Sisäinen tarkastus osana Corporate Governancea
Tässä Tampereen yliopistolle tuotetun artikkelin referaattisarjassa kuvataan sisäisen tarkastuksen erityispiirteitä osana Corporate Governancea kolmessa erityyppisessä ympäristössä – finanssialalla, julkishallinnossa ja pörssiyhtiöissä. Kirjoittajat havainnoivat, kuinka lainsäädännöltään ja kulttuuriltaan erilaisissa organisaatioissa sisäisen tarkastuksen työtä toteutetaan.
Osa 1. Sisäinen tarkastus osana Corporate Governancea finanssialalla
Finanssialalla sääntely vaikuttaa vahvasti sisäisen tarkastajan työhön ja tarkastettaviin aiheisiin. Sisäisten tarkastajien työtä sääntelevät IIA:n standardien lisäksi lait ja asetukset sekä Euroopan ja kotimaisen valvovan viranomaisen suositukset ja ohjeet.
Sisäisen valvonnan ja riskienhallinnan ”Kolmen linjan malli”, joka määrittelee eri osapuolien vastuut ja velvollisuudet, on finanssialalla tyypillinen organisaation sisäinen toiminnallinen rakenne. Mallia käytetään, myös viranomaisen toimesta, valvonnallisten ja riskienhallinnallisten toimenpiteiden riittävyyden arvioinnissa.
Sisäisen tarkastuksen toiminnon perustaminen
Finanssialan lainsäädäntö, mm. laki vakuutusyhtiöistä ja luottolaitostoiminnosta, edellyttää sisäisen tarkastuksen perustamista ja kuvaa sisäisen tarkastuksen olennaisena osana hallintojärjestelmää. Sääntelyssä on lain tasolle nostettu toiminnon perustaminen ja toiminnon riippumattomuuden järjestäminen. Viranomaisohjeistus toteaa, että hallinto- ja ohjausjärjestelmän tulee olla oikeassa suhteessa toiminnon laajuuteen ja monimutkaisuuteen, ja samanaikaisesti kieltää yhdistämästä sisäisen tarkastuksen toimintoa mihinkään toiseen sisäiseen valvontatoimintoon. Sääntely korostaa näin riippumattomuuden ja objektiivisuuden tärkeyden merkitystä, myös pienten finanssialan toimijoiden osalta.
Ammattistandardien noudattaminen
Finanssialalla toimivien sisäisten tarkastajien on noudatettava toimialan sääntelyä. Euroopan pankkivalvoja ohjeistaa luottolaitosten sisäisiä tarkastuksia noudattamaan kansainvälisiä sisäisen tarkastuksen ammattistandardeja. Tarkastustoiminnan määrämuotoisuus ja hyvä laatu mahdollistavat pankkivalvojan tukeutumisen arvioinneissaan sisäisten tarkastajien työhön. Normaali osa pankkivalvojan toimintaa on perehtyä sisäisen tarkastuksen tekemien tarkastusten tuloksiin. Käytännössä pankkivalvoja on edellyttänyt, että ulkopuolinen riippumaton taho arvioi sisäisen tarkastuksen toiminnon vähintään viiden vuoden välein, kuten myös ammattistandardit edellyttävät.
Toimialan sääntelyn yhdenmukaisuus ammattistandardien yksityiskohtien kanssa helpottaa sisäisen tarkastuksen työtä. Kun eri tahojen vaatimukset ovat yhtenevät, on todennäköisempää, että sisäisen tarkastajan työssä ei tule poikkeamia ammattistandardeista ja eettisistä säännöistä, joista ammattistandardien mukaan hallitukselle raportoidaan säännöllisesti.
Sääntely ohjaa johtoa sisäisen tarkastuksen hyödyntämisessä
Sääntely ohjaa myös finanssialan yritysten johtoa, eikä vain sisäistä tarkastusta, sisäisen tarkastuksen toimintoon liittyvissä aiheissa. Sääntely edellyttää johdon huolehtivan ja valvovan, että sisäinen tarkastus raportoi merkittävistä puutteista ja riskeistä ja näiden vaikutuksista sekä toimenpide-ehdotuksista ja korjaavista toimenpidesuunnitelmista. Sisäisten tarkastajien tehtävän tavoitteet ja toteutustapa yksityiskohtineen on sääntelyn avulla tehty tiettäväksi kaikille sidosryhmille, kuten tarve saada esteetön pääsy tietojärjestelmiin, sekä kaikkien valiokuntien ja päätöksentekoelinten pöytäkirjoihin, mikä on nostettu pankkivalvojan sisäistä tarkastusta koskevaan ohjeeseen saakka. Käytännössä sääntelyn sisältämät vaatimukset johdolle helpottavat sisäisen tarkastuksen organisoinnissa ja tehtävien toteuttamisessa ammattistandardien mukaisesti.
Riskiperusteinen ja sääntelyvaatimukset sisältävä tarkastaminen
Viranomainen ohjaa – yhdenmukaisesti ammattistandardien kanssa – sisäisen tarkastuksen toimintoa varsin yksityiskohtaisesti sisäisen tarkastuksen työn toteuttamisessa. Sääntely edellyttää sisäiseltä tarkastukselta kattavuutta, esimerkiksi kaikkien konsernin yksiköiden tulee kuulua sisäisen tarkastuksen soveltamisalaan. Tarkastukset tulee kohdentaa riskiperusteisesti ja organisaation päämäärien mukaisesti, kuten ammattistandarditkin edellyttävät.
Sääntely sisältää myös vaatimuksia tiettyjen aihealueiden tarkastamiseen, joko sisäisen tarkastuksen tai muun riippumattoman tahon toimesta. Osa tarkastettavista aiheista tulee tar-kastaa säännöllisesti, esimerkiksi vähintään vuosittain. Osassa tarkastettavia aiheita on myös lueteltu, mitä kyseisen aiheen osalta on erityisesti arvioitava. Vaikka siis finanssialan sääntelyssä mainitaan riskiperusteisuus, niin käytännössä tietyt tarkastusaiheet on nostetta-va tarkastussuunnitelmaan, tarkastettava ja tarkastustulokset on raportoitava, koska sääntely näin edellyttää. Kaikki tarkastettavat aiheet eivät välttämättä ole sisäisen tarkastuksen tai tarkastettavan yhtiön riskiarvioiden perusteella kaikkein tärkeimpiä tarkastettavia aiheita, mikä saattaa olla ristiriidassa työn riskiperusteisuuden kanssa. Tämä lisää finanssialan sisäisen tarkastuksen työtä ja tarkastusten määrää.
Toisaalta on todettava, että samalla kun sääntely auttaa sisäistä tarkastusta havaitsemaan mahdollisia riskejä, se on myös nostanut tarkastamisen vaatimustason korkealle. Osaamishaasteet ovat merkittäviä esimerkiksi sisäisten mallien luotettavuuden tarkastamisessa sekä menettelytapojen vaatimustenmukaisuuden ja tehokkuuden arvioinneissa.
Sisäisen tarkastajan ammattitaitovaatimukset
Sisäiseltä tarkastajalta edellytetään tietoa, taitoa ja muuta pätevyyttä, jonka avulla hän voi tuloksellisesti suoriutua ammatillisista velvoitteistaan. Tarkastusosaamisen, finanssialan substanssiosaamisen ja hyvien vuorovaikutustaitojen lisäksi sisäisen tarkastajan pitää ymmärtää esimerkiksi digitalisaatiota, kyberriskejä, riskienhallintaa ja siihen liittyviä matemaattisia malleja, jotta laadukkailla tarkastuksilla voidaan tuottaa lisäarvoa liiketoiminnalle. Certified Internal Auditor (CIA) -tutkinnon suorittaminen ja jatkuva finanssialan substanssiosaamisen ylläpito on tärkeää laadukkaan sisäisen tarkastuksen varmistamiseksi.
Sari Ojala Sirpa Rinne
Tarkastusjohtaja, CIA, CCSA Head of IA, Vakuutusasiakkaat, CIA, CCSA