Miten toimeksiantaja valvoo ostopalvelujen tuottamista?

Palkkahallintoprosessiin liittyy useita riskejä, joista osa johtuu ostopalvelujen käytöstä.
15.5.2012

EILA KOIVU, johtava konsultti, CIA, CCSA, CISA, CFE BDO Oy

Kuva iStock

Yksinkertaistettuna palkkahallinnon tavoitteena on maksaa palkkaan oikeutetuille henkilöille heidän ilmoittamilleen pankkitileille sovitun suuruiset palkat sovittuina päivinä työsuhteen keston ajan. Kääntäen tämä merkitsee, että palkanmaksajan tulee valvoa palkkahallintoprosessia kaikissa sen vaiheissa. Palkkahallintoprosessi sisältää myös uuden työntekijän perustietojen ilmoittamisen, muutosten teon työsuhteen kestäessä ja työsuhteen päättymiseen liittyvät erityistoimet.

Palkkahallintoprosessiin liittyy useita riskejä, joista osa johtuu ostopalvelujen käytöstä. Perinteisiä riskejä ovat tietojen oikeellisuus-, eheys-, järjestelmien käyttöoikeus- ja tietovuotoriskit. Esimerkiksi käyttöoikeuksien puutteellinen myöntäminen ja valvonta mahdollistavat väärinkäytökset. Väärinkäytösriskejä ovat muun muassa palkan maksun jatkaminen poislähteneen henkilön nimissä, mutta toisen henkilön tilille tai palkan maksaminen tekaistulle henkilölle. Palkkahallintoon liittyy siis myös lisäriskejä, mikäli palkkahallinnon hoitaa ostopalveluja tuottava yritys. Lisäriskit syntyvät muun muassa tiedon koko elinkaaren ajan tiedonsiirrosta toimeksiantajalta ostopalvelujen tuottajalle ja takaisin, tiedon säilytyksestä ja arkistoinnista ostopalvelujen tuottajan luona, tietojen hävittämisestä ja ostopalvelusopimuksista.

Ostopalvelujen käytöstä käytetään myös termiä ”ulkoistus”. Käytän mieluimmin termiä ”ostopalvelujen käyttö”. Ulkoistus saattaa johtaa ajattelemaan, että myös valvontavastuu ulkoistetaan. Sitä ei voi ulkoistaa, vaan palvelunostajalla on aina valvontavastuu.SopimushallintoOstopalvelusopimuksen laadinnassa henkilöstö- ja taloushallinnolla on usein keskeinen rooli. Sopimuksen laadinta ja sen noudattamisen valvonta kuuluvat useimmiten taloushallinnolle. Taloushallinto laatii myös ohjeet, jotka on hyvä laittaa ostopalvelusopimuksen liitteeksi. Palvelunostajayrityksen koosta riippuu, miten tiedot siirretään palveluyritykselle. Ne voidaan toimittaa erillisinä tai palveluyrityksellä voi olla käyttövaltuudet palvelunostajan järjestelmiin. Sopimuksessa tulee määritellä palveluntuottajan puolelta mahdolliset järjestelmien käyttäjät ja heidän valtuutensa.

Kun palkkahallinnossa käytetään ostopalvelua, solmittava sopimus on keskeinen. Sopimuksessa on syytä määritellä tarkasti osapuolten vastuunjako. Vastuunjako ja ohjeistus on syytä pitää ajan tasalla, eli arvioida vähintään vuosittain. Salassapitosopimus on olennainen osa sopimusta. Osana vastuunjakoa sopimuksessa on syytä määritellä, kuka tai ketkä ovat yhteyshenkilöinä eli saavat ilmoittaa uusia työntekijöitä, heidän perustietojaan, kuka saa muuttaa annettuja tietoja, palkankorotuksia, bonuksia jne. ja kuka ilmoittaa henkilön sairauslomista ja työsuhteen loppumisesta. Tämä on hyvä hetki arvioida myös oman organisaation toimintatapoja, vastuita ja valtuuksia hallinnollisten asioiden hoidossa.

Käytännössä olen törmännyt tapaukseen, jossa ostopalvelusopimuksessa oli määritelty palkankorotusten ilmoittajaksi toimitusjohtaja. Sopimuksessa ei ollut määritelty, kuka ilmoittaa toimitusjohtajan palkankorotuksen.  Kun hän ilmoitti oman kuukausipalkkansa maksettavaksi kaksi kertaa kuukaudessa ja palveluyritys teki näin, ei palveluyritystä voitu saattaa asiasta vastuuseen.

Kaikkiin ostopalvelusopimuksiin, ei ainoastaan palkkahallintoa koskeviin, on syytä ottaa mukaan ns. audit clause, eli ostajan oikeus tarkastaa palveluntuottajan toimintaa omien tietojensa käsittelyn ja niiden hoidon osalta. Samoin on syytä määritellä, millä kriteereillä palvelutasoa mitataan, kuinka usein se tehdään ja mitä mahdollisista poikkeamista seuraa. Poikkeamien osalta määriteltyjä seuraamuksia, yleensä rahallisia sanktioita, on myös syytä käyttää.TaloushallintoMyös taloushallinnolle on tärkeää, että oikeat palkat maksetaan oikeille ihmisille oikeaan aikaan.

Toimeksiantajan taloushallinnossa jonkun tehtävänä on seurata palkkojen laskemista. Jos palkkatiedot muuttuvat kuukausittain, yrityksessä tulee olla henkilö, joka lähettää palkkatiedot palveluntuottajalle ja hyväksyy palkat ennen palkkakauden päättämistä ja maksua. Jos palkkatiedot pysyvät ennallaan, palkkojen maksaja ”hyväksyy” palkat.

Palkanmaksun toimeksiantaja suorittaa pääsääntöisesti itse. Taloushallinnossa seurataan, että palkat ovat annettujen tietojen mukaiset, ne tulevat hyvissä ajoin toimeksiantajalle hyväksyttäviksi ja maksettaviksi. Siellä seurataan maksettuja palkkoja budjettiin nähden. Pätevä controller esimerkiksi seuraa maksettujen palkkojen suhteellista suuruutta budjettiin nähden. Mikäli prosentuaalinen poikkeama on suuri, hän kyseenalaistaa palkkojen määrän oikeellisuuden.

Lomapalkkoja taloushallinto seuraa, koska niiden oikeellisuus riippuu palkanlaskijasta. Jos hän tekee myös kirjanpitoa, ne on mitä luultavimmin oikein laadittu, koska hän hallitsee kokonaisuuden. Jos hän laskee vain palkkoja, hän ei ehkä ymmärrä kirjanpidon kaikkia kuvioita, esimerkiksi lomapalkkojen purkua yms. Kokemuksesta controller tietää esimerkiksi, miten suuri lomapalkkavelka on, sen suhteellinen suuruus palkkoihin ja henkilöstön määrään verrattuna kunakin aikana vuotta. Controller tutkii merkittävät poikkeamat.

Alueita, joista voi syntyä ongelmia, ovat taloushallinnon mukaan muun muassa TES:t, jotka vaihtelevat eri toimialoilla, työnjako palveluntuottajan ja taloushallinnon kesken sekä jatkuvan kommunikaation tarve.  Jos tieto uusista työntekijöistä tai muuttuvista palkkatiedoista ei tule ajoissa palkanlaskijalle, se aiheuttaa lisätyötä.

Controllerin jatkuvan seurannan kohteena ovat verojen, eläkemaksujen ja työttömyysvakuutusmaksujen maksaminen ajallaan ja oikean määräisinä, jotta vältytään sanktioilta. Mikäli myöhästymisiä tapahtuu ostopalvelujen tuottajasta johtuvasta syystä, niin se myös maksaa sanktiot.EsimiehetEsimiesten valvontavastuulle ei ole merkitystä sillä, käyttääkö organisaatio ostopalveluja vai onko sillä oma palkkahallinto. Palkattuaan uuden työntekijän esimiehen on huolehdittava siitä, että hän ilmoittaa uuden työntekijän perustiedot henkilöstöhallintoon. Tiedot ilmoittaa edelleen palkkahallintoa hoitavalle palvelujen toimittajalle se taho, joka ostopalvelusopimuksessa on tehtävään määritelty. Tietoturvasyistä tiedot on tarpeen toimittaa suojatussa muodossa ja siten minimoida mahdollisuus, että ne joutuvat vääriin käsiin.

Kukin esimies vastaa oman vastuualueensa budjetista. Budjettiseurantaraporteilta esimies näkee mahdolliset poikkeamat. Hänen tulee selvittää tai pyytää esimerkiksi controlleria selvittämään, mistä poikkeamat johtuvat. Esimiesten tulee muun muassa varmistaa, että alaiset ilmoittavat pitämänsä lomat, jotta lomapalkkavelka lasketaan oikean suuruisena.

Esimiehen tulee ilmoittaa/vahvistaa mahdolliset palkka- ja työsuhdemuutokset (ylityöt, palkankorotukset, palkkiot, siirtymiset osa-aikaeläkkeelle jne.) sekä huolehtia loppupalkan maksusta lomapalkkoineen työntekijän poislähdön yhteydessä. Hänen tulee myös valvoa, että ne ovat oikein.Sisäinen tarkastusSisäinen tarkastus ei valvo palkkahallintoa jatkuvasti. Se toteuttaa palkkahallintoprosessin tarkastuksen tavallisesti parin vuoden välein arvioimalla koko prosessin. Tarkastusfrekvenssiin vaikuttavat muun muassa mahdollisesti tehdyt järjestelmämuutokset tai edellisen tarkastuksen tulokset. Tarkastajat asettavat tarkastukselle tavoitteet, määrittelevät arviointiperusteet, laajuuden, rajaukset, riskit, tarkastusmenetelmät ja resurssit.Riskilähtöisesti ajatellen tarkastuksen tavoitteena on esimerkiksi ”varmistua siitä, että

  • palkkahallinnon tietojen muuttamisprosessi on määritelty, vastuutettu ja valvottu,
  • palkkahallintoprosessin sisäisen valvonnan menettelyt on määritelty ja niiden toimivuutta seurataan,
  • palkat maksetaan oikea-aikaisesti, oikean määräisinä ja oikeille henkilöille,
  • verot, eläkemaksut ja työttömyysvakuutusmaksut maksetaan ajallaan ja oikean määräisinä,
  • tietojen oikeaa siirtymistä henkilöstöhallinto-, palkanlaskenta-, kirjanpito-, laskenta- ja pankkiyhteysohjelmien välillä valvotaan sovitulla tavalla,
  • henkilöstöhallinto- ja palkanlaskentajärjestelmien pääsykontrollit estävät tietojärjestelmien asiattoman käytön ja
  • palkanlaskenta tuottaa täsmällistä ja oikeaa tietoa kustannusseurantaan ja kirjanpitoon”.

TilintarkastajatPienissä osakeyhtiöissä, säätiöissä, yhdistyksissä ja asunto-osakeyhtiöissä, joiden liikevaihto on tyypillisesti 200 000 euroa – 8 miljoonaa euroa, palkanlaskenta on hyvin usein annettu ulkopuoliselle tilitoimistolle hoidettavaksi. Myös yhä suuremmat yhtiöt käyttävät ostopalveluja palkkahallinnon hoitamisessa. Julkishallinnossa taas on useita palvelukeskuksia, jotka hoitavat palkkahallintoa.

Tilinpäätöksen oikeellisuuden kannalta palkkojen jaksotusten sekä palkkavelkojen oikeellisuuden tarkastus ovat yleensä olennaisia.  Käytännössä tarkastustyö keskittyy näihin, ei niinkään itse palkkahallinnon palvelujen tarkastamiseen.

Palkkahallinnon toiminta tulee kohtalaisen hyvin esille, kun tilintarkastaja käy läpi esimerkiksi jälkikäteen maksettujen palkkojen, lomapalkkavelan, erilaisten tulospalkkioiden jne. jaksotukset tilinpäätöksessä. Normaalirutiineihin kuuluu monesti myös kirjapidon palkkojen sekä työnantajan vuosi-ilmoituksen palkkojen vertaaminen ja mahdollisten erojen selvittäminen. Vuosi-ilmoitusten läpikäynnin yhteydessä tilintarkastaja selvittää myös muun muassa kilometrikorvausten ja päivärahojen asianmukaiset ilmoitukset sekä perusteet.

Palkkoja hoitavien henkilöiden ammattitaito tai sen mahdollinen puuttuminen ovat tilintarkastuksen kannalta suurin riski. Palkanlaskentapalvelujen tuottaminen vaatii palveluntuottajalta yleensä useiden eri työehtosopimusten tuntemusta sekä tarkkuutta ja täsmällisyyttä. Toisaalta on monesti isompi riski, jos pienessä yhtiössä lasketaan palkat itse.HallitusHallituksen valvontavastuu kattaa organisaation yleisen valvonnan toteuttamisen arvioinnin. En näe palkkahallinnon hoidon ostopalvelujen valvontaa merkittävänä yksittäisenä valvontakohteena. Hallitus voi kyseenalaistaa ostopalvelujen käytön, ellei se ole organisaation strategian mukaista. Samoin se voi kyseenalaistaa mahdolliset selitykset varsinkin, jos ne toistuvat kerrasta toiseen.

Katso kaikki