VALVONNAN TYÖNJAKO ASIAKASVIRASTON JA PALVELUKESKUKSEN VÄLILLÄ CASE MAA- JA METSÄTALOUSMINISTERIÖ

TAMPEREEN YLIOPISTO Taloustieteiden laitos VALVONNAN TYÖNJAKO ASIAKASVIRASTON JA PALVELUKESKUKSEN VÄLILLÄ CASE MAA- JA METSÄTALOUSMINISTERIÖ Finanssihallinto ja julkisyhteisöjen laskentatoimi Pro gradu -tutkielma Huhtikuu 2010 Ohjaaja: Lasse Oulasvirta Eeva-Liisa Heinranta

2 TIIVISTELMÄ Tampereen yliopisto Taloustieteiden laitos; finanssihallinto ja julkisyhteisöjen laskentatoimi Tekijä: HEINRANTA, EEVA-LIISA Tutkielman nimi: Työnjako valvonnassa asiakasviraston ja palvelukeskuksen välillä case maa- ja metsätalousministeriö Pro gradu -tutkielma: 82 sivua, 21 liitesivua Aika: Huhtikuu 2010 Avainsanat: sisäinen valvonta, riskienhallinta, asiakas, palvelukeskus Valtion tuottavuusohjelmaan liittyen on valtionhallintoon perustettu taloushallinnon palvelukeskuksia. Samalla taloushallinnon prosesseja on yhdenmukaistettu, sähköistetty ja toimintamalleja on muutettu. Aikaisempina vuosina perustetut eri hallinnonalojen talous- ja henkilöstöhallinnon palvelukeskukset yhdistettiin vuoden 2010 alussa hallinnollisesti yhdeksi virastoksi, joka palvelee koko valtion hallintoa. Tässä tutkimuksessa selvitetään, miten valvonnan työnjako on hoidettu asiakasviraston ja palvelukeskuksen välillä. Lisäksi selvitetään, miten virasto pystyy täyttämään talousarvioasetuksen velvoitteen hoitaa sisäistä valvontaa myös niiltä osin, kun se on ulkoistanut tehtäviä palvelukeskuksen hoidettavaksi. Tutkimuksen kohdevirasto on maa- ja metsätalousministeriö ja tutkimus koskee vain taloushallinnon tehtäviä. Tutkimuksessa muodostetaan kuva hyvästä sisäisestä valvonnasta valtion taloushallinnossa. Dokumenttianalyysin avulla tutkitaan, miten sisäinen valvonta ja sen työnjako on hoidettu palvelukeskusmallissa. Arviointikriteereinä käytetään säädöksiä, määräyksiä ja valtiovarain controller -toiminnon sisäisen valvonnan ja riskienhallinnan arviointikehikkoa. Teemahaastatteluilla on tuotettu lisätietoa aihealueesta. Tutkimus osoittaa, että sisäisen valvonnan dokumentointi on pääosin asianmukainen eikä dokumentointia ole liikaa. Taloushallinnon määräykset ja ohjeet sisältävät myös sisäisen valvonnan ohjeistuksen. Palvelusopimuksen vastuunjakotaulukkoa on jouduttu tarkentamaan mm. viraston erityispiirteiden osalta, mutta rutiininomaisten tehtävien vastuunjaossa on pääosin onnistuttu. Sopimuksen tulkinnassa voidaan törmätä sopimusoikeudellisiin ongelmiin. Asiakkaan keinot valvoa palvelukeskuksen toimintaa ovat rajalliset. Apuna valvonnassa voidaan käyttää palvelukeskuksen laatimia prosessikuvauksia ja työohjeita. Nämä dokumentit auttavat myös laadunhallinnassa. Toiminnan ja sisäisen valvonnan kehittämisen foorumina toimivat yhteistyöpalaverit, mutta toiminta hakee vielä muotoaan. Sisäisen tarkastuksen toimintamahdollisuuksia palvelukeskusten tarkastamisessa tulee kehittää. Sekä asiakasvirastossa että palvelukeskuksessa nähtiin tarvetta kehittää lainsäädäntöä. Säädösten tulisi paremmin olla sovellettavissa palvelukeskusmallin mukaiseen toimintaan ja työnjakoa pitäisi voida muuttaa viraston ja palvelukeskuksen välillä.

3 Sisältö 1 JOHDANTO... 1 1.1 Aiheenvalinnan taustaa... 1 1.2 Aikaisempi tutkimus... 2 1.3 Tutkimuksen tavoite, kohde ja rajaukset... 3 1.4 Tutkimusote ja -menetelmät... 4 1.5 Tutkimuksen rakenne... 5 2 RISKIENHALLINNAN JA SISÄISEN VALVONNAN TEOREETTINEN VIITEKEHIKKO... 6 2.1 Riskit... 6 2.2 Riskienhallinta... 8 2.3 Riskien arvioinnin kehikot ja riskienhallintaprosessi... 10 2.4 Sisäinen valvonta... 11 2.5 Sisäinen valvonta valtion virastoissa ja laitoksissa... 15 2.5.1 Säädöstausta... 15 2.5.2 Sisäisen valvonnan määritelmät ja tavoitteet... 17 2.5.3 Sisäisen valvonnan menettelyt valtion virastoissa ja laitoksissa... 18 2.6 Sisäisen tarkastuksen rooli riskienhallinnassa ja sisäisessä valvonnassa... 22 2.6.1 Sisäinen tarkastus standardien mukaan... 22 2.6.2 Sisäinen tarkastus valtion virastoissa ja laitoksissa... 23 2.7 Hyvän sisäisen valvonnan ja valvonnan työnjaon kriteerit... 24 3 TALOUS- JA HENKILÖSTÖHALLINNON PALVELUKESKUKSET VALTIONHALLINNOSSA... 25 3.1 Palvelukeskukset osa tuottavuushanketta... 25 3.2 Palvelukeskusverkoston kehittämishanke Palkeet... 29 3.3 Kieku-ohjelma... 30 3.3.1 Taloushallintohanke... 31 3.3.2 Palvelusopimusmalli... 32 4 SISÄISEN VALVONNAN TYÖNJAKO MAA- JA METSÄTALOUSMINISTERIÖN JA PALVELUKESKUKSEN VÄLILLÄ... 33 4.1 Kohdeorganisaatiot... 33

4 4.2 Palvelukeskusprojektin siirtymäsuunnitelma... 35 4.3 Sisäisen valvonnan työnjako dokumenttien valossa... 37 4.3.1 Taloussääntö... 37 4.3.2 Palvelusopimus... 38 4.3.3 Tehtävänkuvaukset, prosessikuvaukset, työohjeet ja muut dokumentit... 42 4.4 Sisäisen valvonnan työnjako prosesseittain... 44 4.4.1 Menojen käsittely ja ostoreskontra... 44 4.4.2 Matkahallinta... 47 4.4.3 Laskutus ja myyntireskontra... 48 4.4.4 Maksuliike... 49 4.4.5 Kirjanpito ja tilinpäätös... 52 4.4.6 Käyttöomaisuuskirjanpito... 58 4.4.7 Taloushallinnon järjestelmien pääkäyttäjätoiminnot ja tietojärjestelmävastuut..59 5 TEEMAHAASTATTELUT... 64 5.1 Haastattelujen toteutus... 64 5.2 Haastattelujen tulokset... 65 5.2.1 Palvelukeskusprojektin suunnittelu- ja toteutusvaihe... 65 5.2.2 Toiminta palvelukeskusmallissa... 67 5.2.3 Toiminnan kehittäminen... 71 6 YHTEENVETO JA JOHTOPÄÄTÖKSET... 74 6.1 Sisäisen valvonnan ja valvonnan työnjaon arviointia... 75 6.2 Kehittämistarpeita... 78 6.3 Lopuksi... 79 LÄHTEET... 80 LIITTEET... 83 Liite 1 Taloushallinnon vastuunjakotaulukot... 83 Liite 2 Haastattelukysymykset... 103

1 1 JOHDANTO Vuoden 2010 alusta alkaen talousarviolakia ja talousarvioasetusta muutettiin. Talousarviolakiin lisättiin mm. 12 a koskien taloushallinto-organisaatiota, jonka mukaan valtion talousarviotalous on kirjanpitovelvollinen, joka jakautuu kirjanpitoyksiköihin. Kirjanpitoyksikön tehtävät ovat maksuliikkeestä ja kirjanpidosta vastaaminen sekä lain 21 :ssä tarkoitetun viraston ja laitoksen tilinpäätöksen ja toimintakertomuksen laatiminen. Tehtävät vastaavat entisen tiliviraston tehtäviä. Lain voimaantulosäännösten mukaan entiset tilivirastot toimivat kirjanpitoyksikköinä, kunnes valtiovarainministeriö määrää ne toimimaan 12 a :ssä tarkoitettuina uusina kirjanpitoyksikköinä. Myös talousarvioasetuksessa käytetty käsite tilivirasto korvattiin käsitteellä kirjanpitoyksikkö. (HE 202/2009.) Tässä tutkielmassa käytetään pääosin uuden talousarviolain mukaista käsitettä kirjanpitoyksikkö entisen tilivirasto -termin sijasta, kun tarkoitetaan talousarviolain 12 a :n mukaista yksikköä. Useimmissa lähteinä käytetyissä asiakirjoissa käytetään käsitteenä edelleen tilivirastoa, koska niitä ei ole ehditty päivittää. Valtiokonttorin 12.11.2009 tiedotteen mukaan taloushallintoon liittyvät ohjeet ja määräykset tullaan päivittämään uuden terminologian mukaisiksi. 1.1 Aiheenvalinnan taustaa Pääministeri Matti Vanhasen I hallitusohjelmaan sisältyi tavoite julkisen sektorin tuottavuuden parantamisesta. Hallitusohjelman mukaan valtionhallintoa kehitetään siten, että ydintoimintojen tehostamiseksi hallinnon tukipalveluita keskitetään siihen erikoistuneille yksiköille. Samalla käynnistetään tukitehtävien alueellistaminen. (Vanhasen I hallitusohjelma.) Taloushallinnon tukipalveluiden hankkiminen palvelukeskuksilta on ollut yksi valtiolla meneillään olevista asiantuntija-, tuki- ja taustapalvelujen palvelukeskushankkeista. Samalla taloushallinnon prosesseja ja tietojärjestelmiä on yhdenmukaistettu, sähköistetty ja uudistettu sekä toimintamalleja on muutettu. Palvelukeskuksille on

2 asetettu tuottavuus- ja palvelutasotavoitteita. Tuottamalla taloushallintopalveluita palvelukeskuksessa pyritään saamaan aikaan mittakaavaetuja. Hallituksen strategiaasiakirjan 7.4.2005 mukaisesti valtion keskushallinnon toimintoja ja yksiköitä alueellistetaan. Palvelukeskuksia ja niiden toimipisteitä onkin perustettu eri puolille Suomea. (VM 6/2007.) Toimintaympäristö taloushallinnossa on siis muutamien viime vuosien aikana muuttunut paljon. Virastoihin jäljelle jäänyt henkilöstö on joutunut opettelemaan uudet toimintamallit ja asioimaan palvelukeskuksen kanssa. Yhtenäistetyt prosessit eivät salli paljoakaan virastokohtaisia yksilöllisiä palveluita. Alueellistaminen on merkinnyt sitä, että palvelukeskuksiin on palkattu uutta työvoimaa usein valtion sektorin ulkopuolelta. Heillä ei siis välttämättä ole ollut kokemusta valtion taloushallinnosta. Kaikki tämä on ollut haasteena myös sisäisen valvonnan järjestämiselle. 1.2 Aikaisempi tutkimus Palvelukeskuksiin liittyvää kirjallisuutta tai tutkimuksia on vähän. Pro gradu -tasoisia tutkimuksia liittyen palvelukeskuksiin löytyy muutamia, joita on tehty Tampereen, Vaasan ja Jyväskylän yliopistoissa, Helsingin kauppakorkeakoulussa sekä Lappeenrannan teknillisessä yliopistossa. Näistä voi mainita esimerkiksi Taru Heikkisen tutkimuksen vuodelta 2005 Taloushallinnon palvelukeskusmalli tehokkuuden tavoittelua, innovatiivinen ratkaisu vai muoti-ilmiö? Tutkimuksessa on kartoitettu, kuinka Tampereen kaupungissa on perusteltu palvelukeskusmallin käyttöönottoa. Tuomo Mäkinen on puolestaan tutkinut Helsingin kaupungin taloushallinnon kehittämistä ja palvelukeskushanketta. Joni Toivosen tutkimus lähestyy palvelukeskuksia tietojärjestelmätieteen näkökulmasta. Paula Suikkanen on tutkimuksessaan Taloushallinnon ulkoistamisen hyödyt ja riskit: tapaustutkimus tutkinut finanssialan yrityksen taloushallinnon ulkoistamista transaktiokustannusteorian näkökulmasta. Tutkimusta liittyen valtion taloushallinnon palvelukeskuksiin on siis vähän. Tehdyt selvitykset liittyvät lähinnä tuottavuuteen, kuten esimerkiksi valtionvarain controllerin tilaama tuottavuusohjelman väliarviointi (Vastaus Tuottavuusohjelman väliarviointiin,

3 VM 103/209/2008), joka sisältää myös johtopäätöksiä talous- ja henkilöstöhallinnon palvelukeskuksista. Lisäksi Kieku-hanke arvioi palvelukeskusten tuottavuuskehitystä ja tuottavuushyötyjen toteutumista. Sisäiseen valvontaan liittyvää tutkimusta on tehty koskien yrityssektoria. Tutkimusta, joka liittyisi sisäisen valvonnan työnjakoon asiakkaan ja palvelukeskuksen välillä, ei löydy. 1.3 Tutkimuksen tavoite, kohde ja rajaukset Tutkimuksen tavoitteena on selvittää, miten asiakasvirasto ja palvelukeskus ovat hoitaneet työnjaon koskien sisäistä valvontaa. Lisäksi selvitetään, miten virasto pystyy täyttämään talousarvioasetuksen velvoitteen hoitaa sisäinen valvonta myös niiltä osin, kuin se on antanut taloushallinnon tehtäviä palvelukeskuksen hoidettavaksi. Sisäisen valvonnan työnjaon selvittämiseksi taloushallinnon prosessit käydään läpi vaihe vaiheelta. Vaikka tutkimuksen pääpaino onkin valvonnan työnjaossa, käsitellään tutkimuksessa myös prosessittaisen tarkastelun tuloksena havaittuja kehittämistarpeita. Myös haastattelujen tuloksia raportoidaan laajemmin kuin valvonnan työnjaon näkökulmasta. Tutkimuksen kohteena on maa- ja metsätalousministeriön (MMM) ja Valtion talous- ja henkilöstöhallinnon palvelukeskuksen (Palkeet) välinen työnjako valvonnassa. Sisäisen tarkastuksen tekemiä toimia ei käsitellä tutkimuksessa. Koska sisäinen tarkastus on kuitenkin oleellinen osa sisäistä valvontaa, otetaan sisäisen tarkastuksen näkemykset sisäisen valvonnan järjestämisestä tutkimuksen piiriin teemahaastattelun muodossa. Tutkimus koskee vain palvelukeskuksen tuottamia taloushallinnon palveluita MMM:lle ja palvelukeskuksen tuottamat henkilöstöhallinnon palvelut rajataan tutkimuksen ulkopuolelle. Tutkimuksen kohteena ovat myös taloushallinnon palveluihin läheisesti liittyvät tietotekniset palvelut, näistä lähinnä taloushallinnon järjestelmien pääkäyttäjätoiminnot. Lisäksi käsitellään lyhyesti niitä yleisiä määräyksiä, joita on annettu koskien taloushallinnossa käytettävien järjestelmien tietoturvallisuutta. Järjestelmiin rakennettuihin kontrolleihin ja yleensä IT-toimintojen kontrolleihin ei porauduta syvällisemmin.

4 1.4 Tutkimusote ja -menetelmät Tutkimus on lajityypiltään arviointitutkimus. Kyseessä on laadullinen tutkimus, jossa tutkimustapana ja tiedonhankinnan strategiana on empiirinen tapaustutkimus. Tapaustutkimuksessa kohteena on tapahtumakulku tai ilmiö, joita voi olla pieni joukko tai vain yksi tietty tapaus. Lähtökohtana on kuvata tutkimuksen kohde perusteellisesti ja kerätä kohteesta mahdollisimman laaja aineisto. Päämääränä on lisätä ymmärrystä tutkittavasta tapauksesta. Tapaustutkimuksen tuloksia voidaan myös yleistää, jos tilanteen analyysistä saadaan muodostettua kokonaisnäkemys, josta nousee esiin yleisesti tärkeitä teemoja ja uusia tarkastelukulmia. (Laine ym. 2007, 9 10, 214.) Tämän tutkimuksen aineiston hankinnan metodeina käytetään dokumenttianalyysiä sekä teemahaastatteluja. Teemahaastattelu on puolistrukturoitu haastattelumenetelmä, jossa haastattelu kohdennetaan tiettyihin teemoihin. Haastattelu on ennalta suunniteltua päämäärähakuista toimintaa ja se tähtää informaation keräämiseen. (Hirsjärvi ja Hurme 2000, 42, 47.) Tutkimusaineistona käytetään virastolta ja palvelukeskukselta saatuja määräyksiä ja ohjeita sekä muita dokumentteja. Aineistoon sisältyvät ministeriön taloussääntö ja työjärjestys sekä tilivirasto 440:n suunnitelma siirtymisestä palvelukeskuksen asiakkaaksi. Lisäksi tutkitaan, miten sisäinen valvonta on huomioitu palvelukeskuksen antamissa sisäisissä ohjeissa ja prosessikuvauksissa. Myös asiakasviraston ja palvelukeskuksen työntekijöiden tehtäväkuvauksia tarkastellaan sisäisen valvonnan näkökulmasta. Yksi keskeinen tarkasteltava dokumentti on viraston ja palvelukeskuksen välinen palvelusopimus vastuunjakotaulukkoineen (vastuunjakotaulukko taloushallinnon palveluiden osalta liitteenä 1). Taloussäännön tulee yhdessä muiden hallinnosta annettujen säädösten kanssa luoda asianmukaiset ja riittävät perusteet sisäisen valvonnan menettelyille. Siksi se on keskeinen dokumentti tutkittaessa viraston sisäisen valvonnan järjestelyjä. Prosessikuvausten ja työohjeiden laatimisella pyritään varmistamaan, että kaikki toimivat samassa tilanteessa samalla tavalla, mikä lisää toiminnan laatua. Lisäksi näihin asiakirjoihin oletettavasti sisältyy sisäisen valvonnan kontrollitoimenpiteitä. Tämän vuoksi myös nämä asiakirjat on otettu tässä tutkimuksessa tarkastelun kohteeksi.

5 Asiakkaan ja palvelukeskuksen välinen työnjako on puolestaan kuvattu palvelusopimuksessa ja sen liitteenä olevassa vastuunjakotaulukossa. Tutkimuksen arviointikriteerit perustuvat etenkin talousarvioasetukseen, Valtiokonttorin määräykseen taloussäännön päivittämisestä sekä valtiovarainministeriön valtiovarain controller -toiminnon antamaan suositukseen valtion viraston ja laitoksen sekä rahaston sisäisen valvonnan ja riskienhallinnan hyvistä käytännöistä ja se toteutumisen arvioinnista. Materiaalina käytetään myös muita Valtiokonttorin ja valtiovarainministeriön määräyksiä ja ohjeita. Näiden säännösten ja dokumenttien avulla muodostetaan käsitys hyvästä sisäisestä valvonnasta valtionhallinnossa sekä siitä, mitä menettelyitä ja kontrollitoimenpiteitä se sisältää. Tätä käytetään vertailukohtana tutkittaessa, miten sisäisen valvonta on järjestetty asiakasviraston ja palvelukeskuksen välillä. Tutkimuksessa käytettävä dokumenttiaineisto on kerätty suurimmaksi osaksi syksyllä 2009, jolloin maa- ja metsätalousministeriö oli vielä Valtiokonttorin palvelukeskuksen (VKPK) asiakas. Ministeriön siirtyminen Valtion talous- ja henkilöstöhallinnon palvelukeskuksen asiakkaaksi ei kuitenkaan oleellisesti vaikuttanut kerättyyn aineistoon. Muutokset olivat lähinnä sopimusteknisiä tai muuten sellaisia, että niillä ei ollut vaikutusta käsiteltävänä olevaan aiheeseen. Sama asia on todettu myös palvelukeskushankkeen asiakastiedotteessa 16.10.2009, jonka mukaan palvelutuotannon rakenteet siirtyvät erillisiltä palvelukeskuksilta Valtion talous- ja henkilöstöhallinnon palvelukeskukselle sellaisinaan. Tiedotteen mukaan muutos näkyy aluksi siten, että palvelukeskuksen nimi ja yhteystiedot muuttuvat, mutta tutut asiantuntijat jatkavat palveluiden tuottamista. Lisäksi todetaan, että palvelusopimukset siirtyvät uudelle palvelukeskukselle vuoden 2010 alusta alkaen. 1.5 Tutkimuksen rakenne Tutkimuksen teoriaosuudessa luvussa kaksi selostetaan sisäisen valvonnan eri viitekehyksiä ja riskienhallinnan määritelmiä. Luvussa käsitellään myös valtion virastoja ja laitoksia koskevia sisäisen valvonnan säädöksiä sekä säädösten edellyttämää viraston taloussääntöä. Sisäistä valvontaa ja hyviä sisäisen valvonnan menettelyitä

6 käsitellään erityisesti valtion hallinnon näkökulmasta. Lisäksi luvussa käsitellään sisäisen tarkastuksen roolia sisäisessä valvonnassa ja riskienhallinnassa ja esitetään hyvän sisäisen valvonnan ja valvonnan työnjaon kriteerit. Luvussa kolme käsitellään valtion talous- ja henkilöstöhallinnon palvelukeskuksia sekä palvelukeskusverkoston kehittämishanketta (Palkeet). Tässä tutkimuksen osassa selostetaan, miten palvelukeskusten perustaminen on ollut osa valtion tuottavuuden toimenpideohjelmaa. Palvelukeskusten suunnittelu- ja kehittämisasiakirjoista haetaan taustaa sisäisen valvonnan järjestelyille palvelukeskusmallissa. Luvussa kerrotaan myös, miten Kieku-ohjelma tuki palvelukeskuksen perustamisprojekteja tavoitteena palvelutuotannon yhtenäistäminen ja hyvä laatu. Luku neljä sisältää tutkimuksen empiirisen osuuden, jossa sisäisen valvonnan työnjakoa asiakkaan ja palvelukeskuksen välillä käsitellään dokumenttien valossa. Aluksi on yleisesti käsitelty valvonnan kannalta keskeisiä dokumentteja. Tämän jälkeen taloushallinnon prosessit käydään läpi prosessi kerrallaan. Tarkastelun kohteena ovat sekä asiakkaan että palvelukeskuksen laatimat dokumentit, joiden perusteella selvitetään, miten valvonnan työnjako on järjestetty. Viidennessä luvussa raportoidaan haastattelujen tulokset. Luvun alussa kerrotaan perustelut, miksi tiedonhankintamenetelmänä käytettiin teemahaastatteluja. Viimeisessä luvussa esitetään yhteenveto tehdystä tutkimuksesta sekä tehdään tutkimuksen johtopäätökset. 2 RISKIENHALLINNAN JA SISÄISEN VALVONNAN TEOREETTINEN VIITEKEHIKKO 2.1 Riskit Riskit ovat potentiaalisia ongelmia. Kun riski toteutuu, seuraa ongelmatilanteita. Perinteisesti riskeinä on pidetty erilaisia menetyksiä, erityisesti omaisuuden menetyksiä. Riskienhallinta on kuitenkin nähtävä tätä laajemmin. Riski voi olla ei-toivottu

7 tapahtuma tai tekijä, mutta se voi olla myös menetetty mahdollisuus. Riski voi siis estää tavoitteiden saavuttamisen ja häiritä tuotantoa, mikä aiheuttaa taloudellisia menetyksiä. Riskien toteutuminen voi myös haitata organisaation mainetta. Liiketoimintaan liittyy kuitenkin riskien ottaminen, joka mahdollistaa menestymisen. Toiminnan tulee kuitenkin olla hyvin suunniteltua, jolloin liikeriskien hallinnalla parannetaan onnistumisen mahdollisuuksia. (Raudasoja ja Johansson 2009, 147.) Riskiin liittyy kaksi osatekijää: riskin muodostavat mahdolliset tappiot ja menetykset, mutta riskin esiintymiseen liittyy myös epävarmuus. Toimintaan liittyy riski, kun toiminnosta voi aiheutua menetyksiä tai ei-toivottuja seurauksia ja kun seurauksia ei etukäteen voida tarkasti tietää. Toisin sanoen toimintaan ei siis liity riskiä, jos seuraukset tiedetään tarkasti etukäteen. (Hallikas ym. 2001, 16.) Raudasojan ja Johanssonin (2009, 148) mukaan riskit voidaan luokitella eri tavoin. Ne voivat olla strategisia tai operatiivisia, toiminnallisia tai taloudellisia, sisäisiä tai ulkoisia, henkilö- tai omaisuusriskejä, toiminnan riskejä tai tietoriskejä. Työvoimavaltaisilla aloilla riskit liittyvät usein henkilöriskeihin, jolloin hyvä organisointi ja hyvä johtaminen korostuvat. Näiden lisäksi toimivaltuudet ja vastuut tulee olla määritelty organisaatiossa. Myös tavoiteasetannan täytyy olla selvää yksilötasolle asti. (Raudasoja ja Johansson 2009, 148.) Ostopalvelujen käyttö on lisääntynyt julkisella sektorilla, mikä lisää sopimuksiin liittyviä riskejä. On myös tilanteita, joissa markkinoilla palvelujen yms. tuottajia ei ole monia, jolloin ostaja voi olla riippuvainen yhdestä tai harvoista toimittajista. Tämä tuo mukanaan erilaisia riskejä ja etenkin taloudellisia riskejä. Talouteen ja toiminnan rahoitukseen liittyykin rahoitusriskejä. (Raudasoja ja Johansson 2009, 148.) Hallikkaan ym. (2001) mukaan verkostotoiminnassa riskit liittyvät kysyntään, toimituskykyyn, kustannuksiin ja hinnoitteluun sekä puutteisiin yrityksen kehittämisessä. Asiakkaalle verkoston riski näkyy siten toimituksen sekä ajallisen että laadullisen onnistumisen epävarmuutena. Ostettaessa palveluita palvelukeskukselta näistä riskeistä voi toteutua ainakin palvelukeskuksen toimituskykyyn liittyvät riskit, jotka voivat olla ongelmia toimitusajoissa tai toimituksen laadussa. Toimitusajat voivat viivästyä, kun tuotantokapasiteetti ei riitä tai työt ruuhkautuvat muiden asiakkaiden takia. Ongelmia voi olla myös tuotannon suunnittelussa, informaation kulun puutteissa tai virheellisyydessä. Myös tietojärjestelmien toimimattomuus, avainhenkilöiden

8 vaihtuminen tai osaamisen puutteet voivat olla riskitekijöitä. Osaamispuutteet johtavat myös laatuongelmiin. Ongelmat voivat johtua myös asiakkaasta, kun asiakas ei osaa spesifioida tarpeitaan riittävän tarkasti tai muutokset toiminnassa eivät välity palvelun tuottajalle. Riski syntyy lisäksi siitä, että laatuongelmia ei havaita ennen palvelun tuottamista. (Hallikas ym., 2001, 43.) Olipa riski millainen tahansa, kaikilta riskeiltä ei ole mahdollista suojautua. Olennaista on, että organisaation toimintaan liittyvät riskit on arvioitu ja ymmärretty sekä riskihalukkuus ja riskin sieto on määritelty. Tavoitteena on tila, jossa riskit eivät estä halutun tavoitteen saavuttamista ja tiettyjen riskien sisältämä mahdollisuus käytetään hyväksi (Holopainen ym. 2006, 35.) 2.2 Riskienhallinta Riskienhallinta kuuluu organisaation perustehtäviin. Organisaation johdon velvollisuus on huolehtia siitä, että organisaatiossa on riskienhallintajärjestelmä. Yrityksissä toimitusjohtajan ja ylimmän johdon velvollisuutena on suunnitella riskienhallintajärjestelmä. Myös käytännön toteuttaminen ja raportointi hallitukselle on johdon velvollisuus, vaikka riskienhallinta onkin prosessi, johon osallistuu organisaatiossa koko henkilökunta. (Holopainen ym. 2006, 34.) Raudasoja ja Johansson (2009, 147) määrittelevät riskienhallinnan systemaattisiksi menettelyiksi, joiden avulla tunnistetaan ja arvioidaan toimintaa uhkaavia riskejä sekä määritellään toimintatavat ja keinot riskien hallitsemiseksi sekä niistä raportoimiseksi. Valtiovarain controller -toiminnon määritelmä lähtee tavoitteiden saavuttamista uhkaavien riskien hallinnasta. Määritelmän mukaan riskienhallinta on toimintatapa, prosessi tai rakenne, joilla tunnistetaan, arvioidaan ja hallitaan tavoitteita uhkaavia riskejä. (VM 2005.) Toimiva riskienhallinta edellyttää tietoa organisaation tavoitteista ja toimintaan vaikuttavista tapahtumista. Tapahtumien aiheuttamat mahdollisuudet, riskit, riskien vakavuus ja todennäköisyys on oltava tiedossa sekä riskienhallintamenetelmiä ja toimenpiteitä on toteutettava kurinalaisesti. Ennen kuin voidaan toteuttaa riskienhallintaa, on määriteltävä haluttu riskitaso. Määrittelyssä otetaan kantaa koko

9 organisaation riskihalukkuuteen yhteensä (appetite) ja riskin sietoon yksittäisten tavoitteiden osalta (tolerance). (Holopainen ym. 2006, 36.) Edellinen voidaan esittää myös riskiyhtälönä (Holopainen ym. 2006, 36): R x rh = r R = kokonaisriski rh = riskienhallintamenettelyt ja -toimenpiteet eli kontrollit r = haluttu riskitaso: koko organisaation osalta (appetite) ja yksittäisen tavoitteen osalta (tolerance) Riskillä on tässä kaksi osaa: todennäköisyys ja vakavuus eli R = t x v. Yhteistyöverkostossa toimiminen tuo mukanaan omat riskinsä. Verkostossa toimivat yritykset tai muut toimijat ovat riippuvaisia toisistaan, mutta ei ole kuitenkaan olemassa yhtä verkoston riskiä, vaan toimijoita koskettavat osin samat epävarmuustekijät (Hallikas ym. 2001, 17.) Hallikkaan ym. (2001) mukaan hyvien verkoston toimintatapojen noudattaminen tukee myös riskienhallintaa. Yleisiä hyviä toimintatapoja voidaan soveltaa kaikissa toimittaja-asiakassuhteissa. Hyviin toimintatapoihin kuuluu mm. ydinosaamisen määrittely, ymmärrys omasta asemasta toimitusketjussa sekä itsenäisyyden ja riippuvuuden analyysi. On eduksi, jos osapuolilla on yhteinen tavoite, joka voi olla esimerkiksi toiminnan laadun parantaminen tai toimitusaikojen lyhentäminen. Toimitus- tai palveluprosessin tulee olla sujuva ja informaation tulee kulkea sekä vertikaalisesti että horisontaalisesti. Osapuolilla tulee olla keskinäinen luottamus toisensa kyvykkyydestä ja pätevyydestä (competence trust). Henkilökemioiden yhteensopivuus (goodwill trust) on edellytyksenä avoimuudelle ja tiedon jakamiselle. Lopulta on tärkeää, että asioista sovitaan sopimuksella ja keskinäiset suhteet määritellään (contractual trust). (Hallikas ym. 2001, 55, 58.)

10 2.3 Riskien arvioinnin kehikot ja riskienhallintaprosessi Riskien arvioinnissa on käytetty erilaisia riskienhallinnan ja sisäisen valvonnan kehikoita. Vuonna 2004 the Committee of Sponsoring Organizations of the Treadway Comission (COSO) julkaisi kokonaisvaltaisen arviointikehikon (ns. COSO-ERMkehikko), joka pohjautuu vuonna 1992 julkaistuun sisäisen valvonnan COSO-IC - kehikkoon. COSO-ERM-mallin mukaan kokonaisvaltainen riskienhallinta sisältää sisäisen ympäristön (Internal Environment) tavoitteiden asettamisen (Objective Setting) tapahtumien tunnistamisen (Event Identification) riskien arvioinnin (Risk Assessment) riskien hallinnan (Risk Response) valvontatoimenpiteet (Control Activities) raportoinnin ja tiedonvälityksen (Information and Communication) seurannan (Monitoring). (Enterprice Risk Management Integrated Framework, Executive Summary, 2004.) COSO-ERM-viitekehikko antaa puitteet ja perustan sille työlle, mitä tehdään, kun arvioidaan organisaation riskienhallintajärjestelmää. Se ei siis anna valmista ratkaisua kehitettäessä organisaatioiden riskienhallintaa. Riskienhallinta kytketään koko organisaation strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin. Riskejä tarkastellaan tällöin koko organisaation tasolla eikä lähtien yksittäisistä toiminnoista. (Alftan ym. 2008, 85.) Kyseinen viitekehikko on otettu käyttöön mm. valtion hallinnossa ja valtiovarainministeriön valtionvarain controller -toiminnon antama suositus valtion virastoille ja laitoksille sisäisen valvonnan ja riskienhallinnan käytännöistä perustuu kyseiseen malliin. On kuitenkin organisaation päätettävissä, miten ja millä tavalla se toteuttaa riskienhallintaa. (Holopainen ym. 2006, 35.) Riskienhallintaprosessi auttaa organisaatiota ja sen johtoa päättämään toimenpiteistä, joilla tunnistettuja riskejä ja niiden vaikutuksia arvioidaan. Johdon on valittava hallintakeinot, joilla parhaiten estetään riskitekijöiden toteutuminen. Hallikkaan ym. (2001) riskienhallintaprosessin keskeiset vaiheet jakautuvat seuraavasti: 1. riskien tunnistaminen

11 2. riskien merkittävyyden arviointi ja tärkeysjärjestyksen tunnistaminen 3. riskinhallintakeinojen valinta (riskien alentaminen tai siirtäminen) 4. riskienhallinnan toimeenpano 5. riskien seuranta Riskien tunnistusvaiheessa toimintaa, taloutta ja tavoitteita uhkaavat riskit kartoitetaan mahdollisimman laajasti. Seuraavassa vaiheessa tehdään riskianalyysi, jossa riskien todennäköisyys ja niiden vaikutukset arvioidaan. Analyysin avulla saadaan selville toiminnan kannalta olennaisimmat riskit, joihin keskitytään riskienhallinnan toimeenpanossa. Suunniteltaessa riskienhallintaa on päätettävä, millaisia keinoja riskienhallinnassa käytetään ja kenelle toimenpiteet vastuutetaan. Mikäli mahdollista, riskejä voidaan hallita välttämällä tai poistamalla riski kokonaan. Joka tapauksessa riskiä voi pienentää esimerkiksi valvonta- tai suojauskeinoin. Riskin voi myös siirtää toisen tahon kannettavaksi mm. ottamalla vakuutus. On mahdollista myös jakaa riskiä kumppanuussuhteissa eri osapuolille sopimuksen mukaisesti. Aina ei riskienhallintakeinoja kustannussyistä haluta käyttää, vaan organisaatiolle riittää, että riskit on tunnistettu. (Raudasoja ja Johansson 2009, 150 151.) 2.4 Sisäinen valvonta Organisaation sisäinen valvonta määritellään prosessiksi, jolla saavutetaan kohtuullinen varmuus pyrittäessä tavoitteisiin, jotka ryhmitellään kolmeen ryhmään: toiminnan tarkoituksenmukaisuus ja tehokkuus taloudellisen raportoinnin luotettavuus organisaatioon sovellettavien lakien ja säädösten mukainen toiminta Prosessiin osallistuvat yrityksissä organisaation hallitus, johto ja muu henkilöstö. Edellä lueteltuihin tavoiteryhmiin sisältyvät kaikki organisaation tavoitteet. Ne sisältävät siis organisaation perustoiminnan tulos- ja suoritustavoitteet, laskelmien luotettavuuden sekä laillisuuden ja ohjeiden ja sääntöjen noudattamisen. (Holopainen ym. 2006, 45.) Sisäisen valvonnan prosessi koostuu useista vaiheittaisista toimenpiteistä, joilla pyritään varmistamaan tavoitteiden toteutuminen. Organisaation tavoitteet tulisi saavuttaa

12 tarkoituksenmukaisella tavalla, minkä varmentaminen on myös sisäisen valvonnan tehtävä. (Holopainen ym. 2006, 45.) Tätä valvontaa tehdään sisäisten kontrollien avulla, joita ovat erilaiset vastuutukset, hyväksymiskäytännöt ja täsmäytykset. Lisäksi valvonnan tehtäviin kuuluu seurata päätöksentekoa ja raportointia. Edellä mainitut kontrollit liittyvät varsinkin taloudenhoitoon. (Raudasoja ja Johansson 2009, 145.) Valvontajärjestelmä voi perustua laajaan dokumentointiin, joka sisältää esimerkiksi politiikkakäsikirjat, toimintaperiaatteet, toimintaohjeet ja informaatiojärjestelmän prosessit. Dokumentaatio voi olla myös vähäisempää, tai sitä ei ole ollenkaan. Sisäinen valvonta voi kirjallisesta dokumentaatiosta huolimatta olla tehokasta. Kirjallisen ohjeistuksen tulisikin olla tarkoituksenmukaista siten, että se auttaa työntekijöitä ymmärtämään, miten järjestelmä toimii ja mikä on työntekijöiden rooli valvonnassa. Kun valvontatoimet on dokumentoitu, se helpottaa järjestelmän arviointia sekä järjestelmän muuttamista, kun siihen tulee tarvetta. (Holopainen ym. 2006, 57.) Valvonnan järjestäminen on organisaation johdon vastuulla, vaikka prosessiin osallistuu koko henkilöstö. Johto vastaa valvontajärjestelmän rakentamisesta siten, että organisaation kaikilla tasoilla ja kaikissa toiminnoissa on riittävä sisäinen valvonta. Kun valvonta on vastuutettu johdolle, tästä seuraa, että eri toimielimessä sisäinen valvonta kuuluu jokaisen esimiehen tehtäviin. (Raudasoja ja Johansson 2009, 143.) Valvontaa tekevät siis ihmiset eikä sitä voida hoitaa pelkästään toimintaohjeiden ja lomakkeiden avulla. Organisaatiokulttuurin, etiikan ja arvot luovat ihmiset, mikä vaikuttaa myös siihen, miten sisäinen valvonta käytännössä toimii. (Holopainen ym. 2006, 45.) Koska valvonta on inhimillistä toimintaa, se antaa vain kohtuullisen varmuuden organisaation johdolle toiminnan asianmukaisuudesta. Sisäisen valvonnan tehokkuus riippuu siitä, kuinka hyvin työntekijät organisaation eri tasoilla tietävät ja ymmärtävät tehtävänsä ja tavoitteensa. Hyvä johtamisjärjestelmä ja hyvät esimiehet ovat avainasemassa, kun tehdään henkilöstön toimenkuvia, määritellään vastuut ja valtuudet. Kun nämä ovat kunnossa, on valvontaa ja seurantaa helpompi tehdä osana jokapäiväistä työtä ja rutiineja. Valvonta ei siis ole erillinen toiminto, vaan osa jokaisen työtä, jolloin siitä ei aiheudu myöskään erillisiä kustannuksia. (Raudasoja ja Johansson 2009, 144.) Sisäinen valvonta jaetaan yleensä viiteen osatekijään, jotka ovat osa johtamisprosessia. Osatekijät on nimetty hieman eri tavoin eri lähteissä. Seuraavassa on Holopaisen ym. (2006) jako:

13 1. johtamistapa- ja organisaatiokulttuuri 2. riskien arviointi 3. päivittäisvalvonta ja tehtävien eriyttäminen 4. raportointi ja tiedonvälitys 5. seuranta ja tarkastus Näitä osatekijöitä ei pidä käsittää sarjaksi perättäisiä prosesseja, vaan valvonta on monensuuntainen prosessi, jossa mikä tahansa osatekijä voi vaikuttaa mihin tahansa toiseen osatekijään. Kahdella organisaatiolla ei ole keskenään samanlaista sisäistä valvontaa, koska valvontatarpeet eroavat suuresti organisaation koon ja toimialan mukaan. (Holopainen ym. 2006, 48.) Organisaation historia ja kulttuuri vaikuttavat johtamistapaan ja organisaatiokulttuuriin. Tapa, jolla johto antaa valtaa ja vastuuta sekä organisoi ja kehittää henkilöstöään, vaikuttaa valvonnalle myönteisen ilmapiirin muodostumiseen ja näin samalla vaikuttaa valvonnan onnistumiseen. Johdolla on oltava myönteinen asenne valvontaa kohtaan ja sen on toimillaan osoitettava olevansa kiinnostunut siitä. Vain silloin oikea asenne valvontaa kohtaan voi levitä koko organisaatioon. (Holopainen ym. 2006, 49; Raudasoja ja Johansson 2009, 145.) Voidakseen arvioida riskejä on organisaatiolla oltava tavoitteita. Tavoitteenasettelu tulee olla yhdenmukaista koko organisaatiossa. Tämä tarkoittaa sitä, että alemman organisaatiotason tavoitteiden tulee palvella ylemmän tason tavoitteiden saavuttamista. Vaikka eri tasojen tavoitteet ovat erilaisia, ne kuitenkin tähtäävät organisaation kokonaistavoitteen saavuttamiseen. Riskien arviointi on tavoitteiden saavutettavuuteen vaikuttavien uhkien määrittämistä ja analysointia. On luotava pohja päätöksille siitä, miten riskit tullaan hallitsemaan. (Holopainen ym. 2006, 50.) Valvontatoimilla pyritään varmistamaan, että organisaatio toimii johdon antamien ohjeiden mukaisesti. Niiden tarkoituksen on varmistaa, että organisaatiossa ryhdytään tarvittaviin toimenpiteisiin tavoitteiden toteutumista vaarantavien tekijöiden tunnistamiseksi. Valvontatoimet voidaan jakaa kolmeen ryhmään, joita ovat toiminnalliset, taloudelliset ja säädökselliset toimet. Näitä toimia suoritetaan organisaation kaikilla tasoilla ja kaikissa toiminnoissa ja ne perustuvat organisaation valvonnan toimintaperiaatteeseen, joka määrittää, mitä pitäisi tehdä. Valvontatoimet siis toteuttavat edellä mainittua periaatetta. (Holopainen ym. 2006, 53.)

14 Kyetäkseen toimimaan organisaatiossa työntekijät tarvitsevat käyttöönsä olennaista tietoa. Tiedon tulee olla hyvin omaksuttavissa ja tehtävän edellyttämässä käyttökelpoisessa muodossa, ja tietoa tulee saada oikeaan aikaan. (Holopainen ym. 2006, 54.) Organisaation omat tietojärjestelmät tuottavat raportteja, jotka sisältävät toiminnallista, taloudellista ja sääntöjen noudattamista koskevaa tietoa. Tarvittava tieto ei ole vain sisäistä, vaan se liittyy myös ulkoisiin tapahtumiin ja olosuhteisiin, jolloin kommunikoinnin tulee olla tehokasta myös ulkoisten sidosryhmien kanssa. Tehokas tiedonvälitys suuntautuu ylhäältä alas, poikki organisaatiossa ja alhaalta ylös. Ylimmän johdon on kyettävä viestinnässään vakuuttaa henkilöstö sisäisen valvonnan tärkeydestä. (Alftan ym. 2008, 39 40.) Jotta valvontajärjestelmä toimisi laadukkaasti, se tarvitsee jatkuvaa seurantaa. Seuranta tapahtuu osana normaalia toimintaa. Se on säännöllistä johdon ja esimiesten toimintaa ja osa muun henkilöstön työtehtäviä. (Alftan ym. 2008, 40.) Jos sisäisessä valvonnassa havaitaan puutteita, niistä on raportoitava organisaatiossa ylöspäin. Kaikkein vakavimmissa tapauksissa raportointi tehdään ylimmälle johdolle ja hallitukselle. (Holopainen ym. 2006, 56.) Jos valvonnan seurantatoimet ovat organisaatiossa tehokkaita, ei välttämättä tarvita erillistä valvonnan arviointia, tai arviointia ei tarvitse tehdä niin usein tai laajasti. Usein arviointi tehdään itsearviointina, mutta sitä tekevät myös sisäiset tarkastajat, mikä kuuluukin heidän tehtäviinsä. Sisäiset valvontajärjestelmät muuttuvat koko ajan, koska myös toiminta muuttuu olosuhteiden muutosten, henkilöstön vaihtumisen, voimavarojen puutteen tai lisääntyneen työpaineen takia. Aiemmin tehokkaaksi todettu valvontakeino voi näin muuttua vähemmän tehokkaaksi tai se voi olla kokonaan toimimaton. Johdon onkin pääteltävä, vieläkö sisäinen valvontajärjestelmä on asianmukainen ja kykenevä havaitsemaan riskejä. (Holopainen y. 2006, 56 57.)

15 2.5 Sisäinen valvonta valtion virastoissa ja laitoksissa 2.5.1 Säädöstausta Valtion virastojen ja laitosten sisäisestä valvonnasta säädetään talousarviolaissa ja - asetuksessa. Laissa valtion talousarviosta määritetään johdon vastuu sisäisessä valvonnassa. Talousarviolain 24 b :ssä säädetään seuraavaa: Viraston ja laitoksen on huolehdittava siitä, että sisäinen valvonta on asianmukaisesti järjestetty sen omassa toiminnassa sekä toiminnassa, josta virasto tai laitos vastaa. Sisäisen valvonnan järjestämistä johtaa ja sen asianmukaisuudesta ja riittävyydestä vastaa viraston tai laitoksen johto. Sisäisestä valvonnasta säädetään tarkemmin asetuksella valtion talousarviosta. Talousarvioasetuksen 69 :ssä säädetään seuraavaa: Viraston ja laitoksen johdon on huolehdittava siitä, että virastossa ja laitoksessa toteutetaan sen talouden ja toiminnan laajuuteen ja sisältöön sekä niihin liittyviin riskeihin nähden asianmukaiset menettelyt (sisäinen valvonta), jotka varmistavat: 1) viraston ja laitoksen talouden ja toiminnan laillisuuden ja tuloksellisuuden; 2) viraston ja laitoksen hallinnassa olevien varojen ja omaisuuden turvaamisen; ja 3) viraston ja laitoksen johtamisen ja ulkoisen ohjauksen edellyttämät oikeat ja riittävät tiedot viraston ja laitoksen taloudesta ja toiminnasta. Menettelyiden on myös käsitettävä viraston tai laitoksen vastattavana tai välitettävänä olevien varojen hoito sekä ne viraston ja laitoksen toiminnot ja tehtävät, jotka se on antanut toisten virastojen ja laitosten, yhteisöjen tai yksityisten tehtäväksi tai joista se muuten vastaa. Kirjanpitoyksikkönä toimivan viraston ja laitoksen 1 momentissa tarkoitettujen menettelyjen tulee käsittää myös sille kirjanpitoyksikkönä kuuluvat tehtävät. Viraston ja laitoksen on sisäisen valvonnan menettelyissään otettava huomioon myös Euroopan yhteisön oikeudesta toimintaan kohdistuvat vaikutukset. Lisäksi toiminnassa on otettava huomioon sisäistä valvontaa koskevat yleiset standardit ja suositukset. (VtaA 69 a.)

16 Talousarvioasetuksen 69 b :n mukaan kirjanpitoyksiköllä tulee olla taloussääntö, jonka hyväksyy kirjanpitoyksikön nimeämispäätöksessä mainittu virasto, jos samaan kirjanpitoyksikköön kuuluu useampia virastoja tai laitoksia. Taloussäännössä voidaan määrätä, että asetuksen edellyttämät hallinnon sisäistä toimintaa koskevat määräykset annetaan joissain muissa viraston päättämissä ohjesäännöissä. Taloussäännön ja sen nojalla annettujen ohjesääntöjen on luotava riittävät perusteet säädetyille sisäisen valvonnan menettelyille. Valtiokonttori voi antaa määräyksiä kirjanpitoyksikön taloussäännön sisällöstä ja laatimisesta. Taloussäännön tehtävänä on toimia jatkuvana ajantasaisena ohjesääntönä, jonka avulla kirjanpitoyksikkö voi tehostaa ja kehittää taloushallintoaan sekä varmistaa, että taloushallinnossa noudatetaan voimassa olevia säännöksiä. Kun taloussääntöä laaditaan tai päivitetään, on kirjanpitoyksikön arvioitava taloutensa ja toimintansa sisältöä ja niihin liittyviä riskejä. (VK:n määräys, 313/03/2004.) Talousarvioasetuksen mukaan virasto vastaa sisäisen valvonnan järjestämisestä myös niiden tehtävien osalta, jotka se on antanut toisen viraston tai laitoksen tehtäväksi. Näin ollen viraston johdon vastuulla on myös palvelukeskuksen hoitamien taloushallintotehtävien valvonta. Valtiokonttorin määräyksen mukaan taloussäännössä on selvitettävä, mitä vastuulleen kuuluvia tehtäviä kirjanpitoyksikkö on ulkoistanut. Talousarvioasetuksen 71 :ssä säädetään sisäisen valvonnan ja riskienhallinnan neuvottelukunnasta ja sen tehtävistä. Neuvottelukunta toimii valtionvarainministeriön yhteydessä ja sen asettaa valtioneuvosto. Se toimii ministeriöiden, finanssihallinnon, julkisen talouden ja johtamisen sekä talouden valvonnan ja tarkastustoiminnan yhteisenä foorumina sisäisen valvonnan ja riskienhallinnan kysymyksissä. Neuvottelukunnan tehtävänä on arvioida sisäisen valvonnan ja riskienhallinnan tilaa sekä järjestämistä valtionhallinnossa. Se arvioi valvonnan kehitystä ja kehittämistä sekä tekee kehittämisaloitteita. Eri toimijoiden yhteisenä elimenä se kokoaa ja levittää sisäisen valvonnan hyviä käytäntöjä ja järjestää koulutusta. Vuodesta 2005 lähtien on kirjanpitoyksikön tilinpäätökseen kuuluvaan toimintakertomukseen pitänyt sisältyä sisäisen valvonnan arviointi- ja vahvistuslausuma. Lausuman laatii myös sellainen virasto tai laitos, joka ei toimi kirjanpitoyksikkönä, mutta jolle ministeriö on talousarvioasetuksen 11 :n mukaisesti vahvistanut tulostavoitteet. Arviointi- ja vahvistuslausumasta säädetään