Tehokas valtionhallinto digitaalisessa Suomessa: Digitaaliset prosessit edellyttävät toimivaa sisäistä valvontaa ja riskienhallintaa

Kun hallinto toimii tehokkaasti, yhteisillä varoilla saadaan enemmän aikaan. Digitalisaatio tuo useita mahdollisuuksia uudistaa ja tehostaa valtionhallintoa. Tässä artikkelisarjassa kerromme tarkastustietoon pohjautuen, millaisiin asioihin tulisi kiinnittää huomiota, kun hallintoa ryhdytään digitalisoimaan. Havainnot perustuvat yksittäisiin tarkastuksiin, mutta samat periaatteet soveltuvat laajemmin hallinnon uudistuksiin.

Valtionhallinto digitalisoituu ja automatisoituu eri tahtisesti

Hallinnon toimintoja digitalisoitaessa on perusteltua pitää hyvänä tavoitetilana sitä, että hallinnon rutiinitehtävät saadaan automatisoitua. Näin hallinnon resursseja vapautuu muihin tehtäviin. Hallintoa digitalisoitaessa tulee kuitenkin huolehtia hyvästä riskienhallinnasta ja sisäisestä valvonnasta, koska digitalisaatiokehitys sisältää olennaisia riskejä. Siten torjutaan taloudellisia menetyksiä ja vahvistetaan yleistä luottamusta hallintoon.

Hallinnossa on kehitetty tietojärjestelmiä ja digitalisoitu toimintoja vaihtelevasti. Osassa hallintoa on edetty jo varsin pitkälle. Verohallinto on ollut tietojärjestelmien kehittämisen ja digitalisaation edelläkävijä valtionhallinnossa. Sen tavoitteena on ollut nostaa verotustoimintojen automaatioastetta ja hoitaa verotustehtävät aiempaa pienemmillä henkilöstöresursseilla. Pitkällä on myös Tullin aiemmin kantamien verojen yhtenäistäminen ja automatisointi, ja esimerkiksi valmisteverotus on automatisoitu toimivasti. Heikoin tilanne puolestaan on niillä viranomaisilla, joilla on käytössään hyvin vanhoja, nykyisiin tarpeisiin liian alkeellisia tietojärjestelmiä, joiden sisäisen valvonnan toiminnot ovat vieläpä puutteellisia.

Valtion taloudenhoidon näkökulmasta olennaisimmat digitalisoinnin riskit liittyvät siihen, että tehdään tavoitteista tinkien halvalla ja hutiloiden. Lisäksi tyypillisesti valtionhallinnon tietojärjestelmähankkeiden kustannusarviot ovat ylittyneet. Joissain hankkeissa on ollut vakavia ongelmia, joskus hankkeet ovat viivästyneet merkittävästi, ja joskus ne eivät ole toteutuneet lainkaan. Toisenlainen vaara on se, että mitään ei muuteta, vaan jatketaan toimintaa esimerkiksi vanhoilla ja riskialttiilla tietojärjestelmillä.

Sisäisen valvonnan ja riskienhallinnan toimivuus ratkaistaan prosesseja, toimintoja ja tietojärjestelmiä kehitettäessä

Valtiontalous ja valtioneuvoston alainen valtionhallinto muodostavat kokonaisuuden, mikä mahdollistaa tehokkaiden prosessien kehittämisen ja sisäisen valvonnan kokonaisvaltaisen järjestämisen. Toimiva sisäinen valvonta varmentaa, että organisaatio toimii lakien ja määräysten sekä omien ohjeidensa ja tavoitteidensa mukaan ja että organisaation riskit ovat hyväksyttävällä tasolla. Se mukautuu muuttuvaan toimintaympäristöön ja tuottaa tietoa päätöksenteon ja johtamisen tueksi. Toimivaa sisäistä valvontaa tarvitaan myös, jotta automatisoitu prosessi olisi käytännössä tehokas.

Valtion taloudenhoito on muuttunut 2010-luvulla monin tavoin, ja se muuttuu edelleen, kun digitalisaatio laajentuu ja syvenee. Yhtenäiset asiakaspalveluprosessit, säädökset ja tietojärjestelmät tukevat hallinnon tehokkuutta. Meneillään oleva kehitys muuttaa merkittävästi myös sisäisen valvonnan ja riskienhallinnan järjestämistä julkisessa hallinnossa. Mikäli hyvästä riskienhallinnasta ja sisäisen valvonnan toimivuudesta ei huolehdita, on olemassa merkittävä isojen virheiden ja väärinkäytösten riski. Ne voivat aiheuttaa taloudellisia menetyksiä ja heikentää yleistä luottamusta hallintoon.

Uudistuksissa on kuitenkin olemassa vaara, että niissä keskitytään vain yhteen tärkeään tavoitteeseen, kuten asioinnin joustavuuteen, eikä painoteta riittävästi hallinnon oikeusperiaatteita ja toimivaa sisäistä valvontaa. Esimerkiksi talous- ja henkilöstöhallinnon uudistuksissa sisäisen valvonnan näkökulma on usein jäänyt liian vähälle ja hajanaiselle huomiolle. Toimintaa uudistettaessa riskejä ei ole riittävästi mietitty, ja tuottavuuspaineiden alla sisäisen valvonnan kontrolleja on purettu tai niitä ei ole otettu käyttöön. Toisaalta on myös esimerkkejä siitä, kuinka robotiikalla on parannettu rutiininomaisten ja aiemmin käsityönä toteutettujen kontrollien tehokkuutta.

Se, että sisäinen valvonta ja riskienhallinta toimivat kuten pitää, ratkaistaan prosesseja, toimintoja ja tietojärjestelmiä kehitettäessä. Isoissa hankkeissa tulisi tarkastella systemaattisesti ja kokonaisuutena, millaisia mahdollisuuksia ja riskejä suunniteltuun muutokseen sisältyy. Siksi sisäisen valvonnan ja riskienhallinnan tulisi aina olla kiinteästi mukana toiminnan suunnittelussa, ja onnistuneessa uudistuksessa nämä sekä asiakas- ja tehokkuusnäkökulmat myös voidaan yhdistää.

Digitalisaatio tehostaa sisäistä valvontaa ja riskienhallintaa mutta sisältää myös uusia riskejä

Digitalisaation ansiosta sisäinen valvonta ja riskienhallinta voidaan järjestää aiempaa tehokkaammin ja taloudellisemmin. Jo pitkään tietojärjestelmät ovat tehneet prosesseista ja kontrolleista paljon tehokkaampia ja luotettavampia manuaalisiin verrattuna. Automatisoidut prosessit ja työvaiheet vahvistavat tätä kehitystä edelleen merkittävästi. Yksinkertainen esimerkki on numerotarkastus, josta robotti suoriutuu paljon ihmistä nopeammin ja luotettavammin.

Toinen esimerkki digitalisaation eduista sisäisen valvonnan järjestämisessä on tietoaineistojen käsittelyn ja automaation kehittyminen. Ne luovat mahdollisuuksia yhdistää ja analysoida laajoja tietomääriä, jolloin asioita voidaan tarkastella aiempaa laajempina kokonaisuuksina. Jatkossa on entistä helpompi esimerkiksi varmistaa erilaisten tukien päätös- ja maksatusedellytysten oikeellisuus. Laajojen aineistojen analysoinnista on hyötyä myös harmaan talouden torjunnassa.

Digitalisaatiokehitys tuo uusia ja osin vaikeammin hallittavia riskejä. Virheiden ja väärinkäytösten haitat voivat olla aikaisempaa paljon suurempia ja peitellympiä. Kuulemme toistuvasti uutisia esimerkiksi valtavista tietomurroista. Kehitys vaatii hallinnon toimijoilta uudenlaista osaamista ja ajattelukykyä. Digitalisaation mukanaan tuomiin riskeihin voidaan vastata vain niiden omilla keinoilla – eli automatisoiduilla kontrolleilla ja digitalisoimalla prosessit hyvin.

Johtamisen merkitys korostuu

Sisäinen valvonta ja riskienhallinta ovat osa johtamista. Vain vastuullisella johtamisella saadaan aikaan toimiva sisäinen valvonta ja riskienhallinta. Suurissa yrityksissä ajatellaan, että tehokas sisäinen valvonta on osa hyvää johtamis- ja hallintojärjestelmää (Corporate Governance). Tässä asiassa julkisessa hallinnossa on parannettavaa. Hyvä sisäinen valvonta ja riskienhallinta parantaa osaltaan kansalaisten luottamusta hallinnon toimintaan.

Hyvässä johtamisessa luotetaan ihmisiin – tämä on luonnollista. Sisäistä valvontaa ei kuitenkaan voi rakentaa sokean luottamuksen varaan, eikä toimivia kontrolleja voi jättää pois. Sisäisen valvonnan ja riskienhallinnan kokonaisuus rakennetaan osana johtamista siten, että tunnistetaan ja arvotetaan riskit, päätetään, kuinka niihin vastataan, rakennetaan ja testataan kontrollit ja sitten luotetaan, että kontrollikokonaisuus toimii.

Hallintoa digitalisoitaessa on tärkeää, että päätöksentekijöillä on yhteinen käsitys ja että he ovat sitoutuneet siihen, että sisäistä valvontaa ja riskienhallintaa kehitetään samalla kun kehitetään johtamista ja koko organisaation toimintaa. Julkisessa hallinnossa käytetään julkisia varoja, ja riskit kohdistuvat näiden varojen käyttöön. Tällöin ei voida toimia samoilla sisäisen valvonnan menettelyllä kuin esimerkiksi pienessä tai keskisuuressa yrityksessä, jossa omistaja toteuttaa itse sisäistä valvontaa ja kantaa riskin välittömästi omassa taloudessaan. Julkinen hallinto vastaa varojen käytöstä veronmaksajille. Sitä asiaa meneillään oleva kehitys ei muuta.

 

Teksti perustuu seuraaviin tarkastuksiin:
Sisäisen valvonnan ja riskienhallinnan tila valtionhallinnossa (13/2017)
Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus (20/2018)