Epäselvyydet käsitteissä

Sisäinen valvonta

Sisäisestä valvonnasta valtionhallinnon osalta säädetään talousarviolaissa ja talousarvioasetuksessa. Alun perin sisäinen valvonta määriteltiin yksityisen sektorin tapaan taloudenhoitoa koskevaksi sisäiseksi tarkkailuksi ja sisäiseksi tarkastukseksi. Taloudenhoidolla tarkoitettiin tiliviraston kirjanpitoa, maksuliikettä ja varallisuuden hoitoa [--1--]. Määritelmää käytettiin myös Valtiontalouden tarkastusviraston (VTV) tarkastusohjeissa (esimerkit vuosilta 1987 ja 1993). VTV alkoi käyttää INTOSAI:n määritelmää vuonna 1999 [--2--].

Johdon vastuusta sisäisen valvonnan järjestämisessä säädettiin laissa (217/2000) talousarviolain muuttamisesta [--3--]. Samana päivänä [1.3.2000] voimaan tulleessa talousarvioasetuksen muutoksessa (263/2000) säädettiin, että sisäinen valvonta kattaa ns. tilivirastotehtävien lisäksi viraston ja laitoksen talouden ja toiminnan (laillisuus ja tuloksellisuus), hallinnassa olevat varat ja omaisuuden sekä taloudellisen ja toiminnallisen raportoinnin [--4--].

Käsitesekaannus

Vuoden 2004 aikana talousarvioasetusta muutettiin asetuksella (254/2004) niin, että riskienhallinta katsottiin osaksi sisäistä valvontaa. Tämä oli valtiovarainministeriössä (VM) valtiovarain controllerina (VVC) toimineen Tuomas Pöystin idea [--5--]. Se on kuitenkin ristiriidassa COSO:n näkemysten kanssa. Riskienhallinta kattaa laajemman alan kuin sisäinen valvonta [--6--]. Myös The Insitute of Internal Auditors'n määritelmässä sisäinen tarkastuksen kohdealueina erotetaan toisistaan riskienhallinta ja sisäinen valvonta.

Omat kommentit

Käsitteisiin liittyvä sekaannus on haitannut sisäisen valvonnan kehitystyötä. Sisäisen valvonnan ja riskienhallinnan neuvottelukunta käytti riskienhallinnan viitekehystä (COSO-ERM) perustana, jolta luotiin sisäisen valvonnan arviointimalli [--7--]. Valtiolla sisäistä valvontaa alettiin siis arvioida riskienhallinnan viitekehyksen mukaan. Valtiontalouden tarkastusvirasto ei pitänyt suotavana muiden viitekehysten käyttöä sisäisen valvonnan arviointi- ja vahvistuslausuman valmistelussa [--8--].

VM asetti 16.12.2021 sisäisen valvonnan ja riskienhallinnan neuvottelukunnan alaisuuteen erillisen jaoston kehittämään riskienhallintaa. Tämän saattaisi ajatella tarkoittavan, että VM tunnistaa nyt eron sisäisen valvonnan ja riskienhallinnan välillä.

------

[--1--] Ks. talousarvioasetuksen (424/1988) 9 luku (Sisäinen valvonta).
[--2--] Muutos tapahtui aloitteestani, kun sain päävastuun Valtiontalouden tarkastusviraston (VTV) tilintarkastusohjeen muuttamisesta. Kansainvälisesti hyväksyttyihin käsitteisiin siirtyminen kohtasi VTV:ssä muutosvastarintaa (ks. toinen sivu).
[--3--] Säännösmuutoksen valmistelun valtiovarainministeriössä aloitti Vellamo Kivistö jo 1997. Hän otti huomioon kommenttini (6.6.1997). Olin tehnyt Kivistön kanssa EU-varainsiirtojen valvontaan liittyvää tiivistä yhteistyötä (ks. toisen sivun alaviite [--11--).
[--4--] Tilivirastotehtäviin kuuluu myös viraston tai laitoksen vastattavana tai välitettävänä olevien varojen hoito. Viraston ja laitoksen toimintaan voidaan taas lukea toiminnot ja tehtävät, jotka virasto ja laitos on antanut toisten virastojen ja laitosten, yhteisöjen tai yksityisten tehtäväksi tai joista se muuten vastaa.
[--5--] Muutos kytkeytyy sisäisen valvonnan neuvottelukunnan perustamiseen. Siitä säädettiin asetusmuutoksessa (254/2004). VVC:n johdolla pidettiin kokouksia, joissa käsiteltiin EU-varojen tarkastamisen kysymyksiä. Osallistuin kokouksiin Tekesin sisäisen tarkastuksen päällikkönä. Ehdotin VVC:nä toimineelle Tuomas Pöystille, että neuvottelukunta käsittelisi myös riskienhallintaa: johdon panos on tärkeää sekä sisäisessä valvonnassa että riskienhallinnassa. Ehdotukseni toteutui nimen osalta.
[--6--] COSO on julkaissut erikseen sisäistä valvontaa ja riskienhallintaa koskevat viitekehykset. COSO selventää näiden eroa mm. julkaisussaan "Enterprise Risk Management - Integrating with Strategy and Performance" [Executive Summary, June 2017].
– [Johdanto]: "Julkaisut ovat erillisiä ja niillä on eri painopisteet; kumpikaan ei korvaa toista."
– s. 3: "Riskienhallinta käsittelee muutakin kuin sisäistä valvontaa - kuten strategian asettamista, hallintoa, sidosryhmäviestintää ja suoriutumisen mittaamista."
– VTV:n 200-vuotishistoriikissa väitetään virheellisesti, että COSO-ERM olisi vahvistettu julkisen hallinnon sisäisen tarkastuksen standardiksi vuonna 2007. INTOSAI ei vahvista sisäisen tarkastuksen standardeja. Meksikossa hyväksyttiin INTOSAI GOV 9100, joka perustuu COSO IC-viitekehykseen.
[--7--] Ks. Sisäisen valvonnan ja riskienhallinnan neuvottelukunnan suositus 2005. Ks. myös kandidaattitutkielma "Sisäisen valvonnan ja -tarkastuksen organisointi valtion organisaatiossa - Case ELY-keskus", s. 22-23.
[--8--] Tuin Tekesin pääjohtajaa sisäisen valvonnan arviointi- ja vahvistuslausuman valmistelussa COSO-IC:n pohjalta (ks. sivu 1 ja sivu 2 ja raporttiesimerkki). VTV:n tilintarkastajan palautteen mukaan Tekesin olisi ollut parempi käyttää sisäisen valvonnan ja riskienhallinnan neuvottelukunnan suositusta.

Paluu etusivulle
Edellinen valikko
Seuraava sivu

-------