Tilintarkastuksen tavoitteena on varmistua siitä, ettei yhtiön tilinpäätökseen sisälly olennaista virheellisyyttä. Jos talouden rutiineja on ulkoistettu, tarkastusasiakkaan taloudellista informaatiota tuottavat läpimenoketjut jakaantuvat useampaan organisaatioon. Tämä on huomioitava kokonaisriskin arvioinnissa sekä sen myötä tarkastuksen suunnittelussa ja toteutuksessa. Riskiarvion pohjalta toimenpiteitä saatetaan päätyä kohdistamaan myös ulkoistettuihin rutiineihin, kuten tilitoimiston käyttäjäoikeuksien määrittämiseen tai palkanlaskennan kontrolleihin.

Perusta hyvässä tilintarkastustavassa

Tilintarkastajan työtä raamittavat Kansainväliset tilintarkastusalan standardit, joista artikkelin kannalta keskeinen on ISA 402 -standardi¹. Se koskee tilannetta, jossa tilintarkastuksen kohteena oleva yhteisö on ulkoistanut liiketoimintansa joitakin osa-alueita palvelutuottajalle, kuten tilitoimistolle. Esimerkkinä on mainittu asiakkaan kirjanpitoaineiston ylläpitoon liittyvät palvelut².

Tilintarkastuksen tavoitteiden mukaisesti tilintarkastajan on muodostettava käsitys asiakasyhteisön tilintarkastuksen kannalta merkityksellisestä sisäisestä valvonnasta ja sitä kautta tilintarkastuksen riskeistä. Tilintarkastajan on toteutettava toimenpiteitä vastatakseen olennaisen virheellisyyden riskeihin tilinpäätöstasolla³. Käytännössä se voi tarkoittaa esimerkiksi tuloslaskelmassa esitettyjen palkkakulujen oikeellisuuteen tähtääviä varmennustoimenpiteitä.

Riskilähtöisyys ilmenee tilintarkastajan työhön liittyvästä laadunvalvonnasta, jonka ennakkotietolomakkeessa pyydetään kuvaamaan tilintarkastuskohteen osalta seuraavaa⁴:

Mitkä ovat keskeiset riskienarviointiprosessissa tunnistetut yhteisöä koskevat seikat jaoteltuna seuraaviin luokkiin:

• Taloudellisen tuloksen mittaaminen ja tarkastelu
• Valvontaympäristö
• Taloudellisen raportoinnin kannalta ­relevantit tieto­järjestelmät ja liiketoimintaprosessit
• Relevantit kontrollitoiminnot
• Kontrollien seuranta

Mikäli tarkastuskohde on ulkoistanut taloushallinnon palveluita, skaalautuvat samat teemat myös ulkoistettujen prosessien puolelle ja kuvaavat siten niitä sisäisen valvonnan kysymyksiä, joita tilintarkastaja kohdistaa tilitoimistolle palvelutuottajana.

Tarkastus voidaan suorittaa aineistotarkastustoimenpitein tai kontrollien testaamisella. Riittävän varmennustason saavuttaminen aineistotarkastuksella edellyttää usein huomattavan suuria otoskokoja, minkä vuoksi tarkastus on tarkoituksenmukaisempaa perustaa yhtiön johdon rakentamalle sisäiselle valvontaympäristölle ja siihen kuuluvien kontrollien testaamiselle. Esimerkiksi palkkojen osalta on tehokkaampaa tunnistaa kontrolli, joka varmistaa palkkamuutosten hyväksymisen, kuin tarkastaa aineistotarkastustoimenpitein riittävää määrää työntekijäkohtaisia palkkoja.

Palveluorganisaatio osana talouden prosessia

Palkkahallinto on tyypillinen esimerkki ulkoistetuista palveluista. Perinteisesti palkanlaskennan kontrollit on testattu asia­kasyhteisön sisällä, mutta ulkoistukset ovat lisääntyneet. Sen myötä tilintarkastusstrategiaan sisältyy yhä useammin arvio siitä, millainen vaikutus palkkapalveluiden ostamisella on tarkastukseen ja tarkastustoimenpiteisiin. Käytännön tilintarkastuksen tasolla tilintarkastusevidenssin täytyy olla yhtä laadukasta ja kattavaa ulkoistuksesta huolimatta.

Tilintarkastuksen suorittamisessa lähtökohtana on asiakasyhteisöstä saatava tieto. Ulkoistustilanteessa tieto on kuitenkin usein riittämätöntä ja etenkin tiedon testaaminen on haasteellista. ISA 402.12:n mukaan muut vaihtoehdot hankkia tietoa palveluorganisaation, kuten tilitoimiston, rutiineista ovat:

a) tilitoimistoa koskevan erillisen raportin hankkiminen
(ts. ISAE3402-varmennusraportti);
b) yhteydenotto asiakasyhteisön kautta tilitoimistoon
tiettyjen tietojen hankkimiseksi;
c) vieraileminen tilitoimistossa ja tiedon hankkiminen
sen kontrolleista; tai
d) toisen tilintarkastajan käyttäminen tilitoimiston
kontrolleja koskevan tiedon hankintaan.

Tilintarkastaja on tuttu vieras tilitoimistossa, mutta vierailu tapaa liittyä enemmän käytännön järjestelyihin kuin tilitoimiston kontrolliympäristön arviointiin. Myös tilitoimiston näkökulmasta on tehokkaampaa keskittää varsinainen valvonta­ympäristön auditointi useiden kartoitusten sijaan yhdelle taholle, joka laatii läpikäynnistä a)-kohdassa viitatun raportin.

Varmennusraportin sisältö

Palveluorganisaation auditointi tilintarkastusta varten ei ole vapaamuotoista, vaan se perustuu nimensä mukaisesti ISAE3402-varmennusraporttia koskevaan standardiin⁵. Raportti tunnetaan myös nimellä SOC-1 (Service Organization Control).

Varmennusraportin tavoitteena on tuottaa informaatiota asiakasyhteisöjen tilintarkastajille palvelutuottajasta ja etenkin siitä, että palveluorganisaatiossa sisäinen valvonta on suunniteltu riittävästi ja se on tehokkaasti toimiva. Raportin perustana ja lähtökohtana ovat ne toimintaperiaatteet ja menettely­tavat, jotka ovat suunniteltu ja otettu käyttöön palvelujen tuottamiseksi tilitoimistossa (”Palveluorganisaation järjestelmän kuvaus”).

Standardissa on mainittu kaksi erillistä varmennusraportin tasoa, jolloin raportin tyypillä on olennainen vaikutus tilintarkastusevidenssin laatuun raportin havaintojen ohella. Perus­tason raportin sisältö on (ns. 1-tyypin raportti)⁶:

Palveluorganisaation laatima kuvaus järjestelmästään;

• Palveluorganisaation kannanotto siihen, että
  a) palveluorganisaation järjestelmä on
  esitetty kuvauksessa oikein;
  b) palveluorganisaation järjestelmän
  kuvauksessa mainittuihin valvontatavoitteisiin
  liittyvät kontrollit olivat tiettynä
  ajankohtana rakenteeltaan sopivat; ja
• Palveluorganisaation tilintarkastajan
  varmennusraportti, jossa ilmaistaan
  kohtuullisen varmuuden antava ­johtopäätös ­kohdissa (ii) a.-b. tarkoitetuista seikoista.

Raportti ei siten sisällä yksinomaan tilintarkastajan raportointia, vaan myös tilitoimiston toiminnan kuvauksen ja tilitoimiston johdon kannanoton. Raportti ei ole julkinen asiakirja, mutta se on tarkoitettu tilitoimiston asiakasyhteisöjen käyttöön pyydettäessä, minkä vuoksi raportti kuvauksineen saattaa päätyä verrattain laajan joukon käyttöön. Tilitoimiston näkökulmasta onkin huolehdittava siitä, että raportti sisältää vain välttämättömän tiedon, tieto on oikeaa ja raportin jakelu on hallinnoitu luottamuksellisena.

Varmennusraportin 1-taso kertoo tilitoimiston valvontaympäristöstä ja kontrollien sisällöstä, mutta se ei vastaa vielä siihen, ovatko kontrollit käytössä ja tehokkaita. Vasta 2-tyypin raportissa sekä palveluorganisaatio että varmennuksen suorittaja ottavat lisäksi kantaa kontrollien käyttöön ja tehokkuuteen.

Varmennuksen sisältö

Varmennusraportti⁷ ja varmennus toimeksiantona⁸ on kuvattu tilintarkastusstandardeissa, mutta varmennuksen konkreettista sisältöä ei ole nimenomaisesti yksilöity. Se saa muotonsa sen perusteella, mitä palveluita organisaatio tuottaa ja mikä toimintojen merkitys on asiakasyhteisöjen sisäisen valvonnan ja ­taloudellisen raportoinnin prosessien kannalta. Osviittaa on löydettävissä ISAE 3402 -varmennusraportin sisällön kautta sekä tilintarkastuksen yleisestä sisällöstä. Riippuen varmennuksen tarpeesta on mahdollista rajata läpikäynnin kohteeksi jokin tilitoimiston asiakkaista tai palvelualueista (tyypillisimmin palkanlaskenta). Varmennuksen suorittaa palveluorganisaation valitsema tilintarkastaja. Varmennuksen kustannuksista vastaa ensisijaisesti palveluorganisaatio, mutta usein kustannus on allokoitu tilitoimistosopimuksella eteenpäin asiakasyhteisölle.

Varmennusraporttia varten tilintarkastajan pitää muodostaa käsitys palveluorganisaation järjestelmän kuvauksesta, mikä pitää sisällään toimintaperiaatteet ja toimintatavat, jotka on suunniteltu ja otettu käyttöön palvelujen tuottamiseksi. Esimerkiksi palkkapalveluiden osalta varmennuksen kohteisiin voi kuulua seuraavia:

• Toimeksiantosopimus
•  Roolitukset ja käyttäjäoikeuksien määrittäminen
•  Arkistointi
•  Palkanlaskentaohjelmistoon tehdyt muutokset
•  Virheraportit ja palkkoihin liittyvät täsmäytyskontrollit
•  Palkkojen muutoksiin liittyvät kontrollit

Kirjanpitopalveluiden osalta läpikäytävät toimintatavat voivat koskea esimerkiksi seuraavia aihealueita:

•  Kirjanpito-ohjelmaan rakennettu automaatio ja sen ylläpito
• Käyttäjäoikeudet
• Muistiotositteiden hyväksyntä
• Maksatusoikeudet
• Erillisreskontrien täsmäytyskontrollit
• Järjestelmäperäiset varmennuskontrollit
• Tilitoimiston ja asiakkaan välinen vastuunjako

Palveluita tuotetaan yleensä ohjelmistojen avulla. Niiden luotettavuuden arvioimiseksi joudutaan läpikäymään myös yleistä IT-ympäristöä muun muassa ohjelmistomuutoksiin ja varmuuskopioihin liittyen. Mikäli tilitoimisto operoi asiakkaan järjestelmässä, on tarkastuksen painopiste sekä yleisten IT-kontrollien että ohjelmiston sovelluskontrollien osalta asiakas­yhteisössä. Joissain tilanteissa varmennuksen ketju saattaa kuitenkin ulottua palveluorganisaatiotakin pidemmälle, mikäli tilitoimisto on esimerkiksi ostanut ohjelmiston ylläpidon kolmannelta osapuolelta. Ohjelmistokehityksellä on muutoinkin keskeinen vaikutus talousprosessien sisäiseen valvontaan, sillä ohjelmistoratkaisut mahdollistavat mutta myös rajoittavat kontrollien suorittamista.

Varmennusraportin merkitys

Tilintarkastusevidenssin tuottamisen kannalta 1-tyypin raportti on informatiivisempi. Vasta 2-tyypin raportti riittää täyttämään kontrollitestaukselta vaadittavaa tarkastusevidenssiä, minkä vuoksi sen merkitys on tilintarkastuksen kannalta keskeisempi. Kakkostyypinkin raportin osalta asiakasyhteisön tilintarkastajan velvollisuudeksi jää arvioida varmennusraportissa esitettyjen havaintojen ja kannanottojen merkitys asiakasyhteisön tilintarkastuksen kannalta.

Tilintarkastajan lisäksi myös asiakkaan tulisi olla kiinnostunut raportin sisällöstä, sillä se tuottaa riippumatonta informaatiota tuotettujen palveluiden laadukkuudesta ja mahdollisista tilitoimiston kontrollipuutteista. Varmennusraportti palvelee kuitenkin lähtökohtaisesti tilitoimiston asiakkaita kokonaisuutena, ja siten yksittäiset kontrollit tai havainnot saattavat olla yksittäisen asiakasyhteisön kannalta irrelevantteja.

Varmennuksen suhde tilitoimiston auktorisointiin

Tilitoimiston auktorisointiprosessi sisältää samankaltaisia aihealueita kuin tilintarkastuksessa viitattu varmentaminen: Auktorisoidun tilitoimiston osaaminen, järjestelmät ja toiminta­mallit on tarkastettu. Lisäksi auktorisoidut Taloushallintoliiton jäsenet ovat sitoutuneet noudattamaan taloushallintopalvelualan tapaa, jonka tarkoituksena on taata keskeytyksetön ja laadukas palvelusuhde. Käytännössä nämä pitävät sisällään esimerkiksi kirjallisen palvelusopimuksen laatimisen ja yleisten sopimusehtojen sekä TAL-STA-toimialastandardin noudattamisen. TAL-STA3-standardi käsittelee laadukkaan kirjanpitopalvelun tuottamista ja TAL-STA4 palkan­laskentapalveluita.

Tilintarkastuksen standardisto on kansainvälinen, minkä vuoksi se ei tunnista suomalaisen tilitoimiston auktorisointia. Erot ilmenevät myös käytännön tasolla esimerkiksi aikajänteellä. Tilitoimiston auktorisointi on voimassa kaksi vuotta, mutta tilintarkastusta varten varmennus tarvitaan tilikausittain kattaen koko tilikauden. Toinen merkittävä ero on testaus­evidenssin kattavuus, sillä varmentamisen on täytettävä tilintarkastustavan vaatimukset kuten kontrollien arviointi, dokumentointi ja testauksen otoskoko, mitä ei ole huomioitu auktorisointiin liittyvässä läpikäynnissä.

Yhteenveto

Tilitoimiston hyvä hallinto ja sisäinen valvonta ovat tukeva perusta varmennuksen suorittamiselle. Auktorisointiin liittyvät tarkistukset kehittävät tilitoimiston rutiineja suuntaan, joka edistää myös varmennusraportin hankkimista. Varmentaminen menee kuitenkin operatiivisissa palveluprosesseissa syvemmälle tasolle ja testaa esimerkiksi yksittäisiä kontrollipisteitä – niiden suorittamista, dokumentointia ja tehokkuutta. Työtapojen ja kontrollien systemaattinen harkinta ja dokumentointi ovatkin avaimia toivotunlaiseen varmennusraporttiin. Samalla ne ovat myös keinoja turvata palveluiden laadukkuus.

Viitteet:
¹ ISA 402 Palveluorganisaatiota käyttävän yhteisön
tilintarkastuksessa huomioon otettavia seikkoja
² ISA 402.A4
³ ISA 330.5
⁴ Tilintarkastusvalvonta: Riskien arviointi -kyselylomake (www.prh.fi/fi/tilintarkastusvalvonta)
⁵ ISAE 3402 Palveluorganisaatiossa olevia kontrolleja
koskevat varmennusraportit
⁶ ISAE 3402.9 j)
⁷ ISAE 3402 Palveluorganisaatiossa olevia kontrolleja
koskevat varmennusraportit
⁸ ISAE 3000 Muut varmennustoimeksiannot kuin mennyttä aikaa koskevan taloudellisen informaation tilintarkastus tai yleisluonteinen tarkastus