Sisäisen valvonnan rooli kestävyysraportointidirektiivin mukaisen raportoinnin toteuttamisessa
Toiminen, Tuomas (2024)
Kandidaatintutkielma
2024
School of Business and Management, Kauppatieteet
Kaikki oikeudet pidätetään.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe202501216072
https://urn.fi/URN:NBN:fi-fe202501216072
Tiivistelmä
Sisäinen valvonta on johtamisjärjestelmä, joka pyrkii COSO-viitekehyksen mukaan toimintojen tehokuuteen ja tarkoituksenmukaisuuteen, taloudellisen raportoinnin luotettavuuteen ja lakien ja säännösten noudattamiseen. Nämä tavoitteet ovat entistä merkittävämpiä EU:ssa toimiville yrityksille vuoden 2024 keväällä voimaan tulleen kestävyysraportointidirektiivin myötä. Direktiivi tekee kestävyysraportoinnista vakiomuotoista sekä nostaa sen yhtä velvoittavaksi kuin tilinpäätös vuosikertomuksessa. Kestävyysraportointi tulee voimaan porrastetusti ja lopulta koskee myös suoraan pk-yrityksiä.
Tämän tutkimuksen tavoitteena oli tutkia sisäisen valvonnan roolia, käytäntöjä ja vastuunjakoa kestävyysraportointidirektiivin (CSRD) kontekstissa. Aineisto koostui Neste Oyj:n vuoden 2023 vastuullisuusraportista ja suuren suomalaisen teollisuusyrityksen sisäisen tarkastuksen johtajan haastattelusta. Tutkimuksen analyysi perustui COSO-viitekehykseen ja kolmen linjan malliin. Analyysimenetelmänä sovellettiin teorialähtöistä sisällönanalyysiä.
Tutkimuksen tulokset osoittivat, että sisäisen valvonnan vastuut kestävyysraportoinnissa jakautuvat kestävyysraportoinnin osalta kolmen linjan mallin mukaisesti, jossa ensimmäinen linja vastaa kestävyysdatan tuottamisesta, toinen linja luo ohjeita ja kontrolleja, ja sisäinen tarkastus toimii tämän prosessin riippumattomana arvioijana. Keskeiset sisäisen valvonnan käytännöt, kuten tone at the top-kulttuurin vahvistaminen, riskien arviointi esimerkiksi TCFD- viitekehyksellä, lähdejärjestelmien kontrollit ja audit trailit, tukevat raportoinnin oikeellisuutta ja luotettavuutta. Sisäinen tarkastus varmistaa raportoinnin jatkuvan kehittämisen vaatimustenmukaisuuden. Ulkoinen tarkastus varmistaa viimeisenä tiedon oikeellisuuden ja vahvistaa vuosikertomuksen. Internal control is a management system that, according to the COSO framework, aims at operational efficiency and effectiveness, reliability of financial reporting, and compliance with laws and regulations. These objectives have become increasingly important for companies operating within the EU following the enforcement of the CSR Directive in spring 2024. The directive standardizes sustainability reporting and elevates it to the same level of obligation as financial reporting. Sustainability reporting will be implemented gradually and will eventually directly impact small and medium-sized enterprises.
The aim of this study was to examine the role, practices, and responsibilities of internal control in the context of the Corporate Sustainability Reporting Directive (CSRD). The data consisted of the 2023 sustainability report of Neste Corporation and an interview with the chief internal auditor of a large Finnish industrial company. The analysis was based on the COSO framework and the Three Lines Model. A theory-driven content analysis was applied as the research method.
The study results indicated that the responsibilities of internal control in sustainability reporting are divided according to the three lines model. In this model, the first line is responsible for producing sustainability data, the second line establishes guidelines and controls, and internal audit acts as an independent assessor of this process. Key internal control practices, such as reinforcing the tone at the top culture, risk assessment using frameworks like TCFD, source system controls, and audit trails, support the accuracy and reliability of reporting. Internal audit ensures the continuous development and compliance of reporting processes. External audit ultimately verifies the accuracy of the data and certifies the annual report.
Tämän tutkimuksen tavoitteena oli tutkia sisäisen valvonnan roolia, käytäntöjä ja vastuunjakoa kestävyysraportointidirektiivin (CSRD) kontekstissa. Aineisto koostui Neste Oyj:n vuoden 2023 vastuullisuusraportista ja suuren suomalaisen teollisuusyrityksen sisäisen tarkastuksen johtajan haastattelusta. Tutkimuksen analyysi perustui COSO-viitekehykseen ja kolmen linjan malliin. Analyysimenetelmänä sovellettiin teorialähtöistä sisällönanalyysiä.
Tutkimuksen tulokset osoittivat, että sisäisen valvonnan vastuut kestävyysraportoinnissa jakautuvat kestävyysraportoinnin osalta kolmen linjan mallin mukaisesti, jossa ensimmäinen linja vastaa kestävyysdatan tuottamisesta, toinen linja luo ohjeita ja kontrolleja, ja sisäinen tarkastus toimii tämän prosessin riippumattomana arvioijana. Keskeiset sisäisen valvonnan käytännöt, kuten tone at the top-kulttuurin vahvistaminen, riskien arviointi esimerkiksi TCFD- viitekehyksellä, lähdejärjestelmien kontrollit ja audit trailit, tukevat raportoinnin oikeellisuutta ja luotettavuutta. Sisäinen tarkastus varmistaa raportoinnin jatkuvan kehittämisen vaatimustenmukaisuuden. Ulkoinen tarkastus varmistaa viimeisenä tiedon oikeellisuuden ja vahvistaa vuosikertomuksen.
The aim of this study was to examine the role, practices, and responsibilities of internal control in the context of the Corporate Sustainability Reporting Directive (CSRD). The data consisted of the 2023 sustainability report of Neste Corporation and an interview with the chief internal auditor of a large Finnish industrial company. The analysis was based on the COSO framework and the Three Lines Model. A theory-driven content analysis was applied as the research method.
The study results indicated that the responsibilities of internal control in sustainability reporting are divided according to the three lines model. In this model, the first line is responsible for producing sustainability data, the second line establishes guidelines and controls, and internal audit acts as an independent assessor of this process. Key internal control practices, such as reinforcing the tone at the top culture, risk assessment using frameworks like TCFD, source system controls, and audit trails, support the accuracy and reliability of reporting. Internal audit ensures the continuous development and compliance of reporting processes. External audit ultimately verifies the accuracy of the data and certifies the annual report.