Opi aihe teoriassa ja käytännössä Maria Salmelan ja Nigel Iyerin vetämällä kurssilla Väärinkäytösten jäljillä – Fighting Fraud (24.3.2025)
Sisäinen tarkastaja on organisaation tähtipuolustaja.
Association of Certified Fraud Examiners (ACFE) paljastaa ”Occupational Fraud 2024: A Report to the Nations®” -raportissaan, että vihjeitä lukuun ottamatta sisäinen tarkastus on tehokkain yksittäinen väärinkäytösten havaitsija – tehokkaampi kuin esim. johto tai tilintarkastajat. Sisäisen tarkastuksen aktiivinen rooli näkyykin raportin perusteella pienempinä tappioina ja väärinkäytöksen lyhyempänä kestoaikana.
Paras tapa torjua väärinkäytöksiä on kuitenkin aina toimiva sisäinen valvonta ja kontrollit. Näiden kontrollien toimivuuden varmentaminen onkin sisäisen tarkastuksen ydintehtävä. Havaitsemalla kontrollipuutteita ja antamalla suosituksia niiden korjaamiseksi, sisäinen tarkastus auttaa torjumaan väärinkäytöksiä jo ennalta. Siksi kansainväliset sisäisen tarkastuksen standardit antavatkin meille tehtäväksi arvioida väärinkäytösriskiä kahdella tasolla: sisäisen tarkastuksen tulee ymmärtää ja arvioida väärinkäytösriskien hallintaa tarkastettavassa organisaatiossa kokonaisuutena, ja toisaalta samalla tunnistaa olennaiset väärinkäytösriskit jokaisessa tarkastustoimeksiannossa. Tehtävänanto on selkeä, mutta jättää toisinaan tulkinnanvaraa ja tarkastajalle pohdittavaa, miten ja mistä lähteä liikkeelle.
MISTÄ VÄÄRINKÄYTÖSTEN TORJUNTA LÄHTEE?
Väärinkäytösten torjunta sisäisessä tarkastuksessa alkaa tarkastettavan ylimmän johdon asenteesta ja suhtautumisesta (tone at the top). Siitä tarkastus etenee politiikkojen ja ohjeistusten tasolle, ilmoituskanavaprosessiin ja lopulta kovempiin kontrolleihin, kuten käyttöoikeuksiin tai automaattiseen monitorointiin. Epäilyttävien poikkeamien tai kaavamaisesti toistuvien tapahtumien havaitsemiseksi sisäinen tarkastus voi hyödyntää työkaluja, kuten Exceliä, tekoälyä tai koneoppimista. Markkinoilla on paljon erilaisia analytiikkaratkaisuja ja -ohjelmistoja, mutta paras työkalu on kuitenkin sellainen, jonka tarkastaja voi ottaa heti käyttöön jokapäiväisessä tarkastustyössään. Se voi tarkoittaa sanahakua tarkastusaineistosta, tai ilman tarvittavaa kilpailutusta käytetyn toimittajan tarkempaa tutkimista.
Toisinaan jopa kalenterin tutkiminen voi tuottaa yllättäviä tuloksia. Tällöin voidaan esimerkiksi havaita tapahtumia, jotka toistuvat ilman syytä, toteutuvat pankkipäivien ulkopuolella tai epätavallisten tilien välillä. Yhdistelemällä dataa eri lähteistä voidaan tehdä kehittyneempää analyysiä ja löytää huolellakin piilotettuja johtolankoja, joiden avulla päästä väärinkäytöksen jäljille. Alan kirjallisuus ja tutkimukset ovat pullollaan monenlaisia hälytys- tai tunnusmerkkejä (red flags). Niistä voi tarkastukseen valita parhaiten sopivat tai helpoiten toteutettavat.
Teknologiaa saa ja pitääkin standardien mukaan hyödyntää tarkastuksissa väärinkäytösriskien havaitsemiseen. Sitäkin tärkeämpää on kuitenkin sisäisen tarkastajan ammatillinen skeptisyys, uteliaisuus ja kyseenalaistava mieli. Tarkastajan vaistot kehottavat pysähtymään miettimään, jos jokin havainto on odottamaton. Löytyykö sille järkevä selitys, onko kyse yksittäisestä sattumasta, tai osasta laajempaa vyyhtiä?
Kaikkia oudolta tai väärältä tuntuvia havaintoja kannattaa tutkia lisää, joko osana tarkastuksen suunniteltua laajuutta tai yhteistyössä erityisasiantuntijan, esimerkiksi tarkastettavan organisaation oman väärinkäytösten tutkintayksikön kanssa. Vaikka väärinkäytösepäilyn tutkinta siirtyisikin tarkastajan käsistä eteenpäin, sisäisen tarkastuksen työ jatkuu edelleen: jatkamme tinkimättömästi väärinkäytösriskien tunnistamista ja arviointia, ja suosittelemme niitä ehkäiseviä, havaitsevia ja korjaavia kontrolleja yhteisessä taistelussamme väärinkäytöksiä vastaan.
MITEN ALOITTAA TEHTÄVÄ?
Mistä sisäinen tarkastaja sitten aloittaa väärinkäytösten torjunnan tärkeän tehtävänsä?
- Varmista, että väärinkäytösriskien hallinta on sisäisen tarkastuksen suunnitelmassa tarkastuskohteena. Hyödynnä IIA:n Global Practice Guidea väärinkäytösriskien hallintamallin arvioinnissa koko organisaation tasolla, mukaan lukien ylimmän johdon suhtautuminen, politiikat ja eettiset sännöt. Hyvin suunniteltu hallintamalli on kuitenkin vasta puoliksi tehty: kontrollien toimivuutta tulee testata syvemmältä.
- Huolehdi sisäisen tarkastuksen riittävästä osaamisesta ja koulutuksesta tälläkin osa-alueella. Teorian ja käytännön harjoittelun yhdistävää koulutusta on tarjolla esimerkiksi 24.3.2025 koulutuksessa Väärinkäytösten jäljillä – Fighting Fraud. Mikro-oppimiseen vaikka kahvitauolla sopii hyvin IIA:n podcast-sarja All Things Internal Audit, jossa on useampi jakso väärinkäytöksistä ja niiden huomioimisesta tarkastuksessa.
- Arvioi väärinkäytösten riskiä jokaisessa tarkastustoimeksiannossa jo sen suunnitteluvaiheessa. Mitä kontrolleja tarkastettavassa prosessissa tai organisaatiossa on käytössä, ja millaisia kontrolleja siellä pitäisi olla? Millaisia porsaanreikiä väärinkäytöksen tekijä voisi hyödyntää kiertääkseen kontrollit? Jos väärinkäytösten torjumisen kontrolleja ei ole, voi olla tarpeen testata esimerkiksi otannalla tai data-analytiikalla, onko väärinkäytöksiä mahdollisesti tapahtunut.
- Jos tarkastuksen aikana herää epäilys tai löytyy evidenssiä toteutuneesta väärinkäytöksestä, etene huolellisesti sen tutkinnan kanssa. On tärkeää tiedostaa, mihin sisäisen tarkastuksen toimivalta riittää, ja milloin tutkinta kannattaa siirtää normaalin tarkastustoimeksiannon sisältä asiantuntijalle (käytännössä organisaation omalle väärinkäytösten tutkintayksikölle) tai viranomaisille. Richard Chambers neuvoo artikkelissaan When Internal Auditors Discover Fraud, miten pitää pää kylmänä tällaisissa tilanteissa ja varmistaa väärinkäytöstutkinnan laatu ja tehokkuus.
Hämähäkkimiehen sanoin, suuri valta tuo mukanaan suuren vastuun. Sisäisen tarkastuksen tulisikin näköalapaikaltaan näyttää esimerkkiä ja kannustaa koko organisaatiota torjumaan väärinkäytöksiä. Pitämällä oman tonttinsa kunnossa jokainen meistä huolehtii myös osaltaan naapuristaan.
Maria Salmela (KTM, CIA, CISA, CAMS) työskentelee OP Ryhmän sisäisessä tarkastuksessa tarkastuspäällikkönä. Marialla on yhteensä 10 vuoden kokemus sisäisestä tarkastuksesta sekä IT-tarkastuksesta. Hänellä on useiden vuosien kokemus kouluttajana sekä OP:n sisällä että IIA:ssa. Maria on Sisäiset tarkastajat ry:n hallituksen jäsen ja koulutustoimikunnan puheenjohtaja.
➡️ Lisää aiheeseen liittyen: Kolmessa linjassa väärinkäytöksiä vastaan
➡️ Lisää aiheeseen liittyen: Palauta inhimillinen kosketus data-analyysiin