LAPPEENRANNAN TEKNILLINEN YLIOPISTO Kauppatieteiden tiedekunta Talousjohtaminen Kandidaatintutkielma Sisäisen valvonnan ja -tarkastuksen organisointi valtion organisaatiossa – Case ELY-keskus Organizing Internal Control and Auditing in the Finnish Government Organization – Case ELY Centre 06.01.2013 Tekijä: Sami M Tolonen Ohjaaja: Pasi Syrjä SISÄLLYSLUETTELO 1  JOHDANTO ........................................................................................ 1  1.1  Tutkimuksen tausta ................................................................................................... 1  1.2  Tutkimusmenetelmä ja -aineisto .............................................................................. 2  1.3  Tutkimuksen tavoitteet, tutkimuskysymys ja rajaukset ........................................ 2  1.4  Tutkimuksen rakenne ............................................................................................... 3  2  TEOREETTINEN VIITEKEHYS .......................................................... 4  2.1  Sisäinen valvonta ...................................................................................................... 4  2.1.1  Sisäisen valvonnan tarkoitus ................................................................................ 5  2.1.2  Sisäisen valvonnan mallit ..................................................................................... 6  2.1.3  Riskienhallinta osana sisäistä valvontaa .............................................................. 9  2.1.4  Sisäinen valvonta julkisella sektorilla ................................................................. 11  2.2  Sisäinen tarkastus ................................................................................................... 12  2.2.1  Sisäisen tarkastuksen tausta ja asemointi ......................................................... 13  2.2.2  Sisäinen tarkastus osana corporate governancea ............................................. 14  2.2.3  Sisäisen tarkastuksen tehtävät ........................................................................... 15  2.2.4  Sisäinen tarkastus julkisella sektorilla ................................................................ 16  3  EMPIIRINEN OSIO ........................................................................... 19  3.1  Taustaa ..................................................................................................................... 19  3.2  Sisäinen valvonta ja riskienhallinta ....................................................................... 20  3.2.1  Sisäisen valvonnan vastuunjako ........................................................................ 21  3.2.2  Toimintasuunnitelma .......................................................................................... 22  3.2.3  Viitekehykset ...................................................................................................... 22  3.2.4  Riskienhallinta .................................................................................................... 23  3.3  Sisäinen tarkastus ................................................................................................... 25  3.3.1  Asema,valtuudet ja periaatteet ........................................................................... 26  3.3.2  Tehtävät ............................................................................................................. 26  3.3.3  Sisäisen tarkastuksen prosessi .......................................................................... 27  4  LOPPUSANAT ................................................................................. 30  4.1  Yhteenveto ............................................................................................................... 30  4.2  Omat kehitysehdotukset ......................................................................................... 32  4.3  Ehdotukset jatkotutkimuksille ............................................................................... 33  LÄHDELUETTELO ................................................................................ 35  LYHENTEET CAF = Common Assessment Framework COSO = Committee of Sponsoring Organizations of the Treadway Commission COSO-ERM = Enterprise Risk Management – Integrated Framework ELY-keskus = Elinkeino-, liikenne- ja ympäristökeskus EUPAN = European Public Administration Network IIA = The Institute of Internal Auditors OYL = Osakeyhtiölaki (2006/624) SEC = US Securities and Exchange Commission SOX = Sarbanes-Oxley Act TaA = Talousarvioasetus (2004/254) VTV = Valtiontalouden tarkastusvirasto 1 1 JOHDANTO 1.1 Tutkimuksen tausta Sisäinen tarkastus on kokenut valtavia murroksia viimeisten vuosikymmenien aikana, ja se on nykymuodossaan erittäin monipuolinen ja haastava toiminta. Siitä on myös muodostunut tämän tämän tutkielman kirjoittajalle erittäin potentiaalinen urapolku lähitulevaisuudessa, mikä on lisännyt entisestään kiinnostusta tutkia aihetta tarkemmin. Idea tutkimukseen lähti aidosta kiinnostuksesta sisäistä tarkastusta kohtaan, josta lopulliseen aiheeseen päädyin muutaman välivaiheen kautta. Merkittävimpänä näistä oli tarjoutunut mahdollisuus päästä tekemään empiirinen osio elinkeino-, liikenne- ja ympäristökeskuksen (ELY-keskus) toiminnasta. Valittu aihepiiri on myös hyvin ajankohtainen, koska organisaatioiden toimintaa tarkkaillaan nykypäivänä tarkemmin kuin koskaan aikaisemmin. Tämän ovat aiheuttaneet monet julkisuudessakin esillä olleet petokset ja väärinkäytökset, joiden seuraukset olemme saaneet kokea globaalisti kansantalouksien makrotasolla asti. 2000-luvun alussa ilmeni useita kirjanpitorikoksia yhtiöiltä kuten WorldCom, Enron ja Tyco International. Yhteisenä piirteenä näissä tapauksissa oli, että organisaatioiden sisäiset valvontajärjestelmät eivät olleet tarpeeksi tehokkaita estämään rikollista toimintaa. Kyseiset skandaalit, etupäässä Enronin tapaus, aiheuttivat suurta painostusta lainsäädännön muokkaamiseen Yhdysvalloissa, joka kulminoitui senaattori Paul Sarbanesin ja edustajainhuoneen jäsenen Mike Oxleyn mukaan nimetyksi laiksi, 30. heinäkuuta vuonna 2002. Lain on arvioitu olevan merkittävin arvopaperimarkkinoihin vaikuttava laki sitten 1930-luvulla säädetyn Securities Act:n. (Ahokas 2012, 132; The Sarbanes- Oxley Act 2006) Sarbanes-Oxley-laki (SOX) käsittää monia yrityksen johtoa ja tilintarkastusta koskevia lukuja, joista erityisesti 404-pykälä on tutkielman aiheen kannalta mielenkiintoinen. Pykälän mukaan yhtiöiden tulee vuosikertomuksessa raportoida yritysjohdon vastuusta sisäisen valvonnan järjestämisestä, ylläpidosta ja tehokkuudesta. Yhtiöiden täytyy määritellä ja dokumentoida kaikki taloudellisen 2 raportoinnin oikeellisuuden kannalta merkittävät prosessit ja avainkontrollit. Tämän jälkeen kontrolleja tulee testata siten, että saadaan riittävästi evidenssiä sisäisen valvonnan tilasta. SOX koskettaa kaikkia yhtiöitä, joiden osakkeilla käydään kauppaa SEC:n (U.S. Securities and Exchange Commission) alaisissa pörsseissä, koskettaen myös muissa maissa toimivia tytäryhtiöitä, joita myös Suomessa toimii useita kymmeniä. (Ahokas 2012, 132, 139) Vuonna 2007 alkunsa saanut maailmanlaajuinen finanssikriisi on omalta osaltaan nostanut yritysten sisäisen valvonnan ja -tarkastuksen median valokeilaan. Yhdysvaltojen subprime-kriisistä kehittynyt tapahtumaketju on pakottanut organisaatioiden sisäisen tarkastuksen harkitsemaan rooliaan, fokustaan, panostaan ja kokoaan sekä kuinka näitä tulisi kehittää tulevaisuudessa (Deloitte 2010, 3). Tutkielman aihe on siis epäilemättä hyvin tärkeä ja ajankohtainen. 1.2 Tutkimusmenetelmä ja -aineisto Tutkimus luokitellaan deskriptiiviseksi eli kuvailevaksi, jolloin se vastaa kysymyksiin ”miten on?” ja ”miksi on?”. Kuvailevan tutkimuksen tavoitteena on rakentaa tutkittavasta kohteesta tarkka kuvaus ja dokumentoida sen keskeiset piirteet (Hirsijärvi et al. 2005, 129-130). Tutkimus on tyypiltään kvalitatiivinen eli aineisto on verbaalista ja visuaalista. Empiirisen osion aineisto on kerätty organisaation dokumenteista, internetsivuilta ja työntekijöitä haastattelemalla. Haastattelut suoritetaan suullisesti sekä strukturoimattomilla eli vapaamuotoisilla kysymyksillä sähköpostin välityksellä. 1.3 Tutkimuksen tavoitteet, tutkimuskysymys ja rajaukset Tutkimuksen päätavoite voidaan muotoilla seuraavasti: - Miten sisäinen tarkastus ja sisäinen valvonta on organisoitu ELY- keskuksessa? 3 Seuraavien alaongelmien avulla pyritään vastaamaan päätavoitteeseen: o Miten sisäinen valvonta ja riskienhallinta on järjestetty? o Mitä toimintatapoja ja viitekehyksiä sisäisessä valvonnassa ja riskienhallinnassa noudatetaan? o Mikä on sisäisen tarkastuksen rooli organisaatiossa? o Miten sisäinen tarkastusprosessi etenee? Teoriaosio on rajattu siten, että käsitellyt asiat toimivat taustatietona empiiriseen osioon siirryttäessä. Empiirisessä osiossa sisäistä valvontaa ja -tarkastusta käsitellään ainoastaan ELY-keskuksen näkökulmasta. Tilintarkastus ja muu organisaation ulkopuolella tapahtuva toiminta on rajattu tämän tutkielman ulkopuolelle. Organisaation toimintaa käsitellään vain niiltä osin kuin se on salassapitoon liittyvien lakien ja asetusten myötä mahdollista. 1.4 Tutkimuksen rakenne Tutkimus on jaettu neljään osioon: johdanto, teoreettinen viitekehys, empiirinen osio sekä yhteenveto ja johtopäätökset, jotka muodostavat myös tutkielman pääluvut. Teoriaosiossa käydään aluksi läpi sisäisen valvonnan tarkoitusta, keskeisiä viitekehyksiä, riskienhallintaa ja sisäisen valvonnan erityispiirteitä julkisella sektorilla. Tämän jälkeen käsitellään sisäisen tarkastuksen taustaa, tehtäväkenttää ja asemointia organisaatioiden sisällä sekä sisäisen tarkastuksen järjestämistä julkisella sektorilla. Empiirinen osio etenee loogisesti samalla rakenteella, eli aluksi kuvaillaan case-yrityksen sisäisen valvonnan ja riskienhallinnan organisointia, jonka jälkeen siirrytään sisäisen tarkastuksen asemaan, valtuuksiin, tehtäviin ja tarkastusprosessin kuvailuun. Lopuksi tehdään yhteenveto tutkimuskysymyksien pohjalta, tuodaan esille omia kehitysehdotuksia organisaation toiminnan järjestämisestä ja pohditaan mahdollisia aiheita jatkotutkimukselle. 4 2 TEOREETTINEN VIITEKEHYS Tutkielman teoriaosion tavoitteena on rakentaa seuraavan luvun empiiristä osiota varten teoreettinen viitekehys, jota vastaan empiirisiä löydöksiä voidaan heijastaa. Teoriaosion alussa käsitellään sisäisen valvonnan ja riskienhallinnan käsitteistöä, ammattistandardeja ja viitekehyksiä, jonka jälkeen siirrytään sisäisen tarkastuksen vastaaviin tietoihin. Tässä vaiheessa on hyvä tehdä selväksi sisäisen valvonnan ja sisäisen tarkastuksen väliset erot, koska tutkielman kirjoittaja on huomannut näiden menevän usein sekaisin. Sisäinen valvonta on organisaation sisäänrakennettu ohjausjärjestelmä, jonka avulla pyritään takaamaan menestyksekäs ja lakien mukainen liiketoiminta. Se on osa organisaation päivittäisiä toimintoja, ja siitä on aina viime kädessä vastuussa yhtiön ylin johto. Sisäinen tarkastus puolestaan on riippumaton ja objektiivinen yksikkö, joka tarkastaa mm. sisäisen valvonnan tehokkuutta ja tarkoituksenmukaisuutta sekä toimii tarvittaessa johtoa konsultoivassa roolissa. Se voi toimia organisaatiossa erillisenä yksikkönä tai se voidaan vaihtoehtoisesti ulkoistaa lähes täysin (Ahokas 2012, 13). 2.1 Sisäinen valvonta Sisäisellä valvonnalla tarkoitetaan organisaation eri tasoille rakennettuja toimenpiteitä ja tapoja. Niiden avulla pyritään varmistamaan, että organisaatio toimii sille asettamien tavoitteiden ja ohjeiden mukaisesti. On lisäksi suositeltavaa, että järjestelmän tilaa arvioidaan vuosittain. (Hirvonen et al. 2003, 222-223) Sisäiset tarkastajat ry:n (2010, 24) suomeksi käännetyt IIA:n (The Institute of Internal Auditors) ammattistandardit määrittelevät sisäisen valvonnan seuraavasti: ”Ne johdon, hallituksen ja muiden osapuolten toimenpiteet, joilla hallitaan riskejä ja siten lisätään päämäärien ja tavoitteiden saavuttamisen todennäköisyyttä. Johto suunnittelee, organisoi ja ohjaa toimintaa niin, että päämäärien ja tavoitteiden saavuttamisesta saadaan kohtuullinen varmuus.” 5 2.1.1 Sisäisen valvonnan tarkoitus Sisäisen valvonnan järjestäminen on pakollista pörssissä noteeratuille yhtiöille. Osakeyhtiölain mukaan ”Hallitus vastaa siitä, että yhtiön kirjanpidon ja varainhoidon valvonta on asianmukaisesti järjestetty” (OYL 6:2 (2006/624)). Corporate governance -työryhmän (2003) suositusten mukaan listattujen pörssiyhtiöiden on määritettävä sisäisen valvonnan ja riskienhallinnan toimintaperiaatteet. Arens ja Loebbecke (2012, 283-284) määrittävät viisi syytä siihen, miksi organisaatioiden on tarkoituksenmukaista kehittää ja ylläpitää tehokasta sisäistä valvontajärjestelmää. Ensinnäkin, yritysjohdolla on oltava tarkkaa ja luotettavaa tietoa liiketoiminnan tuloksellisen toiminnan takaamiseksi. Toinen syy on fyysisen ja immateriaalisen omaisuuden turvaaminen, joka on vaarassa tulla väärinkäytetyksi tai varastetuksi, ellei sitä ole turvattu sisäisellä valvontajärjestelmällä. Näin informaatioaikakautta elettäessä, immateriaalinen omaisuus on yhä tärkeämmässä roolissa – se tulee suojata tietoturvaohjelmin, palomuurein ja siitä on oltava varmuuskopiot fyysisesti eri paikoissa. Kolmanneksi syyksi sisäisen valvontajärjestelmän käytölle Arens ja Loebbecke mainitsevat sen tarkoituksen parantaa organisaation toimintaa tehostamalla resurssien käyttöä. Tähän sisältyy muun muassa tarkat vastuunjaot, jolloin vältytään päällekkäisiltä työsuorituksilta. Uusliberalismia edustava Björn Wahlroos siteeraa usein mediassa osakeyhtiölain viidettä pykälää, jonka mukaan yhtiön toiminnan tarkoituksena on tuottaa voittoa osakkeenomistajilleen (OYL 1:5 ((2006/624). Neljäs syy valvontajärjestelmälle onkin varmistaa, että yhtiön johto pyrkii saavuttamaan omistajien sille asettamat tavoitteet, jotka ovat pääasiassa taloudellisia – yleisimmin yhtiön markkina-arvon kasvattaminen. Viides ja viimeinen syy on vaatimus luotettavasta kirjanpitojärjestelmästä, jonka pohjalta voidaan julkaista luotettavia ulkoisia raportteja. Tärkeänä seikkana sisäistä valvontajärjestelmää suunniteltaessa on aina mietittävä panos-hyöty-suhdetta. Kuten kaikessa taloudellisessa toiminnassa, ei myöskään tässä tapauksessa ole järkevää ottaa sellaista järjestelmää käyttöön, missä kustannukset ylittävät hyödyt. (Arens ja Loebbecke 1991, 283-284) Sisäinen valvonta on osa organisaation sisäänrakennettuja prosesseja, eikä siis ole mikään yksittäinen toimenpide (Holopainen et al. 2006, 45). Otetaan esimerkiksi 6 tuotteen valmistusprosessi, joka alkaa tuoteideasta ja päättyy tuotteen markkinoille viemiseen. Tämä prosessi pitää sisällään mm. seuraavat kontrollit: tuotteen ideointi, rahoitus, sopimukset yhteistyöosapuolien kanssa, suunnittelu, testaus, viimeistely, markkinointi sekä ylläpito ja kehittäminen. Sisäinen valvonta on siis läsnä monella eri toiminnan tasolla ja on tehokkaimmillaan silloin, kun se on organisaation infrastruktuuriin sisäänrakennettuna, niin ettei niiden suorittaja edes huomaa suorittavansa tiettyä kontrollia (COSO 1994). 2.1.2 Sisäisen valvonnan mallit Vuonna 1987 Treadway-komissio julkaisi raportin, jonka tarkoituksena oli kannustaa komissiota tukeneita yhtiöitä kehittämään yhtenäisen sisäisen valvonnan ohjeistuksen. Näiden yhtiöiden yhteistyön tuloksena syntyi COSO-malli. (Root 1998, 114) Mallin tavoitteena on varmistaa, että yrityksen toiminta on tehokasta ja tarkoituksenmukaista, taloudellinen raportointi on luotettavaa ja että yhtiötä koskevia lakeja ja organisaation itselleen luomia säännöksiä noudatetaan. Sisäinen valvonta sisältää viisi toisiinsa liittyvää elementtiä, jotka on esitelty taulukossa 1. Taulukko 1. COSO-malli (mukaillen Holopainen et al. 2006, 41,48) ELEMENTIT        TAVOITTEET              Johtamistapa ja organisaatiokulttuuri        Toimintojen tarkoituksenmukaisuus              Riskien arviointi        Taloudellisen raportoinnin luotettavuus              Päivittäisvalvonta        Lakien ja sääntöjen mukainen toiminta              Raportointi ja tiedonvälitys                       Seuranta ja tarkistus                       Johtamistapa ja organisaatiokulttuuri vaikuttaa työntekijöiden jokapäiväiseen toimintaan. Se toimii perustuksena kaikille muille sisäisen tarkastuksen elementeille, huolehtien järjestyksestä ja kurinpidosta. Se sisältää rehellisyyden, eettisten arvojen 7 ja työntekijöiden keskinäisen toimeentulon sekä johdon toimintafilosofian. Riskien arvioinnilla tarkoitetaan sekä ulkoisten että sisäisten tekijöiden riskien arviointia. Organisaation tulee asettaa tavoitteet, joiden pohjalta riskejä arvioidaan ja määritellä miten havaittuihin riskeihin reagoidaan. Päivittäisvalvonta toimii organisaation kaikilla tasoilla ja sillä varmistetaan, että johdon suunnitelmat toteutetaan sekä yhtiölle asetetut tavoitteet saavutetaan. Se pitää sisällään toimintoja kuten valtuutukset, hyväksynnät ja omaisuuden turvaaminen. Raportointi ja tiedonvälitys -elementti on nimensä mukaisesti raportoinnin ja informaation tuottamista sekä välitystä organisaation sisä- ja ulkopuolelle. Informaation on kuljettava ajoissa ja oikeassa muodossa, jotta yrityksen tehokkuus ei vaarannu. Seurannalla ja tarkistuksella tarkoitetaan sisäisen valvonnan toiminnan laadun ja tehokkuuden jatkuvaa arviointia. Vakavista puutteista tulee raportoida ylimmälle johdolle ja hallitukselle. (COSO 1994) Yhteinen arviointimalli CAF (Common Assessment Framework) on erityisesti julkisille organisaatioille suunniteltu kokonaisvaltainen laadunarviointityökalu, jossa tarkastellaan tulosalueiden lisäksi myös organisaation toimintatapoja. Sen on kehittänyt Euroopan unionin jäsenmaiden välinen, hallintoministereiden johtama verkosto EUPA (European Public Administration Network). Pilottiversio mallista julkistettiin vuonna 2000, ja varsinainen ensimmäinen versio siitä tuli organisaatioiden käyttöön vuonna 2002. CAF:lla on neljä päätavoitetta. Ensinnäkin tarkoituksena on helpottaa laatujohtamisen menetelmien käyttöönottoa. Toiseksi se auttaa löytämään organisaation vahvuudet ja heikkoudet. Kolmantena tavoitteena on auttaa yhdistämään erilaisia käytössä olevia laadunhallintamenetelmiä. Neljänneksi se edesauttaa organisaatioiden välistä vertailukehittämistä. 8 Kuvio 1. CAF-mallin rakenne (mukaillen valtiovarainministeriö 2006, 5) CAF-malli sisältää kriteeristön, joka sisältää yhdeksän arviointialuetta (kuvio 1) ja pisteytystaulukot. Ensimmäiset viisi arviointialuetta tarkastelee toimintatapoja, joiden avulla saavutetaan asetetut tavoitteet. Jälkimmäiset neljä osa-aluetta keskittyvät arvioimaan toimintatavoilla saavutettuja tuloksia eri perspektiiveistä. Mallin suorituskyvyn tunnusmerkkejä ovat mm. tulossuuntautuneisuus, asiakaslähtöisyys, tavoitteiden johdonmukaisuus, jatkuva toiminnan kehittäminen, yhteiskunnallisesti vastuullinen toiminta ja win-win-tilanteisiin rakentuvat kumppanuussuhteet. (Valtiovarainministeriö 2006) Edellä mainittujen mallien lisäksi on olemassa liuta muitakin viitekehyksiä, kuten Kanadasta lähtöisin oleva COCO, IT-kehikko COBIT, julkisen hallinnon COSO:sta kehitetty INTOSAI-kehikko ja riskienhallintaan keskittyvä COSO-ERM-malli. Viimeksi mainittuun malliin perehdytään seuraavassa kappaleessa tarkemmin ja muut rajataan tämän tutkielman ulkopuolelle, koska ne eivät ole käytössä tämän tutkielman empiriaosion case-organisaatiossa. 9 2.1.3 Riskienhallinta osana sisäistä valvontaa Laivassa on kapteeni ja yrityksessä johtajia siksi, että nämä ohjaavat yksikköä siten, että karikot ja liialliset riskit vältetään. Riskienhallinta on liiketoimintaan olennaisesti liittyvien riskien tunnistamista, arviointia ja valvontaa. Tavoitteena riskienhallinnassa on tukea yhtiön strategian toteutumista, tavoitteiden saavuttamista ja taata liiketoiminnan menestyksellinen jatkuvuus. Riskienhallinnassa olennaista on kustannusten ja hyötyjen vertaaminen ja näiden peilaaminen suhteessa yrityksen riskinottokykyyn. Riskeille kartoitetaan hallintakeinoja, jotta riskit saadaan vastaamaan organisaation riskinottokykyä. (Holopainen et al. 2006, 34; Alftan et al. 2008, 83) Sisäisellä valvonnalla on olennainen suhde riskienhallintaan, koska sen avulla toteutetaan merkittävä osa käytännön riskienhallintatoimista. Riskienhallinta ja sisäinen valvonta ovat saman prosessin osia; riskienhallinta pitää yllä sisäisen valvontajärjestelmän ajantasaisuutta ja arvioi toiminnassa tapahtuvien muutosten vaikutusta organisaation toimintaan sekä auttaa sisäisen valvonnan menettelyiden sopeuttamisessa muuttuneisiin olosuhteisiin. (Ahokas 2012, 59) Tutkielman johdannossa mainitut 2000-luvun alkupuolen yritysskandaalit ja lakimuutokset saivat kimmokkeen COSO:n ja PriwateWaterHouseCoopersin yhteisprojektille. Tavoitteena oli luoda kehittyneisiin tarpeisiin vastaava malli yritysten riskienhallinnan avuksi. Vuonna 2001 alkunsa saaneen yhteistyön tuloksena julkaistiin vuonna 2004 viitekehikko nimellä COSO-ERM, Enterprise Risk Management – Integrated Framework. (COSO 2004) Mallilla pyritään saavuttamaan tavoitteita neljällä eri tasolla riskienhallinnassa (taulukko 2). Strategiset, korkean tason tavoitteet ovat linjassa ja tukevat organisaation missiota. Toiminnalliset tavoitteet ovat pyrkimistä organisaation resurssien tehokkaaseen ja taloudelliseen käyttöön. Raportointia koskevat tavoitteet liittyvät lähinnä tuotetun informaation luotettavuuteen. Vaatimustenmukaisuutta koskevat tavoitteet pitävät sisällään organisaatiota koskevien lakien ja säännösten noudattamisen. (COSO 2004, 3) 10 Taulukko 2. COSO-ERM-malli (mukaillen Sisäiset tarkastajat ry, 2012a; COSO 2004) OSA‐ALUEET        TAVOITTEET              Sisäinen ympäristö        Strategiset              Tavoitteenasettelu        Toiminnalliset              Tapahtumien tunnistaminen        Raportointia koskevat              Riskien arviointi        Vaatimustenmukaisuutta koskevat              Vastatoimenpiteet                       Tieto & viestintä                       Seuranta                       COSO-ERM-mallin mukaisesti riskienhallinta koostuu kahdeksasta toisiinsa liittyvästä osa-alueesta (taulukko 2). Sisäinen ympäristö käsittää organisaatiokulttuurin, riskienhallintafilosofian, riskinottohalukkuuden, eettiset arvot sekä ympäristön jossa organisaatio toimii. Tavoitteenasettelun täytyy tukea organisaation toiminta-ajatusta, ja tavoitteet täytyy olla asetettu ennen kuin johto voi tunnistaa mahdolliset tavoitteen saavuttamista haittaavat riskitekijät. Riskeistä arvioidaan todennäköisyys ja mahdolliset vaikutukset, jonka perusteella päätetään vältetäänkö, hyväksytäänkö, vähennetäänkö vai jaetaanko riskejä. Valvontatoimenpiteisiin sisältyy säännöt ja menettelytavat, joiden avulla pyritään varmistamaan, että riskeihin pystytään tehokkaasti vastaamaan. Tieto ja viestintä on relevantin informaation tunnistamista, käsittelyä ja eteenpäin jakamista tehokkaasti. Seuranta pitää sisällään koko organisaation kattavan riskienhallinnan tarkkailemisen ja tarvittavien muutosten tekemisen. (COSO 2004, 3) 11 2.1.4 Sisäinen valvonta julkisella sektorilla Vaikka julkishallinnon organisaatioilla on erilaiset toiminnan piirteet yksityisen sektorin yrityksiin verrattuna, niin myös niissä tarvitaan sisäistä valvontaa. Eroavaisuuksia toiminnassa yksityiseen sektoriin verrattuna ovat muun muassa toiminnan päämäärien erilaisuus, laillisuusnäkökohtien korostuminen sekä erilainen toiminnallinen ympäristö. Julkisen sektorin organisaatioiden kohtaamat riskit ovat varsin erilaisia yrityksiin verrattuna, mikä luonnollisesti vaikuttaa sisäisen valvonnan ja riskienhallinnan järjestämiseen. Huolimatta eroavaisuuksista, sisäisen valvonnan perusperiaatteet ovat yleisesti ottaen relevantteja myös julkishallinnossa. (Blumme et al. 2005, 56) Myös julkisen sektorin sisällä, organisaatioiden välillä, on merkittäviä eroavaisuuksia toiminnassa ja päämäärissä. Otetaan esimerkiksi valtion toiminta, josta merkittävä osa tapahtuu budjettitalouden tilivirastoissa kuten ministeriöissä, yliopistoissa, puolustusvoimissa ja tutkimuslaitoksissa. Ministeriön alaisissa virastoissa johdon asema on vahva, koska osakeyhtiöiden kaltaista hallitusta ei ole olemassa. Johto on yleensä asiantuntijana oman alansa terävintä kärkeä, joka on tärkeää toiminnan ollessa hyvin erikoistunutta – vaatien alan syvällistä tuntemusta. Tämän tyyppinen johtajuustaustan puute saattaa heikentää virastojen tukitoimintojen (esim. sisäisen valvonnan) vaatimaa panostusta. (Ibid, 62) Valtion talousarvioasetuksen mukaan (9:69 (1992/1243)): ”Viraston ja laitoksen johdon on huolehdittava siitä, että virastossa ja laitoksessa toteutetaan sen talouden ja toiminnan laajuuteen ja sisältöön sekä niihin liittyviin riskeihin nähden asianmukaiset menettelyt (sisäinen valvonta), jotka varmistavat: 1) viraston ja laitoksen talouden ja toiminnan laillisuuden ja tuloksellisuuden; 2) viraston ja laitoksen hallinnassa olevien varojen ja omaisuuden turvaamisen; ja 3) viraston ja laitoksen johtamisen ja ulkoisen ohjauksen edellyttämät oikeat ja riittävät tiedot viraston ja laitoksen taloudesta ja toiminnasta.” 12 Saman asetuksen 69 a §:n mukaan, sisäisen valvonnan menettelyissä on otettava huomioon sisäistä valvontaa koskevat yleiset standardit ja suositukset. Blumme et al. (2005, 63) toteavat, että kyseinen pykälä kytkee tilivirastojen sisäisen valvonnan yleisesti hyväksyttyihin viitekehyksiin; COSO, CoCo tai COSO-ERM. He jatkavat, että COSO-ERM on yleisesti suositeltavin sisäisen valvonnan malli, ja perustelevat tämän sillä, että sisäistä valvontaa koskevan talousarvioasetuksen suositus organisaatioiden arviointikehikoksi noudattelee COSO ERM:n rakennetta (Ibid, 63). Talousarvioasetuksen 65 §:n mukaan kaikkien valtion tilivirastojen (johdon ja hallituksen allekirjoittamaan) tilinpäätökseen kuuluvan toimintakertomuksen: ”tulee sisältää arviointi sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä sekä sen perusteella laadittu lausuma sisäisen valvonnan tilasta ja olennaisimmista kehittämistarpeista” (TaA 7:65 (2004/254)), josta käytetään nimitystä ”sisäisen valvonnan arviointi- ja vahvistuslausuma”. Arviointi perustuu useimmiten COSO-IC tai COSO-ERM viitekehyksiin, mutta myös CoCo- ja INTOSAI-mallien viittauksia käytetään. Viitekehyksen pohjalle voidaan myös yhdistää CAF-itsearviointi. Olennaista tässä ei olekaan, mitä metodia käytetään vaan, että on otetaan kokonaisnäkökulma riittävästi haltuun. Yleensä arviointi laaditaan kyselyiden pohjalta, joita täydennetään johdon kokouksissa käymillä keskusteluilla. Monissa arvioinneissa on käytetty myös ulkopuolista tukea, esim. Deloitten tai KPMG:n konsultointia. (Valtioneuvoston controller 2006, 19-20) 2.2 Sisäinen tarkastus Sisäiset tarkastajat ry (2012b) määrittelee sisäisen tarkastuksen seuraavalla tavalla: ”Sisäinen tarkastus on riippumatonta ja objektiivista arviointi- ja varmistus- sekä konsultointitoimintaa, joka on luotu tuottamaan lisäarvoa organisaatiolle ja parantamaan sen toimintaa. Sisäinen tarkastus tukee organisaatiota sen tavoitteiden saavuttamisessa tarjoamalla järjestelmällisen lähestymistavan organisaation riskienhallinta-, valvonta- sekä johtamis- ja hallintoprosessien tehokkuuden arviointiin ja kehittämiseen.” 13 2.2.1 Sisäisen tarkastuksen tausta ja asemointi Sisäisen tarkastuksen rooli organisaatioiden toiminnassa on kehittynyt valtavasti viime vuosikymmenien aikana. Se oli 50-60-luvulla lähinnä tutkimista transaktiotasolla, josta se kehittyi 70-80-luvulla operatiiviseksi toiminnoksi, keskittyen testaamaan kontrolleja ja prosesseja löytääkseen niistä heikkouksia. Riskienhallinta tuli osaksi sisäistä tarkastusta 90-luvulla, ja siten tuotti jo selvää lisäarvoa organisaatiolle. 2000-luvulla sisäisen tarkastuksen tehtäväkenttä laajentui entisestään ja mukaan tuli mm. eettisten asioiden ja yhteiskuntavastuun kehittäminen. (Holopainen et al. 2006, 21) Muutamat tutkimukset (Galloway 1995; Mathews et al.1994) ovat osoittaneet, että asiakkaat eivät aina tunnista sisäisen tarkastuksen tuottamaa todellista lisäarvoa. Australiassa suoritetussa tutkimuksessa (Mathews et al. 1994) tutkittiin toimitusjohtajien käsitystä sisäisestä tarkastuksesta. Tutkimustuloksien mukaan 41,8 % vastaajista uskoi, että sisäinen tarkastus on vain yksinkertaista sisäisen valvonnan tarkastamista. Organisaatioissa on yleensä kolme eri toimijoiden tasoa, joista ylimpänä toimii omistajan asettama hallitus tai sitä vastaava toimielin. Sen vastuulla on järjestää riskienhallinta-, valvonta-, johtamis- ja hallintojärjestelmä siten, että voidaan olla kohtuullisen varma tavoitteiden saavuttamisesta ja riittävästä tiedonsaannista. Hallituksen alla toimii yhtiön operationaalinen johto, jossa ylimpänä henkilönä operoi yleensä toimitusjohtaja ja hänen allaan muu johto, jotka vastaavat organisoinnista, päätöksenteosta, toimeenpanosta ja valvonnasta. Toimivan johdon alaisuudessa toimii loput yhtiön henkilöstöstä. Sisäinen tarkastus sijoittuu organisaatiohierarkiassa hallituksen tai sitä vastaavan toimielimen alaisuuteen ja toimii operationaalisen johdon kumppanina. Muulle organisaatiolle sisäinen tarkastus asemoituu ulkopuolisena, objektiivisena ja riippumattomana arvioijana sekä konsulttina. (Holopainen et al. 2006, 16) IIA:n ammattistandardien mukaan riippumattomuus tulkitaan sellaisten olosuhteiden välttämiseksi, jotka uhkaavat sisäisen tarkastuksen tehtävien puolueetonta 14 hoitamista. Tämän toteutuminen vaatii, että sisäisen tarkastuksen johtajalla on suora ja rajoittamaton keskusteluyhteys organisaation ylimpiin toimielimiin eli hallitukseen ja toimivaan johtoon. Objektiivisuus puolestaan tulkitaan puolueettomaksi asennoitumiseksi toimeksiannoissa, niin että sisäinen tarkastaja ei tee työn laatuun liittyviä myönnytyksiä. Objektiivisuuden edellytyksenä on, että sisäisen tarkastuksen toimeksiannoissa eivät muiden henkilöiden mielipiteet vaikuta tarkastuksen lopputulokseen. (Sisäiset tarkastajat ry 2010, 2) 2.2.2 Sisäinen tarkastus osana corporate governancea Corporate governance, eli hyvä hallinto- ja johtamistapa määritellään lähteestä riippuen eri tavalla, mutta ysinkertaisimmillaan se voidaan määritellä järjestelmäksi, jonka avulla yhtiötä johdetaan ja valvontaan (Cadbury Committee 1992). Suomen pankki (2006) toteaa lausunnossaan Rahoitustarkastukselle (nykyinen Finanssivalvonta) seuraavasti: ”Corporate governance -käsite ei ole vakiintunut, mutta laajasti ymmärrettynä sillä voidaan tarkoittaa kaikkia niitä menettelytapoja ja välineitä, joilla yrityksen omistajat ja muut sidosryhmät pyrkivät vaikuttamaan yrityksen johdon toimintaan ja yrityksen päätöksentekoon.” Corporate governance - suosituksien tarkoituksena on pyrkiä täydentämään lakisääteisiä menettelytapoja (Arvopaperimarkkinayhdistys 2012). IIA on määritellyt corporate governancen keskeisiksi toimijoiksi sisäisen tarkastuksen lisäksi yrityksen johdon, hallituksen ja tilintarkastuksen (Sisäiset tarkastajat ry 2012c). Hermanson ja Rittenberg (2003) ovat osoittaneet edellä mainittujen lisäksi muitakin sidosryhmiä kuten osakkeenomistajat, ammattistandardit ja lainvalvontaviranomaiset. 15 2.2.3 Sisäisen tarkastuksen tehtävät Sisäinen tarkastus voidaan jakaa kahteen osaan: arviointi- ja varmistuspalveluihin sekä konsultointitehtäviin. Ensin mainittu on todisteiden tutkimista, jonka tarkoituksena on tuottaa objektiivisesti ja riippumattomasti arvio yrityksen valvonnasta, riskienhallinasta sekä johtamis- ja hallintoprosesseista. (Kuuluvainen 2001) Valvontaa ja riskienhallintaa arvioitaessa on olennaista paneutua raha- ja reaaliprosessin tiedon luotettavuuteen ja eheyteen. Myös toimintojen tuloksellisuus ja tehokkuus, omaisuuden turvaaminen sekä lakien ja määräysten noudattaminen ovat olennaisia arviointikohteita. Johtamis- ja hallintoprosesseja arvioidessa on olennaista mm. etiikan ja arvojen edistäminen sekä riski- ja valvontainformaation toimiva raportointi organisaation sisällä. (Holopainen et al. 2006, 68) Konsultointi puolestaan on asiakkaiden ongelmien ratkaisua, neuvontaa ja koulutusta (Chapman 2001, 57). IIA:n ammattistandardit lisää edelliseen, että palveluiden tarkoituksena on tuottaa organisaatiolle lisäarvoa ja parantaa organisaation toimintaa ilman, että sisäiselle tarkastukselle lankeaa päätöksentekovastuuta. Konsultointi täytyy siis järjestää siten, että sisäisen tarkastuksen objektiivisuus ja riippumattomuus säilyy. (Sisäiset tarkastajat ry 2004) Edellisessä luvussa käsiteltiin sisäisen valvonnan ja riskienhallinnan merkittävää yhteyttä, mutta myös sisäisellä tarkastuksella on rooli riskienhallinnan arvioinnissa ja kehittämisessä. Sen tehtävänä on varmistaa riskienhallintaprosessin olemassaolo ja arvioida sen riittävyyttä. Sisäinen tarkastus voi ohjeistaa ja neuvoa riskienhallinnan järjestämisessä, mutta se ei saa koskaan hoitaa sitä johdon puolesta. Riskienhallintaan liittyvien päätösten tekemisestä on aina viime kädessä vastuussa yhtiön johto. (Ahokas 2012, 62) Staciokasin ja Rupsysin (2005) mukaan yrityksen johto käyttää sisäistä tarkastusta ensinnäkin varmistuakseen, että riskit on arvioitu ja kontrolloitu tehokkaasti. Toiseksi, johto haluaa saada informaatiota ja suosituksia organisaation toimintojen sekä kontrollien tehokkuudesta. Kolmantena, sisäinen tarkastus toimii sisäiseen valvontaan ja riskienhallintaan liittyvissä asioissa informaation välittäjänä johdon ja tilintarkastuslautakunnan välillä. 16 Sarens ja Beelde (2006) tutkivat sisäisen tarkastuksen ja yhtiön ylimmän johdon välistä yhteistyötä, analysoiden molempien osapuolien odotukset ja havainnot toisiaan kohtaan. Tutkimuksen aineistona käytettiin viittä liikevaihdoltaan, kansainvälisyydeltään ja henkilöstön määrältään erilaista belgialaista case-yritystä. Haastateltavana oli ylimmän johdon asemassa oleva henkilö, yrityksestä riippuen joko toimitusjohtaja tai rahoitusjohtaja. Sisäisen tarkastuksen näkökulmaa haettiin sisäisiltä tarkastajilta ja niiden johtajilta. Tutkimuksen mukaan, yhtiön ylin johto odottaa sisäisen tarkastuksen: (1) tuovan kompensaatiota johdon menettämästä hallinnasta, joka johtuu organisaation kasvaneesta monimutkaisuudesta; (2) olevan organisaatiokulttuurin turvaajana; (3) olevan tukena riskienhallinnan ja sisäisen valvonnan seurannassa ja kehittämisessä; (4) olevan oppikouluna tulevaisuuden johtajia varten; ja (5) toimivan yhteistyössä tilintarkastajan kanssa, parantaen kokonaistarkastuksen kattavuutta. (Ibid) Sisäinen tarkastus puolestaan odottaa johdon ottavan vastuun riskienhallintajärjestelmän alulle panemisessa – muuttamalla omia asenteitaan ja motivoimalla alempia johtoportaita. Sisäisen tarkastuksen hyväksyminen ja arvostus organisaation sisällä ovat vahvasti riippuvaisia tarkastuksen saamasta tuesta yhtiön ylimmältä johdolta. Tämän takia sisäinen tarkastus pyrkii aktiivisesti hakemaan tukea johdolta, tuomalla esille oman panoksensa tuottaman lisäarvon organisaatiolle. Sisäisen tarkastuksen arvostusta lisäävät myös yleisesti kasvanut panostus corporate governanceen sekä yrityksien sisällä tapahtuvat petokset. (Ibid) 2.2.4 Sisäinen tarkastus julkisella sektorilla Valtion talousarvioasetuksen mukaan (TaA 9:70 (2000/263)): Viraston ja laitoksen johdon on järjestettävä sisäinen tarkastus, jos siihen on perusteltua tarvetta 69 ja 69 a §:ssä edellytettyjen sisäisen valvonnan menettelyjen johdosta. Sisäisen tarkastuksen tehtävänä on selvittää johdolle sisäisen valvonnan asianmukaisuus ja riittävyys sekä suorittaa johdon määräämät tarkastustehtävät. 17 Valtiontalouden tarkastusvirasto (VTV) on eduskunnan yhteydessä toimiva, ylin kansallinen tarkastusviranomainen, joka on riippumaton ja puolueeton kaikista virastoista ja laitoksista. VTV:n tehtävänä on tarkastaa valtion taloudenhoidon laillisuutta ja tarkoituksenmukaisuutta sekä tuottaa hyödyllistä ja luotettavaa tietoa tarkastuksista eduskunnalle, valtioneuvostolle ja sen alaisille hallinnoille. (Valtiontalouden tarkastusvirasto 2012) Viraston sisäisen tarkastuksen tulee malliohjesäännön mukaan huolehtia riittävästä yhteydenpidosta ulkoisen tarkastuksen kanssa, joka tarkoittaa käytännössä sitä, että sisäisen tarkastuksen tulee ottaa vuosisuunnitelman laadinnan yhteydessä huomioon aiemmat VTV:n tarkastushavainnot kyseistä virastoa koskien (Valtiovarainministeriö 2007). Sisäisen tarkastuksen toiminnasta julkisella sektorilla löytyy suhteellisen vähän tutkimuksia. Seuraavaksi käydään läpi Goodwinin (2004) tutkimusta, joka käsittelee sisäisen tarkastuksen eroavaisuuksia julkisen- ja yksityisen sektorin välillä. Tutkimus pohjautuu australialaisten ja uusiseelantilaisten organisaatioiden sisäisen tarkastuksen johtajien haastatteluihin. Tuloksien mukaan sisäisellä tarkastuksella on arvostetumpi asema julkisella sektorilla, kun taas yksityisellä sektorilla sisäistä tarkastusta pidetään enemmänkin väliaikaisena työnä, jossa opittuja taitoja voidaan käyttää hyväksi seuraavissa tehtävissä. Sisäisen tarkastuksen tehtävissä työskenneltiin julkisella sektorilla keskimäärin 42 kuukautta ja yksityisellä sektorilla puolestaan työskenneltiin keskimäärin 27 kuukautta. Paperissa tutkittiin sisäisen tarkastuksen ulkoistamista sektoreiden välillä, eikä siinä havaittu tilastollisesti merkittävää eroa – julkisella sektorilla 68 % ja yksityisellä sektorilla 65 % ulkoisti osan toiminnoistaan. Tilastollisesti merkittävää eroa havaittiin puolestaan sisäisen tarkastuksen ulkoistamisessa omalle tilintarkastajalle; julkisella sektorilla ulkoistettiin 24,43 % ja yksityisellä sektorilla 10,82 %. Merkittävä osa kaikista ulkoistuksista keskittyi informaatioteknologiaan, johon julkinen sektori ulkoisti 45 % ja yksityinen sektori 52 %. Vastaajilta kysyttiin myös, miten sisäisen tarkastuksen ajankäyttö jakautuu eri osa- alueiden välillä. Erot sektoreiden välillä eivät olleet tilastollisesti merkittäviä, mutta laadukasta tietoa saatiin tarkastuksen ajankäytöstä. Toimintojen ja järjestelmien tarkastuksiin käytettiin hieman yli kolmasosa ajasta, talouden ja sisäisen valvonnan 18 tarkastukseen vajaa kolmasosa ajasta sekä riskienhallintaan ja erityisiin projekteihin käytettiin molempiin vajaat 20 % työajasta. 19 3 EMPIIRINEN OSIO Tutkielman empiirinen osio on toteutettu tapaustutkimuksena, jossa case-yrityksenä käytettiin valtion organisaatiota, elinkeino-, liikenne- ja ympäristökeskusta (ELY- keskus). Tarkoituksena on ollut selvittää miten sisäinen valvonta ja sisäinen tarkastus on organisoitu kyseisen organisaation sisällä. Kaikki tiedot (ml. kuviot) tässä luvussa perustuvat kahden ELY-keskuksen työntekijän sähköpostilla ja suullisesti antamiin tietoihin sekä organisaation sisäisiin dokumentteihin ja internetsivuihin – mikäli ei toisin mainita. 3.1 Taustaa Organisaatio aloitti toimintansa vuonna 2010, korvaten aiemmat työ- ja elinkeinokeskukset, Tiehallinnon tiepiirit, alueelliset ympäristökeskukset, lääninhallitusten liikenne- ja sivistysosastot sekä Merenkulkulaitoksen. ELY- keskukset toimivat yhteistyössä maakunnan liittojen kanssa ja henkilöstöä organisaatio työllistää noin 3600. Moninaisten tehtävien lisäksi ELY-keskuksen toimintaan tuovat haasteita usean eri sidosryhmän ohjaus, koordinointi ja odotukset. Toimintaa ohjaa strategisesti ja toiminnallisesti työ- ja elinkeinoministeriö, ja toiminnallisesti viisi muuta ministeriötä (oikeus- ja kulttuuriministeriö, sisäasianministeriö, , maa- ja metsätalousministeriö, ympäristöministeriö ja liikenne- ja viestintäministeriö) sekä Liikennevirasto, jotka on esitetty kuvion 2 yläosassa. ELY:ssä on kolme vastuualuetta (kuvion 2 keskiosassa): - elinkeino, työvoima, osaaminen ja kulttuuri - ympäristö ja luonnonvarat - liikenne ja infrastruktuuri ELY-keskuksia on 15 ja niissä on keskuksesta riippuen yksi, kaksi tai kaikki kolme vastuualuetta. Kaikki ELY-keskukset ovat itsenäisesti toimivia yksikköjä, ja jokaisella 20 vastuualueella on oma johtaja, joista yksi toimii oman toimensa ohessa kyseisen ELY-keskuksen ylijohtajana. Vaikka ELY-keskukset operoivatkin itsenäisesti, niin ne toimivat kuitenkin yhtenä kirjanpitoyksikkönä. Yhteistä ja erillistä johtoa ELY- keskusten yläpuolella ei ole, vaan vastuualueiden ylijohtajat kokoontuvat määräajoin vastaavan ministeriön kanssa neuvottelemaan yhteisistä strategioista ja linjauksista. Kuvio 2. ELY-keskusten organisointi 3.2 Sisäinen valvonta ja riskienhallinta ELY-keskus on organisaationa varsin nuori, jonka vuoksi sisäisen valvonnan ja - tarkastuksen toiminnot ovat osittain vielä kehitysvaiheessa. Työ- ja elinkeinoministeriö asetti vuonna 2010 työryhmän kehittämään ELY-keskusten sisäistä valvontaa. Työryhmällä oli kaksi tehtävää. Ensinnäkin tuli valmistella yhteinen ohjeistus ja arviointikehikko sisäisen valvonnan ja riskienhallinnan arvioimiseksi ja kehittämiseksi. Toisena tehtävänä työryhmällä oli laatia yhteiset toimintaperiaatteet organisaatiolle sisäisen valvonnan ja riskienhallinnan järjestämiseksi, joiden tarkoituksena on varmistaa, että sovittuja toimintatapoja ja ohjeita noudatetaan. 21 Työryhmän suosituksena oli, että jokainen ELY-keskus perustaa sisäisen valvonnan ja riskienhallinnan työryhmän, jonka tehtävänä on avustaa ylijohtajaa sisäisen valvonnan ja riskienhallinnan kehittämisessä ja toimeenpanossa. Ryhmien kokoonpanot on muodostettu siten, että niissä on edustus kaikista ELY-keskuksen tärkeimmistä toiminnoista. Valtakunnallisella tasolla toiminta on organisoitu siten, että 1-2 kertaa vuodessa kokoontuvaan yhdyshenkilöverkostoon on nimetty kunkin alueellisen ELY-keskuksen sisäisen valvonnan työryhmästä yksi henkilö sekä sisäisen tarkastuksen- ja työ- ja elinkeinoministeriön henkilöstöä. Yhdyshenkilöverkoston tehtävänä on: (1) edistää ja kehittää sisäisen valvonnan ja riskienhallinnan toimintaa, (2) toimia verkostona yhteydessä sisäiseen tarkastukseen, (3) osallistua valtakunnallisiin koulutustilaisuuksiin, seminaareihin ja kokouksiin, (4) välittää hyviä käytäntöjä ja menettelytapoja omassa ELY-keskuksessaan ja (5) ylläpitää intranet-sivuja sisäisen valvonnan ja riskienhallinnan osalta. 3.2.1 Sisäisen valvonnan vastuunjako Alueelliset yksiköt vastaavat sisäisestä valvonnasta itsenäisesti – yhteisesti sovittujen toimintaperiaatteiden mukaisesti. Organisaation johtava toimielin päättää sisäisen valvonnan strategian ja tavoitteet sekä riskienhallinnan linjaukset ja periaatteet. Lisäksi toimielin seuraa raportointia riskienhallinnan tilasta ja hyväksyy vahvistuslausuman. Toimiva johto puolestaan vastaa asetettujen tavoitteiden saavuttamisesta sekä riskienhallinnan periaatteiden ja sisäisen valvonnan toteutumisesta. Tämän lisäksi johto organisoi toimintaa ja resursseja sekä ylläpitää hyvää sisäistä toimintakulttuuria yhdessä johtavan toimielimen kanssa. Henkilöstö toimii strategioiden, tavoitteiden, linjausten ja niiden pohjalta tehtyjen päätösten mukaisesti. Lisäksi henkilöstö osallistuu valvonnan suunnitteluun ja riskienhallintaan sekä raportoi havaituista poikkeamista. Sisäisen tarkastuksen roolina on arvioida sisäisen valvonnan, riskienhallinnan sekä johtamis- ja hallintoprosessien tehokkuutta. Lisäksi sisäinen tarkastus toimii asiantuntijan asemassa valvontaan ja riskienhallintaan liittyvissä kysymyksissä. 22 3.2.2 Toimintasuunnitelma Sisäisen valvonnan ja riskienhallinnan toimintasuunnitelma laaditaan vuosittain (huhtikuussa) kahden vuoden aikajaksolle. Ensimmäisen vuoden suunnitelma on tarkempi ja toisen vuoden suunnitelma löyhempi, joka tarkentuu seuraavan vuoden suunnitelmassa. Tavoitteena suunnittelussa on valvonnan ja riskienhallinnan menetelmien kehittäminen sekä niiden jalkauttaminen yksiköihin. Sisäisen valvonnan ja riskienhallinnan arviointi suoritetaan vuorovuosin kahden eri viitekehyksen avulla: CAF- ja COSO-ERM-mallilla. Toimintasuunnitelma laaditaan tarkastuksien, arviointien ja kyselyiden pohjalta, esimerkiksi edellä mainittujen mallien tuottamista tuloksista, tietoturvallisuuden arvioinnista, EU-tarkastusten valvonta- ja tarkastushavainnoista sekä henkilöstöbarometri- ja sidosryhmäkyselyiden tuloksien pohjalta. Toimintasuunnitelmaan listataan tehtävät ja niiden vaatimat toimenpiteet vastuineen sekä määräaika ja ohjeistukset. 3.2.3 Viitekehykset Kuten edellä mainittiin, organisaation käytössä on sisäisen valvonnan ja riskienhallinnan arviointiin kaksi mallia: CAF-malli parittomina vuosina ja COSO- ERM-malli parillisina vuosina. Arvioinnit suoritetaan huhti- ja syyskuun välillä. CAF-malli sisältää yhdeksän arviointialuetta, joista viiden ensimmäisen avulla määritellään organisaation toimintatapoja. Neljällä jälkimmäisellä arviointialueella puolestaan tarkastellaan tavoitteiden toteutumista ja saavutettuja tuloksia eri näkökulmista. Jokaiselle osa-alueelle laaditaan kysymykset, jotka voidaan valita esim. kehittämiskohteiksi kyseistä vuotta koskevassa arviointi- ja vahvistuslausumassa nimettyjen asioiden pohjalta. Myös sisäisessä valvonnassa esiin tulleita seikkoja voidaan käsitellä kysymyksissä. ELY-keskuksen käyttämä toinen malli on valtiovarainministeriön valtiovarain controller –toiminnon sekä sisäisen valvonnan ja riskienhallinnan neuvottelukunnan esittämän arviointikehikon pohjalta muokattu organisaatiolle sopivaksi. Malli perustuu 23 COSO-ERM-malliin ja se on yleisesti ottaen muokattavissa käyttötarkoituksen mukaan – kuitenkin niin, että siinä säilyvät sisäisen valvonnan yleisesti hyväksyttyyn viitekehykseen kuuluvat osa-alueet. Kysely voidaan suorittaa tilanteen mukaan eri kohderyhmille, kuten ylimmälle johdolle, esimiehille, tietylle asiantuntijaryhmälle jne. Otoksen on kuitenkin käsiteltävä kaikki organisaation tärkeimmät toiminnot ja oltava tarpeeksi kattava. 3.2.4 Riskienhallinta ELY-keskuksille pidetään yllä yhteistä riskienhallintapolitiikkaa, jossa kuvataan riskienhallinnan perusteet, päämäärät, tavoitteet ja arvioinnit. Toimenpideohjelmalla puolestaan toteutetaan riskienhallintapolitiikan mukaiset päämäärät ja asetetaan välitavoitteita niiden saavuttamiseksi. Ohjelma pitää sisällään organisaation omien tavoitteiden lisäksi ohjaavien ministeriöiden asettamat tavoitteet. Kuvio 3. Riskienhallintaprosessi Riskienhallintaprosessi alkaa riskien tunnistamisesta, jonka jälkeen ne luokitellaan yhteisen tekijän mukaan (kuvio 3). Riskin luonteen mukaan jaettuja kategorioita on 24 yhteensä seitsemän. Strategiset ja vaikuttavuusriskit pitää sisällään riskit valitun strategian tarkoituksenmukaisuudesta tai realistisuudesta sekä mahdollisuuksien hyödyntämättä jättämisestä strategiaa laadittaessa. Tuloksellisuusriskit tarkoittaa ulkoisesta toimintaympäristöstä sekä sidosryhmistä johtuvia riskejä. Laillisuusriskit ja hyvän hallinnon vajeet ovat väärää laintulkintaa, tietämättömyyttä uusista laeista, hyvän hallintotavan vastaista toimintaa sekä salassapitovelvollisuuden rikkomista. Varoja ja omaisuutta koskevat riskit pitää sisällään uhkan siitä, että tuotannontekijät eivät vastaa tarpeita sekä erilaiset vahingot, onnettomuudet ja muut yleiset turvallisuusriskit. Ohjaus- ja johtamisriskeihin liittyy riski siitä, että oma strategia ei vastaa ohjaavan ministeriön strategiaa, organisaatiorakenne ei tue tuloksellisuutta ja vastuusuhteet ovat epäselvät. Henkilöstö- ja osaamisriskit ovat työtapaturmiin, henkilöstön osaamisen tasoon, työhyvinvointiin ja koulutukseen liittyviä riskejä. Informaatio- ja tietoriskit pitää sisällään riskejä mm. puutteellisen informaation pohjalta tehtyyn päätöksentekoon, sekä tietoturvallisuudessa ja tietoteknisissä järjestelmissä olevien puutteiden kautta syntyvät riskit. Luokittelun jälkeen riskit arvioidaan niiden vaikuttavuuden perusteella, jossa käytetään riskilukua; V2 x Tn, jossa V = vaikutus / seuraus ja Tn = todennäköisyys. Kuviossa 4 on riskiluvun pohjalta laadittu taulukko, jossa riskit on jaettu ryhmiin niiden vaikuttavuutta painottaen. Ryhmän 1 riskit ovat kriittisiä ja strategisia, jolloin niitä täytyy välttää tai vaihtoehtoisesti valvoa tarkasti. Ryhmään 2 kuuluvat riskit pyritään hallitsemaan riskiä jakamalla ja vakuutuksilla. Ryhmän 3 riskit otetaan haltuun toimintaa parantamalla. Ryhmän 4 riskit ovat vähäiset, joten riski hyväksytään ja sitä hallitaan sekä seurataan. Riskienhallintaprosessi päättyy riskien priorisointiin ja merkittävien riskien haltuunottosuunnitelman tekemiseen, jossa kuvataan riskitekijät, riskien vaikutukset, hallintatoimenpiteet, vastuut ja raportointi. 25       1.  Kriittiset riskit           2.  Hallittavat riskit           3.  Hallittavat riskit           4.  Riskit vähäiset                      Va ik ut us  /  Se ur au s ( V)   4  16  32  48  64  3  9  18  27  36  2  4  8  12  16  1  1  2  3  4     1  2  3  4     Todennäköisyys (Tn)       Kuvio 4. Vaikuttavuutta painottava riskitaulukko Riskiluvun vaikutus ja seuraus arvioidaan riskin tai haitan negatiivisella vaikutuksella organisaation talouteen, strategisiin tavoitteisiin, henkilöstöön, asiakkaisiin ja muihin sidosryhmiin. Seuraus voi olla: vähäinen (1), kohtalainen (2), merkittävä (3) tai kriittinen (4). Riskin todennäköisyyttä arvioitaessa epätodennäköinen (1) tarkoittaa, että riskin todennäköisyys toteutua on < 2 %, eikä riski ole toteutunut aiemmin. Kohtalainen todennäköisyys (2) tarkoittaa alle 10 %:n todennäköisyyttä, eikä ole tietoa aiemmasta toteutumisesta. Todennäköisen (3) riskin toteutumisen todennäköisyys on < 25 % ja toteutumista on vaikea ennaltaehkäistä. Erittäin todennäköinen (4) riski toteutuu > 25 %:n todennäköisyydellä ja se on toteutunut lähiaikoina. 3.3 Sisäinen tarkastus ELY-keskusten sisäisen tarkastuksen toiminnot on organisoitu Etelä-Savon ELY- keskuksen yhteydessä toimivaan tilivirastoyksikköön. Sisäisen tarkastuksen riippumattomuus ja objektiivisuus varmistetaan sillä, että tilivirastotehtävät 26 suoritetaan muista yksiköistä ja vastuualueista erillään omassa yksikössään. Ohjeistuksena on, että sisäisen tarkastuksen tulee pidättäytyä sellaisten toimintojen tarkastuksesta, joista on ollut vastuussa viimeisen vuoden sisällä. 3.3.1 Asema,valtuudet ja periaatteet Sisäisen tarkastuksen kohteena ovat kaikki ELY-keskukset sekä kaikki toiminnot, joihin ELY-keskuksilla on valvontavelvoite ja -oikeus. Sisäisellä tarkastuksella on oikeudet saada käyttöönsä salassapitosäännösten estämättä kaikki tiedot ja asiakirjat, joita tarvitaan tarkastustehtävissä. Tarkastettavat yksiköt on velvoitettu auttamaan sisäistä tarkastusta tarpeen vaatiessa. Tarkastajalla on oikeus ottaa haltuunsa materiaalia, mikäli epäillään väärinkäytöksestä tai rikoksesta. Sisäinen tarkastus ei ole koskaan päätösvaltainen tai vastuullinen tarkastettavien toimintojen suhteen. Toiminnassaan tarkastuksen on toimittava yleisesti hyväksyttyjen sisäisen tarkastuksen ammattistandardien, suosituksien ja eettisten periaatteiden mukaisesti. 3.3.2 Tehtävät Sisäisen tarkastuksen tehtävänä on selvittää, että onko sisäinen valvonta ja riskienhallinta järjestetty asianmukaisesti ja riittävästi – siten, että ne takaavat ELY- keskusten toiminnan tuloksellisuuden ja laillisuuden. Lisäksi tarkastajat suorittavat vuosittaisen toimintasuunnitelman mukaiset tarkastustehtävät. Havainnoistaan tarkastajat raportoivat ELY-keskusten johdolle. Lisäksi sisäinen tarkastus antaa neuvontaluonteista konsultointia sisäistä valvontaa ja riskienhallintaa koskevissa asioissa. Konsultointi ei saa kuitenkaan koskaan vaarantaa sisäisen tarkastuksen riippumattomuutta ja objektiivisuutta. 27 3.3.3 Sisäisen tarkastuksen prosessi Yksittäiset tarkastukset perustuvat vuosittaiseen suunnitelmaan, jonka työ- ja elinkeinoministeriö hyväksyy sekä muihin johdon hyväksymiin toimeksiantoihin ja erityisiin seikkoihin. Tarkastuksen suunnittelussa otetaan huomioon tarkastuskohteen tavoitteet, sitä uhkaavat riskit sekä valvonnan ja riskienhallinnan riittävyys. Tarkastuksen yleistavoitteena on luoda kohteelle lisäarvoa ja kehittää sen toimintaa. Seuraavaksi käydään läpi tarkastusprosessin kulku, joka on myös havainnollistettu kuviossa 5. Kuvio 5. Sisäinen tarkastusprosessi Yksittäisen tarkastuksen laajuus määritellään siten, että tarkastuksen tavoitteet saavutetaan. Tarkastussuunnitelmaan tarkennetaan tarkastettava prosessi, ajanjakso jonka ajalta tapahtumat tarkastetaan sekä tarkastuksen ulkopuolelle rajattavat asiat. Arviointiperusteena tarkastuksessa käytetään tekijöitä organisaation sisältä (arvot, strategia, visio, missio jne.) ja ulkopuolelta (lait, säännökset ja standardit). Tarkastusta suunniteltaessa määritellään tarkastuksen ajankohta, valmistautumisaikataulu, tarkastuskäynnin ajankohta, tarkastusraportin valmistumisajankohta sekä seurannan aikataulu. Suunnitelmaan määritellään myös 28 tarkastuksessa käytettävät resurssit, jotka riippuvat tarkastusprosessin luonteesta ja sen edellyttämästä ajasta – aina valmistautumisesta seurantaan asti. Resurssien määrittelyssä on otettava huomioon myös tarkastajien määrä, heidän osaamistaso ja koulutustarve sekä mahdollisten ulkopuolisten resurssien käyttö. Valmistautuminen tarkastukseen tapahtuu hankkimalla riittävästi etukäteismateriaalia, kuten tarkastuskohteen aiemmat tarkastusraportit, kohteeseen liittyvät dokumentit sekä harkitut otannat tietojärjestelmistä ja kirjanpidosta. Tämän jälkeen etukäteismateriaaliin tutustutaan ja sitä analysoidaan tarkasti, koska mahdolliset ongelmat ja riskit voidaan havaita jo tässä vaiheessa, ja siten voidaan päätellä mihin tarkastus tulisi ensisijaisesti kohdistaa. Yksikössä paikan päällä suoritettavan tarkastuskäynnin aikana käydään keskusteluita toiminnoista vastaavien ja muiden asiaan liittyvien henkilöiden kanssa sekä tarkastetaan sähköisiä ja paperimuotoisia dokumentteja. Keskusteluissa esiin tulleista asioista pyydetään aina kirjallisessa muodossa oleva dokumentti – suullista tietoa ei kirjata koskaan totena. Keskusteluissa käydään läpi tarkastuksen tavoitteet, laajuus, haastattelut ja tarkastuksen suorittajat(t). Lisäksi käsitellään tarkastusprosessi, johdon huolenaiheet, tarkastajan kiinnostuksen kohteet ja huolenaiheet sekä tarkastuksen raportointi ja seurantamenettelyt. Keskusteluiden jälkeen tarkastussuunnitelmaa voidaan vielä tarkentaa. Tarkastettavista dokumenteista käytetään ainoastaan alkuperäisiä kappaleita. Tarkastuksessa tietoja verrataan edellisiin vastaaviin kausiin, eri vuosien budjetteihin ja muihin vastaaviin yksiköihin. Erityistä huomiota kiinnitetään odottamattomiin eroihin, ja mahdollisten poikkeamien syyt selvitetään. Tarkastuksesta laaditaan työpapereita, joihin dokumentoidaan tarkastusprosessin eri vaiheet, pitäen sisällään ainakin suunnitelman, sisäisen valvonnan arvioinnin, hankitun informaation sekä tehdyt havainnot ja johtopäätökset. Pienetkin yksityiskohdat merkataan papereihin, vaikka niihin tehtäisiin tarkastettavan taholta välittömästi muutoksia. Työpaperit ovat apuna toteutuksessa, arvioinnissa ja toimivat laadunvarmistuksen pohjana. Lisäksi ne auttavat uuden tarkastuksen tai meneillään olevan tarkastuksen seurantavaiheen suunnittelussa. 29 Tarkastuskäynnin lopussa tarkastaja voi kertoa tekemistään havainnoista tarkastettavalle. Tarkastaja laatii myös alustavan tarkastusraportin, jonka hän sen jälkeen käy läpi tarkastuspäällikön kanssa. Tämän jälkeen luonnos raportista toimitetaan kommentoitavaksi tarkastuskohteelle. Lopuksi käydään tarpeen vaatiessa ja mahdollisten väärinymmärrysten oikaisemiseksi keskustelu, johon osallistuu yleensä tarkastettavan yksikön johto, sisäinen tarkastaja ja sisäisen tarkastuksen päällikkö. Lopulliseen tarkastusraporttiin kirjataan merkittävimmät havainnot, niiden taustalla olevat syyt, seuraukset ja riskit sekä toimenpidesuositukset. Lisäksi kirjataan sovitut korjaustoimenpiteet ja tarkastuksen aikana esiin tulleet positiiviset havainnot. Raporttiin voidaan myös kirjata suositusten ja kehittämisehdotusten seuranta. Tarkastettavan täytyy lähettää viimeistään kahden kuukauden kuluttua sisäiselle tarkastukselle päätös siitä, että mitä toimenpiteitä on tarvetta tehdä tarkastustuloksien pohjalta. 30 4 LOPPUSANAT 4.1 Yhteenveto Tutkimuksen tavoitteena on ollut selvittää, miten sisäinen valvonta ja sisäinen tarkastus on organisoitu case-organisaatio elinkeino-, liikenne-, ja ympäristökeskuksessa. Kuviossa 6 esitetään yhteenveto tutkimuksen keskeisten toimijoiden välisistä suhteista. Kuvio 6. Yhteenveto sisäisen valvonnan ja -tarkastuksen organisoinnista Tutkimuksen tavoite pyrittiin selvittämään alaongelmien avulla, joihin suoraan vastaamalla tehdään tämän luvun alkuun yhteenveto tutkielman keskeisistä tuloksista. Kaksi ensimmäistä alaongelmaa käsittelee sisäistä valvontaa ja kaksi jälkimmäistä puolestaan sisäistä tarkastusta. Tämän jälkeen seuraa omaa pohdintaa kehitysehdotuksista organisaation toiminnan järjestämisestä, ja lopuksi käydään läpi tutkielmaa tehdessä heränneitä ajatuksia mahdollisille jatkotutkimuksille. 31 Ensimmäisenä alaongelmana käytettiin seuraavaa: ”Miten sisäinen valvonta ja riskienhallinta on järjestetty?”. Toiminta on järjestetty siten, että kaikki ELY- keskukset vastaavat sisäisestä valvonnasta itsenäisesti, yhteisesti sovittujen toimintaperiaatteiden mukaisesti. Jokaisessa ELY-keskuksessa on työryhmät, joiden tehtävänä on avustaa ylijohtajaa sisäisen valvonnan ja riskienhallinnan kehittämisessä ja toimeenpanossa. Jokaisen ELY-keskuksen työryhmästä on valittu yksi henkilö yhdyshenkilöverkostoon, johon kuuluu lisäksi henkilöstöä sisäisestä tarkastuksesta ja työ- ja elinkeinoministeriöistä. Verkoston tavoitteena on mm. kehittää sisäisen valvonnan toimintaa, huolehtia koulutuksesta ja välittää hyviä käytäntöjä ja menettelytapoja ELY-keskuksiin. Muu henkilöstö toimii sovittujen strategioiden, tavoitteiden ja linjauksien mukaisesti, ja toimii tarvittaessa apuna suunnittelussa. Sisäinen tarkastus toimii asiantuntijan roolissa sisäiseen valvontaan liittyvissä asioissa. Toisena alaongelmana oli: ”Mitä toimintatapoja ja viitekehyksiä sisäisessä valvonnassa ja riskienhallinnassa noudatetaan?”. ELY-keskuksen sisäisen valvonnan ja riskienhallinnan toimintasuunnitelma laaditaan vuosittain kahden vuoden aikajaksolle. Ensimmäisen vuoden suunnitelmasta tehdään tarkempi ja toisen vuoden suunnitelmasta väljempi, joka tarkentuu seuraavan vuoden suunnitelmassa. Sisäisen valvonnan arviointi suoritetaan vuorovuosin kahden eri viitekehyksen avulla; CAF- ja COSO-ERM-mallilla, joista ensimmäistä käytetään parittomina vuosina ja jälkimmäistä puolestaan parillisina vuosina. Arvioinnit suoritetaan huhti- ja syyskuun välillä. ELY-keskusten riskienhallintapolitiikalla määritellään riskienhallinnan perusteet, päämäärät, tavoitteet ja arvioinnit. Toimenpideohjelma puolestaan pitää sisällään organisaation ja ohjaavien ministeriöiden välitavoitteet, joiden avulla saavutetaan riskienhallintapolitiikan mukaiset päämäärät. Riskienhallintaprosessilla kuvataan miten riskien tunnistamisesta päädytään riskien luokittelun, arvioinnin ja priorisoinnin kautta haltuunottosuunnitelmaan. Riskit luokitellaan niiden luonteen mukaan seitsemään kategoriaan, ja riskit arvioidaan niiden vaikuttavuuden perusteella, käyttäen riskilukua V2 x Tn, jossa V = vaikutus / seuraus ja Tn = todennäköisyys. Kolmannessa alaongelmassa selvitetään sisäisen tarkastuksen asemaa, valtuuksia, periaatteita ja tehtäväkenttää, ja se on muotoiltu seuraavasti: ”Mikä on sisäisen 32 tarkastuksen rooli organisaatiossa?”. Sisäisen tarkastuksen toiminto on organisoitu Etelä-Savon ELY-keskuksen tilivirastoyksikköön, mutta fyysisesti organisaation kolme tarkastajaa sijaitsevat ympäri Suomea; Kouvolassa, Kokkolassa ja Oulussa. Tilivirastoyksikkö toimii muista yksiköistä erillään, ja siten on varmistettu mm. sisäisen tarkastuksen riippumattomuus ja objektiivisuus. Sisäisen tarkastuksen kohteena ovat kaikki ELY-keskukset sekä kaikki toiminnot, joihin ELY-keskuksilla on valvontavelvoite ja -oikeus. Sisäisellä tarkastuksella on valtuutena saada käyttöönsä kaikki tarvittavat tiedot ja asiakirjat tarkastustehtäviä varten. Tarkastajat voivat myös ottaa haltuunsa materiaalia, epäillessä rikoksesta tai väärinkäytöksestä. Sisäisen tarkastuksen tehtävänä on suorittaa vuosittaisten toimintasuunnitelman mukaisten tarkastustehtävien lisäksi sisäisen valvonnan ja riskienhallinnan tarkastusta sekä toimia konsultoivassa roolissa sisäiseen valvontaan liittyvissä asioissa. Neljäntenä ja viimeisenä alaongelmana käytettiin seuraavaa: ”Miten sisäinen tarkastusprosessi etenee?”. Tarkastusprosessi alkaa suunnittelulla, jossa määritellään mm. tarkastuksen ajankohta, laajuus ja tarkastettavat toimenpiteet. Tämän jälkeen tutustutaan tarkastettavaan kohteeseen, ja tässä vaiheessa voidaan jo havaita mahdollisia ongelmia tai riskejä. Seuraavaksi suoritetaan varsinainen yksikössä paikan päällä tehtävä tarkastuskäynti, jossa keskustellaan asianomaisten henkilöiden kanssa sekä tutkitaan sähköisiä ja paperimuotoisia dokumentteja. Tarkastuksen aikana laaditaan työpapereita, joihin dokumentoidaan tarkastuksen eri vaiheet. Lopuksi laaditaan tarkastusraportti, joka sisältää merkittävimmät havainnot tarkastettavasta yksiköstä sekä näiden korjaamiseen vaadittavat toimenpidesuositukset. 4.2 Omat kehitysehdotukset Sisäisen valvonnan ja -tarkastuksen yksi päätehtävistä on tehostaa organisaation toimintaa. Tutkielmaa tehdessä ja case-yrityksen toimintaa tutkiessa heräsikin useita kehitysehdotuksia, joilla toimintaa voitaisiin saada tehokkaammaksi ja selkeämmäksi. Käyn seuraavaksi läpi organisaation toiminnan hierarkiatasolla ylhäältä alaspäin, ja kerron omia ajatuksia näihin liittyen. 33 Kuten aiemmin tuli ilmi, ELY-keskuksen toimintaa ohjaa kuusi ministeriötä ja yksi virasto – mikä on mielestäni liian monitahoinen ohjausmalli. Ylipäätään, puhuttaessa ministeriöistä, tulisi niitä mielestäni yhdistää ja siten vähentää, jotta keskimäärin heikolla kannattavuudella toimivan julkisen sektorin toimintaa saataisiin tehostettua. Uskoisin, että myös ELY-keskukselle olisi hyötyä siitä, että ohjaavia ministeriöitä olisi vähemmän, ja siten saataisiin vahvistettua ja selkeytettyä toiminnan ohjausta. Nykyisellään ELY-keskukset toimivat itsenäisesti, eikä yhteistä johtoa ole olemassa. Oman näkemykseni mukaan alueellisten yksiköiden yläpuolelle tulisi perustaa keskushallinto, jotta koko organisaation toiminnan kehittäminen olisi yhtenäisempää ja tehokkaampaa. Hyvin harvassa on yksityiseltä sektorilta esimerkit siitä, että yrityksellä olisi pelkät alueelliset yksiköt, mutta ei yhteistä päätoimista johtoa. ELY-keskuksia on yhteensä 15, ja monet yksiköt ovatkin varsin pieniä. Tämäkin vaikuttaa hieman tehottomalta, koska jokaisessa ELY-keskusksessa on oma johto ja hallinto. Yksiköitä yhdistämällä saataisiin toimintoja keskitettyä, tehostettua ja saavutettua skaalaetuja. Nykyisellään ELY-keskusten ylijohtaja toimii virassaan oman toimensa ohessa, mutta yksiköitä yhdistämällä ja vähentämällä voitaisiin ottaa käyttöön organisaatiomalli, jossa olisi päätoimiset ylijohtajat. Viimeinen ehdotukseni liittyy organisaatiomalliin, jossa yksiköt nykyisellään jaetaan kolmeen vastuualueeseen (1. elinkeino, työvoima, osaaminen ja kulttuuri, 2. ympäristö ja luonnonvarat, 3. liikenne ja infrastruktuuri). Ymmärrettävästi, ELY- keskusta rakentaessa kolmesta erillisestä virastosta, on ollut helpoin säilyttää tämä jako myös yhdistymisen jälkeen. Mielestäni olisi tehokkaampaa organisoida yksiköt toiminnoittain (esim. suunnittelu, hankinta jne.), jolloin ELY-keskuksista tulisi nykyisen ”saman katon alla kolme eri virastoa” -rakenteen sijaan yhtenäisempiä toimintoja. 4.3 Ehdotukset jatkotutkimuksille Tämä tutkielma käsittelee mielestäni varsin perusteellisesti sisäisen valvonnan ja - tarkastuksen organisointia ELY-keskuksessa, enkä näe tarvetta viedä tällä rajauksella tutkielmaa yhtään pidemmälle. Sen sijaan jatkotutkimusta voisi tehdä 34 esimerkiksi ELY-keskuksen sisäisen tarkastuksen ja tilintarkastuksen dynamiikasta, jossa voitaisiin tutkia tahojen välistä yhteistyötä, roolitusta ja tehtäviä. Edellisessä alaluvussa mainitsin, että valtion organisaatiot ovat keskimäärin varsin tehottomia, joten olisikin mielenkiintoista ottaa verrokiksi saman kokoluokan organisaatio yksityiseltä sektorilta, ja tutkia tarkemmin mistä erot tehokkuudessa syntyvät. 35 LÄHDELUETTELO Ahokas N. (2012) Yrityksen sisäinen valvonta. Jyväskylä, Edita Publishing. Alftan M., Blumme N., Heikkala J., Kontula L., Miettinen O., Pakarainen E., Sinersalo K., Sjölund R., Sundvik P., Tarvainen J., Tikkanen R., Turakainen O., Urrila A. & Vesa J. (2008) Corporate Governance sisäisen valvonnan ja riskienhallinnan näkökulmasta. 2. p. Helsinki, KPMG & Edita Publishing. Arvopaperimarkkinayhdistys (2012) Corporate Governance, mitä se on? [verkkodokumentti] [Viitattu 18.10.2012]. Saatavilla http://cgfinland.fi/corporate- governancesta/corporate-governance-mita-se-on/ Blumme N., Karhu P., Kontula L., Laitakari J., Linna M., Nordin J., Sovasto J., Tarvainen J., Tikkanen R., Turakainen O., Urrila A. & Vesa J. (2005) Corporate Governance sisäisen valvonnan ja riskienhallinnan näkökulmasta. 1. p. Helsinki, KPMG & Edita Publishing. Cadbury Report (1992) Report of the Committee on the Financial Aspects of Corporate Governance. London. [verkkodokumentti] [Viitattu 18.10.2012]. Saatavilla http://rru.worldbank.org/Documents/PapersLinks/1253.pdf Chapman, C. (2001) Raising the Bar. The Internal Auditor 58, 3, 55-59. COSO (1994) Internal Control – Integrated Framework – Executive Summary [verkkodokumentti]. [Viitattu 14.10.2012]. Saatavilla http://www.coso.org/documents/Internal%20Control-Integrated%20Framework.pdf COSO (2004) Internal Control – Enterprise Risk Management – Integrated Framework – Executive Summary [verkkodokumentti]. [Viitattu 14.10.2012]. Saatavilla http://www.coso.org/documents/coso_erm_executivesummary.pdf Corporate governance -työryhmä (2003). Suositus listayhtiöiden hallinnointi- ja ohjausjärjestelmistä. [pdf-dokumentti]. [Viitattu 17.10.2012]. Saatavilla http://www.ecgi.org/codes/documents/recommendation_fin.pdf 36 Deloitte (2010) The Changing Role of Internal Audit [verkkodokumentti]. [Viitattu 13.10.2012]. Saatavilla http://www.deloitte.com/view/en_BE/be/services/aers/internalaudit/efeb39896dea721 0VgnVCM100000ba42f00aRCRD.htm Galloway D. (1995) Internal Auditing: A Guide for the New Auditor. Altamonte Springs, Florida, The Institute of Internal Auditors. Goodman J. (2004) A Comparison of Internal Audit in the Private and Public Sectors. Managerial Auditing Journal 19, 5, 640-650. Hermanson D., Rittenberg E. (2003) Research Opportunities in Internal Auditing. Chapter 2: Internal Audit and Organizational Governance. Altamontc Springs, Florida. Hirsijärvi S., Remes P. & Sajavaara P. (2005) Tutki ja kirjoita. Jyväskylä, Gummerus. Hirvonen A., Niskakangas H., Wahlroos J. (1997) Hyvä hallitustyöskentely. Juva, WSOY. Holopainen A., Koivu E., Kuuluvainen A., Lappalainen K., Leppiniemi J., Mikola M. & Vehmas K. (2006) Sisäinen tarkastus. Helsinki, Tietosanoma. Kuuluvainen A. (2001) Aktiivinen riskienhallinta, positiivinen valvonta ja tehokas hallinto sekä niistä informointi vaativat hallituksilta erityishuomioita. Tilintarkastus – Revision 45, 4, 7-15. Mathews C., Cooper B., Leung P. (1995) CEOs' Perceptions of Internal Audit in Australia. Internal Auditing 10, 4, 61-64. OECD (2004) Principles of Corporate Governance [verkkodokumentti]. [Viitattu 14.10.2012]. Saatavilla http://www.oecd.org/corporate/corporateaffairs/corporategovernanceprinciples/31557 724.pdf Root S. (1998) Beyond COSO: Internal Control to Enhance Corporate Governance. New York. John Wiley & Sons. 37 Sarbanes-Oxley Act. (2006) A Guide to the Sarbanes-Oxley Act [verkkodokumentti]. [Viitattu 15.12.2012]. Saatavilla http://www.soxlaw.com/ Sarens G. & Beelde I. (2006) The Relationship Between Internal Audit and Senior Management: A Qualitative Analysis of Expectations and Perceptions. International Journal of Auditing 10, 3, 219-241. Sisäiset tarkastajat Ry. (2010) Sisäisen tarkastuksen ammattistandardit [verkkodokumentti]. [Viitattu 13.10.2012]. Saatavilla http://www.theiia.fi/instancedata/prime_product_yhdistys/sisaisettarkastajat/embeds/s isaisettarkastajatstructure/standards_translation_into_fi_final_clean_.pdf Sisäiset tarkastajat Ry. (2012a) Sisäinen valvonta ja riskienhallinta [verkkodokumentti]. [Viitattu 14.10.2012]. Saatavilla http://www.theiia.fi/ammatilliset_asiat/sisainen_valvonta Sisäiset tarkastajat Ry. (2012b) Sisäisen tarkastuksen määritelmä [verkkodokumentti]. [Viitattu 14.10.2012]. Saatavilla http://www.theiia.fi/ammatilliset_asiat/sisainen_tarkastus/ammatillinen_viitekehikko_i ppf_ Sisäiset tarkastajat Ry. (2012c) Hallinto ja johtaminen [verkkodokumentti]. [Viitattu 17.10.2012]. Saatavilla http://www.theiia.fi/ammatilliset_asiat/corporate_governance# Staciokas R. & Rupsys R. (2005) Internal Audit and its Role in Organizational Government [verkkodokumentti]. [Viitattu 17.10.2012]. Saatavilla http://search.proquest.com/abiglobal/docview/222771420/fulltextPDF/139D4D154783 AEC84B3/13?accountid=27292 Suomen pankki (2006) Luotettava hallinto [verkkodokumentti]. [Viitattu 18.10.2012]. Saatavilla http://www.finanssivalvonta.fi/fi/Saantely/Maarayskokoelma/Rahoitussektori/1_Hallint okulttuuri_ja_liiketoiminta/Documents/1_3_std1_Suomen_Pankki.pdf Valtiovarainministeriö (2004) Yhteinen arviointimalli CAF – Organisaation kehittäminen itsearvioinnin avulla [verkkodokumentti]. [Viitattu 17.10.2012]. Saatavilla 38 http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/04_hallinnon_kehittamin en/20060927CAF200/CAF_julkaisu_netti.pdf Valtiovarainministerö (2007) Sisäisen tarkastuksen malliohjesääntö [verkkodokumentti]. [Viitattu 2.11.2012]. Saatavilla http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/Saate_ja_malli.rtf Valtioneuvoston controller (2005) http://www.valtiokonttori.fi/Public/download.aspx?ID=67287&GUID=%7B62D44F83- E099-46E0-8E10-71E3BE164C24%7D Sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumat vuodelta 2005 [verkkodokumentti]. [Viitattu 26.10.2012]. Saatavilla Valtiontalouden tarkastusvirasto (2012) Käsitteitä [verkkodokumentti]. [Viitattu 2.11.2012]. Saatavilla http://www.vtv.fi/vtv/tehtavat_ja_toimialue