COSO: Sisäinen valvonta ja riskienhallinta ovat kaksi eri asiaa
Committee of Sponsoring Organizations of the Treadway Commission
(COSO)
pitää sisäistä valvontaa ja riskienhallintaa eri asioina
(ks. toisen sivun alaviite [--6--]).
COSO on julkaissut erikseen sisäistä valvontaa ja
erikseen riskienhallintaa koskevat viitekehykset [--1--].
Viitekehykset (1994 ja 2013)
osoitettiin yritysten ja muiden organisaatioiden hallituksille,
jotta ne ymmärtäisivät mitä sisäiseen valvontaan ja riskienhallintaan kuuluu ja
mikä on hallituksen tai sitä vastaavan toimijan vastuu.
Sisäisen valvonnan ja riskienhallinnan rakentaminen ja ylläpito kuuluvat ylimmälle johdolle.
Tarkoitus ei ole, että tilintarkastajat ja sisäiset tarkastajat määrittelevät,
millainen organisaation sisäisen valvonnan ja riskienhallinnan tulee olla.
Tarkastajien tehtävä on toimia ammattistandardiensa mukaisesti,
kun he tekevät johtopäätöksiä sisäisen valvonnan tilasta ja antavat kehittämissuosituksia.
Johtopäätösten tekemistä varten tarvitaan evidenssiä ja kriteereitä.
Kriteereitä voidaan johtaa mm. COSO-viitekehyksestä.
Suositusten toteutuksesta vastaavat kohdeasiasta
tilivelvolliset.
He voivat jättää noudattamatta suosituksia, jos heillä on siihen hyvät perustelut [--2--]
Valtiovarainministeriö: riskienhallinta sisältyy sisäiseen valvontaan
Valtiovarainministeriö (VM) päätti, muuttamalla talousarvioasetusta (TAA),
(254/2004; 65 ยง),
että riskienhallinta sisältyy sisäiseen valvontaan.
Edelleen, tiliviraston
tuli arvioida "sisäisen valvonnan ja siihen sisältyvän riskienhallinnan" asianmukaisuutta ja riittävyyttä
ja antaa sen perusteella lausuma
sisäisen valvonnan tilasta ja olennaisimmista kehittämistarpeista.
Kun arvioinnista oli epäselvyyttä,
valtionvarain controller (VC) Tuomas Pöysti antoi
suosituksen:
sisäistä valvontaa arvioidaan valtiolla riskienhallintakehyksen perusteella [--3--], [--4--]
Omat kommentit
Valtionhallinnossa tarkastajat kokivat ongelmaksi, että
sisäinen valvonta ei kiinnostanut virastojen ja laitosten ylintä johtoa.
VC Pöysti valmisteli säännöksiä sisäisen valvonnan ja riskienhallinnan neuvottelukunnasta (SRNK).
COSO-ERM oli juuri annettu.
Ehdotin Pöystille riskienhallinnan ottamista SRNK:n tehtäväalueeseen [--5--];
se voisi houkutella SRNK:aan virastojen ja laitosten ylimmän johdon edustajia [--6--].
Pöysti tutustui COSO-ERM:iin ja valmisteli talousarvioasetuksen muutoksen: riskienhallinta kuuluu sisäiseen valvontaan.
Sanoin, että asia ei ole noin COSO-viitekehysten mukaan.
Asetusta oli silloin jo muutettu ja sekaannus syntynyt
(ks. s. 1; s. 2 ja s. 3) [--7--].
------
[--1--]
Valtiontalouden tarkastusviraston 200-vuotishistoriikissä väitetään virheellisesti,
että COSO-ERM vahvistettiin julkisen hallinnon sisäisen tarkastuksen standardiksi vuonna 2007.
INTOSAI ei vahvista sisäisen tarkastuksen standardeja.
Sen sijaan Meksikossa hyväksyttiin INTOSAI GOV
9100,
joka perustuu COSO IC-viitekehykseen.
☆ Sisäistä valvontaa tarvitaan riskienhallinnassa, jotta riskienhallinnan toimenpiteet tehdään siten kuin on tarkoitettu.
[--2--]
Ks. esimerkiksi The Insititution of Internal Auditors, implementation guide
standardi 2600.
[--3--]
Asiasta (Käsitesekaannus) on kirjoitettu myös toisella sivulla.
[--4--]
[Mahdollinen alaviite lisätään myöhemmin]
[--5--]
Tutustuin luonnoksiin ja lopulliseen kappaleeseen COSO-ERM:istä heti kun ne julkaisiin.
Mainitsin COSO-ERM:istä Pöystille, joka
mainitsi siitä seuraavassa valtion sisäisten tarkastajien kokouksessa;
kokous koski EU-varainsiirtojen tarkastusta.
Kokouksessa COSO-ERM:stä tiesivät vain Pöysti ja minä.
[--6--]
Näin kävikin, ks. tiedote 9.9.2004, jolla asetettiin ensimmäinen sisäisen valvonnan ja riskienhallinnan neuvottelukunta.
[--7--]
Ongelmallista oli myös, että talousarvioasetuksen mukaan sisäisen valvonnan arviointitehtävä koski tilivirastoa.
Tilivirasto oli tekninen ratkaisu
valtion kirjanpidon ja maksuliikkeen hoitamista varten.
Oli tilivirastoja, jotka ns. päämaksupisteinä hoitivat kirjanpitoa ja maksuliikettä useiden virastojen, laitosten ja rahastojen puolesta.
Viimeksi mainitut olivat maksupisteitä.
Taloudelliset tiedot siirtyivät maksupisteiden ja päämaksupisteen välillä,
mutta päämaksupiste ei ollut vastuussa esimerkiksi talousarvion noudattamisesta maksupisteissä.
On epäselvää, mitä sisäisen valvonnan arviointi käsittää tällaisessa asetelmassa.
|
