Sisäinen valvonta on ohjauksen ja johtamisen osa-alue, jonka osaaminen on ammattitaitoa ja arvokasta aineetonta pääomaa. Sisäistä valvontaa voi verrata rakennuksen kantaviin osiin: kun ne ovat kunnossa, rakennus pysyy pystyssä. Toki muutakin tarvitaan.
Ei vakoilua vaan normaali osa johtamista
Uhkaavan sävyisestä nimestään huolimatta sisäinen valvonta ei ole poliisi- ja vakoilutoimintaa, vaan se on normaali osa johtamiseen sisältyvää ja johdon ammattitaitoon kuuluvaa osaamisaluetta. Toki kaikissa muissakin työtehtävissä tarvitaan valvontaa ennen kuin tehtävä on kokonaisuudessaan suoritettu. Yhtiöissä ja muissa organisaatioissa, joissa toimii useita henkilöitä, valvontaa sisältyy muodossa tai toisessa kaikkien toimijoiden työnkuvaan. Koska ylin johto kuitenkin on vastuussa laajasti koko organisaatiosta ja sen toiminnan kokonaisuudesta, on heillä myös suurin ja laajin vastuu valvonnan toteutumisesta. Näin siitäkin huolimatta, että tietyt ulkopuoliset toimijat auttavat omalta osaltaan sisäisen valvonnan toteutumisessa.
Laajemmin ajateltuna sisäinen valvonta ja sen toimivuus ovat tärkeitä niin yhteiskunnallisesti – arvopaperimarkkinoiden toimivuus, yhtiöiden selviäminen muutoksissa ja työpaikkojen pysyvyys, omistajien ja velkojien turva jne. – kuin yksittäisen yhtiön näkökulmastakin. Esimerkiksi arvopaperiyhdistyksen mukaan tuloksellinen liiketoiminta edellyttää, että yhtiö ohjaa ja valvoo toimintaansa jatkuvasti [1]. Hallituksen tehtävänä on huolehtia siitä, että yhtiössä on määritelty sisäisen valvonnan toimintaperiaatteet ja että yhtiössä seurataan ohjauksen ja valvonnan toimivuutta.
VALVONTA VOI VARMISTAA STRATEGIAN, TOIMINNAN, KÄYTÄNTÖJEN JA TALOUDEN RAPORTOINNIN TAVOITTEIDEN SAAVUTTAMISEN
Selvää on, että muukin tavoitteellinen toiminta, ei vain rahallista voittoa tavoitteleva, tarvitsee sisäistä valvontaa. Tämä tarkoittaa samaa kuin erään johtamisoppaan [2] sanonta ”ainoa, mitä ei voi missään tilanteessa hylätä, on terve järki”. Osaaminen tässä suhteessa, samoin kuin sisäisen valvonnan ammattitaitokin, on arvokasta aineetonta pääomaa, sillä sisäisellä valvonnalla pyritään varmistamaan, että yhtiön tavoitteet liittyen esimerkiksi strategiaan, toimintaan, käytäntöihin ja taloudelliseen raportointiin saavutetaan ja että lakeja ja määräyksiä noudatetaan [3]. Sisäinen valvonta on olennainen ja tärkeä osa hyvää hallintoa (corporate governance).
Valvonta voi myös onnistua, epäonni vie otsikoihin
Vaikka media on viimeisen kymmenen vuoden aikana nostanut esille monta epäonnistunutta yhtiötä valvonnan saralla, on onnistujiakin paljon. Erityisesti on niitä suuria organisaatioita, jotka ovat onnistuneet pitkällä työllä säilyttämään osaamisen ja hyvät menettelytavat organisaatiossaan vuosikymmenten ajan ja selviämään muun muassa niiden avulla vaikeista kausista. Vaarana kun nykyisin on muun ohella se, että mikä ensimmäisellä kvartaalilla opittiin, häviää seuraavalla tai viimeistään seuraavana vuonna johdon ja muun henkilöstön vaihtuessa ja/tai suuren määrän osaajia poistuessa organisaatiosta kertaheitolla. Pyörää voi toki keksiä aina uudelleen, mutta silloin jäädään pahasti jälkeen, kuten viestijuoksussa kapulan pudotessa. Eikä tilannetta useinkaan paranna se, että joku kylläkin kirjoitti muistiin, miten tulee menetellä, sillä tilanteet muuttuvat. Avuksi tarvitaan syvempää asian ja yrityskulttuurin osaamista sekä valvontakulttuuriin sisäistettyjä toimintatapoja.
MIKÄ ENSIMMÄISELLÄ KVARTAALILLA OPITTIIN, HÄVIÄÄ SEURAAVALLA, KUN OSAAJAT POISTUVAT ORGANISAATIOSTA
Sisäisen valvonnan käsitettä voi havainnollistaa vaikkapa vertaamalla sisäistä valvontaa rakennuksen kantaviin osiin: kun kantavat osat ovat kaikin puolin kunnossa, rakennus pysyy pystyssä. Terve pääomarakenne voisi esimerkissä toimia rakennuksen perustuksina. Huonoilla perustuksilla ja tuhoamalla kantavia rakenteita voi romahduttaa rakennuksen, kun taas tuntemalla syvällisesti niiden merkityksellisyyden ja toiminnan, voi onnistua laajoissakin muutos- ja korjaustoimenpiteissä.
Valvontaa on vaikea sanoittaa
Sisäisen valvonnan puutteesta ja asian ymmärtämisen vaikeudesta huolestuneet tahot, the Treadway Commission, sisäisten tarkastajien, tilintarkastajien, talousjohtajien ja muiden talouden ammattilaisten pääjärjestöt kehittivät jo 1990-luvulla yhteisen mallin, jonka avulla kuvataan sisäisen valvonnan käsitettä ja toteutusta [4]. Mallia on sittemmin kehitetty eteenpäin ja etenkin riskienhallinnan osuutta korostettu. Malli tunnetaan nykyisin nimellä COSO-ERM [5].
Mallin mukaan sisäinen valvonta koostuu seuraavista osatekijöistä, joiden tulee ulottua organisaation kaikkiin osiin:
– sisäinen (valvonta)ympäristö
– tavoitteenasettelu
– riskienhallinta (tapahtumien tunnistaminen, riskien arviointi, riskeihin vastaaminen)
– valvontatoimenpiteet
– tieto ja viestintä
– seuranta.
Organisaatiolla tulee olla strategia, joka viitoittaa toimintaa haluttuun suuntaan. Toiminnan tulee olla tehokasta, taloudellista ja tarkoituksenmukaista. Raportoinnin tulee olla oikea-aikaista, asiaankuuluvaa ja luotettavaa. Sääntöjen noudattaminen (compliance, vaatimustenmukaisuus) kattaa asiaankuuluvien lakien, asetusten ja muiden normien, strategian, suunnitelmien ja sisäisten toimintaohjeiden noudattamisen.
Muitakin malleja on kehitetty, ammattikunnittain, maanosittain ja maittain, mutta COSO-ERM mainitaan usein yleisesti tunnetuimmaksi malliksi. Lisäksi erityisesti tietojärjestelmien hallinnon ja johtamisen valvontaa on määritelty ns. Cobit-mallissa [6,7).
Hallituksen rooli on laaja ja vastuullinen
Kuten alussa todettiin, valvontaa tulisi sisältyä kaikkeen tekemiseen ja siitä seuraa, että kaikilla toimijoilla organisaatiossa on roolinsa sisäisen valvonnan toteutumisessa. Seuraavassa otan esille vain joitakin sisäisen valvonnan kokonaisuuden kannalta tärkeitä ja olennaisia toimijoita.
Arvopaperiyhdistyksen ohjeessa todettiin hallituksen huolehtivan siitä, että yhtiössä on määritelty sisäisen valvonnan toimintaperiaatteet ja että yhtiössä seurataan ohjauksen ja valvonnan toimivuutta. Hallituksella on siis laaja ja vastuullinen rooli sisäisen valvonnan kokonaisuudesta. Hallituksen alaisuudessa muu johto, toimitusjohtajan johdolla, vastaa kukin oman vastuualueensa puitteissa sisäisen valvonnan toteutuksesta. Tämä vastuu ja tekeminen on luonteeltaan sisäisen valvonnan kannalta ensisijaista ja sen voidaan ajatella muodostavan valvonnan ensimmäisen puolustuslinjan (kuva alla) [7].
Kuva kolmesta puolustuslinjasta esittää hyvin valvonnan toteutumisen ja eri toimijoiden ”läheisyyden” sisäisen valvonnan jokapäiväiseen toiminnassa organisaatiossa. Toisessa puolustuslinjassa on erityinen roolinsa niin talousjohtajalla, turvallisuusjohtajalla, riskienhallinnan johtajalla ja muilla vastaavilla ammattilaisilla, jotka tarkastelevat asioita läpi koko organisaation, mutta oman aihealueensa näkökulmasta.
SISÄISEN TARKASTUKSEN TULEE ARVIOIDA KOKO ORGANISAATION SISÄISTÄ VALVONTAA, RISKIENHALLINTAA SEKÄ JOHTAMIS- JA HALLINTOPROSESSEJA
Sisäinen tarkastus kuuluu kolmanteen puolustuslinjaan. Sisäinen tarkastus analysoi ja arvioi sisäistä valvontaa aika ajoin, ei jatkuvan jokapäiväisesti, kuten ensimmäisen puolustuslinjan toimijat. Toisaalta sisäisen tarkastuksen arviointitehtävät kattavat koko organisaation kuten myös toisen puolustuslinjan toimijoiden, mutta sillä laajennuksella, että sisäisen tarkastuksen tulisi arvioida koko organisaation toiminnan sisäistä valvontaa, riskienhallintaa sekä johtamis- ja hallintoprosesseja.
Ulkopuolisista toimijoista kannattaa tässä yhteydessä mainita erityisesti tilintarkastajat sekä viranomaiset ja viranomaistarkastajat, jotka oman ammattialueensa puitteissa arvioivat organisaation toimintaa ja myös valvonnan toimivuutta; tilintarkastajat kirjanpidon, tilinpäätösten ja hallinnon osalta.
Lähteitä
[1] Hallinnointikoodi 2015, Arvopaperimarkkinayhdistys ry
[2] Zen-oppitunteja johtajille, Thomas Cleary, Basam Books, 2010.
[3] Hallinnointikoodi 2015, Arvopaperimarkkinayhdistys ry
[4] COSO verkkosivut
[5] COSO on lyhenne sanoista Committee of Sponsoring Organizations of the Treadway Commission. ERM taas sanoista Enterprise Risk Management
[6] ISACA verkkosivut
[7] Cobit on lyhenne sanoista Control Objectives for Information and Related Technology
[8] IIA Position Paper: The three lines of defense in effective risk management and control, 2013