Sisäinen valvonta vaatii jatkuvaa huolenpitoa – kokonaisuutena, ei vain tietoturvan osalta
26.11.2020
Onko hallitus huolehtinut, että tietoturva on järjestetty asianmukaisesti? Tämä kysymys on esillä todennäköisesti nyt useassa hallituksessa. Case Vastaamo nosti tietoturvan ja siihen liittyvän sisäisen valvonnan laajasti keskusteluihin.
Elämme poikkeuksellista aikaa ja sen myötä myös toimintatapamme ovat muuttuneet, ehkä pysyvästi. Digitaalisten välineiden käyttö on lisääntynyt nopeasti. Onko hallitus huolehtinut, että yhtiön sisäisessä valvonnassa on huomioitu tämä muutos?
Hallituksen tehtävä on huolehtia, että yhtiössä on riittävä ja ajantasainen sisäinen valvonta kaikissa olosuhteissa ja tilanteissa. Siksi oikea kysymys esitettäväksi hallituksissa onkin, miten hallitus huolehtii että sisäinen valvonta on kunnossa nyt ja pysyy kunnossa myös tulevaisuudessa?
Sisäisen valvonnan tarve elää yhtiön toiminnan mukana ja siksi sen riittävyyttä on säännöllisesti seurattava. Kyky ennakoida, reagoida ja ohjata säilytetään varmistamalla, että valvontatoimet kohdistetaan oikeisiin paikkoihin ja oikeassa mittakaavassa. Yhtiössä on oltava mekanismeja, joiden avulla epäkohdat ja puutteet nousevat esille mahdollisimman aikaisessa vaiheessa. Oli sitten kyse tietoturvasta, tietosuojasta, taloudellisista raportointiprosesseista, lähipiiritoimista tai vaikka hankinnoista.
Sisäisen valvonnan asianmukaisuuden arvioimisen voi aloittaa näistä:
- Sisäisen valvonnan periaatteet – Onko yhtiössä hallituksen hyväksymät sisäisen valvonnan periaatteet?
Periaatteissa määritellään yhtiön sisäisen valvonnan tavoitteet ja eri toimielinten roolit ja vastuut tavoitteiden saavuttamiseksi. Sisäiselle valvonnalle asetettavia tavoitteita tyypillisesti ovat: toiminnan jatkuvuuden turvaaminen, tuloksellisuuden varmistaminen, taloudellisen ja toiminnallisen raportoinnin luotettavuus, varallisuuden ja tiedon turvaaminen sekä lakien ja toimintaperiaatteiden noudattamisen varmistaminen.
- Johtamisjärjestelmä – Miten sisäinen valvonta on sisäänrakennettu johtamisjärjestelmään ja miten huomioidaan muutokset?
Erilaisissa muutostilanteissa, strategian, tavoitteiden, riskien ja sovittujen toimintatapojen muutosten myötä sisäisen valvonnan riittävyys on aina arvioitava uudelleen. Puutteet sisäisessä valvonnassa syntyvät tyypillisesti epäselvistä vastuista ja siitä, että kontrollit jäävät muutoksissa vanhoihin paikkoihin, siksi näihin on hyvä kiinnittää erityistä huomiota.
- Riskienhallinta – Onko riskienhallintajärjestelmä kattava, tehdäänkö riskikartoitukset säännöllisesti ja onko riskienhallintatoimenpiteiden seuranta riittävää?
Kun hallituksen huolellisuutta tarkastellaan riskien realisoituessa, esiin nousee todennäköisesti kysymykset: onko liiketoiminnalliset päätökset valmisteltu huolellisesti ja onko hallitus valvonut että yhtiössä toimitaan hallituksen määrittelemän riskinottohalukkuuden puitteissa? Entistä tärkeämpää on myös huolehtia, että toimintaympäristön ja yrityksen riskiprofiilin välillä ilmenee selkeä yhteys.
Sisäinen valvonta vaatii jatkuvaa huolenpitoa, jotta voi varmistua sen riittävyydestä ja asianmukaisuudesta. Sisäinen valvonta ei ole yksittäinen teko tai erillinen projekti vaan kysymyksessä on kokonaisuus ja kokonaisvaltainen tapa ohjata sekä johtaa yhtiön toimintaa.
Blogin kirjoittaja Pia Linja johtaa Ylen sisäistä tarkastusta ja on Boardman osaamisverkoston jäsen. Pia kirjoittaa ja luennoi siitä, miten hallitus voi varmistaa, että yhtiön sisäinen valvonta on riittävää.
Jos pidit tästä tekstistä ja haluaisit jatkossa vastaavat sisältömme ja tiedon tulevista tapahtumista suoraan sähköpostiisi, pääset liittymään Boardmanin uutiskirjetilaajaksi täältä.