Sisäinen tarkastus vaatii ketteryyttä

Talouselämässä ja johtamisessa tapahtuvat muutokset heijastuvat sisäisen tarkastuksen työhön vaatien ketteryyttä muuttaa omaa vuosiohjelmaa ja tehdä uusia asioita. Suurin haaste sisäisille tarkastajille onkin pystyä muuntumaan, milloin hetkellisen, milloin pysyvän muutoksen myötä. Poisoppimisen ja uuden oppimisen tarve näkyvät ammattistandardien ja käytännön ohjeiden jatkuvana päivitystarpeena.

Sisäisen tarkastuksen määritelmässä todetaan, että ”Sisäinen tarkastus tukee organisaatiota sen tavoitteiden saavuttamisessa tarjoamalla järjestelmällisen lähestymistavan organisaation riskienhallinta-, valvonta- sekä johtamis- ja hallintoprosessien tehokkuuden arviointiin ja kehittämiseen”. Standardeissa ja käytännön ohjeissa järjestys on ”johtamis- ja hallinto-, riskienhallinta- ja valvontaprosessit”. Tämä muutos kuvastaa mielestäni asioiden tärkeysjärjestystä sisäisen tarkastuksen työssä.

Sisäisen tarkastajan ammatti on kulkenut kuittien ja tositteiden tarkastuksesta hyvän johtamis- ja hallintotavan toteutuksen arviointiin. Muutos on ollut hidas, eikä se ole vielä loppunut. Sisäisen tarkastuksen nykyinen määritelmä asettaa kovat vaatimukset tuottaa lisäarvoa, parantaa toimintaa, arvioida johtamis- ja hallinto-, riskienhallinta- ja valvontaprosesseja. Tehtävien suorittamiseen tarvitaan laaja-alaista (liike)toiminnan ymmärrystä, globaalia katsantotapaa, mahdollisten väärinkäytösten tekopaikkojen havaitsemiskykyä ja näkemystä siitä, miten tuottaa lisäarvoa.

Konsultoinnin osuus kasvussa

Ammattistandardien mukaan sisäinen tarkastaja suorittaa arviointi- ja varmistus- sekä konsultointitehtäviä. Johdon halutessa yhä enemmän proaktiivista toimintaa myös sisäiseltä tarkastukselta, konsultoinnin osuus on kasvanut ja kasvamassa. Näiden sisällöksi on ammattistandardien sanastossa kuvattu seuraavat palvelut:

1. Arviointi- ja varmistuspalvelut ovat ”objektiivista todisteiden tutkimusta, jonka tarkoituksena on tuottaa organisaatiolle riippumaton arvio johtamis- ja hallinto- sekä ­riskienhallinta- ja valvontaprosesseista. Tällaiset tehtävät voivat liittyä esimerkiksi taloushallintoon, operatiiviseen toimintaan, vaatimustenmukaisuuteen, tietoturvallisuuteen ja yritystutkimuksiin (due diligence -selvityksiin)”.

2.Konsultointipalvelut ovat ”neuvonanto- ja muita sen luonteisia palveluja, joiden luonne ja laajuus sovitaan asiak­kaan kanssa ja joiden tarkoituksena on tuottaa lisäarvoa organisaation toiminnoille ja parantaa organisaation johtamis- ja hallinto- sekä riskienhallinta- ja valvontaprosesseja ilman, että sisäiselle tarkastajalle lankeaa päätöksentekovastuuta. Tällaisia tehtäviä ovat esimerkiksi neuvonta, itsearvioinnin ohjaus ja koulutus”.

Siitä riippumatta, toimiiko sisäinen tarkastus esimerkiksi ministeriössä, kunnassa, liikelaitoksessa, pankissa, vakuutusyhtiössä, autokaupassa tai teollisuudessa, ammattistandardit ovat samat. Suorittipa sisäisen tarkastuksen CIA-, KHT -, JHTT–tutkinnon suorittanut tai suorittamaton henkilö, niin tarkastus tulee toteuttaa sisäisen tarkastuksen ammattistandardeja ja niiden edellyttämää toteutusprosessia ja raportointitapaa noudattaen. Sektori- ja toimialakohtaiset erot tulevat esille lähinnä arviointiperusteissa ja seurauksissa, riskeissä tai mahdollisuuksissa.

Raportointi vaativaa työtä

Toteutettujen tarkastusten raportointi on vaativaa työtä. Asiat tulee esittää tiiviisti, mutta sisällyttää niihin kuitenkin riittävä analyysi syy-seuraussuhteineen ja eritellä havaintojen merkitystä esimerkiksi tarkastuskohteelle itselleen, seuraavalle tasolle ja (kunta)konsernitasolle. Analyysissä tulee huomioida ajan kuluminen: tänään kohtuullinen riski voi 6–12 kuukauden kuluttua olla merkittävä. Uskon havaintojen systemaattisen luokittelun olevan seuraava merkittävä muutos tarkastushavaintojen raportoinnissa.

Valtionhallinnossa on siirrytty palvelukeskusten käyttöön ja yhteiskuntavastuun raportointi on yleistynyt. Näiden tarkastaminen kuuluvat sisäisten tarkastajien tehtäviin ja edellyttävät uudenlaista osaamista ja laajentavat tarkastus- ja riskiavaruutta.

Kuntalakiin tehtiin sisäisen valvonnan ja riskienhallinnan näkökulmasta merkittäviä muutoksia kesällä 2012. Lain mukaan kunnanvaltuuston tulee jatkossa päättää kunnan ja kuntakonsernin sisäisen valvonnan ja riskienhallinnan perusteista. Kunnan hallintosääntö määrittelee kunnan hallinto-organisaation, sen työnjaon ja tehtävät. Siihen tulee sisällyttää hyväksytyt, tarpeelliset määräykset sisäisestä valvonnasta ja riskienhallinnasta. Nämä muutokset tulivat voimaan vuoden 2014 alusta. Vuoden 2013 tilinpäätöksessä kunnan on nyt kuntalain mukaan annettava arvio kunnan tulevasta kehityksestä sekä tiedot sisäisen valvonnan ja riskienhallinnan järjestämisestä ja keskeisistä kehitystarpeita koskevista johtopäätöksistä.  Yhteiskuntavastuu on keskeinen myös kunnissa.

Kuntalain perustelujen mukaan muutoksen tarkoitus on vahvistaa sisäisen valvonnan ja riskienhallinnan asemaa kunnassa ja kuntakonsernissa sekä yhdenmukaistaa niiden järjestämistä. Sisäinen valvonta ja riskienhallinta operatiivisena toimintana kuuluvat kunnan ylimmälle johdolle, kunnanhallitukselle ja kunnanjohtajalle. Vaikka kunnissa ei ole säädetty sisäisestä tarkastuksesta, se on lain perustelujen mukaan osa sisäistä valvontaa ja osa kunnan johtamisjärjestelmää ja hyvää hallintotapaa. Perustelujen mukaan sisäisen tarkastuksen järjestämistä ohjaavat kansainväliset sisäisen tarkastuksen ammattistandardit.    

Yhteistoiminta hallituksen kanssa

Ammattistandardien uusimmat muutokset korostavat yhteistoimintaa hallituksen kanssa ja sisäisen tarkastuksen merkitystä muun muassa hallituksen tiedonsaannin turvaajana ja riskienhallinnan toimivuuden arvioijana.

Hallituksen tai tarkastusvaliokunnan tai muun sisäisestä valvonnasta vastaavan tahon tuen sisäiselle tarkastukselle tulee olla selvä ja avoimesti kerrottu esimerkiksi pörssiyhtiöiden selvityksessä hallinto- ja ohjausjärjestelmästään ja vastaavissa julkisen sektorin selvityksissä.

Tänään johtaminen on ennen kaikkea riskienhallintaa. Sisäinen tarkastus osana sisäistä valvontaa on tärkeä riskienhallinnan väline ja osana johtamis- ja hallintojärjestelmää johdon tuki ja objektiivisen tiedon tuottaja. Ammattistandardit edellyttävät suoraa yhteydenpitoa tarkastuksen ja hallituksen kesken. Tiivis yhteydenpito mahdollistaa sisäisen tarkastuksen tuen hallitukselle sen toteuttaessa valvontavelvollisuuttaan.

Valvonnan pettäminen

Varoittavia esimerkkejä riskienhallinnan eli valvonnan pettämisestä, liiasta luottamuksesta ja tietokatkoksista on runsain mitoin tarjolla. Monet sisäiset tarkastajat käyttävät työajastaan yhä kasvavan osan väärinkäytösten tutkintaan.

Ammattistandardeissa ja käytännön ohjeissa tuodaan voimakkaasti esille sisäiselle tarkastajalle asetettu vaade arvioida jokaisessa tarkastuksessa väärinkäytösuhkia ja sitä, miten johto hallitsee nämä riskit. Tarkastuksen tulee raportoida hallitukselle säännöllisesti, vähintään vuosittain, väärinkäytösriskeistä ja niiden hallinnasta. Tällaiset tilanteet ovat hallinnassa ammattitaitoisen, standardeja noudattavan ja oikein asemoidun sisäisen tarkastuksen avulla.

Proaktiiviseksi, hyvän johtamis- ja hallintotavan vahvistamis- sekä eettisyyden ja valvonnan edistämistoimenpiteeksi tarkastajat voivat ehdottaa esimerkiksi eettisen eli whistle blowing -kanavan käyttöönottoa. Perusteluna on muun muassa asiakkaiden ja tavaran tai palvelun toimittajien mahdollisuus ilmoittaa mahdollisista poikkeavista menettelyistä yrityksen toiminnassa sen Internet-sivulla olevan kanavan kautta. Henkilökunnalla on samat, anonyymit ilmoitusmahdollisuudet.

Työn koordinointi

Koska organisaatioiden toiminta on entistä monimutkaisempaa ja ohjatumpaa, johdon on tarpeen varmistua siitä, että eri varmennustoimintojen työ on koordinoitua. Tällaisia varmennustoimintoja ovat muun muassa linjajohto ja työntekijät, turvallisuus-, tietoturva-, laatu-, riskienhallinta-, compliance-, ympäristö-, työterveys-, työturvallisuus-, hallituksen valiokunnat, sisäinen ja ulkoinen tarkastus sekä julkishallinnon tarkastajat.  

Sisäisen tarkastuksen kansainvälisissä ammattistandardeissa on käytännön ohje, joka edellyttää sisäisen tarkastuksen koordinoivan eri varmennustoimintojen työtä ja varmistuvan toisaalta päällekkäisen työn ja toisaalta valvonta-aukkojen välttämisestä.
Tässä tarkoituksessa tarkastajat laativat yhdessä muun organisaation kanssa niin sanotut varmistuskartat. Lähtökohtana pidetään organisaation riskejä. Niitä arvioivat ja valvovat eri tahot. Yleensä puhutaan kolmesta puolustuslinjasta ja määritellään niillä toimivat tahot.

On tärkeää huomata, että sisäinen tarkastus on vasta kolmannen puolustuslinjan toimija, eli muiden linjojen mahdollisesti pettäessä, sisäisen tarkastuksen oletetaan saavan aukoista pujahtaneet poikkeamat kiinni. Ensimmäisessä puolustuslinjassa toimivat operatiivisen toiminnan henkilöt ja toisessa erikoisryhmien edustajat.

Merkitys kasvaa

Sisäisen tarkastuksen merkityksen kasvamisesta on osoituksena muun muassa Sisäiset tarkastajat ry:n jäsenmäärän jatkuva kasvaminen siitäkin huolimatta, että suuret ikäluokat ovat jääneet tai jäämässä eläkkeelle.

Myös organisaatioiden määrä on kasvussa, toisin sanoen uudet organisaatiot perustavat sisäisen tarkastuksen yksiköitä. Osan työstä tekevät osittain tai kokonaan palvelun tarjoajat. Ne organisaatiot, jotka ostavat koko sisäisen tarkastuksen palvelun tarjoajalta, eivät näy organisaatioiden lukumäärässä. Kaikki tarkastajat eivät myöskään ole yhdistyksen jäseniä, joten heidän kokonaismääräänsä ei varmuudella tiedetä.

Sisäisen tarkastajan tulee olla itse koko ajan hereillä ja pitää myös organisaatio hereillä, toisin sanoen toimia oman organisaationsa unilukkarina. Hänen tulee varmistaa, että organisaatio ei nukahda – jotteivat riskit pääse yllättämään johtoa.

Uusi alue, joka todennäköisesti tulee edellyttämään organisaatiolta työtä ja sisäiseltä tarkastukselta tarkastamista, on tietotilinpäätös. EU:ssa valmistellaan tietosuojadirektiiviä, joka tullee voimaan 1.7.2014. Tulevan direktiivin mukaan kaikkien organisaatioiden tulee laatia selvitys eli tietotilinpäätös tietohallinnostaan, tietosuojastaan ja -turvastaan. Tietosuojavaltuutettu tarkastaa tietotilinpäätöksiä. Väestörekisterikeskus ja Haltik ovat laatineet tietotilinpäätökset vuodesta 2010 alkaen tietosuojavaltuutetun ohjeen mukaan. Ne löytyvät näiden organisaatioiden Internet-sivuilta.

Sisäisen tarkastajan ammatti tarjoaa yhä uusia, kovia haasteita, mutta niitä ei pidä pelätä. Niihin tulee tarttua. Ihminen on oppiva ja venyvä. Riman on hyvä olla välillä juuri ja juuri ulottumattomissa. Vuoden kuluttua riman asettamisesta uudelle tasolle tarkastaja ylittää sen hipoen, seuraavana vuonna jää jo väliä oman paidan ja riman väliin. Seuraavaksi tarkastaja solahtaa riman yli. Rimaa voi aina nostaa uusille tasoille ja näin ylläpitää mielenkiintoa.

Näen sisäisen tarkastuksen ja sisäisen tarkastajan ammatin tulevaisuuden kiinnostavana haasteena, johon tulee rohkeasti tarttua ja jossa tulee olla valmiina jatkuvasti kehittämään itseään. Sisäinen tarkastaja ei saa istua omassa kopissaan ”prikkaamassa”, vaan hänen tulee seurata ympäristöä johdon korvina (internal auditor) ja herätellä unilukkarin kepillään operatiivisesta toiminnasta vastaavia. Nyt on aika edistää johtamis- ja hallintotapaa, eettisyyttä, kokonaisvaltaista riskienhallintaa, kestävää kehitystä ja yhteiskuntavastuuta.