ULKOISET ARVIOINNIT Ohjeita Sisäiset tarkastajat ry Ammatillisten asioiden toimikunta 20.1.2014
Sisällys 1. IIA:N AMMATILLISEN OHJEISTUKSEN VAATIMUKSET... 3 2. LAADUN VARMISTUS- JA KEHITTÄMISOHJELMA... 5 3. ULKOINEN ARVIOINTI KOKONAISUUDESSAAN ULKOPUOLISEN TOTEUTTAMANA... 6 4. ULKOINEN ARVIOINTI RIIPPUMATTOMAN TAHON VARMISTAMANA ITSEARVIOINTINA... 10 5. ULKOISELLE ARVIOIJALLE ASETETUT VAATIMUKSET... 12 6. ULKOISEN ARVIOINNIN MENETTELYIDEN YLLÄPITO... 13 Sisäiset tarkastajat ry:n ammatillisen asioiden toimikunta on laatinut tämän kuvauksen pyrkien ottamaan huomioon ammatillisesta viitekehyksestä tulevat vaatimukset ja suositukset. Laadinnassa on hyödynnetty toimikunnan käytössä olleita esimerkkejä eri organisaatioiden soveltamista ulkoisen arvioinnin käytännöistä. Se ei ole välttämättä sellaisenaan siirrettävissä mihinkään organisaatioon, vaan se on sovitettava oman organisaation tarpeisiin ja käytäntöihin. Ohjeessa on neuvoja ulkoisen arvioinnin laajuuden määrittämiseen ja arvioijan valintaan sekä arvioinnin toteuttamiseen. Se on siten tarkoitettu sekä arvioinnin kohteelle että ulkoiselle arvioijalle.
3 1. IIA:N AMMATILLISEN OHJEISTUKSEN VAATIMUKSET 1300 Laadun varmistus- ja kehittämisohjelma Sisäisen tarkastuksen johtajan tulee kehittää laadun varmistus- ja kehittämisohjelma sekä ylläpitää sitä. Ohjelman on katettava kaikki sisäisen tarkastuksen toiminnon osa-alueet. 1310 Laadun varmistus- ja kehittämisohjelman vaatimukset Laadun varmistus- ja kehittämisohjelmaan tulee sisällyttää sekä sisäiset että ulkoiset arvioinnit. 1312 Ulkoiset arvioinnit Pätevän ja riippumattoman, organisaation ulkopuolisen arvioijan tai arviointiryhmän tulee toteuttaa ulkoinen arviointi vähintään kerran viidessä vuodessa. Sisäisen tarkastuksen johtajan tulee keskustella hallituksen kanssa ulkoisen arvioinnin toteutustavasta ja -tiheydestä ulkoisen arvioijan tai arviointiryhmän pätevyysvaatimuksista ja riippumattomuudesta, mukaan lukien mahdollisista eturistiriidoista. Tulkinta: Ulkoinen arviointi voidaan toteuttaa kokonaan ulkopuolisen tahon tekemänä tai riippumattoman ulkopuolisen tahon varmistamana itsearviointina. Pätevä arvioija tai arviointiryhmä osoittaa kelpoisuutensa kahdella alueella: sisäisen tarkastuksen ammattitaidossa ja ulkoisessa arviointiprosessissa. Pätevyys voidaan näyttää kokemuksen ja teoriatiedon yhdistelmänä. Erityisen arvokasta on kokemus, joka on kertynyt samankokoisista tai rakenteeltaan samanlaisista organisaatioista, samalta sektorilta tai toimialalta sekä teknisistä kysymyksistä. Arviointiryhmän jokaisen jäsenen ei tarvitse olla pätevä kaikilla alueilla vaan ryhmän tulee kokonaisuutena olla pätevä. Sisäisen tarkastuksen johtaja käyttää ammatillista harkintaa arvioidessaan, onko arvioija tai arviointiryhmä riittävän pätevä. Riippumattomuus merkitsee sitä, ettei arvioijalla tai arviointiryhmällä ole todellisia eikä mahdollisia eturistiriitoja suhteessa siihen organisaatioon, jonka sisäisen tarkastuksen toiminnosta arvioinnissa on kysymys ja ettei arvioija tai arviointiryhmä kuulu ao. organisaatioon eikä ole tämän määräysvallassa. 1320 Laadun varmistus- ja kehittämisohjelmaa koskeva raportointi Sisäisen tarkastuksen johtajan tulee raportoida laadun varmistus- ja kehittämisohjelman tulokset organisaation ylimmälle johdolle ja hallitukselle. Tulkinta: Laadun varmistus- ja kehittämisohjelman tulosten raportoinnin muoto, sisältö ja tiheys määritellään ylimmän johdon ja hallituksen kanssa käytävissä keskusteluissa. Siinä otetaan huomioon sisäisen tarkastuksen toimintaohjeessa kuvatut sisäisen tarkastuksen toiminnon ja sisäisen tarkastuksen johtajan velvollisuudet. Sen osoittamiseksi, että sisäinen tarkastus noudattaa sisäisen tar-
kastuksen määritelmää, eettisiä sääntöjä ja ammattistandardeja, ulkoisten sekä säännöllisesti toteutettavien sisäisten arviointien tulokset raportoidaan ao. arviointien valmistuttua. Jatkuvan seurannan tulokset raportoidaan vähintään vuosittain. Tuloksiin sisältyy arvioijan tai arviointiryhmän johtopäätös siitä, missä määrin sisäinen tarkastus noudattaa sisäisen tarkastuksen määritelmää, eettisiä sääntöjä ja ammattistandardeja. 4 1321 Noudatetaan sisäisen tarkastuksen kansainvälisiä ammattistandardeja" -maininnan käyttö Sisäisen tarkastuksen johtaja voi todeta sisäisen tarkastuksen toiminnon noudattavan sisäisen tarkastuksen kansainvälisiä ammattistandardeja ainoastaan, jos laadun varmistus- ja kehittämisohjelman tulokset osoittavat standardeja noudatetun. Tulkinta: Sisäisen tarkastuksen toiminto noudattaa ammattistandardeja, kun se toimii tavalla, jonka sisäisen tarkastuksen määritelmä, eettiset säännöt ja ammattistandardit määrittävät. Laadun varmistus- ja kehittämisohjelman tulokset perustuvat sisäisiin laadunarviointeihin (koskee kaikkia sisäisen tarkastuksen toimintoja) ja ulkoisiin laadunarviointeihin (koskee vähintään viisi vuotta vanhoja sisäisen tarkastuksen toimintoja). 1322 Ammattistandardien noudattamatta jättämisestä ilmoittaminen Kun sisäisen tarkastuksen määritelmän, eettisten sääntöjen tai ammattistandardien vaatimusten täyttämättä jääminen vaikuttaa sisäisen tarkastuksen toiminnon tehtäväkentän laajuuteen tai toimintaan, sisäisen tarkastuksen johtajan tulee ilmoittaa tästä organisaation ylimmälle johdolle ja hallitukselle. IIA on julkaissut yllä oleviin ammattistandardeihin liittyvät, ulkoisia arviointeja käsittelevät käytännön ohjeet laadun varmistus- ja kehittämisohjelmasta (1300-1) laadun varmistus- ja kehittämisohjelmalle asetetuista vaatimuksista (1310-1) ulkoisista arvioinneista (1312-1) riippumattoman ulkopuolisen tahon varmistamin itsearvioinnein toteutetuista ulkoisista arvioinneista (1312-2) ulkopuolisen arviointiryhmän jäsenten riippumattomuudesta yksityisellä sektorilla (1312-3) ulkopuolisen arviointiryhmän jäsenten riippumattomuudesta julkisella sektorilla (1312-4) siitä, millä edellytyksillä sisäinen tarkastus voi käyttää mainintaa noudatetaan sisäisen tarkastuksen kansainvälisiä ammattistandardeja (1321-1). Hyödyllistä ohjeistusta on myös työohjeessa Quality Assurance and Improvement Program (IIA Practice Guide, March 2012). Muun muassa laadun varmistus- ja kehittämisohjelman haasteita pienten sisäisen tarkastuksen yksiköiden kannalta on käsitelty työohjeessa Assisting Small Internal Audit Activities in Implementing the International Standards for the Professional Practice of Internal Auditing (IIA Practice Guide, April 2011).
IIA:n julkaisema Quality Assessment Manual for the Internal Audit Activity sisältää yksityiskohtaista opastusta ja työkaluja sisäisten ja ulkoisten arviointien toteuttamiseen. Teos on myynnissä IIA:n kirjakaupassa. 5 2. LAADUN VARMISTUS- JA KEHITTÄMISOHJELMA IIA:n ammattistandardien mukaan sisäisellä tarkastuksella on oltava laadunvarmistus- ja kehittämisohjelma, joka kattaa sisäisen tarkastuksen toiminnon kaikki osa-alueet: toiminnon johtamisen ja hallinnon, ammatilliset käytännöt ja raportoinnin. Ohjelman tarkoituksena on varmistua siitä, että sisäisen tarkastuksen toiminta vastaa sisäisen tarkastuksen määritelmää, eettisiä sääntöjä ja ammattistandardeja sisäinen tarkastus tuottaa lisäarvoa organisaatiolle ja tukee sen tavoitteiden saavuttamista sisäisen tarkastuksen toimintaohje, tavoitteet, politiikat ja menettelyt ovat asianmukaiset ja riittävät toiminta on säädösten, määräysten ja alan parhaiden käytäntöjen mukaista sisäisen tarkastuksen tarkastusavaruus on kattava sisäisen tarkastuksen toiminnon omat riskit on tunnistettu ja ne hallitaan asianmukaisesti sisäisen tarkastuksen toimintoa kehitetään jatkuvasti. Laadunvarmistus- ja kehittämisohjelman tulee sisältää sekä sisäiset että ulkoiset arvioinnit. Sisäisissä arvioinneissa 1 erotetaan kaksi fokukseltaan erilaista menettelyä: Sisäisen tarkastuksen toiminnon jatkuvassa seurannassa arviointi on toimeksiantokohtaista ja liittyy saumattomasti sisäisen tarkastuksen päivittäisiin rutiineihin. Säännöllisin välein tehtävissä itsearvioinneissa tarkastelunäkökulma kattaa sisäisen tarkastuksen toiminnan kokonaisuutena. Ammattistandardit edellyttävät ulkoisten arviointien toteuttamista vähintään viiden vuoden välein. Mikäli tästä poiketaan, asia on syytä kirjata sisäisen tarkastuksen toimintaohjeeseen. Ulkoiset arvioinnit voidaan teettää kokonaan ulkopuolisen arvioijan tekeminä arviointeina tai ulkopuolisen tahon varmistamina sisäisinä arviointeina. Ulkoisten arviointien eri menettelyitä käsitellään tarkemmin jäljempänä luvuissa 3 5. Laadunvarmistus- ja kehittämisohjelman tulee kattaa myös se sisäisen tarkastuksen työ, joka on annettu ulkopuolisen toimijan tehtäväksi. Menettelyt on syytä kirjata sopimukseen. Sisäisen tarkastuksen johtajan on vähintään vuosittain raportoitava hallitukselle ja ylimmälle johdolle laadunvarmistus- ja kehittämisohjelman toimenpiteistä ja niiden tuloksista. Raportointiin on sisällytettävä myös korjaavat toimenpiteet ja niiden toteutuksen aste. Siinä on lisäksi mainittava olennaiset vielä jäljellä olevat poikkeamat ammattistandardeista. Sisäinen tarkastus voi todeta noudattavansa kansainvälisiä ammattistandardeja vain, jos laadunvarmistus- ja kehittämisohjelman tulokset tukevat toteamusta. Maininta edellyttää, että myös ulkoinen arviointi on toteutettu ja että sen tu- 1 Ammatillisten asioiden toimikunta on laatinut sisäisistä arvioinneista erillisen ohjeen.
6 lokset osoittavat sisäisen tarkastuksen toimivan sisäisen tarkastuksen määritelmän, eettisten sääntöjen ja ammattistandardien mukaisesti. Seuraavan sivun kuvassa 1 on esitetty pähkinänkuoressa sisäisen tarkastuksen laadunvarmistus- ja kehittämisohjelman ajatusmalli. Kuva 1. Sisäisen tarkastuksen laadunvarmistus- ja kehittämisohjelman ajatusmalli. (Lähde: Quality Assurance and Improvement Program, IIA Practice Guide, March 2012) 3. ULKOINEN ARVIOINTI KOKONAISUUDESSAAN ULKOPUOLISEN TOTEUTTAMANA Sisäisen tarkastuksen ammattistandardit edellyttävät ulkoisen arvioinnin teettämistä vähintään viiden vuoden välein. Hallitus voi sisäisen tarkastuksen johtajan kanssa käymien keskusteluiden perusteella päätyä siihen, että arviointi on tarpeen tehdä tätä useammin. Arviointi voidaan tehdä kokonaan ulkoisena arviointina taikka ulkopuolisen tahon varmistamana itsearviointina. Tässä kappaleessa käsitellään ensin mainittua toteutustapaa; jälkimmäistä käsitellään kappaleessa 4. Toteutustavasta riippumatta ulkopuoliselta arvioijalta edellytetään riippumatonta asemaa, objektiivista toimintatapaa ja tiettyjä osaamis- ja pätevyysvaatimuksia. Näitä käsitellään tarkemmin kappaleessa 5. Ulkoisen arvioinnin tulee kattaa koko sisäisen tarkastuksen työ. Siinä tulee arvioida vähintään sitä, kuinka hyvin sisäisen tarkastuksen toiminto noudattaa sisäisen tarkastuksen määritelmää ja kansainvälisiä ammattistandardeja sekä toimivatko sisäiset tarkastajat eettisten sääntöjen mukaisesti. Toimeksiantoon on kuitenkin hyvä sisällyttää myös esimerkiksi sen arviointi, onko sisäisen tarkastuksen toimintaohje asianmukainen ja toimitaanko sen mukaisesti
tuottaako sisäinen tarkastus riittävästi lisäarvoa organisaatiolle, erityisesti ylimmälle johdolle ja hallitukselle, ja tukeeko se siten organisaation tavoitteiden toteutumista millaiset sisäisen tarkastuksen toiminnon toimintatavat ja työkalut ovat suhteessa verrokkiorganisaatioihin (vertailussa voi käyttää esimerkiksi IIA:n GAIN-verkostosta saatavaa tietoa, alan ammattilehtiä, tutkimusjulkaisuja jne.) noudattaako sisäisen tarkastuksen toiminto alan parhaita käytäntöjä. Se taho, jolle sisäinen tarkastus toiminnallisesti raportoi, valitsee ne henkilöt, jotka toimivat ulkoisena arvioijana tai arviointiryhmän jäseninä 2. Sisäisen tarkastuksen johtaja voi olla valmistelemassa valintaa. Toimeksiannon vähimmäislaajuuden ylittävistä arviointiosuuksista tulee keskustella ylimmän johdon ja hallituksen kanssa. Hallituksen voidaan katsoa olevan ulkoisen arvioinnin lopullinen tilaaja. Toimeksiannon tavoitteet ja laajuus sekä arvioitavan sisäisen tarkastuksen toiminnon koko ja maantieteellinen hajautuneisuus määräävät, kuinka suuri arviointiryhmä tarvitaan. Toimeksiannon toteuttajan edellytetään esittävän tarvittaessa kehittämissuosituksia arviointinsa pohjalta. Ulkoisen arvioinnin toteutuksessa voidaan soveltaa seuraavassa käsiteltyä 10- vaiheista polkua. Vaiheita kannattaa räätälöidä ja lisätä tarpeen vaatiessa. 7 1) Perehtyminen toimeksiannon kohdetta koskevaan kirjalliseen aineistoon Arviointisuunnitelman laadinnan pohjaksi arvioijan on tarkkaan perehdyttävä kohteeseen. Sisäisen tarkastuksen toiminnolta on aiheellista pyytää ainakin seuraava aineisto: organisaation tuorein toimintakertomus tilinpäätöstietoineen organisaatiokaavio organisaation strategia sekä keskeiset toimintapolitiikat ja suunnitteluasiakirjat organisaation ohjaus- ja johtamisjärjestelmän kuvaus organisaation sisäisen valvonnan ja riskienhallinnan politiikat (esim. CO- SO/COSO ERMin noudattaminen) ja menettelyt hallituksen, tarkastusvaliokunnan, johtoryhmän tms. pöytäkirjat siltä osin kuin niissä käsitellään sisäistä tarkastusta tai riskienhallintaa keskeiset toimintaa kuvaavat operatiiviset raportit sisäisen tarkastuksen toimintaohje ja keskeiset toimintapolitiikat, mukaan lukien laadun varmistus- ja kehittämisohjelman kuvaus sisäisen tarkastuksen tuorein toimintakertomus ja keskeiset toimintaa koskevat mittarit ja niiden arvojen kehitys tietoa sisäisen tarkastuksen toiminnasta ja hallinnosta sekä henkilöstön määrästä, tehtävistä ja kokemuksesta luettelo tarkastus- ja konsultointitoimeksiannoista viimeksi kuluneelta 12 kuukaudelta sisäisen tarkastuksen toiminnansuunnitteluasiakirjat 2 Arvioijalta ja arviointiryhmältä vaadittavia osaamis- ja pätevyysvaatimuksia käsitellään tarkemmin jäljempänä kappaleessa 5.
8 viimeksi toteutetun itsearvioinnin ja ulkoisen arvioinnin tulokset. Lisäksi arvioija voi pyytää etukäteen keskeisiä tahoja vastaamaan kyselyyn, joka sisältää em. teemoja koskevia täsmentäviä kysymyksiä. Kyselyssä voidaan esimerkiksi tiedustella sisäisen tarkastuksen johtajan käsityksiä sisäisen tarkastuksen toiminnon suhteista keskeisiin sisäisiin ja ulkoisiin sidosryhmiin, yhteistyön toimivuudesta, kehittämistarpeista ja -suunnitelmista jne. 2) Arvioinnin työsuunnitelman luonnostelu 3) Aloitushaastattelut Perehdyttyään edellisessä kohdassa saamaansa aineistoon arvioija laatii työlle alustavan suunnitelman. Siihen kirjataan muun muassa arvioinnin tavoitteet, laajuus, arviointiperusteet, arvioinnin toteutuksessa käytettävät menettelyt, aikataulu ja raportointimenettelyt. Aloitushaastattelu on tarpeen käydä ainakin sisäisen tarkastuksen johtajan kanssa. Siinä käydään läpi alustava arvioinnin työsuunnitelma ja samalla voidaan varmistaa, että toimeksiannon tavoitteista ja sisällöstä on yhteinen näkemys. Arvioija voi samalla esittää perehtymisaineiston perusteella heränneitä kysymyksiä. Aloitushaastattelussa on mahdollista sopia keinoista, joilla arvioinnissa tarvittava informaatio kerätään, esimerkiksi keille sidosryhmille asiakaspalautekysely on syytä lähettää ja miten sen suhteen muutoin toimitaan tai miten mahdollinen sisäisen tarkastuksen henkilöstölle suunnattu kysely toteutetaan. Arvioinnin työsuunnitelma viimeistellään tämän jälkeen. 4) Asiakkailta ja sisäisen tarkastuksen toiminnon henkilöstöltä mahdollisilla kyselyillä kerättävä informaatio Kyselyt - mikäli informaatio päätetään kerätä niiden avulla - ja niiden vastausten analysointi on syytä suorittaa ennen haastatteluita ja muita toimeksiannon kohteessa toteutettavaa arviointityötä. Kyselyt voidaan toteuttaa sähköpostitse tai jollakin internetpohjaisella työkalulla. Kyselyiden organisoinnissa on tärkeää varmistaa vastaajien anonymiteetti sekä kysymysten ja arviointiasteikkojen selkeys ja yksikäsitteisyys. Kyselyn laajuus tulee miettiä tarkoin ja keskittyä vain olennaisiin asioihin. Kyselyiden vastaajajoukko on tarpeen laatia niin laajaksi, että vastausten voidaan arvioida olevan riittävän edustavia (ts. kussakin asiakasryhmässä kysely on lähetettävä riittävän monelle henkilölle, sisäisen tarkastuksen henkilöstölle suunnattu kysely on useimmiten hyvä lähettää kaikille tarkastajille). Kyselyn toteuttamistapa ja vastausten käyttöön liittyvät menettelyt on tehtävä selväksi vastaajille. Yhteenveto kyselyn tuloksista tulee antaa ainakin sisäisen tarkastuksen johtajan käyttöön. 5) Aineiston syvällinen arviointi Tämä vaihe on arviointiprosessin pitkäkestoisin vaihe. Siinä käydään läpi sisäiselle tarkastukselle asetettujen tavoitteiden saavuttamista, tarkastus- ja kon-
6) Haastattelut sultointitoimeksiantojen työpapereita ja raportteja (yleensä otoksena), sisäisen tarkastuksen toimintaohjetta, toimintapolitiikkoja ja hallinnollisia menettelyitä sekä tarpeellisilta osin muita kohdassa 2 mainittuja dokumentteja. Lisäksi siinä arvioidaan sisäisen tarkastuksen toiminnon riippumattomuutta ja resursointia, sisäisen tarkastuksen henkilöstön osaamista ja kokemusta, tutkitaan suunnittelu- ja riskienarviointimenettelyitä sekä suorituksen mittaamisessa käytettäviä toimintatapoja, sisäisen tarkastuksen yhteistyötä ylimmän johdon, hallituksen, tilintarkastajien sekä viranomaisten kanssa jne. Arviointi kattaa sisäisen tarkastuksen toiminnan kaikki alueet. Haastatteluissa on mahdollista kuulla keskeisten asiakkaiden - hallituksen, ylimmän johdon sekä tarkastuskohteiden edustajien - näkemyksiä sisäisen tarkastuksen toimintoon kohdistetuista odotuksista ja niiden toteutumisesta, tarkastus- ja konsultointityön tuomasta lisäarvosta (esimerkiksi siitä, miten sisäinen tarkastus tukee johtoa sisäisen valvonnan ja riskienhallinnan kehittämisessä), tarkastushenkilöstön pätevyydestä, työn laadusta ja toiminnon kehittämistarpeista. Näistä asioista on hyvä haastatella ainakin hallituksen puheenjohtajaa, mahdollisesti sen muitakin jäseniä, ylimmän johdon edustajia sekä tilintarkastajia (tai muita arviointi- ja varmistustehtäviä suorittavia tahoja). Haastatteluiden ajankohdat on syytä sopia mahdollisimman aikaisessa vaiheessa. Sisäisen tarkastuksen henkilöstön haastatteluissa voidaan keskustella muun muassa hallituksen ja ylimmän johdon sisäistä tarkastusta koskevista odotuksista, sisäisen tarkastuksen toiminnon johtamisesta, tarkastustyön toteutuksesta, osaamisen ylläpidosta ja kehittämisestä, sidosryhmäyhteistyöstä jne. 7) Laadun ja prosessien kehittämistoimenpiteiden arviointi Arvioinnissa on tärkeää perehtyä aiempien sisäisten ja ulkoisten laatuarviointien tuloksiin sekä suunniteltuihin ja jo toteutettuihin kehittämistoimenpiteisiin. Arvioijan on hyvä perehtyä myös sisäisen tarkastuksen mahdollisten muiden kehittämishankkeiden tuloksiin. Myös sisäistä tarkastusta koskevien riskiarviointien sekä asiakastyytyväisyys- ja työtyytyväisyyskyselyiden tulokset ja niiden perusteella suunnitellut ja toteutetut toimenpiteet on niin ikään syytä ottaa huomioon. 8) Kerätyn tiedon analysointi Kirjallisen aineiston, haastatteluiden ja kyselyiden pohjalta saatua tietoa arvioidaan suhteessa kansainvälisiin ammattistandardeihin, eettisiin sääntöihin, alan parhaisiin käytäntöihin, viitekehyksiin, organisaation ja sisäisen tarkastuksen toimintapolitiikkoihin, asiakkaiden odotuksiin jne. Kuten tarkastuksissakin, arvioijan on tarpeen pyrkiä selvittämään mahdollisten erojen syyt ja vaikutukset sekä poikkeamien vakavuus. 9) Yhteenvedon laatiminen havainnoista ja suosituksista, päätöskokous Arvioija laatii havainnoistaan ja suosituksista yhteenvedon (voi olla jo raporttiluonnos), joka esitellään ainakin sisäisen tarkastuksen johtajalle, mieluiten 9
10 koko sisäisen tarkastuksen henkilöstölle päätöskokouksessa. Yhteenveto on suositeltavaa jakaa kokoukseen osallistujille jo etukäteen. Yhteenvedossa on annettava vähintään arvio sisäisen tarkastuksen määritelmän, ammattistandardien ja eettisten sääntöjen noudattamisesta sekä johtopäätös siitä, voiko sisäisen tarkastuksen toiminto käyttää mainintaa noudatetaan sisäisen tarkastuksen kansainvälisiä ammattistandardeja. Lisäksi yhteenvedon on katettava mahdolliset muut toimeksiantoon sisältyvät tavoitteet. Päätöskokouksessa voidaan käydä keskustelua yhteenvetoon nostetuista havainnoista ja keinoista havaittujen poikkeamien korjaamiseksi. Samassa yhteydessä sisäisen tarkastuksen johtaja (ja mahdollisesti muukin sisäisen tarkastuksen henkilöstö) voivat kommentoida yhteenvedon sisältöä ja esittää siitä kysymyksiä. 10) Raportointi Päätöskeskustelun perusteella laaditaan (korjattu) raporttiluonnos, jossa esitettyihin suosituksiin sisäisen tarkastuksen johtajaa pyydetään antamaan omat kannanottonsa ja toimenpidesuunnitelmansa. Lopullinen raportti toimenpidesuunnitelmineen jaetaan hallituksen puheenjohtajalle ja ylimmälle johdolle sekä sisäisen tarkastuksen johtajalle (ja mahdollisesti muulle sisäisen tarkastuksen henkilöstölle) ja hänen hallinnolliselle esimiehelleen. Toimeksiannossa on voitu sopia tätä laajemmastakin jakelusta. Sisäisen tarkastuksen johtaja voi joka tapauksessa oman harkintansa mukaa jakaa raportin muillekin. On suositeltavaa, että ulkoisen arvioinnin tulosten raportointi hallitukselle ja ylimmälle johdolle ei jää kirjallisen dokumentin varaan vaan että arvioija esittelee tulokset heille myös suullisesti. Ulkoisen arvioinnin tulokset on hyvä käydä läpi koko sisäisen tarkastuksen toiminnon henkilöstön kesken. Läpikäyntiin on helposti liitettävissä koulutuksellisia osuuksia. 4. ULKOINEN ARVIOINTI RIIPPUMATTOMAN TAHON VARMISTAMANA ITSEARVIOINTI- NA Kokonaan ulkopuolisin voimin tehty arviointi tuottaa kattavimman näkemyksen sisäisen tarkastuksen toiminnon laadusta ja kehittämistarpeista. Se on samalla kuitenkin myös raskain ja kallein ulkoisen arvioinnin toteutustapa. Erityisesti pienen sisäisen tarkastuksen toiminnon näkökulmasta voi olla käyttökelpoista toteuttaa ulkoinen arviointi yhdistämällä sisäinen arviointi ja sen varmistus ulkopuolisen riippumattoman tahon suorittamana. Myös isompi sisäisen tarkastuksen toiminto voi harkita tällaisen toteutustavan käyttöä, mikäli ulkoinen arviointi on jo aiemmin toteutettu kokonaan ulkopuolisin voimin.
Riippumattoman tahon validoimana itsearviointina toteutettu ulkoinen arviointi on usein laajuudeltaan suppeampi kuin kokonaan ulkopuolisin voimin tehty arviointi. Vähimmäisvaatimuksena siinäkin on arvioida, kuinka hyvin sisäisen tarkastuksen toiminto noudattaa sisäisen tarkastuksen määritelmää, kansainvälisiä ammattistandardeja ja eettisiä sääntöjä. Usein siihen sisällytetään myös sen arviointi, täyttääkö sisäisen tarkastuksen toiminto keskeisten sidosryhmien odotukset. Sen sijaan esimerkiksi vertailu alan parhaisiin käytäntöihin jätetään usein arvioinnin ulkopuolelle tai se toteutetaan vain suppeana. Tässä tarkoitettuun menettelyyn sisältyvässä itsearvioinnissa on noudatettava sisäisiä arviointeja koskevia ammattistandardeja ja käytännön ohjeita. Lisäneuvoja on ammatillisten asioiden toimikunnan laatimassa sisäisiä arviointeja koskevassa ohjeessa, joka löytyy Sisäiset tarkastajat ry:n jäsensivuilta. Ulkoinen varmistus on suositeltavaa kytkeä itsearviointiprosessiin aivan alusta lähtien siten, että itsearviointi ja varmistus toteutetaan lomittain tai rinnakkain. Riippumattomassa varmistuksessa voidaan soveltaa edellisessä kappaleessa kuvattua 10-kohtaista polkua. Keskeisiä vaiheita ovat seuraavat: Perehdytään ennakkomateriaaliin ja kartoitetaan kysymykset, joihin myöhemmillä arviointikäynneillä ja haastatteluissa on järkevää keskittyä ja joihin halutaan saada vastaukset. Paikan päällä toteutettavassa arvioinnissa tutkitaan itsearvioinnin toteutustapaa ja tuloksia sekä tehdään testauksia esimerkiksi tarkastuksen työpaperien pohjalta. Pyritään varmistumaan siitä, että standardien noudattamista koskeville itsearvioinnin tuloksille on olemassa riittävät perusteet. Tutkitaan, miten sisäisen arvioinnin tulokset on viestitty ylimmälle johdolle ja hallitukselle. Haastatellaan sisäisen tarkastuksen johtajan hallinnollista esimiestä, muita ylimmän johdon edustajia sekä hallituksen tai tarkastusvaliokunnan puheenjohtajaa ja mahdollisesti muitakin jäseniä. Haastatteluiden laajuuden määrittämisessä on käytettävä harkintaa, jotta edellä mainittuja tahoja ei tarpeettomasti vaivattaisi samoilla kysymyksillä, jotka jo mahdollisesti on esitetty itsearvioinnin yhteydessä. Tämä koskee erityisesti organisaation perustietoja ja muita toimeksiantoa taustoittavia kysymyksiä. Varmistajan tulee kuitenkin itse saada ensikäden tietoa keskeisten sidosryhmien käsityksistä. Arvioija laatii työstään ja sen tuloksista yhteenvedon (voi olla varmistusraportin luonnos), joka esitellään ainakin sisäisen tarkastuksen johtajalle, mieluiten koko sisäisen tarkastuksen henkilöstölle päätöskokouksessa. Yhteenvedossa tulee esittää johtopäätös ammattistandardien noudattamisen tasosta. Siihen voidaan tarpeen mukaan sisällyttää sellaisia kehittämisehdotuksia, jotka eivät ole tulleet esiin itsearviointiosuudessa. Yhteenveto on suositeltavaa jakaa kokoukseen osallistujille jo etukäteen. Päätöskokouksessa voidaan käydä keskustelua yhteenvetoon nostetuista havainnoista ja suosituksista. Samassa yhteydessä sisäisen tarkastuksen johtaja (ja mahdollisesti muukin sisäisen tarkastuksen henkilöstö) voivat kommentoida yhteenvedon sisältöä ja esittää siitä kysymyksiä. 11
Lopullinen raportti itsearvioinnista ja sen tulosten varmistuksesta jaetaan ainakin sisäisen tarkastuksen johtajan hallinnolliselle esimiehelle sekä hallituksen tai tarkastusvaliokunnan puheenjohtajalle. 12 5. ULKOISELLE ARVIOIJALLE ASETETUT VAATIMUKSET Toimeksiannon tavoitteet ja laajuus sekä arvioitavan sisäisen tarkastuksen toiminnon koko ja maantieteellinen hajautuneisuus määräävät, kuinka suuri arviointiryhmä tarvitaan. IIA:n ammatillinen ohjeistus edellyttää ulkoiselta arvioijalta ja arviointiryhmältä riippumattomuutta ja objektiivista asennetta. Lisäksi osaamiselle ja kokemukselle asetetaan tiettyjä yleisiä vaatimuksia. Näitä on käsitelty verraten laajasti käytännön ohjeessa 1312-1. Riippumattomuuden voidaan katsoa vaarantua esimerkiksi seuraavissa tapauksissa: arvioija toimii samassa organisaatiossa tai konsernissa (käytännön ohjeen 1312-4 perusteella esimerkiksi eri ministeriöiden sisäisten tarkastusten toimintojen voidaan kuitenkin katsoa olevan toisistaan riippumattomia) arvioija on organisaation tilintarkastaja arvioijalla on ollut tai on merkittäviä konsultointitoimeksiantoja organisaatiossa arvioija on ollut hiljakkoin saman organisaation palveluksessa. Vaikka riippumattomuutta heikentäviä tekijöitä ei todellisuudessa olisikaan olemassa, on otettava huomioon, miltä asiaintila ulkopuolisesta voi näyttää. Arvioijat ovat siis useimmissa tapauksissa jonkin muun organisaation sisäisiä tarkastajia, ulkoisen laadunarvioinnin palveluja tuottavia konsultteja tai tilintarkastajia (ei mielellään kuitenkaan oman organisaation tilintarkastajia). Ulkoinen arviointi voidaan toteuttaa myös eri organisaatioiden sisäisten tarkastusten vertaisarviointeina, mutta riippumattomuuden varmistamiseksi osapuolia on silloin oltava vähintään kolme (ts. kahden sisäisen tarkastuksen toiminnon ristiinarviointi ei ole hyväksyttävä menettely). Arvioijilta ja arviointiryhmän jäseniltä edellytetään voimassa olevien ammattistandardien syvällistä tuntemista, alan parhaiden käytäntöjen hyvää hallintaa sekä vähintään kolmen vuoden kokemusta sisäisestä tarkastuksesta tai vastaavantasoisesta konsultointityöstä. Heidän on myös oltava sisäisen tarkastuksen ammattitutkinnon suorittaneita. Lisäksi heiltä vaaditaan hyviä analysointi- ja viestintätaitoja. Arviointiryhmän vetäjälle ja itsearviointien riippumattomalle todentajalle käytännön ohjeessa 1312-1 on asetettu lisävaatimuksia: Hänellä on oltava kokemusta laadunarviointiryhmässä toimimisesta ja sisäisen tarkastuksen johtajana tai vastaavassa sisäisen tarkastuksen esimiestehtävässä toimimisesta. Lisäksi vaaditaan, että hän on suorittanut IIA:n laadunarviointikurssin tai saanut muutoin vastaavan koulutuksen.
Arvioijilta tai arviointiryhmältä kokonaisuutena edellytetään myös teknistä ja arviointikohteen toimialan kannalta olennaista osaamista, esimerkiksi tietotekniikan ja riskienhallinnan alueelta. 13 6. ULKOISEN ARVIOINNIN MENETTELYIDEN YLLÄPITO Sisäisen tarkastuksen toiminnan laadunvarmistus ja kehittäminen edellyttävät myös arviointimenettelyjen jatkuvaa ylläpitämistä. Menettelyitä tulisi arvioida vähintään vuosittain, mutta esimerkiksi jatkuvan seurannan yhteydessä syntyvät kehittämistarpeet on syytä kirjata sitä mukaa kuin ne havaitaan, jotta ne voidaan ottaa huomioon seuraavaa ulkoista arviointia ja sen sisältöä määritettäessä. Arviointimenettelyiden kehittämisessä tulee ottaa huomioon ainakin IIA:n ammatillisessa ohjeistuksessa tapahtuneet muutokset organisaation sisäisessä ja ulkoisessa toimintaympäristössä tapahtuneet muutokset jatkuvan seurannan tulokset sisäisen arvioinnin tulokset ulkoisen arvioinnin tulokset kehittämissuunnitelmien toteutuminen.