PwC:n Catherine Jourdan esitteli IIA:n syysseminaarissa sisäisen valvonnan työkalun, joka sopii ammattilaisen käteen. Hallitukselle ja ylimmälle johdolle pitää räätälöidä yrityskohtaiset ja liiketoimintaan sopivat välineet.
Yritysten riskitietoisuus on globaalin talouskriisin kurimuksessa kasvanut, ja hallitukset haluavat kontrolloida tavoitteita ja tulosta uhkaavat riskit entistä paremmin. Riskien hallintaan kuuluvasta sisäisestä valvonnasta pitäisi tehdä olennainen osa liiketoimintaa ja johtamista. Ammattilaisilla riittää tietoa ja taitoa, ja omat työvälineet ovat huippukunnossa. Nyt on innovaatioiden aika.
Tuija Soanjärvi on Keskuskauppakamarin tilintarkastuslautakunnan ja seitsemän yrityksen hallituksen jäsen. Hän johtaa tarkastusvaliokuntaa kolmessa näistä yrityksistä ja on jäsenenä kahdessa. Hallitustyön lisäksi Soanjärvellä on vuosikymmenten kokemus talous-, rahoitus- ja tarkastustehtävistä. Hallitusammattilaisen ohjeet sisäisen valvonnan ammattilaisille ovat selvät.
– Sisäistä valvontaa pidetään usein hallinnollisena pakkopullana, joka vie aikaa strategisilta asioilta. Jos asia vielä esitetään monimutkaisesti ja outoja ammattitermejä käyttäen, hallitus kokee sen liiketoiminnasta erillisenä teknisenä harjoituksena ja vieraana itselleen. Keep it simple, neuvoo Soanjärvi.
Yksinkertaisesta ja selvästä asiasta on helppo tehdä monimutkainen ja vaikeaselkoinen. Päinvastainen sen sijaan on vaikeaa. Soanjärven mukaan tätä kuitenkin odotetaan.
Catherine Jourdan, joka johtaa riskienhallinnan ja liikkeenjohdon konsultoinnin yksikköä PwC:llä Ranskassa, oli keskeisessä roolissa sisäisen valvonnan viitekehyksen COSOn uudistamisesta vastanneessa työryhmässä. Hän on samaa mieltä Soanjärven kanssa.
– COSO on yleispätevä, kattava ja monitahoinen työkalu sisäisen valvonnan ammattilaisille. Yksinkertaiseksi sitä ei voi kutsua, eikä sitä sellaiseksi ole tarkoitettukaan. COSO ei sellaisenaan sovi toimivan johdon tai hallituksen pöydälle. Heille pitää räätälöidä liiketoimintaan sopivat välineet, painottaa Jourdan.
Myös COSOn johdon yhteenveto – Executive Summary – on Soanjärven mielestä liian abstrakti ja vaikeaselkoinen. Hän pelkää pahoin, etteivät kiireiset hallitusammattilaiset ehdi siihen paneutua.
Kontrolli kohti nykyaikaa
COSOn ensimmäinen versio esiteltiin yli kaksikymmentä vuotta sitten Yhdysvalloissa. Vasta kymmenen vuotta myöhemmin – Enronin kirjapito- ja tilintarkastusskandaalia seuranneen SOX-sääntelyn myötä – viitekehikon laajalle käytölle syntyi otollinen tilaisuus. SOX velvoittaa arvioimaan sisäisen valvonnan tilan systemaattisesti, ja COSO sopii tar- koitukseen hyvin.
– SOX oli aikanaan toimiva tuote, mutta nyt se on monilta osin vanhentunut. Voidaan perustellusti kysyä, kontrolloiko SOX oikeita asioita, oikeaan aikaan ja oikealla yksityiskohtatasolla, pohtii Jourdan.
Uudistunut COSO pyrkii päivittämään kontrollit nykyaikaan.
– Tällä kertaa uudistuksen ajurina ei ollut sääntely, vaan tarve lähti käyttäjistä ja toimintaympäristön muutoksesta, kertoo Jourdan.
Hän uskoo myös, että talouskriisin opetukset, sekä epäonnistumiset että onnistumiset, haluttiin huomioida. Jourdanin kokemuksen mukaan yritysten kriisien taustalta löytyy aina epäonnistumisia riskien tunnistamisessa ja kontrolleissa.
– Erityisesti tuote- ja palveluvalikoimaan, markkinoihin ja korruptioon liittyvien riskien puutteellinen hallinta voi johtaa vakaviin seurauksiin, hän kertoo. Nämä asiat kuluvat organisaation ylimmän johdon agendalle.
Globaali talouskriisi herätti myös sijoittajat ja hallitukset, jotka nyt pitävät riskien hallintaa liiketoiminnan ja strategian osana. Soanjärven mukaan riskityötä vierastettiin vielä muutamia vuosia sitten, mutta nyt tilanne on toinen.
– Hallitukset tiedostavat hyvin vastuunsa myös sisäisestä valvonnasta, ja osaavat sitä tarvittaessa vaatia, Soanjärvi jatkaa.
Neljä tarkastelutasoa
Sisäisen tarkastuksen kattojärjestöä joh-tava Richard Chambers oli COSOn uudistamisessa mukana. Balanssin numerossa 3/2013 hän kertoi tutkimuksista, joiden mukaan pörssiyhtiöiden nopean arvonlaskun yleisin syy on strategisten riskien realisoituminen. Strategian pitäisi siis olla tärkeässä roolissa myös sisäisessä valvonnassa.
Strategiaa ei kuitenkaan mainita COSOn kuutiossa, johon on visualisoitu sisäisen valvonnan keskeiset osa-alueet, periaatteet ja tarkastelutasot. Strategiaa ei silti uudistuksessa unohdettu, vakuuttaa Jourdan.
– Pyrimme minimoimaan COSOn päivityksen vaikutukset COSO-ERM -mallia käyttävien organisaatioiden riskityöhön.
Strategia päätettiin siksi jättää COSO- ERM -malliin, jossa COSOn kolmen tarkastelutason lisäksi on neljäs eli strateginen. Muut kolme ovat molemmissa malleissa samat: toiminnallinen, raportoinnin ja vaatimuksenmukaisuuden taso.
Muitakin eroja malleissa on. Näistä olennaisin lienee se, että riskien hallinta on kokonaisvaltaista ja strategialähtöistä: COSO-ERM-mallissa keskiössä on yrityksen arvoprosessi. COSOssa sisäistä valvontaa taas tarkastellaan yksittäisen toiminnallisen tavoitteen tai prosessin näkökulmasta, hyvin yksityiskohtaisesti ja tarkasti.
Tämä riskien hallinnan ja sisäisen valvonnan kahtiajako ei helpota asian yksinkertaistamista ja viestintää eri organisaation tasoilla.
Tarvitaan siis lisää työtä ja innovaatioita, jotta monimutkaisesta saadaan yksinkertainen, kuten Soanjärvi toivoo. Ja jotta omistajien ja hallituksen tilaus saadaan toimitettua perille. Richard Chambersin sanoin, sisäisen valvonnan kultainen hetki on nyt.