The Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ julkaisi 14. toukokuuta, 2013 päivitetyn version sisäisen valvonnan integroidusta viitekehyksestään (”vuoden 2013 viitekehys”). Lisäksi COSO julkaisi kaksi havainnollistavaa asiakirjaa: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (”Illustrative Tools”) ja Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (”ICEFR Compendium”) sekä tiivistelmän vuoden 2013 viitekehyksestä.

Alun perin vuonna 1992 julkaistusta COSOn sisäisen valvonnan integroidusta viitekehyksestä (”vuoden 1992 viitekehys”) tuli yksi maailman laajimmin hyväksytyistä sisäisen valvonnan viitekehyksistä. COSO:n ensisijaisena tavoitteena kehyksen päivittämisessä ja parantamisessa on ottaa huomioon liiketoiminta- ja toimintaympäristöissä viimeisten 20 vuoden aikana tapahtuneet merkittävät muutokset.

Vuoden 2013 kehystä ja havainnollistavia työkaluja voi ostaa AICPA:lta. Vuoden 2013 viitekehyksen tiivistelmä on saatavilla ilmaiseksi COSO:n verkkosivuilla.

Alhaalla on 10. kesäkuuta 2013 julkaistun Deloitten Heads Up -uutiskirjeen yleiskatsaus vuoden 2013 viitekehyksen parannuksista, keskustelua vuoden 1992 viitekehystä käyttävien yhteisöjen näkökohdista, kun ne noudattavat vuoden 2002 Sarbanes-Oxley-lain (SOX) pykälää 404, sekä tietoa siirtymisestä vuoden 1992 viitekehyksestä vuoden 2013 viitekehykseen, mukaan luettuina vaikutukset muihin COSO:hon liittyviin asiakirjoihin. Lisäksi kesäkuun 10. päivän Heads Up -uutiskirjeen liitteissä verrataan vuoden 2013 viitekehystä vuoden 1992 viitekehykseen ja korostetaan joitakin vuoden 2013 viitekehyksen laajennettuja käsitteitä. Lisätietoja viitekehyksistä on Deloitten Heads Up -uutiskirjeissä 6.2.2012 ja 7.8.2012.

Parannukset vuoden 2013 viitekehyksessä

Vuoden 2013 viitekehys luo muodollisemman rakenteen sisäisen valvonnan tehokkuuden suunnittelulle ja arvioinnille seuraavin tavoin:

1. Käytetään periaatteita kuvaamaan sisäisen valvonnan osatekijöitä. Vuoden 2013 viitekehys sisältää 17 periaatetta, jotka selittävät COSO-viitekehyksen viiteen komponenttiin (valvontaympäristö, riskien arviointi, valvontatoimet, tiedotus ja viestintä sekä valvontatoimet) liittyviä käsitteitä. Kehittäessään 17 periaatetta COSO keskittyi vuoden 1992 viitekehyksen käsitteisiin, otti huomioon periaatteet, jotka kehitettiin ja ilmaistiin COSO:n vuonna 2006 julkaisemassa Internal Control Over Financial Reporting-Guidance for Smaller Public Companies (”Small Business Guidance”) -ohjeistuksessa, ja otti huomioon liiketoiminnassa, toimintaympäristöissä ja hallintotavassa tapahtuneet merkittävät muutokset vuoden 1992 jälkeen. COSO:n tarkoituksena on auttaa yrityksiä suunnittelemaan tehokkaita sisäisen valvonnan järjestelmiä ja arvioimaan, toimivatko nämä järjestelmät tehokkaasti. Vuoden 2013 viitekehyksessä oletetaan, että koska 17 periaatetta ovat viiden osatekijän peruskäsitteitä, kaikki 17 ovat merkityksellisiä kaikille yhteisöille. Näin ollen jos jokin periaate ei ole läsnä ja toimiva, siihen liittyvä osa-alue ei ole läsnä ja toimiva. Harvoissa tapauksissa johto voi toimialaan, sääntelyyn tai toimintaan liittyvien seikkojen vuoksi päättää, että jokin periaate ei ole relevantti komponentin kannalta. 2013 viitekehyksessä käytetään periaatteiden tarkempaa kuvaamista varten painopisteitä, jotka ovat tyypillisesti periaatteiden tärkeitä ominaisuuksia. Vaikka painopisteet voivat auttaa johtoa suunnittelemaan, toteuttamaan ja arvioimaan sisäistä valvontaa ja arvioimaan, ovatko olennaiset periaatteet läsnä ja toimivatko ne, niitä ei vaadita sisäisen valvonnan tehokkuuden arvioimiseksi. Johto voi todeta, että jotkin painopisteet eivät ole sopivia tai merkityksellisiä, ja se voi yksilöidä ja ottaa huomioon muita.

2. Luodaan muodollisempi tapa suunnitella ja arvioida sisäistä valvontaa periaatteiden mukaisesti. Ks. keskustelu jäljempänä kohdassa ”Tehokkaat sisäisen valvonnan järjestelmät.”

Vaikka vuoden 2013 viitekehyksen peruskäsitteet ovat samankaltaisia kuin vuoden 1992 viitekehyksessä, vuoden 2013 viitekehyksessä lisätään tai laajennetaan keskustelua kustakin osatekijästä ja periaatteesta, mukaan lukien parannukset, kuten yksityiskohtaiset painopistealueet. Vaikka esimerkiksi riskien tunnistamisen ja niihin reagoimisen käsite esiintyi jo vuoden 1992 viitekehyksessä, vuoden 2013 viitekehys sisältää yksityiskohtaisempia keskusteluja riskien arvioinnin käsitteistä, mukaan lukien ne, jotka liittyvät luontaiseen riskiin, riskinsietokykyyn, siihen, miten riskejä voidaan hallita, ja riskien arvioinnin ja valvontatoimien väliseen yhteyteen.

Lisäksi toisin kuin vuoden 1992 viitekehyksessä, vuoden 2013 viitekehys sisältää nimenomaisesti käsitteen petosriskin potentiaalisen mahdollisuuden huomioimisesta arvioitaessa riskejä, jotka uhkaavat organisaation päämäärien saavuttamista (ks. periaate 8). Vuoden 2013 viitekehyksessä selitetään, että ”osana riskinarviointiprosessia organisaation tulisi tunnistaa eri tavat, joilla petollinen raportointi voi tapahtua, ottaen huomioon:

• Johdon puolueellisuus, esimerkiksi kirjanpitoperiaatteiden valinnassa
• Arvioiden ja harkinnan aste ulkoisessa raportoinnissa
• Petosjärjestelyt ja -skenaariot, jotka ovat yleisiä toimialoilla ja markkinoilla, joilla yhteisö toimii
• Geografiset alueet, joilla yhteisö harjoittaa liiketoimintaa
• Kannustimet, jotka voivat motivoida vilpilliseen käytökseen
• Luonne. teknologian luonne ja johdon kyky manipuloida tietoa
• epätavalliset tai monimutkaiset liiketoimet, joihin johto voi merkittävästi vaikuttaa
• haavoittuvuus johdon ohittamiselle ja mahdollisille järjestelmille, joiden avulla voidaan kiertää olemassa olevia valvontatoimia.”

Periaate 8 käsittelee myös johdon ohittamiseen liittyviä näkökohtia, omaisuuden turvaamiseen, kannustimiin ja paineisiin, epäasianmukaisten toimien mahdollisuuksiin sekä asenteisiin ja rationalisointeihin, joilla epäasianmukaisia toimia voidaan perustella. (Ks. lisäkeskustelu periaatteesta 8 Heads Up -julkaisun (Volume 20, Issue 17) liitteessä A.)

Lisäksi COSO on lisännyt vuoden 2013 viitekehykseen näkökohtia, jotka koskevat:

• ulkoistettujen palveluntarjoajien käyttöä (ks. liite B Heads Up -julkaisussa (Volume 20, Issue 17).
• Tietotekniikan merkityksellisyyden lisääminen (ks. liite C Heads Up -julkaisussa, Volume 20, Issue 17).

Oheisessa taulukossa on yhteenveto periaatteista komponenteittain. Liitteessä A periaatteet vastaavat vuoden 1992 viitekehyksen aihekohtaisia osioita (soveltuvin osin), ja siinä esitetään tiivistetysti joitakin vuoden 2013 viitekehyksen parannettuja käsitteitä.

Valvonnan osatekijät ja periaatteet

Tehokkaat sisäisen valvonnan järjestelmät

Vuoden 2013 viitekehyksen mukaisessa tehokkaassa sisäisen valvonnan järjestelmässä:

1. Jokaisen viidestä osatekijästä ja asiaankuuluvista periaatteista edellytetään olevan läsnä ja toimivan. Vuoden 2013 viitekehyksen mukaan:

• Läsnäolo määritellään seuraavasti:
• Toimivuus määritellään seuraavasti:
• Toimivuus määritellään seuraavasti:

2. Viiden osatekijän edellytetään toimivan yhdessä integroidusti. Vuoden 2013 viitekehyksessä selitetään, että:

• Yhdessä toimimisella tarkoitetaan ”sen toteamista, että kaikki viisi osatekijää yhdessä vähentävät hyväksyttävälle tasolle riskin siitä, että tavoitetta ei saavuteta.”
• Johto voi osoittaa, että osatekijät toimivat yhdessä, kun 1) ”Osatekijät ovat läsnä ja toimivat” ja 2) ”Sisäisen valvonnan puutteet yhteenlaskettuna osatekijöihin eivät johda sen toteamiseen, että on olemassa yksi tai useampi merkittävä puute”.”

Toimittajan huomautus: SOX:n Section 404:n noudattamiseen liittyvien SEC:n sääntöjen mukaan ”yhtiön taloudellisen raportoinnin sisäisen valvonnan arvioinnin on perustuttava menettelyihin, jotka ovat riittäviä sekä sen suunnittelun arvioimiseksi että sen toiminnan tehokkuuden testaamiseksi.”² Samoin PCAOB:n tilintarkastusstandardi 5³ edellyttää, että tilintarkastaja arvioi taloudellisen raportoinnin sisäisen valvonnan suunnittelua ja toiminnan tehokkuutta. Mielestämme ”olemassa oleva” ja ”toimiva” vastaavat vastaavasti ”suunnittelua” ja ”toiminnallista tehokkuutta”.

Vuoden 2013 viitekehyksessä käytetään termejä ”sisäisen valvonnan puute” ja ”merkittävä puute” kuvaamaan sisäisen valvonnan puutteiden vakavuusasteita. Vuoden 2013 viitekehyksen mukaan sisäisen valvonnan puutteella tarkoitetaan ”komponentin tai komponenttien ja asiaankuuluvan periaatteen tai periaatteiden puutetta, joka vähentää todennäköisyyttä, että yhteisö saavuttaa tavoitteensa”, ja merkittävällä puutteella tarkoitetaan ”sisäisen valvonnan puutetta tai puutteiden yhdistelmää, joka vähentää vakavasti todennäköisyyttä, että yhteisö voi saavuttaa tavoitteensa”. Lisäksi vuoden 2013 viitekehyksessä selitetään, että merkittävä puute on olemassa, kun ”komponentti ja yksi tai useampi relevantti periaate eivät ole läsnä tai eivät toimi” tai kun ”komponentit eivät toimi yhdessä”. Lisäksi, jos merkittävä puute on olemassa, organisaatio ei voi todeta, että se on täyttänyt tehokkaan sisäisen valvonnan järjestelmän vaatimukset.

Tärkeää on, että vuoden 2013 viitekehyksessä tunnustetaan, että arvioitaessa sisäisen valvonnan puutteita sääntelyviranomaiset, standardien laatijat ja muut osapuolet voivat laatia kriteerejä sisäisen valvonnan puutteiden vakavuuden määrittelyä, arviointia ja raportointia varten. SOX:n mukaisten sisäisen valvonnan raportointivaatimusten noudattamiseksi johto käyttäisi edelleen SEC:n terminologiaa ”merkittävä puute” ja ”olennainen heikkous”, ja tilintarkastajat käyttäisivät edelleen samaa terminologiaa PCAOB:n standardien mukaisesti. Näin ollen, kun yritys arvioi ulkoista taloudellista raportointia koskevan sisäisen valvonnan (ICEFR) suunnittelua ja toimivuutta (ts, ovatko periaatteet olemassa ja toimivatko ne) ja havaitsee puutteen, yhtiön edellytettäisiin käyttävän SEC:n määritelmiä ja ohjeita arvioidessaan puutteen vakavuutta, ja tilintarkastajan edellytettäisiin käyttävän PCAOB:n standardien mukaisia määritelmiä ja ohjeita.

COSO:n siirtymävaiheen ohjeet ja vaikutukset muihin COSO:n asiakirjoihin

Vuoden 2013 viitekehyksen julkistusluonnoksen julkisten kommenttien antamisen aikana useat eri sidosryhmät pyysivät COSO:lta täsmällistä päivämäärää, johon mennessä on määrä siirtyä vuoden 1992 viitekehykseltä vuoden 2013 viitekehykselle. Tämän palautteen perusteella COSO on antanut joitakin siirtymää koskevia yksityiskohtia ja kannustaa käyttäjiä ”siirtymään sovelluksissaan ja niihin liittyvässä dokumentaatiossaan päivitettyyn viitekehykseen niin pian kuin se on mahdollista heidän erityisolosuhteissaan”. COSO on myös todennut, että se ”jatkaa alkuperäisen viitekehyksensä asettamista saataville 15. joulukuuta 2014 asti kestävän siirtymäkauden aikana, jonka jälkeen COSO katsoo sen korvatuksi.” Lisäksi SEC:n pääkirjanpitäjä Paul Beswick on todennut, että ”SEC:n henkilöstö aikoo seurata vuoden 1992 viitekehystä käyttävien liikkeeseenlaskijoiden siirtymävaihetta arvioidakseen, ovatko henkilöstön tai komission toimet tarpeen tai aiheellisia jossain vaiheessa tulevaisuudessa”. Hän totesi lisäksi, että tällä hetkellä hän ”viittaa COSO:n viitekehyksen käyttäjille vain COSO:n lausumiin, jotka COSO on antanut uudesta viitekehyksestään, ja heidän ajatuksiinsa siirtymisestä.”

Siirtymäkauden aikana (14.5.2013-15.12.2014) COSO ehdottaa, että kaikissa ”sisäisen valvonnan yhdennetyn viitekehyksen sovelluksissa, joihin liittyy ulkoista raportointia, olisi selvästi ilmoitettava, onko käytetty alkuperäistä vai vuoden 2013 versiota”. Näin ollen, kun yritykset toimittavat vuotuisen arvionsa sisäisestä valvonnasta SOX:n mukaisesti, olisi asianmukaista ilmoittaa, mitä COSO:n viitekehystä ne tarkalleen ottaen käyttivät arviointia suorittaessaan.

Toimittajan huomautus: PCAOB:n tilintarkastusstandardissa 5 todetaan, että ”tilintarkastajan tulisi käyttää samaa sopivaa, tunnustettua valvonnan viitekehystä suorittaessaan tilinpäätösraportoinnin sisäisen valvonnan tilintarkastusta kuin mitä johto käyttää vuosittaisessa arviossaan yhtiön tilinpäätösraportoinnin sisäisen valvonnan tuloksellisuuden arvioimiseksi.” Näin ollen se, milloin tilintarkastaja siirtyy käyttämään vuoden 2013 viitekehystä ICEFR:n tilintarkastuksessa, riippuu yrityksen siirtymisen ajankohdasta. Jos yhtiö käyttää vuoden 1992 viitekehystä 31.12.2013 päättyvänä kalenterivuonna, tilintarkastaja käyttäisi myös vuoden 1992 viitekehystä. Katsomme, että johdon ICEFR-arvioinnissa käytetyn täsmällisen COSO:n viitekehyksen julkistamista koskevan lähestymistavan mukaisesti olisi asianmukaista ilmoittaa tilintarkastuskertomuksessa käytetty täsmällinen viitekehys.

COSO:n Small Business Guidance -ohjeistusta korvaa ICEFR Compendium 15.12.2014 jälkeen.

COSO:n Enterprise Risk Management-Integrated Framework -viitekehystä (jäljempänä ”ERM Framework”) ei ole korvattu vuoden 2013 viitekehyksellä. Vaikka ERM-viitekehyksellä ja vuoden 2013 viitekehyksellä on tarkoitus olla erilaiset painopisteet, nämä kaksi viitekehystä on suunniteltu täydentämään toisiaan. COSO katsoo, että vaikka ERM-viitekehys sisältää osia vuoden 1992 viitekehyksen tekstistä, ERM-viitekehys soveltuu edelleen yrityksen riskienhallinnan suunnitteluun, toteuttamiseen, toteuttamiseen ja arviointiin.

COSO:n ohjeistus sisäisen valvonnan järjestelmien seurannasta, joka on kirjoitettu auttamaan organisaatioita ymmärtämään ja soveltamaan seurantatoimia sisäisen valvonnan järjestelmässä, säilyy myös edelleen relevanttina (eli sitä ei ole korvattu vuoden 2013 viitekehyksellä). Vuoden 2013 viitekehyksen liitteessä F todetaan, että ”viitekehyksen periaatteisiin tehdyt muutokset eivät olennaisesti muuta lähestymistapoja, jotka on kehitetty COSO:n Guidance on Monitoring Internal Control Systems -julkaisua varten.”

Internal Control Over External Financial Reporting

Vuoden 2013 viitekehyksen vaikutus ICEFR:n vaikuttavuuden arvioimiseen johdon toimesta (eli SOX:n 404 §:n noudattamiseen) riippuu siitä, miten yritys on soveltanut vuoden 1992 viitekehyksen käsitteitä, ja miten se on niitä tulkinnut. Esimerkiksi olemassa oleva sisäisen valvonnan järjestelmä ei välttämättä osoita tai dokumentoi selkeästi, että kaikki olennaiset periaatteet ovat läsnä ja toimivat. COSO kehitti ICEFR Compendiumin auttaakseen yrityksiä soveltamaan vuoden 2013 viitekehystä. Asiakirjassa käsitellyt lähestymistavat kuvaavat, miten organisaatiot voivat soveltaa periaatteita ICEFR-järjestelmässään, ja sen esimerkit havainnollistavat kunkin periaatteen soveltamista. Yritykset, jotka käyttävät COSOa ICEFR-raportointiin, voivat harkita:

1. Lukemalla vuoden 2013 viitekehyksen ja tunnistamalla uudet käsitteet ja muutokset.

2. Arvioimalla koulutustarpeensa.

3. Määrittämällä, miten vuoden 2013 viitekehys vaikuttaa ICEFR:n suunnitteluun ja arviointiin:

a. Arvioimalla periaatteiden kattavuutta olemassa olevilla prosesseilla ja niihin liittyvillä kontrolleilla ja tarkastelemalla painopisteitä.

b. Arvioimalla periaatteiden soveltamiseen liittyviä nykyisiä prosesseja, toimintoja ja saatavilla olevaa dokumentaatiota.

c. Tunnistetaan mahdolliset puutteet edellä mainituissa.

4. Tunnistetaan mahdolliset vaiheet, jotka on suoritettava siirryttäessä vuoden 2013 viitekehykseen, ja:

a. Laaditaan suunnitelma siirtymisen loppuunsaattamiseksi 15.12.2014 mennessä (eli kalenterivuoden lopussa toimivien SOX Section 404:n mukaisten yhtiöiden tulisi siirtyä vuoden 2013 viitekehykseen 31.12.2014 jälkeen päättyvillä raportointikausilla).

b. Harkitaan vuonna 2013 toteutettujen toimien (esim. läpikäynnit, asiaankuuluvien kontrollien testaaminen, puutteiden arviointi) käyttämistä tarvittavien muutosten tunnistamiseksi ja vuoden 2013 kehyksen soveltamisen pilotti- tai kenttätestaamiseksi.

c. Varmistetaan, että siirtymäkauden aikana ja vuoden 2013 viitekehyksen käyttöönoton yhteydessä käytetty viitekehys julkistetaan asianmukaisesti.

5. Koordinoidaan ja viestitään sisäisesti kaikkien niiden ryhmien kanssa, jotka vastaavat organisaation sisäisen valvonnan viitekehyksen toteuttamisesta, seurannasta ja raportoinnista.

6. Keskustellaan ja koordinoidaan toimintaa sisäisen tarkastuksen (jos sovellettavissa) ja ulkoisen tilintarkastajan kanssa.

Kuvailevat työkalut

COSO:n kuvailevat työkalut tarjoavat esimerkkejä siitä, miten yritys voi soveltaa vuoden 2013 viitekehystä arvioidessaan sisäisen valvonnan järjestelmänsä tehokkuutta. Asiakirja tarjoaa havainnollistavia malleja ja sisältää skenaarioita, joissa on esimerkkejä eri mallien täyttämisestä. Havainnollistavien työkalujen tarkoituksena ei kuitenkaan ole:

• Tyydyttää sisäisen valvonnan puutteiden arviointia koskevia viranomaisvaatimuksia.
• Kuvata johdon valintaa valvontatoimista periaatteiden toteuttamiseksi tai tunnistettujen riskien käsittelemiseksi.
• Kuvaavat päätökset kontrollien luonteesta, ajoituksesta tai testauksen laajuudesta tehokkaan sisäisen valvonnan järjestelmän varmistamiseksi.

-Produced by Jennifer Burns and Brent Simer, Deloitte LLP

Loppuviitteet
1. COSO on viiden yksityisen sektorin organisaation yhteinen aloite, ja se on omistautunut tarjoamaan ajatusjohtajuutta kehittämällä viitekehyksiä ja ohjeita yrityksen riskienhallintaan, sisäiseen valvontaan ja petosten estämiseen. Nämä viisi yksityisen sektorin järjestöä ovat American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants ja Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File No. S7-40-02 ja S7-06-03 (14.8.2003).
3. PCAOB:n tilintarkastusstandardi No. 5, ”Tilintarkastuksen yhteydessä suoritettava taloudellisen raportoinnin sisäisen valvonnan tilintarkastus” (An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements)

.