Sisäinen tarkastus tarkoittaa riippumatonta ja objektiivista, organisaatiolle lisäarvoa tuottamaan luotua arviointi- ja varmistus- sekä konsultointipalvelua, jonka tarkoituksena on parantaa organisaation toimintaa. (Holopainen, Koivu, Kuuluvainen, Lappalainen, Leppiniemi, Mikola & Vehmas 2010, 17) Myös The Institute of Internal Auditors (IIA) on antanut oman määritelmänsä sisäiselle tarkastukselle: ”Sisäinen tarkastus on itsenäistä, objektiivista varmistus- ja konsultointitoimintaa tarkoituksenaan luoda arvoa ja kehittää organisaation toimintaa. Se auttaa organisaatiota saavuttamaan sen tavoitteet tuomalla systemaattisen ja kurinalaisen lähestymistavan riskinhallinnan arviointiin ja kehittämiseen sekä organisaation kontrolli- ja hallintomekanismeihin”. (IIA 2012a)
Omistajat asettavat taloudellisia, lakisääteisiä ja yhteiskunnallisia tavoitteita organisaatiolle ja myös yhteiskunta itsessään edellyttää tiettyjen sääntöjen noudattamista liiketoiminnassa. Johdon vastuulla on näiden tavoitteiden ja sääntöjen toteuttaminen. (Holopainen et al. 2010, 17-18) Yhteisön koko ja sen toimintojen määrä ja monimutkaisuus vaikuttavat siihen, millä tavalla sisäinen valvonta on suunniteltu organisaatioissa (Corporate governance- työryhmä 2003, 13)(Halonen &
Steiner 2009, 62). Nykyään organisaatioiden suurten kokojen vuoksi niiden johtamis- ja hallinto- sekä riskienhallinta- ja valvontaprosessit ovat muuttuneet niin vaativiksi, ettei hallitus tai sitä vastaava ylin toimielin enää yksin pärjää niiden tarkoituksenmukaisuuden, toimivuuden ja tehokkuuden arvioinnissa. (Holopainen et al. 2010, 17-18) Myös viime vuosina lisääntynyt organisaation johdon kiinnostus corporate governance- suosituksia ja riskien johtamisen onnistumista kohtaan on saanut aikaan sen, että johto keskittyy yhä enemmän erilaisiin organisaatiota uhkaaviin riskitekijöihin ja kontrolleihin, joiden avulla riskien mahdollisuutta voidaan vähentää. Tehokas kontrolliympäristö organisaatioissa vaatii kuitenkin muutakin kuin tehokkaat järjestelmät riskien minimoimiseen. Minkään organisaation järjestelmät eivät ole täydellisiä ja niin kauan, kun niiden kehittämisestä ja ylläpitämisestä vastaa ihminen, inhimillisiä virheitä voi tapahtua. Tämän vuoksi tarvitaan henkilöitä, jotka
monitoroivat kontrollien toimivuutta ja tehokkuutta. (Porter 2003, 498-499) Tarvitaan sisäinen tarkastus, jonka päätavoitteena on nimenomaan huolehehtia siitä, että organisaatiolle asetetut tavoitteet toteutuvat ja säännöksiä noudatetaan. Se avustaa johtoa ja hallitusta antamalla niille arviointi-, konsultointi- ja varmistuspalveluja esimerkiksi yrityksen johtamis- ja hallinnointijärjestelmästä, organisaation riskienhallinnasta sekä sen valvontajärjestelmien toimivuudesta. (Holopainen et al.
2010, 17-18) Koska myös yrityksen johdon väärinkäytökset ovat mahdollisia, on sisäisen valvonnan tärkeänä tehtävänä myös mahdollisten väärinkäytöksien havaitseminen ja ennalta ehkäiseminen (Ahokas 2012, 15).
Sisäinen tarkastus ei ole osa organisaation kontrolliympäristöä vaan sen voidaan ajatella olevan itsenäinen mekanismi, jonka tarkoituksena on tuottaa itsenäistä ja riippumatonta arviotietoa tästä ympäristöstä ja sen toiminnasta johdolle ja hallitukselle. Vaikka sisäinen tarkastus on osa organisaatiota, voidaan sen silti ajatella toimivan eräänlaisena yrityksen ulkopuolisena konsulttina (Holopainen et al.
2010, 17-18). Sen tärkeimpänä tavoitteena voidaan ajatella olevan muutoksen aikaansaaminen ja toisin kun tilintarkastajat, sisäiset tarkastajat eivät vain raportoi tarkastuksen tuloksia, vaan he myös pyrkivät aktiivisesti, yhdessä johdon kanssa, löytämään ratkaisut, joilla korjata löydetyt ongelmakohdat. (Porter 2003, 503-505)
Sisäinen tarkkailu huomioidaan siis kaikkien talouteen ja hallintoon liittyvien toimintojen suunnittelussa. Hyvänä esimerkkinä voidaan sanoa esimerkiksi niin sanottujen vaarallisten työyhdistelmien välttäminen. Ostoreskontran hoitaja ei saisi samalla hoitaa yhtiön kirjanpitoa. (Riistama 2000, 66) Hyvä on myös ymmärtää, että myös sisäiseen tarkastukseen liittyy aina riski siitä, että jokin asia jää huomioimatta.
Sekään ei siis ole täysin aukotonta ja täydellistä varmuutta valvonnan onnistumisesta on mahdotonta saavuttaa. Virheitä voi sattua, kun päätöksiä tehdessä käytettävä inhimillinen harkinta on puutteellista tai valvonta pettää inhimillisen virheen takia. On myös mahdollista, että vaikka jokin sisäisen valvonnan kontrolli olisikin aukoton, voi usean epärehellisen henkilön yhteistyö tehdä kontrollista tehottoman. (Halonen &
Steiner 2009, 63-64)
2.2.1 Valvonnan järjestämisen viitekehyksenä COSO- malli
Organisaatioiden sisällä riskien hallinta ja sisäinen valvonta voidaan järjestää monella eri tavalla ja eroja näiden välillä löytyy paljon. Kenties tunnetuin sisäisen valvonnan malli on Committee of Sponsoring Organisations of the Treadway Commissionin (COSO) kehittämä COSO-malli, joka julkaistiin vuonna 1992 auttamaan organisaatioden sisäisten valvontajärjestelmien arvioimis- ja tehostamisprosessia. Malli on käytössä sisäisen valvonnan järjestämisen viitekehyksenä myös monessa suomalaisessa organisaatiossa. COSO:n tarkoituksena oli kehittää malli, joka auttaa johtoa organisaation toiminnan valvonnassa niin, että valvonta on tehokasta, kokematta sitä kuitenkaan painostuksena tai kiusantekona. Yleispätevän toimintamallin tavoitteena oli saada sisäisen valvonnan käsitteestä helpommin ymmärrettävä. Tavoitteena oli myös kehittää sisäisen valvonnan standardi, johon peilaten organisaatioissa saatetaan arvioida omia valvontajärjestelmiä ja näin parantaa mahdollisia epäkohtia. (COSO 1992)
COSO-mallissa organisaation tavoitteiden ja sisäisen valvonnan suhdetta kuvataan kuutiolla. Tavoitteet ilmaisevat sitä mihin organisaatio pyrkii ja sisäisen valvonnan osatekijät ilmaisevat puolestaan sitä, mitä valvonnalta vaaditaan tavoitteiden saavuttamiseksi. Kuution ”katto”-sivulla esitetään organisaation tavoitteiden kolme pääryhmää; toiminnan tehokkuus, taloudellinen raportointi ja lakien ja sääntöjen noudattaminen. Kuution etusivulla on esitetty sisäiselle valvonnalle viisi tekijää:
Monitorointi, informointi- ja raportointitehtävä, valvonta, riskien arviointi ja johtamistapa. Kuution oikeanpuoleisella sivulla on esitetty organisaation sisäisen valvonnan kohteena olevat osat. Alla oleva kuvio 1 esittää sisäisen valvonnan tavoitteiden ja komponenttien suhteen COSO-mallissa. (COSO 1992)
Kuvio 1. COSO- malli (COSO 1992, 19)
2.2.2 Eettiset säännöt ja ammattistandardit
IIA on määrittänyt sisäisille tarkastajille yleiset eettiset perusperiaatteet, joiden mukaisesti sisäisen tarkastajan voidaan odottaa käyttäytyvän. Perusperiaatteiden mukaan sisäisten tarkastajien tulee toimia työssään rehellisesti, objektiivisesti, luottamuksellisesti ja ammattitaitoisesti. Lisäksi jokaisesta perusperiaatteesta on laadittu oma käyttäytymissääntö, jossa selvennetään periaatteen merkitystä tarkemmin. (IIA 2000)
IIA julkaisee sisäisten tarkastajien työssään käyttämät ammattistandardit ja ohjeet.
Viimeksi standardeja on päivitetty voimassaoleviksi vuonna 2011 ja uusi päivitys standardeihin tulee vuoden 2013 alussa. Ammattistandardien tehtävänä on kuvata perusperiaatteet sisäisen tarkastajan ammatin harjoittamiseen, antaa viitekehys lisäarvoa tuottavalle sisäiselle tarkastukselle, antaa pohja sisäisen tarkastuksen tehokkuuden arvioimiseen ja edistää organisaation prosessien ja toimintojen kehittämistä. Standardit koostuvat ominaisuus-, toteutustapa-, ja soveltamisstandardeista. (IIA 2012b, 1-23)
Ominaisuusstandardeissa määritellään muun muassa riippumattomuudesta, objektiivisuudesta, ammattitaidosta ja ammatillisesta huolellisuudesta.
Toteutustapastandardeissa käsitellään muun muassa sisäisen tarkastajan työn
luonnetta, annetaan ohjeita organisaation riskienhallinta- ja valvontajärjestelmien kehittämisessä ja riskien tunnistamisessa ja järjestelmien tehokkuuden arvioimisessa. Ammattistandardit eivät sinällään kerro vielä, kuinka sisäisen tarkastajan tulee käytännössä työnsä suorittaa ja sen vuoksi on kehitetty erikseen vielä soveltamisstandardit, jotka neuvovat standardikohtaisesti työntekoa. (IIA 2010, 1-28)