ULKOA OSTETUT SISÄISEN TARKASTUKSEN PALVELUT Ohjeita Sisäiset tarkastajat ry Ammatillisten asioiden toimikunta 8.12.2014
Sisällys 1. IIA:N AMMATILLISEN OHJEISTUKSEN VAATIMUKSET... 3 2. YLEISTÄ ULKOA HANKITTUJEN SISÄISEN TARKASTUKSEN PALVELUIDEN KÄYTÖSTÄ... 3 3. PALVELUIDEN HANKKIMINEN... 4 4. ULKOA OSTETTUJEN SISÄISEN TARKASTUKSEN PALVELUIDEN HALLINTA... 6 5. LAADUNVARMISTUS... 7 Sisäiset tarkastajat ry:n ammatillisen asioiden toimikunta on laatinut tämän kuvauksen pyrkien ottamaan huomioon ammatillisesta viitekehyksestä tulevat vaatimukset ja suositukset. Laadinnassa on hyödynnetty toimikunnan käytössä olleita esimerkkejä eri organisaatioiden soveltamista ulkoisia palveluita koskevista käytännöistä. Se ei ole välttämättä sellaisenaan siirrettävissä mihinkään organisaatioon, vaan se on sovitettava oman organisaation tarpeisiin ja käytäntöihin. Ohjeessa on neuvoja ulkoisten sisäisen tarkastuksen palveluiden hankintaan, hallintaan ja laadunvalvontaan. Se on tarkoitettu lähtökohtaisesti tällaisia palveluja käyttävälle organisaatiolle. Ohje on laadittu ensisijaisesti tarkastustoimeksiantojen näkökulmasta, mutta sitä voidaan soveltuvin osin hyödyntää myös konsultointitoimeksiannoissa.
3 1. IIA:N AMMATILLISEN OHJEISTUKSEN VAATIMUKSET 1210.A1 Sisäisen tarkastuksen johtajan tulee hankkia asiantuntevaa neuvontaa ja apua, jos sisäisiltä tarkastajilta puuttuu toimeksiantokokonaisuuden tai sen yksittäisen osan edellyttämät tiedot, taidot tai muu pätevyys. 2070 - Ulkopuolinen palveluntuottaja ja organisatorinen vastuu sisäisestä tarkastuksesta Toimiessaan sisäisen tarkastuksen toimintona ulkopuolisen palveluntuottajan on varmistettava, että organisaatio tietää olevansa vastuussa tuloksellisen sisäisen tarkastuksen toiminnon ylläpitämisestä. Tulkinta: Tämä vastuu osoitetaan laadun varmistus- ja kehittämisohjelmalla, jossa arvioidaan sisäisen tarkastuksen määritelmän, eettisten sääntöjen sekä ammattistandardien mukaisuutta. IIA on julkaissut standardiin 1210.A1 myös käytännön ohjeen. Tämän ohjeen laadinnassa on hyödynnetty lisäksi IIA:n kannanottoa vuodelta 2009: IIA Position Paper: The Role of Internal Auditing in Resourcing the Internal Audit Activity. 2. YLEISTÄ ULKOA HANKITTUJEN SISÄISEN TARKASTUKSEN PALVELUIDEN KÄYTÖSTÄ IIA:n ammattistandardin 1210.A1 mukaan sisäisen tarkastuksen johtajan tulee tukeutua toiminnon ulkopuoliseen neuvontaan ja apuun, jos tarkastajilta puuttuu toimeksiantokokonaisuuden tai sen yksittäisen osan edellyttämät tiedot, taidot ja muu pätevyys. Tässä voidaan käyttää joko oman organisaation asiantuntijoita tai ulkopuolisia palveluntuottajia. Organisaatio voi teettää sisäisen tarkastuksen palveluita ulkopuolisilla myös tilanteissa, joissa sisäisen tarkastuksen omat resurssit ovat määrältään riittämättömät. Myös organisaation ulkomailla olevissa toimipisteissä tehtävät tarkastukset voidaan teettää paikallisilla palveluntuottajilla. Erityisesti pienet organisaatiot, joiden ei välttämättä ole mahdollista palkata omia sisäisiä tarkastajia, saattavat hankkia sisäisen tarkastuksen palvelut kokonaan ulkopuolelta. Ulkoisten palveluiden käytössä tavataan siis ainakin seuraavanlaisia järjestelyjä: Täydellinen ulkoistus: Kaikki sisäisen tarkastuksen palvelut hankitaan ulkopuolelta. Osittainen ulkoistus: Osa sisäisen tarkastuksen työstä teetetään ulkopuolisilla. Sisäisen tarkastuksen ja palveluntuottajan yhteistyönä toteutettavat toimeksiannot (co-sourcing): Sisäisen tarkastuksen toimeksiannot toteutetaan organisaation omien sisäisten tarkastajien ja ulkopuolisen palveluntuottajan edustajien muodostamien tiimien voimin. Yksittäisen tarkastustoimeksiannon teettäminen ulkopuolisella.
Kaikissa tapauksissa ulkopuolista palveluntuottajaa käyttävällä organisaatiolla itsellään säilyy päävastuu sisäisestä tarkastuksesta. Silloinkin, kun sisäisen tarkastuksen toiminto hoidetaan kokonaan ulkopuolisin voimin, organisaatiossa on oltava nimetty vastuuhenkilö, joka hallinnoi ja valvoo ulkopuolisten palveluiden käyttöä. 4 3. PALVELUIDEN HANKKIMINEN Ulkoisten sisäisen tarkastuksen palveluiden hankinta on useimmissa tapauksissa syytä kilpailuttaa. Valtion ja kuntien viranomaisten sekä muiden hankintayksiköiden on kilpailutettava hankintansa julkisista hankinnoista annetun lain (30.3.2007/348) mukaisesti. Sisäisen tarkastuksen johtajan tai muun sisäistä tarkastusta hyvin tuntevan henkilön on tarpeellista osallistua ulkoa ostettavan palvelun hankintaan, jotta varmistetaan organisaation tarpeita parhaiten vastaavan palvelun toteutuminen. On luontevaa, että lopullisen hankintapäätöksen tekee sama taho, joka nimittää sisäisen tarkastuksen johtajan. Useimmiten se on organisaation hallitus tai vastaava. Puitesopimuksen perusteella tehtävien yksittäisten toimeksiantojen hankinta voidaan delegoida sisäisen tarkastuksen johtajan päätettäväksi. Tarjouspyynnössä ja tarjousten arvioinnissa on syytä kiinnittää huomiota ainakin seuraaviin seikkoihin: a) Hankinnan kohde: Mitä ulkopuolisella palveluntuottajalla on tarkoitus teettää? Käsittävätkö toimeksiannot tarkastus- vain konsultointitehtäviä vai molempia? Onko kysymys yksilöityjen tarkastustoimeksiantojen toteutuksesta vai puitesopimuksesta, jonka sisällä yksittäisistä toimeksiannoista sovitaan erikseen? Mikä on sopimuskausi tai mikä on yksittäisen toimeksiannon toteutukselle asetettu aikataulu? Minkä suuruinen on ulkoa ostettu työpanos (esim. mihin määrään saakka organisaatio sitoutuu ostamaan palvelua)? Käsittääkö työ myös suositusten seurannan? Edellytetäänkö palveluntuottajan laativan sisäisen tarkastuksen toiminnon toimintasuunnitelman ja budjetin? Tarpeen mukaan hankinnan kohteessa kuvataan toimeksiannon tavoitteet. b) Palveluntuottajan ja sen palveluun osoittaman henkilöstön kelpoisuus: rahoituksellinen ja taloudellinen tilanne; tekninen suorituskyky (referenssit, laadunvalvontamenettelyt, käytettävissä olevien tarkastajien määrä, alihankkijoiden käyttäminen jne); ammatillinen pätevyys (palveluiden tuottamisesta vastaavan johdon ja tarkastajien koulutus, ammatillinen pätevyys, sisäisen tarkastuksen ammattitutkinnot, työkokemus jne; mahdolliset asetetut vähimmäisvaatimukset näille). Tärkeää on myös huolehtia siitä, ettei palveluntuottajalla, sen johdolla eikä sen tarkastukseen osoittamilla henkilöillä ole sellaisia sidonnaisuuksia organisaatioon tai tarkastettavaan toimintoon, jotka vaarantaisivat heidän objektiivisuutensa. 1 1 IIA:n kannanoton (IIA Position Paper: The Role of Internal Auditing in Resourcing the Internal Audit Activity, 2009) mukaan sisäisen tarkastuksen palveluiden toteutusta ei tulisi antaa tilintarkastajalle, joka vastaa organisaation tilintarkastuksesta. Käytännön ohjeen 1210.A1-1 perusteella tilintarkastajien käyttö kuitenkin olisi mahdollista, kunhan huolehditaan myös siitä, että tilintarkastajien riippumattomuus ei vaarannu.
c) Palvelusta maksettava hinta: kokonaishinta, tuntihinnat (tarkastustiimin vetäjä, sisäiset tarkastajat senior/junior, erityisasiantuntijat jne); kustannusten korvaaminen (esim. matkat ja hallintokustannukset). Tarjouspyyntöön on hyvä liittää sopimusluonnos, jossa soveltuvin osin otetaan huomioon edellä mainittujen seikkojen lisäksi ainakin seuraavat asiat: d) Toimeksiantoon nimetyt asiantuntijat ja velvollisuus järjestää tilalle osaamiseltaan vastaavantasoiset resurssit. e) Velvollisuus toteuttaa toimeksiannot IIA:n kansainvälisten ammattistandardien mukaisesti. f) Raportointitapa (havainnot, johtopäätökset, suositukset, arviointiasteikot, yleisarvion antaminen jne.). Voi olla myös aihetta sopia siitä, millä kielellä palveluntuottaja raportoi, käytetäänkö kirjallisessa raportoinnissa organisaation omaa formaattia ja miten viestintä esim. tarkastusvaliokunnalle toteutetaan. g) Toimeksiantajan ja palveluntuottajan roolit työn suorittamisessa (toteuttaako palveluntuottaja toimeksiannon yksin vai yhdessä organisaation sisäisten tarkastajien kanssa; kuka ohjaa työtä, kuka toimii tarkastustiimin vetäjänä, kuka päättää raportin lopullisesta sisällöstä jne). h) Palveluntuottajan edustajien oikeudet tiedon saantiin, kulkuoikeudet jne. Toimeksiantajan velvollisuudet avustaa tiedon saannissa. i) Tarkastuksen laadunvalvontamenettelyt (prosessin laadunvalvontapisteet, laadunvalvontavastuut, väliraportoinnin sisältö ja muoto jne). j) Työpapereiden hallinta ja niiden omistajuus (esim. velvollisuus luovuttaa työpaperit tarkastuksen päätyttyä toimeksiantajalle, kielto luovuttaa niitä ulkopuolisille muuta kuin sisäisen tarkastuksen johtajan luvalla jne). k) Työn tekemisen paikka ja työvälineet. l) Tietoturvamenettelyt (esim. tietojen lähettäminen salatulla sähköpostilla). Tässä voi olla aiheellista todeta myös palveluntuottajan henkilöstöltä edellytetty suostumus turvallisuusselvitysten tekemiseen. m) Salassapitovelvollisuus ja sitä koskevat rajoitukset. Julkisella sektorilla on otettava huomioon laki viranomaisten toiminnan julkisuudesta (21.5.1999/621). n) Palkkion laskutuksessa noudatettavat menettelyt (esim. laskutus työn edetessä ja/tai työn valmistuttua). o) Reklamaatiot, sanktiot esim. työn viivästymisestä tai laadullisista puutteista. Oikeus teettää toimeksiannon puuttuvat osat kolmannella osapuolella palveluntuottajan kustannuksella. 5
6 4. ULKOA OSTETTUJEN SISÄISEN TARKASTUKSEN PALVELUIDEN HALLINTA Kun palveluntuottaja on valittu, päätöksestä on aiheellista viestittää tarkastuskohteiden edustajille. On myös suositeltavaa esitellä heille palveluntuottajan tarkastustiimiin osoittamat henkilöt ja heidän roolinsa. Tarkastustoiminnan asiakkaisiin päin näkyvät käytännöt menettelyt on niin ikään hyvä todeta samassa yhteydessä. Palveluntuottajan osoittamien tarkastajien perehdyttämiseen on varattava aikaa. Myös organisaation oman henkilökunnan on varauduttava perehdytykseen, esimerkiksi toimittamaan ulkopuolisille tarkastajille yleistä ja tarkastuskohteeseen liittyvää aineistoa, järjestämään tapaamisia tarkastuskohteen edustajien kanssa jne. Tehokkaan ajankäytön varmistamiseksi on aiheellista järjestää perehdytys niin, että kaikki palveluntuottajan työhön osoittamat tarkastajat osallistuvat siihen samanaikaisesti ainakin organisaatiota yleisesti koskevilta osiltaan. Lisäksi tulee edellyttää, että tiedonkulku palveluntuottajan tarkastajien kesken toimii luotettavasti. Voidaan myös sopia, että erityisesti palveluun myöhemmin osoitettujen henkilöiden perehtyminen ei ole laskutettavaa työtä. Tarkastuksen suunnittelevat palveluntuottajan tarkastajat yksin tai yhdessä organisaation omien sisäisten tarkastajien kanssa sen mukaan millaisesta toimeksiannosta ja sen toteutustavasta on sovittu. Toimeksiantajan on syytä olla tiiviisti mukana ainakin alussa, kun tarkastuksen tavoitteita, laajuutta ja rajausta mietitään. Tarkastuksen toteutus voi olla yksin palveluntuottajan vastuulla. On myös voitu sopia, että organisaation omat tarkastajat osallistuvat kenttätyövaiheeseen tai avustavat siinä. Oma kokenut sisäinen tarkastaja voi toimia tarkastuksen vetäjänä tai laadunvalvojana. Tarkastuksen raportointivastuista ja -tavasta on aiheellista sopia etukäteen. Ainakin seuraavat seikat on tarpeen ottaa huomioon: Raportoivatko palveluntuottajan tarkastajat vain havainnoista vai laativatko he tarkastusraportin kokonaisuudessaan, ml. toimenpidesuositukset. Missä muodossa tuloksista raportoidaan, halutaanko raportoitavan organisaation vakioformaatilla, annetaanko tarkastuksen tuloksista yleisarvio, käytetäänkö yleisarviossa tiettyä asteikkoa jne. Kuka käy tulokset läpi tarkastuskohteen edustajien kanssa ja pyytää heiltä vastineen. Kuka raportoi tuloksista tarkastusvaliokunnalle tai hallitukselle ja kuinka usein. Toimenpidesuositusten toteutumisen seurannasta saattavat vastata eri tarkastajat kuin alkuperäisen tarkastuksen suorittaneet. Siksi on tärkeää varmistaa, että havainnot on dokumentoitu huolellisesti standardien edellyttämällä tavalla. Jokaisen havainnon kohdalla pitää siis ilmetä arviointiperuste, tarkastuksessa todettu tila arviointiperusteen toteutumisen suhteen, eroavuuden syy ja seuraus, mahdollinen toimenpidesuositus sekä tarkastuskohteen johdon toimenpidesuunnitelma. Jatkuvuuden varmistamiseksi on tarpeellista myös edellyttää, että palveluntuottaja luovuttaa työpaperit toimeksiantajalle.
7 5. LAADUNVARMISTUS Ulkoa ostettuja sisäisen tarkastuksen palveluja koskevat saman laadunvarmistusperiaatteet kuin organisaation oman sisäisen tarkastuksen työtä. Standardit edellyttävät jatkuvan seurannan järjestämistä sekä sisäisten ja ulkoisten arviointien toteuttamista siitä riippumatta, mikä taho sisäisen tarkastuksen palvelut tuottaa. Palveluntuottajan kanssa on hyvä sopia tarkastusprosessin ne kohdat, joissa ulkopuoliset tarkastajat antavat väliraportin toiminnastaan ja joissa tuotos on toimitettava toimeksiantajan arvioitavaksi. Näitä laadunvarmistuspisteitä ovat tyypillisesti ainakin seuraavat: kun toimeksiantokohtainen tarkastussuunnitelmaluonnos on valmistunut: arvioidaan, onko tarkastuksen riskiarvio tehty huolellisesti, ovatko tarkastuksen tavoitteet, laajuus ja rajaukset asianmukaiset ja ovatko tarkastukseen suunnitellut resurssit oikeassa suhteessa tehtävän laajuuteen kun työsuunnitelmaluonnos on valmis: arvioidaan, ovatko suunnitellut tarkastustoimenpiteet asianmukaiset suhteessa tarkastuksen tavoitteisiin ja laajuuteen sekä arviointiperusteisiin kun tarkastusraporttiluonnos on valmis: arvioidaan, onko tarkastustyö toteutettu työsuunnitelman (ml. tarkistuslistojen) mukaisesti, tukevatko tarkastuksen työpaperit raportoitavia havaintoja, onko raportointi täsmällistä, objektiivista, selkeää, tiivistä, rakentavaa, täydellistä ja oikea-aikaista (standardi 2420) kun asiakaskommentoinnin jälkeinen raporttiluonnos on valmis: arvioidaan, ovatko tarkastuskohteelta saadut kommentit johtaneet asianmukaisiin tekstitarkistuksiin ja onko tarkastajien ehdotus suositusten toteutussuunnitelmia koskevaksi sisäisen tarkastuksen reaktioksi huolellisesti perusteltu (ts. tarkastuskohteen vastine on huomioitu lopullisessa raportissa riittävästi). Jatkuvassa laadunvalvonnassa sekä sisäisissä ja ulkoisissa arvioinneissa tutkitaan usein myös työpapereiden laatua ja organisointia (työpapereiden on mm. oltava niin riittävät ja selkeät, että toinen henkilö päätyy raportin mukaisiin johtopäätöksiin). Myös tästä syystä on varmistettava, että palveluntuottajan työpaperit ovat toimeksiantajan käytettävissä. Toimeksiantajan on myös valvottava, että ulkoa ostettu palvelu vastaa sopimusta. Puutteista on reklamoitava viivytyksettä. Palvelun laatua arvioitaessa on aiheellista pyytää myös tarkastuskohteen edustajien mielipidettä. Organisaatiossa tulee myös sopia, kuka hyväksyy työn laskutettavaksi. Useimmiten tämä on sisäisen tarkastuksen johtaja.