Your Federal Quarterly Tax Payments are due April 15th Get Help Now >>

Sis�inen tarkastus 3 ov by 6UK6c77

VIEWS: 0 PAGES: 62

									Sisäinen tarkastus 3 ov
• LUENTOSISÄLTÖ, kevät 2007
     • KESKEISET KÄSITTEET
     • SISÄISEN TARKASTUKSEN KEHITYS
     • SISÄISEN VALVONNAN VIITEKEHIKOT
     • TARKASTUKSEN SUUNNITTELU
     • TARKASTUSMENETELMÄT
     • RAPORTOINTI
     • ASIANTUNTIJALUENNOT ( 4 kpl)
     • HARJOITUKSIA
• JAKSON SUORITUS
     • Tentti, jossa luennot ja kirjallinen materiaali
            • Kuusi kysymystä, joista kaksi voi korvata
              palauttamalla kaksi harjoitustehtävää (nimetyt)
              ennen tenttiä
1. Mitä on sisäinen valvonta
(kontrolli) ?
• Sisäinen valvonta on prosessi, jota suorittaa
  organisaation hallitus, toimiva johto ja muu
  henkilöstö saadakseen kohtuullisen
  varmuuden seuraavien tavoitteiden
  saavuttamisesta:
  – toimintojen vaikuttavuus (effectiveness) ja
    tehokkuus (efficiency)
  – taloudellisen raportoinnin luotettavuus
  – yksikköön kohdistuvien lakien ja säännösten
    noudattaminen.

  (COSO 1994, 13.)
     Mitä on sisäinen tarkastus ?
• Ylimmän johdon apuelin, joka tutkii ja arvioi sisäisen
  valvonnan ja riskienhallinnan toimivuutta ja
  parantamismahdollisuuksia
• Johto valitsee, ei omistajat/yhtiökokous
• Ei lakisääteistä sisäistä tarkastuspakkoa niin kuin
  ulkoisessa tarkastuksessa
   – Organisaation oma sisäinen tarkastus
   – Ulkoa ostettu sisäinen tarkastus
• Nuorempi ammattikunta kuin ulkoiset tarkastajat
• Laajempi tehtäväkuva kuin lakisääteisessä
  tilintarkastuksessa
   – Financial statement auditing
   – Compliance auditing
   – Operational auditing
Sisäinen tarkastus palvelee johtoa

• Jotta johto saisi   • Organisaatiossa
  kohtuullisen          noudatetaan
  varmuuden siitä,      lakeja, säännöksiä
  että:                 ja ohjeita
• Toiminnan           • Talouden ja
  resurssit ovat        toiminnan
  tehokkaassa ja        raportointi on
  vaikuttavassa         riittävää,
  käytössä              luotettavaa ja
                        ajantasaista
 2. Sisäisen tarkastuksen
 kehitys
• Alussa yrityksen laskentaosaston laajennus
  – Kirjanpidon ja erilaisten osakirjanpitojen (varastojen,
    kassojen,palkkakirjanpidon jne.) oikeellisuuden
    tarkastamista jälkikäteen.
  – Virheiden ja väärinkäytösten AKTIIVISTA etsintää
• Tehtäväkuva laajentui 70- ja 80-luvuilla
  operatiivisen toiminnan tarkastamiseen
  – sisäisen valvonnan toimivuus
  – organisaation toimintaohjeiden noudattaminen
  – resurssien tehokkaan ja tarkoituksenmukaisen käytön
    arvioiminen
 Rooli- ja tehtäväkuvan muutos 1990-
 ja 2000-luvulla
• Riskien ja riskienhallinnan arviointi
  korostui
• Johtamis- ja hallintoprosessien
  kehittäminen tavoitteeksi
  – Strategisesti tärkeät asiat etusijalle, ei”nuts
    and bolts” -lähestymistapaa
• Johdon konsultointi, lisäarvon
  tuottaminen koko organisaatiolle
Sisäisen tarkastuksen uusi
määritelmä (IIA)
 Sisäinen tarkastus on riippumatonta ja
 objektiivista arviointi- ja varmennus- sekä
 konsultointitoimintaa, jolla tuotetaan lisäarvoa
 organisaatiolle ja parannetaan sen toimintaa.
 Sisäinen tarkastus tukee organisaatiota sen
 tavoitteiden saavuttamisessa tarjoamalla
 järjestelmällisen lähestymistavan
 organisaation riskienhallinta-, valvonta- sekä
 johtamis- ja hallintoprosessien tehokkuuden
 arviointiin ja kehittämiseen.
IIA:n määritelmän painotukset
muuttuneet

• Tarkastamisesta arviointi- varmennus- ja
  konsultointitoimintaan
• Tutkimisesta lisäarvon tuottamiseen
• Auttamisen painotus jäsenestä koko
  organisaatioon
• Tehokkaaseen riskienhallintaan ja hyvän
  johtamisen ja hallinnon kehittämiseen
IIA std 2100 - TYÖN
LUONNE

• Sisäinen tarkastustoiminta arvioi
  riskienhallinta-, valvonta- sekä
  johtamis- ja hallintojärjestelmiä ja
  edistää niiden kehittämistä
IIA Std 2110 - RISKIENHALLINTA
                             •   2110 A1: Sisäisen
• Sisäisen                       tarkastustoiminnon tulee seurata ja
                                 arvioida organisaation
  tarkastustoiminnon             riskienhallintajärjestelmän
  tulee tukea                    tehokkuutta
  organisaatiota             •   2110 A2: Sisäisen
                                 tarkastustoiminnon tulee arvioida
  tunnistamalla ja               niitä organisaation johtamis- ja
  arvioimalla merkittäviä        hallintojärjestelmään, toimintoihin
                                 sekä tietojärjestelmiin liittyviä
  riskiasemia sekä               riskiasemia, jotka koskevat:
  edistää riskienhallinta-   •   taloudellisen ja toiminnallisen tiedon
                                 luotettavuutta ja eheyttä
  ja valvontajärjestelmien   •   toimintojen tuloksellisuutta ja
  kehittämistä                   tehokkuutta
                             •   omaisuuden turvaamista
                             •   lakien, määräysten ja sopimusten
                                 noudattamista
  IIA Std 2120 - VALVONTA
                               •   2120 A1: Riskiarvioinnin tulosten
                                   perusteella sisäisen tarkastustoiminnon
• Sisäisen                         on arvioitava organisaation johtamis- ja
  tarkastustoiminnon tulee         hallintojärjestelmään, toimintoihin ja
  tukea organisaatiota             tietojärjestelmiin liittyvien
  tehokkaiden                      valvontamenettelyiden riittävyyttä ja
  valvontamenettelyiden            tehokkuutta. Arvioinnin tulee kattaa
  ylläpidossa arvioimalla      •   taloudellisen ja toiminallisen tiedon
  niiden vaikuttavuutta ja         luotettavuus ja eheys
  tehokkuutta ja edistämällä   •   toiminnan tuloksellisuus ja tehokkuus
  niiden jatkuvaa              •   omaisuuden turvaaminen
  parantamista                 •   lakien, määräysten ja sopimusten
                                   noudattaminen
Professioita kuvaava piirreteoria
1. Korkealla koulutuksella hankittu
   erityistietämys
2. Oma ammatillinen järjestö
3. Julkisvallan myöntämä ja
   tutkintotodistuksilla osoitettava
   auktorisointi
4. Taloudellisesti vahva asema
5. Yleisesti hyväksytyt eettiset säännöt
 Ammattikunnan kehitysaskeleita
• IIA (Institute of Internal Auditors) perustettiin 1941
  USA:ssa
   – Eettinen ohje ja tehtäväkuvaus vuonna 1947.
• Sisäiset tarkastajat ry perustettiin Suomessa v.1956 –yli
  500 jäsentä
• IIA:n ammatilliset standardit v. 1978.
   – Suomessa käännös kokonaisuudessaan v. 1997.
• Uudet standardit vuoden 2002 alusta.
• Oma ammattitutkinto, CIA-tutkinto 1972
       • Myös erityistutkintoja:CCSA (Certification in Control Self-
         Assessment), CGAP (Certified Government Auditing
         Professional) ja CFSA (Certified Financial Services Auditor)
         etc..
Sisäisen valvonnan & tarkastuksen
nousukausi 2000-luvulla
• Sijoittajien vaatimukset pörssiyhtiöiden
  sisäisestä valvonnasta
   – Yksityisen sektorin väärinkäytökset (Enron, WorldCom,
     Parmalat, Skandia jne..)
   – Sarbanes-Oxley –laki 2002 USA:ssa
   – Pörssien suosituksen hyvästä hallinnosta ja johtamisesta
     (Good Corporate Governance), Suomessa v. 2003
• EU:n ja valtion normisto
   – EU-varojen valvontasäännöt, 8. direktiivi tarkastuksesta
   – Valtiolla talousarviolain ja asetuksen muutokset 2003-2004
      • Sisäisen tarkastuksen järjestämisvelvollisuus ja standardien
        huomioiminen (talousarvioasetus 69 a § ja 70 §)
      • Virastojohtojen sisäisen valvonnan arviointi- ja
        vahvistuslausumapakko (asetus 65 § kohta 7)
Sarbanes-Oxley –Act of 2002
• 404 Management Assessment of Internal Controls
• ..”Each annual report to contain an internal
  control report, which shall state the responsibility
  of management for establishing and maintaining
  an adequate internal control structure and
  procedures for financial reporting;
• and contain an assessment, as of the end of the
  most recent fiscal year of the issuer, of the
  effectiveness of the internal control structure and
  procedures of the issuer for financial reporting.”
Listayhtiöiden Good Governance –
suositus (joulukuu 2003, HEX,Keskuskauppakamari ja TT)
 • Suositus 49 Sisäisen valvonnan
   toimintaperiaatteet
 • Yhtiön on määriteltävä sisäisen valvonnan
   toimintaperiaatteet.
 • Tuloksellinen liiketoiminta edellyttää, että
   yhtiö valvoo jatkuvasti toimintaansa. Hallitus
   huolehtii siitä, että yhtiössä on määritelty
   sisäisen valvonnan toimintaperiaatteet ja että
   yhtiössä seurataan valvonnan toimivuutta.
Suositus 50
Riskienhallinnan järjestäminen
• Yhtiön on selostettava periaatteet, joiden mukaan
  riskienhallinta on järjestetty.
• Riskienhallinta on osa yhtiön valvontajärjestelmää.
  Riskienhallinnan avulla pyritään varmistamaan, että
  yhtiön liiketoimintaan vaikuttavat riskit tunnistetaan ja
  niitä seurataan. Toimiva riskienhallinta edellyttää
  riskienhallinnan periaatteiden määrittämistä. Yhtiön
  toiminnan arvioimiseksi on tärkeää, että
  osakkeenomistajille annetaan riskienhallinnasta
  riittävästi tietoa. Myös hallituksen tietoon tulleiden
  merkittävien riskien selostaminen on suositeltavaa.
Suositus 51 Sisäinen tarkastus
• Yhtiön on selostettava, miten
  sisäisen tarkastuksen           • Ns. Comply or Explain -
  toiminto on yhtiössä              periaatteen mukaisesti siten,
  järjestetty.                      että yhtiön tulee noudattaa
• Selostuksessa on kuvattava        suositusta
  sisäisen tarkastuksen             kokonaisuudessaan, mutta
  toiminnon organisointi ja         jos yhtiö poikkeaa
  tarkastustyössä                   suosituksesta, sen on
  noudatettavat keskeiset           ilmoitettava poikkeaminen ja
  periaatteet. Yhtiön sisäisen      poikkeamisen syy. Yhtiön on
  tarkastuksen organisointi ja      annettava
  työskentelytavat ovat             vuosikertomuksessaan ja
  riippuvaisia muun muassa          Internet-sivuillaan tieto
  yhtiön harjoittaman               tämän suosituksen
  liiketoiminnan laadusta ja        noudattamisesta.
  laajuudesta, henkilökunnan
  määrästä ja muista
  vastaavista tekijöistä.
    Asetus valtion TA:sta, 69 §
                            • 1) viraston ja laitoksen talouden ja
                              toiminnan laillisuuden ja tuloksellisuuden;
• Viraston ja laitoksen     • 2) viraston ja laitoksen hallinnassa olevien
  johdon on huolehdittava varojen ja omaisuuden turvaamisen;
  siitä, että virastossa ja • 3) viraston ja laitoksen johtamisen ja
  laitoksessa toteutetaan     ulkoisen ohjauksen edellyttämät oikeat ja
  sen talouden ja toiminnan riittävät tiedot viraston ja laitoksen
  laajuuteen ja sisältöön     taloudesta ja toiminnasta.
  sekä niihin liittyviin    • Menettelyiden on myös käsitettävä
  riskeihin nähden            viraston ja laitoksen vastattavana olevien
  asianmukaiset menettelyt varojen hoito sekä ne viraston ja laitoksen
  (sisäinen valvonta), jotka toiminnot ja tehtävät, jotka se on antanut
  varmistavat:                toisten virastojen ja laitosten, yhteisöjen
                              tai yksityisten tehtäväksi tai joista se
                              muuten vastaa.
Asetus valtion TA:sta, 70 §
• Viraston ja laitoksen johdon •    Sisäisen tarkastuksen
  on järjestettävä sisäinen         järjestämisessä on otettava
  tarkastus, jos siihen on          huomioon sitä koskevat yleiset
  perusteltua tarvetta 69 ja 69 a   standardit ja suositukset.
  §:ssä edellytettyjen sisäisen •   Määräykset sisäisen tarkastuksen
  valvonnan menettelyjen            menettelyistä ja asemasta viraston
  johdosta. Sisäisen                tai laitoksen organisaatiossa
  tarkastuksen tehtävänä on         annetaan sisäisen tarkastuksen
  selvittää johdolle sisäisen       ohjesäännössä, jonka virasto tai
                                    laitos itse vahvistaa. Sisäisen
  valvonnan asianmukaisuus ja
                                    tarkastuksen ohjesääntö on
  riittävyys sekä suorittaa         annettava tiedoksi asianomaiselle
  johdon määräämät                  ministeriölle ja VTV:lle
  tarkastustehtävät.
3. Sisäisen valvonnan
viitekehikot (mallit)
• COSO -malli 1992      • COCO -malli
  (Internal Control —   • COBIT -malli
  Integrated              tietojärjes-
  Framework)              telmätarkas-
• ERM - framework         tuksessa
  (Enterprise Risk      • INTOSAI –
  Management -            valtioiden ylimpien
  Integrated              tarkastusinstituu-
  Framework) 2004         tioiden standardit
COSO -malli (Internal Control —
Integrated Framework)
•   Koostuu viidestä komponentista
•   Control Environment
•   Risk Assessment
•   Control Activities
•   Information and Communication
•   Monitoring
INTOSAI Guidelines for Internal
Control Standards – Chapter I
• Viraston johto vastaa siitä, että sis. kontrolli on riittävää ja
  tehokasta (organisointi, seuranta ja kehittäminen)
• Kohtuullinen varmuus siitä, että johdon vastaamat
  tavoitteet saavutetaan organisaatiossa
• Varmuus siitä, että
• 1) toiminta on tuloksellista, tuotteiden/palveluiden laatu
  vastaa tavoitetta
• 2) resursseja ei haaskata/väärinkäytetä/hoideta
  virheellisesti
• 3) lakeja, määräyksiä ja johdon ohjeita noudatetaan ja
• 4) että talouden ja johtamisen informaatio on luotettavaa ja
  raportointi riittävää ja ajantasaista
INTOSAI
Yleiset standardit kontrollijärjestelmälle
 • Kohtuullinen varmuus tavoitteiden
   toteutumisesta (reasonable assurance)
 • Hlöstön asenne oltava sisäistä kontrollia tukeva
   (supportive attitude)
 • Hlöstön henkilökohtainen ja ammatillinen eheys
   ja kompetenssi riittävä (integrity & competence)
 • Yleiset kontrollitavoitteet spesifioitava eri
   toiminnoille (control objectives)
 • Johdolla velvollisuus seurata koko ajan
   kontrollien toimivuutta (monitoring controls)
INTOSAI
Sisäisen kontrollin rajoitukset (Chapter II)
• Hyväkään kontrollijärjestelmä ei ole 100 %:n este
  tehottomuudelle/väärinkäytöksille jne.
• Henkilöiden salaliitot voivat tehdä tyhjäksi
  tehtävien/valtuuksien erottamisen
• Johto voi sivuuttaa itse pystyttämänsä kontrollin
• Kontrollia suunnittelevat/toteuttavat ihmiset
  vajavaisuuksineen (väärinymmärtämiset,
  huolimattomuus jne.)
• Muutokset organisaatiossa,
  toimintaympäristössä ja johdossa voivat
  vaarantaa kontrollisysteemin toimivuutta
INTOSAI
Sisäisen kontrollin toteutus ja seuranta -
Chapter V
• Yleinen tarkastusvirasto:
  neuvoo/kouluttaa/tarkastaa
  virastojen/laitosten sisäistä kontrollia
• Yksikön johdolla perusvastuu sisäisen
  kontrollin seurannasta ja kehittämisestä
• Johto voi perustaa organisaatioonsa sisäisen
  tarkastusyksikön - tämä ei kuitenkaan
  vapauta johtoa kontrollivastuusta
Valtion tarkastusvirasto (VTV)
• VTV tarkastaa vuosittain valtion tilivirastot
• VTV rohkaisee/tukee
• virastojen sisäisen valvonnan järjestämistä
  standardien mukaan
   – INTOSAI
   – EUROSAI
   – llA, Sisäisen tarkastuksen ammattistandardit
• ja tarkastaa, miten virastojen sisäinen
  valvonta on järjestetty
Sisäisen kontrollin
komponentit (COSO)
• Valvontaympäristö (control
  environment)
• Riskien arviointi (risk assessment)
• Kontrollitoiminnat (control activities)
• Informaatio ja kommunikointi
  (information & communication)
• Sisäisen kontrollin tarkkailu
  (monitoring)
Valvontaympäristö
• Organisaatiokulttuuri - arvot, etiikka
• Hallituksen kontrollifunktio johtoon
• Johdon johtamistapa - suhtautuminen riskiin,
  valvontatietoisuus, johdon esimerkki jne.
• Kannustimet – houkutukset
• Tehtäviin vaadittava kompetenssi
• Organisaatiorakenne - desentralisaatio vs. johdon
  koordinaatio- ja tietotarve
• Vallan ja vastuun jaon selkeys/toimivuus
• Henkilöstöpolitiikka - esim. rekrytointipolitiikka
      COSO-ERM -framework
• COSO – mallin Risk Assessment
  täydennettiin kolmella
  lisäelementillä:
  –   Objective setting
  –   Event identification
  –   Risk assessment
  –   Risk response
The ERM Framework
 ERM considers activities at all levels
 of the organization:
   •   Enterprise-level
   •   Division or
       subsidiary
   •   Business unit
       processes
Objective setting
• Riskit vaikuttavat epäedullisesti
  tavoitteiden saavuttamiseen
  – Strategic objectives
  – Operations objectives
  – Reporting objectives
  – Compliance objectives
• Riskinottopolitiikka (Risk Appetite)
• Riskitoleranssi (Risk Tolerance)
Riski voi olla mahdollisuus
• Riskejä ovat myös menetetyt
  mahdollisuudet:
• jokin uusi toimintamahdollisuus -
  parantaa tuloksellisuutta tai estää
  vahingot tai väärinkäytökset taikka muu
  huono toiminta - jätetään havaitsematta
  ja hyödyntämättä.
Event identification
Potentiaalisten ulkoisten ja sisäisten
riskitapahtumien tunnistaminen

• Ulkoisia mm.              • Sisäisiä mm.
• talousympäristön ja       • tuotannontekijöiden ja
• luonnonympäristön           pääomien riittävyys
  muutokset                 • hlökuntaan liittyvät
• politiikka ja               riskit
  hallitusten               • prosesseihin liittyvät
  toimenpiteet                riskit
• sosiaaliset muutokset     • teknologiaan ja
• teknologiset                tietojärjestelmiin
  muutokset                   liittyvät riskit
Riskien arviointi
• Riskien identifiointi - ulkoiset -
  sisäiset riskit
• Riskianalyysi - riskin merkitsevyys,
  todennäköisyys ja toimenpidetarve
• Inherent risk (R)
  – Riski ilman johdon kontrollitoimenpiteitä
• Residual risk eli jäännösriski (r)
  – Riski johdon kontrollitoimenpiteiden (C)
    jälkeen: R - C = r
Risk response
• Avoidance
  – Riskiä ei oteta lainkaan
• Reduction
  – Riskin todennäköisyys ja/tai vaikutukset
    alennetaan hyväksyttävälle tasolle
• Sharing
  – Riski saadaan hyväksyttävälle tasolle siirtämällä
    sitä vakuutusten/suojaustoimenpiteiden avulla
• Acceptance
  – Riski niin alhainen että se voidaan hyväksyä ilman
    toimenpitieitä
Kontrollitoimintojen luonti
• Esim. tuloksellisuuden ja suorituskyvyn
  raportointijärjestelmät johdolle - toteutuma vs.
  suunnitelma/tavoite
• Informaation luotettavuus ja eheys - erilaiset
  sisäiset tarkistukset, ulkoiset varmennukset jne.
• Toimivaltuuksien määrittelyt ja toimintojen
  ohjeistukset
• Toimintoihin liittyvien tehtävien eriyttäminen eri
  henkilöille
• Fyysiset kontrollit - omaisuuden suojaus, atk-
  salasanat, lukot, valvontakamerat jne.
INTOSAI

Yksityiskohtaiset standardit
•   Sisäisen kontrollijärjestelmän rakenne ja transaktiot sekä
    merkittävät tapahtumat dokumentoitava (documentation)
•   Transaktiot ja merkittävät tapahtumat rekisteröitävä ja luokiteltava
    (prompt and proper recording)
•   Vain valtuutetut henkilöt saavat toimittaa em.
    transaktioita/tapahtumia (authorization & execution)
•   Transaktioiden ja tapahtumien
    valtuutusta/prosessointia/rekisteröintiä/tarkistamista koskevat
    velvollisuudet erotettava eri henkilöille (separation of duties)
•   Sisäistä kontrollia ohjattava pätevästi (supervision)
•   Pääsy resursseihin ja rekistereihin vain siihen valtuutetuille
    (access & accountability for resources & records)
•   Resurssien tilan ja rekisteritiedon vastaavuus varmistettava
Impact vs. Probability
High            Medium Risk                High Risk


 I
 M     Share                  Mitigate & Control
 P
 A                 Low Risk             Medium Risk
 C
 T
       Accept                 Control

Low                 PROBABILITY                High
Kontrollilajeja
• Ehkäisevät kontrollit     • Yleiset kontrollit
  (Preventive controls)
                               – liittyvät
• Paljastavat kontrollit
  (Detective controls)           kontrolliympäris-
• Korjaavat kontrollit           töön
  (Corrective controls)     • Erityiset kontrollit
• Ohjaavat kontrollit
                               – liittyvät tiettyyn
  (Directive controls)
                                 toimintoon
• Täydentävät kontrollit
  (Compensating controls)
Ehkäisevät ja paljastavat kontrollit -
esimerkkejä
• Laskujen asiallinen tarkastus
  ja hyväksyntä ennen                •   Tilausten ja vastaanoton
  maksatusta                             vertailu
    – Isoissa maksuissa oltava       •   K-pidon rahatilin täsmäytys
      kaksi hyväksyjää                   pankkitiliotteisiin
• Laskut täsmäytettävä               •   Ostovelkojen vertaaminen
  lähetettyjen/saapuneiden               velkojien vahvistuksiin
  tavaroiden lähetys-                •   Myyntisaamisten vertailu
  /vastaanottoasiakirjoihin              velallisten vahvistuksiin
• Asiakaslaskutuksessa               •   Varaston fyysinen tarkastus
  hintalistat                            (onko varaston arvo oikein
• Laskujen matemaattinen                 k-pidossa ?)
  numerotarkastus ennen              •   Palkanmaksun
  maksua                                 oikeellisuuden tarkastus
• Ostotilaukset vain niille, jotka       pistokokeilla
  hyväksyttyjen toimittajien
  listalla
Millainen on tehokas kontrollisysteemi ?

 • Kontrollin oltava tarkoituksenmukainen:
   – oikea kontrolli
   – oikeassa paikassa
   – oikeassa suhteessa riskiin
 • Kontrollin on oltava toimiva koko ajan
 • Kontrollin oltava kustannustehokas
Informaatio ja
kommunikointi
• Johdon tietotarve organisaation/yksikön
  tavoitteiden saavuttamisesta
• Sisäinen info
• 1) operatiivisista toiminnoista, tuotteiden laadusta jne.,
• 2) rahamääräisestä tuloksellisuudesta (laskentatoimi),
• 3) sääntöjen noudattamisesta,
• Ulkoinen info
• 4) sidosryhmien odotuksista, tyytyväisyydestä jne.
• 5) markkinoiden kehityksestä
• 6) ulkoisen sääntelyn kehityksestä jne.
 Informaatiosysteemi
• Onko informaatiosysteemiin panostettu riittävästi
  inhimillisiä ja taloudellisia resursseja
• Onko informaatiosysteemiä varten
  kehittämisstrategia
• Informaation laadun kontrollointi
   – onko tarvittava informaatio olemassa ja
     saatavissa oikeaan aikaan
   – onko informaatio viimeisintä ja onko se oikeaa
   – onko informaatio saatavissa riittävän helposti
Kommunikointi
• Työntekijöiden velvollisuuksien kommunikointi
  ylhäältä alas – ymmärtävätkö työntekijät
  valvontatarpeet, motivaatio tehdä
  valvontatoimenpiteet
• Kommunikointikanavien avoimuus, kulkeeko
  ongelmia/virheitä koskeva tieto alhaalta ylös
• Johdon responsiivisuus työntekijöiden
  ehdotuksille, miten parantaa laatua, tuottavuutta
  jne.
• Johdon ja hallituksen välinen kommunikaatio
• Kommunikaatiokanavien avoimuus/toimivuus:
  asiakkaisiin, toimittajiin, rahoittajiin, omistajiin,
  analyytikkoihin, julkisiin säätelytahoihin ja
  tarkastajiin nähden
Monitoring eli sisäisten valvonnan
toimivuuden seuranta ja tarkastus
• Johdon/vastuuhenkilöiden tekemät arvioinnit
• Henkilöstön jatkuva seuranta toimintojen yhteydessä
    – Edellytys on, että henkilöstö on sisäistänyt säännöt ja
      suorittaa kontrollivelvollisuutensa
• Organisaation ulkopuolelta tullut palaute
• Ulkoiset ja riippumattomat tarkastukset
   – Sisäisten ja ulkoisten tarkastajien välittämä tieto sisäisen
     valvonnan toimivuudesta
• Sisäisen tarkastuksen laadunvarmistus
   – Ominaisuusstandardi 1300 - Laadun varmistus- ja
     kehittämisohjelma
   – Laatuohjelman tulee sisältää sekä sisäisiä että ulkoisia
     arviointeja
4. Tarkastuksen suunnittelu
• Lähtökohtana riskiperusteinen tarkastussuunnittelu
• Termi riski tarkoittaa todennäköisyyttä, että tapahtumalla tai
  toiminnalla on haitallinen vaikutus organisaatiolle.
• Std 2010 - Suunnittelu
• Sisäisen tarkastuksen johtajan tulee laatia riskiperusteiset
  suunnitelmat, joissa sisäisen tarkastustoiminnon tehtävät
  asetetaan tärkeysjärjestykseen organisaation päämäärien
  mukaisesti
• Std 2010.A1 - Sisäisen tarkastustoiminnan
  toimintasuunnitelman tulee perustua vähintään kerran vuodessa
  tehtyyn riskiarviointiin. Organisaation johdon ja hallituksen
  näkemykset on otettava huomioon tässä suunnittelussa.
Tarkastussuunnittelu ja
riskiarviointi
• Kausikohtaiset        • Riskien arviointi on
  tarkastussuunnitel-     tehokkaan
  mat                     tarkastussuunnitte-
  (vuosisuunnitelmat      lun ratkaiseva tekijä
  tms.)                 • Riskin merkittävyys
• Tarkastusprojekti-    • Riskin
  kohtaiset               todennäköisyys
  tarkastussuunnitel-   • Vastaamismahdol-
  mat (std. 2200)         lisuudet riskiin
    Practice Advisory 2110-1: Assessing the Adequacy
    of Risk Management Processes
• The five key objectives of a risk management process
             Risks arising from business strategies and activities are identified and
              prioritized.
             Management and the board have determined the level of risks
              acceptable to the organization, including the acceptance of risks
              designed to accomplish the organization’s strategic plans.
             Risk mitigation activities are designed and implemented to reduce, or
              otherwise manage, risk at levels that were determined to be
              acceptable to management and the board.
             Ongoing monitoring activities are conducted to periodically reassess
              risk and the effectiveness of controls to manage risk.
             The board and management receive periodic reports of the results of
              the risk management processes. The corporate governance
              processes of the organization should provide periodic communication
              of risks, risk strategies, and controls to stakeholders.
Std. 2200 - Tehtävän suunnittelu
• Sisäisen tarkastajan on laadittava ja dokumentoitava
  suunnitelma jokaista tehtävää varten
• Std. 2201 - Tehtävän suunnittelussa sisäisen tarkastajan on
  otettava huomioon
   – tutkittavan toiminnon tavoitteet ja sen sisäisen valvonnan
     keinot
   – toimintoa, sen tavoitteita, resursseja ja toteuttamista
     uhkaavat merkittävät riskit ja ne keinot, joilla näiden riskien
     mahdollinen vaikutus saadaan pidetyksi hyväksyttävällä
     tasolla
   – Toiminnon riskienhallinta- ja valvontajärjestelmien riittävyys
     ja tehokkuus verrattuna tarkoituksenmukaiseen
     valvontakehikkoon tai -malliin
   – mahdollisuudet toiminnon riskienhallinta- ja
     valvontajärjestelmien merkittävään parantamiseen.
Std. 2210 - Tehtävän
tavoitteet
• Tehtävän tavoitteissa on otettava
  huomioon tutkittavan toiminnon riskit,
  valvontamenettelyt sekä johtamis- ja
  hallintoprosessit.
• Std. 2210.A1. - Suunnitellessaan tehtävää
  sisäisen tarkastajan on tunnistettava ja
  arvioitava tutkittavan toiminnon olennaiset
  riskit. Tehtävälle asetettujen tavoitteiden
  tulee heijastaa riskiarvioinnin tuloksia.
Tehtäväkohtainen työsuunnitelma (std
2240)
• Sisäisen tarkastajan on laadittava työsuunnitelma,
  jota noudattamalla tehtävän tavoitteet saavutetaan.
  Työsuunnitelma on dokumentoitava.
• 2240.A1 - Työsuunnitelmassa on kuvattava ne
  menettelyt, joita tehtävän aikana sovelletaan
  informaation hankkimisessa, analysoinnissa,
  arvioinnissa ja dokumentoinnissa.
  Työsuunnitelman tulee olla hyväksytty ennen työn
  käynnistämistä. Kaikille työsuunnitelman
  muutoksille on hankittava hyväksyminen
  viivytyksettä.
Tarkastusriskimallin (Audit Risk
Model) tarkastussuunnittelussa
• Audit Risk = Inherent Risk x Control Risk x
  Detection Risk
• Tarkennettu tarkastusriskimalli:
• AR = IR x CR x APR x TD
• APR = Risk of Analytical Procedures
• TD = Risk of Substantive Test of Details
• TD = AR /(IR * CR * APR)
• eli saadaan ratkaistua hyväksyttävä riskitaso
  (TD), joka liittyy substantiivisen testaukseen.
  Tämä hyväksyttävä riskitaso vaikuttaa siihen
  otannan kokoon, joka tehdään substantiivisessa
  aineiston testauksessa.
    5. Tarkastusmenetelmät
    Tiedonhankinta
•   Haastattelut tarkastuskohteessa
•   Tarkastuskohteen sidosryhmien haastattelut
•   Omien havaintojen tekeminen
•   Johdon raportteihin ja selvityksiin
    perehtyminen.
•   Tärkeimpien kontrollien dokumentointi
•   Vuokaaviot
•   Toiminnalliset läpikäynnit (tiettyjen
    työnkulkujen testaaminen alusta loppuun)
•   Analyyttiset tarkastusmenetelmät
Tehtävän toteuttaminen (std
2300)
• Sisäisen tarkastajan on hankittava, analysoitava,
  arvioitava ja dokumentoitava tehtävän
  tavoitteiden saavuttamisen kannalta riittävä
  informaatio.
• Std 2310 Informaation hankkiminen.Sisäisen
  tarkastajan tulee hankkia tehtävän tavoitteiden
  saavuttamisen kannalta riittävä, luotettava,
  olennainen ja hyödyllinen informaatio.
• Std 2320 Analysointi ja arviointi. Sisäisen
  tarkastajan on perustettava johtopäätöksensä ja
  tehtävän tulokset asianmukaisiin analyyseihin ja
  arviointeihin.
Analyyttiset menetelmät
Poikkeamien ja erojen (tai erojen puuttumista silloin
  kuin niitä on odotettu) löytämiseksi, jotka vaativat
  analysointia

1. Analyyttiset vertailut
    - esim. eri budjetti- ja tilinpäätöskausien vertailut toisiinsa
    - yksikön vertaaminen muihin samanlaisiin yksiköihin jne.
2. Yleinen talouden, toimialan, ja organisaatioympäristön
   kehityksen suhteutus
    - kohdeyksikön tunnuslukujen kehitys suhteessa em.
         kehitystekijöihin
3. Tunnus- suhdelukuanalyysit
    - esim. yrityksen tilinpäätöslaskelmien eri tunnuslukujen
       muutosten,           keskinäisten suhteiden analysointi
4. Regressioanalyysit
    - eri muuttujien keskinäisten riippuvuuksien tutkiminen
Kontrollien arviointi ja testaus
• 1. Sisäisen kontrollijärjestelmän rakenteen ja
  kattavuuden arviointi
• ICQ eli kontrollikyselyt, vuokaavioiden käyttö
  kontrollipisteiden arviointiin
• Kontrollimatriisit, riski-kontrollimatriisit
• Courtney Method (Sawyers et al. 1996, 431-)
• Menetyksen odotusarvon laskeminen
   – ∑(arvioitu menetys * tapahtuman i todennäköisyys ) =
     menetyksen odotusarvo
• 2. Sisäisen kontrollijärjestelmän operatiivisen
  toimivuuden arviointi testaamalla
• Testaus otannalla
Kontrollien arviointiprosessi
1) määritä kontrolloitavan toiminnan merkittävyys
2) arvioi toiminnan haavoittuvuus riskeille:
   väärinkäytöksille, tavoitteiden jäämiselle
   saavuttamatta ja lakien ja sääntöjen jäämiselle
   noudattamatta
3) identifioi ja selvitä sisäiset kontrollit
4) selvitä, mitä jo tiedetään näiden sisäisten
   kontrollien tehokkuudesta
5) arvioi kontrollidesignin riittävyys
6) määritä testauksella kontrollien toimivuus
7) raportoi arvio ja keskustele tarvittavista
   korjauksista kontrolleihin
6. Tarkastuksen tulosten
raportointi (std 2400)
• Sisäisen tarkastajan tulee raportoida työn
  tulokset viivytyksettä.
• Std 2410 Raportoinnin pääsisältö
• Raporttien tulee sisältää tehtävän tavoitteet ja
  laajuus sekä soveltuvat johtopäätökset,
  suositukset ja toimenpidesuunnitelmat.
• Std 2410. A2 Raportissa tulee antaa tunnustusta
  hyväksyttävästä toiminnasta.
• Std 2420 - Raportoinnin laatu. Raportoinnin tulee
  olla tarkkaa, objektiivista, selkeää, tiivistä,
  rakentavaa, täydellistä ja ajankohtaista.
Kehittämistoimenpiteiden seuranta
(std 2500)
• Sisäisen tarkastuksen johtajan on luotava
  järjestelmä johdolle raportoitujen tulosten
  toimeenpanon seuraamiseksi ja
  ylläpidettävä sitä.
• Std 2500.A1 - Sisäisen tarkastuksen johtajan
  tulee luoda seurantamenettelyt, joilla
  varmistetaan että johdon hyväksymät
  toimenpiteet on tehokkaasti toteutettu tai
  että ylin johto on päättänyt hyväksyä riskin
  olla ryhtymättä toimenpiteisiin.
Tarkastajan huomioitava seuraavat
seikat antaessaan suosituksia
• Ratkaiseeko suositus ongelman, kontrollipuutteen
  riskiin nähden ?
• Onko tarkastettava kykenevä toteuttamaan
  suositukset ? Onko tarkastettavalla tarpeellinen
  asiantuntemus, teknologia käytettävissään ?
• Onko suositus yhteensopiva tarkastettavan muun
  toiminnan kanssa ?
• Onko suositus kustannustehokas eli ylittävätkö
  hyödyt suosituksen toimeenpanon kustannukset ?
• Onko suositus pitkän tähtäimen vai lyhyen tähtäimen
  ratkaisu, vain hätäratkaisu ongelmaan ?
Johdon hyväksymät riskit (std
2600)
• Kun sisäisen tarkastuksen johtaja katsoo,
  että ylimmän johdon hyväksymä
  jäännösriski on koko organisaation
  kannalta liian suuri, hänen tulee
  keskustella asiasta ylimmän johdon
  kanssa. Jos asia ei ratkea näissä
  keskusteluissa, sisäisen tarkastuksen
  johtajan ja ylimmän johdon tulee
  raportoida asia hallitukselle ratkaistavaksi.

								
To top