Valmistaudu tilin­tarkastajan kysymyksiin asiakkaan tieto­järjestelmistä

Tässä artikkelissa nostetaan esiin seikkoja, joiden vuoksi asiakkaan IT-ympäristö ja tietojärjestelmät kiinnostavat tilintarkastajaa, sekä kerrotaan, miten tilitoimisto voi valmistautua vastaamaan niihin liittyviin kysymyksiin.

Käsityksen muodostaminen ja olennaisen virheellisyyden arviointi

Tilintarkastajan tulee tunnistaa ja arvioida väärinkäytöksestä tai virheestä johtuvat olennaisen virheellisyyden riskit tilinpäätöksessä. Tilintarkastaja siis arvioi, mikä seikka voi aiheuttaa olennaisen virheen tilinpäätökseen. Muodostamansa käsityksen perusteella tilintarkastaja suunnittelee ja toteuttaa tarkastustoimenpiteitä, joilla hän pyrkii vastaamaan tunnistamiinsa riskeihin. Toisin sanoen, kun tilitarkastaja tunnistaa seikan, joka voi aiheuttaa olennaisen virheellisyyden tilinpäätöksessä, hän tekee toimenpiteitä varmistuakseen asianmukaisesta käsittelystä tilinpäätöksessä.

Jokaisella kirjanpitovelvollisella on sisäisen valvonnan järjestelmä, jonka tarkoituksena on huolehtia taloudellisen raportoinnin luotettavuudesta, tehokkuudesta ja sovellettavien säädösten ja määräysten noudattamisesta. Kansainvälisissä tilintarkastusalan standardeissa (ISA-standardit) sisäisen valvonnan järjestelmä muodostuu viidestä toisiinsa liittyvistä komponentista, joista tietojärjestelmä ja kommunikaatio on yksi komponentti. Kun tilintarkastaja kysyy tietoja yrityksen IT-ympäristöstä ja järjestelmistä, hän yrittää muodostaa käsitystä siitä, miten sisäisen valvonnan järjestelmä suoriutuu sille kuuluvasta tehtävästä: pystyykö yrityksen tilinpäätöksen laadintaprosessi tuottamaan luotettavan ja sovellettavien säädösten ja määräysten mukaisen tilinpäätöksen? Jotta tilintarkastaja voi tehdä tarvittavat arviot, hänellä tulee olla käsitys tilinpäätöksen laatimisprosessista, siihen kuuluvista tietojärjestelmistä ja IT-ympäristöstä.

Tilitoimiston asiakkailleen tuottamasta palvelusta voidaan laatia ISAE 3402 -standardin mukainen varmennusraportti. Tällaisessa raportissa tilitoimiston valitsema tilintarkastaja varmentaa tilitoimiston sisäistä valvontaympäristöä tilitoimiston asiakkaita ja tilintarkastusta varten. Tilisanomat-lehden numerossa 4/2021 on julkaistu Anne Kullan artikkeli, jossa on kerrottu ISAE 3402 -standardin mukaisesta varmennusraportista ja sen merkityksestä. Tilitoimistojen varmennusraportit ovat oman kokemukseni mukaan harvinaisia. Tavanomaisempaa on, että tilintarkastaja muodostaa tarvittavan käsityksen hankkimalla tiedot yritykseltä ja tilitoimistolta haastatellen ja saatavilla olevien aineistojen perusteella.

Tietojärjestelmien merkitys tilinpäätöksen laatimisessa

Tietojärjestelmien rooli tilinpäätöksen laatimisprosessissa on useimmiten keskeinen. Tilinpäätöksen laatimisessa tietojärjestelmiä käytetään vähintään siinä muodossa, että paperinen kirjanpidon aineisto tallennetaan manuaalisesti pääkirjanpito-ohjelmaan, josta muodostetaan tilinpäätökseen tuloslaskelma ja tase. Tätä yleisempää kuitenkin tänä päivänä on, että pääkirjanpidon ohjelmistoon sisältyy integroituja alakirjanpitoja (kuten ostoreskontra ja myyntireskontra) ja tapahtumat generoituvat järjestelmään rakennetun automatiikan perustalla. Pääkirjanpidon ohjelmistossa kirjanpitäjä saa muodostettua tilinpäätöksen päälaskelmineen ja osan liitetiedoistakin.

Tilintarkastajan tulee muodostaa käsitys yrityksen tilinpäätöksen laatimisprosessista. Tähän kuuluu käsityksen muodostaminen siitä, mistä yrityksen kirjanpidon aineisto muodostuu, kuinka liiketapahtumat saatetaan alkuun, miten niitä käsitellään, korjataan, siirretään järjestelmien välillä ja lopulta, miten nämä liiketapahtumat muodostuvat raportoitaviksi asioiksi tilinpäätöksessä. Koska tietojärjestelmät liittyvät tietojen käsittelyyn tavalla tai toisella, tilintarkastajan on muodostettava käsitys myös siitä, mikä on IT-ympäristön rooli tilinpäätöksen laatimisprosessissa. Ja kuten edellä kerroin, tässäkin kohdassa tilintarkastaja miettii, voiko tilinpäätöksen laatimisprosessiin liittyä sellaisia seikkoja, jotka voisivat aiheuttaa olennaisen virheellisyyden tilinpäätöksessä.

Kirjanpitovelvollisen käytössä olevista tietojärjestelmistä tilintarkastajaa kiinnostavat ne, jotka tuottavat informaatiota merkittäviin tilinpäätöseriin tai tilinpäätöksessä esitettäviin tietoihin. Tavanomaisesti tilitoimistolle kirjanpidon ulkoistaneessa yrityksessä tällaisia järjestelmiä on 1–3 kappaletta: pääkirjanpito, maksuliikenne ja jokin osakirjanpidon järjestelmä kuten HR-, varasto- tai käyttöomaisuus.

IT-ympäristön ja tietojärjestelmien kuvaus

Käsityksen muodostamisessa tilintarkastajaa auttaa kaaviomainen piirros tietojärjestelmistä, jotka tuottavat tietoa tilinpäätökseen. Kuvauksessa on hyvä nimetä järjestelmät, niiden tehtävät ja esittää, miten tieto siirtyy järjestelmästä toiseen ja miten liiketapahtumat ovat tunnistettavissa. Kuvausta laadittaessa on hyvä muistaa, että tilintarkastaja käyttää sitä muodostaessaan käsitystänsä yrityksen tilinpäätöksen laatimisprosessista sekä arvioidessaan olennaisen virheellisyyden mahdollisuutta tilinpäätöksessä. Kannattaa keskittyä pääasioihin.

Tilitoimistoasiakkaan tietojärjestelmien kuvaus voisi olla esimerkiksi oheisen kuvion mukainen.

Tietojärjestelmien ylläpito

Tilitoimistoasiakkaan kirjanpidon järjestelmän ylläpito on usein sovittu olevan tilitoimiston vastuulla. Kun käytössä on niin sanottu pakettiohjelmisto, versiopäivityksiä ja muita ohjelmistomuutoksia seuraa ohjelmiston toimittaja. Yleisesti käytettyihin, vakiintuneisiin kirjanpidon ohjelmiin liittyen tilintarkastaja voi katsoa ylläpidosta johtuvan vähäisempää riskiä kuin kirjanpitovelvolliselle räätälöityihin ja kirjanpitovelvollisen itse ylläpitämiin järjestelmiin. Tilintarkastaja kuitenkin muodostaa käsityksen siitä, kenen vastuulla tietojärjestelmien ylläpito on, miten muutoksia seurataan ja miten mahdolliset virheet tietojärjestelmien toiminnassa havaittaisiin ja korjattaisiin. Tätä varten voi laatia oheista tietojärjestelmien kuvausta vastaavan piirroksen, jossa on esitetty tietojärjestelmiin liittyvät palvelimet, niiden sijainnit ja ylläpitovastuu.

IT-kontrolleilla ja tietoturvalla varmistutaan tiedon luotettavuudesta

Kun tilintarkastaja on muodostanut käsityksen tilinpäätöksen laatimisprosessiin liittyvistä tietojärjestelmistä, tilintarkastaja pyrkii selvittämään, miten on huolehdittu siitä, että tieto muodostuu ja siirtyy järjestelmissä oikein ja että tieto on riittävästi suojattu. Järjestelmiin on rakennettu automaattista seurantaa, kuten virhelistoja ja täsmäytysraportteja, joiden avulla kirjanpitäjä pystyy seuraamaan tiedon käsittelyä järjestelmässä. Tietoa suojataan muun muassa käyttöoikeuksilla, vastuiden kommunikoinnilla ja automaattikontrolleilla.

Käyttöoikeuksilla rajataan, että vain asianmukaisilla käyttäjillä on pääsy aineistoon ja muokkaamaan aineistoa. Toisaalta käyttöoikeuksien avulla voidaan jälkikäteen selvittää, kuka käyttäjä muutoksen on tehnyt. Tietoturvan näkökulmasta kyseessä on tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä. Vastuiden kommunikoinnilla sovitaan, kenen tehtäviin kuuluu virhelistojen läpikäynti, kirjanpidon laatimiseen liittyvät täsmäytykset, näissä havaittujen virheiden selvittäminen sekä mikä on sopiva rytmi näiden kontrollitoimenpiteiden tekemiseen. Yleensä kontrollien suorittamisesta syntyy dokumentaatiota, josta voidaan todeta, että sovitut seurantatoimenpiteet on suoritettu ja niiden perusteella varmistuttu, että yrityksen IT-järjestelmä on toiminut asianmukaisella tavalla. Tilintarkastaja saattaa siis kysyä järjestelmiin liittyvistä käyttöoikeuksista ja niiden hallinnasta sekä tiedon oikeellisuutta varmistavien kontrollien suorittamisesta.

Tilitoimistossa voi valmistautua tilintarkastajalta tuleviin kysymyksiin dokumentoimalla, miten tietojärjestelmien käyttöoikeuksia hallitaan, miten käyttäjät tunnistautuvat ja mitä seurantatoimenpiteitä on tiedon luotettavuuteen liittyen käytössä.

Muistiotositteisiin liittyvät erityispiirteet

ISA-standardit velvoittavat tilintarkastajaa olettamaan, että tilinpäätökseen sisältyy aina riski siitä, että johto sivuuttaa kontrolleja, ja riski siitä, että tilinpäätös on olennaisesti virheellinen epäasianmukaisesti tehtyjen pääkirjanpitovientien tai muiden oikaisujen takia. Koska mainitut riskit ovat jokaisessa tilinpäätöksessä olemassa, ISA-standardit edellyttävät tilintarkastajan tekevän tarkastustoimenpiteitä pääkirjanpitovienteihin ja muihin oikaisuihin riskeihin vastaamiseksi.

Tilintarkastustoimenpiteiden suunnittelua ja toteuttamista varten tilintarkastaja tarvitsee kirjanpitäjältä tietoa muun muassa siitä, mitä suoria pääkirjanpitovientejä ja oikaisuja kirjanpidossa tavanomaisesti tehdään, mitkä tositelajit ovat manuaalisesti muokattavissa, kenellä on oikeus tehdä suoria pääkirjanpitovientejä ja onko näihin liittyvää hyväksyntä- tai seurantaprosessia käytössä.

Muistiotositteiden tarkastusta helpottaa, kun kirjanpidon laadinnassa on huolehdittu, että muistiotositteet täyttävät kirjanpitolain 2:5 §:n vaatimuksen tositteen todennettavuudesta. Tällöin tilintarkastajalla on käytettävissään tositteen laatimiseen liittyvät laskelmat ja tausta-aineistot muistiotositteen liitteinä, kun hän tekee muistiotositetarkastusta, eikä niitä tarvitse erikseen pyytää asiakkaalta tai kirjanpitäjältä. Tilintarkastaja saattaa myös tiedustella kirjanpitäjältä, onko tämä havainnut epäasianmukaisia pääkirjanpitovientejä. Tätä kysymystä ei kannata hätkähtää, se kuuluu ISA-standardien mukaisiin toimenpiteisiin.

Muutosten vaikutukset

Kun yrityksen tilintarkastaja vaihtuu, uuden tilintarkastajan tehtäviin kuuluu käsityksen muodostaminen yrityksen IT-ympäristöstä, vaikka siinä ei olisi mitään muutoksia tapahtunut edelliseen tilikauteen verrattuna. Tämän jälkeen seuraavien tilikausien tarkastusten yhteydessä tilintarkastaja päivittää aiemmin muodostamaansa käsitystä. Jos tilinpäätöksen laatimiseen vaikuttavissa tietojärjestelmissä tapahtuu muutoksia, tilintarkastajan tulee muodostaa käsitys muutoksesta ja miten on varmistuttu siitä, että muutokset on toteutettu asianmukaisesti.

Järjestelmämuutoksista tilintarkastaja tarvitsee tietoa muun muassa siitä, mikä tilinpäätöksen laatimisprosessissa on muuttunut ja milloin muutos on tapahtunut. Keskeistä järjestelmien muutoksissa on varmistua siitä, onko muutoksesta voinut muodostua olennaista virhettä tilinpäätökseen.