Sisäisen tarkastuksen tehtävät ja hyödyt yrityksen johdolle
Tämän artikkelin tarkoituksena on kuvata konkreettisesti sisäisen tarkastuksen keskeisiä tehtäviä ja nostaa esille seikkoja, jotka edesauttavat sisäisen tarkastuksen tuottamaa hyötyä yrityksen johdolle. Artikkelia ei ole tarkoitettu kattavaksi kuvauksesi sisäisen tarkastuksen tehtävistä, vaan pikemminkin luoda katsaus sisäisen tarkastuksen tehtäviin käytännönläheisten esimerkkien avulla. Artikkelissa esitetyt esimerkit ovat sovellettavissa myös muihin kuin liiketoimintaa harjoittaviin yrityksiin.
Sisäisen tarkastuksen tehtävä yrityksessä
Sisäisen tarkastuksen tehtävä on tuottaa tietoa yrityksen johdolle (toimitusjohtajalle ja hallitukselle) ja tukea johtoa toiminnan ja prosessien kehittämisessä. Auktorisoituja sisäisiä tarkastajia (CIA) sitovat käytännön työssä alan kansainväliset ammattistandardit [1] ja eettiset säännöt. Työssä hyödynnetään yleensä kansainvälisesti hyväksyttyjä sisäisen valvonnan viitekehyksiä [2] soveltuvin osin. Näin varmistetaan tarkastuksen systemaattinen ja riittävän laaja-alainen lähestymistapa arvioinnin kohteena olevaan asiaan. Käytännössä sisäisen tarkastajan tehtävät määräytyvät yrityksen johdon tiedontarpeiden mukaan. Sisäinen tarkastus voi olla osa yrityksen omaa organisaatiota, jolloin se toimii yrityksen ylimmän johdon alaisuudessa, tai sisäisen tarkastuksen palvelu voidaan ostaa kokonaan tai osittain ulkopuoliselta palveluntuottajalta.
Sisäisen tarkastuksen keskeinen tehtävä on tuottaa yrityksen johdolle tietoa siitä, ovatko yrityksen riskienhallinta-, valvonta-, johtamis- ja hallintoprosessit tehokkaasti järjestetty ja miten näitä prosesseja voitaisiin edelleen kehittää. Tyypillisesti sisäinen tarkastus arvioi edellä mainittujen prosessien toimivuutta ja tehokkuutta. Sisäisen tarkastuksen toimintakenttä on erittäin laaja, joten tehtävän menestyksekäs hoitaminen edellyttää perehtymistä yrityksen toimintaan ja prosesseihin. Arviointi- ja varmistuspalvelun lisäksi sisäisen tarkastuksen tehtävä voi olla luonteeltaan puhtaasti konsultointia, jossa toimeksiantosuhteessa olevalle asiakkaalle tuotetaan neuvontapalvelua tiettyyn yksilöityyn asiaan liittyen.
Sisäisen tarkastuksen tuottamaa hyötyä yrityksen johdolle edesauttavia tekijöitä
1. Sisäisen tarkastuksen aseman selkeä määrittely ja keskittyminen olennaisiin asioihin
Sisäisen tarkastuksen toiminnon tarkoitus, toimivalta ja vastuu on suositeltavaa määritellä kirjallisessa toimintaohjeessa, jonka yrityksen hallitus hyväksyy. Näin varmistetaan, että sisäinen tarkastus keskittyy niihin asioihin, jotka sille yrityksen johdon näkemyksen mukaan kuuluvat ja sisäisen tarkastuksen asema yrityksessä on selkeä. Sisäisen tarkastuksen toimintaohje oikeuttaa sisäisen tarkastuksen pääsyn tietoihin, jotka se tarvitsee tehtävänsä hoitamiseksi. Toimintaohje luo sisäisen tarkastuksen perustan ja puitteet sisäiselle tarkastukselle sekä selkeyttää sisäisen tarkastuksen aseman yrityksessä.
2. Sisäisen tarkastuksen toiminta tukee yrityksen tavoitteiden saavuttamista
Sisäisen tarkastuksen toiminta on suunnitelmallista ja perustuu vuositason suunnitteluun ja tehtäväkohtaisiin suunnitelmiin. Sisäisen tarkastuksen toiminnolle laaditaan vuosisuunnitelma siten, että suunnitelman mukaisten arviointien suorittaminen ja arviointien perusteella annetut kehittämisehdotukset osaltaan tukevat yrityksen tavoitteiden toteutumista.
Esimerkiksi, jos yrityksen tavoitteena on kehittää yritysvastuuraportointia tilikauden aikana, sisäinen tarkastus voi tukea johtoa tavoitteen toteutumisessa arvioimalla yritysvastuuraportoinnin nykytasoa ja antamalla kehitysehdotuksia raportoinnin parantamiseksi.
Yrityksen keskeinen tavoite voi liittyä esimerkiksi sähköisen kaupankäynnin kasvattamiseen kuluttaja-asiakkaille, jolloin sisäisen tarkastuksen tehtävään voi kuulua mm. kaupankäynnissä käytettävän tietojärjestelmän toimivuuden, luotettavuuden ja käytettävyyden arviointi. Lisäksi arvioitavana voi olla lainsäädännöstä tulevien vaatimusten huomioon ottaminen myyntiprosessissa ja tietojärjestelmissä esimerkiksi henkilötietojen käsittelyn osalta sekä sähköiseen kaupankäyntiin liittyvään tietojärjestelmään sisältyvien kontrollien asianmukaisuuden arviointi.
3. Sisäisen tarkastuksen työtä ohjaa riskiperusteisuus
Sisäisen tarkastuksen tehtävien määrittelyssä tulee huomioida yrityksen toimintaan liittyvät riskit, jotta tarkastusta voidaan keskittää merkittäviä riskejä sisältäviin kohteisiin. Sisäisen tarkastuksen vuosisuunnitelma siis laaditaan riskiperusteisesti, eli tarkastusta kohdennetaan niihin tehtäviin, toimintoihin ja prosesseihin, joissa riskien katsotaan olevan merkittäviä ja sisäisen tarkastuksen toiminto voi omalla työllään edesauttaa riskien pienentämistä. Näin varmistetaan, että sisäisen tarkastuksen työ aidosti keskittyy riskien näkökulmasta olennaisiin asioihin.
Tarkastustehtäviä voidaan priorisoida esimerkiksi rahallisen arvon, varallisuuserän likvidiyden, johdon pätevyyden sekä aikaisemman tarkastuksen tuloksen perusteella. Usein tarkastuskohteen valinnassa otetaan huomioon myös tiedossa olevan valvonnan laatu siten, että tarkastusta kohdennetaan alueille, joissa valvonnassa on todettu olevan puutteita tai toimintoa ei ole aikaisemmin arvioitu ja valvonnan laatu ei siten ole tiedossa. Merkittävät muutokset prosesseissa tai tietojärjestelmissä aiheuttavat yleensä kohonneen riskin prosessin ja järjestelmien toimivuudelle ja järjestelmien tuottaman tiedon oikeellisuudelle, mikä huomioidaan tarkastuksen suunnittelussa.
Esimerkiksi jos yrityksen varallisuudesta huomattava osa on sitoutunut varastoihin, varastointiprosessin asianmukaisuuden varmistaminen on riskiperusteisesti perusteltua. Samoin, jos yritys on laajentanut toimintaa alueelle tai maahan, jossa se ei ole aiemmin toiminut, tällaisen merkittävän toiminnan arviointi on riskiperusteisesti perusteltua.
4. Sisäisen tarkastuksen resurssit ovat asianmukaiset ja sisäisen tarkastuksen työ sovitetaan yhteen muiden arviointi- ja varmistus- sekä konsultointipalvelujen tuottajien kanssa
Sisäisen tarkastuksen laajasta tehtäväkentästä johtuen tehtävän hoitaminen edellyttää monipuolista osaamista mm. riskienhallinnasta, toimintaprosessien arvioinnista, toimintaa ohjaavasta lainsäädännöstä ja tietojärjestelmistä. Yrityksen omaa sisäisen tarkastuksen toimintoa voikin olla tarpeen täydentää esim. tapauskohtaisesti ulkopuolelta ostetuilla sisäisen tarkastuksen palveluilla, jotta yrityksen johdolla on käytettävissään tarvittava tieto päätöksenteon pohjaksi. Ulkopuolinen palveluntuottaja pystyy yleensä osoittamaan toimeksiantoon tehtävän edellyttämää erityisosaamista, mikä puoltaa ulkopuolisen palveluntuottajan käyttöä.
Sisäisen tarkastuksen työn koordinointi tilintarkastajan työn kanssa on keskeistä, jotta vältytään päällekkäiseltä työltä ja tarkastajien tekemä työ tukee toisiaan. Joissakin yrityksissä sisäisen tarkastuksen tehtäviin kuuluu tukea tilintarkastusta esimerkiksi tilinpäätöksen tarkastuksessa ja varsin yleistä on, että tilintarkastajan havaitsemaa sisäisen valvonnan heikkoutta käydään läpi perusteellisemmin sisäisen tarkastuksen toimesta ja kehitetään valvontaa asianmukaiselle tasolle sisäisen tarkastajan kehittämisehdotusten pohjalta. Päällekkäistä työtä voidaan välttää tehokkaasti jo sillä, että sisäinen tarkastus saa tilintarkastuksen raportit nähtäväkseen ja päinvastoin.
Tilintarkastajien lisäksi sisäisen tarkastuksen työtä voi olla tarpeen koordinoida myös esimerkiksi yrityksen laadunvalvonnan, kehitystoiminnon ja ulkopuolisten konsultointipalvelujen tuottajien kesken.
5. Sisäisen tarkastuksen raportointimenettely on selkeä ja yrityksen toimintaa kehittävä
Sisäinen tarkastus raportoi yrityksen johdolle vuosisuunnitelman toteutumisesta ja tehtäväkohtaisten tarkastusten tuloksista. Raportointimenettely on yleensä kuvattu sisäisen tarkastuksen toimintaohjeessa tai raportoinnista sovitaan tarkastuskohtaisesti.
Yleensä raportointi sisältää tarkastuksen tavoitteet ja kuvauksen käytetystä tarkastusmetodista sekä havainnot, johtopäätökset ja suositukset eli kehittämisehdotukset. Keskeistä raportoinnissa on selkeys ja konkreettisten kehitysehdotusten esittäminen. Kehittämisehdotusten pohjalta yrityksen johto päättää, mitä asioita lähdetään viemään eteenpäin ja missä järjestyksessä eli priorisoi tarkastuksen johdosta suoritettavat toimenpiteet. Sisäisen tarkastuksen tehtävänä on varmistaa, että sovitut kehittämistoimenpiteet suoritetaan sovitusti, mutta sisäinen tarkastus ei ole vastuussa kehittämistoimenpiteiden toteutuksesta.
Sisäisen tarkastuksen keskeinen tehtävä on tuottaa toiminnallaan lisäarvoa yritykselle ja lisäarvon tuottamista voidaan arvioida esim. sisäisen tarkastuksen suorittamien tarkastusten ja niiden pohjalta annettujen kehittämisehdotusten pohjalta. Lisäksi sisäinen tarkastus voi osallistua erilaisten kehitysryhmien ja projektiryhmien työskentelyyn ja tuoda kehittämiseen tätä kautta sisäisen valvonnan näkökulmaa. Sisäinen tarkastus toimii yrityksessä keskustelukumppanina sekä johdolle että henkilöstölle yrityksen toimintaa ja kehittämistä koskevissa asioissa ja lisäarvon tuottamista voidaan arvioida myös tämän tehtävän kautta.
6. Esimerkkejä sisäisen tarkastuksen tehtävistä
Riskienhallintaan ja toiminnan jatkuvuuteen liittyviä tehtäviä
Yrityksen johto (hallitus ja toimitusjohtaja) vastaa siitä, että yrityksellä on tarkoituksenmukainen ja tehokas riskienhallintaprosessi. Riskienarviointiin kuuluu riskien tunnistaminen ja niiden vaikutuksen arviointi sekä tarkoituksenmukaisten toimenpiteiden määrittely ja toteutus riskien pienentämiseksi. Sisäisen tarkastuksen tehtävänä on arvioida riskienhallintaprosessin tehokkuutta ja antaa tarvittaessa kehittämisehdotuksia prosessin parantamiseksi, mutta sisäinen tarkastus ei vastaa riskienarviointiprosessista.
Sisäinen tarkastus voi olla aloitteellinen riskienhallintaprosessin luomisessa ja avustaa yrityksen johtoa prosessin käyttöön otossa, jos yrityksessä ei ole vakiintunutta riskienhallinnan prosessia. Sisäinen tarkastus voi esimerkiksi tukea johtoa riskienhallintapolitiikan ja –ohjeiden laatimisessa ja osallistua riskienhallinnan työryhmiin facilitaattorin roolissa.
Jatkuvuussuunnittelun osalta sisäinen tarkastus voi arvioida yrityksen jatkuvuussuunnittelua sen varmistamiseksi, että toiminnan jatkuvuutta uhkaavia riskejä on asianmukaisesti huomioitu suunnittelussa. Toipumissuunnitelmien osalta sisäinen tarkastus voi arvioida suunnitelmien ajantasaisuutta ja kattavuutta eli kattavatko suunnitelmat kaikki yrityksen kriittiset toiminnot ja järjestelmät.
Sisäisen valvonnan arviointiin liittyviä tehtäviä
Sisäinen valvonta on erittäin laaja käsite ja se koostuu toimenpiteistä, joilla varmistetaan esimerkiksi yrityksen tuottaman taloudellisen ja toiminnallisen tiedon luotettavuutta, prosessien tehokkuutta ja tuloksellisuutta, omaisuuden turvaamista ja toiminnan lainmukaisuutta. Yrityksen sisäisen valvonnan asianmukaisuudesta, toimivuudesta ja tehokkuudesta vastaa yrityksen johto ja sisäisen tarkastuksen tehtävä on arvioida ja tuottaa johdolle tietoa valvonnan toimivuudesta ja tehokkuudesta.
Tyypillisiä arvioinnin kohteena olevia yrityksen toimintaprosesseja ovat esimerkiksi myynti-, osto-, varastointi- ja investointiprosessit sekä henkilöstöhallinnon prosessit. Prosessin arvioinnissa käydään yleensä koko prosessi läpi vaihe vaiheelta ja arvioidaan ja tarvittaessa testataan eri vaiheisiin liittyvien kontrollien asianmukaisuus ja toimivuus. Yleisiä arvioinnin kohteita ovat myös yrityksen tietojärjestelmät ja muutostenhallinta sekä järjestelmien tuottaman tiedon luotettavuuden arviointi.
Omaisuuden turvaamiseen liittyvät sisäisen tarkastuksen tehtävät voivat liittyä esimerkiksi irtaimen omaisuuden hankintaan ja rekisteröintiin sekä omaisuuden myyntiin, rahavarojen hallintaan ja sijoitustoimintaan sekä omaisuuden vakuuttamiseen.
Lainmukaisuuden varmistamiseen liittyvät tehtävät ovat esimerkiksi kirjanpitolainsäädännön ja osakeyhtiölain ja muun yhtiön toimintaa koskevan lainsäädännön noudattamisen varmistamista. Kyseeseen voi tulla esimerkiksi henkilötietolain, ympäristölainsäädännön, yms. noudattamisen arviointia.
Johtamisprosessin arviointiin liittyviä tehtäviä
Johtamisjärjestelmää arvioidessaan sisäinen tarkastus käy läpi yrityksen keskeisten toimijoiden työnjaon, tehtävät ja vastuut ja varmistaa näiden selkeän määrittelyn ja toimivuuden. Johtamisjärjestelmä luo puitteet toiminnan johtamiselle sekä strategisella että operatiivisella tasolla. Johtamisprosessiin kuuluu mm. tavoitteiden asettaminen ja toimintasuunnitelmien laatiminen sekä tavoitteiden toteutumisen seuranta. Strategisen tason johtamisesta vastaa yrityksen hallitus ja toimitusjohtaja ja operatiivisesta johtamisesta toimitusjohtajan lisäksi yrityksen eri tasoilla toimivat esimiehet aina työntekijän lähiesimieheen asti.
Sisäisen tarkastuksen tehtävänä on arvioida johtamisprosessin osalta esimerkiksi tavoitteiden asettamisen ja toiminnan suunnittelun asianmukaisuutta, tavoitteista tiedottamista yrityksen sisällä ja tavoitteiden toteutumisen seurantaan liittyviä menettelytapoja. Tavoitteiden asettamisen osalta voidaan arvioida esimerkiksi sitä, asetetaanko tavoitteet ylhäältä päin annettuina vai osallistuuko alempi johto tai henkilökunta tavoitteiden määrittelyyn. Tavoitteiden saavuttaminen edellyttää yleensä riittäviä resursseja ja konkreettisten toimintasuunnitelmien laadintaa jopa toimenpidetasolla. Erityisen tärkeää konkreettisten toimenpiteiden määrittely on strategisten tavoitteiden osalta, jotta päivittäistä toimintaa johdetaan siten, että se osaltaan tukee yrityksen strategisen tavoitteen toteutumista. Sisäinen tarkastaja arvioi siten myös riittävien resurssien turvaamista ja toimintasuunnitelmien asianmukaisuutta.
Tavoitteiden toteutumisen seuranta edellyttää toimivaa raportointikäytäntöä ja tietojärjestelmiä, jotka tuottavat seurantaa varten tarvittavan tiedon. Näin ollen sisäinen tarkastus arvioi myös tietojärjestelmien tuottaman tiedon riittävyyttä ja käyttökelpoisuutta osana johtamisprosessin arviointia. Yrityksen johtamiseen kuuluu myös lähiesimiesten työ eli päivittäisjohtaminen ja siihen liittyen mm. kehityskeskustelut, alaisten ohjaaminen, tehtävien resursointi ja palkitseminen, jotka ovat sisäisen tarkastuksen arvioinnin kohteena johtamisprosessia arvioitaessa.
Yksi keskeinen johtamiseen liittyvä arvioinnin kohde on yrityksen hallinnointi, mikä sisältää mm. hallitustyöskentelyn ja valiokuntien työskentelyn sekä palkitsemisjärjestelmän arviointia. Näissä arvioinneissa sisäinen tarkastus voi hyödyntää Arvopaperimarkkinayhdistys ry:n laatimaa hallinnointikoodia tai Keskuskauppakamarin julkaisua Asialista listaamattomien yhtiöiden hallinnoinnin kehittämiseksi.
Lopuksi
Sisäisen tarkastuksen tehtävät ovat hyvin monipuolisia ja tarkastus voi liittyä mihin tahansa yrityksen toimintaan. Oy Tuokko Ltd:n sisäisen tarkastuksen asiantuntijat auttavat mielellään yritysjohtoa suunnittelemaan ja toteuttamaan sisäisen tarkastuksen tehtävät siten, että ne palvelevat parhaalla mahdollisella tavalla yrityksen johtoa.