Sisäinen tarkastus – turhaako?
”Yrityksen työntekijä kavalsi 150 000 euroa.”
”Toimitusjohtajan nimissä huijattiin yritykseltä kymmeniä tuhansia euroja.”
”Yrityksen tietojärjestelmien haavoittuvuus mahdollisti laajan tietovuodon.”
Nämä edellä mainitut otsikot ovat keksittyjä, mutta vastaavia uutisia mediassa tapaa aika useinkin. Näitä otsikoita yhdistää yksi merkittävä tekijä – se on sisäinen valvonta tai pikemminkin sen puute.
Suomalaisissa yrityksissä on vallinnut pitkään luottamuksen kulttuuri. Luottamuksella ei voi kuitenkaan korvata tehokkaita kontrolleja ja sisäistä valvontaa. Uutiset huijausyrityksistä ja väärinkäytöksistä ovat valitettavan arkipäiväisiä, mutta sisäisen valvonnan taso ei silti ole juurikaan noussut. Miksi?
Osittain varmaankin siksi, että henkilöstöresurssit ovat vähäisiä. Yhtiön johto on kiinni bisneksessä ja hallitustyöskentely pk-sektorin yrityksissä ei ole kovin järjestäytynyttä. Sisäinen valvonta ja riskienhallinta jää lapsipuolen asemaan ja ajatellaan, että kyllä se meidän tilintarkastaja löytää mahdolliset virheet. Näin ei kuitenkaan ole. Tilintarkastajan ensisijainen tehtävä ei ole etsiä väärinkäytöksiä vaan tarkastaa, että tilinpäätös antaa oikean ja riittävän kuvan.
Mitä on sisäinen tarkastus?
Sisäinen tarkastus on osa yhtiön sisäistä valvontaa. Sisäinen tarkastus toimii itsenäisesti yhtiön johdon asettamien tavoitteiden mukaisesti ja raportoi hallitukselle ja toimitusjohtajalle. Sisäinen tarkastus on erinomainen työkalu hallitukselle, joka ei välttämättä ole yrityksen päivittäisessä toiminnassa mukana.
Sisäistä tarkastusta voidaan ajatella myös erillisenä projektina. Sen ei varsinkaan pk-sektorin yrityksissä tarvitse olla vuodesta toiseen jatkuva toiminto, jota pakon vuoksi tehdään, vaan sen tulisi olla keskittynyt juuri kyseisen yrityksen riskienhallinnan painopisteisiin.
Sisäisen tarkastuksen voi ostaa myös palveluna yrityksen ulkopuolelta. Näin saadaan myös ulkopuolisten arvio ja suositukset yrityksen riskienhallinnan tasosta.
Mihin sisäistä tarkastusta voi hyödyntää?
Sisäistä tarkastusta käytetään yleensä silloin, kun jotakin on jo sattunut. Sisäisen tarkastuksen tehtäväksi jää jälkikäteen selvittää, miksi näin kävi ja tämän perusteella antaa suosituksia, miten vastaavat esimerkiksi väärinkäytökset voitaisiin estää.
Sisäinen tarkastus ei kuitenkaan tarkoita pelkästään väärinkäytösten tai virheiden etsimistä, vaan se voi olla myös ennaltaehkäisevää valvontaa ja prosessien läpikäyntiä. Itseasiassa sisäisen tarkastuksen tulisi katsoa juuri eteenpäin. Tällaisen ennalta ehkäisevän tarkastuksen kautta yrityksen johto saa suosituksia toimintatapojen parantamiseen, jotta esimerkiksi väärinkäytöksiltä ja huijauksilta vältyttäisiin tai että yrityksen tietoturva on ajan tasalla.
Sisäinen tarkastus nähdään usein myös turhana kustannuksena, koska yrityksessä tiedetään ja tunnetaan omat prosessit ja työntekijät. Mutta miksi sitten väärinkäytöksiä tapahtuu? Haastaisinkin yritysten johtoa pohtimaan, että kumpi on suurempi kustannus: jälkikäteen havaittu väärinkäytös (tai pahimmassa tapauksessa havaitsematon väärinkäytös) ja sen selvittely vai ennalta ehkäisevä riskienhallinta, johon osana kuuluu sisäinen tarkastus?
Kirjoittaja Mari Pöytäkangas on TietoAkseli Yhtiöihin kuuluvan tilintarkastusyhtiö TietoAkseli Auditin tilintarkastuspalveluiden johtaja ja KHT-tilintarkastaja. Hänellä on kokemusta sisäisen tarkastuksen sekä sisäisen valvonnan projekteista niin yksityisten yritysten kuin julkishallinnonkin parista.