Riskienhallinta ja sisäinen valvonta

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Turku

24.4.2015

 

 

 

Sisällys

1   VASTUU SISÄISEN VALVONNAN JA RISKIENHALLINNAN JÄRJESTÄMISESTÄ   2

2   SISÄINEN VALVONTA   2

2.1   Kaupungin sisäinen valvonta   2

2.1.1   Sisäisen valvonnan tavoitteet   3

2.1.2   Valvontavastuut   3

2.1.3   Operatiivisen toiminnan valvonta   5

2.1.4   Sisäisen valvonnan toimivuuden arviointi   6

2.1.5   Sisäisen valvonnan kehittäminen   6

2.1.6   Raportointi ja tiedonvälitys   7

2.2   Konsernivalvonta   8

2.2.1   Konserniyhteisöjen sisäinen valvonta   8

2.2.2   Konserniyhteisöjen riskienhallinta   8

2.2.3   Sisäinen tarkastus konsernin sisäisessä valvonnassa ja riskienhallinnassa   8

3   SISÄINEN TARKASTUS   9

3.1   Sisäisen tarkastuksen organisaatioasema ja tehtävä   9

3.2   Toiminnan ja tarkastusten suunnittelu   9

3.3   Tarkastusten raportointi   10

3.4   Konsultointi   10

4   RISKIENHALLINTA   10

4.1   Riskienhallinnan määritelmä   10

4.2   Riskienhallinnan koordinaatioryhmä   10

4.3   Riskienhallinnan tason määrittely   10

4.4   Riskienhallinnan tavoitteet ja riskien luokittelu   11

4.5   Riskienhallinnan työkalut ja riskien arviointi   11

4.5.1   Riskien tunnistaminen ja suuruuden arviointi   12

4.5.2   Merkittävimpien riskien valitseminen   12

4.5.3   Riskien hallinnan keinojen arvioiminen   13

4.6   Vastuu riskien arvioinnin suorittamisesta   14

4.7   Riskien ja riskienhallinnan raportointi   14

5   VARAUTUMINEN   14

6   TIETOTURVA   16

6.1   Tavoitteet   16

6.2   Organisointi   16

6.3   Tietoturvan riskienhallinta   18

6.4   Koulutus   18

6.5   Mittaaminen ja arviointi   18

6.6   Raportointi kaupungin johtoryhmälle   18

Liite 1 Käsitteet   20

Liite 2 Riskienhallinnan kypsyysmallin yleiskuva   21

Liite 3 Kysymyksiä tilivelvollisille sisäisen valvonnan järjestämiseksi ja sen toimivuuden testaamiseksi   22

 


JOHDANTO

 

 

Tässä ohjeessa määritellään Turun kaupunkikonsernin riskienhallinnan ja sisäisen valvonnan periaatteet ja toteuttamistavat. Ohje koskee kaikkia Turun kaupungin toimialoja ja tytäryhteisöjä.

 

Ohjeen tarkoituksen on varmistaa riskienhallinnan ja sisäisen valvonnan asianmukainen järjestäminen ja yhdenmukaistaa riskienhallinnan toteuttamista, raportointia ja valvontaa. Tämä riskienhallintaohje korvaa aiemman riskienhallintaoppaan (Kp/10 4.1.2010 § 1).

 

Turun kaupungilla on ISO 27001 -standardiin perustuva tietoturvallisuuden hallintajärjestelmä. Tässä ohjeessa on esitetty siihen liittyvä tietoturvallisuuden hallintapolitiikka, joka korvaa aiemman (kh. 23.5.2011 § 256). Hallintajärjestelmä kattaa koko kaupungin hallinnollisen organisaation. Politiikkaa noudatetaan kaikessa viranomais- ja palvelutoiminnassa ja se koskee kaikkia kaupungin palveluksessa olevia henkilöitä sekä luottamushenkilöitä

 

VASTUU SISÄISEN VALVONNAN JA RISKIENHALLINNAN JÄRJESTÄMISESTÄ

 

Kaupunginvaltuusto päättää kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteista. Ne edellyttävät, että konsernin kaikissa toiminnoissa ja kaikilla organisaation tasoilla on riittävä sisäinen valvonta ja riskienhallinta.

 

Kaupunginhallitus, kaupunginjohtaja ja muu konsernijohto vastaavat siitä, että Turun kaupungilla on hyvän johtamis- ja hallintotavan mukainen johtamisjärjestelmä. Sisäiseen valvontaan ja riskienhallintaan liittyvät menettelytavat ja organisaation eri toimijoiden toimivalta, velvoitteet ja vastuut

on tällöin hyväksytty ja jalkautettu.

 

Kukin lautakunta ja johtokunta vastaavat oman vastuualueensa osalta sisäisen valvonnan ja riskienhallinnan menettelytapojen hyväksymisestä ja niiden toimeenpanon valvonnasta.

 

Toimialueiden johtavien viranhaltijoiden, erityisesti tilivelvollisten, velvollisuus on toimeenpanna sisäinen valvonta ja riskienhallinta vastuualueillaan.

 

Kaupunkikonsernin tytäryhteisöissä kunkin yhteisön hallitus vastaa siitä, että sisäinen valvonta ja riskienhallinta on asianmukaisesti järjestetty. Lisäksi hallitus päättää riskinhallinnan periaatteet ja keskeiset ohjeet sekä sisäisen valvonnan järjestämisen lainsäädännön ja konserniohjeiden mukaisesti. Toimitusjohtaja vastaa siitä, että yhtiön riskinhallinta ja sisäinen valvonta on järjestetty luotettavalla tavalla annettujen ohjeiden mukaisesti.

 

Tilivelvollisia toimijoita ovat tilivelvolliset toimielimet (kunnanhallitus, lautakunnat, johtokunnat ja toimikunnat), joiden jäsenet ovat luottamushenkilöitä sekä tilivelvolliset viranhaltijat.

 

SISÄINEN VALVONTA

 

Kaupungin sisäinen valvonta

 

Kaupunginhallitus vastaa kaupungin hallinnosta ja taloudenhoidosta sekä valtuuston päätösten valmistelusta, täytäntöönpanosta ja laillisuuden valvonnasta. Kaupunginhallitus vastaa kaupunkikonsernin sisäisen valvonnan asianmukaisesta järjestämisestä ja antaa sitä koskevat yleisohjeet.

 

Kaupungin konsernijohtoon kuuluvat kaupunginhallitus, kaupunginhallituksen konsernijaosto, kaupunginjohtaja ja apulaiskaupunginjohtaja. Konsernijohto vastaa konserniohjauksesta ja -valvonnasta.

 

Kaupunginhallitus raportoi valtuustolle tilinpäätöksen toimintakertomuksessa kaupungin ja kaupunkikonsernin sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista ja kehittämistapeista sekä merkittävimmistä riskeistä.

Hallintosäännön mukaan kaupungin toiminnot on järjestettävä ja johtamistehtävät hoidettava siten, että organisaation kaikilla tasoilla ja kaikissa toiminnoissa on riittävä sisäinen valvonta.

Sisäisen valvonnan ohjaamisesta vastaa keskitetysti kaupunginhallitus. Johtamansa toiminnan sisäisestä valvonnasta vastaa kunkin toimielimen tehtäväalueen johtava viranhaltija.

 

Sisäisen valvonnan tavoitteet

 

Sisäisen valvonnan avulla pyritään varmistamaan

 

toiminnan tuloksellisuus ja tehokkuus

tiedon oikeellisuus ja riittävyys

resurssien tehokas käyttö

omaisuuden turva sekä

lakien, sääntöjen ja ohjeiden noudattaminen.

 

Sisäisen valvonnan merkittävimmät kohdealueet voidaan määritellä seuraavasti:

 

säännösten, määräysten ja päätösten noudattaminen

tavoitteiden toteutuminen, varojen käytön valvonta, tuloksellisuuden arvioinnin pätevyys ja luotettavuus

riskienhallinnan järjestäminen

omaisuuden hankinnan, luovutuksen ja hoidon valvonta

sopimustoiminta

 

Valvontavastuut

 

Tilivelvollisten valvontavastuu

 

Kuntalain (1995/365) tarkoittamia tilivelvollisia ovat esimerkiksi

 

kaupunginhallituksen jäsenet

lauta- ja johtokuntien sekä muiden kunnan toimielinten jäsenet

kaupunginjohtaja ja apulaiskaupunginjohtaja sekä

toimialojen ja liikelaitosten päälliköt.

 

Tilivelvollisella on vastuu sisäisen valvonnan järjestämisestä ja sen ylläpidosta. Tilivelvollisuusaseman puuttumisesta huolimatta tytäryhteisön johto, virastojen ja liikelaitosten päälliköt ja muut esimiehet ovat vastuussa alaisensa toiminnan valvonnasta.

 

Tytäryhteisön hallituksen valvontavastuu

 

Tytäryhteisön hallitus vastaa yhteisön hallinnon ja valvonnan järjestämisestä. Hallituksen tehtävät ja vastuut perustuvat yhteisöä koskevaan lainsäädäntöön, yhtiöjärjestykseen sekä muihin mahdollisiin sääntöihin ja sopimuksiin. Hallitus ohjaa, tukee ja valvoo yhteisön sisäisen valvonnan toteuttamista.

Hallituksen tulee käsitellä ja hyväksyä tilinpäätöksen ja toimintakertomuksen yhteydessä selonteko sisäisen valvonnan järjestämisestä sekä siinä havaituista puutteista ja kehittämistarpeista.

 

Johdon valvontavastuu

 

Kaupunginjohtaja huolehtii kaupunkikonsernin tasolla sisäisen valvonnan järjestämisestä.

 

Toimialan ja liikelaitoksen johtaja sekä tytäryhteisön toimitusjohtaja huolehtii viraston, liikelaitoksen ja tytäryhteisön sisäisen valvonnan järjestämisestä kaupunginhallituksen ohjeiden mukaisesti.

 

Johto vastaa toiminnasta ja siitä, että prosesseille, hankkeille, projekteille ja toiminnoille on määritelty vastuutahot sekä tarvittavat ohjaus- ja seurantajärjestelmät. Virastojen, liikelaitoksien ja tytäryhteisöjen johto hyväksyy sisäisen valvonnan periaatteet.

 

Johto viestii henkilöstölle sisäisen valvonnan tavoitteista. Tiedonkululla varmistetaan, että henkilöstö tuntee tehtäviensä edellyttämät sisäisen valvonnan tavoitteet ja keinot.

 

Virastot, liikelaitokset ja tytäryhteisöt raportoivat sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista sekä kehittämistapeista saamiensa ohjeiden mukaisesti.

 

Esimiehen valvontavastuu

 

Esimiehet vastaavat johtamiensa yksiköiden sisäisestä valvonnasta. Esimies vastaa siitä, että hänen yksikkönsä tavoitteet on johdettu kaupungin ylemmän tason tavoitteita. Samoin hän vastaa siitä, että hänen alaisuudessaan olevien yksiköiden tavoitteet on johdettu koko yksikön tavoitteista. Esimies vastaa tiedonkulusta ja raportoinnista sekä ohjaa ja valvoo alaistensa toimintaa. Esimiehen on ryhdyttävä korjaaviin toimenpiteisiin, mikäli toiminta on tehotonta, epätarkoituksenmukaista tai lain tai kaupungin sisäisten sääntöjen, ohjeiden tai päätösten vastaista.

 

Esimiehellä on vastuu yksikkönsä toiminnasta ja työvälineistä sekä niiden valvonnasta ja kehittämisestä. Toiminnan päivittäinen valvonta on olennainen osa toimenkuvaa.

Esimiehet vastaavat johtamiensa yksiköiden osalta siitä, että henkilöstön toimivalta ja vastuut on määritelty ja henkilöstöllä on ajanmukaiset tehtäväkuvaukset. Esimies käy säännöllisesti kehityskeskustelut, joissa toiminnallisten tavoitteiden lisäksi käydään läpi alaisen toimenkuva sekä työtehtävien edellyttämä osaaminen.

 

 

 

Sisäistä valvontaa tukevat tehtävät

 

Jokainen työntekijä on omalta osaltaan vastuussa omien tehtäviensä edellyttämästä riittävästä ja toimivasta valvonnasta. Mikäli valvonnassa on puutteita tai selkeitä kehittämistarpeita, on hän velvollinen tiedottamaan tästä esimiehelleen.

 

Talous- ja strategiaryhmä tukee kaupungin johtoa sekä toimialajohtajia taloudenpitoon ja omaisuuden valvontaan liittyvissä tehtävissä kuten talouden suunnittelussa, seurannassa ja raportoinnissa sekä omaisuuden tehokkaan ja taloudellisen käytön suunnittelussa ja seurannassa.

 

Työsuojeluorganisaation henkilöstö huolehtii osaltaan työturvallisuutta eli henkilöstön terveyttä ja turvallisuutta uhkaavien vaarojen tunnistamisen ja arvioinnin toteutumisesta.

 

Sisäinen tarkastus tarkastaa ja arvioi riskienhallintaa sekä sisäistä valvontaa ja avustaa kaupunginjohtoa tuottamalla tietoa sisäisen valvonnan, riskienhallinnan sekä hyvän johtamis- ja hallintotavan tilasta ja kehittämistarpeista toimialoilla ja liikelaitoksissa.

 

Sisäisen valvonnan kytkentä riskienhallintaan

 

Sisäinen valvonta sisältyy kaikkeen toimintaan. Siihen sisältyy myös riskien arviointi, priorisointi ja niiden hallintakeinojen määrittely.

 

Järjestelmällisellä riskienhallinnalla pyritään kartoittamaan uusia ja tunnistamattomia riskejä sekä arvioidaan tiedossa olevien riskien merkitys organisaation tavoitteille ja toiminnalle. Tarvittaessa sisäisen valvonnan painopistettä siirretään riskiarvioinnin perusteella merkittäviksi arvioitujen riskien seurantaan ja hallintaan.

 

Operatiivisen toiminnan valvonta

 

Sisäisen valvonnan järjestämisen riittävyyden ja asianmukaisuuden ratkaisee valvottavan toiminnan luonne, sisältö ja taloudellinen merkitys. Sisäinen valvonta koostuu toimintatavoista, jotka sisällytetään operatiiviseen toimintaan erilaisina seurantoina, hyväksymisinä tai muuna vastaavina varmistuksina. Valvontakeinot on suhteutettava valvottavaan toimintaan siten, että ne ovat riittävät, taloudelliset ja toimivat.

 

Asianmukainen sisäinen valvonta edellyttää etukäteen päätettyä organisaatiorakennetta, toimivaltuuksia sekä työtehtävien eriyttämistä. Näiden ohessa sisäisen valvonnan keinovalikoimaan kuuluvat esimerkiksi

 

kuukausiseuranta ja – raportointi johdolle

poikkeamaraportointi johdolle

talousarvion toteutumisen seuranta

työnjako ja vastuut

erilaiset täsmäytystoimenpiteet.

 

Toimialojen, liikelaitosten ja tytäryhteisöjen johto ja esimiehet vastaavat sisäisen toimeenpanosta omissa yksiköissään. Johto voi tarvittaessa laatia toimialojen, liikelaitosten ja tytäryhteisöjen omaan toimintaan sovelletun ohjeistusta sisäisestä valvonnasta. Johto vastaa myös siitä, että henkilöstö on tietoinen tarvittavissa määrin sisäisen valvonnan menettelytavoista.

Yksittäisten toimintaprosessien valvonta

 

Toimintaprosesseihin sisältyvät valvontatoimenpiteet tai kontrollit voivat olla ehkäiseviä, havaitsevia tai korjaavia. Esimerkkejä yllä mainituista kontrollikeinoista ovat muun muassa seuraavat:

 

työtehtävien eriyttäminen

toimintaketjujen kontrollien määrittely ja kontrollien toimivuuden varmistaminen

päätöksenteon oikeellisuuden valvonta

kilpailutettujen hankintapaikkojen käytön varmistaminen

toimituksen täsmäytys lähetyslistaan

laskun täsmäytys lähetyslistaan

laskun asiatarkastus hankintavaltuudet huomioiden

myyntilaskutus ja tulojen kertymisen valvonta

käteistulojen valvonta

omaisuuden turvan edellyttämät fyysiset kontrollit (lukot, hälytysjärjestelmät, valvontakamerat jne.)

tulojen ja menojen täsmäytys tiliotteeseen

irtaimiston ja käyttöomaisuuden inventoinnit

vaihto-omaisuuden inventoinnit

palkanmaksun oikeellisuuden valvonta

salasanakäytäntö

it-lokien ja sovelluksien virheilmoituksien seuranta

tieto-omaisuuden varmuuskopiointi

 

Kontrollit voidaan toteuttaa joko manuaalisesti tai sisällyttämällä ne it-järjestelmiin tai näiden yhdistelmillä.

 

Työtehtävien eriyttämisen tavoitteena on virheiden ja väärinkäytösten estäminen vastuuttamalla työtehtävien eri vaiheet eri henkilöille. Mikäli tehtäviä ei voida eriyttää, esimerkiksi henkilökunnan vähäisyydestä johtuen tai jostain muusta syystä, on toiminnasta vastaavan esimiehen tehostettava jälkikäteistä eli havaitsevaa valvontaa. Keinoina voivat tällöin olla esimerkiksi erilaiset täsmäytykset ja hyväksynnät tai it-lokien läpikäynti sen varmistamiseksi, että tietojärjestelmiä ei ole käytetty ilman asiaankuuluvaa yhteyttä työtehtäviin.

 

Sisäisen valvonnan toimivuuden arviointi

 

Toimialat, liikelaitokset ja tytäryhteisöt seuraavat sisäisen valvontajärjestelmänsä toimivuutta ja kehittävät sitä omien tarpeiden mukaan kaupungin ylimmän johdon ohjeet huomioiden. Sisäisen valvonnan toimeenpanosta raportoidaan erikseen annettujen ohjeiden mukaisesti.

 

Sisäisen valvonnan kehittäminen

 

Sisäistä valvontaa kehitetään kaupunkikonsernin kaikilla tasoilla. Kaupunkikonsernin tasolla tapahtuvan kehittämisen lisäksi hyödynnetään kunkin toimialan, liikelaitoksen ja tytäryhteisön tekemiä sisäisen valvonnan arviointeja ja kehittämistoimia.

 

 

 

 

 

Yksiköiden itsearvioinnit

 

Seurannan ja valvonnan tuottamien tietojen avulla johto voi reagoida muutoksiin toimintatavoissa ja – ympäristössä ja varmistaa siten valvonnan asianmukaisuuden organisaatio- tms. muutoksista huolimatta. Muutosten luonne ja laajuus sekä mahdollisesti entuudestaan tiedossa olevat heikkoudet sisäisessä valvonnassa tulee huomioida yksiköiden omissa kehittämistoimenpiteissä.

 

Toimialat, liikelaitokset ja tytäryhteisöt kokoavat vuosittain omaan sisäisen valvonnan ja riskienhallinnan selontekoonsa arvionsa yksikkönsä sisäisen valvonnan ja riskienhallinnan järjestämisestä, toimeenpanosta, havaituista puutteista sekä kehittämissuunnitelmista. Selonteko laaditaan jonkun yleisesti käytössä olevan viitekehyksen avulla (esim. COSO eri versioineen, CAF tms.) tai sitä soveltaen. Arvioinnin on perustuttava todennettavissa oleviin tosiseikkoihin ja siihen on sisällytettävä mm. yksikön organisaatiorakenteen ja johtamisen, riskienhallinnan, operatiivisen valvonnan sekä tiedonkulun nykytila ja kehittämistarpeet. Arvioinnissa voi hyödyntää sisäisen tarkastuksen vuosittain toimittamaa COSO-pohjaista kyselyä sekä Word-muotoista selonteon asiakirjapohjaa.

 

Lauta- ja johtokuntien tulee käsitellä ja hyväksyä toimialojen ja liikelaitosten selonteot sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista sekä sen kehittämistarpeista

 

Sisäisen tarkastuksen arvioinnit

 

Sisäinen tarkastus avustaa kaupungin johtoa sisäisen valvonnan toimeenpanon, toimivuuden, tehokkuuden ja mahdollisten kehittämistarpeiden arvioinnissa. Sisäinen tarkastus tarkastaa kaupunkikonsernin yksiköiden toimintaa sekä ulkoistettuja toimintoja ja palveluja. Kaupunginjohtajan toimeksiannon perusteella suoritetaan vuosittain vuosisuunnitelman ulkopuolisia erityistarkastuksia. Tarkastuksien puitteissa arvioidaan sisäisen valvonnan ja riskienhallinnan riittävyyttä ja toimivuutta sekä annetaan suosituksia tai edellytetään toimenpiteitä mahdollisesti havaittujen puutteiden korjaamiseksi. Suosituksien ja edellytettävien toimenpiteiden toteuttaminen on yksiköiden johdon vastuulla. Lisäksi sisäinen tarkastus valmistelee toimialojen, liikelaitoksien sekä tytäryhteisöjen itsearviointien pohjalta kaupungin toimintakertomukseen sisältyvän sisäisen valvonnan ja riskienhallinnan selonteon.

 

Raportointi ja tiedonvälitys

 

Tehokkaan ja toimivan johtamisen ja päätöksenteon tueksi on johdon käytettävissä oltava oikeat ja riittävät tiedot toiminnasta. Valvonnalla johto ja esimiehet varmistavat sen, että yksikön tuottamat tiedot toiminnasta, taloudesta ja hallinnosta ovat oikeita ja riittäviä. Tarvittavat tiedot raportoidaan johdolle ajantasaisesti johdon päättämän aikataulun puitteissa sekä kattavasti ja oikein. Näin parannetaan mahdollisuuksia tehokkaaseen johtamiseen.

 

Tehokasta ja toimivaa tiedonkulkua tarvitaan myös organisaation ulkoisten sidosryhmien kanssa, sillä näiltä tahoilta voidaan esimerkiksi saada tietoja sisäisen valvonnan puutteista sekä oman toiminnan heikkouksista ja kehittämistarpeista.

 

Epäillyt tai havaitut väärinkäytökset tai rikkomukset raportoidaan yksikön esimiehelle. Ilmoitus tulee tehdä myös sisäiselle tarkastukselle. Sisäinen tarkastus tutkii asiaa tarvittaessa kaupunginjohtajan harkinnan perusteella

 

Konsernivalvonta

 

Konserniyhteisöjen sisäinen valvonta

 

Riskienhallinnan ja sisäisen valvonnan ohje koskee kaikkia Turun kaupungin tytäryhteisöjä. Kaupunkikonserniin kuuluvien tytäryhteisöjen tulee noudattaa Turun kaupungin omistajapoliittisia tavoitteita ja konserniohjeita.

 

Tytäryhteisön hallitus ohjaa, tukee ja valvoo yhteisön sisäisen valvonnan toteuttamista. Hallitus päättää sisäisen valvonnan järjestämisestä lainsäädännön, konserniohjeiden ja hyvän hallintotavan mukaisesti. Kunkin tytäryhteisön hallitus vastaa siitä, että yhtiön kirjanpidon ja varainhoidon valvonta on asianmukaisesti järjestetty.

 

Hallituksen tulee arvioida sisäisen valvonnan tehokkuutta ja toimivuutta ja raportoida siitä vuosittain konsernijohdolle ja sisäiselle tarkastukselle. Hallituksen tulee reagoida, mikäli raportointi sisäisestä valvonnasta ei osoita järjestelmän toimeenpanoa ja tuloksellisuutta. Lisäksi hallitus käsittelee ja hyväksyy osana tilinpäätöstä ja toimintakertomusta selonteon sisäisen valvonnan järjestämisestä, havaituista puutteista ja kehittämistarpeista sekä merkittävimmistä riskeistä. Toimitusjohtajan vastuulla puolestaan on huolehtia siitä, että sisäinen valvonta on jalkautettu asianmukaisesti.

 

Konserniyhteisöjen riskienhallinta

Konserniyhteisöjen tulee raportoida konsernijohdolle konserniyhteisöjen merkittävistä riskeistä sekä riskienhallinnan toimivuudesta ja riittävyydestä.

 

Strategisia, toiminnallisia ja taloudellisia tavoitteita tukeva riskiraportointi on keskeinen osa riskienhallintaa. Raportoinnin tarkoitus on antaa Turun kaupungin konsernijohdolle ja sisäiselle tarkastukselle konsernin riskinhallinnasta kokonaisvaltainen ja kattava kuva. Tämä luonteeltaan jatkuva raportointi on osa toiminnan kehittämistä, joka sisältyy normaaliin vuosisuunnitteluun sekä operatiiviseen seurantaan sekä toiminnan kehittämiseen.

 

Riskien hallintaan liittyvän tiedonsaannin ja raportoinnin tulee olla toimivaa myös tilanteissa, joissa muuttunut toimintaympäristö tai havaitut poikkeamat aiheuttavat tarvetta riskienhallinnan uudelleenarviointiin.

 

Sisäinen tarkastus konsernin sisäisessä valvonnassa ja riskienhallinnassa

 

Sisäinen tarkastus tukee riskienhallinta-, valvonta-, johtamis- ja hallintoprosessien toimivuuden ja tuloksellisuuden arviointia sekä tarvittaessa toiminnan kehittämistä. Sisäisen tarkastuksen toimistolla on oikeus tarkastaa myös tytäryhteisöjen sisäisen valvonnan järjestämistä ja toteuttamista.

 

Sisäisellä tarkastuksella on oikeus saada tytäryhteisöiltä kaikki tarkastusten ja sisäisen valvonnan ja riskienhallinnan järjestämisen ja toteuttamisen arvioimiseksi tarvitsemansa tiedot. Yhteisöjen tulee tarvittaessa avustaa tietojen saamisessa tarkastusta varten.

 

SISÄINEN TARKASTUS

 

Sisäisen tarkastuksen organisaatioasema ja tehtävä

 

Kaupunginhallituksen johtosäännön (kv. 17.12.2012 § 252) mukaan konsernihallinnossa toimii kaupunginjohtajan alaisuudessa oleva sisäinen tarkastus. Sisäistä tarkastusta johtaa tarkastusjohtaja. Kaupunginjohtaja määrää tarkastusjohtajan yleisistä tehtävistä.

 

Sisäinen tarkastuksen tehtävänä on varmentaa kaupunginjohtajan vastuulla olevan kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan toimivuus, tuloksellisuus sekä niiden kehittämistarpeet. Tehtäväkenttänä on kaupunkikonsernin kaikki toiminnot, liikelaitokset, yksiköt ja yhteisöt sekä ulkoistetut palvelut ja toiminnot. Toimistolla on kaupunkikonserniin nähden tiedotus- ja tiedonsaantioikeus, mutta ei päätösvaltaa eikä toimeenpano-oikeutta. Tämän estämättä ja riippumattomuuden vaarantumatta voi tarkastaja osallistua tarkastetun kohteen valvontamekanismien ja riskienhallinnan kehittämiseen, mikäli tarkastus tai kaupunginjohtaja sitä edellyttää.

 

Sisäisellä tarkastuksella on oikeus saada käyttöönsä tehtäviensä toteuttamista varten tarpeelliset tiedot, käyttö- ja kulkuoikeudet, asiakirjat sekä henkilöstö ja muu tuki. Tiedonsaantioikeuden toteuttamiseksi on tarkastusjohtajalla tai hänen nimeämällään tarkastajalla läsnäolo- ja puheoikeus niissä kokouksissa ja tilaisuuksissa, joissa käsitellään kaupunkikonserniin kuuluvien yksiköiden sisäistä valvontaa ja riskienhallintaa.

 

Toiminnan ja tarkastusten suunnittelu

 

Tarkastusjohtaja vastaa siitä, että toimiston vuosittainen toimintasuunnitelma laaditaan ja esitetään hyväksyttäväksi kaupunginjohtajalle tammikuun loppuun mennessä. Lisäksi toimintasuunnitelma esitellään konsernin johtoryhmälle kaupunginjohtajan määräämällä tavalla.

Toimintasuunnitelman laatimisen tulee perustua kaupunkikonsernin eri toiminnoista tehtyyn karkean tason riskiarvioon. Riskiarvion laadinnassa huomioidaan mm:

 

valtuuston toiminnalle asettamat tavoitteet

tiedossa olevat riskit

käytettävissä olevat tiedot yksiköiden valvontajärjestelmien toimivuudesta

toiminnan olennaiset muutokset

uudet toiminnot sekä

johdon näkemykset.

 

Tarkastuskohteiden määrittelyssä otetaan huomioon kaupunginjohtajan antamat ohjeet ja konserniyksiköiden kanssa käydyissä neuvotteluissa esiin tulleet asiat. Tarkastusjohtaja huolehtii yhteydenpidosta ulkoisen tarkastuksen kanssa. Tarvittaessa kaupunginjohtaja määrittelee tarkastuskohteiden tärkeysjärjestyksen.

 

Tarkastukset voivat perustua myös kaupunginjohtajan erilliseen toimeksiantoon tai kaupunkikonsernin muun yksikön tekemään tarkastuspyyntöön.

 

Sisäinen tarkastus suorittaa pistokokeina käteiskassantarkastuksia, joiden suorittamiseen on erillinen ohje sekä raportointilomake.

Tarkastusten raportointi

 

Tarkastuksen valmistuttua toimitetaan tarkastusraporttiluonnos kommentoitavaksi tarkastuskohteeseen, mikäli kaupunginjohtaja ei ole toisin määrännyt tarkastusta suunniteltaessa.

 

Raportit luokitellaan sisältönsä perusteella julkisiksi tai salassa pidettäviksi julkisuuslain nojalla. Yhtiöiden kohdalla sovelletaan osakeyhtiölakia.

 

Raportit jaetaan kaupunginjohtajalle, asianomaiselle toimialajohtajalle, toiminnasta vastuussa olevalle linjajohdolle sekä tarkastuslautakunnan kautta kaupungin tilintarkastajalle. Tarkastuskohteelle valmis raportti toimitetaan kaupunginjohtajan hyväksynnän jälkeen.

 

Tarkastusjohtaja toimittaa kaupunginjohtajan määräämällä tavalla vuosittaisen yhteenvedon tehdyistä tarkastuksista sekä sisäisen valvonnan ja riskienhallinnan toimivuudesta kaupunginhallitukselle.

 

Konsultointi

 

Sisäinen tarkastus suorittaa erillisellä sopimuksella konsultointitehtäviä, jotka liittyvät tarkastajien kokemuspiiriin ja erityisosaamiseen. Tämä edellyttää, että ne voidaan suorittaa riippumattomasti ja objektiivisesti.

 

RISKIENHALLINTA

 

Riskienhallinnan määritelmä

 

Riskienhallinta on osa sisäistä valvontaa. Riskienhallinnalla tarkoitetaan järjestelmällisiä menettelytapoja, joiden avulla tunnistetaan ja kuvataan kunnan ja kuntakonsernin toimintaan liittyviä riskejä. Arvioidaan riskien merkittävyyttä ja toteutumisen todennäköisyyttä sekä määritellään toimintatavat riskien hallitsemiseksi, valvomiseksi ja raportoimiseksi. Riskienhallinnan keinoja ovat riskin välttäminen, siirtäminen, pienentäminen jakamalla ja vahingontorjunnalla sekä riskin ottaminen.

 

Varautumisessa riskienhallinta on useiden eri tahojen yhteistyötä. Sitä tekevät sekä yritykset, eri toimialat ja viranomaiset, kunnat ja valtio. Viranomaisilla, kunnilla ja joillain yrityksillä on lakisääteinen velvollisuus laatia valmiussuunnitelmia, johon riskienhallinta kuuluu tärkeänä osana. Riskienhallintaan kuuluu myös riittävien resurssien määrittäminen.

 

Riskienhallinnan koordinaatioryhmä

 

Kaupunginjohtajan nimeämän riskienhallinnan koordinaatioryhmän tehtävänä on arvioida ja kehittää kaupunkikonsernin riskienhallintaa ja sisäistä valvontaa. Koordinaatioryhmä raportoi riskienhallinnasta kaupungin johdolle. Ryhmä muodostuu eri toimialojen, keskeisten yhtiöiden, yhteisöjen ja pelastustoimen edustajista.

 

Riskienhallinnan tason määrittely

 

Riskienhallinnan tason määrittely toteutetaan toimialoilla, yhtiöissä ja yhteisöissä hyödyntämällä Helsingin kaupungin kehittämää Riskienhallinnan kypsyysmallin yleiskuva – mallia (Helsingin kaupungin pilottiversio 2013: Mika Häkkinen, talous- ja suunnittelukeskus, Helsingin kaupunki, liite 2). Malli on sovellettu yleisistä laatu- ja prosessijohtamisen kypsyysmalleista. Kypsyysmallissa arvioidaan kuutta eri kohtaa:

 

vastuut ja periaatteet

toimintatapa

osaaminen

riskienarviointimenetelmät

kehittäminen

dokumentointi ja raportointi.

 

Riskienhallinnan tavoitteet ja riskien luokittelu

 

Riskienhallinnan tavoitteena on edistää kaupungin hallinnon tuloksellisuutta puuttumalla toimintaa ja tavoitteita uhkaaviin tekijöihin ennakolla. Riskienhallinta edellyttää toimintaympäristön ja olennaisten uhkatekijöiden riittävää ja aktiivista kartoitusta ja arviointia.

 

Riskienhallinnan lähtökohtana on analyysi keskeisimmistä toimintaa uhkaavista riskeistä. Turun kaupunkikonsernin riskit luokitellaan toiminnallisiin, taloudellisiin ja vahinkoriskeihin. Kaikkiin näihin ryhmiin voi kuulua sisäisiä tai ulkoisia riskejä.

 

Riskienhallinnan työkalut ja riskien arviointi

 

Riskienhallinnan työkaluina käytetään riskimatriisia, riskien koontitaulukkoa sekä analyysitaulukkoa.

 

Riskien arvioinnin muodostamaan kokonaisuuteen sisältyy riskien tunnistaminen, riskien suuruuden arviointi, merkittävämpien riskien luokittelu ja niiden hallintakeinojen arviointi ja valitseminen.

 

Toimialojen, yhtiöiden ja tytäryhteisöjen riskejä arvioitaessa tulee ensimmäiseksi vastata kysymyksiin:

 

-miksi olemme olemassa ja

-mitkä ovat ydintoimintomme

 

Riskejä arvioitaessa käydään läpi toiminnalliset tavoitteet ja mitkä riskit näitä tavoitteita voivat uhata. Riskienhallinnan jatkotyössä keskitytään sen jälkeen näihin toimintoihin ja niihin liittyviin riskeihin.

 

On tärkeää tunnistaa, mitkä riskit ovat suurimmat ja miten ne voidaan torjua. Riskit priorisoidaan niiden merkityksen ja mahdollisen euromääräisen suuruusluokan avulla. Tämä tehdään vahingon vaikutuksen ja todennäköisyyden arvioinnin perusteella.

 

Riskien arvioinnit ja niiden taustatiedot dokumentoidaan. Mitä yksityiskohtaisemmin ja selkeämmän riskiarviot ja niiden taustatiedot kirjataan, sitä helpommin voidaan näitä dokumentteja hyödyntää tarvittaessa myöhemmin.

 

Riskien arvioinnissa tärkeä vaihe on sopia toimenpiteistä, joilla tunnistetut riskit saadaan hallintaan, samoin riskiarvioiden seurannasta ja niiden päivittämisestä.

 

 

 

Kuva 1. Riskien arvioinnin vaiheet

 

Riskien tunnistaminen ja suuruuden arviointi

 

Riskien tunnistamisen tarkoituksena on ehkäistä ne riskit, jotka toteutuessaan vaikeuttavat tai estävät organisaation keskeisten tehtävien suorittamista.

 

Riskien tunnistamisessa hyödynnetään riskien koontitaulukkoa, jossa on valmiiksi lueteltu osa riskeistä. Jokainen koontitaulukossa mainittu riski arvioidaan riskimatriisin avulla. Riskimatriisin avulla riskit arvioidaan vaikutusten ja todennäköisyyden mukaan. Jos esimerkiksi arvioitavan riskin vaikutus on erittäin vakava ja todennäköisyys sen toteutumalle on mahdollinen, saadaan riskin merkittävyydeksi 4*3=12. Saatu luku (1-25) merkitään koontitaulukossa arviotavan riskin kohdalle. Koontitauluun valmiiksi nimettyjen riskien lisäksi toimijat nimeävät ja arvioivat myös ne omaan toimintaan vaikuttavat merkittävät riskit, joita ei ole valmiiksi mainittu koontitaulukossa.

 

 

 

Kuva 2. Riskimatriisi

 

Merkittävimpien riskien valitseminen

 

Riskimatriisin perusteella esiin nousseista suurimmista riskeistä laaditaan tarkempi analyysi (kuva 3). Analyysitaulukkoon kirjataan arvioitava riski. Tämän jälkeen arvioidaan riskin toteutuessa aiheutuvat seuraukset. Vastausta haetaan kysymykseen, mitä haittaa toiminalle on, jos riski toteutuu. Riskin todennäköisyys ja vaikuttavuus saadaan riskimatriisista, joiden suurus merkitään numeraalisesti analyysilomakkeeseen. Merkittävyys on todennäköisyyden ja vaikutuksen tulo. Seuraavaksi analyysilomakkeeseen kirjataan, miten riskiin on varauduttu. Onko riskin hallintakeinona riskin välttäminen, pienentäminen, siirtäminen tai pitäminen? Toimenpiteet - kohdassa selvitetään, mitä riskienhallintakeinoa tulisi käyttää ja ovatko nykyiset toimenpiteet riittäviä. Vastuuhenkilö/aikataulu - kohdassa selvitetään kuka asiasta vastaa, miten raportoidaan ja millä aikataululla.

 

 

Kuva 3. Analyysitaulukko

 

Toimialojen, yhtiöiden ja tytäryhteisöjen tulee omissa arvioissaan huomioida myös riskien vaikutukset poikkihallinnollisissa prosesseissa. Periaatteena on, ettei riskejä siirretä toiselle toimialalle / yksikölle kaupunkikonsernin sisällä. Mikäli toimialan, yhtiön tai tytäryhteisön merkittävistä riskeistä aiheutuu uhkaa toiselle kaupunkikonsernin yksikölle, on asiasta raportoitava ja menettelystä sovittava yksiköiden kesken.

 

Riskien hallinnan keinojen arvioiminen

 

Analyysissa käydään läpi toimenpide-ehdotukset riskien hallintakeinoiksi. Samalla kartoitetaan, mitä hallintakeinoja kyseisen riskin osalta on jo käytössä ja ovatko nykyiset keinot tarkoituksenmukaisia ja tehokkaita. Hallintakeinoja voivat olla esimerkiksi erilaiset menettelytavat, ohjeet tai tekniset ratkaisut.

 

Riskien hallinnan keinot

 

Riskin välttäminen

 

Riskiä ei yleensä voida kokonaan välttää. Riskin välttäminen on usein mahdollista vain, jos kyseisistä toimista pidättäydytään kokonaan, luovutaan toiminnasta, johon liittyy liialliseksi koettu riski tai ei aloiteta tällaista toimintaa.

 

Riskin pienentäminen

 

Riskin pienentämisellä tarkoitetaan niitä toimenpiteitä, joilla riskin todennäköisyyttä ja / tai vaikutusta pyritään pienentämään. Toimenpiteet tulee olla riittävän konkreettisia ja mitattavissa olevaa tekemistä.

 

Riskin siirtäminen

 

Riskin siirtäminen tarkoittaa sen siirtämistä ulkopuolisen kannettavaksi, esimerkiksi vakuutuksin. Toiminnan häiriintyessä ei kuntalaista tosin tyydytä vastaus, että palvelusta viime kädessä vastaava on siirtänyt riskinsä muualle

 

 

Riskin pitäminen

 

Riskin pitäminen tarkoittaa tietoista riskin ottamista. Se edellyttää onnistunutta riskianalyysia eli merkittävimmät riskit on tunnistettu ja arvioitu sekä määritelty tarvittavat toimenpiteet. Mikäli toimenpiteiden aiheuttamat kustannukset ovat toimenpiteistä saatavia hyötyjä suuremmat tai riskin syntyihin ei voi itse vaikuttaa, riski voidaan hyväksyä.

 

Riskin pienentämiseksi ei ryhdytä aktiivisiin toimenpiteisiin Riskienhallintasuunnitelmat tulee olla ajan tasalla, jotta riskien toteutuessa niiden seuraukset ovat mahdollisimman pieniä. Lähtökohtana on, että jos ei voi vaikuttaa riskin syihin, niin pitää pyrkiä vaikuttamaan riskin seurausten pienentämiseen.

 

Vastuu riskien arvioinnin suorittamisesta

 

Toimialajohtajat vastaavat siitä, että heidän johtamillaan toimialoilla on tehty riskienarviointi. Yhtiöiden ja tytäryhteisöjen toimitusjohtajat vastaavat yleistoimivaltansa puitteissa riskienhallinnasta. Riskienarviointi tehdään vuosittain toukokuun loppuun mennessä (ajankohta tulee näkyä vuosikellossa), jotta mahdolliset esiin nousevat riskit, jota vaativat investointeja, ehditään huomioida talousarvion laadinnassa.

 

Riskien ja riskienhallinnan raportointi

 

Riskiraportoinnin tarkoitus on antaa kaupungin johdolle kaupunkikonsernin riskienhallinnasta kokonaisvaltainen ja kattava kuva. Raportointi on osa toiminnan kehittämistä ja sisältyy normaaliin vuosisuunnittelun operatiiviseen seurantaan sekä toiminnan kehittämiseen. Riskien hallinnan kannalta keskeiset mittarit sisällytetään vuosisuunnitelmiin ja niitä hyödynnetään toiminnan suunnittelussa ja seurannassa.

 

Riskiraportoinnin tulee toimia myös tilanteissa, joissa muuttunut toimintaympäristö tai havaitut poikkeamat aiheuttavat tarvetta riskien uudelleen arviointiin. Mikäli toteutunut riski aiheuttaa yli 5 %:n poikkeaman talous - tai toimintasuunnitelmaan kyseiselle vuodelle, on esimiehen laadittava siitä poikkeamaraportti. Johdon käsittelyn jälkeen poikkeamaraportti toimitetaan ao. luottamuselimelle sekä kaupunkikonsernin riskienhallintapäällikölle ja kaupunginjohtajalle. Raportointihierarkia, jonka mukaan toimitaan, on suositeltavaa kuvata kaupungin johtoon saakka.

 

Kaupungin toimintakertomuksessa raportoidaan kirjanpitolautakunnan kuntajaoston ohjeen mukaisesti riskienhallinnasta ja sen kehittämistarpeista.

 

VARAUTUMINEN

 

Valmiuslain (1552/2011) mukaan kunnalla on varautumisvelvollisuus. Kuntien, kuntayhtymien ja muiden kuntien yhteenliittymien tulee valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa.

 

Poikkeusoloja valmiuslain mukaan ovat:

 

1) Suomeen kohdistuva aseellinen tai siihen vakavuudeltaan rinnastettava hyökkäys ja sen välitön jälkitila;

 

2) Suomeen kohdistuva huomattava aseellisen tai siihen vakavuudeltaan rinnastettavan hyökkäyksen uhka, jonka vaikutusten torjuminen vaatii tämän lain mukaisten toimivaltuuksien välitöntä käyttöön ottamista;

 

3) väestön toimeentuloon tai maan talouselämän perusteisiin kohdistuva erityisen vakava tapahtuma tai uhka, jonka seurauksena yhteiskunnan toimivuudelle välttämättömät toiminnot olennaisesti vaarantuvat;

 

4) erityisen vakava suuronnettomuus ja sen välitön jälkitila; sekä

 

5) vaikutuksiltaan erityisen vakavaa suuronnettomuutta vastaava hyvin laajalle levinnyt vaarallinen tartuntatauti.

 

Poikkeusoloihin varautuminen liittyy usein kiinteästi myös toiminnan suunnitteluun poikkeusoloja lievempiä poikkeuksellisia tilanteita varten. Uhkakuvat ovat muuttuneet ja nykyään valmiussuunnitelmissa varaudutaan ensisijaisesti normaaliolojen häiriötilanteisiin, kuten veden- ja sähkönjakeluongelmiin.

 

Yhteiskunnan turvallisuusstrategia on valtioneuvoston hyväksymä periaatepäätös, joka muodostaa yhteisen varautumisen ja kriisijohtamisen perustan yhteiskunnan kaikille toimijoille.

 

Yhteiskunnan turvallisuusstrategiassa on mainittu ne uhkamallit, joihin tulee varautua. Ne luovat varautumisen perustan myös kuntatasolle eli siihen minkä tyyppisiin uhkiin myös kunnissa tulee varautua.

 

Strategiassa kuvatut uhkamallit ovat:

 

voimahuollon vakavat häiriöt

tietoliikenteen ja tietojärjestelmien vakavat häiriöt – kyberuhkat

kuljetuslogistiikan vakavat häiriöt

yhdyskuntatekniikan vakavat häiriöt

elintarvikehuollon vakavat häiriöt

rahoitus- ja maksujärjestelmän vakavat häiriöt

julkisen talouden rahoituksen saatavuuden häiriintyminen

väestön terveyden ja hyvinvoinnin vakavat häiriöt

suuronnettomuudet, luonnon ääri-ilmiöt ja ympäristöuhkat

terrorismi ja muu yhteiskuntajärjestystä vaarantava rikollisuus

rajaturvallisuuden vakavat häiriöt

poliittinen, taloudellinen ja sotilaallinen painostus

sotilaallisen voiman käyttö.

 

Turun kaupungin toimialat laativat omaa toimintaansa koskevat valmiussuunnitelmat. Vastuu valmiussuunnitelmien laatimisesta on toimialajohtajilla. Valmiussuunnitelmien päivitystarve tulee tarkastaa ja mahdolliset päivitykset tulee tehdä vuosittain. Erityisesti valmiussuunnitelmassa mainittujen yhteystietojen ajantasaisuuteen pitää kiinnittää huomiota. Toimialojen tulee huolehtia siitä, että riskienhallintapäälliköllä on aina saatavilla päivitetty versio valmiussuunnitelmasta. Valmiussuunnitelmista tulee olla myös paperinen versio. Toimialojen valmiussuunnitelmat tallennetaan Dotkuun.

 

Turun kaupungin valmiussuunnitelman yleisen osan päivittämisestä vastaa riskienhallintapäällikkö.

 

Kriisiviestintäohjeen päivittämisestä vastaa viestintäjohtaja.

TIETOTURVA

 

Tavoitteet

 

Tietoturvatyön tavoitteena on, että oikea tieto (eheys) on oikeassa paikassa (luottamuksellisuus) oikeaan aikaan (saatavuus):

 

Luottamuksellisuus tarkoittaa, että tieto on vain niiden käytettävissä, jotka ovat siihen oikeutettuja. Oikeudet pohjautuvat julkisuuslakiin ja sitä täydentäviin säädöksiin sekä annettuihin työtehtäviin. Salassa pidettävät tiedot luokitellaan luottamuksellisuuden perusteella eri suojaustasoille, joiden mukaan tiedoille määritellään erilaiset käsittelytavat (luonti, lukeminen, muokkaus, siirto, säilytys, hävitys). Käytännössä luottamuksellisuus näkyy mm. tietojärjestelmien käyttövaltuuksina.

Saatavuudella tarkoitetaan, että tiedot ovat käytettävissä määritellyssä vasteajassa, joka pohjautuu toiminnallisiin vaatimuksiin. Käytännössä saatavuus näkyy palvelutasovaatimuksina ja -sopimuksina.

Eheydellä tarkoitetaan tietojen oikeellisuutta ja ajantasaisuutta. Eheystason tulee olla riittävä toiminnan suorittamiseksi.

 

Kaupungin tavoitteena on saavuttaa kaikessa toiminnassa vähintään valtionhallintoa koskevassa tietoturva-asetuksessa määritelty tietoturvallisuuden perustaso, joka on edellytyksenä alimmalle suojaustasolle luokitellun salassa pidettävän tiedon käsittelylle.

 

Tietohallintolaki edellyttää kaupungilta kokonaisarkkitehtuurikuvausta, jossa määritellään mm. tietoturvatarpeet ja -periaatteet. Tietoturvatyön yhtenä tavoitteena on tämän kuvauksen ylläpito ja noudattaminen tietoturvallisuuden osalta.

 

Toimialat ja laitokset tarkentavat näitä tavoitteita oman toimintansa ja hallinnonalaa koskevan erityslainsäädännön perusteella.

 

Organisointi

 

Kaupungin tietoturvavastaavana toimii kaupungin riskienhallintapäällikkö. Hän huolehtii tietoturvallisuuden hallintajärjestelmään liittyvän dokumentaation ajantasaisuudesta, riskienhallinnan ja jatkuvuussuunnittelun koordinoinnista sekä johdon katselmusten järjestämisestä. Hänen apunaan toimii riskienhallinnan koordinaatioryhmä, joka toimii kaupungin tietoturvaryhmänä. Tietoturvavastaava puuttuu havaitsemiinsa epäkohtiin välittömästi tai tuo ne tietoturvaryhmän käsiteltäväksi tapauksesta riippuen

 

Kaupungissa on lisäksi erikseen nimettyjä tietosuojavastaavia siltä osin kuin lainsäädäntö niitä edellyttää. Heidän tehtävänään on yksityisyyden suojasta huolehtiminen.

 

Toimialojen ja laitosten toimintaan liittyvästä tietoturvallisuudesta vastaa niiden johtaja apunaan johtoryhmä. Johtaja nimeää tarvittaessa erillisen tietoturvavastaavan ja tietoturvaryhmän. Toimialat ja laitokset käsittelevät johtoryhmissään vähintään kerran vuodessa toimintojensa, rekisteriensä ja tilojensa tietoturvallisuuteen liittyviä asioita sekä henkilökunnan tietoturvaosaamista. Johtoryhmä laatii tästä pöytäkirjan ja lähettää sen tiedoksi kaupungin tietoturvavastaavalle.

 

Toiminnan kannalta tärkeille usean käyttäjän käyttämille sovelluksille nimetään sovelluksen omistaja, joka

pitää yllä luetteloa toiminnoista, joissa sovellusta käytetään, sekä niistä vastaavista tahoista

tekee kriittisten toimintojen osalta niistä vastaavien kanssa vaikutusanalyysin koskien ennakoimattomia käyttökatkoksia ja asettaa vaikutusanalyysin ja normaalin käytön pohjalta vaatimukset sovelluksen saatavuudelle

asettaa yhteistyössä toiminnoista vastaavien kanssa vaatimukset sovelluksella käsiteltävien tietojen eheydelle

vastaa sovelluksen tallentamien tietojen osalta henkilötietolaissa ja julkisuuslaissa mainituista rekisterinpitäjän velvollisuuksista, mm. rekisteriselosteen laatimisen osalta

asettaa vaatimukset sovelluksen käyttövaltuushallinnalle

huolehtii sovellukseen liittyvästä käyttäjäkoulutuksesta ja käyttäjien tukipalvelusta yhteistyössä toiminnoista vastaavien kanssa.

 

Sovelluksen omistaja vastaa tässä yhteydessä sovelluksen tietoturvasta. Sovelluksella voi olla myös erillinen haltija, joka vastaa sovellukseen liittyvistä taloudellisista seikoista, sovelluksen kehittämislinjoista ja ylipäätään sovelluksen olemassaolosta.

Jokaisella IT-palvelulla on IT-palveluvastaava, joka

 

laatii tuotetun palvelun palvelukuvauksen ja huolehtii sen toteuttamisesta

dokumentoi sovelluksen omistajan sovellukselle asettaman tietoturvatason yleisesti tietoturva-asetuksen mukaan ja/tai erillisinä vaatimuksina saatavuudelle, eheydelle ja luottamuksellisuudelle

vastaa varmistuksista ja toipumissuunnittelusta

vastaa käyttöoikeuslisenssien riittävyydestä.

 

Kaupunginjohtaja, toimialajohtaja tai laitoksen johtaja nimeävät toimivaltansa mukaisesti sovellusten omistajat. Kaupungin IT-palvelut -yksikön tuottamien palveluiden osalta IT-palveluvastaavat nimeää IT-palvelujohtaja. Ulkopuolisten IT-palveluiden osalta vastuuhenkilöt nimetään sopimusteitse.

 

Pääkäyttäjä on operatiivinen henkilö, joka tekee sovelluksen omistajan määrittelemiä tehtäviä, kuten käyttäjätuki, käyttövaltuuksien jakaminen ja raporttien laatiminen. Sovelluksen omistaja ja pääkäyttäjä voi olla sama henkilö.

 

Esimies vastaa uusien työntekijöiden ja sijaisten perehdytyksestä yksikössä noudatettaviin tietosuoja- ja tietoturvaohjeisiin ja valvoo, että niitä noudatetaan. Esimies käsittelee vähäpätöiset ja tahattomat tietoturvarikkomukset. Kaikki merkittävät, törkeät ja tuottamukselliset tietoturva- ja tietosuojarikkomukset saatetaan johdon tietoon. Esimies vastaa yksikkönsä avainhenkilöriskeistä esimerkiksi osoittamalla tarvittavat varahenkilöt.

 

Henkilöstö vastaa omalta osaltaan siitä, että tietoturvallisuus toteutuu. Henkilöstö raportoi viipymättä havaitsemistaan niin tahallisista kuin tahattomistakin rikkomuksista ja tietoturvallisuuden puutteista esimiehelleen ellei muusta menettelytavasta ole sovittu. Rikkomusten osalta työtehtävissä menetellään, kuten kaupungin säännöstössä on kuvattu.

 

Kaupungin ulkopuoliset työntekijät velvoitetaan sopimuksin noudattamaan kaupungin tietoturva- ja tietosuojaohjeita. Ulkopuolisen työn tilaajan vastuulla on valvoa niiden noudattamista.

Tietoturvan riskienhallinta

 

Tietoturvallisuuden hallinta on pohjimmiltaan riskienhallintaa, jossa käsitellään tietoturvariskejä. Riskienhallintaa on kuvattu tässä oppaassa omana pääkappaleena. Tietoturvariskit käsitellään mainitun kuvauksen mukaisesti. Myös toimitilaturvallisuus ja kulunvalvonta ovat keskeisiä tekijöitä tietoturvallisuuden kannalta. Työtiloissa saatetaan käsitellä ja säilyttää luottamuksellisia dokumentteja. Konesalit ja arkistot sisältävät suuret määrät kaupungin tieto-omaisuutta. Kaupungin IT-palvelut-yksikön tuottamien palveluiden riskienhallintaa käsitellään myös erikseen strategia- ja kehittämisverkoston ohjausryhmässä pohjautuen sovellusten omistajien vaatimusten pohjalta tunnistettuihin riskeihin.

 

Tieto-omaisuuden säilyttämisessä on huomioitava myös kaupungin arkistotoimen säännökset.

 

Koulutus

 

Tietoturvallisuus huomioidaan henkilöstön koulutuksessa ja työhönotossa. Uusien työntekijöiden perehdyttämiseen kuuluu kaupungin tietosuoja- ja tietoturvaohjeiden läpikäynti. Työntekijöiden käytössä on sähköinen tietoturvallisuuden oppimisympäristö. Tavoitteena on, että jokainen työntekijä suorittaa oppimisympäristöön sisältyvän testin aluksi perehdytyksen yhteydessä ja myöhemmin säännöllisesti taitojensa ylläpitämiseksi ja arvioimiseksi. Tietoturvakoulutusta annetaan lisäksi muun koulutuksen yhteydessä tai tarvittaessa erikseen. Vastuu koulutuksen organisoimisesta on toimialan tai laitoksen johtajalla.

 

Mittaaminen ja arviointi

 

Tietoturvallisuutta mitataan vakavien tietoturvapoikkeamien määrillä, tietoturvaosaamisen kehityksellä, haittaohjelmien aiheuttamalla työmäärällä, haavoittuvuustarkastusten tuloksilla ja palveluiden käytettävyydellä. Kaupungin tietoturvavastaava seuraa mittareiden kehitystä IT-palvelut-yksikön tuottamien raporttien perusteella.

 

Tietoturvallisuutta ja sen hallintaa arvioidaan säännönmukaisesti. Kaupungin sisäinen tarkastus tekee tähän liittyviä tarkastuksia. Tarvittaessa käytetään ulkopuolista konsultointia. Tulokset raportoidaan kaupungin tietoturvavastaavalle.

 

Raportointi kaupungin johtoryhmälle

 

Kaupungin tietoturvavastaava raportoi kaupungin johtoryhmälle joka toinen vuosi kaupungin tietoturvatilanteesta mm. seuraavat asiat:

 

aiempien johdon katselmusten seurantatoimenpiteet

merkittävät tietoturvapoikkeamat ja toteutuneet riskit

tietoturvallisuuden mittauksen ja arvioinnin tulokset

muu saatu palaute

tietoturvallisuutta koskevat muutokset lainsäädännössä ja kaupungin säännöstössä

parantamismahdollisuudet.

Tietoturvariskeistä raportoidaan johdolle myös osana yleistä riskienhallinnan raportointia.

 

Raportin perusteella johto päättää tarvittavista toimenpiteistä tietoturvallisuuden hallintajärjestelmän, arvioinnin ja hallintakeinojen parantamiseksi sekä mahdollisista muutoksista resurssitarpeissa.

 

 


Liite 1 Käsitteet

 

 

Häiriötila tai -tilanneTurvallisuustila, jossa on häiriöitä ja jonka hallitseminen voi vaatia viranomaisilta erityisiä toimia, mutta joka ei ole niin vakava kuin poikkeusolot.

 

PelastussuunnitelmaOnnettomuuksien ehkäisyksi ja onnettomuustilanteiden varalta tiettyä rakennusta tai muuta kohdetta varten laadittava toimintasuunnitelma.

 

PoikkeusolotTurvallisuustila, jossa on paljon tai vakavia häiriöitä ja jonka hallitseminen ei ole mahdollista viranomaisten säännönmukaisin toimivaltuuksin ja voimavaroin.

 

RiskienarviointiTunnistetaan riskejä ja niiden syitä, arvioidaan riskien suuruutta ja nykyisiä hallintakeinoja. Arvioinnin perusteella valitaan merkittävimmät riskit ja keskeisimmät hallintakeinojen kehittämiskohteet.

 

RiskienhallintaTunnistetaan, arvioidaan ja hallitaan tavoitteiden saavuttamista uhkaavia tekijöitä.

 

Sisäinen tarkastusAuttaa organisaatiota sen riskienhallinta-, valvonta-, johtamis- ja hallintaprosessien tuloksellisuuden arvioinnissa ja kehittämisessä. Arvioi sisäisen valvontajärjestelmän ja riskienhallinnan tarkoituksenmukaisuutta ja tuloksellisuutta.

 

Sisäinen valvontaOsa kunnan johtamisjärjestelmää sekä kunnan johdon ja hallinnon työväline, jonka avulla arvioidaan asetettujen tavoitteiden toteutumista, toimintaprosesseja ja riskejä. Valvonnan tarkoituksen on edistää organisaation tehokasta johtamista, riskien hallintaa, toiminnan kehittämistä ja tuloksellisuuden arviointia.

 

TurvallisuussuunnitelmaHallituksen sisäisen turvallisuuden ohjelman toimeenpanoa paikallisella tasolla. Keskittyy arjen turvallisuuden parantamiseen.

 

ValmiussuunnitelmaSuunnitelma, jossa selvitetään erityistilanteiden, häiriötilojen ja poikkeusolojen vaikutukset organisaation tehtäviin ja toimintaan, toiminnan jatkuvuuden turvaaminen ja toimenpiteet normaalioloihin palaamiseksi.

 

Kunnan valmiussuunnitelma jakautuu yleiseen osaan ja toimialakohtaisiin

valmiussuunnitelmiin.

 

VarautuminenToimintaa, jolla varmistetaan tehtävien mahdollisimman häiriötön hoitaminen kaikissa turvallisuustiloissa ja erityistilanteissa. Varautumistoimenpiteitä ovat muun muassa valmiussuunnittelu, etukäteisvalmistelut, koulutus sekä valmiusharjoitukset.

 


Liite 2 Riskienhallinnan kypsyysmallin yleiskuva

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Liite 3 Kysymyksiä tilivelvollisille sisäisen valvonnan järjestämiseksi ja sen toimivuuden testaamiseksi

 

Toiminta – l. valvontaympäristö:

 

Kuinka hyvin ymmärrän kaupunkikonsernin tehtävät ja strategiat?

Hallitsenko yksikköni toimintaan vaikuttavat strategiat jav siitä johdetut tavoitteet?

Onko yksikköni strategia ja siitä johdetut yksityiskohtaiset tavoitteet selkeitä ja perustuvatko tavoitteet toimintaympäristön analyysiin?

Miten ymmärrän yksikköni toiminnallisten tavoitteiden nivoutumisen kaupunkikonsernin muihin tavoitteisiin?

Onko tavoitteiden asettelu selkeää organisaatiotasosta riippumatta?

Kuinka kaupungin strategiaa, arvoja ja toimintaperiaatteita toteutetaan hallintokunta- ja yksikkötasolla? Vastaavatko ne toisiaan?

Ovatko yksikkömme tai tehtäväalueemme valtuudet ja vastuut selkeästi määritellyt ja ovatko ne ajantasaiset?

Onko yksikössäni päätöksiä tekevillä henkilöillä päätöksentekoon tarvittavat tiedot, taidot ja valtuudet?

Miten huolehdin omalta osaltani yksikköni työntekijöiden osaamisen ylläpitämisestä?

Onko toimintayksikössäni tai tehtäväalueellani toimiva laatujärjestelmä tai vastaava?

Miten sisäinen tiedonkulku on järjestetty?

Onko johto sitoutunut hyvään hallintotapaan ja noudattamaan kaupungin sisäistä säännöstöä?

Kuinka kaupungin strategia, arvot ja toimintaperiaatteet on viestitetty henkilöstölle ja sidosryhmille?

Tunteeko henkilöstö keskeiset ohjeet, säännöt ja menettelytavat ja kuinka reagoidaan niiden noudattamatta jättämiseen?

Onko noudatettava ohjeistus kaikilta osiltaan ajanmukainen?

Ovatko käytettävät tietojärjestelmät luotettavia?

Ovatko henkilöstön rekrytoinnin, osaamisen arvioinnin ja kehittämisen periaatteet ajan tasalla?

 

Riskienhallinta:

 

Tehdäänkö riskienarviointi kaupungin riskienhallintaohjeiden mukaisesti?

Ovatko riskienhallinnan tehtävät ja roolit selvät?

Olenko arvioinut tehtäväalueeni riskit ja niihin liittyvät tekijät?

Onko minulla tietoa tai saanko tietoa, jonka avulla kykenen tunnistamaan ja arvioimaan riskit?

Ymmärränkö yksikköni riskit ja olemmeko kartoittaneet ulottumattomiin jäävät riskitekijät?

Arvioinko säännöllisesti riskejä?

Onko yksikössä laadittu kirjalliset tehtävä- tai menetelmäkuvaukset?

Sisältävätkö tehtäväkuvaukset toimintaa uhkaavat riskit ja niiden aiheuttajat?

Miten olen huolehtinut, että henkilöstö suoriutuu tehtävistään tuloksellisesti mahdolliset riskit huomioiden?

Perustuuko riskien tunnistaminen toimintaympäristön analyysiin?

Onko riskien arviointi ja tunnistaminen järjestelmällinen osa toiminnan suunnittelua?

Kuinka toimintaprosessit on kuvattu ja arvioidaanko niitä säännöllisesti?

Kuinka riskiarviot dokumentoidaan ja kuinka riskien raportointi on järjestetty?

Kuinka arvioidut riskit suhteutetaan riskinottokykyyn?

Kuinka riskeihin vastataan?

 

Informaatio ja kommunikaatio

 

Ovatko tietojärjestelmät toimivia ja tuottavatko ne olennaiset tiedot johdon tarpeisiin?

Onko tiedonkulku tehokasta ja toimivaa?

Tukeeko työntekijöiden keskinäinen yhteistyö tiedon kulkua ja tehokasta toimintaa?

Saanko ja toimitanko päätöksenteon kannalta tarpeellista ja asianmukaista tietoa?

Miten johto voi hyödyntää laskentatoimen ja seurannan tuottamia tietoja?

Onko työntekijöillä riittävä tieto tehtäviensä hoitamiseen?

Kuinka poikkeamatilanteet hoidetaan?

Kuinka käsitellään toimintaa koskevia seurantatietoja?

Kehitetäänkö toimintaa seurantatietojen pohjalta?

Kuinka kaupungin sidosryhmät ja yksiköiden asiakkaat saavat tietoa kaupungin toiminnasta?

Asiakaspalautteen laatu?

 

Päivittäiset valvontatoimet ja sisäiset kontrollit

 

Ovatko yksikköni vastuut selkeät ja ajantasaiset?

Miten seuraan alaisteni toimintaa ja päätöksentekoa (otto-oikeus /ottovelvollisuus)?

Miten seuraan päätösten toimeenpanoa?

Miten seuraan projektien ja hankkeiden hallinnointia ja etenemistä?

Miten varmistan, että hankinnoissa noudatetaan normeja ja kaupungin omaa ohjeistusta?

Varmistanko, että vastuuhenkilöt tietävät oikeutensa ja velvollisuutensa?

Onko seuranta tehokasta, tuloksellista ja tarkoituksenmukaista?

Onko yksikössä menettelytavat ja toimintoketjut, jotka varmistavat tavoitteiden saavuttamisen?

Miten varmistan, että toimintayksikössäni ei synny vaarallisia työyhdistelmiä?

Onko määritelty, mistä asioista tehdään päätöspöytäkirja tai päätös?

Ovatko tietojärjestelmien käyttöoikeudet ajan tasalla?

Valvotaanko tietojärjestelmien käyttöä säännöllisesti ja systemaattisesti?

Seurataanko tietojärjestelmiin kirjattavien tietojen laatua?

 

Sisäisen valvonnan ja riskienhallinnan toimivuuden seuranta:

 

Vastaavatko tietojärjestelmien raportointimahdollisuudet raportointitarpeitani?

Mitä kehitettävää on toimintayksikköni raportointirutiineissa?

Kehitetäänkö valvontajärjestelmiä valvonnan kautta saatavan tiedon avulla?

Kuinka toiminnalliset raportit käsitellään?

Kuinka toimintaprosessien toimivuutta arvioidaan?

Kuinka sisäisen valvonnan tilaa ja sen eri osa-alueita käsitellään?

Onko itsearviointia kehitetty?

Kuinka käsitellään sisäisen tarkastuksen ja ulkoisen tarkastuksen raportit?

Arvioinko säännöllisesti valvontatoimia ja niiden tehokkuutta?