Sisältöön

Sisäinen tarkastus - SecMeter

Ohita valikko
Ohita valikko

Sisäinen tarkastus

Yritysturvallisuus > Compliance
Ohita valikko
Sisäisen tarkastuksen tehtävä yrityksessä



Sisäinen tarkastus on keskeinen osa yrityksen hallintojärjestelmää ja riskienhallintaa. Sen tehtävänä on tuottaa riippumatonta ja objektiivista varmuutta sekä kehittää organisaation riskienhallintaa, sisäistä valvontaa ja johtamis- ja hallintoprosesseja. Sisäinen tarkastus tukee yrityksen tavoitteiden saavuttamista systemaattisella ja riskiperusteisella lähestymistavalla.

Sisäinen tarkastus tuottaa johdolle ja hallitukselle luotettavaa tietoa toiminnan tehokkuudesta, kontrollien toimivuudesta sekä kehityskohteista. Toimintaa ohjaavat kansainväliset standardit, erityisesti The Institute of Internal Auditors (IIA) julkaisemien Global Internal Audit Standards -standardien mukaiset periaatteet, sekä auditointia koskevat ohjeistukset, kuten ISO 19011.

Sisäinen tarkastus eroaa ulkoisesta tilintarkastuksesta. Ulkoinen tilintarkastus keskittyy tilinpäätöksen oikeellisuuden ja lainmukaisuuden varmentamiseen, kun taas sisäinen tarkastus tarkastelee laajemmin organisaation toimintaan liittyviä riskejä, prosesseja ja valvontajärjestelmiä.
Määritelmät ja viitekehykset
IIA määrittelee sisäisen tarkastuksen riippumattomaksi varmistus- ja konsultointitoiminnoksi, jonka tarkoituksena on tuottaa lisäarvoa ja kehittää yrityksen toimintaa. Keskeinen periaate on riskiperusteisuus, jossa tarkastustoiminta kohdistetaan yrityksen merkittävimpiin riskeihin. Sisäisessä tarkastuksessa hyödynnetään laajasti tunnettuja viitekehyksiä, kuten:

  • COSO:n sisäisen valvonnan viitekehys (Internal Control – Integrated Framework)
  • COSO ERM -riskienhallintamalli
  • ISO-standardit (esim. ISO 9001, ISO 14001, ISO/IEC 27001)
  • ISO 19011 -auditointiohjeistus

Kansallinen sääntely ja ohjeistus, kuten finanssialan valvontaviranomaisten vaatimukset ja pörssiyhtiöiden hallinnointikoodi, korostavat sisäisen tarkastuksen roolia hallituksen tukena ja sen riippumattomuuden merkitystä.

Tehtävät ja vastuut
Sisäisen tarkastuksen keskeinen tehtävä on arvioida yrityksen riskienhallinnan, sisäisen valvonnan ja hallintoprosessien tehokkuutta. Työ perustuu vuosittaiseen riskikartoitukseen, jonka pohjalta laaditaan tarkastussuunnitelma. Keskeisiä tehtäviä ovat:

  • riskien tunnistaminen ja arviointi
  • sisäisten kontrollien toimivuuden arviointi
  • johtamis- ja hallintoprosessien tarkastelu
  • sääntelyn ja sisäisten ohjeiden noudattamisen varmistaminen
  • operatiivisten ja strategisten riskien analysointi
  • petos- ja väärinkäytösepäilyjen selvittäminen

Tarkastustyön tulokset raportoidaan johdolle ja hallitukselle tai tarkastusvaliokunnalle. Raportointi sisältää havainnot, johtopäätökset ja suositukset toiminnan kehittämiseksi.

Sisäinen tarkastus ei yleensä vastaa ulkoisesta raportoinnista, vaan sen keskeinen tehtävä on tukea yrityksen sisäistä päätöksentekoa ja valvontaa.

Hyödyt yritykselle
Sisäinen tarkastus tuottaa yritykselle merkittävää lisäarvoa. Sen keskeisiä hyötyjä ovat:

  • riskienhallinnan vahvistuminen
  • prosessien tehokkuuden parantuminen
  • sääntelyn ja ohjeiden noudattamisen varmistuminen
  • väärinkäytösten ennaltaehkäisy
  • johdon päätöksenteon tukeminen
  • sidosryhmien luottamuksen lisääntyminen

Sisäisellä tarkastuksella on myös ennaltaehkäisevä vaikutus, sillä se auttaa tunnistamaan kehityskohteet ennen kuin niistä aiheutuu merkittäviä riskejä tai taloudellisia menetyksiä.

Organisaatiomallit ja riippumattomuus
Sisäinen tarkastus voidaan järjestää yrityksen omana toimintona tai ulkoistettuna palveluna. Valinta riippuu yrityksen koosta, toimialasta ja resursseista.

  • Pienissä yrityksissä tarkastus on usein ulkoistettu
  • Keskisuurissa yrityksissä käytetään yhdistelmämallia
  • Suurissa yrityksissä on tyypillisesti oma sisäinen tarkastusosasto

Riippumattomuus on sisäisen tarkastuksen keskeinen periaate. Käytännössä tämä tarkoittaa, että tarkastustoiminto raportoi suoraan ylimmälle johdolle, hallitukselle tai tarkastusvaliokunnalle, eikä sillä ole operatiivista vastuuta tarkastettavista toiminnoista.

Riippumattomuus varmistetaan myös:

  • erillisellä raportointilinjalla
  • riittävillä resursseilla
  • hallituksen hyväksymällä tarkastussuunnitelmalla

Työkalut ja osaaminen
Sisäisessä tarkastuksessa hyödynnetään analytiikka- ja auditointityökaluja, kuten:

  • data-analytiikkaohjelmistot, esimerkiksi ACL ja IDEA)
  • auditoinnin hallintajärjestelmät, esimerkiksi TeamMate ja Pentana

Keskeisiä viitekehyksiä ovat COSO, ISO 31000 ja COBIT. Datan analysointi ja automaatio korostuvat erityisesti suurissa yrityksissä. Ammatillista osaamista tukevat sertifikaatit, kuten:

  • Certified Internal Auditor (CIA)
  • Certified Information Systems Auditor (CISA)
  • Certified Risk Management Assurance (CRMA)
  • Certified Fraud Examiner (CFE)

Johtopäätökset
Sisäinen tarkastus on keskeinen osa yrityksen hyvää hallintoa ja riskienhallintaa. Sen tuottama riippumaton arviointi ja kehityssuositukset tukevat johdon päätöksentekoa ja parantavat yrityksen toimintavarmuutta.

Toiminnan tehokkuus edellyttää selkeää roolia, riittävää riippumattomuutta ja kansainvälisten standardien mukaista toteutusta. Oikein toteutettuna sisäinen tarkastus ei ole pelkästään valvontatoiminto, vaan strateginen kumppani, joka tuottaa lisäarvoa koko yritykselle.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön