Lakiblogi

Kysymykseen on lyhyt vastaus, jos sääntely tai toimialan omat käytännöt sitä edellyttävät yritykseltä, koska tällöin sisäisen tarkastuksen tarpeellisuus osana yrityksen riskienhallinnan kokonaisuutta on jo arvioitu välttämättömäksi yleisen edun ja myös usein yksityisen edun kannalta. Erityisesti rahoitusalalla, vakuuttamisessa, lääketeollisuudessa, pörssilistatuissa yhtiöissä ja julkisella sektorilla on erilaisia vaatimuksia sisäisen valvonnan ja riskienhallinnan järjestämisestä sisältäen myös sisäisen tarkastuksen. Tällöin sisäinen tarkastus on säädetty pakolliseksi, mutta organisaatioille on annettu mahdollisuus riskiperusteisesti määritellä, miten sisäisen tarkastuksen asema, tehtävät ja tarkastustoiminta on tarkoituksenmukaista toteuttaa.

Edellä lueteltujen toimijoiden lisäksi on siten lukuisa määrä erityisesti pk-sektorin yrityksiä, joilla ei ole lakisääteistä velvoitetta sisäisen tarkastuksen järjestämiseen. Yrityksellä voi kuitenkin olla käytössä yleisesti käytettyjä standardeja, joissa edellytetään sisäisen tarkastuksen käyttämistä. Esimerkiksi ISO standadeissa 9001 ja 27001 sekä Consolidated GRI standardissa on vaatimuksia sisäisestä tarkastuksesta, jolloin tarkoituksena on arvioida ainakin standardien vähimmäisvaatimusten noudattamista, vaikka eri standardeissa on usein mukana myös toiminnan kehittämisnäkökulma, jota sisäinen tarkastus voi tukea omalla tarkastustoiminnallaan.

Otsikossa mainittua kysymystä voi myös tarkastella esimerkiksi sisäisten tarkastajien oman kattojärjestön IIA:n (The Institue of Internal Auditors) määritelmän kautta, jos yrityksellä ei muuten ole velvoitetta sisäisen tarkastuksen käyttämiselle:

”Sisäinen tarkastus on riippumatonta ja objektiivista arviointi- ja varmistus- sekä konsultointitoimintaa, joka on luotu tuottamaan lisäarvoa organisaatiolle ja parantamaan sen toimintaa. Sisäinen tarkastus tukee organisaatiota sen tavoitteiden saavuttamisessa tarjoamalla järjestelmällisen lähestymistavan organisaation riskienhallinta-, valvonta- sekä johtamis- ja hallintoprosessien tehokkuuden arviointiin ja kehittämiseen.”

Riippumaton

Määritelmästä käy selkeästi ilmi, että sisäisen tarkastuksen tehtävänä on tukea yrityksen liiketoimintaa ja muita toimintoja tarkastuksilla, jotka parantavat yrityksen mahdollisuuksia päästä tavoitteisiinsa. Otetaan tämä sisäisen tarkastuksen tehtävä tarkemmin luupin alle ja katsotaan ensimmäiseksi määritelmässä ollutta kriteeriä ”riippumaton”.

Riippumattomuus on usein nähty ulkopuolisena näkökulmana yrityksen liiketoiminnoista ja mahdollisesta muusta sisäisestä valvonnasta ja riskienhallinnasta. Käytännössä liiketoimintayksilöillä on vastuu yrityksen tavoitteiden toteutuksessa ja riskienhallinnassa. Tämän ensimmäisen puolustuslinjan apuna toimii yrityksen riskienhallinta, jolla on riittävää osaamista riskienhallinnasta ja se voi tarjota liiketoiminnalle apua riskiarvioinneissa, riskienhallintamenetelmissä ja ylipäänsä vaihtoehtoisten toimintatapojen arvioinneissa. Sisäisen tarkastuksen asema kolmantena riskienhallinnan puolustuslinjana onkin siten arvioida, miten liiketoimintayksiköiden ja riskienhallinnan toiminta kokonaisuutena auttaa yritystä riskienhallinnassa ja samalla tavoitteiden saavuttamisessa.

Sisäistä tarkastusta tekevä henkilö ei osallistu tarkastettavan toimintaan ja pyrkii eri tavoin arvioimaan, miten tehokkaasti liiketoiminta tai riskienhallinta toimii yrityksen tavoitteiden kannalta. Kriteereinä tässä ulkopuolisessa arvioinnissa voi olla nykyisen ja tulevan sääntelyn noudattaminen, toimialan hyvät käytännöt, yleisten standardien noudattaminen (mm. ISO), yrityksen omat sisäiset ohjeet sekä riskiarviot tai tapauskohteisesti myös muut vertailukohteet. Tärkeä näkökulma tarkastusten suunnittelussa on näiden kriteerin valinta yrityksen omista lähtökohdista yhdessä yrityksen ylimmän johdon kanssa siten, että tarkastus auttaa yrityksen sekä nykyistä että tulevaa riskienhallintaa ja samalla parantaa mahdollisuutta päästä yrityksen johdon asettamiin tavoitteisiin.

Toinen näkökulma riippumattomuudelle on sisäisen tarkastuksen raportointi yrityksen johdolle, hallitukselle tai tarkastusvaliokunnalle, koska näillä on paras mahdollisuus arvioida, miten tarkastuksessa annettuja suosituksia ja toimenpide-ehdotuksia voidaan toteuttaa tai jättää toteuttamatta. Tämä ei kuitenkaan tarkoita, että sisäinen tarkastus ei tekisi yhteistyötä liiketoiminnan ja riskienhallinnan kanssa, koska tätä yhteistyötä tarvitaan aina, jotta tarkastuksista saadaan paras hyöty yritykselle. Tarkoituksena raportoinnin keskittämisellä ylimmälle johdolle on enemmänkin välttää tilanteita, joissa sisäinen tarkastus osallistuu toimintaan, joka ei kuulu sisäisen tarkastuksen tehtäviin. Tiivistäen voi sanoa, että sisäinen tarkastus ei voi antaa suoraan suosituksia niille toiminnoille, joita se myöhemmin tarkastaa.

Objektiivisuus

Objektiivisuus voidaan ymmärtää tarkastusten tekemistä puolueettomasti (tasapuolisesti), jolloin tarkastajalla ei ole mitään intressiä suosia jotain osapuolta ja erityisesti tarkastajalla itsellään tai tarkastajan lähipiirillä ei ole mitään etua tai haittaa tarkastettavassa kohteissa. Tarkastajan mahdollinen eturistirita voi esiintyä tarkastustoimeksiannossa, tarkastettavassa liiketoiminnassa tai jossain yksittäisessä yrityksessä.

Tarkastajan objektiivisuuteen liittyy myös näkökulma, että tarkastuksessa käytettäviä tietoja arvioidaan vilpittömästi eikä ulkopuolisten mielipiteiden anneta vaikuttaa tähän arvioitiin. Vilpittömästä mielestä on hyvä tarkentaa, ettei sen tarkoitus ole sulkea pois sitä, että tarkastaja kuuntelee liiketoiminnan ja riskienhallinnan näkemyksiä tarkastettavista asioista. Tarkastajan tuleekin kriittisesti arvioida, miten perusteltuja nämä mielipiteet ovat ja tarvittaessa tuotava sitten raportoinnissa esille sekä näitä mielipiteitä puoltavat tai niitä vastaan puhuvat perustelut.

Objektiivisuus tarkoittaa myös, että tarkastusraporteissa tulee antaa tietoa, miltä osin tarkastettava toiminta on toiminut hyvin ja miltä osin toiminnassa voi olla kehittämiskohteita. Toisinaan sisäiseen tarkastukseen liitetään negatiivinen sävy, koska tarkastukset nähdään pelkästään virheiden ja syyllisten etsimisenä. Tällaisissa tilanteissa tarkastaja tai tarkastusraportin käyttäjä voisi katsoa peiliin ja arvioida uudelleen, miten tarkastuksia ja niiden tulosten hyödyntämistä voi parantaa, jotta tarkastuksissa annetaan myös kunnia niille, joille se kuuluu hyvin tehdystä työstä. Tämä posiitiivisen palautteen antaminen palvelee hyvin myös seuraavaksi käsiteltävää Tarkastusten tavoitteita.

Tarkastusten tavoitteet

Sisäinen tarkastus ja sen tekemät tarkastukset antavat parhaassa tapauksessa yritykselle lisäarvoa, parantavat yrityksen liiketoimintaa tai riskienhallinta ja auttavat siten yrityksen tavoitteiden saavuttamisessa. Päinvastaisessa tilanteessa tarkastustoiminnasta syntyy vain kustannuksia ja ylimääräistä työtä, jos tarkastusten tavoitteita, toteutusta tai molempia ei ole sidottu yrityksen muihin tavoitteisiin.

Sisäisen tarkastuksen oman toiminnon perustaminen yritykseen on käytännössä mahdolista ja tarpeellista vain pk-sektorin isoimmille ja sitä suuremmile yrityksille, koska sisäisen tarkastuksen resurssointi ja yhdistäminen yrityksen organisaatioon vaatii rahan lisäksi aikaa ja henkilöstöresursseja. Tämä vaihtoehto antaa tosin sisäiselle tarkastukselle jatkuvuutta, osaamista ja tietoa yrityksestä, jolloin tarkastuksien suunnittelussa ja toteutuksessa voidaan hyödyntää tätä ”hiljaista tietoa” hieman helpommin kuin, jos sisäisen tarkastuksen palvelu on ostettu ulkopuoliselta asiantuntijayhtiöltä. Ulkoistetun palvelun etuna on puolestaan resurssien sitominen vain niihin tarkastuksiin, joita yhtiön johdossa pidetään tarpeellisena toteuttaa satunnaisesti tai muuten rajoitetusti. Molemmissa tarkastusten toteuttamistavoissa on sekä hyviä että huonoja puolia, jotka on hyvä listata, kun pohditaan, mitä tavoitteita sisäiselle tarkastukselle asetetaan.

Oli sisäinen tarkastus sitten yrityksen oma toiminto tai ulkoa ostettu palvelu, niin tavoitteissa on päätettävä tarkastuksen luonteesta, joka ohjaa sitten tarkastuksen toteutustapaa. Arvioinneissa voidaan esimerkiksi ottaa kantaa siihen, että miten yrityksen riskienhallinta, myynti tai muu toiminto on järjestetty ja miten toiminto toimii myös käytännössä. Arviointi voidaan tehdä jotain ulkopuolista tai yrityksen sisäistä kriiteeristöä vastaan käyttäen myös otoksia. Varmistuksissa on puolestaan selkeämmin tavoite selvittää, toimitaanko tietyllä tavalla vai ei. Usein varmistuksia tehdään siitä, toimiiko yrityksen joku prosessi aina samalla tavalla tai noudattaako kaikki vaihtoehtoiset toimintatavat sääntelyvaatimuksia. Arviointi- ja varmistustoiminta täydentävät toisiaan ja ne vain auttavat hahmottamaan, mitä tavoitteita sisäiselle tarkastustoiminnalle voidaan asettaa.

Sisäisen tarkastuksen määritelmään kuuluu myös konsultointitehtävä, jonka ymmärrän enemmän yrityksen johdon tukemisena kuin osallistumisena liiketoimintapäätösten linjaamiseen. Tämä tuen antaminen on myös mukana sisäisen tarkastuksen määritelmässä, kun tarkastuksilla on käytännössä aina tarkoitus tukea yrityksen eri prosessien arviointia ja myös kehittämistä. Sisäisen tarkastuksen tarkoitus ja tarkastusten tavoitteet jäisivät toisaalta vajaiksi, jos tarkastuksissa ei otettaisi millään tavalla kantaa siihen, onko yrityksen toiminnassa jotain parannettavaa vai ei. Tarkastajan konsulttirooli onkin varsinaista miekanterällä tanssimista, koska se voi vaarantaa sisäisen tarkastuksen objektiivisuuden ja riippumattomuuden. Yksi näkökulma sisäisen tarkastuksen ja sen tarkastustoiminnan erilaisten tavoitteiden ja intressien arvioimiseen sekä tasapoinottamiseen on Järjestelmällinen lähestymistapa.

Järjestelmällinen lähestymistapa

Keskeinen lähde järjestelmälliselle lähestymistavalla on sisäisen tarkastuksen kansainväliset IIA-standardit, periaatteet ja soveltamisohjeet sekä tietysti sääntelyssä esitetyt vaatimukset sisäiselle tarkastukselle. Kaikkia vaatimuksia järjestelmällisellä lähestymistavalla ei voi tässä yhteydessä käsitellä, mutta muutamia mielestäni keskeisiä näkökulmia voi korostaa hieman enemmän.

Tarkastajan ja mahdollisen sisäisen tarkastuksen toiminon ammattitaito ja sen liittyminen keskeisiltä osin tarkastettavaan liiketoimintaan on pohja, josta sitten voidaan määrittää riskiperusteisesti tai muuten tarkastustoiminnan tavoitteet, tarkastussuunnitelmien rajaukset, tarkastusmenetelmät ja viime kädessä myös tarkoituksenmukainen raportointi johdolle. Ammattitaidossa on ensin tarkastustoimintaa yleisesti ohjaava taso, erityisesti IIA-ohjeistus, ja sitten sen pohjalta kulloiseenkin tarkastuskohteeseen liittyvä liiketoimintaosaaminen. Sisäiselle tarkastukselle asetetut tavoitteet jäävät sitten saavuttamatta, jos ammattiosaamista ei ole näistä molemmista osa-alueista. Käytännössä siis voi jäädä riski, että esimerkiksi tarkastuksiin ei valita oikeita menetelmiä tai tarkastettavan liiketoiminnan ominaispiirteitä liiketoimintariskit mukaan lukien ei tunnisteta.

Toinen tärkeä näkökulma järjestelmällisessä lähestymistavassa on sisäisen tarkastajan oikeus saada käyttöönsä kaikki tieto riippumatta siitä, missä tai millä tasolla yrityksessä se tietoa on saatavilla. Tieto on hyvä ymmärtää laajassa merkityksessä ja se voi tarkoittaa myös oikeutta päästä tarkastamaan jonkun toimipaikan fyysiset tilat. Suppea tietojen saantioikeus voi heikentää tarkastusten luotettavuutta ja niiden tavoiteita, koska silloin on jo tietojensaantia rajaamalla vaikutettu tarkastajan mahdollisuuteen arvioida itsenäisesti eri tietolähteitä ja onko tiedoissa mahdollisesti jotain epäjohdonmukaisuuksia.

Laaja tietojensaantioikeus palvelee mielestäni erityisesti sisäisen tarkastuksen mahdollisuutta arvioida, miten yrityksen ylimpiä strategisia tavoitteita on jalkautettu liiketoimintaan ja myös riskienhallintaan. Strategian jalkautukseen voi ja liittyy usein eri aikaisia prosesseja, jolloin näiden prosessien yhteensovittaminen on jo oma riskilähde yksittäisten prosessien ohella. Tietosuojaan (Gdpr) liittyvät prosessien yhteensovittamisriskit ovat esimerkki myös julkisuudessa käsitellyistä ja toteutuneista riskeistä, kun liiketoiminnan ja tietosuojan prosessit eivät ole toimineet riittävän hyvin yhdessä.

Viimeisenä järjestelmällisen lähestymistavan peruspilarina ottaisin esille jatkuvuuden. Sisäisen tarkastuksen ja yksittäisten tarkastusten tavoite jää saavuttamatta, jos tarkastuksissa esitettyjä ehdotuksia tai suosituksia ei arvioida erikseen niiden toteuttamistarpeen osalta. Sisäisellä tarkastuksella on itsellään velvoite seurata, miten tarkastusten toimenpide-ehdotuksia on käsitelty ja onko niitä mahdollisesti otettu käyttöön jollain tavalla. Kaikissa ainakin ulkoiselta palveluntarjoajalta hankituista tarkastuspalveluissa ei tarkastaja aina seuraa jatkossa, onko tarkastuksessa annettuja ehdotuksia arvioitu vai ei, jolloin vastuu tarkastusten tulosten käytöstä jää sitten yrityksen johdon tai muun tahon tehtäväksi.

Tarkastusten tulosten käyttäminen olisikin hyvä olla esillä jo tarkastusten tavoitteita asetettaessa. Osa tarkastuksissa tehdyistä havainnoista voi johtaa myös tilanteisiin, joissa yrityksen on perusteltua reagoida jo ennen tarkastuksen loppuraportoinnin valmistumista. Tässä palataankin taas kirjoituksen alussa olleeseen kysymykseen eli miksi yritys käyttää sisäisen tarkastusta ja onko tarkastukset suunniteltu yhdessä tätä tarkoitusta palvelemaan.

Tietosuoja-asetuksessa (Gdpr) on lähtökohtana henkilötietojen suojaaminen, jota täydentävää sääntelyä ja ohjeistusta on runsaasti sekä Eu:n tasolla että kansallisesti. Keskeisenä vaatimuksena tietojensuojaamisessa on aina estää henkilötietojen päätyminen ulkopuolisille sekä myös niille yrityksen omille työntekijöille ja yhteistyökumppaneille, joille ei ole välttämätöntä antaa pääsyä kaikkiin tai mihinkään henkilötietoihin. Puutteet suojaamisessa johtavat nopeasti ylimääräisiin kustannuksiin ja mahdollisesti tietosuojavaltuuten asettamiin seuraamuksiin. Merkittävissä tietosuojan puutteissa voi realisoitua myös rikosoikeudellinen vastuu.

Henkilötietoja käsitellään eri yrityksissä, jolloin tietosuojakäytännöissä on luonnollisesti vaihtelua. Osassa näistä käytännöistä voidaan havaita tietosuojariskit etukäteen riskienhallinnassa, mutta useissa myös julkisuudessa käsitellyissä tapauksissa on toteutuneet riskit havaittu yrityksen ulkopuolisen tekemän ilmoituksen tai viranomaisvalvonnan perusteella. Kun henkilötietojen suojaamisessa on ollut puutteita, niin taustalla on tyypillisesti enemmän tekijöitä kuin vain yksi syy. Kirjoitan muutamia näkemyksiä laitteiden eli puhelimien, kannettavien, palvelimien, valvontakameroiden ym. tietosuojasta, vaikka samat asiat voivat tulla vastaan myös perinteisissä paperiarkistoissa tai muussakin tietojen suojaamisessa.

Julkisuudessa käsitellyissä tapauksissa on ollut esillä yksi usein toistuva syy tietosuojapuutteille, joka on laitteiden tietoturva eli yrityksen käyttämät menetelmät tietosuojan toteuttamisessa. Tämä on laaja aihe, jossa tietoturvan ja tietosuojan riskienhallinta nivoutuu hyvin yhteen. Puute tietoturvassa voi johtaa myös ongelmiin henkilötietojen suojaamisessa. Toisaalta henkilötietojen käsittelyä suunniteltaessa täytyy huomioida myös tietoturva. Konkreettisimmillaan tietoturvan vaikutus näkyy siinä, että vanhentuneet laitteet, ohjelmistot sekä tietenkin palomuuri- ja virustorjunnanratkaisut jättävät henkilötiedot alttiiksi väärinkäytöksille. Tämä ei koske pelkästään yrityksen omaa infrastruktuuria vaan myös yhteistyökumppaneita ja asiakkaiden käyttämiä laitteita. Esimerkiksi yrityksen laite tai ohjelmisto voi olla elinkaarensa lopussa eikä tarvittavia tietoturvapäivityksiä enää ole saatavilla, jolloin yrityksen täytyy myös estää omien asiakkaidensa joidenkin laitteiden tai ohjelmistojen käyttö tietoturvasyystä. Tietoturvan ajantaisuudella turvataan siten samalla henkilötietojen suojaamista.

Tästä laitteiden ja ohjelmistojen fyysisestä tietoturvasta päästäänkin seuraavan usein esillä olleeseen tietosuojan puutteeseen, joka on yrityksen omat ohjeet ja käytännöt. Inhimillisiä virheitä sattuu kaikille eikä niitä voi täysin poistaa, mutta laatimilla yrityskohtaiset ohjeet työntekijöille tietoturvasta ja tietosuojasta voidaan vähentää näiden virheiden syntymistä. Ohjeet yksin eivät tee kuitenkaan autuaaksi, jos ne eivä ole luontevasti osa kunkin työntekijän rutiineja tai ohjeiden päivitystarpeita ei arvioida säännöllisesti.

Toisinaan näkee hyvinkin yksityiskohtaisia ohjeita, mitä kaikkea työntekijän tulee huomioida tietosuojaan liittyen. Nämä voivat olla perusteltuja ainakin silloin, jos jossain työtehtävässä tai prosessissa on tärkeää käydä aina läpi tietyt asiat tietosuojasta. Vastapainona yksityiskohtaisille ohjeille voi olla ainakin osittain tietosuojaan liittyvien prosessien suunnittelu tavalla, joka vähentää työntekijälle tulevaa rasitusta tietosuojassa. Laitteiden osalta tällaisia tyypillisiä prosesseja on esimerkiksi erilaisten päivitysten, varmuuskopioinnin ja virhetapahtumien käsittely keskitetysti yrityksen hallinnossa. Toisen tyyppinen tietosuojaprosessi on puolestaan tarpeettomien henkilötietojen poistaminen (minimointiperiaate) tai ainakin poistamistarpeen arviointi säännöllisesti. Tällöin voidaan ottaa jo suunnitteluvaiheessa huomioon tietosuojan ja tietoturvan lisäksi myös liiketoiminnan ja muun yrityksen hallinnon intressit tietojen säilyttämiselle. Tämä säännöllinen tietojen poistaminen laitteilta ja järjestelmistä on myös resurssikysymys, kun tarpeettomia henkilötietoja ei enää tarvitse poistamisen jälkeen suojata.

Laitteisiin liittyy myös niitä käyttävän henkilön omien henkilötietojen suojaaminen. Tässä palataan taas ensimmäisenä tietosuojan suunnitteluvaiheeseen, jolloin jo siellä pitää ottaa kantaa erilaisiin käyttäjän omien tietojen suojaamiseen. Tyypillisesti laitteille kirjautumisessa on huomioitu hyvin, miten käyttäjätunnuksia ja salasanoja käytetään. Haastavampi tilanne on tämän jälkeen, jos kerran päätettyä tietoturvatasoa ei arvioida säännöllisesti esim. miten salasanojen vaatimustasoa on tarve parantaa tai kirjautumisessa täytyy ottaa käyttöön jokin kolmas varmistustapa käyttäjätunnuksen ja salasanan lisäksi. Kirjautumisessa voidaan käyttää myös sormenjälkitunnistusta, kasvotunnista yms. biometristä tietoa (ns. arkaluonteinen tieto, erityinen henkilötieto), jota koskevat erityiset huolellisuusvelvoitteet tietosuojan järjestämisessä. Biometrisen tiedon käyttö kirjautumisessa onkin sääntelyn näkökulmasta tarkemmin säännelty kuin pelkkä käyttäjätunnuksen ja salasanan käyttäminen.

Käyttäjän tietosuojassa on myös toinen lähestymissuunta, jossa arvioidaan käyttäjän laitteelle tai järjestelmiin tallentamia omia tai muiden henkilötietoja (usein perheen tai ystävien henkilötietoja tai kuvia), joita yritys ei tarvitse millään tavalla omassa toiminnassaan. Tähän tietoluokkaan linkittyy myös erittäinen tärkeä tietoturva, koska jo työntekijän yksittäinenkin kuvatiedosto voi sisältää haittaohjelmia. Käyttäjälle voi olla yksittäisten tiedostojen ohella vielä merkittävämpi riskilähde erityisesti työmatkapuhelimissa käytettävät sovellukset (Apps) ja niiden tietoturva, jos käyttäjälle on annettu oikeudet asentaa laitteelle näitä sovelluksia.Tämäkin aiheen osalta on hyvä olla jo vaihtoehtoja suunnittelupöydän ääressä, miten yrityksen laitteita voidaan tai ei saa käyttää henkilökohtaisiin tarkoituksiin. Riskianalyysi auttaa tämän kuin myös muiden tilanteiden kohdalla arvioimaan, miten laitteiden henkilökohtaista käyttöä tulee ohjeistaa, käyttäoikeuksia rajoittaa tai jopa estää joidenkin laitteiden henkilökohtainen käyttö kokonaan.

Edellä oli jo lyhyesti esillä biometristen tietojen käyttö tunnistautumisessa, mutta näiden arkaluonteisten tietojen lisäksi on muitakin tietoluokkia, joihin liittyy erityistä sääntelyä. Yksi esimerkki on työntekijän sijaintitiedot työajalla, joita tarvitaan tyypillisesti kuljetusalalla kuljetusten järjestelyä varten. Tietosuojan näkökulmasta sijaintietojen käyttöön liittyy oma prosessi, ns. vaikutustenarviointi, jossa arvioidaan tietojenkeräämisen tarpeellisuutta, riskejä ja niiden hallintaa. Sijaintitietojen käyttöä säännellään myös työoikeudessa, jossa on vaatimuksena asian käsittely yhteistoimintamenettelyssä. Näiden vaatimusten noudattaminen on sinänsä selkeää, koska sijaintitietoa on tarkoituskin kerätä yrityksen liiketoimintaa varten. Käytännössä laiteissa ja yksittäisissä ohjelmistoissa voi olla automaattisesti tallentuvana tietona myös laitteen sijainti tai ohjelman käyttöpaikka, minkä vuoksi yritykselle voi kertyy tarpeetonta työntekijän sijaintitietoa, vaikka yrityksellä ei ole tarkoituskaan kerätä sitä tietoa. Sijaintitieto on esillä vain esimerkkinä henkilötiedoista, joita käsitellään yhtenä teknisen valvonnan tapana, jonka lisäksi on myös monia muita erityyppisiä tietoluokkia, joita on säännelty erikseen. Tietosuojan riskienhallinnassa onkin tärkeää tunnistaa yksittäset tiedot ja niiden kuuluminen johonkin tietoluokkaan sääntelyssä.

Yhteenvetona laitteiden ja järjestelmien tietosuojaan liittyy monia näkökulmia, joita voi lyhyesti hallita lyhyesti henkilötietojen elinkaaren avulla. Ennen henkilötietojen käsittelyn aloittamista suunnitellaan kerättävien tietojen tietosuoja ottamalla huomioon tietosuojan yleiset periaatteet (tarpeellisuus, minimointi, oikeasuhtaisuus ym.), eri tietoihin/tietoluokkiin liittyvät erityiset vaatimukset ja miten mahdollisia riskejä hallitaan siihen asti, kun henkilötieto lopuksi poistetaan tai sen luonne muuten henkilötietona poistuu.

Ympäristöön, yhteiskuntavastuuseen ja hallintotapaan (Esg) sekä näiden keskinäisiin yhteyksiin on ollut jo kauan aikaa sääntelyä Eu-tasolla ja kansallisesti. Tyypillisesti näitä ovat olleet erilaiset liiketoiminnassa pakolliset ympäristöluvat, työturvallisuusasiat ja kuluttajasuoja sekä epäasialliseen vaikuttamiseen kuten esimerkiksi lahjontaan liittyvät tilanteet. Nämä ovat yrityksille osa vastuullista liiketoimintaa ja niiden riskejä on hallittu ja hallitaan jatkossakin normaalisti osana liiketoimintaa. Uutta on onkin sitten järjestelmällisempi lähestymistapa esg:n eri osa-alueisiin ja siihen, miten esg-tietoja raportoidaan sidosryhmille. Ennen raportointia yrityksen täytyy päättää, miten yrityksen liiketoiminta on järjestetty, koska se vaikuttaa keskeisesti raportin sisältöön.

Rahoitus

Eu-tasolla ja myös kansallisesti on viime vuosina tullut lisää Esg-sääntelyä sijoitus- ja rahoitustoimintaan sekä isommille (lista)yhtiöille. Tämä sääntely on ollut yleisemmällä tasolla ja sitä myös tarkennetaan parhaillaan erityisesti alemman tasoisella sääntelyllä. Tämä uudempi sääntely vaikuttaa myös muihinkin yrityksiin kuin vain välittömästi sääntelyn soveltamisalaan kuuluvissa yrityksissä, koska esimerkiksi erilaisissa yritysrahoitusvaihtoehdoissa yrityksen liiketoiminnan vastuullisuutta arvioidaan aikaisempaa enemmän. Ääritapauksissa voi yritykseltä jäädä rahoitus saamatta tai rahoituksen kustannukset nousevat, kun yrityksen omat esg-riskit hinnoitellaan rahoituksen kustannuksiin.

Yrityksen esg-riskejä tarkastellaan ei vain pankkilainoissa vaan myös rahoitusyhtiöiden myöntämissä luotoissa, pääomarahoituksessa (private equity), sijoitusrahastoissa (ucits ja aif), joukkorahoituksessa, julkisessa rahoituksessa (Finnvera, Sitra ym.) ja myös välillisesti rahoitukseen vaikuttavassa kuten arvopaperistamisissa. Osa yrityksen esg-riskeistä tulee arvioitavaksi näillä rahoitusalan toimijoilla jo heidän omista riskienhallintavaatimuksistaan johtuen, mutta näitä täydentävät myös velvoitteet heidän omia sijoittajia tai sidosryhmiä kohtaan. Esimerkiksi sijoitusrahastoon sijoittavalle on annettava tietoa rahaston esg-riskeistä ja miten näitä riskejä on hallittu. Jos yrityksen esg-riskit eivät sovi rahaston sijoituspolitiikkaan, niin yrityksen osakkeisiin tai velkakirjoihin ei voida sijoittaa, mikä voi vähentää pääomia hakevan yrityksen rahoitusmahdollisuuksia toisinaan merkittävästikin. Toisena esimerkkinä voi olla pankkien velvollisuus raportoida esg-riskeistä pankkeja valvovalle Finanssivalvonnalle tämän omaa viranomaisvalvontaa varten. Pankkien tulee yleisesti välttää liiallista riskienottoa, koska niillä on tärkeä rooli rahoitusjärjestelmien vakauden kannalta, jolloin pankkien on arvioita yrityksen esg-riskin suuruus osana rahoitettavan yrityksen muita riskejä ja näiden riskien vaikutus lainan myöntämisehtoihin ja tietyisti hintaan.

Rahoituksen varmistamiseksi jatkossa yrityksellä on käytössä eri vaihtoehtoja, joilla voi arvioida liiketoiminnan esg-riskejä. Tarkoituksena on kuitenkin varautua rahoituksen saamiseen, joten potentiaalisilta rahoittajilta kannattaa voi kysyä yleistä tietoa rahoitusehdoista. Tätä taustaa vasten pääomaa hakevan yrityksen on hyvä arvioida omia sisäisiä prosesseja, yhteistyökumppaneita, asiakkaita ja tietysti minkälaisia tavoitteita yrityksellä on esg-raportoinnin suhteen.

Sisäiset prosessit

Yrityksen oma riskienhallinta yhdessä johdon ja muiden yrityksen omien toimintojen kanssa voi arvioida esg-riskejä itsenäisesti tai käyttäen apuna sääntelyä (esimerkiksi ns. taksonomia-asetus) tai erilaisia muita standardeja (ISO-standardit, Yk:n Pri, principles for responsible investments ym.). Tätä arviointia voi täydentää ulkopuolisella arvioinnilla tai auditoinnilla. Riskienhallinta ei voi toimia kuitenkaan ilman muiden toimintojen tarjoamaa osaamista liiketoiminnasta, taloushallinnosta, rahoituksesta, henkilöstöhallinnosta ja muista toiminnoista, jotta riskienhallinta voidaan kytkeä yrityksen sisäisiä proseseja.

Lähtökohtaisesti jokaisella yrityksellä on oltava jo ainakin tietyt vastuulliseen liiketoimintaan liittyvät perusvaatimukset kunnossa, jotta liiketoimintaa ylipäänsä pystyy harjoittamaan. Kirjanpidon järjestäminen, verotuksen hoitaminen, palkanlaskenta, työturvallisuudesta huolehtiminen ja useat muutkin vaatimukset ovat yritykselle pakollista, mutta se on samalla myös osa vastuullista liiketoimintaa, kun huolehditaan Esg-kriteerien toteutumisestä vähimmäistasolla. Tämän vähimmäistason päälle tulee sitten yrityksen omista tarpeista tai sen yhteistyökumppaneista johtuvia vaatimuksia, miten riskejä hallitaan. Yksi käytännön esimerkki on, että yrityksellä ei ole puhdasta verovelkatodistusta, jolloin yhteistyökumppani voi lopettaa yhteistyön yrityksen kanssa tai ainakin kysyä lisätietoja, miten yritys hoitaa jatkossa velvoitteensa kuntoon. Toinen esimerkki on, miten yritys varautuu, jos sen alihankkija joutuu kansainvälisten pakotteiden piiriin tai alihankintaketjussa on taustoiltaan epämääräisiä yrityksiä. Tämänkaltaisia esimerkkejä on ollut julkisuudessa esillä eri toimialoilla kuten urheiluvälineet, elektroniikkateollisuus, ruuantuotanto, energiatuotanto, aurinkopaneelien valmistus ja ohjelmistoteollisuus, vain muutamia mainitakseni.

Sisäisten prosessien määrittelyllä yritys voi helpottaa rutiinien hoitamista oikein ja oikeaan aikaan. Tunnistamalla näihin prosesseihin liittyvät riskit tehostetaan myös yrityksen Esg-tavoitteiden toteutumista. Riskienhallinta onkin hyvin käytännönläheistä toimintaa, koska yrityksen on määriteltävä, miten suuria riskejä se on eri prosesseissa halukas ottamaan ja miten riskejä konkreettisesti hallitaan. Edellä oli riskiesimerkkinä taustoiltaan epämääräisten alihankkijoiden käyttö, jolloin yrityksen omilla asiakkailla puolestaan voi olla ostokriteerinä tiettyjen vastuullisuuskriteerien noudattaminen. Tämä edellyttää yritykseltä hankintojen, valmistuksen ja myynnin yhteensovittamista muiden tuoteominaisuuksien ohella myös vastuullisuudessa, jotta tuotteet voidaan toimittaa asiakkaille heidän vaatimustensa mukaisesti.

Yhteistyökumppanit

Yhteistyökummpaneilla on odotuksia tuotteiden ja palveluiden laadulle, joissa yksi osa on esg-vaatimusten noudattaminen joillain kriteereillä. Yleisesti käytetään sääntelyyn pohjautuvia kriteerejä, joita voidaan täydennetään kansainvälisesti hyväksytyillä standardeilla. Onko sääntelyn yli menevien esg-vaatimusten noudattaminen sitten yritykselle kannattava vaihtoehto vai ei? Tähän ei ole selkeää vastausta yleisesti, koska eri toimialoilla ja myös yksittäisen yrityksen eri asiakassegmenteissä voi olla merkittäviä eroja, miten tärkeitä esg-asiat ovat ja ennen kaikkea näkyvätkö ne myös konkreettisesti asiakkaiden ostopäätöksissä, rahoituksen hinnassa, alihankintaehdoissa tai muuten.

Esg:n vaikutuksia liiketoimintaan voi yritys tutkia itse, mutta eri toimialoilta on myös valmista tutkimusta, miten esimerkiksi asiakkaat käyttävät esg-kriteerejä hankintojensa perusteena. Hinta on edelleen yksi keskeisimpiä kriteerejä, jolloin asiakkaille voi olla tärkeää, että liiketoiminnassa otetaan huomioon myös sääntelyn ylimeneviä esg-vaatimuksia, mutta lopullisen valinnan asiakas tekee kuitenkin hinnan perusteella. Esg:n tuoma hyöty liiketoiminnalle ei siten ole aina yksiselitteistä, jos katsotaan pelkästään sitä, tuoko se lisää asiakkaita tai liikevaihtoa yritykselle. Esimerkiksi vähimmäisvaatimusten tai kattavampien esg-näkökulmien osalta asiakkailla ja yhteistyökumppaneilla voi olla nämä ensimmäisenä karsintakriteerinä valittaessa tuotetta, mutta lopullinen päätös tehdään kuitenkin nämä kriteerit täyttävien yritysten tuotteen hinnan perusteella. Toisentyyppisenä tilanteessa esg-tietoa ei tarvita eikä myöskään haeta vaan päätös tehdään puhtaasti hinnan perusteella.

Esg-vaatimuksia onkin hyvä analysoida osana normaalia liiketoiminnan suunnittelua, jolloin vaikutuksia voi arvioida yrityksen tai tuotteen liikevaihtoon, valmistuskustannuksiin, markkinointimenoihin, rahoitusehtoihin, julkisten avustusten saatavuuteen yms. . Sääntelyyn perustuvia esg-kustannuksia ei voi välttää, mutta niiden vaihtoehtoja ja hyväksikäyttöä muussa liiketoiminnassa voidaan arvioida erikseen. Tämä arviointi edellyttää, että yritys myös kerää tätä tietoa päätöksenteon pohjaksi. Jos vertailukohtana käytetään perinteistä talousraportointia, niin siinäkin kerätään tietoa liikevaihdon kehityksestä ja kustannusrakenteesta erilaisten tunnuslukujen muodossa, jotta näitä tietoja voidaan käyttää ennusteiden tekemiseen tuleville vuosille. Samalla tavalla yrityksen esg-tavoitteiden arviointia varten tarvitaan tietoa, jotta voidaan arvioida jo kuluneita kausia ja suunnitella tulevia kausia.

Raportointi

Ulkoinen raportointi on se tulos, joka kuvaa yrityksen tilannetta esg-vaatimusten noudattamisessa. Sääntelyssä on eri toimijoille erilaisia vaatimuksia, miten tämä raportointi täytyy tehdä tilinpäätöksen yhteydessä, vuosikertomuksessa tai erillisessä raportissa. Sääntelyyn on myös tulossa muutos (Csr-direktiivi), joka velvoittaa isoimpien yritysten, pienempien listattujen yritysten ja muutamien erityisyhtiöiden tilintarkastajia tarkastamaan ja antamaan lausunnon myös kestävyysraportoinnista. Tästä näkökulmasta kestävyysraportoinnin luotettavuutta on tarkoitus varmistaa aikaisempaa enemmän. Myös niiden yritysten, jotka eivät kuulu pakollisen kestävyysraportoinnin piiriin, voi olla hyvä harkita toimia, joilla varmistetaan sidosryhmille tehtävän kestävyysraportoinnin luotettavuus.

Ennen tätä ulkoista raporttia on esg-tietoa raportoitu yrityksen sisällä eri tasoilla aina ylimmälle johdolle asti, kun tavoitteita on asetettu ja niiden toteutumista on seurattu. Sisäisen raportoinnin järjestäminen onkiin tärkeää asetettujen tavoiteiden saavuttamiseksi, koska tällöin voidaan reagoida riskeihin, jotka haittaavat tavoitteiden onnistumista.

Sisäiselle tarkastukselle on yrityksissä ja muissa organisaatioissa asetettu tavoitteita riippumatta siitä, onko sisäisen tarkastuksen käyttö tällöin sääntelyn edellyttämää tai vapaaehtoista. Tavoitteita vasten on mahdollista sitten arvioida, miten sisäinen tarkastus on toiminut eri osa-alueilla. Toinen näkökulma on sitten tarkastustulosten raportointi ja miten hyvin tätä raportointia voidaan käyttää hyväksi, kun arvioidaan riskienhallintaa tai ylipäänsä toiminnan parantamista joltain osin.

Tavoitteet

Ensimmäisenä tavoitteena on aikataulu, joka tarkastuksille tai muille sisäisen tarkastuksen tehtäville on asetettu. Usein tilinpäätökseen liittyen on vuodenvaihteen molemmin puolin kiireitä johdolla, tarkastettavilla toiminnoilla ja myös sisäisen tatrkastuksen omiin työtehtäviin liittyen, kun vanhan vuoden tiedot täytyy kerätä raportointia varten ja samalla ottaa huomioon myös päivittyneet tiedot uusien suunnitelmien pohjaksi. Vuodenvaihteen yhteydessä onkin hyvä joskus arvioida, onko tarkastuksia perusteltua ajoittaa siihen ajankohtaan, jos tarkastuksen ajankohtaa ei muuten ole välttämätöntä valita juuri siihen hetkeen.

Toinen aikataulutukseen liittyvä näkökulma on liiketoimintojen, riskienhallinnan, muun raportoinnin yms. omat aikataulut, jotta sisäisen tarkastuksen (säännöllinen) tarkastustoiminta voidaan ajoittaa mahdollisimman hyödylliseen ajankohtaan. Tyypillisesti sisäisellä raportoinnilla on omat deadlinet tai jokin tehtävä pitää saada valmiiksi tietyllä tarkastelukaudelle. Tarkastuksen ajoittaminen hetkeen, jolloin on käytettävissä esimerkiksi yli puolivuotta vanhaa dataa, on huono, jos tarkastuksen ajankohtaa hieman lykkäämällä saadaan ajantasaisempaa dataa samasta aiheesta.

Aikataulujen ohella on tietysti asetettu tarkastuskohtaisia tavoitteita, mitä tarkastuksilta odotetaan. Tätä on hyvä mitata sellaisella mittarilla, joka antaa tarkastusraportin käyttäjille sitä tietoa riskeistä, joita tarkastuksissa on alun perin tarkoituskin arvioida. Tässä yhteydessä on hyvä tuoda esille myös se, että tavoitteiden yhteydessä kannattaa samalla päättää myös niistä keskeisistä mittareista, joilla sisäisen tarkastuksen tuloksellisuutta mitataan. Aikaisemmassa sisäisen tarkastuksen kirjoituksessani käsittelin lyhyesti sisäisen tarkastuksen riskiperusteista tarkastustoimintaa, jonka pohjalta voi valita sitten yleisempiä tai yksityiskohtaisempia mittareita sisäisen tarkastuksen ja sen tarkastusten tuloksellisuuden mittaamiseen.

Mittareiden valinnassa voidaan korostaa eri näkökulmia ja itse pidän tavasta, jolla tuloksellisuus on yläkäsitteenä ja sen alla on mittareita eri alaluokissa. Ensimmäisenä näistä alaluokista otan esille sisäisen tarkastuksen järjestämisen, jossa mitataan tarkastajien osaamista, eettisyyttä, tasapuolisuutta, taloudellisuutta, työtyytyväisyyttä ja ajankohtaiseen Esg-teemaan liittyen myös sisäisen tarkastuksen ekologisuutta. Näiden luokkien mittareita voi tarkastella sekä organisaation oman sisäisen tarkastuksen että ulkoistetun palvelun osalta, koska se tarjoaa samalla vertailukohdan näille kahdelle sisäisen tarkastuksen järjesteämistavalla mukaan lukien myös osittain tarkastusten ulkoistaminen.

Varsinaisen tarkastustoiminnan mittaaminen on toinen alaluokka ja sen sisällä voidaan mitata myös eri näkökulmia. Kuhunkin tarkastukseen sopivien menetelmien arviointi voi olla esillä jo silloin, kun valitaan yksittäistä tarkastuskohdetta ja sen riskien tarkastamista. Tältä osin käytännöissä on luonnollisesti eroja organisaatioiden välillä, mutta usein menetelmien lopullinen valinta jää sisäiselle tarkastukselle ja yksittäiselle tarkastajalle, jolloin menetelmien arviointimittareita ei välttämättä käytetä yksittäisissä tarkastuksissa. Menetelmien arviointi on kuitenkin mukana viimeistään silloin, kun sisäisen tarkastuksen toiminnasta tehdään säännöllinen (5 vuoden välein tai useammin) arviointi organisaation sisäisesti tai ulkopuolisen arvioitsijan toimesta.

Tarkastushavaintojen ja toimenpide-ehdotusten selkeä raportointi on keskeinen mittauskohde, koska se määrittää viimekädessä, miten hyvin tarkastustoiminnasta saadaan hyötyä organisaation riskienhallintaan tai yleisemmin toiminnan tehostamiseen. Tässä palataan toki taas myös sisäisen tarkastuksen järjestämiseen ja yksittäisten tarkastusten menetelmiin, koska sieltä tulee se perusta, johon tarkastusten raportointi perustuu. Esimerkkejä hyvistä ja huonoista mittareista tarkastustoimintaan liittyen on runsaasti yritysten ja muiden organisaatioiden toimintamalleista, riskihallinnan järjestämisestä, tietojärjestelmistä, tarkastusvaliokuntien osaamisesta ja muista syistä johtuen.

Hyvä mittari vastaa lyhyesti sen käyttäjälle, miten hyvin tai huonosti yksi tai useampi riski on hallittu tarkastuksiin pohjautuen. Yksittäinen tarkastusajankohta ja sen raportointi on tärkeä, mutta tarkastusraporttien käyttäjiä kiinnostaa myös, miten riskit ovat kehittyneet tarkastusajankohdasta toiseen. Nämä riskien trendit ovat tärkeä lähde myös sisäiselle tarkastukselle, koska ne voivat muuttaa tavoitteita, riskiperusteista tarkastusta ja lopulta myös seuraavia tarkastuksia samasta aiheesta. Esimerkiksi yrityksellä on käytössä vakioehtoisia sopimuksia ja asiakasrajapinnassa on annettu asiakkaille erilaista tietoa sopimusten sisällöstä. Jos sama tilanne havaitaan jatkuvan vielä seuraavassa tarkastuksessa, niin se voi nostaa uudessa tarkastuksessa toimenpide-ehdotuksen riskiluokkaa, koska sopimusriski on kasvanut yritykselle em. käytännnön jatkuessa.

Hyvä mittari siis vastaa raportin käyttäjän tarpeisiin. Tämän lisäksi tavoitteiden yhteydessä voi mitata myös sisäisen tarkastuksen onnistumista yleisemmin. Tämänkaltaisia yleisempiä mittareita voi olla esimerkiksi tietoisuuden lisääminen riskienhallinnan eri näkökulmista tai puhtaasti arviointi siitä kokonaissäästöstä, jota sisäinen tarkastus on omalta osaltaan ollut vaikuttamassa, kun riskienhallintaa tai toimintaa yleisemminkin on tehostettu. Tätä jälkimmäistä näkökulmaa voi konkretisoida normaalisti laskemalla eri riskeille hintalappu, jolloin sisäisen tarkastuksen arvioinnissa on mahdollista tarkastella, onko sisäinen tarkastus voinut vähentää riskeistä aiheutuvia kustannuksia ja miten suuri mahdollinen kustannussäästö on ollut tai tulee olemaan tulevaisuudessa.

Tavoitteita asetettaessa on perusteltua arvioida tuloksellisuuden mittareita tarkastusraporttien käyttäjien lisäksi myös, voiko tavoitteilla ja niiden mittaamisella olla lisäksi ei-toivottuja ohjausvaikutuksia tarkastustoimintaan. Yksi ei-toivottu ohjausvaikutus voi olla esimerkiksi mittari, joka antaa parempia arvosanoja, kun virheitä, arvioimattomia riskejä tms. löytyy tarkastuksissa enemmän. Tämä voi johtaa tarkastustoiminnassa siihen, että tarkastuksia kohdistetaan enemmän näiden virheiden etsimiseen kuin arvioimiseen, mitkä riskit ovat merkittävimpiä tarkastettavassa kohteessa. Toisaalta kontrollityyppisessä tarkastuksessa tällaiset virheiden määrään perustuvat mittarit voivat olla perusteltuja, kun tarkastuksessa ei ole tarkoitettukaan tehdä syvempää riskianalyysiä tarkastuskohteesta.

Toinen esimerkki ei-toivotusta ohjausvaikutuksesta voi olla jo edellä käsitelty tarkastusten aikatauluun liittyvä mittari, jolla mitataan tarkastusten valmistumista tarkastusten (vuosi)suunnitelman mukaisesti. Tarkastuksia suunniteltaessa täytyy varautua vaihtoehtoon, että tarkastuksen yhteydessä tulee esille yllättäviä riskejä, joihin ei ole mahdollista perehtyä alkuperäisen tarkastusaikataulun puitteissa. Näiden tilanteiden varalle on hyvä olla menettely, jossa yllättävät riskit pystytään käsittelemään ilman, että sisäisen tarkastuksen arviointimittari heikkenee pitkittyneen riskienhallinnan/tarkastuksen takia.

Tarkastushavainnot

Toinen pääkokonaisuus sisäisen tarkastuksen mittaamisessa on tarkastushavainnot ja niiden perusteella annetut suositukset sekä miten hyvin nämä ovat linjassa tarkastuksen tavoitteiden kanssa. Tarkastusten hyödyntäminen pelkästään lopullisen tarkastusraportin muodossa ei useinkaan palvele optimaalisesti, koska tarkastus on vuorovaikutusta eri osapuolten kesken koko tarkastusprosessin ajan ja tässä vuorovaikutuksessa kannattaa tai on jopa pakko ottaa esille tarkastushavaintoja jo ennen tarkastusraportin valmistumista. Ensinnäkin tarkastuksissa on tärkeää, että tarkastusaihetta tutkitaan riittävän tarkasti eri näkökulmista, jolloin vältetään väärien tarkastushavaintojen ja johtopäätösten tekeminen. Yhtenä tyyppiesimerkkinä voi olla näissä tarkastuksessa käytettävän datan ajantasaisuus eikä se ole mitenkään harvinaista, että sisäisissä ohjeissa, prosesseissa, riskiarvioinneissa ym. on tapahtunut muutoksia, jolloin käytettävän datan ajantasaisuudella on vaikutusta myös tarkastuksen lopputulokseen. Toinen tyyppiesimerkki voisi olla merkittävien riskien esille nostaminen, jos sellaisia havaitaan tarkastuksessa, koska se antaa riskienhallinnalle mahdollisuuden arvioida ja reagoida riskeihin jo ennen tarkastuksen päättymistä.

Tätä tarkastuksenaikaista toimintaa voidaan mitata eri mittareilla, joissa arvioidaan sisäisen tarkastuksen prosessia mm. vuorovaikutuksen osalta, lasketaan hyötyä riskienhallinan reagoinnin nopeutumisesta tai yksinkertaisesti arvioimalla lopullisia tarkastusraportteja, onko niissä sellaisia tarkastushavaintoja, jotka olisi ollut perusteltua käsitellä tarkemmin jo tarkastuksen aikana eikä vasta tarkastusraportissa. Siltä osin, kun tarkastuksenaikaisessa toiminnassa on jotain parannettavaa, täytyy palata tarkastuksille asetettuihin tavoitteisiin tai miten sisäinen tarkastus oli suunnitellut tulevia tarkastuksia, jotta tarkastuksista saadaan entistä suurempi hyöty tarkastettavalla kohteelle ja tietysti myös sisäisen tarkastuksen omaan kehittämiseen.

Tarkastushavaintojen ja toimenpide-ehdotusten raportoinnissa on aina esillä myös tarkkuus tai yksityiskohtaisuus, jolla raportointi tehdään. Ensinnäkin tarkastusraporttien käyttäjät voivat olla kiinnostuneita vain poikkeavista havainnoista tai merkittävistä riskeistä, joka ohjaa raportointia tiivistetympään muotoon ja muilta osin tarvitaan vain tietoa niiden asioiden läpi käynnistä tarkastuksessa. Tämä raportointitapa on raporttien käyttäjien kannalta tehokas ja säästää aikaa myös sisäiseltä tarkastukselta. Toisaalta sisäinen tarkastus tarvitsee myös tarkempaa tietoa, jos esimerkiksi tarkastustuloksia on tarpeen vertaille eri kausien välillä riskitrendien havaitsemiseksi. Tarkastusten materiaalissa on siten pohjaa myös kattavammallekin raportoinnille, jos raportin käyttäjät sitä edellyttävät. Mielestäni tarkastusten raportointia voidaan tiivistää ja keskittyä sekä olennaisiin tapahtumiin, riskeihin että näiden trendeihin, kun näille on määritelty niiden merkittävyys jo sisäisen tarkastuksen tavoitteita asetettaessa.

Raportoinnin tehokkuudessa tai tarkkuudessa voi ja täytyy harkita, mikä on sisäisen tarkastuksen rooli suhteessa riskienhallintaan, hallitukseen, tarkastusvaliokuntaan tai muuhun riskienhallintaan osallistuvaan tahoon. Tämä näkyy konkreettisesti siinä, miten syvällisesti sisäinen tarkastus paneutuu johonkin asiaan tai riskiin. Itse näen tämän siten, että sisäinen tarkastus tuo pääsääntöisesti esille niitä havaitsemiaan riskejä ja niiden poikkeamia, mutta yksityiskohtainen riskien tutkiminen kuuluu sitten riskienhallintatoiminnolle, hallitukselle tai muulle taholle, joka voi sitten päivittää samalla omia sisäisiä ohjeita, riskiarviointeja, prosesseja ym. Tällä työnjaolla on myös etu, että sisäinen tarkastus ei puutu tarkemmin toimintaan, jossa sillä ei ole osaamista ja toisaalta ei anneta sellaista ohjeistusta tarkastettavalle kohteelle, jota sisäinen tarkastus tulee ehkä myöhemmin uudelleen tarkastamaan.

Sisäiselle tarkastus voi saada suunniteltujen tarkastusten lisäksi toimeksiannon tehdä erityistarkastus esimerkiksi yllättävästä tai merkittävästä riskistä. Näiden erityistarkastusten suunnittelussa on erityisen perusteltua huomioida ainakin pienissä sisäisen tarkastuksen yksiköissä, miten tarkastus voidaan toteuttaa tai onko järkevämpää hankkia tämä ulkopuoliselta ostettuna palveluna. Keskeisenä näkisin tässä sen, miten hyvin sisäinen tarkastus pystyy antamaan riittävän tarkkoja ja perusteltuja tuloksia tarkastettavasta kohteesta, jolloin tarkastusten vaihtoehtoja peilataan odotettuihin tuloksiin ja niiden laatuun.

Lopuksi

Mittaamiseen on lukuisia vaihtoehtoja ja kunkin organisaation on arvioitava sisäisen tarkastuksen mittaamista sen tavoitteista käsin. Mittarit liittyvät sisäisen tarkastuksen toiminnan järjestämiseen (sisäinen näkökulma) ja sisäisen tarkastuksen tulosten hyödyntämiseen (ulkoinen näkökulma). Mittareiden valintaan liittyy monia näkökulmia, jolloin on myös mahdollisuuksien mukaan vältettävä, ettei mittareilla ole ei-toivottuja vaikutuksia sisäisen tarkastuksen toimintaan. Hieman kärjistäen mittarit kertovat, miten hyvin sisäinen tarkastus on onnistunut tai epäonnistunut vastaamaan tarkastusraportteja käyttävien odotuksiin ja millainen hyöty tarkastuksista on saatu niihin käytetyillä resursseilla.

Sopimuksia valmisteltaessa on esillä usein kysymyksiä kuten Mikä olisi hyvä sopimusehto tähän asiaan tai Miten tämä asia kannattaisi järjestää. Varman vastauksen esittäminen vaatisi normaalisti tarkempaa perehtymistä liiketoimintaan ja sen tavoitteisiin. Olen aikaisemmin eri kirjoituksissa käsitellyt asioita riskinäkökulmasta, joten otan sen myös työn pohjaksi sopimuksien arvioinnissa. Riskit ja niiden hallinta on normaali osa liiketoimintaa, vain näkökulmat vaihtuvat, kun pohditaan, miten yritysten eri toimintojen riskinottoon tulisi suhtautua.

Sopimuksiin voi liittyä mitä erilaisimpia riskejä, jotka toteutuessaan voivat muuttaa yhden sopimuksen tai jopa koko liiketoiminnan kannattavuutta merkittävästi huonommaksi. Sopimusten valmistelu puhtaasti riskiperusteisesti ei ole ainoa näkökulma, mutta se voi muiden näkökulmien ohella auttaa arvottamaan eri vaihtoehtoja lyhyellä ja pitkällä aikavälillä sekä auttaa varautumaan vaihtoehtoisiin tapoihin toimia. Sopimus voi myös itsessään olla riski tai riski syntyy vasta, kun sopimusta pannaan täytäntöön joltain osin virheellisesti.

Sopimusriskeillä on useimmiten taloudellinen vaikutus, vaikka jossain tilanteissa voi päästä niin sanotusti säikähdyksellä. Riskejä voi tämän taloudellisen vaikutuksen ohella luokitella tarkemminkin sen mukaan, mistä riskit ovat syntyneet. Oikeudelliset riskit, maineriskit, operatiiviset riskit, tietoturvariskit, tietosuojariskit ja myös muut luokittelut ovat tyypillisiä riskienhallinnan välineitä, jotka auttavat määrittämään riskejä ja ennen kaikkea auttavat riskienhallinnan eri toimijoita arvioimaan riskejä omasta ja muidenkin toimijoiden näkökulmista. Esimerkiksi oikeudellinen riski on lähes aina myös maineriski, vaikka alkuperäinen riskin lähde olisikin jossain yrityksen operatiivisessa prosessissa.

Sopimuskumppanit

Maksavat asiakkaat on yrityksille tärkeä tai jopa tärkein sopimuskumppani, koska monet muut sopimukset pyritään järjestämään siten, että asiakkaille voidaan tarjota heidän odottamansa palvelu tai tuote. Tämän vuoksi yrityksissä kiinnitetään huomiota tuotteiden ominaisuuksiin, laatuun ja toimitusaikatauluihin, jotka ovat ainakin tiettyyn rajaan yrityksen hallinnassa, mutta muutokset markkinoilla voivat vaikuttaa merkittävästi yrityksen sopimuksiin, mikä on näkynyt hyvin koronaepidemian ja Ukrainan/Venäjän konfliktin yhteydessä. Usein tämänkaltaisia riskejä luokitellaan operatiivisten riskien alle, kun yritysten liikeprosessien taustalla lukuisa joukko sopimuksia, joilla osaltaan pyritään hallitsemaan riskejä.

Sopimuskumppani voi myös olla itsessään riski yritykselle, jos sopimuskumppanin taustoja ei varmisteta etukäteen. Maksukyvyttömyysriskit, toimitusvarmuus, kaksikäyttötuotteiden myynti, kansainväliset pakotteet, rahanpesuriskit ja aikaisempaa enemmän Esg-riskit (Enviromental, social, government) ovat esillä, kun yritykset arvioivat sekä uusia että nykyisiä sopimuskumppaneitaan.

Verotus

Veroriskit voivat tulla esille eri tavoin, mutta hieman yleistäen riski tulee esille, kun verotuksessa sopimusehtoja tulkitaan eri tavoin kuin, mitä sopimusta lukien voisi olettaa. Yksi ajankohtainen aihe tähän liittyen on esimerkiksi osakeyhtiön toimitusjohtajan tai hallituksen jäsenen laskutus henkilökohtaisen yrityksen kautta. Veroriski ei tällöin liity toimitusjohtajan tai hallituksen jäsenen tästä tehtävästä saatuun palkkaan/palkkioon vaan näiden ohella muihin palveluihin, joiden laskutus tehdään toimitusjohtajan tai hallituksen jäsenten henkilökohtaisten yritysten kautta. Toimitusjohtajan ja hallituksen jäsenen tehtävä on henkilökohtainen eikä niitä voi siirtää tai ulkoistaa yhtiöille, minkä vuoksi näistä tehtävistä saatu tulo verotetaan henkilökohtaisena tulona. Samaan aikaan toimitusjohtajan ja hallituksen jäsenten tehtävät on määritelty sen verran yleisesti, että herää kysymys, voiko toimitusjohtaja tai hallituksen jäsen veloittaa sitten ylipäänsä joistain tarjoamistaan palveluista oman yrityksensä kautta. Riskienhallinnan näkökulmasta on helpoin tapa estää em. kaltainen laskutus oman yrityksen kautta, ellei halua tehdä tarkempaa analyysiä hallituksen yksittäisten jäsenten tehtävien laajuudesta yms. Myös rahoitusala tarjoaa vertailukohtaa tällä analyysille, koska siellä sääntelyssä on rajoituksia tällaisille henkilökohtaisille liiketoimille erityisesti mahdollisten eturistiriitojen osalta.

Veroriskejä voi eritellä myös päivittäiseen liiketoimintaan liittyviksi tai harvemmin tapahtuviin tilanteisiin kuten yritysjärjestelyihin, pääomarakenteen aktiiviseen muuttamiseen, omistusjärjestelyihin, uuden liiketoiminnan aloittamiseen, siirtohinnoittelun suunnittelu ym. Tämä jaottelu ei itsestään tee eroa riskien suuruudessa, mutta harvoin tapahtuvissa muutoksissa on usein yrityksillä enemmän tarvetta arvioida tarkemmin riskejä, koska niiden osalta ei ole välttämättä kehittynyt samanlaisia rutiineja kuin päivittäisen liiketoiminnan sopimuksissa. Toisaalta päivittäisissa rutiineissakin syntyy verotuksen näkökulmasta tulkintatilanteita, jotka pitäisi pystyä tunnistamaan kuten esimerkiksi yleinen kysymys liittyykö laskuun vähennettävää arvonlisäveroa vai ei tai täytyykö sopimuskumppanilta edelleen veloitettavaan kuluveloitukseen lisätä arvonlisävero vai ei. Yritykset käyttävätkin tarkemman arvioinnin apuna ulkopuolisia asiantuntijoita ja myös verohallinnolta (tarvittaessa eri maiden) pyydetään ohjausta ennakkotiedon tai vastaavan muodossa.

Väärinkäytöksiä voidaan luokitella veroriskien lisäksi myös yleisemmäksi sopimusriskiksi. Tyypillisenä julkisuudessakin esillä olleissa tapauksissa työntekijöiden palkanmaksua on sovittu työntekijän ja työnantajan kesken maksettavaksi erilaisina verovapaina kulukorvauksina tai myös verotuksen ulkopuolella ”pimeästi”. Näissä tapauksissa veroriski kohdistuu sekä yritykseen että työntekijään. Kansainvälisessä kaupassa puolestaan on kansallisia kauppatapoihin liittyviä eroja, jotka on hyvä tunnistaa, koska esimerkiksi yhdessä maassa normaali vieraanvaraisuus voi olla toisessa maassa lahjontaan rinnastettava tilanne. Väärinkäytöksien veroriskit on kuitenkin laaja kokonaisuus, johon kuuluu monentyyppisiä tilanteita sekä välittömässä että välillisessä verotuksessa.

Tietosuoja ja tietoturva

Yhtiön tai konsernin sisäisesti tietosuoja (erityisesti tietosuoja-asetus, Gdpr) ja tietoturva on yleensä hieman helpompi järjestää jo siitä lähtökohdasta, että näiden suunnittelusta alkaen voidaan ottaa huomioon liiketoimintojen, omien yksiköiden ja muiden tahojen tarpeita sekä mitä vaihtoehtoja on näiden osalta. Sopimuskumppanien osalta näihin liittyy lisähaasteita, koska tietojärjestelmissä, tietosuojakäytännöissä ja ylipäänsä eri tahojen toiminnoissa on käytännössä aina eroja.

Asiakkaiden ohella erityisesti alihankkijoiden, suunnittelijoiden, ulkoistettujen tietotekniikka- ja datapalvelujen, tavarantoimittajien sekä muiden tahojen kanssa voi olla vastassa monenkirjavia käytäntöjä, miten näillä on tietoturva ja tietosuoja hoidettu käytännön tasolla. Yhtenä esimerkkinä voisi olla alihankkijan omien tietotekniikkapalvelujen ulkoistukset, jolloin alihankkijalle annettua tietoa voi tämän perusteella päätyä useille alihankkijan omille ulkoistuskumppaneille tai palvelujen toimitusketjussa vieläkin pidemmälle. Oli asiakkaana sitten kuluttaja, yritys tai julkinen sektori, niin asiakassopimuksen riskienhallinnassa on muiden kumppanien sopimuksilla merkittävä rooli.

Edellä olevan kaltaisissa tilanteissa voidaan vaatia alihankkijalta jonkin standardin (esim. ISO) noudattamista tai sertifiointia, joka vähentää riskiä yleisesti. Tietoturvasta ja tietosuojasta julkisuudessa raportoidut tapaukset ja myös oikeuskäytäntö on kuitenkin osoittanut, että riskejä voi toteutua pienien sopimuskumppanien lisäksi myös alansa suurimmissa konserneissakin. Tämän vuoksi riskejä on hyvä arvioida, miten toiminnan jatkuvuus voidaan varmistaa omin toimenpitein ja myös sopimuskumppanien mahdollisten omien jatkuvuussuunnitelmien pohjalta. Apuna riskienhallinnassa on yleensä eri skenaarioita, joiden varalle voidaan varautua vähintään suunnitelman tasolla tai myös konkreettisemmin tekemällä hankintoja, varasopimuksia yms. jatkuvuussuunnitelman täytäntöönpanon nopeuttamiseksi.

Immateriaalioikeudet

Patenttien, toiminimien, rekisteröityjen tavaramerkkien, tekijänoikeuksien, brändien ja muiden julkistettujen oikeuksien ohella on myös muita aineettomia oikeuksia kuten liikesalaisuuksia. Immateriaalioikeuksien sisältö on laaja, minkä vuoksi se on välttämätön osa sopimusten riskienhallintaa. Koska sopimuksien piirissä voi siirtyä tietoa, taitoa tai muuta liiketoimintaosaamista osapuolten välillä, on immateriaalioikeuksien riskejä arvioitava sekä yrityksen oman toiminnan että sopimuskumppanin osalta.

Immateriaaliriskien toteutuminen voi näkyä sopimuksissa eri tavoin. Oikeudellisina riskeinä ne voivat olla patenttiriitoja yritysten välillä, tietojen luvatonta siirtoa tai kopiointia, tietosuojaloukkauksia tai muuten tulkinnanvaraisia kohtia sopimuksessa. Työntekijöillä voi olla esimerkiksi varmuuskopioita eri laitteilla niiden tilanteiden varalle, kun verkkoyhteys ei ole käytössä työmatkoilla, kotona tai muuten, jolloin tietoa voi olla säilytetty sopimuksen vastaisella tavalla. .

Maineriski

Viimeiseksi otan esille lyhyesti maineriskin, joka seuraa yleensä siitä, kun joku muu riski toteutuu liiketoiminnassa. Maineriskillä voi olla vaikutuksia myös toiseen suuntaan eli yhtiön liiketoimintaan, jos rahoituksen saanti vaikeutuu, työntekijöiden kiinnostus yritystä kohtaan heikkenee, uusien sopimusten tekeminen estyy tai vaikeutuu. Maineriskin painoarvo ei nykyisellään näytä ainakaan vähenevän, koska Eu:ssa sekä eri maissa on otettu ja otetaan parhaillaan käyttöön erilaisia vastuulliseen liiketoimintaan liittyviä sääntelykokonaisuuksia kuten Sfdr, Nfrd, TR ja muutoksia eri sektorikohtaisiin sääntelyihin kuten työoikeus, ympäristönsuojelu, yhtiöoikeus ja monet muut alat.

Lopuksi

Monet riskit voidaan luokitella yleisesti operatiivisten riskien alle, koska riski syntyy jostain puutteesta, väärinymmärryksestä tai jopa väärinkäytöksestä yritysten eri prosesseissa. Taloudelliset seuraukset sopimusriskeistä puolestaan voivat ilmetä eri tavoin kuten tulojen menetyksinä, ylimääräisinä kustanuksina, sopimusaseman heikkenemisenä, laatuongelmina tai immateriaalioikeuksien menetyksinä. Sopimusriskien tunnistaminen yrityksen omista lähtökohdista onkin tärkeää, jotta riskienhallinta voidaan mitoittaa yrityksen tarpeiden mukaan.