Sisäinen valvonta voidaan kuvata prosessina*), jonka avulla pyritään varmistumaan organisaation tavoitteiden saavuttamisesta. Tavoitteet voidaan ryhmitellä seuraaviin neljään luokkaan:

  • Strategiset – korkean tason tavoitteet, jotka ovat organisaation toiminta-ajatuksen mukaisia ja sitä tukevia
  • Toiminnalliset – organisaation voimavarojen tehokas ja taloudellinen käyttö
  • Raportointia koskevat – raportoinnin luotettavuus
  • Vaatimustenmukaisuutta koskevat – sovellettavien lakien ja määräysten noudattaminen.

Sisäinen valvonta käsittää kaikki ne toimenpiteet ja menettelyt, joiden avulla tavoitteiden saavuttaminen pyritään varmistamaan. Sisäiseen valvontaan kuuluvat organisaation sisäinen toimintaympäristö, tavoiteasetanta, riskienhallinta, valvontatoimenpiteet, tiedonkulku ja viestintä sekä seuranta.

Riskienhallinnalla tunnistetaan, arvioidaan ja hallitaan tavoitteiden saavuttamista uhkaavia tekijöitä.

Sisäistä valvontaa ja riskienhallintaa toteuttaa koko organisaatio, mukaan lukien hallitus, johto sekä koko henkilöstö. Vastuu sisäisestä valvonnasta ja riskienhallinnasta on kuitenkin organisaation ylimmällä johdolla. Sisäisen valvonnan ja riskienhallinnan järjestäminen on osa organisaation johtamista. Johto määrittelee toimintatavat ja ohjeet, joiden avulla tavoitteet on mahdollista saavuttaa.

Sisäinen tarkastus arvioi sisäisen valvontajärjestelmän ja riskienhallinnan tarkoituksenmukaisuutta ja tuloksellisuutta ja pyrkii siten edistämään organisaation tavoitteiden saavuttamista.

*)Kuvaus Committee of Sponsoring Organizations of the Treadway Commission (COSO) julkaiseman sisäisen valvonnan viitekehityksen mukaan. COSO on tuottanut kaksi kattavaa sisäisen valvonnan julkaisua: Internal Control – Integrated Framework sisäisen valvonnan viitekehitys ja Enterprise Risk Management – Integrated Framework.

COSO Executive Summary