Miten ja miksi dokumentoida kontrolleja?

Valvontatoiminnot ovat osa sisäistä valvontajärjestelmää[1], joiden voidaan ajatella koostuvan kahdesta elementistä. Ensinnäkin politiikoista eli toimintaperiaatteista, jotka määrittävät mitä pitäisi tehdä. Toinen tekijä ovat toimenpiteet, joilla politiikka toteutetaan, eli käytännössä usein sitä mitä ihmiset tekevät.Voidaan puhua valvontatoiminnoista tai kontrolliaktiviteeteista.

Se, miten organisaatiossa valvontatoiminnot dokumentoidaan, riippuu paljon organisaation koosta, rakenteesta tai vaikka johdon asettamista periaatteista. Hyvin yleistä on kuitenkin, että yleiset toimintaperiaatteet, kuten hyväksymispolitiikat, matkustusohjesäännöt, yleiset laskentaperiaatteet tai hinnoittelupolitiikat löytyvät kirjallisina dokumentteina.

Etenkin SOX[2] -lainsäädäntöä soveltavissa yrityksissä kontrollitoimenpiteiden dokumentointiin on kuitenkin alettu kiinnittämään entistä enemmän huomiota. Sen lisäksi, että yrityksellä on siis esimerkiksi kirjallinen hyväksymispolitiikka organisaatiossa tehtäviä ostoja varten, voidaan yksittäiset ostoprosessin vaiheet kirjata vuokaavion tai kontrollimatriisin muotoon. Kontrollin dokumentaatiovaiheessa voidaan ottaa kanta seuraaviin asioihin:

  • Kuka on vastuussa kontrollin suorittamisesta?
  • Mikä on kontrollin tavoite?
  • Mitä riskiä kontrollin on tarkoitus ehkäistä?
  • Onko kyseessä paljastava vai ehkäisevä kontrolli?
  • Mikä on suoritettava kontrolliaktiviteetti?
  • Minkälaista evidenssiä kontrollin suorittamisesta jää?
  • Miten kontrollia voidaan testata / arvioida?

Ostoprosessi voi koostua esimerkiksi seuraavista kontrolleista, joiden kaikkien kohdalla tulee määritellä vastaus edellä mainittuihin kysymyksiin:

  • toimittajan valinta,
  • sopimuksen luominen, muokkaaminen ja arkistointi,
  • ostoehdotuksen hyväksyntä,
  • ostotilauksen tekeminen,
  • tavaran vastaanotto ja sen täsmäyttäminen ostotilaukseen,
  • laskun hyväksyminen ja
  • laskun maksatus.

Ottamalla kansaa kaikkiin näihin kysymyksiin kaikkien eri kontrollien osalta, saadaan arvokasta tietoa yrityksen prosessista, tässä esimerkissä ostoprosessista. Usein kontrollien dokumentaatiovaiheessa saatetaan esimerkiksi huomata, mikäli prosessista puuttuu jokin tärkeä kontrolli, tai on epäselvää kenen vastuulle tietyn kontrollin suorittaminen kuuluu. Näin ollen kontrollien dokumentaatio voi auttaa merkittävästi kehittämään sisäisiä prosesseja. Lisäksi dokumentoidut kontrollit auttavat niiden suorittamisesta ja valvonnasta vastuussa olevia henkilöitä paremmin ymmärtämään oman tehtävänkuvansa sekä sen miten se on linkityksessä muiden työhön. Prosessikuvaukset voivat samalla toimia myös ns. check-listana, jonka avulla voidaan varmistaa että kaikki tarvittavat työtehtävät on hoidettu.

Lisähyötynä dokumentaatiosta on se, että sen avulla organisaatio ja sen johto saa lisävarmuutta siitä, että yrityksessä tehdään oikeita asioita. Dokumentoidut kontrollit on myös helpompi kommunikoida organisaatiossa eteenpäin, mikä puolestaan lisää henkilöstön ymmärrystä ja tietoisuutta sisäisestä valvonnasta. Dokumentaation tuloksena yleensä myös yksittäisten henkilöiden työnkuvaukset ovat tarkemmin kuvattu. Tämä vähentää riskiä, että työntekijät toimisivat ohjeiden vastaisesti. Työnkuvaukset ovat arvokasta tietoa myös siinä vaiheessa, kun henkilöstö vaihtuu tai joku kriittistä kontrollia suorittava henkilö jää äkillisesti pois töistä. Kun tehtävät on tarkkaan kuvattu, on uuden henkilön helpompi jatkaa tehtävien suorittamista entiseen malliin.

Tarkoituksenmukainen kontrollien dokumentaatio helpottaa myös kontrollien arviointia. On helpompi arvioida kontrollin toimivuutta kun voi verrata suoritusta dokumenttiin siitä, miten sen tulisi toimia. Toisaalta, vaikka kontrolleja ei olisi dokumentoitu, se ei tarkoita automaattisesti, ettei valvontajärjestelmä olisi tehokas.


[1] COSO-mallin mukaan. Muita alueita ovat valvontaympäristö, riskien arviointi, informaatio & kommunikaatio sekä seuranta.


[2] Yhdysvalloissa vuonna 2002 säädetty Sarbanes-Oxley Act

Niina Ratsula
Niina Ratsula
Niina Ratsula on toiminut kymmenen vuoden ajan kansainvälisissä sisäisen valvonnan, sisäisen tarkastuksen, yritysetiikan ja compliancen asiantuntijatehtävissä mm. Nokiassa ja Kemirassa.