Ulkoistettu sisäinen tarkastus pörssiyhtiön johdon apuna

Sisäinen tarkastus on tarkastuskohteesta ja sen vastuuhenkilöistä riippumatonta ja objektiivista arviointi-, varmistus- ja konsultointitoimintaa, joka on luotu tuottamaan lisäarvoa organisaatiolle ja parantamaan sen toimintaa. Sisäinen tarkastus tukee organisaatiota tavoitteiden saavuttamisessa tarjoamalla suunnitelmallisen lähestymistavan organisaation riskienhallinta-, valvonta- sekä johtamis- ja hallintoprosessien asianmukaisuuden sekä tehokkuuden arviointiin ja kehittämiseen. Parhaimmillaan sisäinen tarkastus on hallituksen ja toimitusjohtajan luotettava työrukkanen mieltä painavien riskien arvioimiseen ja hallintaan.

Yhtiöllä tulee olla sen liiketoiminnan laatuun, laajuuteen ja monimuotoisuuteen nähden riittävä sisäinen valvonta. Pienyhtiöiden osalta sisäinen valvonta hoituu omistajayrittäjän toimesta. Suuremmissa perheyhtiöissä omistaja ja riittävät työtehtävien eriyttämiset sekä asianmukaisesti hoidettu tilintarkastus usein riittävät sisäisen valvonnan tehokkaaseen toteuttamiseen. Pörssiyhtiöissä, laajaomisteisissa palkkajohtajien vetämissä osakeyhtiöissä, merkittävissä kolmannen sektorin yhteisöissä, valtio-omisteisissa yhteisöissä sekä sijoituspalvelu- ja rahastoyhtiöissä sisäisellä tarkastuksella on merkittävä rooli tehokkaan sisäisen valvonnan toteutumisessa. Käytäntö on osoittanut, että ennaltaehkäisevä ja toimiva sisäinen valvonta on erittäin kustannustehokasta, kun vertailukohtana on mahdollisen väärinkäytösten selvittelyyn käytettävä työaika ja rahamäärä.

Osakeyhtiölain 6 luvun 2 §:n mukaisesti sisäisen valvonnan asianmukainen järjestäminen on yhtiön hallituksen vastuulla. Samassa luvussa määrätään, että toimitusjohtajan vastuulla on varmistaa sisäisen valvonnan käytännön tehokas toteutuminen. Sisäistä valvontaa parantaakseen yhtiöllä voi olla muista operatiivista toiminnoista riippumaton sisäisen tarkastuksen toiminto. Sisäisen tarkastuksen toiminto voi olla joko yhtiön sisällä oleva oma erillinen yksikkönsä tai ulkoistettu palvelu, joka ostetaan palveluntarjoajalta. Aina ei ole tarkoituksenmukaista, että yhtiö itse järjestää sisäisen tarkastuksen omaksi toiminnokseen organisaatiossaan. Riippumattomuuden varmistamisen näkökulmasta on useissa tapauksissa tarkoituksenmukaisinta, että sisäisen tarkastuksen toiminto on yhtiöstä ulkopuolinen palveluntarjoaja.

Sisäisen tarkastuksen tarkoituksena on varmistaa, että yhtiön sisäinen valvontajärjestelmä, huomioiden myös ulkoisen valvonnan tuottaman informaation, on asianmukainen ja antaa organisaation hallitukselle ja toimitusjohtajalle kohtuullisen varmuuden sisäisen valvonnan, riskienhallinnan sekä johtamis- ja hallintoprosessien toimivuudesta, päämäärien ja tavoitteiden saavuttamisesta, toiminnan tehokkuudesta, ohjeiden ja päätösten noudattamisesta, raportoinnin luotettavuudesta sekä omaisuuden säilyttämisestä. Sisäinen tarkastus toimii yhteistyössä hallituksen tai sen tarkastusvaliokunnan kanssa.

Lainsäädännön velvoitteet

Pörssiyhtiöitä koskevat useat lait, joista keskeisimpiä ovat talouden näkökulmasta muun muassa osakeyhtiölaki, kirjanpitolaki, arvopaperimarkkinalaki ja tilintarkastuslaki. Näissä laeissa ei suoraan käsitellä sisäistä tarkastusta tai sen asemaa. Kuitenkin hyvä hallinnointitapa ja johdon huolellisuusvelvoite edellyttävät asianmukaista sisäisen valvonnan ja riskienhallinnan järjestämistä, joiden osana sisäinen tarkastus on sopiva ja käyttökelpoinen työväline. Suomen pörssiyhtiöille on lakien lisäksi laadittu Arvopaperimarkkinayhdistys ry:n hallinnoima hallinnointikoodi, joka täydentää lainsäädäntöä ja auttaa lakien soveltamisessa. Hallinnointikoodissa on määritelty myös yhtiöiden sisäisestä tarkastuksesta.

Hallinnointikoodin tavoitteena on yhdistyksen mukaan lisätä avoimuutta, läpinäkyvyyttä ja vertailukelpoisuutta sekä hyvää hallintotapaa. Tarkoituksena on hallinnointikoodin avulla tukea suomalaisten pörssiyhtiöiden menestystä parantamalla yhtiöiden kilpailukykyä. Arvopaperimarkkinayhdistys ry:n hallitus on hyväksynyt 1.10.2015 pörssiyhtiöille julkaistun uuden hallinnointikoodin, joka on tullut voimaan vuoden 2016 alusta.

Hallinnointikoodin mukaan yhtiön on määriteltävä, miten sisäisen tarkastuksen tehtävät on yhtiössä järjestetty. Listayhtiön on lisäksi lainsäädännön perusteella annettava vuosittain selvitys hallinto- ja ohjausjärjestelmästään. Selvityksessä on kuvattava sisäisen tarkastuksen organisointi sekä sisäisessä tarkastuksessa noudatettavat keskeiset periaatteet. Lisäksi tulee kuvata sisäisen valvonnan menettelytavat ja riskienhallinnan järjestelmän pääpiirteet. Sisäinen valvonta ja riskienhallinta ovat yhtiön johdon vastuulla, mutta sisäistä tarkastusta voi hyödyntää myös näiden asioiden asianmukaisuuden varmentamiseen ja parantamaan läpinäkyvyyttä yhtiössä.

Hallinnointikoodin lisäksi sijoituspalvelu- ja rahastoyhtiöitä koskevat Finanssivalvonnan standardit käsittelevät sisäistä tarkastusta. Finanssivalvonnan rahoitussektorin standardissa 1.3 ”Luotettava hallinto ja toiminnan järjestäminen” määrätään ja ohjeistetaan sisäisen tarkastuksen järjestämisestä, tehtävistä sekä sisäisen tarkastuksen tarkastusten suunnittelusta ja raportoinnista. Standardin mukaan yhtiön ylimmän johdon on nimettävä sisäisestä tarkastuksesta vastaava henkilö siinäkin tapauksessa, että yhtiöllä ei ole erillistä ja riippumatonta sisäisen tarkastuksen toimintoa tai, jos yhtiö on ulkoistanut sisäisen tarkastuksen.

Finanssivalvonnan standardissa 4.1 ”Sisäisen valvonnan järjestäminen” käsitellään myös sisäistä tarkastusta. Standardin mukaan yhtiön on järjestettävä liiketoiminnoista riippumattomat toiminnot riskienhallinnan arviointitoiminnolle, säännösten noudattamiselle sekä sisäiselle tarkastukselle varmistaakseen, että sisäinen valvonta on tehokasta ja riittävän kattavaa yhtiössä. Yhtiön hallituksen on varmistettava, että toiminnoilla on riittävät sekä ammattitaitoiset henkilövoimavarat huomioiden yhtiöiden toiminnan laatu, laajuus ja monimuotoisuus.

Markkinoille on tullut myös kasvavassa määrin vaihtoehtorahaston hoitajia, jotka tyypillisesti hallinnoivat kommandiittiyhtiömuotoisia rahastoja tai erikoissijoitusrahastoja. Rahastot sijoittavat varansa usein erityyppiseen reaaliomaisuuteen. Myös laissa vaihtoehtorahaston hoitajista määrätään, että vaihtoehtorahastojen hoitajalla on oltava riittävät sisäiset valvontajärjestelyt. Yhdessä osakeyhtiölain säännösten kanssa tämän voidaan tulkita edellyttävän myös toiminnan laajuuteen ja monimuotoisuuteen nähden riittävän sisäinen tarkastuksen järjestämistä.

Sisäisen tarkastuksen tuomat hyödyt

Sisäinen tarkastus voidaan helposti kokea lainedellyttämäksi pakolliseksi toiminnoksi, eikä sen mahdollisuuksia edelleenkään täysin ymmärretä. Jotta sisäisestä tarkastuksesta saadaan paras mahdollinen hyöty, tulee sisäinen tarkastus järjestää ja toteuttaa suunnitelmallisesti. Tämä tarkoittaa pitkänajan suunnittelua tarkastettavista kohteista kuitenkin niin, että sisäinen tarkastus on mahdollista kohdistaa myös äkillisiin tarkastusta vaativiin osa-alueisiin.

Sisäisen tarkastuksen, ja erityisesti ulkoistetun sisäisen tarkastuksen, huomattavana hyötynä on riippumattomuus toimivasta organisaatiosta, jonka avulla sisäinen tarkastus voidaan kohdistaa yhtiössä hyvinkin arkaluoteisiin kohteisiin. Sisäisen tarkastuksen kohteeksi voidaan ottaa käytännössä melkein mikä tahansa yhtiön toiminto tai yhtiön vaikutusvallassa oleva sidosryhmä, asiakas tai toimittaja. Ulkopuolinen asiantuntija usein näkee asiat eri tavalla kuin yhtiön sisällä nähdään, jolloin sisäisen tarkastuksen on mahdollista tuoda yhtiön toimintaan ja toimintatapoihin lisäarvoa. Sisäinen tarkastus voi toimia myös esimerkiksi sisäisen valvonnan tai riskienhallinnan kouluttajana organisaatiossa ja tuoda siten organisaatioon uusia näkökulmia, ja muistuttaa sisäisen valvonnan kannalta keskeisistä asioista.

Yhtiössä työskentelevän henkilön, vaikka olisikin riippumattomassa sisäisen tarkastuksen toiminnossa, on usein hankala nostaa oman organisaation ongelmakohtia esille. Erityisesti väärinkäytöstä epäiltäessä ollaan usein yhteydessä ulkoiseen palveluntuottajaan. Lisäksi ulkoiset sisäisen tarkastuksen asiantuntijat näkevät useita erilaisia ja erikokoisia organisaatioita, jolloin asiantuntijoilla on usein myös näkemystä ja kokemusta erilaisista toimintatavoista ja niiden parhaista käytänteistä.

Hallituksen ja sisäisen tarkastuksen yhteistyö

Vaikka yhtiö olisikin ulkoistanut sisäisen tarkastuksen, tulee säädösten mukaan yhtiöllä olla sisäisestä tarkastuksesta vastuussa oleva henkilö. Jotta sisäinen tarkastus toimii mahdollisimman tehokkaasti ja yhtiötä hyödyttäen, tulee sisäisen tarkastuksen, yhtiön hallituksen tai sen tarkastusvaliokunnan sekä toimitusjohtajan välisen yhteistyön olla saumatonta. Hyvä toimintatapa on sellainen, jossa sisäinen tarkastaja tapaa hallituksen puheenjohtajan vähintään kerran vuodessa. Näissä tapaamisissa voidaan luottamuksellisesti keskustella yhtiön sisäisen valvonnan tasosta sekä kommentoida ja haastaa toimivan johdon riskiarviointiin liittyvä näkemyksiä.

Sisäinen tarkastus on parhaimmillaan hallituksen työrukkanen muun muassa riskien hallintaan ja sisäisen valvonnan riittävyyden arvioimiseen. Sisäinen tarkastus arvioi yhtiön toimintatapojen asianmukaisuutta ja tehokkuutta sekä sitä, että organisaatio ja sen jäsenet toimivat ohjeiden mukaisesti.

Sisäisen valvonnan pettäminen

Sisäisen valvonnan pettäessä pörssiyhtiössä suurena riskinä on maineriski. Usein jälkikäteen tehtävä selvittelytyö vaatii myös merkittävää ajankäytöllistä panostusta ja rahaa. Pieneltä tuntuva asia muuttuu julkisuudessa nopeasti suureksi ja yhtiöllä ei ole julkisuuteen päätymisen jälkeen useinkaan enää mahdollista vaikuttaa asian julkiseen käsittelyyn. Sisäistä tarkastusta kannattaa hyödyntää sisäisen valvonnan tukena erityisesti ennakoivasta näkökulmasta. Sisäisen tarkastuksen kustannukset ovat yhtiölle mahdollisen riskin toteutumiseen nähden hyvin pienet ja yhtiö pystyy itse korjaamaan toimintatapojaan tai niihin liittyvää ohjeistusta.

Hyvin toimiva yhtiö hyödyntääkin sisäistä tarkastusta sisäisen valvonnan toimivuuden, asianmukaisuuden ja läpinäkyvyyden arviointiin niin, että sisäinen tarkastus kohdistuu yhtiön riskialueisiin sekä kriittisiin toimintoihin jo ennen kuin mitään on tapahtunut. Sisäistä tarkastusta kannattaisikin hyödyntää yhä enemmän sellaisiin tarkastuksiin ja tarkastuskohteisiin, että yhtiön hallitus ja toimitusjohtaja voivat nukkua yönsä hyvin tietäen, että yhtiön prosessit ovat asianmukaiset ja toimivat.

Sisäisen tarkastuksen prosessi

Sisäisen tarkastuksen prosessi on asiakaslähtöinen. Kun asiakkaan kanssa on päästy sopimukseen sisäisen tarkastuksen toimeksiannosta, sisäisen tarkastuksen tarkastajat allekirjoittavat usein asiakasta koskevan salassapitositoumuksen. Yhtiön hallituksen tulee vahvistaa sisäiselle tarkastukselle toimintaperiaatteet ja menettelytavat. Hallitus myös hyväksyy sisäisen tarkastuksen suunnitelman. Suunnitelma on hyödyllisintä laatia usein useammaksi vuodeksi kerrallaan, kuitenkin niin, että se tarkistetaan vuosittain ja vuoden aikanakin, jotta mahdolliset ad hoc -tarkastukset on mahdollista toteuttaa.

Tarkastuskohteet määritellään asiakkaan kanssa yhdessä niin, etteivät tarkastuskohteet ole päällekkäisiä tilintarkastajan ja mahdollisesti muiden tahojen tekemien tarkastusten kanssa. Tarkastukset suunnitellaan, aikataulutetaan ja budjetoidaan etukäteen yhdessä asiakkaan kanssa. Tarkastussuunnitelma tehdään aina riskiperusteisesti eli tarkastusta suunniteltaessa arvioidaan, mitä mahdollisia riskejä tarkastuskohteeseen liittyy ja mitä riskien toteutuessa organisaatiolle tapahtuu. Tarkastukset aloitetaan asiakkaan kanssa pidettävällä aloituspalaverilla, jossa tarkastussuunnitelma ja aikataulu käydään läpi sekä tarkastuskohdetta tarpeen mukaan rajataan tai tarkastusta kohdistetaan määrättyihin organisaation osiin. Tarkastuksen aluksi toimitetaan asiakkaalle aineistopyyntö koskien tarkastusaiheeseen liittyvää yhtiön sisäistä ohjeistusta.

Tarkastukset koostuvat usein toimintaohjeiden läpikäynnistä, haastatteluista ja aineistotarkastuksesta. Riippuen tarkastuskohteesta, painotukset edellä mainituille vaihtelevat. Tarkastuksista laaditaan aina kirjallinen raportti, josta annetaan asiakkaalle raporttiluonnos kommentoitavaksi ennen lopullisen raportin allekirjoitusta. Tarkastushavainnot käydään asiakkaan kanssa läpi usein jo tarkastuksen aikana ja viimeistään raporttiluonnoksen antamisvaiheessa. Tarkastuskohteen vastuuhenkilöt saavat näin antaa oman mielipiteensä tarkastushavaintoihin tai johtopäätöksiin. Kommenttien antamisen jälkeen tarkastusraportti viimeistellään ja toimitetaan allekirjoitettuna asiakkaalle. Tarkastuksen lopuksi pidetään usein vielä tarkastuksen loppupalaveri toimitusjohtajan kanssa, jossa käydään lävitse tehty tarkastus, siihen liittyneet havainnot sekä raportti. Tarkastushavainnot ja -raportti esitellään myös asiakkaan niin halutessa esimerkiksi hallituksen tai tarkastusvaliokunnan kokouksessa.

KHT Janne Elo ja KTM Aki Pennanen