Artikkeli:

Sisäisen valvonnan arviointikehikko – miten sitä käytetään?

29 tammikuuta 2018

Helge Vuoti , Partner |

Sisäisen valvonnan arviointikehikko on työkalu, jonka avulla voidaan arvioida sisäisen valvonnan ja riskienhallinnan tilaa kussakin valtion virastossa ja laitoksessa. Arviointikehikossa on kuusi arviointialuetta, jotka perustuvat pitkälti yleisesti hyväksyttyyn viitekehykseen (COSO). Arviointialueet ovat

  • sisäinen toimintaympäristö ja toimintarakenteet
  • tavoitteiden asettaminen
  • riskien tunnistaminen, arviointi ja hallinta
  • kontrollit (valvontatoimenpiteet)
  • tiedonkulku ja informaation käytettävyys
  • seuranta.

COSO-viitekehystä on uudistettu vuonna 2013, ja muutokset on tarpeen ottaa huomioon arviointikehikkoa käytettäessä. Muutosten tavoitteena on ollut selkeyttää sisäisen valvonnan suunnittelua ja hyödyntämistä, sekä auttaa ymmärtämään tehokkaan sisäisen valvonnan vaatimuksia paremmin. Lisäksi kannattaa pitää silmällä, miten vuonna 2018 päivittyvä arviointikehikko vaikuttaa sisäisen valvonnan ja riskienhallinnan arviointiin.

Mitä käytännössä arvioidaan?

Sisäinen toimintaympäristö ja toimintarakenteet tarkoittavat sitä, onko virastolla esimerkiksi työjärjestyksen lisäksi sovittu tarkemmin, mitä kunkin työntekijän tehtäviin kuuluu, kuka toimii kenenkin esimiehenä ja minkälaisia tehtäviä kukin henkilö saa tehdä – tai on velvoitettu tekemään. Toimintarakenne pitää myös sisällään sen, onko toimintatavat sovittu ja ohjeistukset annettu, ja tunteeko henkilöstö ne riittävän hyvin.

Tavoitteiden asettaminen tarkoittaa, että viraston perustehtävä ja pidemmän tähtäyksen tavoitteet on määritelty mahdollisimman selkeästi ja niistä on viestitty henkilöstölle riittävästi. Lisäksi virastolla on oltava toimintaa varten suunnitelma, jossa eri osastojen ja hankkeiden suunnitelmat on koordinoitu yhteen. Suunnitelmien tavoitteiden on oltava mahdollisimman käytännönläheisiä, ja niissä tulee olla mittarit, aikataulut ja vastuuhenkilöt.

Riskien tunnistaminen, arviointi ja hallinta tarkoittaa, että viraston jokaisessa tiimissä, yksikössä, osastossa ja hankkeessa tunnistetaan ja priorisoidaan tavoitteita uhkaavat riskit säännöllisesti, määritellään niille hallintatoimenpiteet ja seurataan, että riskit pysyvät kohtuullisesti hallinnassa. Lisäksi virastossa on kirjallisesti sovittu periaatteet, miten riskejä arvioidaan yhdenmukaisin kriteerein, ja miten riskit ja toimenpiteet ovat mukana toiminnan suunnittelussa ja raportoinnissa. Huomiota tulee kiinnittää uuden COSO:n mukaisesti myös väärinkäytösriskeihin.

Valvontatoimenpiteillä tarkoitetaan erilaisia tapoja ja kontrolleja jokaisen omassa työssä, joiden avulla varmistetaan työn tavoitteellisuus. Esimerkiksi kuvaamalla toimintaprosessit, hankehallinnointi ja niihin liittyvät kontrollit voidaan turvata yhden- ja johdonmukainen toiminta. Toimintaprosesseja ovat esimerkiksi tavaroiden ja palveluiden hankinnat, laskujen käsittely, maksullisen toiminnan laskutus, käyttöomaisuuskirjanpito, valtuuskirjanpito, palkkahallinto, sopimusmenettelyt ja saatavien seuranta.

Tiedonkulku ja informaation käytettävyys tarkoittaa, että taloustietojen (johdon laskentatoimi) lisäksi sisäinen ja ulkoinen tiedonkulku toimii. Sisäisessä tiedonkulussa tiimit ja yksiköt saavat esimiehiltään riittävästi tietoa suunnitelmien muutoksista, jotta ne voivat kohdentaa omaa toimintaansa parhaalla mahdollisella tavalla. Ulkoisessa tiedonkulussa virastolla on järjestelmällinen tapa viestiä ulkoisille sidosryhmilleen ja sitä ohjaavalla taholle toiminnastaan, suunnitelmien toteutumisesta ja poikkeustilanteista. Uudistetun COSO:n mukaisesti tiedonkululla tarkoitetaan myös sisäisen valvonnan ja riskienhallinnan tilasta kertovan tiedon kulkua ja käsittelyä esimerkiksi johtoryhmissä.  

Seurannalla tarkoitetaan sisäisen valvontaan ja riskienhallintaan liittyvää jatkuvaa tai säännöllistä monitorointia siitä, toimivatko ne suunnitellusti, saadaanko tietoa esimerkiksi siitä, jos asiat eivät etene suunnitellusti tai tavoitteellisesti, tai arvioidaanko prosessien ja hankehallinnon toimivuutta säännöllisesti. Lisäksi seurantaan kuuluu ulkoisten arviointien hyödyntäminen – eli käydäänkö johdossa niiden tulokset säännöllisesti läpi.

 

Arviointikehyksen ja vuonna 2013 uudistetun COSO:n mukainen sisäisen valvonnan arviointi- ja vahvistuslausuma saadaan aikaiseksi, kun kootaan laajempi näkemys viraston tai laitoksen sisältä, miten sisäisen valvonta ja riskienhallinta on hoidettu ja ymmärretty. Laajempi näkemys saadaan koottua esimerkiksi seuraavien keinojen avulla:

  • työpajat, joissa käsitteitä avataan johdolle, keskijohdolle, mahdollisesti tietyn tason esimiehille ja tämän jälkeen itsearviointikysely tälle henkilöjoukolle (esimerkiksi online-kysely tai vastaava, josta saadaan helposti kyselyn koonnit)
  • johdon ja keskijohdon haastattelut, joista laaditaan yhteenvedot sisäisen valvonnan ja riskienhallinnan tilasta ja kehittämiskohteista
  • itsearviointikyselyjen tekeminen sellaiselle virastolle tai laitokselle, jossa arviointikehikon käsitteistö on tuttua.

On muistettava pitää mielessä, että arviointi- ja vahvistuslausuman tulee pohjautua dokumentoituun tietoon ja perusteltuun näkemykseen.

LUE MYÖS: Valtion virastojen ja laitosten sisäinen valvonta – mitä se pitääkään sisällään?