Sisäinen valvonta
Sisäisestä valvonnasta
valtionhallinnon osalta säädetään talousarviolaissa
ja talousarvioasetuksessa.
Alun perin sisäinen valvonta määriteltiin yksityisen sektorin tapaan
taloudenhoitoa koskevaksi sisäiseksi tarkkailuksi ja sisäiseksi tarkastukseksi.
Taloudenhoidolla tarkoitettiin tiliviraston
kirjanpitoa, maksuliikettä ja varallisuuden hoitoa [--1--].
Määritelmää käytettiin myös Valtiontalouden tarkastusviraston (VTV) tarkastusohjeissa
(esimerkit vuosilta 1987 ja 1993).
VTV alkoi käyttää INTOSAI:n
määritelmää vuonna 1999 [--2--].
Johdon vastuusta sisäisen valvonnan järjestämisessä säädettiin laissa
(217/2000)
talousarviolain muuttamisesta [--3--].
Samana päivänä [1.3.2000] voimaan tulleessa talousarvioasetuksen muutoksessa
(263/2000)
säädettiin, että sisäinen valvonta kattaa ns. tilivirastotehtävien lisäksi
viraston ja laitoksen talouden ja toiminnan (laillisuus ja tuloksellisuus),
hallinnassa olevat varat ja omaisuuden sekä
taloudellisen ja toiminnallisen raportoinnin [--4--].
Käsitesekaannus
Vuoden 2004 aikana talousarvioasetusta muutettiin asetuksella
(254/2004) niin,
että riskienhallinta katsottiin osaksi sisäistä valvontaa.
Tämä oli valtiovarainministeriössä (VM) valtiovarain controllerina (VVC) toimineen Tuomas Pöystin idea [--5--].
Se on kuitenkin ristiriidassa COSO:n näkemysten kanssa.
Riskienhallinta kattaa laajemman alan kuin sisäinen valvonta [--6--].
Myös The Insitute of Internal Auditors'n
määritelmässä
sisäinen tarkastuksen kohdealueina erotetaan toisistaan riskienhallinta ja sisäinen valvonta.
Omat kommentit
Käsitteisiin liittyvä sekaannus on haitannut sisäisen valvonnan kehitystyötä.
Sisäisen valvonnan ja riskienhallinnan neuvottelukunta käytti
riskienhallinnan viitekehystä (COSO-ERM) perustana, jolta luotiin sisäisen valvonnan arviointimalli [--7--].
Valtiolla sisäistä valvontaa alettiin siis arvioida riskienhallinnan viitekehyksen mukaan.
Valtiontalouden tarkastusvirasto ei pitänyt suotavana muiden viitekehysten käyttöä
sisäisen valvonnan arviointi- ja vahvistuslausuman
valmistelussa [--8--].
VM asetti 16.12.2021
sisäisen valvonnan ja riskienhallinnan neuvottelukunnan alaisuuteen erillisen jaoston kehittämään riskienhallintaa.
Tämän saattaisi ajatella tarkoittavan, että VM tunnistaa nyt eron sisäisen valvonnan ja riskienhallinnan välillä.
------
[--1--]
Ks. talousarvioasetuksen
(424/1988)
9 luku (Sisäinen valvonta).
[--2--]
Muutos tapahtui aloitteestani, kun sain päävastuun Valtiontalouden tarkastusviraston (VTV) tilintarkastusohjeen muuttamisesta.
Kansainvälisesti hyväksyttyihin käsitteisiin siirtyminen kohtasi VTV:ssä muutosvastarintaa
(ks. toinen sivu).
[--3--]
Säännösmuutoksen valmistelun valtiovarainministeriössä aloitti Vellamo Kivistö jo 1997.
Hän otti huomioon kommenttini (6.6.1997).
Olin tehnyt Kivistön kanssa EU-varainsiirtojen valvontaan liittyvää tiivistä yhteistyötä
(ks. toisen sivun alaviite [--11--).
[--4--]
Tilivirastotehtäviin kuuluu myös viraston tai laitoksen vastattavana tai välitettävänä olevien varojen hoito.
Viraston ja laitoksen toimintaan voidaan taas lukea toiminnot ja tehtävät, jotka virasto ja laitos
on antanut toisten virastojen ja laitosten, yhteisöjen tai yksityisten tehtäväksi tai joista se muuten vastaa.
[--5--]
Muutos kytkeytyy sisäisen valvonnan neuvottelukunnan perustamiseen.
Siitä säädettiin asetusmuutoksessa
(254/2004).
VVC:n johdolla pidettiin kokouksia,
joissa käsiteltiin EU-varojen tarkastamisen kysymyksiä.
Osallistuin kokouksiin Tekesin sisäisen tarkastuksen päällikkönä.
Ehdotin VVC:nä toimineelle Tuomas Pöystille, että neuvottelukunta käsittelisi myös riskienhallintaa:
johdon panos on tärkeää sekä sisäisessä valvonnassa että riskienhallinnassa.
Ehdotukseni toteutui nimen osalta.
[--6--]
COSO on julkaissut erikseen sisäistä valvontaa
ja riskienhallintaa koskevat viitekehykset.
COSO selventää näiden eroa mm. julkaisussaan
"Enterprise Risk Management - Integrating with Strategy and Performance" [Executive Summary,
June 2017].
– [Johdanto]: "Julkaisut ovat erillisiä ja niillä on eri painopisteet;
kumpikaan ei korvaa toista."
– s. 3: "Riskienhallinta käsittelee muutakin kuin sisäistä valvontaa
- kuten strategian asettamista, hallintoa, sidosryhmäviestintää ja suoriutumisen mittaamista."
– VTV:n 200-vuotishistoriikissa väitetään virheellisesti,
että COSO-ERM olisi vahvistettu julkisen hallinnon sisäisen tarkastuksen standardiksi vuonna 2007.
INTOSAI ei vahvista sisäisen tarkastuksen standardeja.
Meksikossa hyväksyttiin INTOSAI GOV
9100,
joka perustuu COSO IC-viitekehykseen.
[--7--]
Ks. Sisäisen valvonnan ja riskienhallinnan neuvottelukunnan
suositus 2005.
Ks. myös
kandidaattitutkielma
"Sisäisen valvonnan ja -tarkastuksen organisointi valtion organisaatiossa - Case ELY-keskus", s. 22-23.
[--8--]
Tuin Tekesin pääjohtajaa sisäisen valvonnan arviointi- ja vahvistuslausuman valmistelussa COSO-IC:n pohjalta
(ks. sivu 1 ja sivu 2 ja raporttiesimerkki).
VTV:n tilintarkastajan palautteen mukaan Tekesin olisi ollut parempi käyttää sisäisen valvonnan ja riskienhallinnan neuvottelukunnan suositusta.
| 