Sisäinen valvonta ja tarkastus

Sisäisen valvonnan ja riskien johtamisen roolit ja vastuut ovat jaettu kolmeen puolustuslinjaan.

Ensimmäiseen linjaan kuuluvat toiminnot. Liiketoimintaorganisaatio ja ryhmätoiminnot ovat riskin omistajia. Toinen linja on valvonta. Valvontatoiminnot vastaavat sisäisen valvonnan vii-tekehyksen ylläpitämisestä ja periaatteiden käyttöönottamisen valvonnasta. Riskien johtamisen ja valvonnan ryhmä on vastuussa riskien tunnistamisesta, mittaamisesta, valvonnasta ja rapor-toinnista. Compliance ryhmä varmistaa ja mittaa sisäisten ja ulkoisten sääntöjen noudattamista ja julkaisee periaatteita ja prosesseja hallitakseen riskeille altistumista. Kolmantena on tilintar-kastus. (Selvitys hyvästä hallintotavasta 2016.)

Kaikki tarkastelemani pankit ovat yhtä mieltä siitä, että sisäinen valvonta on pohjana liikeperi-aatteille ja se on sisäisiä menettely- ja toimintatapoja strategian saavuttamiseksi, resurssien te-hokkaalle käyttämiselle, sääntelyn ja eettisten periaatteiden noudattamiseksi ja informaation luotettavuuden varmistamiseksi. Operatiivisessa liiketoiminnassa sisäinen valvonta on mukana kaikessa päivittäisessä tekemisessä eli jokainen toimihenkilö on osa sisäistä valvontaa. Hallitus vastaa siitä, että sen omassa yhteisössä noudatetaan sisäisen valvonnan periaatteita ja että se on asianmukaisesti järjestetty. Sisäinen tarkastus tarkastaa sisäiset valvontajärjestelmät, riskien-hallinnan ja johtamis- ja hallintoprosessit. Kaikki toiminnot ja yhteisöt ovat sisäisen tarkastuk-sen kohteena ja se on liiketoiminnoista riippumaton. (OP Ryhmän, Nordean, Aktian, OmaSp:een ja S-Pankin selvitykset hallinto- ja ohjausjärjestelmistä 2018, Hallinnointikoodi 2015.)

OP Ryhmässä keskusyhteisön hallintoneuvosto vahvistaa koko ryhmää koskevat sisäisen val-vonnan periaatteet. (https://www.op.fi/.) Sisäisen ja ulkoisen valval-vonnan periaatteet ovat annettu OP Ryhmä tasolla OP Ryhmän hallinto- ja ohjausjärjestelmän selvityksessä. Itsenäiset osuus-pankit toteuttavat sisäisen valvonnan ryhmätasoisen selvityksen mukaisesti. (Selvitys

Pohjois-Savon Osuuspankin hallinto- ja ohjausjärjestelmästä vuodelta 2017). Toimitusjohtajan ja joh-toryhmän vastuulla on, että työtehtävät ovat eriytetty asianmukaisesti ja sisäisen valvonnan käytänteistä. Sisäinen tarkastus ja tilintarkastajat varmistavat sisäistä valvontaa. Keskusyhtei-sön hallintoneuvosto nimittää sisäisen tarkastajan ja hallintoneuvoston tarkastusvaliokunta vah-vistaa sisäisen tarkastuksen toimintasuunnitelman. Tarkastuksessa noudatetaan lisäksi IIA:n kansainvälisiä sisäisen tarkastuksen periaatteita (International Standards for the Professional Practice of Internal Auditing). (OP Ryhmän selvitys hallinto- ja ohjausjärjestelmistä 2018.) Sisäisen valvonnan prosessi on hallituksen, ylimmän johdon, riskien johtamistoimintojen ja muun henkilökunnan toteuttama. (https://www.nordea.com/.) Nordeassa hallituksen puheen-johtaja ja toimituspuheen-johtaja valitsevat riskien johtamisen ja valvonnan ryhmän. (https://www.nor-dea.com/.) Nordean sisäiseen valvontaan kuuluu viisi osa-aluetta: valvontaympäristö, riskien arviointi, valvontatoiminnot, informaatio ja viestintä sekä valvonta. Sisäinen valvonta ja ris-kienhallintajärjestelmät ovat samat koko konsernissa, mutta esimerkiksi Suomessa toimivien Nordean konttoreiden riskien ja talouden raportointi tapahtuu Suomen tasoisesti. (Selvitys hy-västä hallintotavasta 2016.) Nordealla on erikseen sisäisen tarkastuksen ryhmä, jonka tarkas-tusvaliokunta valitsee. Sisäinen tarkastus arvioi vuosittain hallitukselle hallinnon tehokkuutta, riskien ja valvonnan viitekehystä yhdessä teema-analyysin kanssa nousevista trendeistä sisäisen tarkastuksentyössä ja niiden vaikutuksesta yrityksen riskiprofiiliin. (https://www.nordea.com.) Tarkastusvaliokunta vastaa sisäisen tarkastuksen ryhmän ohjeistamisesta ja arvioinnista ja si-säisen tarkastuksen johtaja vastaa yleisesti tästä ryhmästä.

Aktian sisäisen valvonnan toimivuuden varmistaa riskienvalvonta, Compliance-toiminto, riip-pumaton aktuaaritoiminto ja sisäinen tarkastus, mutta ensisijainen vastuu on kuitenkin liiketoi-mintayksiköiden johtajilla. Hallitus vahvistaa sisäiset ohjesäännöt ja toimintatavat sisäiselle valvonnalle. Riskienvalvontatoiminto valvoo ja arvioi konsernin ja sen tytäryhtiöiden riskien-hallintaa. Compliance-toiminto seuraa asiakassuojaa, markkinakäyttäytymistä ja rahanpesuun liittyvien sääntöjen noudattamista. (Aktia Pankki Oyj:n selvitys hallinto- ja ohjausjärjestelmistä 2017.) S-Pankissa hallitus vahvistaa periaatteet ja ensisijainen vastuu sisäisestä valvonnasta on myös hallituksella. Toimintaa varmistetaan myös liiketoiminnoista riippumattomilla toimin-noilla, kuten riskienvalvontatoiminto, compliance ja operatiivisten riskien valvonta -toimin-nolla ja sisäisellä tarkastuksella. (Selvitys S-pankin hallinto- ja ohjausjärjestelmistä.)

Riskikomitea varmistaa, että hallitus ja riski- ja tarkastusvaliokunta saavat riittävät ja olennaiset tiedot tehtäviensä tueksi. Riskikomitea vahvistaa riskienhallinnan keskeiset periaatteet ja me-nettelyt riski- ja tarkastusvaliokunnan käsiteltäväksi, varmistaa esitysten sääntelynmukaisuu-den ja hallituksen määrittelemien riskinkantokyvyn ja riskinottohalukkuusääntelynmukaisuu-den noudattamisen.

Jokaisella riskilajilla on oma vastuuhenkilö. Riskienvalvontatoiminto valvoo kokonaisriskistra-tegian toteutusta ja kokonaisriskipositiota ja varmistaa, että riskit ovat oikeassa suhteessa ta-voitteisiin ja riskinkantokykyyn nähden. Riskienvalvonta ylläpitää ja kehittää riskien mittaa-mista, arviointia ja raportointia. Raportti välitetään johdolle, riskikomitealle, riski- ja tarkastus-valiokunnalle, hallitukselle ja viranomaisille. Compliance varmistaa sääntöjen noudattamisen ja puutteisiin puuttumisen tehokkuutta ja riittävyyttä.

Sisäinen tarkastus S-Pankissa arvioi pankin järjestämän riskienhallinnan ja sisäisen valvonnan.

Hallitus hyväksyy vuosittain tarkastussuunnitelman. Riskienvalvonnan raportointia tehdään kuukausittain, vuosineljänneksittäin sekä aina tarvittaessa, jos tapahtuu merkittäviä muutoksia pääomassa tai toiminnassa. (S-Pankin vuosikertomus 2018.) Oma Säästöpankissa sisäinen val-vonta on jaettu kolmeen osaan: riskienhallinnan arviointitoiminto, säännösten noudattamisesta vastaava toiminto ja sisäisen tarkastuksen toiminto. (OmaSp selvitys hallinto- ja ohjausjärjes-telmistä 2018.)

Taulukko 3. Sisäisen tarkastuksen ryhmän raportit hallinnon eri osille.

(Selvitykset OP Ryhmän, Nordean, Aktian, S-Pankin ja Oma Säästöpankin hallinto- ja ohjaus-järjestelmistä 2018.)

OP:een osalta johtoryhmällä tarkoitetaan keskusyhteisön johtokuntaa ja eri toimintojen johto-ryhmää. (OP Ryhmän selvitys hallinto- ja ohjausjärjestelmistä 2018.) Nordeassa sisäisen tar-kastuksen johtaja raportoi suoraan toimitusjohtajalle, hallitukselle ja tarkastusvaliokunnalle Nordeassa, mutta sisäisen tarkastuksen ryhmä raportoi hallituksen puheenjohtajalle ja toimitus-johtajalle. (Corporate Governance -raportti 2018.) Muissa pankeissa ei ole erikseen mainittu, että hallituksen puheenjohtaja ottaisi erikseen sisäisen tarkastuksen raportteja vastaan. OP on ainoa pankki, joka ei raportoi hallitukselle, mutta syynä on se, että OP Ryhmän keskusyhteisön johtokunta vastaa hallinnoltaan hallitusta. OP Ryhmän keskusyhteisössä ei siis ole erikseen hallitusta. OmaSp ei ole perustanut tarkastusvaliokuntaa, jonka vuoksi se on ainoa pankki, joka ei raportoi tarkastusvaliokunnalle. Mielenkiintoista on, että Aktia mainitsi ainoana pankkina, että raportoi suoraan myös tilintarkastajalle. Toki sisäisen tarkastuksen tekemät havainnot saat-tavat koskettaa myös tilintarkastajaa eli tiukkaa rajanvetoa ei voida tehdä, että muiden pankkien sisäisen tarkastuksen raportit eivät tule tilintarkastajan tietoon. Pankkien sisäisen tarkastuksen raportit kiinnostavat myös viranomaisia. Pankkien velvollisuutena on raportoida toiminnastaan säännöllisesti viranomaisille ja Suomessa Finanssivalvonnalle.

Pankit ovat sopineet eri tavoin sisäisen tarkastuksen säännöllisen raportoinnin. OP Ryhmässä tarkastuksen laatua arvioidaan ulkoisesti noin viiden vuoden välein. Sääntely ja valvonta vel-voittaa pankkeja tekemään tiettyjä tarkastuksia, mutta OP:lla vain neljäsosa tarkastuksista oli

ulkoisten sääntelyjen edellyttämiä. Muuten raportoinnin säännöllisyydelle ei ole annettu tar-kempaa ohjeistusta selvityksessä. (OP Ryhmän selvitys hallinto- ja ohjausjärjestelmistä 2018.) Nordea ei ole kertonut selvityksessään, kuinka usein sisäisen tarkastuksen raportit toimitetaan.

Selvityksessä kerrotaan, että raportoinnin tulee olla oikea-aikaista ja riittävää. (Corporate Go-vernance-raportti 2018.) Aktia on kertonut vuosikertomuksessaan, että sisäinen tarkastus suo-rittaa pistokokeita. Raportit annetaan suoraan hallitukselle ja tarkastusvaliokunnalle neljännes-vuosittain. (Aktia Oyj:n vuosikertomus 2018.) Oma Säästöpankissa sisäinen tarkastus raportoi vähintään vuosittain hallitukselle tekemistään havainnoista, seurannasta ja tarkastussuunnitel-man toteutumisesta. (OmaSp selvitys hallinto- ja ohjausjärjestelmistä 2018.)