Kohti tehokkaampaa sisäistä valvontaa

Miksi sisäisten kontrollien toteuttaminen ja riittävä dokumentointi on tärkeää? Mitä asioita sisäisistä kontrolleista tulisi dokumentoida? Kuinka sisäiset kontrollit voidaan toteuttaa nopeasti ja tehokkaasti oikeassa laajuudessaan?
13.10.2020 Teemu Vieruaho Kuva iStock

Tässä osassa taloushallinnon dokumentaatiota käsittelevää juttusarjaa käsittelemme nykyaikaisia sisäisten kontrollien toteutus- ja dokumentointitapoja ja esitämme käytännön esimerkkejä tehokkaista toteutuksista.

Mitä on sisäinen valvonta?

Sisäisellä valvonnalla turvataan yrityksen keskeiset toiminnan tavoitteet ja varmennetaan yhtiössä hyödynnettävän taloudel­lisen raportoinnin luotettavuus. Lisäksi valvonnalla ehkäistään riskejä sekä väärinkäytöksiä.

Osakeyhtiölain mukaan hallitus vastaa yhtiön kirjanpidon ja varainhoidon järjestämisestä. Hallituksen tehtävä ei ole tehdä sisäistä valvontaa, vaan järjestää sen hoitaminen asianmukaisella tavalla.

Vastaavasti toimitusjohtaja vastaa yhtiön kirjanpidon lainmukaisuudesta ja luotettavasta varainhoidosta. Näiden tehtävien hoitaminen edellyttää, että sisäinen valvonta on hoidettu kattavasti ja oikein.

Tässä artikkelissa käsittelen suomalaisten osakeyhtiöiden sisäistä valvontaa keskittyen erityisesti valvontatoimen­piteisiin eli sisäiseen kontrolliin.

Sisäiset kontrollit ja niiden toteutustavat

Sisäisten kontrollien toteutustavat voidaan jakaa neljään osaan:

  • Manuaaliset kontrollit
  • Manuaaliset järjestelmäsidonnaiset kontrollit
  • Automaattiset kontrollit
  • Järjestelmäkontrollit

Manuaalinen kontrolli perustuu henkilön suorittamiin manuaalisiin toimenpiteisiin kokonaan tietojärjestelmien ulkopuolella. Näitä ovat esimerkiksi varastosaldon uudelleenlaskenta ja työntekijän tuntikortin hyväksyminen esimiehen allekirjoituksella.

Manuaaliset järjestelmäsidonnaiset kontrollit tehdään manuaalisesti hyödyntäen tietojärjestelmien keskeisiä raportteja tai tietoja. Näitä ovat esimerkiksi tuloslaskelman poikkeamaraportin läpikäynti ja tarkastus, ostoreskontran täsmäytysraportin läpikäynti sekä katepoikkeamien seuranta­raportin hyväksyntä.

Automaattiset kontrollit ovat tietojärjestelmän tai esimerkiksi ohjelmistorobotin suorittamia kontrollitoimenpiteitä, jotka toteutetaan ilman manuaalista valmistelua. Esimerkkejä näistä ovat toiminnanohjausjärjestelmän ostolaskun automaattinen täsmäytys ostotilaukseen ja varaston vastaanottoon sekä ohjelmistorobotin tekemä asiakastietotarkastus tausta­järjestelmästä.

Järjestelmäkontrolleilla varmennetaan yrityksen keskeisten tietojärjestelmien tiedon luotettavuus, turvallisuus ja muuttumattomuus. Esimerkiksi käyttöoikeuksien oikea hallinta ja laajuus sekä tietojärjestelmien muutoshallinta lukeutuvat järjes­telmäkontrolleihin.

Mitä sisäisistä kontrolleista tulee dokumentoida?

Kontrollien tunnistaminen ja suunnittelu – kontrollikatalogi
Keskeinen osa sisäisten kontrollien dokumentaatiota on kontrollikatalogi, joka kuvaa ne tavoitteet, riskit ja toimenpiteet, joita yhtiössä suunnitellaan kontrolloitavan. Käytännössä sisäisten kontrollien kontrollikatalogeja laaditaan pääosin suurissa yhtiöissä, mutta niiden laadinta on suositeltavaa myös pienemmissä yrityksissä. Pienissä yrityksissä kontrollikatalogin tekeminen on lisäksi nopeampaa, sillä toiminnan laajuus on suppeampaa ja prosessit ovat usein yksinkertaisempia. Pienemmässä yrityksessä voidaan lähteä liikkeelle kuvaamalla kontrollikatalogiin keskeiset toimenpiteet, joilla turvataan yhtiön prosessien toiminta ja tärkeimpien varojen (kuten rahavarat, koneet ja laitteet, varasto, immateriaalioikeudet yms.) säilyminen.

Kontrollikatalogin suunnitteluvaihe määrittää sen, kuinka paljon aikaa ja resursseja sisäisten kontrollien toteutusvaihe vaatii. Katalogin suunnittelussa on suositeltavaa käyttää niin sanottua automaatio ensin -periaatetta. Tämä tarkoittaa sitä, että kontrollitavoite pyritään ensisijaisesti toteuttamaan automaation avulla. Mikäli automaatio ei ole toteutettavissa tai kustannustehokasta, kontrollitoimenpide suunnitellaan suoritettavan manuaalisesti.

Katalogin suunnittelussa on suositeltavaa käyttää niin sanottua automaatio ensin -periaatetta. Tämä tarkoittaa sitä, että kontrollitavoite pyritään ensisijaisesti toteuttamaan automaation avulla.

Kirjoituksen loppuosassa on kuvattu esimerkkejä kontrolli­katalogeista. Näissä esimerkeissä kontrollikuvaus sisältää myös prosessikuvausta kokonaiskuvan selkeyttämiseksi lukijalle. Todelliseen kontrollikatalogiin kuvataan vain kontrollin suorittamiseen liittyvä tehtävä.

Kontrollidokumentaatio
Suunnitellut toimenpiteet kuvataan kontrollikatalogissa, jonka jälkeisen kontrollidokumentaation tehtävänä on vastata kontrollikatalogissa esitettyyn tavoitteeseen. Suoritetut valvontatoimenpiteet dokumentoidaan kontrollidokumentaatioon, joka kuvaa: kuka, milloin, ja mitä on tehty kontrollitavoitteen saavuttamiseksi.

Kontrollidokumentaatioon liitetään yleensä myös tarvittava evidenssi. Vaihtoehtoisesti dokumentaatio voidaan laatia yksityiskohtaisesti viitaten tietojärjestelmistä löydettävissä oleviin dokumentteihin. Tällöin tulee varmistua, että evidenssi, johon viitataan, on saatavilla myös jälkikäteen. Usein evidenssin liittäminen kontrollidokumentaatioon on käytännössä helpompaa ja nopeampaa.

Kontrollidokumentaatio on yleisesti laadittu manuaalisesti edelliskauden Excel-pohjille. Sisäisten kontrollien suunnitteluun, hallintaan ja dokumentointiin tarkoitetut tietojärjes­telmät ovat vielä erittäin harvinaisia Suomessa ja niitä käytetään ainoastaan harvoissa suuryrityksissä.

Kontrollievidenssin hakeminen ja kontrollidokumentaation laatiminen on usein aikaavievin osa kontrollin suorittamisesta, minkä vuoksi varsinaiseen ammatillista asiantuntemusta vaativaan vaiheeseen voi jäädä vain vähän aikaa. Kontrollievidenssin hakeminen sekä kontrollidokumentaation laatiminen voidaan kuitenkin automatisoida täysin ohjelmistorobotiikan avulla, jolloin sisäisten kontrollien suorittamisessa voidaan päästä 90 prosentin aikasäästöön.

Automatisointi kannattaa kohdentaa niihin kontrolli­toimenpiteisiin, jotka ovat toistuvia ja edellyttävät ison tapahtu­mamäärän läpikäyntiä tai sääntöihin perustuvaa laajaa dokumentaatiota. Automatisoinnin on todettu lisäävän olennaisesti myös kontrollitoimenpiteen laatua vähentämällä virheiden määrää.

Miksi sisäisten kontrollien toteuttaminen ja dokumentointi on tärkeää?

Sisäiset kontrollit tukevat yhtiön tavoitteiden saavuttamista ja auttavat välttämään tarpeettomia riskejä. Myös ulkopuo­liset sijoittajat hyödyntävät yhtiöiden julkaisemaa taloudellista raportointia, johon he voivat luottaa yhtiössä toimivien sisäisten kontrollien ansiosta.

Suoritetut sisäiset kontrollitoimenpiteet on dokumentoitava, sillä se vahvistaa kontrollien ja prosessin toimintaa ja mahdollistaa niiden testaamisen jälkikäteen. Kontrollidokumentaation laatiminen lisää myös henkilöiden sitoutumista kontrollien suorittamiseen.

Journal of Accountancy -julkaisun mukaan sisäisten kontrollien dokumentoinnin puutteellisuus on yleisin syy siihen, että väärinkäytös havaitaan liian myöhään. Laiminlyöntiä puolestaan tapahtuu usein siksi, että sisäisten kontrollien dokumentointi koetaan aikaavieväksi. Tämän artikkelin esimerkeissä esitämme tehokkaita vaihtoehtoja dokumentoinnin toteuttamiseen.

Käytännön esimerkkejä tehokkaasta kontrollien dokumentointitavasta

Kokemukseni mukaan yli 95 prosenttia sisäisistä kontrolleista suoritetaan edelleen manuaalisesti tai järjestelmäsidonnaisen tiedon avustamana. Tämän kappaleen käytännön esimerkeissä kuvaan tapauksia, joissa yli 90 prosenttia kontrollin dokumentoinnista ja suorittamisesta on voitu automatisoida.

Kaksi viimeistä esimerkkiä kuvaa kontrollitoimenpiteitä, joissa tekoälyä hyödyntämällä on pystytty ymmärtämällä koneavusteisesti myös ei-rakenteista tietoa, kuten kuvia, sähköposteja ja PDF-tiedostoja. Esimerkinkaltainen tekoälyllä varustettu ohjelmistorobotti voi näin kasvattaa sisäisten kontrollien automaatioastetta, vaikkapa arvonlisäveron käsittelyssä.

Tekoälyn avulla ohjelmistorobotti voi lukea pdf-tiedostoja ja kuvia. Kyky auttaa kasvattamaan sisäisten kontrollien auto­maatioastetta, esimerkiksi arvonlisäveron käsittelyssä.

Juttusarja: Kirjanpitoaineiston dokumentointi

Kirjanpidon laatimisen menetelmät ja prosessit ovat myllerryksessä. Taloushallinnon ulkoistus lisääntyy.
Kirjanpidon laatiminen ja säilytys ulkoistetaan omilta
tietokoneilta pilveen – niin tilitoimistoissa kuin yksittäisissä yrityksissä. Kirjanpitovelvollisen näkökulmasta
keskiössä ei ole enää tekniikan vaan ulkoistus-
sopimusten hallinta. Samalla automaatio lisääntyy. Perinteisen ohjelmistoautomaation ja integraatioiden
ohella hyödynnetään robotiikkaa ja koneoppimista. Miten pidetään paketti kasassa, kun lainsäädännössä
tai liiketoiminnan rakenteessa tapahtuu muutoksia, ohjelmistoja vaihdetaan tai automaatiota pystyttäneitä työntekijöitä lähtee kilpailijan leiriin? Välttämätön
edellytys laadukkaalle taloushallinnolle ja sen jatkuvuudelle on huolellinen ja yksityiskohtainen dokumentaatio. Tässä kirjoitussarjassa käsitellään talous-
hallinnon dokumentaatiota eri näkökulmista: kirjanpitolain menetelmäsäännösten vaatimuksia, kirjanpidon sisällön dokumentointia – muistiotositteet ja arvostuslaskelmat, veroratkaisujen perustelujen dokumentointia, tilintarkastajan ja tilintarkastuksen vaatimuksia sekä ulkoistamisen vaatimuksia.

Juttusarjan aikaisemmat osat löydät täältä.

 

Asiantuntijana
Teemu Vieruaho Head of Intelligent Automation, Digital Workforce Services Ltd