihin jne.

Formaalisti dokumentoitujen toimintaperiaatteiden tai menettelytapojen tarve voi olla suurempi tilintarkastusyhteisöissä, joissa on paljon henkilöstöä tai jotka ovat maantieteellisesti hajautuneita, jotta kaikkialla tilintarkastusyhteisössä toimitaan yhdenmukaisesti. Vastaamistoimenpiteetkin siis skaalataan sen mukaan, millainen on tilintarkastajan toiminta ja millaisia toimeksiantoja hän suorittaa.

Sen lisäksi, että yhteisön täytyy miettiä yllä kuvatun mukaisesti omia vastaamistoimenpiteitä oman yhteisönsä erityispiirteet huomioiden, niin standardissa on myös esitetty erityisiä vastaamistoimenpiteitä, jotka tilintarkastajan tulee suunnitella ja ottaa käyttöön. Nämä erityiset vastaamistoimenpiteet ovat pakollisia kaikille tilintarkastajille – paitsi siinä tapauksessa, etteivät ne ole relevantteja kyseisessä toiminnassa. Huomionarvoista on myös se, että erityiset vastaamistoimenpiteet eivät yksin riitä laadunhallintajärjestelmän tavoitteiden saavuttamiseen.

Erityiset vastaamistoimenpiteet liittyvät useisiin eri komponentteihin: eettisten vaatimusten noudattamiseen, riippumattomuusvahvistuksiin, valituksiin ja väitteisiin, asiakassuhteiden ja toimeksiantojen hyväksymiseen ja jatkamiseen, kommunikointiin ulkopuolisille ja toimeksiantokohtaiseen laadun läpikäyntiin.Nämä erityiset vastaamistoimenpiteet käsitellään myöhemmin artikkelisarjasta koostettavan tiivistelmän liitteenä julkaistavassa komponentteja koskevassa osuudessa.

Lue myös:

Tilintarkastajan laadunhallintajärjestelmä toimeksiantojen laadun mahdollistajana

Uudistuneiden kansainvälisten laadunhallintastandardien mukaisesti suunniteltu laadunhallintajärjestelmä tulee ottaa käyttöön viimeistään 15.12.2022. Suomen Tilintarkastajat ry julkaisee aiheeseen liittyvän artikkelisarjan, joista koostetaan myöhemmin kattava tiivistelmä apuvälineeksi standardien soveltamisessa. Tiivistelmä julkaistaan yhtä aikaa yhdistyksen laatiman laadunhallintajärjestelmää koskevan mallin kanssa. Malli toimii esimerkkinä yksin toimivan tilintarkastajan laadunhallintajärjestelmästä, mutta myös muut pienemmät tilintarkastustoimijat voivat saada siitä pohjan omalle järjestelmälleen. Malli sekä tiivistelmä julkaistaan 15.11.2022 mennessä.