Pro gradu –tutkielma
Laura Aarnio 2017
LAPPEENRANNAN TEKNILLINEN YLIOPISTO School of Business and Management
Laskentatoimen maisteriohjelma
Laura Aarnio
AVUSTUSTA SAAVIEN LIIKUNTASEUROJEN SISÄINEN VALVONTA JA SEN KEHITTÄMINEN
Työn ohjaaja / tarkastaja 1: Pasi Syrjä Työn ohjaaja / tarkastaja 2: Helena Sjögren
TIIVISTELMÄ
Tekijä: Laura Aarnio
Tutkielman nimi: Avustusta saavien liikuntaseurojen sisäinen valvonta ja sen kehittäminen
Tiedekunta: LUT School of Business and Management Maisteriohjelma: Laskentatoimi
Vuosi: 2017
Pro gradu -tutkielma: Lappeenrannan teknillinen yliopisto
88 sivua, 8 kuviota, 5 taulukkoa ja 3 liitettä Tarkastajat: Professori Pasi Syrjä
Tutkijaopettaja Helena Sjögren
Hakusanat: Sisäinen valvonta, COSO-malli, Sisäisen valvonnan kehittäminen, Yhdistyssektori, Liikuntaseurat
Sisäisen valvonnan tarpeen ja kysynnän on osoitettu lisääntyneen organisaatioissa, ja sen on todettu olevan hyödyllistä kaikille organisaatioille. Nykyinen tutkimus ei ole juurikaan kartoittanut liikuntaseurojen sisäistä valvontaa kehitysnäkökulmasta.
Useat ihmiset antavat vapaaehtoisesti aikaansa ja muita resursseja liikuntaseu-
roille. Lisäksi niitä rahoitetaan usein julkisin varoin. Näin ollen liikuntaseurojen tulisi vakuuttaa yleisönsä toiminnan luotettavuudesta sekä lain- ja säännöstenmukaisuu-
desta. Tämä tutkimus tutkii sisäistä valvontaa ja edelleen sen kehityskohteita yhdistyksissä ja erityisesti liikuntaseuroissa. Empiirinen tutkimus toteutettiin kvalita-
tiivisena tutkimuksena. Empiirinen aineisto kerättiin puolistrukturoitujen haastatteluiden avulla neljältä seuratoiminnan asiantuntijalta sekä kolmelta liikunta-
seuratoimintaa tuntevalta tilintarkastajalta. Tutkimuksen tulokset indikoivat, että liikuntaseuroissa on olemassa tiettyjä sisäisen valvonnan elementtejä. Toisaalta si-
säinen valvonta on liikuntaseuroissa harvoin organisoitua. Tärkeää on myös huomioida, että kahdella organisaatiolla ei ole identtistä sisäisen valvonnan järjes-
telmää. Edelleen tutkimus osoittaa useita kohtia, joihin keskittymällä liikuntaseura voi kehittää sisäistä valvontaa.
ABSTRACT
Author: Laura Aarnio
Title: Internal control and development of athletic association re-
ceiving grants
Faculty: LUT School of Business and Management Major: Accounting
Year: 2017
Master`s Thesis: Lappeenranta University of Technology 88 pages, 8 figures, 5 tables, 3 appendix Examiners: Professor Pasi Syrjä
Associate professor Helena Sjögren
Keywords: Internal control, COSO-framework, Improving internal controls, Nonprofit, Athletic association
The need and demand of internal control have been shown increased in organizati-
ons. Internal control is seen as an useful part to all organizations. However, the current research does not actually cover the internal control from a perspective of improving the internal control in nonprofit organizations. Several people are volun-
tarily giving their time and other resources for athletic associations. Furthermore, athletic associations are receiving public funds. Consequently, they have to con-
vince to the members and the investors that the operations are reliable and complies with the laws and rules. Therefore, this study examines internal control and areas for improvement in nonprofit sector and more specifically in athletic associations.
Empirical research is conducted as a qualitative study. The empirical material is acquired by semi-structured interviews of four representatives of the athletic asso-
ciations and three auditors who are familiar with athletic associations. The results of the study indicate that the certain internal control elements can be found in athletic associations. However, internal control is infrequently organized in athletic asso-
ciations. Moreover, it is noteworthy that organizations cannot have an identical system for internal control. Furthermore, the study shows several points to focus on and thereby improve internal control in athletic association.
ALKUSANAT
Pro gradu –tutkielman tekeminen on antanut uudenlaisen kuvan liikuntaseurojen toimintaan, jota en harrastajana tai ohjaajana päässyt näkemään, saati ymmärtänyt.
Liikuntaseuran näkyvä osa ovat liikunta ja urheilu. Taustalla usein näkymättömänä voimana toimivat hallinto, talous ja valvonta, jotka mahdollistavat liikuntaseurojen ydintoiminnan.
Pro gradu –tutkielman tekeminen on ollut opettavainen ja mielenkiintoinen projekti.
Ajoittain se on ollut työn ohessa tehtynä raskas. Asioita on joutunut priorisoimaan.
Toisaalta projekti on opettanut, ettei itselle tärkeistä asioista: perhe, kaverit ja har-
rastukset voi tinkiä liikaa, koska juuri nämä asiat ovat antaneet voimaa, kun projekti on tuntunut vaikealta.
Viimeisenä ja tärkeimpänä erityiskiitokset kaikille haastateltaville asiantuntevista ja avoimista näkemyksistänne ja ajastanne. Lisäksi kiitokset Helsingin Liikuntaviras-
tolle avusta haastateltavien löytämisessä. Ohjaajiani haluan kiittää rakentavan kriittisestä opastuksesta ja uusista näkökulmista. Nyt on aika siirtyä kohti uusia haasteita ja muistella opiskeluvuosia Lappeenrannassa lämmöllä. Kiitos Lappeen-
rannan teknillinen yliopisto.
Helsinki, 30.8.2017, Laura Aarnio
SISÄLLYSLUETTELO
1 JOHDANTO ... 1
1.1 Tutkimusongelma ja tavoitteet ... 2
1.2 Aiheen rajaus ja teoreettinen viitekehys ... 3
1.3 Tutkimusmetodologia ja –aineisto ... 6
1.4 Tutkielman rakenne ... 7
2 KEHITTÄMISEN NÄKÖKULMIA SISÄISEEN VALVONTAAN ... 9
2.1 Sisäisen valvonnan määritelmä ja viitekehys ... 10
2.2 Sisäisen valvonnan tarpeellisuus ... 15
2.3 Sisäinen valvonta ja sen kehittäminen COSO-mallin pohjalta ... 17
2.3.1 Valvontaympäristö ... 20
2.3.2 Riskien arviointi ... 22
2.3.3 Valvontatoiminnot ... 23
2.3.4 Informaatio ja kommunikaatio ... 25
2.3.5 Seuranta ... 26
3 YHDISTYKSEN SISÄINEN VALVONTAYMPÄRISTÖ ... 28
3.1 Yhdistyksen hyvä hallinto ... 29
3.2 Sisäisen valvonnan kokonaisuus yhdistyksissä ... 33
3.2.1 Sisäisen valvonnan sääntely yhdistyssektorilla ... 36
3.2.2 COSO-raportin soveltuminen yhdistyskontekstiin ... 37
3.3 Sisäisen valvonnan kehittäminen yhdistyksissä ... 40
4 AVUSTETTAVIEN LIIKUNTASEUROJEN SISÄINEN VALVONTAYMPÄRISTÖ JA SEN KEHITYSKOHTEET ... 43
4.1 Tutkimusprosessi ... 43
4.1.1 Tutkimusmenetelmä ja -aineisto ... 44
4.1.2 Tutkimuksen reliabiliteetti ja validiteetti ... 47
4.2 Sisäiseen valvontaan vaikuttavat taustatekijät liikuntaseuroissa ... 49
4.2.1 Hallituksen vastuu ... 52
4.2.2 Tilin-/toiminnantarkastajan rooli ... 53
4.3 Sisäisen valvonnan kokonaisuus ja kehittäminen liikuntaseuroissa ... 55
4.3.1 Valvontaympäristö ... 57
4.3.2 Riskit ja riskien arviointi ... 62
4.3.3 Valvontatoiminnot ... 66
4.3.4 Informaatio ja kommunikaatio ... 69
4.3.5 Seuranta ... 73
4.4 Empiiristen tulosten analyysi ... 74
4.4.1 Sisäisen valvonnan taustatekijät liikuntaseuroissa ... 74
4.4.2 Sisäisen valvonnan kokonaisuus ja sen kehittäminen liikuntaseuroissa 77 5 YHTEENVETO JA JOHTOPÄÄTÖKSET ... 82
5.1 Vastaukset tutkimusongelmiin ... 82
5.2 Tutkimuksen rajoitteet ja jatkotutkimusehdotukset ... 87
LÄHDELUETTELO ... 89
LIITTEET
LIITE 1: Haastattelukysymykset liikuntaseurojen toiminnanjohtajille LIITE 2: Haastattelukysymykset seuratoiminnan kehittäjälle LIITE 2: Haastattelukysymykset tilintarkastajille
KUVIOLUETTELO
Kuvio 1.Teoreettinen viitekehys ... 5
Kuvio 2. Sisäisen valvonnan taso ja luodun arvon suhde ... 10
Kuvio 3. COSO-mallin komponentit ja niiden suhde tavoitteisiin. ... 12
Kuvio 4. Johdon päätöksentekoprosessi ja sisäinen valvonta ... 13
Kuvio 5. Sisäinen valvonta prosessina ... 18
Kuvio 6. COSO-malli pyramidin muodossa ... 21
Kuvio 7. Tutkimusprosessi ... 44
Kuvio 8. Liikuntaseurojen valvontatoiminnot ... 79
TAULUKKOLUETTELO Taulukko 1.Tutkimuksen rakenne ... 8
Taulukko 2. Sisäisen valvonnan komponentit ja 17 periaatetta ... 20
Taulukko 3. COSO-mallin tärkeimmät tekijät ja yhdistyskontekstin taustatekijöiden vaikutus niihin. ... 39
Taulukko 4. Haastattelujen kategorisointi ... 46
Taulukko 5. Sisäisen valvonnan kehityskohteet ... 81
LYHENNELUETTELO
COBIT Control Objectives for Information Technology
COSO Committee of Sponsoring Organizations of the Treadway Commission
COSO-raportti The Internal Control – Integrated Framework ERM Enterprise Risk Management
SAC Systems Assurance and Control SDLC Systems Development Life Cycle
SOX Sarbanes-Oxley-laki
TQM Total Quality Management YhdL Yhdistyslaki (503/1989)
1 JOHDANTO
Kasvava kysyntä vastuullisuutta kohtaan on merkittävä teema, jonka yhdistys toi-
minnassaan kohtaa (Bromley & Orchard 2016). Vastuullisuutta yhdistyksiltä vaativat sen sidosryhmät, joihin tärkeinä toimijoina lukeutuvat mukaan yhdistystoimintaa ra-
hoittavat tahot. Toimiva sisäinen valvonta tukee organisaation läpinäkyvyyttä ja käsitystä sen vastuullisuudesta edesauttaen lahjoitusten saantia sekä vapaaehtois-
ten rekrytointia ja vaikuttaa samalla positiivisesti yhdistyksen maineeseen sekä sen saamiin suosituksiin. Vastuullisuus ja läpinäkyvyys varmistavat lahjoittajalle, että annettu panos on hyödynnetty aiottuun tarkoitukseen. (Maguire 2014) Lahjoituksiin liittyvän ajatuksen vastuullisuuden ja läpinäkyvyyden tarpeesta voi laajentaa koske-
maan myös avustuksia. Petrovits, Shakespeare & Shih (2011) kuvaavat rahoittajien reagoivan organisaation sisäisen valvonnan informaatioon.
Liikuntajärjestöjen saamien julkisten avustusten käyttö on ollut viime aikoina näky-
västi esillä mediassa. Uutisointia on erityisesti aiheuttanut opetus- ja kulttuuriministeriön päätös tiukentaa liikuntajärjestöjen valtionavustusten käytön valvontaa. Suomen Olympiakomiteasta aloitettu taloustarkastus osoitti huomattavia puutteita taloudenpidossa. Tähän liittyen Kauppalehdessä julkaistussa uutisessa Bhose (2016) arvosteli urheilun tukien käytön valvontaa yleisellä tasolla. Hän kom-
mentoi, että: ”Yleisesti on ollut tiedossa, että urheilussa tukien käytön valvonta on ollut retuperällä. Tukia on myönnetty, mutta niiden käytön perään ei juuri ole kyselty.
Kun valvontaa ei ole ollut, toimintatavat ovat muotoutuneet nätisti sanottuna oman-
laisiksi”. Edelleen hän jatkaa: ”sisäpiiri ei näe toiminnassaan ongelmia, mutta ulospäin homma haiskahtaa niin pahasti, että toisissa piireissä vastuulliset olisi jo pantu vaihtoon”. Toiminnan ulkopuoleisessa valvonnassa sekä sisäisessä valvon-
nassa näyttää olevan kehitettävää.
Resurssit liikuntaseuroissa ovat usein niukat ja fokus monesti itse toiminnassa val-
vonnan ja taloudenpidon sijaan. Edellä mainittujen tekijöiden uskotaan luovan haasteita sisäisen valvonnan organisoinnille. Jeffrey (2008) mukaan sisäinen val-
vonta on kuitenkin välttämätöntä myös yhdistyksille. Sisäiseen valvontaan liittyvin
toimenpitein pyritään ehkäisemään ja tuomaan ilmi virheitä, erehdyksiä ja väärin-
käytöksiä. Lisäksi sisäisen valvonnan avulla pyritään saamaan varmuus, että yrityksen taloudellinen informaatio on säännösten mukaista ja luotettavaa. (Ahokas 2012)
Standardit eivät ohjaa organisaatiossa sisäisen valvonnan järjestämistä, niinpä val-
vontajärjestelmä muotoutuu usein organisationaalisten tekijöiden mukaan (Ahokas 2012). Organisaatioiden sisäisen valvonnan tarve vaihtelee huomattavasti organi-
saation toimialan, koon, tarkoituksen, johdon filosofian, operaatioiden monimuotoisuuden ja monimutkaisuuden, paikallisen kulttuurin, toimintaympäristön sekä paikallisten viranomaisten vaatimusten mukaan (Frazer 2016). Ainutlaatuisista organisationaalisista tekijöistä huolimatta sisäisen valvonnan järjestämiselle ja ke-
hittämiselle on olemassa yleispäteviä malleja, joista yksi käytetyimmistä on The Committee of Sponsoring Organizations of The Treadway Commission (COSO) ke-
hittämä COSO-malli (The Internal Control – Integrated Framework).
1.1 Tutkimusongelma ja tavoitteet
Tutkimuksessa käsitellään sisäistä valvontaa liikuntaseuroissa kehitysnäkökul-
masta. Perinteisesti sisäinen valvonta liitetään vahvasti yksityiseen sektoriin, mutta enenevässä määrin kiinnostus ja tarve sisäiseen valvontaan ovat kasvaneet julki-
sella sektorilla sekä yhdistyssektorilla. Tutkimuksen ensisijaisena tavoitteena on tarkastella sisäisen valvonnan esiintymistä yhdistyskontekstissa ja vielä tarkemmin yhdistyksistä liikuntaseuroissa. Tavoitteeseen liittyen päätutkimusongelma määri-
tellään seuraavasti:
Mitkä ovat sisäisen valvonnan kehityskohteita liikuntaseuroissa?
Tavoitteena on tarkastella sisäisen valvonnan esiintymistä yhdistyksissä COSO-
mallin tavoitteiden ja komponenttien pohjalta. COSO-malli on kehitetty ensisijaisesti yritysten tarpeisiin, joten mallin soveltumista yhdistyskontekstiin joudutaan ar-
viomaan kriittisesti. Tutkimuksessa arvioidaan liikuntaseurojen sisäistä valvontaa ja
edelleen COSO-mallin soveltumista yhdistyssektoriin seuratoiminnan asiantuntijoi-
den sekä yhdistyssektoria tuntevien tilintarkastajien avulla.
Alatutkimusongelmat tukevat päätutkimusongelmaan vastaamista hahmottamalla mitä taustatekijöitä sisäiseen valvontaan yhdistyksissä liittyy ja edelleen, mitä sisäi-
nen valvonta tällä hetkellä yhdistyksissä on.
Minkälaisia taustatekijöitä sisäiseen valvontaan liikuntaseuroissa liittyy?
Mitä sisäinen valvonta liikuntaseuroissa on?
Alatutkimusongelmiin vastaaminen ennen päätutkimusongelman selvittämistä on oleellista. Alatutkimusongelmien avulla saadaan käsitys, mitä taustatekijöitä sisäi-
seen valvontaan liikuntaseuroissa liittyy sekä mitä sisäinen valvonta liikuntaseuroissa tällä hetkellä tarkoittaa. Näihin kysymyksiin vastaamalla voidaan lähteä arvioimaan sisäisen valvonnan kehityskohteita liikuntaseuroissa. Johtuen lii-
kuntaseurojen moninaisuudesta ja näkemyksestä, jonka mukaan kahdella organisaatiolla ei tulisi olla samanlaista sisäisen valvonnan järjestelmää, tutkimuk-
sen tulokset eivät ole yksityiskohtaisesti yleistettävissä, mutta tarjoavat yleisemmällä tasolla käsityksen sisäisestä valvonnasta liikuntaseuroissa.
1.2 Aiheen rajaus ja teoreettinen viitekehys
Työ rajataan koskemaan sisäistä valvontaa liikuntaseuroissa. Tarkemmin liikunta-
seuroista mukaan rajataan kansalaistoiminnan piiriin kuuluvat rekisteröidyt liikuntaseurat. Yhdistyksiä, joita tämän työn rajauksen mukaiset liikuntaseurat ovat, tarkastellaan yleisesti siinä määrin, kuin se on työn tavoitteiden kannalta tarpeellista.
Liikuntaan liittyvien organisaatioiden kirjo on laaja. Sitä on kuitenkin pyritty selkeyt-
tämään tekemällä jakoa liikuntaorganisaatioiden toimintalogiikan perusteella. Tällä perusteella on erotettu toisistaan kolme erilaista sektoria, joita ovat julkinen sektori, yksityinen voittoa tavoittelematon sektori ja ammattiurheilu. Ensimmäinen sisältää
valtiolliset ja kunnalliset toimielimet. Yksityinen voittoa tavoittelematon sektori sisäl-
tää liikuntatoiminnan, jota tehdään vapaaehtoisvoimin ja harrastajien ehdoilla.
Tällaista toimintaa ovat esimerkiksi seuratoiminta ja kilpailuiden järjestäminen. Am-
mattiurheilu sisältää sellaiset joukkueet, yksittäiset urheilijat sekä vaadittavat taustaorganisaatiot, jotka ansaitsevat palkkansa urheilusta. Tämän lisäksi se sisäl-
tää muun muassa urheiluvälineiden valmistajat, mediayhtiöt, stadionoperaattorit ja tapahtumajärjestäjät. Nämä kolme sektoria eivät toimi toistaan eristyksissä, vaan niistä löytyy myös huomattavia päällekkäisyyksiä. (Hoye, Smith, Nicholson, Stewart
& Westerbeek 2012) Tutkimuksessa keskitytään yksityiseen voittoa tavoittelematto-
maan sektoriin ja seuratoimintaan.
Sisäinen valvonta, sisäinen tarkastus ja ulkoinen valvonta eli tilintarkastus eivät toimi toisistaan eristyksissä, vaan niillä on kiinteä yhteys toisiinsa. Sisäinen valvonta ja sisäinen tarkastus käsitetään usein jopa samaksi asiaksi tai vähintäänkin niiden eroa on vaikea määrittää. Käsitteet kuuluvatkin vahvasti yhteen, mutta ero niiden välille on mahdollista tehdä. Organisaation sisäiset menettely- ja toimintatavat, joi-
den avulla toiminnan laillisuus ja tuloksellisuus pyritään määrittämään, ovat sisäistä valvontaa. Sisäisen tarkastuksen yhteydessä viitataan objektiiviseen ja riippumatto-
maan tarkastusorganisaatioon. Ammatillinen viitekehys ohjaa sisäistä tarkastusta ja se toimii monesti organisaatiossa erillisenä yksikkönä tai isoin osin ulkoistettuna toi-
sin kuin sisäinen valvonta, jota standardit eivät ohjaa ja joka on olennainen osa organisaation toimintaa kokonaisvaltaisesti. (Ahokas 2012) Sisäisen tarkastuksen ja tilintarkastuksen tehtävät ovat tietyiltä osin päällekkäiset. Tilintarkastajat saavat muun muassa sisäisen tarkastuksen raporttien avulla tietoa sisäisen valvonnan ti-
lasta. Tilintarkastajan tulisi lakien osoittaman vastuun ja velvollisuuksien puitteissa muodostaa riittävä kuva tarkastuskohteen valvontajärjestelmien luotettavuudesta ja toimivuudesta sekä tarkastuskohteen toiminnasta. (Ratsula 2011) Näiden käsittei-
den osittaisen päällekkäisyyden vuoksi sisäistä tarkastusta ja ulkoista valvontaa ei voida täysin sivuuttaa. Pääpaino on kuitenkin sisäisellä valvonnalla. Sisäisen val-
vonnan viitekehyksenä käytetään COSO-mallia. Muun muassa Parello (2004) kuvaa COSO-mallin olevan käytetyin malli sisäisen valvonnan määrittämisessä ja kehittämisessä. Teoreettinen viitekehys (Kuvio 1) esittää tutkimuksen keskeiset teo-
reettiset käsitteet.
Kuvio 1. Teoreettinen viitekehys (Mukaillen Riistama 2006)
Tutkimuksen teoria koostuu pääosin tieteellisistä artikkeleista. Tieteellisten artikke-
leiden tukena on käytetty lainsäädäntöä, kirjoja ja ajankohtaisia verkkojulkaisuja.
Tutkimuksessa käytetyissä tieteellisissä artikkeleissa käsitellään sisäistä valvontaa nonprofit-organisaatioissa. Nonprofit-organisaatiot vastaavat pitkälti suomalaisia yhdistyksiä. Erottavana tekijänä on, että ne voivat kuulua julkiseen sektoriin toisin kuin yhdistykset. (Vuokko 2010).
Sisäisen valvonnan aikaisempi tutkimus on keskittynyt erityisesti yksityiseen sekto-
riin. Tätä tukee Sheun ja Wackerin (1994) huomio, jonka mukaan yhdistyksiä ei ole tutkittu niin paljon kuin voittoa tavoittelevia organisaatioita. Tämä johtuu pääasiassa niiden pienemmästä koosta ja humanitaarisesta tarkoituksesta. Duncan ja Stock (2003) esittävät yhdistys- ja kirjanpidon kirjallisuudesta löytyvän vain vähän tietoa yhdistysten sisäisestä valvonnasta. Yleisesti ottaen sisäisen valvonnan tutkimus on melko vähäistä. Liikuntaseurojen avustuskonteksti on sisäisen valvonnan tutkimuk-
selle uusi, joskin jonkin verran tutkimusta löytyy yleisemmällä tasolla yhdistyksistä ja sisäisen valvonnan suhteesta avustuksiin. Aihetta ovat tutkineet muun muassa
Yhteisön)kokous
Hallitus
Toimiva) johto
Organisaatio
Tilintarkastaja/
toiminnantarkastaja
Sisäinen1 tarkastaja
Sisäinen)valvonta
Petrovits et al. (2011). Greenleen, Fischerin, Gordonin ja Keatingin (2007) tutkimuk-
sessa sisäinen valvonta puolestaan nostetaan keinoksi tunnistaa petoksia liittyen esimerkiksi rahoituksen väärinkäyttöön yhdistyksissä. Vastuullisuuden tarkastelu, johon myös sisäinen valvonta liittyy, ei ole uutta yhdistyksissä, mutta kiinnostus ai-
heeseen on kasvussa. Vastuullisuuden tutkimuksista yhdistyksissä vaikuttaisi vielä olevan puutetta. (Spillan & Ziemnowicz 2011)
Aikaisemmassa sisäisen valvonnan tutkimuksessa tilintarkastuksen näkökulma on ollut vahvimmin esillä. Tätä laskentaan liittyvää näkemystä sisäisestä valvonnasta on tutkittu paljonkin sisäisen valvonnan laajan käsitteen mukaisen tutkimuksen jää-
dessä vähemmälle huomiolle. COSO perustettiin vuonna 1985 tunnistamaan erilaisia tekijöitä, jotka voivat johtaa vilpilliseen taloudelliseen raportointiin sekä ke-
hittämään suosituksia estämään tällaista toimintaa. Vuonna 1992 COSO loi sisäisen valvonnan kokonaisvaltaisen viitekehyksen tehokkaan sisäisen valvonnan järjestel-
män kehittämisen tueksi. (Frazer 2016) COSO:n tarjoama viitekehys sekä määritelmä sisäisestä valvonnasta on laajasti käytetty alan tutkimuksissa (Kinney 2000). Laskentatoimen ammattilaiset pitävät COSO:a johtavana viitekehyksenä suunniteltaessa, implementoitaessa ja johdettaessa sisäistä valvontaa ja arvioita-
essa sen tehokkuutta (D`Aquila 2013). Aikaisempi tutkimus valvontaan liittyen on yleisesti keskittynyt vain tiettyjen valvonnan elementtien tarkasteluun, elementtien yhtäaikaisen käsittelyn jäädessä vähemmälle tutkimukselle. Tosin jonkin verran myös laaja-alaisempaa tutkimusta löytyy. Stringer ja Carey (2002) sekä Jokipii (2006) tutkivat kaikkia viittä sisäisen valvonnan komponenttia eli valvontaympäris-
töä, riskien arviointia, valvontatoimia, informaatiota ja kommunikaatiota sekä seurantaa. (Agdejule & Jokipii 2009)
1.3 Tutkimusmetodologia ja –aineisto
Tutkimus on toteutettu kvalitatiivisena eli laadullisena tutkimuksena. Aineistonke-
ruumenetelmänä laadullisessa tutkimuksessa on käytetty puolistrukturoitua teemahaastattelua. Teemahaastattelu tarjoaa vapauden valita mukaan organisaa-
tioista ne henkilöt, joilla on tietoa sisäisestä valvonnasta. Näin varmistetaan tiedon tarkoituksenmukaisuus ja riittävyys (Tuomi & Sarajärvi 2006). Tutkimukseen on
haastateltu neljää seuratoiminnan asiantuntijaa sekä kolmea tilintarkastajaa, joilla on kokemusta liikuntaseurojen tilintarkastuksesta ja jotka edustavat markkinoilla merkittävässä asemassa olevia yrityksiä. Eri näkökulmilla pyrittiin lisäämään tutki-
muksen luotettavuutta sekä paljastamaan mahdollisia ristiriitaisuuksia, jotka jäisivät havaitsematta, jos tutkimuksen empiria kerättäisiin vain yhdeltä haastateltavaryh-
mältä. Tilintarkastajien haastatteluilla saadaan liikuntaseurojen ulkopuolinen näkökulma tutkimusongelmiin. Tutkimuksessa ei käytetä vastaajien tai vastaajaor-
ganisaatioiden nimiä tai muita tietoja, joista vastaaja tai vastaajaorganisaatio olisi mahdollista identifioida. Haastateltavan asema ja tehtäväkuva organisaatiossa kui-
tenkin esitellään.
Aikaisempi sisäisen valvonnan kirjallisuus on pitkälti ammattikirjallisuustyyppistä, eikä sitä ole tutkittu juuri lainkaan laajassa merkityksessä (Jokipii 2009;; Kinney 2000;; Pfister 2009). Empiirisen tutkimuksen vähyyttä sisäiseen valvontaan liittyen voivat selittää esteet päästä käsiksi aiheeseen liittyviin tietoihin, organisaatioihin ja henkilökuntaan. Sisäinen valvonta aiheena onkin tutkijoille suhteellisen tuntematon.
Myöskään sisäisen valvonnan kehittäminen ei ole saanut erityistä tutkimuksellista huomiota. Sisäinen valvonnan tunteminen ja kehittäminen ovat tärkeitä teemoja, joi-
den avulla parhaimmillaan tuetaan organisaation tavoitteiden saavuttamista.
(Kinney 2000) Tutkimuksen teemahaastatteluiden avulla pyritäänkin tuomaan ai-
heesta mahdollista uutta tietoa empiirisin havainnoin.
1.4 Tutkielman rakenne
Tutkimuksessa perehdytään ensin sisäisen valvonnan käsitteeseen ja tarpeellisuu-
teen. Tämän jälkeen tutkimuksessa kuvataan sisäistä valvontaa ja sisäisen valvonnan kehittämistä COSO-mallin pohjalta. Luvussa kaksi kuvattu sisäisen val-
vonnan teoria sovitetaan seuraavassa luvussa yhteen yhdistyskontekstin kanssa.
Luvussa kolme kuvataan ensin yhdistystoimintaa yleisesti, jonka jälkeen käsitellään sisäistä valvontaa yhdistyksissä. Luvun lopuksi käydään läpi sisäisen valvonnan ke-
hittämistä yhdistyksissä.
Empiirinen osuus alkaa tutkimusmetodologian esittelyllä sisältäen tutkimusproses-
sin, tutkimusmenetelmän ja –aineiston läpikäymisen sekä tutkimuksen reliabiliteetin ja validiteetin tarkastelun. Haastatteluiden pohjalta avataan sisäisen valvonnan taustatekijöitä liikuntaseuroissa sekä sitä, mitä sisäinen valvonta liikuntaseuroissa käytännössä tarkoittaa. Lisäksi pureudutaan sisäisen valvonnan kehityskohteisiin.
Empiiristen tulosten esittämisen jälkeen analysoidaan tulokset käyttäen apuna teo-
riakirjallisuutta. Taulukossa 1 esitetään tutkimuksen rakenne tutkimuskysymyksiin vastaamisen kannalta. Tutkimuksen alaongelmiin vastaaminen mahdollistaa edel-
leen päätutkimusongelmaan vastaamisen.
Taulukko 1. Tutkimuksen rakenne
Tutkimuksen lopussa on yhteenveto ja johtopäätökset, joissa kerrataan tutkimuksen pääpiirteet sisältäen vastaukset tutkimusongelmiin sekä arvioidaan tutkimuksen ra-
joitteita ja asetetaan mahdollisia jatkotutkimusehdotuksia.
Tutkimuksen alaongelmat Teoria Empiria
Minkälaisia taustatekijöitä sisäiseen valvontaan yhdis-
tyksissä liittyy?
2.1;; 3.1 4.2;; 4.4.1
Mitä sisäinen valvonta yhdistyksissä on? 2.2;; 3.2 4.3;; 4.4.2
2 KEHITTÄMISEN NÄKÖKULMIA SISÄISEEN VALVONTAAN
Sisäisen valvonnan arvioiminen ja kehittäminen ovat olennaisia osia hyvässä johta-
misessa (Dietz & Snyder 2011). Krstić ja Đorđević (2012) jakavat tämän näkemyksen täydentäen vielä edellä esitetyn seurauksena olevan loogista, että kiin-
nostus sisäisen valvonnan kehittämiseen ja tehokkuuden parantamiseen ovat aina olleet läsnä. Kaikkien ihmisten ja koneiden toimiessa moitteettomasti ja kaikkien kontrollien reagoidessa muutoksiin voitaisiin sisäisen valvonnan järjestelmät suun-
nitella suojaamaan täysin petoksilta ja väärinkäytöksiltä. Edellytyksistä kumpikaan ei todellisuudessa toteudu. Tietyillä tekijöillä voidaan kuitenkin parantaa sisäistä val-
vontaa ja ehkäistä virheellisiä illuusioita sisäisestä valvonnasta. (Atwood, Raiborn &
Butler 2012) Lainsäätäjien, markkinoiden ja yksittäisten toimijoiden puolelta on tullut selväksi aktiivisen ja tarkkaavaisen hallituksen, tehokkaan sisäisen valvonnan jär-
jestelmän ja valppaan valvontaympäristön olevan välttämättömiä organisaatioille ja instituutioille riippumatta siitä, ovatko ne julkisen kaupankäynnin kohteena, yksityis-
omistuksessa vai yhdistyksiä (Jeffrey 2008).
Sisäisen valvonnan arviointia ja kehittämistä vaaditaan erityisesti julkisesti noteera-
tuilta yrityksiltä, mutta sisäisen valvonnan kehittäminen voi parantaa muidenkin organisaatioiden toimintaa (Dietz & Snyder 2011). Organisaatiot, joissa on useita työntekijöitä ja, jotka toimivat maantieteellisesti laajalti, tarvitsevat asianmukaisen sisäisen valvonnan järjestelmän varmistamaan, että käytännöt ja menettelytavat ovat implementoidut organisaation jokaiselle tasolle. Toisaalta pienemmissä orga-
nisaatioissa, joilla on rajattu toiminnan laajuus, eivät monimutkaiset valvonnan järjestelmät ole tarpeellisia. Tällaisissa organisaatioissa omistajat tai päämiehet ovat yleensä aktiivisia liiketoiminnassa ja seuraavat tarkasti sen edistymistä. (Tsay
& Turpen 2011) Organisaation tulisikin ottaa kustannusnäkökulma huomioon suun-
nitellessaan ja muuttaessaan sisäisen valvonnan järjestelmää. Kustannushyöty-
analyysin avulla voidaan päättää, kuinka paljon valvontaa on tarpeeksi ja minkä-
laista valvonnan tulisi olla. (Atwood et al. 2012) Sisäisen valvonnan tulisi olla tasapainossa sen luoman arvon kanssa (Kuvio 2).
Kuvio 2. Sisäisen valvonnan taso ja luodun arvon suhde (Mukaillen KPMG 1999)
Ennen kehitysnäkökulman syvällisempää esittelyä määritellään sisäisen valvonnan -käsite sekä luodaan taustoja aiheeseen ja kuvataan COSO-raportin tarjoama viite-
kehys sisäiselle valvonnalle.
2.1 Sisäisen valvonnan määritelmä ja viitekehys
Sisäiseltä valvonnalta puuttuu kaiken kattava yksiselitteinen määritelmä (Ahokas 2012). Curts ja Wu (2000) huomauttavat sisäisen valvonnan saaneen kapean talou-
delliseen raportointiin keskittyneen määritelmän kirjanpidon piirissä.
Liiketoiminnassa tarkka taloudellinen raportointi on vain yksi osa laajemmassa ko-
konaisuudessa kehitettäessä ja ylläpidettäessä kilpailuetua. (ibid) Organisaation eri tasoille useista osa-alueista rakennettuja toimenpiteitä ja tapoja voidaan pitää sisäi-
senä valvontana. Näitä osa-alueita ovat muun muassa laskenta- ja ohjausjärjestelmien sisältämät kontrollit, hyväksymisvaltuutukset ja työtehtävien jako, joiden avulla tavoitteiden ja toimintaohjeiden mukainen toiminta pyritään var-
mistamaan. Omistussuhteista, toimialasta, yrityksen koosta, rakenteesta sekä toimintojen luonteesta johtuen sisäinen valvonta on aina erilaista eri organisaa-
tioissa. (Ahokas 2012)
COSO on käytetyin malli sisäisen valvonnan määrittämiseen ja kehittämiseen. Ky-
seinen viitekehys on osoittautunut viimeisten 30 vuoden aikana korvaamattomaksi työkaluksi tuhansille organisaatioille. (Hirth & Chambers 2015) Määritelmän mukaan
Matala Arvo
Korkea
Liian-vähäinen- valvonta-mahdollistaa- tehottomuuden-ja--- tuhoaa-arvoa
Sopiva-määrä- valvontaa- mahdollistaa- tehokkaan-toiminnan- ja-arvonlisäyksen
Liiallinen-valvonta- kuluttaa-resursseja-ja- tukahduttaa-arvon- tuottamisen Pyrkimys+minimoida+riskejä
sisäinen valvonta on hallituksen, johdon ja muun henkilöstön suorittama prosessi, jonka avulla kohtuudella pystyttään varmistamaan tavoitteiden saavuttaminen liit-
tyen:
Toimintojen tehokkuuteen Raportoinnin luotettavuuteen sekä Lakien ja säädösten noudattamiseen
Toiminnalliset tavoitteet liittyvät organisaation toiminnan ja taloudellisten tavoittei-
den vaikuttavuuteen ja tehokkuuteen sekä varojen suojelemiseen menetyksiltä.
Raportoinnin tavoitteet ovat sidoksissa luotettavien raporttien tuottamiseen sisäl-
täen sisäisen, ulkoisen, taloudellisen ja ei-taloudellisen raportoinnin. Noudattamisen tavoitteet puolestaan koskevat organisaatioon sovellettavien lakien ja asetusten noudattamista. (COSO 2013a)
Nämä edellä luetellut tavoitteet pyritään saavuttamaan COSO:n viiden komponentin avulla. Näitä komponentteja voidaan tarkastella perusperiaatteina kuin myös apu-
välineinä suunniteltaessa, arvioitaessa ja päivitettäessä kontrolleja. Komponenttien tarkoituksena on varmistaa organisaatiossa tehokkaan sisäisen valvonnan aikaan-
saaminen. (Länsiluoto, Jokipii & Eklund 2016) Kuviossa 3 on COSO-kuutio, jossa viisi sisäisen valvonnan komponenttia on esitetty suhteessa sisäisen valvonnan ta-
voitteisiin.
Kuvio 3. COSO-mallin komponentit ja niiden suhde tavoitteisiin (COSO 2013a) COSO-kuutiossa ylhäällä on kuvattu sisäisen valvonnan tavoitteet. Tavoitteet pyri-
tään saavuttamaan kuution etureunassa kuvattujen viiden toisiinsa liittyvän komponentin avulla, jotka ovat valvontaympäristö, riskien arviointi, kontrollitoimin-
not, informaatio ja kommunikaatio sekä kontrollien seuranta (COSO 2013a).
Ennen COSO:n luomaa yleisesti käytettyä määritelmää on sisäisen valvonnan ter-
mille ollut olemassa useita muunnelmia (Olach & Weeramantri 2009). Curtis & Wu (2000) kuvaavat sisäisen valvonnan käsitteen kokeneen suuria muutoksia viime vuosikymmeninä COSO-mallin kehittämisen myötä. Sisäisen valvonnan käsite on muuttunut aikaisempaa laajemmaksi sekä dynaamisemmaksi. Sisäisen valvonnan määritelmään liittyy kolme ominaispiirrettä. Ensinnäkin COSO:n määritelmä sisäi-
selle valvonnalle on huomattavasti laajempi kuin perinteiset sisäisen kirjanpidon kontrollien määritelmät, jotka rajoittuvat kirjanpidon tiedon luotettavuuteen ja aineel-
lisen omaisuuden suojeluun. COSO:n määritelmä sisäiselle valvonnalle voidaan laajimmillaan tulkita kattamaan kaikki johdon toiminnot pois lukien tavoitteiden va-
linta, strategiat tavoitteiden saavuttamiseksi sekä toimet yllätysten ilmaantuessa.
(Kinney 2000) Toisaalta Frazer (2016) esittää tutkimuksessaan sisäisen valvonnan tarvitsevan yhteistyötä operatiivisen suorituskyvyn ja strategian kanssa ollakseen menestyksekäs. Strategiatutkijat Miller ja Friesen (1978), Miles ja Snow (1978) ja
Porter (1980) esittävät valvontajärjestelmää käytettävän eri tavoilla riippuen yrityk-
sen strategiasta (Agbejule & Jokipii 2009). Toisena ominaispiirteenä on sisäisen valvonnan prosessiluonteisuus. Sisäistä valvontaa ei enää pidetä erillisenä liiketoi-
minnan osana, vaan valvonta tulee upottaa prosesseihin (Campbell, Campbell &
Adams 2006, 21-22). Sisäinen valvonta itsessään nähdään pikemminkin proses-
sina kuin staattisena tilana (Kinney 2000). Olach & Weeramantri (2009) kuvaat COSO:n tarjoaman määritelmän olleen ensimmäinen, jossa sisäinen valvonta käsi-
tetään prosessiksi. Rittenberg, Martens & Landes (2007) huomauttavat, että organisaation tulee valmistautua valvonnan muuttamiseen ajan kuluessa, kun riskit ja prosessit muuttuvat. Sisäisen valvonnan prosessiluonteesta johtuen sisäinen val-
vonta ei ole suoraan havaittavissa tai todennettavissa. Viimeisenä piirteenä on sisäisen valvonnan yhteys riskiin. Jokainen päätöksentekijä haluaa optimoida ris-
kinsä, mikä johtaa sisäisen valvonnan laadun ja laadunvarmistuksen kysyntään.
Kuvio 4 havainnollistaa edellä kuvattua, ilmentäen sisäisen valvonnan laajuutta.
Kuviossa johtamistoimet organisaatiossa on jaettu kahteen ryhmään: johdon pää-
töksentekoprosessiin ja sisäiseen valvontaan. (Kinney 2000)
Kuvio 4. Johdon päätöksentekoprosessi ja sisäinen valvonta (Kinney 2000)
Johdon päätöksentekoprosessi määrittää monivuotisen liiketoimintastrategian, ku-
luvan kauden toimintasuunnitelman ja seurantatoimet poikkeamia varten. Strategia ja suunnitelmat implementoidaan liiketoimintaprosessien kautta. Liiketoimintapro-
sessit toimivat vuorovaikutuksessa todellisten tapahtuminen, liiketoimien ja olosuhteiden kanssa, jotka tulevat valtuutetuksi, aistituksi ja valvotuksi sisäisen val-
vonnan kautta. Informaation tuottaminen tukemaan johdon päätöksentekoprosessia
sekä varojen turvaaminen tekevät sisäisestä valvonnasta johdolle tärkeää. (Kinney 2000)
COSO:n tarjoama määritelmä sisäiselle valvonnalle on tarkoituksella laaja, koska jokaisella organisaatiolla tulisi olla omaan toimintaan soveltuva sisäisen valvonnan järjestelmä (D`Aquila 2013). Viitekehys jättää sisäiseen valvontaan liittyvät yksityis-
kohdat sen omaksuvan yrityksen päätettäväksi (Länsiluoto et. al. 2016). COSO-
malli on mahdollista mukauttaa erilaisiin organisaatioihin, toimialoille ja maantieteel-
lisille alueille (D`Aquila 2013). Se on luotu soveltumaan kaiken tyyppisiin yrityksiin riippumatta toimialasta, verotuksellisesta asemasta tai omistuksesta (Dickins &
Houmes 2011). Hermanson, Smith ja Stephens (2012) korostavatkin juuri oman organisaation kontekstin ja riskiprofiilin tarkastelua määritettäessä organisaation valvontaa. Eri organisaatioilla on erilaiset riskit ja vaihtelevat valvontaan käytettä-
vissä olevat resurssit. (ibid)
Johdolla nähdään olevan perimmäinen vastuu sisäisestä valvonnasta (Olach &
Shayamini 2009). Hubbard (2003) selittää tätä vastuuta kuvaamalla johdolla olevan suurin vaikutus osastonsa valvontaympäristöön. Johto lisäksi asettaa liiketoiminta-
tavoitteita ja kannustaa työntekijöitä keskustelemaan toimintaan liittyvistä riskeistä.
Guther (2006) yhtyy näkemykseen johdon vastuusta, mutta huomauttaa hallituksen vastaavan johdon valvonnasta. Siten hallituksen voidaan pohjimmiltaan nähdä ole-
van vastuussa sisäisestä valvonnasta. Olach ja Shayamini (2009) korostavat riskien tunnistamisen ja tarvittaessa suositusten antamisen olevan kiinni kuitenkin kaikista työntekijöistä mukaan lukien sisäiset valvojat eikä vain johdosta. Toimiva sisäinen valvonta edellyttääkin, että kaikki työntekijät täyttävät velvoitteensa (COSO 2013a).
Atwood et al. (2012) täsmentävät vielä koko henkilöstön roolia toteamalla sisäisen valvonnan täytäntöönpanon vaativan koko henkilöstön osallistumista, jotta voidaan varmistua valvonnan olevan aktiivista eikä vain käytäntöjä ja menettelytapoja, jotka on sisällytetty organisaatioon, mutta jätetty sen jälkeen huomiotta.
2.2 Sisäisen valvonnan tarpeellisuus
Toimiva sisäinen valvonta edesauttaa resurssien tehokasta käyttöä sekä tarjoaa edellytykset palvella asiakkaita paremmin kuin kilpailijat (Jeffrey 2008). Hyvän sisäi-
sen valvonnan tulisi johtaa tarkempaan taloudelliseen informaatioon, joka heijastelee liiketoiminnan todellisuutta ja tulevaisuuden näkymiä. Tehokas sisäinen valvonta mahdollistaa myös luotettavan tiedon kommunikoimisen ulkopuolisille pa-
rantaen sidosryhmien luottamusta ja uskoa johdon kykyyn toteuttaa yrityksen visiota ja missiota. Tehokkaan sisäisen valvonnan ylläpitämisen on myös näytetty tuotta-
van pitkäntähtäimen hyötyä. Toisaalta heikko sisäinen valvonta sallii johtajien tahallaan manipuloida tai tahattomasti johtaa harhaan taloudellisen ja operationaa-
lisen informaation avulla. Tällaiset erheet laskevat informaation laatua ja luotettavuutta, suurentavat informaatioon liittyvää riskiä sekä heikentävät yrityksen läpinäkyvyyttä. Heikolla sisäisellä valvonnalla on lisäksi monia negatiivisia taloudel-
lisia vaikutuksia, kuten korkeammat tilintarkastuksen kustannukset, alempi luottoluokitus, heikko taloudellinen ohjaus, korkeampi yritystason riski sekä korke-
ammat pääoman kustannukset. (Campbell, Li, Yu & Zhang 2016) Toisaalta pääoman kustannuksista on myös toisen suuntaista tutkimusta. Ogneva, Subra-
manyam, & Raghunandan (2007) eivät löytäneet yhteyttä sisäisen valvonnan puutteiden ja oman pääoman kustannusten väliltä. Markkinoiden reaktioista sisäi-
sen valvonnan ongelmiin onkin olemassa ristiriitaisia tuloksia (Petrovits, Shakespeare & Shih 2011).
Frazerin (2016) mukaan erityisesti pienet yhtiöt saattavat olla alttiita varkauksille, koska organisaatiosta puuttuvat resurssit sisäisen valvonnan järjestelmien luomi-
selle. Hermanson et al. (2012) vahvistavat osaltaan tätä näkökantaa havaitsemalla julkisesti noteerattujen yritysten valvonnan olevan tehokkaampaa kuin muiden or-
ganisaatioiden. Pienissä yrityksissä taloudelliset resurssit valvonnan luomiseen ovat hyvin rajalliset johtuen varojen puutteesta tai niiden priorisoinnista mieluummin muualle. Huolimatta tarvittavien resurssien olemassaolosta ja kiinnostuksesta luoda oikeaoppinen sisäisen valvonnan järjestelmä, voivat kustannukset ylittää pienissä organisaatioissa potentiaaliset edut. (Doyle, Ge & MCVay 2007) Sisäisen valvonnan
rakenne voi olla sopimaton pieniin yrityksiin, joissa on vain muutama työntekijä. Si-
säisen valvonnan tavoitteet voivat jäädä saavuttamatta ja kustannukset sisäisestä valvonnasta voivat ylittää virheiden ja petosten aiheuttamat kustannukset. Lisäksi johto ei välttämättä välitä toimiiko sisäinen valvonta kunnolla. Johto ja henkilökunta voivat kokea sisäisen valvonnan turhana byrokratiana, joka on tarpeetonta ajanhuk-
kaa. (Frazer 2016) Lisäksi ne, jotka tulevat kirjanpidon ammattikunnan ulkopuolelta, eivät välttämättä ymmärrä sisäisen valvonnan arvoa ja voivat tarkastella sitä johdon manipulointikeinona (Tsay & Turpen 2011). Varsinkin pienissä yrityksissä henkilö-
kunta on sidottu tiukkaan budjettiin ja on taipuvainen tinkimään. Toisaalta organisaatioissa yleisesti tavoitellaan kustannusten minimointia, jotta saavutetaan parempi tehokkuus ja kilpailukyky. Sisäisen valvonnan toimet auttavat toimintame-
netelmien kehittämisessä, vastuukysymyksissä sekä varojen turvaamisessa.
(Frazer 2016) Ahokas (2012) esittää, että sisäisestä valvonnasta aiheutuvia kustan-
nuksia tulisi verrata varmuuteen, apuun ja tukeen, minkä se johdolle tarjoaa.
Kustannusten tulee olla oikeassa suhteessa saatuun hyötyyn. Ajan ja kustannusten uhraaminen merkityksettömiin asioihin ei ole tarkoituksenmukaista. (ibid)
Pienten, nuorien, taloudellisesti heikkojen, monimutkaisten, nopeasti kasvavien sekä rakennemuutosta läpikäyvien yritysten sisäisestä valvonnasta on todettu löy-
tyvän useammin heikkouksia. Tällaiset piirteet näyttävät luovan organisaatiolle haasteita ylläpitää vahvaa sisäisen valvonnan järjestelmää. (Doyle et al. 2007) Vah-
vakaan sisäinen valvonta ei pysty täysin poissulkemaan kaikkea tehottomuutta ja väärinkäytöksiä, sillä sisäiseen valvontaan liittyy tiettyjä rajoittavia tekijöitä. Ahokas (2010) on listannut viisi sisäistä valvontaa rajoittavaa tekijää. Kontrollien suorittami-
nen on osa henkilöstön päivittäisiä työtehtäviä eli inhimillisen erehdyksen tai virheen mahdollisuus on olemassa. Työtehtävien eriyttäminen riittävän monelle eri työnteki-
jälle ei ole pienessä yrityksessä järkevää pienten resurssien takia. Tällaisissa tapauksissa yksittäisellä työntekijällä voi olla liian laaja työnkuva. Kontrollien kiertä-
minen kahden tai useamman henkilön toimesta poistaa työtehtävien eriyttämisen tuoman turvan. Johdon on mahdollista itse ohittaa luomansa kontrolli ja / tai johdon toiminnan valvominen voidaan laiminlyödä hallituksen toimesta. Lisäksi kontrollijär-
jestelmän toimivuus voi vaarantua organisaatiossa tapahtuvien muutosten tai toimintaympäristön muutosten myötä. (ibid)
Tietyistä sisäiseen valvontaan kohdistuvista esteistä huolimatta sen katsotaan ole-
van tärkeää kaikille organisaatioille ja sisäisen valvonnan kehittämiselle nähdään olevan tarvetta. Sisäisen valvonnan soveltamisessa ja kehittämisessä tulee kuiten-
kin huomioida organisaation erityispiirteet. Organisaatioilla ei tulisi olla samanlaisia sisäisen valvonnan järjestelmiä, vaan kokonaisuuksien, päämäärien ja komponent-
tien tulisi erota organisaation toimialan, koon ja johtamismallien mukaan. (D`Aquila 2013) Valvontajärjestelmien kehittyneisyys organisaatiossa voi olla sidoksissa sen taloudellisiin resursseihin kuin myös olla seurausta johdon filosofiasta (Grollman &
Colby 1978). Frazer (2016) toteaa, että täydellistä järjestelmää kaikkien menetysten estämiseksi ei ole olemassa, mutta hyvällä sisäisellä valvonnalla voidaan havaita petoksen tai häviön tapahtuminen
2.3 Sisäinen valvonta ja sen kehittäminen COSO-mallin pohjalta
On mahdollista, että organisaatiosta puuttuu kokonaan sisäisen valvonnan järjes-
telmä. Sisäisen valvonnan järjestelmä on voinut myös heikentyä ajan kuluessa tai muuttua tehottomaksi johtuen organisaatiossa tapahtuneista muutoksista, kuten or-
ganisaation koon muuttumisesta, teknologian kehittymisestä, prosessien muuttumisesta, epäonnistumisesta aineellisessa suojaamisessa tai työntekijöiden epäonnistumisesta suoriutumisessaan. Tällaiset tilanteet luovat harhaisen kuvan si-
säisen valvonnan tuomasta turvasta. Nämä harhaluulot voivat aiheuttaa hankaluuksia kirjanpidon ja talouden parissa työskenteleville henkilöille, joiden on luotettava sisäiseen valvontaan varojen turvaajana, taloudellisen tiedon eheyden suojaajana sekä petosten estäjänä ja havaitsijana. (Atwood et al. 2012)
COSO-mallin viidellä komponentilla ja niiden toiminnalla on tärkeä rooli yrityksen sisäisen valvonnan tehokkuuden saavuttamisessa. Viitekehyksen tarjoama ohjeis-
tus koskien sisäisen valvonnan järjestämistä on hyvin laaja jättäen yksityiskohdat omaksumisesta organisaatiolle itselleen. Tunnistettu typologia kuitenkin tarjoaa or-
ganisaatioille vertailupohjan siitä, kuinka ne voivat parantaa sisäisen valvonnan tehokkuutta. Typologian mukaan yrityksen tulisi arvioida sisäisen valvonnan raken-
teen kehittyneisyyttä ja sitä, kuinka tehokkaasti he toteuttavat sisäistä valvontaa.
Tätä arviointia voidaan käyttää muotoilemaan sisäisen valvonnan kehitysstrategiaa.
(Länsiluoto et al. 2016) Organisaatiolla tulee olla selkeä suunnitelma sisäisen val-
vonnan kehittämiseksi ja illuusioiden estämiseksi turvallisuudesta (Atwood, Raiborn
& Butler 2012).
Kuten edellä luvussa 2.1 on tuotu esille, sisäinen valvonta on prosessi (Kuvio 5).
Tämä on tärkeää hahmottaa kehitettäessä sisäistä valvontaa. Prosessi on jatkuva olotila, jonka pohjalta voidaan selkeämmin havaita organisaation pystyvän ajan ku-
luessa muokkaamaan ja parantamaan sisäistä valvontaa. Lisäksi eri komponenttien vuorovaikutussuhteet näkyvät hyvin prosessimuodossa. (COSO 2006)
Kuvio 5. Sisäinen valvonta prosessina (COSO 2006)
Sisäisen valvonnan prosessi taloudellisen raportoinnin kontekstissa alkaa johdon määritellessä yhtiön liiketoiminnan ja olosuhteiden kannalta oleelliset taloudellisen raportoinnin tavoitteet. Tämän jälkeen johto tunnistaa ja arvioi tavoitteisiin liittyviä riskejä ja määrittää, mitkä riskit voivat johtaa virheellisyyksiin taloudellisessa rapor-
toinnissa sekä kuinka riskejä tulisi hallinnoida erilaisilla valvontatoimilla. Johto toteuttaa lähestymistapoja, joilla tallentaa, jalostaa ja kommunikoi informaatiota, jota tarvitaan taloudelliseen raportointiin ja muihin sisäisen valvonnan komponentteihin liittyen. Kaikki edellä kuvattu tapahtuu osana yrityksen valvontaympäristöä, jossa myös kaikkia komponentteja seurataan. (COSO 2006) Lähtökohtaisesti COSO-mal-
lin tavoitteena on auttaa tunnistamaan riskejä laajemminkin liiketoimintaan liittyen
Riskien'arviointi'
Valvontaympäristö
Valvontatoiminnot Informaatio'ja'
kommunikaatio Seuranta
Määritellyt' taloudellisen' raportoinnin' tavoitteet
kuin vain taloudellisen raportoinnin yhteydessä sekä vastata näihin riskeihin. Käy-
tännössä COSO- malli kuitenkin yhdistetään paremmin taloudellisen raportoinnin riskiin ja COSO Enterprise Risk Management (ERM)-Integrated Framework liiketoi-
mintariskiin. (Dickins & Houmes 2011) Syyn tähän voi mahdollisesti johtaa COSO:n alkuperäisestä tavoitteesta, joka liittyi vilppien tunnistamiseen taloudellisessa rapor-
toinnissa. Nykyään tavoite on kuitenkin laajentunut koskemaan kaikkien organisaation kontrollien suunnittelun, implementoimisen ja seuraamisen ohjeis-
tusta. (Olach & Weeramantri 2009)
Vuonna 2013 julkaistiin päivitetty COSO-malli, joka tarjoaa relevantteja käytännön ohjeita sisäisen valvonnan kehittämiseen (Jill and Houmes 2014;; Dickins & Houmes 2011). Päivitetyllä viitekehyksellä, jonka kehittämisessä on huomioitu laajasti eri ta-
hojen näkemyksiä, pyritään auttamaan organisaatioita kehittämään ja ylläpitämään liiketoiminta- ja toimintaympäristössä tapahtuviin muutoksiin mukautuvia sisäisen valvonnan järjestelmiä. Uusi viitekehys on säilyttänyt alkuperäisen sisäisen valvon-
nan määritelmän, kuin myös sisäisen valvonnan aikaisemmin esitetyt viisi komponenttia ja kolme tavoitetta. Alkuperäisestä viitekehyksestä poiketen uuteen viitekehykseen on lisätty periaatteita ja määreitä täsmentämään sisäisen valvonnan viittä komponenttia (Taulukko 2). (Janvrin, Payne, Byrnes, Schneider & Curts 2012)
Taulukko 2. Sisäisen valvonnan komponentit ja 17 periaatetta (COSO 2013b) Komponentit Periaatteet
Valvontaympäristö 1. Sitoutuminen yhtenäisyyteen ja eettisiin arvoihin 2. Hallituksen riippumattomuus johdosta ja valvonnan
harjoittaminen
3. Rakenteen, valtuuksien ja vastuiden perustaminen 4. Sitoutuminen osaamiseen ja pätevyyteen
5. Vastuullisuuden korostaminen
Riskien arviointi 6. Asianmukaisten tavoitteiden määrittely 7. Riskien tunnistaminen ja analysoiminen 8. Väärinkäytösten mahdollisuuksien arvioiminen 9. Muutosten tunnistaminen ja arvioiminen
Valvontatoiminnot 10. Valvontatoimintojen valitseminen ja kehittäminen 11. Yleisten IT-kontrollien valitseminen ja kehittäminen 12. Menettelytapojen käyttäminen näissä toimenpiteissä
Informaatio ja kommuni-
kaatio
13. Informaation hankkiminen tai luominen ja käyttämi-
nen
14. Sisäinen kommunikoiminen 15. Ulkoinen kommunikoiminen
Seuranta 16. Jatkuvien ja erillisten arviointien tekeminen 17. Puutteiden arvioiminen ja viestiminen
Seuraavaksi nämä viisi sisäisen valvonnan komponenttia ja niihin liittyvät periaat-
teet käydään läpi sisäisen valvonnan kehittämisen näkökulmasta. Taulukossa 2 esitettyihin periaatteisiin liittyy myös tarkennuskohtia tai tärkeitä ominaisuuksia, jotka eivät kuitenkaan välttämättä ole oleellisia kaikille organisaatioille (D`Aquila 2013).
2.3.1 Valvontaympäristö
Viidestä sisäisen valvonnan komponentista valvontaympäristö on alue, josta hallitus ja ylin johto kantavat suurimman vastuun ja johon ne voivat käyttää suurinta vaiku-
tusvaltaa (Parello 2004). Johdon on kuitenkin vaikea olla kannustava tai kantaa vastuusta sellaisesta, mitä se ei ymmärrä. Siten onkin esitetty suosituksia, joiden mukaan johdon olisi hyvä tutustua COSO:n sisäisen valvonnan ohjeistukseen.
(Gauthier 2006) Valvontaympäristön merkitys sisäisen valvonnan onnistumiselle on kriittinen (Stephen 2006). Valvontaympäristö luo sävyn kaikille muille kontrolliele-
menteille heijastellen johdon yleistä riskinkantokykyä (Parello 2004).
Valvontaympäristön rooli ilmenee hyvin kuviosta, jossa COSO-malli on kuvattu py-
ramidin muodossa (Kuvio 6).
Kuvio 6. COSO-malli pyramidin muodossa (COSO 1992)
Valvontaympäristö sijoittuu pyramidissa alimmaiseksi tarjoten pohjan muille sisäi-
sen valvonnan komponenteille. Valvontaympäristö käsitetään kaikkein tärkeimmäksi sisäisen valvonnan komponentiksi. (Maguire 2014) Parhaitenkaan suunnitelluilla valvontatoimilla on vain vähän toivoa olla menestyksekkäitä ympäris-
tössä, jossa sisäiseen valvontaan asennoidutaan välinpitämättömästi tai jopa vihamielisesti. Vastaavasti ympäristö, joka on selvästi tukeva valvontaa kohtaan, edistää hyötyjen saamista jopa perustason kontrolleista. (Gauthier 2006)
Hubbard (2003) kuvaa valvontaympäristön muodostuvan usein epävirallisista ja ai-
neettomista pehmeistä kontrolleista, mutta sisältävän myös muodollisia kontrolleja.
D`Aquilan (2013) kuvailussa valvontaympäristö muodostuu asetetuista standar-
deista, prosesseista ja rakenteista ja asettuu muodollisten kontrollien ryhmään.
Frazer (2016) täydentää D`Aquilan (2013) listaa kuvaamalla valvontaympäristön kattavan edellä mainittujen lisäksi vielä yhtenäisyyden, eettiset arvot, henkilöstön ammattitaidon, johdon filosofian, toiminnan tyylin kuin myös johtajuuden. Nämä taas voidaan rinnastaa Hubbardin (2003) luokittelussa epävirallisiin ja aineettomiin pehmeisiin kontrolleihin.
Valvontaympäristö vaikuttaa henkilöstön ja sidosryhmien käsityksiin organisaa-
tiosta. Johdon tulisi sisällyttää valvontaympäristöön tekijöitä, jotka osoittavat yhtenäisyyttä ja eettisiä arvoja ja edelleen johtaa ja kehittää sisäisiä ja ulkoisia suh-
teita organisaatiossa. (Maguire 2014) Hallituksen ja johdon tulisi myös osoittaa sitoutumista yhtenäisyyteen ja eettisiin arvoihin. Hallituksen on tiedostettava valvon-
tavelvollisuutensa ja määriteltävä, ylläpidettävä sekä määräajoin arvioitava valvonnan harjoittamiseen tarvittavaa ammattitaito. Lisäksi hallituksen pitää olla riit-
tävän riippumaton johdosta, jotta se voi vastata johdon suunnittelusta ja implementoinnista sekä sisäisen valvonnan toimista. Johdon ja hallituksen tulee tarkastella kattavasti organisaation rakenteita tukeakseen tavoitteiden saavutta-
mista. Valtaa on delegoitava, vastuita määritettävä ja tarvittaessa tehtäviä eroteltava eri tasoille. (D`Aquila 2013) Organisaatiossa toimivien yksilöiden täytyy ymmärtää organisaation tavoitteet. Heidän täytyy myös käsittää vastuunsa ja val-
lanrajat, jotta voidaan varmistaa organisaation tavoitteiden saavuttaminen.
(Campbell, Campbell & Adams 2006) Organisaatiossa tulee olla asianmukaisia suo-
rituskyvyn mittareita, kannustimia ja muita palkintoja sekä lyhyen että pitkän aikavälin tavoitteille kuin myös mahdollisia kurinpidollisia toimia (D`Aquila 2013).
2.3.2 Riskien arviointi
Riskien arviointi on prosessi, jossa harkitaan mahdollisten tapahtumien potentiaali-
sia vaikutuksia organisaation tavoitteiden saavuttamiseen (Parello 2004).
Tarkemmin sanottuna prosessissa tunnistetaan riskejä ja analysoidaan niitä, jonka jälkeen johto määrittelee, kuinka riskejä tulisi johtaa (Hubbard 2003). Riskien tun-
nistaminen on toistuva prosessi ja se on usein integroitu suunnitteluprosessiin edustaen ensimmäistä askelta riskien vähentämisessä ja hallitsemisessa (Krstić &
Đorđević 2012). Riskien arvioinnin edellytyksenä on johdonmukaisten tavoitteiden määrittäminen organisaatioon. Tavoitteiden tulee liittyä organisaation toimintaan, raportointiin ja määräystenmukaisuuteen. Campbell et al. (2006) esittävät riskiin pe-
rustuvan lähestymistavan sisäiseen valvontaan olevan keskeinen askel kohti tasapainoa kustannusten ja hyödyn välillä. Kinney (2000) kuvaa liiketoimintaan liit-
tyvän aina riskiä tai uhkaa, ettei tavoitteita saavuteta halutulla tavalla. Sisäisellä valvonnalla on mahdollisuus optimoida riskin ja voiton tasapaino.
Riskiä arvioidaan tyypillisesti kahdesta eri perspektiivistä: millä todennäköisyydellä riski esiintyy sekä miten se vaikuttaisi organisaatioon realisoituessaan (Parello 2004). Kaikki organisaatiot kohtaava arvioita vaativia sisäisiä ja ulkoisia riskejä riip-
pumatta organisaation koosta tai siitä, ovatko ne julkisesti noteerattuja vai yksityisiä yrityksiä (Frazer 2016). Tästä johtuen organisaation tulisi implementoida riskien ar-
viointimekanismeja asianmukaisille johdon tasoille (D`Aquila 2013). Kaikkien riskien tunnistaminen ja arvioiminen riskien arvioinnin puitteissa ei ole kuitenkaan mahdol-
lista. Näin ollen seurannan kohteeksi tulisi valita merkittävimmät riskit. (Hubbard 2003)
Sisäisen ja ulkoisen ympäristön jatkuva seuraaminen on riskien arvioimisen kan-
nalta oleellista. Tapahtumat, kuten järjestelmien muutokset, yritysjärjestelyt, avainhenkilön menettäminen tai muut muutokset voivat vaatia tarkempaa olemassa olevien kontrollien ja riskienhallinnan tarkastelua. Muutosten tunnistamisessa tulisi huomioida myös ulkoisen ympäristön, liiketoimintamallien sekä johtamisen merki-
tys. (D`Aquila 2013) Gauthier (2006) syventää D`Aquilan (2013) listaa esittämällä muutosten voivan johtua muutoksista liiketoimintaympäristössä, henkilökunnan vaihdoksista, muutoksista informaatiojärjestelmissä ja teknologiassa, kasvusta, uu-
sista ohjelmista ja palveluista sekä rakenteen muuttumisesta. Johdon tulee myös harkita tiettyjä olemassa olevia tilanteita, joihin liittyy luontaisesti korkeampi riski ku-
ten monimutkaisuus, käteistulot, suorat kolmannen osapuolen edunsaajat, aikaisemmat ongelmat sekä aikaisempi reagoimattomuus valvontaheikkouksiin.
(ibid)
2.3.3 Valvontatoiminnot
Johdon tunnistaessa nykyisiä ja tulevia potentiaalisia riskejä jatkuvan riskien arvi-
oinnin tuloksena, sen täytyy ottaa käytännön askeleita suunnitellakseen ja täytäntöön pannakseen täsmällisiä valvontatoimintoja tunnistettujen riskien välttä-
miseksi tai pienentämiseksi (Gauthier 2006). Valvontatoiminnot ovat tehtäviä, linjauksia ja menettelytapoja, jotka auttavat taloudellisen, operationaalisen ja nou-
dattamisen riskin pienentämisessä. Valvontatoimintoja esiintyy kaikilla