CTA Paikka

Vaatimukset haltuun

Uusi tilintarkastuslaki lisää tilintarkastajan työn vaatimuksia, kun tarkastettavan organisaation kontrollien lisäksi on varmistettava yhteisön ulkoistamien taloushallintopalveluiden kontrollien toimivuus. ISA 402 -standardista löytyy haasteissa auttavaa ohjeistusta. Standardin vaatimukset on huomioitava myös tietojärjestelmissä.
16.8.2011

Jukka Sorjonen KHT, CISA, SYS Audit Oy

Yksi uuden tilintarkastuslain tuomista merkittävimmistä muutoksista käytännön tilintarkastustyöhön sisältyy lain 13. pykälään, jossa edellytetään tilintarkastajan noudattavan työssään ”yhteisössä sovellettaviksi hyväksyttyjä tilintarkastusstandardeja“. Aikaisempi laki edellytti noudatettavaksi hyvää tilintarkastustapaa. Jatkossa tilintarkastusstandardit ovat siten laintasoista sääntelyä, eivät ammatillisten yhdistysten suosituksia.

Lain muutos asettaa tilintarkastajalle varsin mittavia vaatimuksia liittyen esimerkiksi tarkastettavan yhteisön prosesseihin liittyvän olennaisen virheellisyyden riskien tunnistamiseen ja arvioimiseen (ISA-standardi 315).

Lisähaasteen tälle tarkastukselle asettaa se, että valtaosa suomalaisista yrityksistä on ulkoistanut esimerkiksi kirjanpidon ja palkanlaskennan ulkopuolisen palveluntarjoajan hoidettavaksi. Tilintarkastajalla ei yleensä kuitenkaan ole henkilökohtaisesti mahdollisuutta ja resursseja arvioida palveluntarjoajan toimintoihin liittyviä prosesseja ja niiden sisältämiä kontrolleja.

Tilanne on ISA-standardeissa huomioitu standardilla 402 ”Palveluyritystä käyttävien tarkastuskohteiden tilintarkastuksessa huomioonotettavaa”. Standardi sisältää tilintarkastajalle ohjeet tilanteisiin, joissa yhtiön ulkoistamat palvelut ovat merkityksellisiä tilintarkastuksen kannalta.

Tällainen tilanne syntyy silloin, kun ostetut palvelut ja niitä koskevat kontrollit ovat osa käyttäjäyhteisön taloudellisen raportoinnin kannalta relevanttia tietojärjestelmää sekä siihen liittyviä liiketoimintaprosesseja.

Palveluorganisaation toimien merkitys tarkasteluun

Tilintarkastajan tärkein tehtävä on varmistaa, että tarkastettavan yhteisön julkaisema tilinpäätös sisältää oikeat ja riittävät tiedot yhteisön tilikauden tuloksesta ja varallisuusasemasta sekä siitä, että yhtiön hallinto on hoidettu noudattaen yhteisön sääntöjä ja yhteisöä koskevaa lainsäädäntöä.

Laajoistakin kontrolleista huolimatta julkaistaan vuosittain lukuisia tilinpäätöksiä, joiden voidaan todeta jälkeenpäin tarkastellen sisältäneen olennaisen virheen. Tällöin ovat sekä yrityksen omat, tilitoimiston sekä tilintarkastajien kontrollit jostain syystä pettäneet.

Taulukossa 1 on esitetty joitakin todellisia esimerkkejä tilinpäätöksiin sisältyneistä virheistä ja kuvaus niihin johtaneista tapahtumista.

Miten tilintarkastaja voi käytännössä sitten varmistua siitä, että hänen tarkastamansa yhtiön kontrollit ovat riittävät myös yhtiön ulkoistamien taloushallintopalveluiden osalta?

Muodostaessaan käsitystä käyttäjäyhteisöstä ja sen toimintaympäristöstä tilintarkastajan tulisi arvioida palveluorganisaatiossa hoidettujen tehtävien merkitys käyttäjäyhteisölle ja niiden olennaisuus tilintarkastuksen kannalta. Tällöin on muodostettava käsitys muun muassa palveluorganisaation tietojärjestelmien kontrolleista.

Mikäli tilintarkastaja ei pysty muodostamaan tätä käsitystä käyttäjäyhteisöstä saatavan tiedon perusteella, tulisi käsitys hankkia yhdellä tai useammalla seuraavista toimenpiteistä:

  • palveluorganisaatiossa olevia kontrolleja kuvaavan ja niiden rakenteesta kertovan raportin hankkiminen (niin sanottu 1-tyypin raportti)
  • palveluorganisaatiossa olevia kontrolleja kuvaavan sekä niiden rakenteesta ja toiminnan tehokkuudesta kertovan raportin hankkiminen (niin sanottu 2-tyypin raportti)
  • yhteydenotto palveluorganisaatioon tiettyjen tietojen hankkimiseksi
  • vieraileminen palveluorganisaatiossa ja sellaisten toimenpiteiden suorittaminen, joilla varmistutaan relevanteista kontrolleista
  • toisen tilintarkastajan käyttäminen vastaavien tietojen hankkimiseksi.

Tilintarkastuksen tehokkuuden kannalta olisi ehdottomasti vaivattomin tapa edetä käyttäen hyväksi palveluorganisaatiosta laadittua joko 1-tyypin tai 2-tyypin raporttia.

1. Yhtiö aktivoi tietokoneita virheellisesti taseeseen

 

It-järjestelmätoimittaja toteutti asiakkailleen projekteja, joissa asiakkaalle toimitettiin sekä ohjelmisto että sen käyttöön tarvittava atk-laitteisto. Tilitoimistossa oli kirjattu asiakkaalle toimitettavat atk-hankinnat yhtiön omaan taseeseen kirjanpitäjän luullessa hankintojen olevan käyttöomaisuutta. Yhtiö oli lisäksi hakenut ja myös saanut investointiavustuksia näiden virheellisten aktivointien osalta.

2. Vaihto-omaisuuden inventaariarvo ilmoitettu väärin

Tyypillinen virhe tilinpäätöksen inventaariarvossa johtuu siitä, että kirjanpitoon kirjataan vaihto-omaisuus arvonlisäverollisena. Usein syynä on tietokatkos yrittäjän ja kirjanpitäjän välillä. Vaihto-omaisuuden arvostukseen sisältyy lukuisa joukko muitakin virhelähteitä: virheelliset yksikköhinnat tai -määrät, kokonaan inventoimattomat tuotteet, matkalla olevien tuotteiden/epäkuranttien tuotteiden huomioiminen jne.

3. Myyntisaamisiin kirjattu virheellinen laskun summa

Tilitoimistossa oli tallennusvirheen johdosta syötetty myyntilasku siten, että laskussa olivat kaksi numeroa vaihtaneet paikkaa (24.200 –> 42.200). Asiakkaan maksettua laskunsa jäi erotus 18 000 myyntireskontraan avoimeksi saatavaksi. Kirjanpitäjä tiedusteli tilinpäätöstä valmistellessaan, ovatko yhtiön saatavat kurantteja.

Toimitusjohtaja ilmoitti reskontralistaukseen tarkemmin tutustumatta, että asiakasyhtiö on luotettava ja maksaa kyllä kaikki velkansa. Myyntisaaminen poistettiin aiheettomana vasta seuraavasta tilinpäätöksestä, oltuaan yli vuoden yhtiön taseessa.

4. Arvonlisäkoodit syötetty virheellisesti järjestelmään

Kassajärjestelmän toimittaja päivitti alv-%:n muuttuessa järjestelmään uudet alv-prosentit. Yhden myyntitilin osalta toimittaja oli kuitenkin päivittänyt ainoastaan tilin nimeen oikean %:n, mutta itse koodiin jäi vanha alv-prosentti. Yhtiö ehti tilittää merkittävän määrän arvonlisäveroa liian suurena ennen kuin virhe havaittiin.

Toiminnanohjausjärjestelmään oli syötetty ennakkomaksujen osalta alv-koodi virheellisesti. Järjestelmän automatiikka kirjasi eron kuukausittain selvitystilille. Koska selvitystilille kirjautui muutoinkin satoja vientejä kuukausittain ja järjestelmälle oli tyypillistä että selvitystilillä on normaalistikin suurehko saldo, jäi virhe huomaamatta usean tilikauden ajalta. Virheen selvittyä oli kumuloitunut virheen määrä miljoonia euroja.

5. Tulosta huononnettu perusteettomalla laskulla

Yrittäjä huomasi yhtiönsä tilikauden tuloksen muodostuvan liian hyväksi suhteessa veronmaksuhaluun. Hän pyysi yrittäjäystävältään suurehkon konsulttilaskun pienentämään tilikauden tuloksen sopivalle tasolle. Seuraavalla tilikaudella velka kuittautui hyvityslaskulla maksetuksi. Laskun tehnyt yrittäjä ei myöskään maksanut konsulttilaskustaan veroja, sillä yhtiöillä oli eri aikaan päättyvät tilikaudet.

Taulukko 1. Esimerkkejä vuositilintarkastuksissa todetuista merkittävistä virheistä, joiden osalta kontrollit eivät ole toimineet.

Palveluorganisaation toteuttamien kontrollien arviointi

Palveluorganisaatioita käyttävän käyttäjäyhteisön tilintarkastuksessa huomioon otettavia seikkoja koskevan standardin (ISA 402) kanssa samaan aikaan tuli voimaan myös sitä täydentävä standardi (ISA 3402), joka koskee palveluorganisaatioiden toteuttamien kontrollien arviointi- ja varmistamisraportointia.

Jälkimmäinen standardi määrittelee, miten palveluorganisaation tarkastaja raportoi toimeksiantajansa palveluiden taloudelliseen raportointiin liittyvät kontrollit käyttäjäyhteisön tarkastajalle ja johdolle sekä palveluorganisaation johdolle.

Koska tietojärjestelmät ovat keskeisessä roolissa palveluiden tuottamisessa, näiden kontrollien arviointiin osallistuvien on syytä hallita sekä tietojärjestelmätarkastuksen että sisäisen tarkastuksen toteuttamisen menetelmät ja menettelytavat.

Standardi koskee kontrolleja, jotka todennäköisesti ovat olennaisia palveluorganisaation asiakkaan taloudellisen raportoinnin luotettavuuden kannalta. Standardin mukainen raportti sisältää arvion näiden kontrollien toteutuksesta (1-tyypin raportti) tai myös tulokset niiden toimivuuden testauksesta (2-tyypin raportti).

Vastuuta taloudellisen raportoinnin luotettavuudesta ei palveluiden tavoin voi kuitenkaan ulkoistaa, vaan se kuuluu ulkoistajan johdolle. Myös palveluorganisaation johdon vastuu kasvaa uuden standardin myötä: sen pitää kirjallisesti vahvistaa muun muassa järjestelmäkuvausten asianmukaisuus.

Itse arviointi etenee standardin mukaan vaiheittain seuraavasti:

  • palveluorganisaation järjestelmään ja sen kontrolleihin tutustuminen
  • järjestelmäkuvauksen asianmukaisuuden arviointi
  • kontrollien asianmukaisuuden arviointi
  • kontrollien toimivuuden testaaminen (2-tyypin raportti)
  • sisäisen tarkastuksen työn hyödyntäminen
  • palveluorganisaation johdon vahvistusten hankkiminen
  • muun käytettävissä olevan tiedon hyödyntäminen
  • arviointiin mahdollisesti vaikuttavien järjestelmäkuvauksen teon jälkeisten tapahtumien selvittäminen
  • tarkastus- ja arviointityön dokumentointi
  • tarkastus- ja arviointiraportin teko
  • muiden tiedonantovelvoitteiden arviointi.

Vaiheiden tavoitteet ja tuotokset käyvät ilmi edellisestä, mutta muutama tarkennus lienee paikallaan. Järjestelmäkuvausten asianmukaisuuden arvioinnissa tarkastaja ottaa kantaa muun muassa palveluorganisaation järjestelmille asettamiin kontrollitavoitteisiin, selvittää, onko kuvauksen mukaiset kontrollit toteutettu, onko mahdolliset asiakasorganisaatiolta edellytettävät täydentävät kontrollit määritelty ja kuinka mahdollisten palveluorganisaation alihankkijoiden palvelut on kuvattu.

Mikäli palveluorganisaatiolla on olemassa sisäinen tarkastus, tarkastaja voi hyödyntää sen tuloksia omassa arvioinnissaan. Standardin mukaan tarkastajan tulee ryhtyä asianmukaisiin toimenpiteisiin, mikäli asiakasorganisaatioihin mahdollisesti vaikuttavista palveluorganisaation vastuulla olevista merkittävistä tapahtumista kuten vaatimustenmukaisuuden toteutumattomuudesta, petoksesta tai korjaamattomista virheistä ei ole näitä informoitu.

Käyttäjäyhteisö 

Yhteisö, joka käyttää palveluorganisaatiota ja jonka tilinpäätös on tarkastuksen kohteena.

 

Palveluorganisaatio

Ulkopuolinen organisaatio, usein tilitoimisto, joka tuottaa käyttäjäyhteisöille palveluja, jotka ovat osa näiden yhteisöjen taloudellisen raportoinnin kannalta relevantteja tietojärjestelmiä.

 

SaaS-palvelu

SaaS = Software as a Service. Ohjelmistojen hankkiminen palveluna. SaaS-palveluita käytetään yleensä internet-selaimella ja samaa tuotantoympäristöä käyttää useampi asiakas.

 

Wiki  

Verkkosivusto jonka sisältöä käyttäjät voivat muokata helposti ja nopeasti, yleensä internet-selaimen avulla.

 

ISA 402 tilitoimistoissa

ISA 402 -standardissa kuvattujen 1- ja 2-tyypin raporttien laatimisessa tarvitaan tilitoimiston omaa työpanosta, mutta ne sisältävät aina myös palveluorganisaation tilintarkastajan lausunnon. Raportteja ei voi uskottavalla tavalla laatia yksin. Tilitoimiston oma tilintarkastaja on useimmiten sopiva kumppani avustamaan tilitoimistoa tarvittavien raporttien laadinnassa.

On syytä kiinnittää huomiota myös siihen, että raporttien sisältämän tiedon ylläpidon tulee olla jatkuvaa. Jos tilitoimiston kontrolleissa on tapahtunut muutoksia raportin laatimisen jälkeen, tai raportin kattama ajanjakso ei ole asianmukainen käyttäjäyhteisön tilintarkastajan tarkoituksia ajatellen, ei tilintarkastaja voi luottaa raporttien sisältämään tietoon.

Tilitoimiston ja asiakkaan välisten vastuiden ja työnjaon selkeä kuvaaminen on tärkeää. Tilitoimistoalalla on jo pitkään hyödynnetty tilitoimistoalan yleisiä KL 2004 -sopimusehtoja. Usein kirjallinen sopimus tilitoimiston ja asiakkaan välillä puuttuu kuitenkin kokonaan tai siinä esitetty työnjako ei vastaa enää todellisuutta. SaaS-palveluina tuotettavien sähköisten taloushallinnon ohjelmistojen yleistyessä asiakkaiden ja tilitoimistojen työkaluna, on sopimusehtoja ja vastuunjakoa syytä tarkastella uudelleen.

Yhä useammin asiakkaat tuottavat osan kirjanpidostaan itse, tilitoimiston roolin muuttuessa yhä enemmän controllerin tehtäviksi ja vaativampien taloushallinnon tehtävien hoitajaksi. Internetissä toimivan taloushallinnon järjestelmän avulla työtehtäviä voidaan sujuvasti jakaa asiakkaan ja tilitoimiston välillä, tarvittaessa nopeastikin. Pilvipalveluissa tilitoimiston vaihtaminenkin käy parhaimmillaan käden käänteessä, ylläpidon siirtäessä asiakasyrityksen käyttöoikeudet tilitoimistolta toiselle.

Kaikki tämä edellyttää joustavaa ja ajan tasalla olevaa sopimusmenettelyä. Tilitoimistojen palvelusopimuksia tulisi kehittää entistä enemmän puitesopimusten suuntaan, siinä missä varsinaiset työtehtävät ja vastuunjako määritellään parhaimmillaan sähköisesti ja interaktiivisesti. Tämä mahdollistaa vastuiden ja velvollisuuksien ajan tasalla pysymisen ja niiden helpon selvittämisen jälkikäteen.

Asiakkaan ja tilitoimiston välisen työnjaon määrittelyn lisäksi tilitoimiston sisäiset prosessit on kuvattava siten, että prosessien omistajuudet sekä eri osapuolten väliset roolit ja vastuunjako ovat selkeät. Prosessien läpikäyminen ja kuvaaminen auttaa tilitoimistoa hahmottamaan oman toimintansa pullonkaulat, vaaralliset työyhdistelmät ja mahdollistaa tilitoimiston toiminnan selkeän kuvaamisen myös asiakkaille.

Sisäiset toimintaohjeet ja prosessikuvaukset on laadittava siten, että tarvittaessa voidaan osoittaa, millaiset ohjeistukset ja toimintamallit tilitoimistossa olivat käytössä jonakin tiettynä ajankohtana. Tämä edellyttää tehokkaita ja helppokäyttöisiä työkaluja. Esimerkiksi wiki-pohjaiset dokumentointijärjestelmät mahdollistavat muutoshistorian ja toimintaohjeiden edellisten versioiden automaattisen tallentamisen.

Vaikutukset tietojärjestelmiin

Mikäli tilitoimisto käyttää alihankkijoita, joiden palvelut ovat relevantteja asiakkaan tilintarkastuksen kannalta, asiakkaan tilintarkastajan tulee soveltaa ISA 402 -standardin vaatimuksia myös tilitoimiston alihankkijan tuottamiin palveluihin. Tämä tarkoittaa käytännössä arvioinnin ulottamista tilitoimiston käyttämiin taloushallinnon tietojärjestelmiin.

Kattava tietojärjestelmätarkastus edellyttää kuitenkin tietojärjestelmätarkastuksiin erikoistunutta ammattilaista. Suotavaa olisikin, että suomalaiset taloushallinnon tietojärjestelmiä kehittävät ohjelmistotalot lähtisivät yhteistyössä tilitoimistojen ja tilintarkastusyhteisöjen kanssa luomaan alalle ISA 402 -standardin vaatimuksia tukevia raportointimenettelyitä.

Lainsäädännössä ja verotuksessa tapahtuvat muutokset aiheuttavat taloushallinnon tietojärjestelmiin jatkuvia muutospaineita. Ohjelmistopäivitykset on usein asennettava ja otettava käyttöön viranomaisten määrittelemien aikataulujen puitteissa.

Tilitoimistojen tietotekniikkainfrastruktuuri ei aina mahdollista muutosten testausta erillisessä testiympäristössä, niinpä versiopäivitykset on ajettava suoraan tuotantoympäristöön. Tällainen menettely sisältää merkittäviä riskejä ja mahdolliset ohjelmistovirheet voivat johtaa olennaisiin virheisiin asiakkaiden kirjanpidossa. Tilitoimistojen on syytä panostaa tietojärjestelmien muutoksenhallintaprosessien kehittämiseen siten, että

  • muutokset katselmoidaan ennen niiden toimeenpanoa
  • suunnitellut muutokset tuotantojärjestelmiin voidaan testata testiympäristöissä
  • tehdyt päivitykset ja asennukset voidaan tarvittaessa peruuttaa
  • tehtyjen muutosten toimivuutta tarkkaillaan
  • päivityksen jälkeen järjestelmien tuottaman datan eheys ja oikeellisuus varmistetaan.

SaaS-palveluina tuotettavien sähköisten taloushallinnon ohjelmistojen yleistyessä ohjelmistotoimittajan mahdollisen virheen merkitys korostuu. Virhe on hetkessä kaikkien palvelun käyttäjien toistettavissa, mutta ei itse korjattavissa tai peruutettavissa.

SaaS-palvelussa tapahtuvia ohjelmistopäivityksiä on lisäksi usein vaikea huomata ohjelmistotoimittajien siir-tyessä yhä enemmän ketterien järjestelmäkehitysmenetelmien hyödyntämiseen, missä muutoksia vyörytetään tuotantoon parhaimmillaan muutamien päivien sykleissä. Tämän vuoksi tilitoimiston on huolehdittava muutoksenhallintaan liittyvistä kontrolleista myös käyttämiensä SaaS-palveluiden osalta.
Tilitoimiston on oma-aloitteisesti raportoitava asiakkaalleen sellaisista väärinkäytöksistä, säädösten ja määräysten noudattamatta jättämisestä tai korjaamattomista virheellisyyksistä, jotka vaikuttavat asiakkaan tilinpäätökseen.

Tämä tarkoittaa sitä, että tilitoimiston on kyettävä luotettavasti selvittämään, kuka virheelliset kirjaukset on tehnyt tai oikeita kirjauksia muuttanut. Taloushallinnon ohjelmistojen tarjoamat mahdollisuudet tapahtumalogien keräämiseen on hyödynnettävä ja logeja on osattava myös tulkita.

Logitietojen puuttuessa käyttäjätunnusten ja käyttöoikeuksien hallintamenettelyillä on pystyttävä tarvittaessa osoittamaan, kenellä kaikilla on menneisyydessä ollut mahdollisuus asiakkaan kirjanpidon tapahtumien muuttamiseen. Myös tietokantojen ja tiedostojen varmuuskopioiden toimivuuden testaus, riittävän pitkäaikainen säilytys ja niiden käsittelyn hallinta ovat tärkeitä. SaaS-palveluita hyödyntävän tilitoimiston on syytä selvittää, millaisia tapahtumalogeja SaaS-palvelun käytöstä kerätään, mikä on varmuuskopioiden kiertoaika ja voidaanko niihin tosiasiallisesti enää palata.

Palveluorganisaation kontrolleissa todettuja yleisimpiä puutteita

  • kirjallinen sopimus palveluyrityksen ja käyttäjäyhteisön väliltä puuttuu kokonaan
  • sopimus on olemassa, mutta siinä esitetyt osapuolten vastuut ja työnjako ovat puutteelliset tai päivittämättä
  • ohjelmistojen muutoshallinnan kontrollit eivät ole riittäviä
  • käyttöoikeuksien ja salasanojen hallinta on puutteellista
  • varmistusten palautusta ei ole harjoiteltu
  • excel tms.  –tiedostojen systemaattinen hallinta puutteellista
  • eri järjestelmien välisissä liittymissä kontrollipuutteita

 

YleisetUusimmat Artikkelit
Katso kaikki