Arviointi- ja vahvistuslausuma

1. Hyvät käytännöt sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumien valmistelussa ja hyödyntämisessä Tilintarkastuspäällikkö, JHTT Väinö Viherkoski 29.9.2008

2. Arviointi- ja vahvistuslausuma • Lähtökohtana sisäisen valvonnan ja riskienhallinnan arvioinnille ja siitä johdettavalle lausumalle ovat valtion talousarviosta annetun asetuksen 69 §:ssä säädetyt tavoitteet. • Tarkoituksena on saada esiin johdon kannanottoja ja arviointeja sisäisen valvonnan ja siihen kuuluvan riskienhallinnan tilasta. • Arvioinnissa käytetään apuna asetuksen 69 a §:ssä tarkoitettuja sisäistä valvontaa koskevia yleisiä standardeja ja suosituksia ja näihin perustuvia arviointimalleja.

3. Arviointi- ja vahvistuslausuman tarkoitus on • korostaa johdon vastuuta sisäisen valvonnan ja riskienhallinnan järjestämisestä ja johtamisesta; • lisätä johdon ja henkilöstön tietoisuutta sisäisen valvonnan merkityksestä; • tukea systemaattista ja jatkuvaa sisäisen valvonnan ohjausta ja kehittämistä osana toiminnan johtamista; • antaa virastoa ohjaavalle taholle käsitys sisäisen valvonnan tilasta ja olennaisista kehittämiskohteista sekä • lisätä yleistä luottamusta toimintayksikön ja siten koko valtionhallinnon toimintaan.

4. Yhteenvetoa vuosien 2005-2007 lausumista • Virastoissa ja laitoksissa on kiinnitetty aikaisempaan enemmän huomiota sisäiseen valvontaan ja riskienhallintaan. Johto on ollut enemmän mukana. On syntynyt arviointimenettelyitä. • Yleisesti eniten kehitystä on tapahtunut niissä virastoissa ja laitoksissa, joissa sisäinen tarkastus on vienyt asiaa eteenpäin. • Lausumat ovat sisällöltään ja rakenteeltaan varsin hajanaisia. Lausumien taustalla olevat käytännöt ovat varsin vaihtelevia ja monelta osin on olennaista kehittämistarvetta. • Varsin laajasti vaikuttaa vielä siltä, että käytettyjä viitekehyksiä ei ole sisäistetty tai niitä ei ole kyetty soveltamaan käytäntöön, mikä saattaa aiheutua sisäisen valvonnan ja riskienhallinnan vaatimasta erityisosaamisesta ja vaikeudesta käsitteiden sisäistämisessä.

5. Yhteenvetoa vuosien 2005-2007 lausumista • Parhaimmissa lausumissa on selkeä linja, joissa voi havaita pitkän tähtäimen tavoitteellisuuden ja kehittämislinjan kehittämistoimen-piteiden ja toimenpiteiden yhteydestä. • Ministeriöiden toimenpiteet hallinnonalan osalta ovat olleet melko vähäisiä. Ministeriön roolia sisäisen valvonnan ja riskienhallinnan kehittämisessä olisi tarvetta vahvistaa.

6. VTV:n suosituksia 1: sisäisen valvonnan ja riskienhallinnan järjestäminen kokonaisuutena valtionhallinnossa • Tavoite: Valtionhallintoon luodaan sisäisen valvonnan ja riskienhallinnan kokonaisuus, jossa erityisesti on tarpeen vahvistaa Coso-ERM –viitekehyksen (Intosai gov 9130) suuntaisen kokonaisvaltaisen riskienhallinnan rakentamista. • Riskienhallintaa (Coso-ERM) tulisi jatkossa kehittää siten, että sitä sovellettaisiin ”valtiokonsernitasoisesti” nykyisen, lausumasta aiheutuvan, yksinomaan virastokohtaisen soveltamisen sijasta. • Sisäinen valvonta ja riskienhallinta olisi suositeltavaa kytkeä osaksi tulosohjausprosessia, ottaen huomioon tavoitteiden aset-taminen sekä hallinnonala- että virastotasoilla. Riskien tarkastelu olisi suositeltavaa yhdistää valtionhallinnon tuloskäsitteistöön eli ns. tulosprismaan muokkaamalla se ”riskiprismaksi”.

7. VTV:n suosituksia 1: sisäisen valvonnan ja riskienhallinnan järjestäminen kokonaisuutena valtionhallinnossa • Edellä esitetyn koko "valtiokonsernin" lähtökohdasta tarkasteltu-na voitaisiin suosituksena pitää sitä, että riskienhallinnan merkitys korostuu valtioneuvosto- ja ministeriötasolla. • Virastokohtaisissa lausumissa korostuisivat aina sisäisen valvon-nan peruselementit. • Riskienhallinnan merkitys korostuisi viraston toiminnan ja talou-den laajuuden ja sisällön sekä niihin liittyvien riskien mukaan. • Merkittävimmissä virastoissa ja laitoksissa tulisi järjestää myös riskienhallinnan menettelyt riittävän kattaviksi. • Keskeistä: Kokonaisvaltainen ajattelu, olennaisuus ja riski.

8. Valtionhallinnon ”riskiprisma”

9. VTV:n suosituksia 2: sisäisen valvonnan ja riskienhallinnan kattavuuden parantaminen • Tavoite: Sisäinen valvonta ja riskienhallinta järjestetään valtionhallinnossa siten, että kaikki keskeiset tavoitteet tulevat huomioon otetuiksi eri organisaatiotasoilla olennaisuuden ja riskin periaatteen mukaisesti. • Hyvin toimivassa sisäisessä valvonnan ja riskienhallinnan arvioinnissa tarkastellaan seuraavia tavoitteita: • Strategiset tavoitteet: Korkean tason tavoitteet, jotka ovat organisaation toiminta-ajatuksen mukaisia ja sitä tukevia • Toiminnalliset tavoitteet: Talouden ja toiminnan tuloksellisuus • Raportointia koskevat tavoitteet: Johtamisen ja ulkoisen ohjauksen edellyttämät oikeat ja riittävät tiedot viraston ja laitoksen taloudesta ja toiminnasta

10. VTV:n suosituksia 2: sisäisen valvonnan ja riskienhallinnan kattavuuden parantaminen • Vaatimustenmukaisuutta koskevat tavoitteet: Säädösten ja talousarvion noudattaminen • Voimavarojen turvaamiseen liittyvät tavoitteet: Viraston ja laitoksen hallinnassa olevien varojen ja omaisuuden turvaaminen • Sisäisen valvonnan ja riskienhallinnan arvioinnissa on vaarana, että riskien tunnistaminen painottuu lähinnä toiminnallisten tavoitteiden toteutumista uhkaavien riskien tunnistamiseen. • Arviointia toteutettaessa tulisi tiedostaa, että tiettyjen riskien tun-nistaminen edellyttää erityisosaamista. Tällaisissa tapauksissa ris-kien tunnistaminen tulisi ohjata sellaiselle taholle, jossa voidaan kohtuudella tunnistaa tavoitteita uhkaavat riskit. Esimerkkejä tällaisista voivat olla tietojärjestelmä- ja tietoturvallisuusriskit sekä osin laillisuusriskit.

11. VTV:n suosituksia 3: sisäinen valvonta ja riskienhallinta virastoissa ja laitoksissa • Tavoite: Sisäinen valvonta ja riskienhallinta on integroitu osaksi viraston ja laitoksen tavanomaisen johtamisen ja toiminnan prosesseja. • Sisäinen valvonta ja riskienhallinta tulee toteuttaa virastoissa ja laitoksissa ottaen huomioon talouden ja toiminnan laajuus ja sisältö sekä niihin liittyvät riskit. Suurimmilta virastoilta pitää edellyttää enemmän. • Toimiva sisäinen valvonta ja riskienhallinta perustuu pitkäjän-teiseen ja suunnitelmalliseen työhön – kaikkea ei tarvitse tehdä kerralla. • Sisäinen valvonta ja riskienhallinta on osa johtamista. Virastoissa ja laitoksissa on olemassa sisäisen valvonnan ja riskienhallinnan menettelyitä, mutta niitä ei aina tunnisteta sellaisiksi.

12. VTV:n suosituksia 3: sisäinen valvonta ja riskienhallinta virastoissa ja laitoksissa • Arvioinnissa tulisi huolehtia arviointikehikossa esitetyistä sisäisen valvonnan perusasioista (kuten hallintosäädökset ja työjärjes-tykset, taloussääntö, perustehtävien ja prosessien määrittely, hankintatoimi, tietojärjestelmät sekä tuloksellisuuden ja johdon laskentatoimi) ennen kuin näkökulmia laajennetaan yleisemmin riskienhallintaan. • Erityisesti on tarpeen kiinnittää huomiota olennaisiin muutoksiin, joissa sisäisen valvonnan tila saattaa heikentyä. • Riskien ja kehittämistarpeiden tunnistamisessa tulisi välttää päällekkäisen työn tekemistä. • Virastoissa ja laitoksissa on usein olemassa välineitä, joita voi hyödyntää sisäisen valvonnan ja riskienhallinnan järjestämisessä ja lausuman antamisessa.

13. VTV:n suosituksia 3: sisäinen valvonta ja riskienhallinta virastoissa ja laitoksissa • Riskien ja kehittämistarpeiden tunnistamisessa käytettävinä välineinä voidaan mainita esimerkiksi BSC-mittarit, laatutyökalut (esim. CAF ja EFQM), sisäisen valvonnan ja riskienhallinnan arviointikehikko, CoBit, Kaiku-luotain, TTS, toimintaympäristömuutoksiin liittyvät tunnistamis-välineet (verkostoituminen, ennakointipalvelut, tutkimukset, neuvottelu-kuntatoiminta, erilaiset indikaattorit, julkaisut jne.), ulkoisten ja sisäisten tarkastajien esittämät havainnot ja kehittämis-tarpeet, swot-analyysit, kehityskeskustelut sekä työtyytyväisyys- ja asiakastyytyväisyyskyselyt. • Nämä välineet toimivat eri tavoin talousarvioasetuksen 69 §:n tavoittei-den saavuttamista uhkaavien riskien tunnistamisessa ja painottavat eri lailla riskiprisman osa-alueiden tapahtumien ja kehittämistarpeiden tun-nistamista, mikä on tarpeen ottaa huomioon kokonaisuuden toteuttami-sessa.

14. VTV:n suosituksia 4: arviointi- ja vahvistuslausuman sisältö • Tavoite: Lausuma annetaan vakiintuneen menettelyn mukaan laatimalla taustamuistio, jossa käsitellään lausuman kannalta keskeisimpiä sisäisen valvonnan ja riskienhallinnan kysymyksiä. Lausuma on tiivis ja taustamuistio huomioon ottaen siinä on jatkumo aikaisempien vuosien lausumiin. • Hyvä lausuma on tiivis ja sitä on avattu erillisessä taustamuis-tiossa. • Hyvässä lausumassa on maininta arviointimenettelystä (viite-kehys) ja johdon vastuusta sekä lausuma asian tilasta ja kehittä-miskohteista. • Hyvässä lausumassa ja sen taustamuistiossa on todettavissa jatkuvuus eri vuosien lausumien välillä.

15. VTV:n suosituksia 5: säädös- ja ohjesääntökokonaisuuden tarkistaminen • Tavoite: Säädös- ja ohjesääntökokonaisuus muodostaa toimivan ja ymmärrettävän kokonaisuuden sisäisen valvonnan ja riskien-hallinnan järjestämiseksi. • Sisäisen valvonnan ja riskienhallinnan käsitteet olisi tarpeen selkiyttää. • Nykyisten säädösten mukaisesti sisäisen valvonnan järjestämi-sestä määrätään taloussäännössä. Käytännössä on ollut vaikeuksia yhdistää Coso-viitekehysten sisäisen valvonnan ajattelua ja perinteisempiä taloussäännön kysymyksiä. Erillinen sisäisen valvonnan ja riskienhallinnan ohjesääntö voisi olla toimivampi. • Sisäisen valvonnan ja riskienhallinnan ohjeistuksessa olisi suosi-teltavaa ottaa huomioon Intosain standardit sisäisestä valvonnasta ja riskienhallinnasta (9100 ja 9130).