Yritystalouden ja laskennan ammattilehti
Haku
Tilaa Tilisanomat Kirjaudu
Aihealueet:
Näytä kaikki
Tilintarkastus

Sisäisen valvonnan eri osa-alueet ja merkitys tilintarkastuksessa

Jokaisella yrityksellä on sisäinen valvonta. Sisäinen valvonta varmistaa, että yrityksen asiat tulevat hoidetuksi, yritys huolehtii velvollisuuksistaan, se laatii luotettavan tilinpäätöksen ja toimii omien arvojensa mukaisesti. Sisäinen valvonta vähentää olennaisen virheen riskiä tilinpäätöksessä ja yrityksen liiketoimintaan liittyvää riskiä.
4.12.2025 Saila Vartia Kuva Getty Images

Jokaisessa yrityksessä on sisäinen valvonta, jolla se varmistaa, että yritys saavuttaa tavoitteensa. Tavoitteet liittyvät yhtiön strategisiin päämääriin, tapaan, jolla toiminta järjestetään, säännösten ja määräysten noudattamiseen sekä taloudelliseen raportointiin. Taloudellisen raportoinnin tärkein tavoite on laatia tilinpäätös, joka ei sisällä olennaista virhettä. Tästä syystä tilintarkastuksessa on keskeistä muodostaa käsitys siitä, miten sisäinen valvonta on järjestetty yrityksessä.

Tilintarkastaja muodostaa käsityksen yrityksen taloudellisen raportoinnin tavoitteisiin liittyvästä sisäisestä valvonnasta hyödyntäen ISA 315 (Uudistettu 2019) Olennaisen virheellisyyden riskien tunnistaminen ja arvioiminen -standardin mukaista jaottelua sisäisen valvonnan viiteen osa-alueeseen. Yksinkertaisesti ilmaistuna tämä tarkoittaa käsityksen muodostamista kaikista niitä toimenpiteistä, joilla johto huolehtii, ettei tilinpäätös sisällä olennaista virhettä.

Peruslähtökohta on, että jokaisessa yrityksessä, joka laatii tilinpäätöksen, on jonkintasoista sisäistä valvontaa. Se, miten sisäinen valvonta on järjestetty, kuinka laajaa ja tehokasta se on tai onko se epämuodollista vai muodollista, vaihtelee erittäin paljon yritysten välillä. Vaihtelua aiheuttaa muun muassa yrityksen koko, toiminnan monimutkaisuus sekä johdon asenne.

Pk-yrityksissä, joissa resurssit ovat rajalliset ja sisäinen valvonta muodostuu pääosin omistajayrittäjän toiminnasta, kirjanpitäjä voi tukea asiakkaan sisäistä valvontaa kirjanpidon huolellisella laatimisella, järjestelmällisellä dokumentoinnilla ja kirjanpidon kontrollien suorittamisella.

Seuraavaksi kuvaan ISA-standardien mukaiset sisäisen valvonnan osa-alueet keskittyen pk-sektorin osakeyhtiöihin, joissa toimiva johto on yhtä kuin omistajayrittäjä ja kirjanpidon ja tilinpäätöksen laatimiseen osallistuu ulkoistettu palveluntuottaja. Osa-alueen ymmärtämiseksi olen kuvannut osa-alueeseen liittyviä tekijöitä myös suuremmissa yrityksissä. Vaikka tekstissä keskityn oman asiakaskuntani kautta yrityksiin, myös muissa yhteisömuodoissa tilintarkastajan on muodostettava käsitys sisäisestä valvonnasta.

Olipa kyseessä pieni tai suuri yritys, olennainen virhe tilinpäätökseen voi muodostua heikkoudesta missä tahansa sisäisen valvonnan osa-alueessa. Sisäisessä valvonnassa havaittu heikkous lisää tilintarkastuksen toimenpiteistä tarvittavan evidenssin määrää.

Valvontaympäristö muodostuu keinoista,
joilla yritys pyrkii saavuttamaan tavoitteensa

Pk-yrityksen valvontaympäristö on viidestä osa-alueesta ehkä hankalin kuvata sanallisesti epämuodollisuutensa ja monitahoisuutensa vuoksi. Pk-yrityksissä valvontaympäristö on ajan myötä kehittyneitä käytäntöjä ja toimintatapoja, joita toteutetaan ja noudatetaan päivittäisessä toiminnassa. Asioiden huono hoitaminen, kuten viivästykset laskutuksessa ja aineistojen toimittamisessa kirjanpitoon tai runsas määrä selvitettäviä asioita kertovat, että valvontaympäristössä on kehittämistarpeita.

Keskeisimmän valvontaympäristön muodostaa yleensä omistajayrittäjä itse osallistuessaan yrityksen päivittäiseen päätöksentekoon, ohjaamiseen ja tehtävien vastuuttamiseen. Esimerkiksi uuden tavarantoimittajan valinnassa omistajayrittäjä neuvottelee itse sopimuksen toimittajan kanssa ja tekee arvion yhteistyökumppanin hyväksyttävyydestä. Omistajayrittäjä tekee päätöksen perustuen yrityksen strategisiin ja liiketaloudellisiin tavoitteisiin sekä omaan etiikkaan ja arvomaailmaan. Suuremmissa yrityksissä sama asia edellyttää muun muassa muodollisesti nimettyjä vastuualueita ja toimintavaltuuksia, ohjeistuksen yhteistyökumppaneiden hyväksymiselle sekä prosessin ja tietojärjestelmän, joiden avulla johto voi varmistua, että sen antamaa ohjeistusta noudatetaan.

Keskeisimmän valvontaympäristön muodostaa yleensä omistajayrittäjä itse osallistuessaan yrityksen päivittäiseen päätöksentekoon.

Tilintarkastajan käsityksen muodostaminen valvontaympäristöstä vaihtelee yritysten valvontaympäristöjen erilaisuuden takia paljon. Tilintarkastaja muodostaa käsityksen haastattelemalla ja havainnoimalla toimintatapoja käydessään pk-yrityksessä ja tarkastaessaan hallinnon ja kirjanpidon aineistoja. Suuremmassa yrityksessä tilintarkastaja tutustuu yhtiön politiikkoihin ja havainnoi niiden käyttöönottoa kontrollien testaamisella. Jokaisen yrityksen johdolle on tärkeää tietää, noudatetaanko sen ohjeistusta.

Valvontaympäristön puutteellisuudet voivat aiheuttaa pk-yrityksissä epätoivottuja seurauksia, kuten esimerkiksi operatiivista tehottomuutta, kannattamattomia liiketoimia, varojen väärinkäyttöä tai työntekijöiden epäasianmukaista kohtelua.

Liiketoimintariskien tunnistaminen

Riskienarvioinnin osa-alueessa tilintarkastajan on muodostettava käsitys, onko yrityksellä prosessia yrityksen taloudellisen raportoinnin kannalta relevanttien liiketoimintariskien tunnistamista, arviointia ja vastaamistoimenpiteistä päättämistä varten. Mikäli yrityksellä on tällainen prosessi, tilintarkastaja arvioi, onko johto tunnistanut kaikki liiketoimintariskit, joista voisi aiheutua olennainen virheellisyys tilinpäätökseen. Jos yrityksellä ei ole riskienarviointiprosessia, tilintarkastajan on keskusteltava johdon kanssa taloudellisen raportoinnin kannalta relevanttien liiketoimintariskien tunnistamisesta ja niihin vastaamisesta. Koska toimimme ympäristössä, jossa jokaiseen liiketoimintaan sisältyy riskejä, myös jokaisen yrityksen tilinpäätökseen sisältyy mahdollisuus liiketoimintariskistä johtuvaan olennaiseen virheellisyyteen.

Pk-yrityksessä harvoin on muodollista liiketoimintariskien tunnistamisprosessia. Kuitenkin tilintarkastajan kysyessä omistajayrittäjältä riskeistä hän yleensä pystyy luettelemaan riskit samalta istumalta.

Sen sijaan valmius tunnistettuihin riskeihin vastaamiseen vaihtelee suuresti, ja valitettavan usein riskeihin ei ole vastattu lainkaan. Esimerkiksi yrityksellä saattaa olla yksi pääasiakas, jonka maksuvalmiuden heikentyminen vaikuttaisi sen kykyyn suoriutua omista velvoitteistaan. Luottotappioriskin pienentämiseksi ei ole kuitenkaan tehty toimenpiteitä. Tai yrityksen liiketoimintaan liittyvä keskeinen osaaminen on yhden tai kahden henkilön varassa, mutta toimenpiteitä vastuiden jakamiseksi ei ole tehty tai keskeisiä henkilöitä ei ole sitoutettu yhtiöön.

Molemmat edellä kuvatut esimerkit ovat todellisia tapauksia, joissa riskin toteutumisen seurauksena yhtiöllä ei ole enää ollut kykyä jatkaa toimintaansa.

Tietojärjestelmät ja prosessit
taloudellisen raportoinnin tukena

Tietojärjestelmiin ja kommunikaatioon suoritettavilla toimenpiteillä tilintarkastaja arvioi taloudelliseen raportointiin liittyvien prosessien kykyä tuottaa luotettavaa informaatiota.

Tilintarkastaja muodostaa käsityksen taloudellisen raportoinnin kannalta relevateista tietojärjestelmistä sekä siitä, miten tilinpäätöksen kannalta merkittäviä liiketapahtumia käsitellään kirjanpitoprosessissa ja miten ne muodostuvat tilinpäätöksessä esitettäviksi tiedoiksi. Lisäksi hän muodostaa käsityksen siitä, millaisia kontrolleja yrityksessä on pääkirjanpidon vienteihin ja epätavallisiin, kertaluonteisiin tapahtumiin liittyen sekä miten taloudelliseen raportointiin liittyvät vastuut ja roolit on kommunikoitu.

Pienissä yhtiössä prosessikuvauksia ei yleensä laadita eikä prosessia varmentavien kontrollien seurantaa tehdä dokumentoidusti. Tämä johtuu siitä, että niiden laadintaa ei koeta tarpeelliseksi, koska kaikki taloudelliseen raportointiin osallistuvat henkilöt tietävät, miten asiat tapahtuvat. Lisäksi tietojärjestelmät ja prosessit ovat yksinkertaisia ja tavanomaisia, vastuuhenkilöitä on vähän ja liiketapahtumat ovat vakiotyyppisiä.

Valmius tunnistettuihin riskeihin vastaamiseen vaihtelee suuresti, ja valitettavan usein riskeihin ei ole vastattu lainkaan.

Jotta tilintarkastaja voi todeta, että yhtiön kirjanpidon ja tilinpäätöksen laatimisprosessi tuottaa vaatimusten mukaisen tilinpäätösraportin, hän käy läpi yhtiön keskeiset liiketoimintaprosessit (esimerkiksi myynti-, osto-, vaihto-omaisuusprosessit) haastattelemalla johtoa ja kirjanpidosta vastaavia. Lisäksi hän havainnoi prosesseissa syntyvien liiketapahtumien käsittelyä kirjanpitojärjestelmässä tarkastustoimenpiteiden yhteydessä.

Satojen yritysten liiketoimintaprosessien läpikäynneistä saatu kokemus auttaa tilintarkastajaa tunnistamaan prosesseista ne alueet, joihin liittyy virheellisyyden riski. Tilintarkastaja arvioi tämän jälkeen, onko johdolla käytössä riittävät toimenpiteet prosessissa syntyvien virheiden tunnistamiseksi ja korjaamiseksi.

Liiketoiminnan laajuuden kasvaessa liiketoimintaprosessit muodostuvat yrityskohtaisemmiksi. Tilinpäätösraportointiin liittyvien tietojärjestelmien monimutkaisuus ja asiakaskohtainen räätälöinti lisääntyy. Liiketoimintaprosessien suorittaminen edellyttää muodollista ohjeistusta, vastuualueiden määrittelyä ja säännöllistä seurantaa, joka varmistaa liiketapahtumien asianmukaisen ja johdonmukaisen käsittelyn.

Kontrollitoiminnot varmistavat
johdon ohjeiden noudattamisen

Tilintarkastaja muodostaa käsityksen niistä kontrollitoimenpiteistä, jotka ovat tilinpäätöksen kannalta olennaisia.

Yrityksessä olevat kontrollitoiminnot pienentävät päivittäisiin toimenpiteisiin liittyviä riskejä, jotka uhkaavat yrityksen tavoitteiden saavuttamista. Kontrollitoimintojen avulla yritys varmistuu, että liiketapahtumat käsitellään asianmukaisesti ja yhtiön omaisuus on turvattu. Esimerkiksi kirjanpitäjän toteuttamat kuukausittaiset täsmäytykset pääkirjanpidon ja osakirjanpidon välillä tai pankkitilin saldon ja kirjanpidon saldon välillä varmistavat, että kaikki liiketapahtumat on käsitelty pääkirjanpidossa.

Tilinpäätöksen automaattinen muodostuminen kirjanpidon järjestelmässä varmistaa, että tilinpäätöksen päälaskelmat perustuvat pääkirjanpitoon. Pankkitilien käyttöoikeuksien rajaamisella asianmukaisille henkilöille turvataan yrityksen varojen käyttöä. Yritystä sitovien sopimuksiin liittyvän päätöksenteon keskittämisellä vain omistajayrittäjälle pyritään yrityksen liiketoiminaan liittyvien tavoitteiden saavuttamiseen.

Sisäisen valvonnan kehittäminen on johdon ja yrityksen etu monella tavalla.

Pk-yrityksessäkin tulee olla riittävästi kontrolleja, jotka estävät tai havaitsevat ja korjaavat liiketapahtumien käsittelyssä syntyviä virheitä. Tarve kontrollitoiminnoille on olemassa sekä pienessä että suuressa yrityksessä, mutta yrityksen koko ja toiminnan monimuotoisuus kasvattavat tarvetta kontrollien määrälle, muodollisuudelle ja dokumentoinnille.

Tilintarkastaja muodostaa liiketoimintaprosessien, kirjanpidon ja hallinnon tarkastuksen yhteydessä käsityksen yrityksessä käytössä olevista kontrolleista ja niiden toimivuudesta. Jos tilintarkastaja ei havaitse riittävän tehokkaita ja todennettavissa olevia kontrolleja, joihin voisi luottaa, hänen on lisättävä aineistotarkastukseen perustuvia tarkastustoimenpiteitä.

Seuranta on sisäisen valvonnan
toiminnan tehokkuuden arviointia

Seurannan avulla johto varmistaa, että yhtiön suunnittelemat kontrollit on otettu käyttöön. Seuranta voi olla säännöllistä ja määrämuotoista tai toteutua epämuodollisemmin samalla kun omistajayrittäjä osallistuu yrityksen päivittäisiin toimintoihin. Myös ulkoisena palveluntuottajana toimivalla tilitoimistolla voi olla seurantaa, jolla se varmistuu, että sen henkilöstö noudattaa annettuja ohjeita. Yrityksellä voi olla sisäinen tarkastustoiminto tai auditointi, joka tekee valvontaa ja testausta keskeisiin kontrollitoimintoihin ja raportoi tulokset sekä kehityskohteet yhtiön johdolle.

Tilintarkastajan tulee muodostaa käsitys siitä, miten yrityksessä toteutetaan taloudellisen raportoinnin kannalta relevanttia sisäistä valvontaa, niihin liittyvien kontrollitoimintojen seurantaa sekä miten havaittuihin puutteellisuuksiin on vastattu. Tunnistettuaan relevantit kontrollit tilintarkastajan tulee todeta, että ne ovat olemassa ja käytössä yrityksessä.

Pk-yrityksen tilintarkastuksessa tämä käytännössä tapahtuu liiketoimintaprosessien läpikäynnin yhteydessä tehtävässä havainnoinnissa. Esimerkiksi tilintarkastaja katsoo, onko kirjanpidon kuukausitäsmäytykset tehty, onko ostolaskut hyväksytty valtuuksien mukaisesti tai onko johdon päättämät muutokset myyntihintoihin tosiasiassa huomioitu laskutuksessa. Seurannan avulla johto saa arvokasta tietoa siitä, että sen ohjeistusta sovelletaan käytännössä.

Kirjanpidon rooli sisäisessä valvonnassa

Yrityksen sisäisen valvonnan järjestäminen on johdon tehtävä. Kun kirjanpidosta vastaa ulkopuolinen palveluntuottaja, johto huolehtii sisäisen valvonnan järjestämisestä osittain ulkoisen palveluntuottajan avulla. Tilinpäätöksen ja kirjanpidon laatimisessa käytettävät järjestelmät, järjestelmiin liittyvät käyttöoikeudet ja tietojen suojaus ovat lähestulkoon aina sellaisia alueita, joiden järjestämisessä pk-yrityksen johto luottaa ulkoisen palveluntuottajan kykyyn ja huolellisuuteen. Johto myös olettaa, että palveluntuottaja huolehtii kirjanpitolain ja hyvän kirjanpitotavan noudattamisesta.

Sisäisen valvonnan kehittäminen on johdon ja yrityksen etu monella tavalla. Sisäisen valvonnan puutteellisuudet kasvattavat tilintarkastuksessa hankittavan evidenssin määrää, eli puutteellisuudet kasvattavat tilintarkastuksen kustannuksia. Heikon sisäisen valvonnan seurauksena kirjanpitoon ja tilinpäätöksiin sisältyy virheitä, jotka niin ikään kasvattavat kirjanpidon ja tilinpäätöksen laatimiseen tarvittavaa työn määrää. Heikko sisäinen valvonta lisää jälkikäteen selvitettävien asioiden ja korjausten määrää, mikä on tehotonta. Ennen kaikkea heikko sisäinen valvonta altistaa yrityksen erilaisille liiketoiminta- ja väärinkäytösriskeille, jotka toteutuessaan voivat johtaa yhtiön toiminnan päättymiseen.

Asiantuntijana
Saila Vartia KHT, Suomen Tilintarkastajat ry
  • Artikkeli on julkaistu
CTA Paikka
Uusimmat Artikkelit
Kuukauden luetuimmat
Finago