Kuva Margit Mannila
Tämän kirjoituksen runkona on Niina Ratsulan erinomaisen hyvä esitys Compliance-toiminnoista.
Compliance
Compliance tarkoittaa suomeksi vaatimustenmukaisuutta. Niina Ratsula (2014) toteaa, että on joutunut pohtimaan useampaan kerran mitä tämä termi oikeastaan tarkoittaa. Ratsula toteaa, että helpoksi asiaa ei tee ollenkaan se, että terminä compliance on melko kattava, mutta toisaalta mitäänsanomaton. Hän toteaa, että suomeksi termi voitaisiin
määritellä ”lakien, sääntöjen ja määräysten noudattamiseksi”.
Otetaan peruslähtökohdaksi siis se, että lakeja ja säännöksiä noudatetaan. On kokonaan toinen kysymys sitten, että onko siinä jotakin erikoista. Niinhän asian pitäisi olla, aivan lähtökohtaisesti, että lakeja ja säännöksiä noudatetaan. Nykyajan työyhteisöt ovat kuitenkin hyvin heterogeenisiä kulttuurisesti eivätkä samat käsitykset esimerkiksi laadusta tai laillisuudesta ole itsestäänselviä. Ratsulan (2014) mukaan käsitteeseen liittyy myös pehmeitä asioita, kuten arvot ja ajatusmaailma. Käyttäydymme reilusti ja rehellisesti kaikissa päivän aikana kohtaamissamme tilanteissa suhteessa kaikkiin kanssamme vuorovaikutuksessa oleviin tahoihin.
Ratsula (2014) kertoo esimerkkinä muutaman vuoden takaisen tapauksen Coca-Colan
ja PepsiCon välillä. Siinä Coca-Colan työntekijä oli lähestynyt
PepsiCo:n työntekijää ja tarjoutunut paljastamaan luottamuksellista
tietoa merkittävää rahasummaa vastaan. Sen sijaan, että PepsiCo olisi
käyttänyt tilaisuutta hyväkseen, tai pelkästään kieltäytynyt
tarjouksesta, se ilmoitti tapauksesta Coca-Colan johdolle.
Miten yksilöt yrityksen sisällä toimivat
- Yrityksen compliance määräytyy pitkälti sen mukaan, miten yksilöt yrityksen sisällä toimivat.
- Kaiken toiminnan ja päätöksenteon taustalla tulisi olla kysymys siitä, mikä on oikea tapa toimia kussakin tilanteessa.
- Lakien ja säännösten noudattamisen lisäksi on tärkeää myös toimia eettisesti oikein.
- Yksittäisten henkilöiden päätöksillä ja teoilla saattaa olla merkittäviä seurauksia koko yrityksen kannalta.
- => tämä merkitys korostuu jatkuvasti entisestään ulkoisten sidosryhmien vaatiessa yhä avoimempaa ja eettisempää toimintaa yrityksiltä.(Ratsula (2014).
Compliance - yrityksen joku muu
Ratsula (2014) huomauttaa, että viime vuosien trendinä on ollut compliance-yksiköiden perustaminen
yrityksiin. Samalla haasteeksi on muodostunut se, että usein organisaation sisällä
saatetaan tämän jälkeen todeta, että ”hienoa, vihdoin olemme saaneet
jonkun joka hoitaa nämä asiat meillä”.
Kuulostaa mielestäni tyypilliseltä joskin aika mielenkiintoiselta. Tämä "jonkun muun" vastuu ja rooli istuu sitkeässä kaikessa ihmisen tekemisessä. Koulumaailmassa opettaja on huono eikä opeta kunnolla jos opiskelija ei opi = viitsi tehdä tehtäviä ja perehtyä syvällisemmin oppitunneilla esiin nostettuihin asioihin. Oppiminen nimittäin on henkilökohtainen prosessi eikä kukaan voi käytännössä toisen puolesta oppia. Ei edes opettaja tai äiti. Vastuu on itsellä.
Kuulostaa mielestäni tyypilliseltä joskin aika mielenkiintoiselta. Tämä "jonkun muun" vastuu ja rooli istuu sitkeässä kaikessa ihmisen tekemisessä. Koulumaailmassa opettaja on huono eikä opeta kunnolla jos opiskelija ei opi = viitsi tehdä tehtäviä ja perehtyä syvällisemmin oppitunneilla esiin nostettuihin asioihin. Oppiminen nimittäin on henkilökohtainen prosessi eikä kukaan voi käytännössä toisen puolesta oppia. Ei edes opettaja tai äiti. Vastuu on itsellä.
Yrityksissä, toteaa Ratsula, Compliance –yksikön yksi
tärkeimmistä tehtävistä onkin käytännössä osoittaa tämä harhakuva
vääräksi, että joku muu hoitaisi hommat ja tuoda compliance -ajattelu selkeäksi osaksi organisaation
kulttuuria. Vastuu kuuluu jokaiselle yksilölle organisaatiossa;
compliance-yksikön tehtävänä on hahmottaa ja kehittää kokonaisuutta ja
tuoda toiminnallaan varmuutta siihen, että compliance-asioihin
kiinnitetään riittävää huomiota, kiteyttää Ratsula (2014).
Compliance-ohjelmista puhutaan myös paljon. Ne
käytännössä muodostuvat siitä työstä, mitä compliance-yksiköissä
tehdään. Compliance -ohjelman kivijalkana toimii tyypillisesti yrityksen
määrittelemät liiketapaperiaatteet (Code of Conduct) eli johdon
julkilausuma siitä, minkälaista toimintaa yrityksen työntekijöiltä ja
usein myös muilta sidosryhmiltä odotetaan, tiivistää Ratsula (2014).
Käytännössä Compliance-ohjelman
painopisteet määrittyvät yleensä johdon tekemän riskianalyysin mukaan,
jossa on arvioitu yrityksen kannalta epäsuotuisia tapahtumia ja niistä
mahdollisesti aiheutuvia taloudellisia menetyksiä, kuten sakkoja tai
tulonmenetyksiä.
Yhä tärkeämpänä seurauksena nähdään myös negatiivisesta julkisuudesta aiheutuvat haitat. Toimivaa compliance-ohjelmaa ei voida implementoida suoraan konsulttien käsikirjasta, vaan sen tulisi perustua yrityksen arvoihin ja merkittävimpiin riskeihin.
Muita tärkeitä compliance-ohjelman palikoita ovat usein esimerkiksi kilpailuoikeussäännöstöjen noudattaminen, lahjonnan ja korruption vastaiset toimet sekä väärinkäytösten ehkäiseminen ja havaitseminen. Omasta mielestäni on lisäksi huomattava, että esimerkiksi kansainvälisyys tuo oman lisähaasteensa yrityksen compliance-toimintoihin. Se, mitä me pidämme lahjontana ja korruptiona ei välttämättä olekaan sitä jossakin muualla, vaan ainoastaan tapa toimia/hoitaa asiat.
Yritykset panostavat nykyisin yhä enemmän myös erilaisten ilmiantokanavien implementointiin, joita pitkin compliance-rikkomuksista voidaan ilmoittaa. Compliance ei ole siis mikään irrallinen asia organisaatiossa, josta huolehtii yksikkö, jonka vastuulle se on annettu. Compliance on viime kädessä sitä, miten me yksilöinä organisaatioissa toimimme, tiivistää Ratsula (2014). Käytännössä siis jonkun muun vastuu onkin sinun ja minun vastuuta asioista ja niiden kulusta.
Yhä tärkeämpänä seurauksena nähdään myös negatiivisesta julkisuudesta aiheutuvat haitat. Toimivaa compliance-ohjelmaa ei voida implementoida suoraan konsulttien käsikirjasta, vaan sen tulisi perustua yrityksen arvoihin ja merkittävimpiin riskeihin.
Muita tärkeitä compliance-ohjelman palikoita ovat usein esimerkiksi kilpailuoikeussäännöstöjen noudattaminen, lahjonnan ja korruption vastaiset toimet sekä väärinkäytösten ehkäiseminen ja havaitseminen. Omasta mielestäni on lisäksi huomattava, että esimerkiksi kansainvälisyys tuo oman lisähaasteensa yrityksen compliance-toimintoihin. Se, mitä me pidämme lahjontana ja korruptiona ei välttämättä olekaan sitä jossakin muualla, vaan ainoastaan tapa toimia/hoitaa asiat.
Yritykset panostavat nykyisin yhä enemmän myös erilaisten ilmiantokanavien implementointiin, joita pitkin compliance-rikkomuksista voidaan ilmoittaa. Compliance ei ole siis mikään irrallinen asia organisaatiossa, josta huolehtii yksikkö, jonka vastuulle se on annettu. Compliance on viime kädessä sitä, miten me yksilöinä organisaatioissa toimimme, tiivistää Ratsula (2014). Käytännössä siis jonkun muun vastuu onkin sinun ja minun vastuuta asioista ja niiden kulusta.
Otan tässä esille vielä Ratsulan (2014) tiiviin kiteytyksen liiketapaperiaatteista. Code of Conduct eli liiketapaperiaatteet ovat johdon julkilausuma siitä, minkälaista toimintaa yrityksen työtekijöiltä ja sidosryhmiltä odotetaan.
Esimerkkejä Code of Conduct -asiakirjoista
Fennia. (15.1.2018).
Finnevera (15.1.2018).
Kesko (15.1.2018).
Tiivistelmä Keskon sivustolta. (15.1.2018).
Nokia (16.1.2018).
"As a young entrepreneur one of my core principles was: ‘We want to be
proud not only of what we achieve but also of the way we achieve it’.
That fits perfectly with Nokia as well, and the code of conduct is our
guideline to being proud of the way we do business." - Risto Siilasmaa,
Nokia Chairman.
Nokia Tyres. (16.1.2018).
Non-Disclosure Agreement
It is said that a non-disclosure agreement (NDA) may be classified as unilateral (yksipuolinen), bilateral (kahdenvälinen), or multilateral (monenkeskeinen) types.
A non-disclosure agreement (NDA) salassapitosopimus on sopimus, jolla pyritään turvaamaan luottamuksellisen tiedon ja/tai materiaalin säilyminen vain yhteisön, yrityksen tai vastaanvan
sisäisessä tiedossa, niin että tietojen vastaanottajilla on tiedon
rajallinen käyttömahdollisuus, tarkalleen ottaen sitä, että tietoa saa jakaa vain sen verran kuin se on sopimuksen mukaan mahdollista.
Mutual NDA template .Word document. (15.1.2018).
Non-Disclosure Agreement. Template. (15.1.2018).
NDA: What is a non-disclousure agreement (NDA). (15.1.2018).
Lindblad, M. Salassapitosopimus -huomioithan nämä. Lindblad. (15.1.2018).
Sisäinen tarkastus
Sisäisen tarkastuksen tehtävänä on tukea organisaation tavoitteiden
saavuttamista ja tuottaa organisaatiolle lisäarvoa. Sisäisen
tarkastuksen työssä keskeisiä alueita ovat ammatillisten käytäntöjen ajatusmalli, sisäinen valvonta ja riskienhallinta ja hallinto ja johtaminen.
1) Ammatillisten käytäntöjen ajatusmalli
Sisäisen tarkastuksen työtä ohjaa IIA:n (The Institute of Internal Auditors) kansainvälinen ammatillisten käytäntöjen ajatusmalli. Ajatusmallissa on sisäisen tarkastuksen toiminta-ajatuksen lisäksi kuusi ohjekokonaisuutta, joista neljä on velvoittavia ja kaksi suositeltuja.
2) Sisäinen valvonta ja riskienhallinta
Sisäinen valvonta ja riskienhallinta ovat organisaation ylimmän johdon vastuulla olevia prosesseja, joiden avulla pyritään varmistamaan organisaation tavoitteiden saavuttaminen.
3) Hallinto ja johtaminen (Corporate Governance)
Corporate Governance on prosessien ja organisaatiorakenteiden yhdistelmä, jonka johto on luonut johtaakseen organisaation toimintaa ja saavuttaakseen asettamansa tavoitteet.
Sisäisen tarkastuksen standardien tarkoitus on kirjoitettu auki Sisäiset tarkastajat ry:n sivustolla olevassa standardien käännöksessä.
Standardien tarkoituksena on
1. ohjata kansainvälisen ammatillisen ohjeistuksen pakollisten osuuksien noudattamisessa
2. määrittää ajatusmalli moninaisten lisäarvoa tuottaviensisäisen tarkastuksen palveluiden suorittamiselle ja edistämiselle
3. luoda pohja sisäisen tarkastuksen tuloksen arvioinnille
4. edistää parempien organisatoristen ja toiminnallisten prosessien kehittämistä. (Sisäinen tarkastus Standardien käännös.)
1. ohjata kansainvälisen ammatillisen ohjeistuksen pakollisten osuuksien noudattamisessa
2. määrittää ajatusmalli moninaisten lisäarvoa tuottaviensisäisen tarkastuksen palveluiden suorittamiselle ja edistämiselle
3. luoda pohja sisäisen tarkastuksen tuloksen arvioinnille
4. edistää parempien organisatoristen ja toiminnallisten prosessien kehittämistä. (Sisäinen tarkastus Standardien käännös.)
Sisäinen tarkastus ja sisäinen valvonta
Niina Ratsula (2011) havainnollistaa kirjoituksesaan sisäisen valvonnan ja sisäisen tarkastuksen eroa. Nämä asiat mielletään Ratsulan (2011) mukaan usein samaksi asiaksi.
Sisäinen valvonta määritellään organisaation sisäisiksi menettely- ja toimintatavoiksi, joiden avulla pyritään varmistamaan toiminnan laillisuus ja tuloksellisuus. Laajimmillaan se voi tarkoittaa kaikkia johdon ohjausjärjestelmiä, joilla edellä mainittuihin tavoitteisiin pyritään.
Sisäinen tarkastuksella tarkoitetaan puolueetonta ja riippumatonta ja objektiivista tarkastusorganisaatiota, jonka toiminnan ulottuvuus voi vaihdella organisaatioittain.
Sisäisen tarkastuksen työtä ohjaa alan kansainvälinen ammatillinen viitekehys, jossa ovat eettiset säännöt, ammattistandardit ja käytännön ohjeet.
Sisäistä valvontaa eivät sido standardit, vaan sen toteutus on johdon päätettävissä. Sen järjestämisessä on olemassa kansallisia ohjeistuksia, joista Ratsula mainitsee Suomen listayhtiöiden hallintakoodin, ja kansainvälisesti vaikuttava SOX-lainsäädäntö.
Käytännössä sisäinen tarkastus voidaan ulkoistaa lähes täysin tai sitten se voi
toimia organisaation erillisessä yksikössä.
Sisäinen tarkastus eroaa
sisäisestä valvonnasta erityisesti siinä, että sisäisellä tarkastuksella
viitataan todelliseen objektiiviseen tarkastustoimintaan, kun taas
sisäisen valvonnan tulisi olla osa organisaation päivittäisiä
toimintoja. Käytännössä, Ratsulan (2011) mukaan, sisäinen tarkastus usein kohdistaakin tarkastuksensa
sisäisen valvonnan toimivuuteen.
Vastuu sisäisestä tarkastuksesta viimekädessä ylimmällä johdolla
Ratsula (2011) huomauttaa, että organisaation sisäisestä rakenteesta riippuu se, miten sisäinen
valvonta ja tarkastus on järjestetty. Jossain yrityksissä nämä voivat
olla kaksi täysin eri funktiota, kun taas toisaalla sisäisen
tarkastuksen toiminto voi olla hyvin laaja kattaen tarkastustoimintojen
lisäksi vastuun sisäisen valvonnan ylläpitämisestä ja kehittämisestä.
Jälkimmäisessä tapauksessa on kuitenkin muistettava säilyttää sisäisen
tarkastuksen riippumattomuus. Mikäli organisaatiossa on sisäisestä
valvonnasta vastaava yksikkö, on huomattava, että sen toimivaltaan
yleensä kuuluu sisäisen valvonnan kehittäminen ja arviointi ja näihin
liittyvien tehtävien koordinointi. Vastuu sisäisen valvonnan
toteuttamisesta kuuluu organisaation jokaiselle osastolle, ja viime
kädessä valvonnasta on vastuussa ylin johto.
Lue Ratsulan (2011) kirjoitus tästä linkistä. http://www.codeofconduct.fi/2011/12/12/mita-eroa-on-sisaisella-valvonnalla-ja-sisaisella-tarkastuksella/
(15.1.2018).
Lähteet ja lukemisto
Ratsula, N. Mitä eroa on sisäisellä tarkastuksella ja sisäisellä valvonnalla. Code of Conduct. (15.1.2018).
Sisäiset tarkastajat ry Ammatillisten asioiden toimikunta. (2016). STANDARDIEN KÄÄNNÖS. SISÄISEN TARKASTUKSEN KANSAINVÄLISET AMMATTISTANDARDIT(STANDARDIT)INTERNATIONAL STANDARDS FOR THE PROFESSIONAL PRACTICE OF INTERNALAUDITING (STANDARDS). (15.1.2018).
Sisäiset tarkastajat ry. (16.1.2018).
Sanastoa
COBIT. Viitekehys IT:n hallinnointiin sekä kontrollien määrittämiseen liiketoiminnan ja teknologian välillä. COBITin tavoitteena on tunnistaa liiketoimintaprosessien ja IT:n riippuvuudet.
Code of Conduct. Code of Conduct voidaan kääntää suomen kielessä esimerkiksi yrityksen (eettiseksi) toimintaohjeeksi. Toimintaohjeessa määritellään yleensä yrityksen yleiset linjaukset, joita yrityksen henkilöstön ja usein myös muiden sidosryhmien, kuten alihankkijoiden ja toimittajien, oletetaan noudattavan. Toimintaohjeessa käsitellään esimerkiksi lakien, säädösten ja määräysten noudattamista, eturistiriitoja, lahjontaa, ihmisoikeuksia, salassapitovelvoitteita, hyvää liiketapaa sekä yhtiön omaisuuden suojelua ja asianmukaista käyttöä. Yrityksen yleistä toimintaohjetta usein täydennetään yksityiskohtaisemmilla säännöillä ja ohjeilla, kuten henkilöstösäännöillä, tasa-arvosäännöillä, työterveys- ja turvallisuussäännöillä sekä ympäristösäännöillä.
Compliance. Vaatimustenmukaisuus eli lakien,säännösten, organisaation politiikkojen, suunnitelmien, menettelytapojen, sopimusten tai muiden vaatimusten noudattaminen.
Corporate Governance. Corporate Governancelle ei ole olemassa yksiselitteistä määritelmää. Yleensä sillä tarkoitetaan kuitenkin sellaista yhtiön hallinnointi- ja ohjausjärjestelmää, joka määrittelee yritysjohdon eli hallituksen ja palkattujen johtajien roolit, velvollisuudet ja heidän suhteensa osakkeenomistajiin. Yksinkertaistettuna Corporate Governancella tarkoitetaan järjestelmää, jonka avulla yritystoimintaa johdetaan ja kontrolloidaan.
COSO. Sisäisen valvonnan malli, joka rakentuu viidestä toisiinsa yhteydessä olevasta osa-alueesta: valvontaympäristö, riskien arviointi, valvontatoimenpiteet, informaatio ja kommunikaatio sekä seuranta.
COSO-ERM. Sisäisen valvonnan ja riskienhallinnan malli, joka rakentuu kahdeksasta tosiinsa yhteydessä olevasta osa-alueesta: valvontaympäristö, tavoitteiden asettaminen, riskien tunnistaminen, riskien arviointi, riskeihin vastaaminen, valvontatoimenpiteet, informaatio ja kommunikaatio sekä seuranta.
COSO-IC. Katso COSO.
Eettinen kanava. Kanava, jonka kautta henkilöstö tai muu sidosryhmä voi ilmoittaa havaintoja mahdollisista väärinkäytösepäilyistä tai yrityksen toimintaohjeiden rikkomisesta. Käytännössä tämä voidaan toteuttaa esimerkiksi internetpohjaisella lomakkeella, jonka voi täyttää myös anonyymisti. Kanava voi olla organisaation sisäinen tai ulkopuolisen palveluntarjoajan ylläpitämä.
Ehkäisevä kontrolli. Ehkäisevien kontrollien tavoitteena on virheiden ja väärinkäytösten ennaltaehkäiseminen, ja ne ovat yleensä sisäänrakennettuja sisäiseen valvontajärjestelmään.
Evidenssi. Evidenssillä tarkoitetaan kaikkea sitä tietoa, jonka pohjalta voidaan todentaa kontrollin toimivuus. Evidenssin avulla kontrollitestausta toteuttava henkilö voi tehdä johtopäätöksiä sisäisen valvonnan tehokkuudesta. Evidenssi voi sisältää kirjanpitoaineistoon liittyvää tietoa ja muuta relevanttia tietoa.
Kontrolli. Kontrolli on mikä tahansa toimenpide, jolla pyritään varmistamaan toiminnan oikeellisuus. Kontrollit voivat olla ehkäiseviä tai paljastavia, automaattisia tai manuaalisia.
Kontrolliheikkous. Kontrolliheikkoudesta on kyse silloin kun sisäinen valvonta ei ole ollut tehokasta. Esimerkiksi kun kontrollia ei ole suoritettu tai se ei ole toiminut tarkoitetulla tavalla.
Kontrollitestaus. Kontrollitestauksen avulla arvioidaan sisäisen valvonnan tehokkuutta. Testausta voi tehdä tilintarkastaja, sisäinen tarkastaja tai sitä voidaan tehdä organisaation omasta toimesta itsearviointina.
Kontrollitoimenpiteet. Kts valvontatoimenpiteet.
Manuaalinen kontrolli. Kontrolli, jonka suorittamisessa on osallisena henkilö. Esimerkkejä manuaalisista kontrolleista ovat erilaiset varmistuskontrollit ja analyyttiset tarkkailut.
Objektiivisuus. Puolueeton asennoituminen, jonka ansiosta sisäinen tarkastaja voi toteuttaa toimeksiantonsa niin, että hän uskoo työnsä tulokseen eikä tee mitään työn laatuun liittyviä myönnytyksiä. Objektiivisuus edellyttää, ettei sisäinen tarkastaja anna muiden henkilöiden mielipiteiden vaikuttaa omiin arviointeihinsa tarkastusasioissa. (Sisäiset tarkastajat ry 2012).
Organisaation riskienhallinta. Organisaation riskienhallinta on sen hallituksen, johdon ja muun henkilökunnan toteuttama prosessi, jota sovelletaan strategian laadinnassa ja koko organisaatiossa ja jonka tarkoituksena on tunnistaa organisaatioon vaikuttavia potentiaalisia tapahtumia ja pitää riskit riskinottohalukkuuden rajoissa, jotta organisaation tavoitteiden toteutumisesta voidaan olla kohtuullisen varmoja.
Otos. Tarkastuksen kohteena olevasta populaatiosta valitut transaktiot tai muut yksiköt, jotka käydään läpi tarkastuksessa, esimerkiksi 15 kpl kaikista yrityksen ostolaskuista tietyllä ajanjaksolla. Otos valitaan yleensä satunnaisotannalla.
Paljastava kontrolli. Paljastavat kontrollit ovat suunniteltu paljastamaan virheitä ja poikkeamia, jotka ovat jo tapahtuneet sekä varmistamaan näiden asianmukainen korjaaminen.
Populaatio. Tarkastuksen kohteena olevien transaktioiden tai muiden yksiköiden kokonaismäärä. Jos esimerkiksi tarkastetaan ostolaskuja puolen vuoden ajanjaksolta, on kokonaispopulaatio kaikki yrityksen ostolaskut puolelta vuodelta.
Riippumattomuus. Sellaiset olosuhteet, jotka eivät vaaranna sisäisen tarkastajan tehtävien tasapuolista ja puolueetonta toteuttamista. (Sisäiset tarkastajat ry 2012).
Riski. Sellaisen tapahtuman mahdollisuus, jolla on vaikutusta tavoitteiden saavuttamiseen. Riskiä mitataan tapahtuman vaikutuksella ja todennäköisyydellä. (Sisäiset tarkastajat ry 2012).
Riskien arviointi. Riskien arviointi tarkoittaa sellaisten riskien tunnistamista ja analysointia, jotka uhkaavat tavoitteiden saavuttamista . Riskien arviointi luo perustan riskienhallinnalle.
Sarbanes-Oxley (SOX). Yhdysvaloissa säädetty laki, joka asettaa määräyksiä kaikkien Yhdysvalloissa pörssinoteerattujen yritysten hallinnosta ja johtamisesta sekä tilintarkastusyhtiöiden toiminnasta.
Sisäinen tarkastus. Sisäinen tarkastus on riippumaton hallituksen ja ylimmän johdon tukitoiminto. Sen tehtävänä on objektiivisella arviointi- ja varmistus- sekä konsultointitoiminnallaan tukea organisaation kehittämistä ja tavoitteiden saavuttamista. Sisäisen tarkastuksen työ kohdistuu koko organisaation toiminnan sisäiseen valvontaan, riskienhallintaan sekä johtamis- ja hallintoprosesseihin. Sisäisen tarkastuksen työtä ohjaa alan kansainvälinen ammatillinen ohjeistus, johon sisältyvät muun muassa eettiset säännöt, ammattistandardit ja käytännön ohjeet. (Sisäiset tarkastajat ry).
Sisäinen valvonta. Organisaation sisäiset menettely- ja toimintatavat, joiden avulla pyritään varmistamaan toiminnan laillisuus ja tuloksellisuus. Sisäiselle valvonnalle ei ole olemassa yhtä ja kaikenkattavaa määritelmää.
SOX 404. SOX-lain pykälä, jonka mukaan yrityksen vuosikertomuksessa tulee 1) mainita yritysjohdon vastuusta riittävän sisäisen valvonnan järjestämisestä ja ylläpitämisestä ja 2) raportoida sisäisen valvonnan tehokkuudesta päättyneen tilivuoden lopulla.
Tarkastusvaliokunta. Hallituksen jäsenistä muodostuva elin, jonka tehtävänä on toimia hallituksen apuna sille kuuluvissa seuranta- ja valvontatehtävissä.
Testiskripti. Testiskripti antaa ohjeet kontrollin arviointiin sekä sen dokumentointiin. Skriptin avulla kuvataan minkälaista evidenssiä kontrollin tehokkuuden todentamiseen tarvitaan.
Toimintaperiaatteet. Toimintaperiaatteet, eli politiikat määrittävät sen, miten organisaa-tiossa kuuluisi toimia. Näitä ovat esimerkiksi hyväksymispolitiikka tai matkustusohjesääntö.
Työtehtävien eriyttäminen. Tehtävien eriyttämisellä tavoitellaan virheiden ja väärin-käytösten estämistä jakamalla työtehtävät useampaan vaiheeseen eri henkilöille. Tieto-järjestelmissä tehokas tehtävien eriyttäminen varmistetaan käyttöoikeuksien rajaamisella.
Valvontatoiminto. Valvontatoiminnot ovat politiikkoja ja menettelytapoja, joiden tarkoitus on varmistaa, että organisaatio toimii johdon asettamien tavoitteiden mukaisesti. Ne auttavat varmistamaan, että tarvittaviin toimiin on ryhdytty organisaation tavoitteiden toteutumista vaarantavien riskien tunnistamiseksi.
Valvontaympäristö. Valvontaympäristöllä viitataan yritystason kontrolleihin, kuten organisaation toimintaohjeeseen (code of conduct), sisäisen tarkastuksen toiminnon olemassaoloon tai esimerkiksi yhteisiin laskentaperiaatteisiin.
Whistleblower-kanava. Kts. Eettinen kanava
Väärinkäytös. Kaikki laittomat toimet kuten petos, salailu tai luottamuksen rikkominen silloinkin, kun niihin ei liity väkivallalla tai voimakeinoilla uhkaamista. (Sisäiset tarkastajat ry 2012).
Lähde: Sisäisen tarkastuksen kansainväliset ammattistandardit. 2012. Sisäiset tarkastajat ry./ & Code of Conduct/ Päivittänyt NR. (15.1.2018).
Comments