Riskienhallinta ja sisäinen valvonta
Turku
24.4.2015
Sisällys
1 VASTUU SISÄISEN VALVONNAN JA RISKIENHALLINNAN JÄRJESTÄMISESTÄ 2
2.1 Kaupungin sisäinen valvonta 2
2.1.1 Sisäisen valvonnan tavoitteet 3
2.1.3 Operatiivisen toiminnan valvonta 5
2.1.4 Sisäisen valvonnan toimivuuden arviointi 6
2.1.5 Sisäisen valvonnan kehittäminen 6
2.1.6 Raportointi ja tiedonvälitys 7
2.2.1 Konserniyhteisöjen sisäinen valvonta 8
2.2.2 Konserniyhteisöjen riskienhallinta 8
2.2.3 Sisäinen tarkastus konsernin sisäisessä valvonnassa ja riskienhallinnassa 8
3.1 Sisäisen tarkastuksen organisaatioasema ja tehtävä 9
3.2 Toiminnan ja tarkastusten suunnittelu 9
3.3 Tarkastusten raportointi 10
4.1 Riskienhallinnan määritelmä 10
4.2 Riskienhallinnan koordinaatioryhmä 10
4.3 Riskienhallinnan tason määrittely 10
4.4 Riskienhallinnan tavoitteet ja riskien luokittelu 11
4.5 Riskienhallinnan työkalut ja riskien arviointi 11
4.5.1 Riskien tunnistaminen ja suuruuden arviointi 12
4.5.2 Merkittävimpien riskien valitseminen 12
4.5.3 Riskien hallinnan keinojen arvioiminen 13
4.6 Vastuu riskien arvioinnin suorittamisesta 14
4.7 Riskien ja riskienhallinnan raportointi 14
6.3 Tietoturvan riskienhallinta 18
6.5 Mittaaminen ja arviointi 18
6.6 Raportointi kaupungin johtoryhmälle 18
Liite 2 Riskienhallinnan kypsyysmallin yleiskuva 21
JOHDANTO
Tässä ohjeessa määritellään Turun kaupunkikonsernin riskienhallinnan ja sisäisen valvonnan periaatteet ja toteuttamistavat. Ohje koskee kaikkia Turun kaupungin toimialoja ja tytäryhteisöjä.
Ohjeen tarkoituksen on varmistaa riskienhallinnan ja sisäisen valvonnan asianmukainen järjestäminen ja yhdenmukaistaa riskienhallinnan toteuttamista, raportointia ja valvontaa. Tämä riskienhallintaohje korvaa aiemman riskienhallintaoppaan (Kp/10 4.1.2010 § 1).
Turun kaupungilla on ISO 27001 -standardiin perustuva tietoturvallisuuden hallintajärjestelmä. Tässä ohjeessa on esitetty siihen liittyvä tietoturvallisuuden hallintapolitiikka, joka korvaa aiemman (kh. 23.5.2011 § 256). Hallintajärjestelmä kattaa koko kaupungin hallinnollisen organisaation. Politiikkaa noudatetaan kaikessa viranomais- ja palvelutoiminnassa ja se koskee kaikkia kaupungin palveluksessa olevia henkilöitä sekä luottamushenkilöitä
VASTUU SISÄISEN VALVONNAN JA RISKIENHALLINNAN JÄRJESTÄMISESTÄ
Kaupunginvaltuusto päättää kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteista. Ne edellyttävät, että konsernin kaikissa toiminnoissa ja kaikilla organisaation tasoilla on riittävä sisäinen valvonta ja riskienhallinta.
Kaupunginhallitus, kaupunginjohtaja ja muu konsernijohto vastaavat siitä, että Turun kaupungilla on hyvän johtamis- ja hallintotavan mukainen johtamisjärjestelmä. Sisäiseen valvontaan ja riskienhallintaan liittyvät menettelytavat ja organisaation eri toimijoiden toimivalta, velvoitteet ja vastuut
on tällöin hyväksytty ja jalkautettu.
Kukin lautakunta ja johtokunta vastaavat oman vastuualueensa osalta sisäisen valvonnan ja riskienhallinnan menettelytapojen hyväksymisestä ja niiden toimeenpanon valvonnasta.
Toimialueiden johtavien viranhaltijoiden, erityisesti tilivelvollisten, velvollisuus on toimeenpanna sisäinen valvonta ja riskienhallinta vastuualueillaan.
Kaupunkikonsernin tytäryhteisöissä kunkin yhteisön hallitus vastaa siitä, että sisäinen valvonta ja riskienhallinta on asianmukaisesti järjestetty. Lisäksi hallitus päättää riskinhallinnan periaatteet ja keskeiset ohjeet sekä sisäisen valvonnan järjestämisen lainsäädännön ja konserniohjeiden mukaisesti. Toimitusjohtaja vastaa siitä, että yhtiön riskinhallinta ja sisäinen valvonta on järjestetty luotettavalla tavalla annettujen ohjeiden mukaisesti.
Tilivelvollisia toimijoita ovat tilivelvolliset toimielimet (kunnanhallitus, lautakunnat, johtokunnat ja toimikunnat), joiden jäsenet ovat luottamushenkilöitä sekä tilivelvolliset viranhaltijat.
Kaupunginhallitus vastaa kaupungin hallinnosta ja taloudenhoidosta sekä valtuuston päätösten valmistelusta, täytäntöönpanosta ja laillisuuden valvonnasta. Kaupunginhallitus vastaa kaupunkikonsernin sisäisen valvonnan asianmukaisesta järjestämisestä ja antaa sitä koskevat yleisohjeet.
Kaupungin konsernijohtoon kuuluvat kaupunginhallitus, kaupunginhallituksen konsernijaosto, kaupunginjohtaja ja apulaiskaupunginjohtaja. Konsernijohto vastaa konserniohjauksesta ja -valvonnasta.
Kaupunginhallitus raportoi valtuustolle tilinpäätöksen toimintakertomuksessa kaupungin ja kaupunkikonsernin sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista ja kehittämistapeista sekä merkittävimmistä riskeistä.
Hallintosäännön mukaan kaupungin toiminnot on järjestettävä ja johtamistehtävät hoidettava siten, että organisaation kaikilla tasoilla ja kaikissa toiminnoissa on riittävä sisäinen valvonta.
Sisäisen valvonnan ohjaamisesta vastaa keskitetysti kaupunginhallitus. Johtamansa toiminnan sisäisestä valvonnasta vastaa kunkin toimielimen tehtäväalueen johtava viranhaltija.
Sisäisen valvonnan avulla pyritään varmistamaan
•toiminnan tuloksellisuus ja tehokkuus
•tiedon oikeellisuus ja riittävyys
•resurssien tehokas käyttö
•omaisuuden turva sekä
•lakien, sääntöjen ja ohjeiden noudattaminen.
Sisäisen valvonnan merkittävimmät kohdealueet voidaan määritellä seuraavasti:
•säännösten, määräysten ja päätösten noudattaminen
•tavoitteiden toteutuminen, varojen käytön valvonta, tuloksellisuuden arvioinnin pätevyys ja luotettavuus
•riskienhallinnan järjestäminen
•omaisuuden hankinnan, luovutuksen ja hoidon valvonta
•sopimustoiminta
Tilivelvollisten valvontavastuu
Kuntalain (1995/365) tarkoittamia tilivelvollisia ovat esimerkiksi
•kaupunginhallituksen jäsenet
•lauta- ja johtokuntien sekä muiden kunnan toimielinten jäsenet
•kaupunginjohtaja ja apulaiskaupunginjohtaja sekä
•toimialojen ja liikelaitosten päälliköt.
Tilivelvollisella on vastuu sisäisen valvonnan järjestämisestä ja sen ylläpidosta. Tilivelvollisuusaseman puuttumisesta huolimatta tytäryhteisön johto, virastojen ja liikelaitosten päälliköt ja muut esimiehet ovat vastuussa alaisensa toiminnan valvonnasta.
Tytäryhteisön hallituksen valvontavastuu
Tytäryhteisön hallitus vastaa yhteisön hallinnon ja valvonnan järjestämisestä. Hallituksen tehtävät ja vastuut perustuvat yhteisöä koskevaan lainsäädäntöön, yhtiöjärjestykseen sekä muihin mahdollisiin sääntöihin ja sopimuksiin. Hallitus ohjaa, tukee ja valvoo yhteisön sisäisen valvonnan toteuttamista.
Hallituksen tulee käsitellä ja hyväksyä tilinpäätöksen ja toimintakertomuksen yhteydessä selonteko sisäisen valvonnan järjestämisestä sekä siinä havaituista puutteista ja kehittämistarpeista.
Johdon valvontavastuu
Kaupunginjohtaja huolehtii kaupunkikonsernin tasolla sisäisen valvonnan järjestämisestä.
Toimialan ja liikelaitoksen johtaja sekä tytäryhteisön toimitusjohtaja huolehtii viraston, liikelaitoksen ja tytäryhteisön sisäisen valvonnan järjestämisestä kaupunginhallituksen ohjeiden mukaisesti.
Johto vastaa toiminnasta ja siitä, että prosesseille, hankkeille, projekteille ja toiminnoille on määritelty vastuutahot sekä tarvittavat ohjaus- ja seurantajärjestelmät. Virastojen, liikelaitoksien ja tytäryhteisöjen johto hyväksyy sisäisen valvonnan periaatteet.
Johto viestii henkilöstölle sisäisen valvonnan tavoitteista. Tiedonkululla varmistetaan, että henkilöstö tuntee tehtäviensä edellyttämät sisäisen valvonnan tavoitteet ja keinot.
Virastot, liikelaitokset ja tytäryhteisöt raportoivat sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista sekä kehittämistapeista saamiensa ohjeiden mukaisesti.
Esimiehen valvontavastuu
Esimiehet vastaavat johtamiensa yksiköiden sisäisestä valvonnasta. Esimies vastaa siitä, että hänen yksikkönsä tavoitteet on johdettu kaupungin ylemmän tason tavoitteita. Samoin hän vastaa siitä, että hänen alaisuudessaan olevien yksiköiden tavoitteet on johdettu koko yksikön tavoitteista. Esimies vastaa tiedonkulusta ja raportoinnista sekä ohjaa ja valvoo alaistensa toimintaa. Esimiehen on ryhdyttävä korjaaviin toimenpiteisiin, mikäli toiminta on tehotonta, epätarkoituksenmukaista tai lain tai kaupungin sisäisten sääntöjen, ohjeiden tai päätösten vastaista.
Esimiehellä on vastuu yksikkönsä toiminnasta ja työvälineistä sekä niiden valvonnasta ja kehittämisestä. Toiminnan päivittäinen valvonta on olennainen osa toimenkuvaa.
Esimiehet vastaavat johtamiensa yksiköiden osalta siitä, että henkilöstön toimivalta ja vastuut on määritelty ja henkilöstöllä on ajanmukaiset tehtäväkuvaukset. Esimies käy säännöllisesti kehityskeskustelut, joissa toiminnallisten tavoitteiden lisäksi käydään läpi alaisen toimenkuva sekä työtehtävien edellyttämä osaaminen.
Sisäistä valvontaa tukevat tehtävät
Jokainen työntekijä on omalta osaltaan vastuussa omien tehtäviensä edellyttämästä riittävästä ja toimivasta valvonnasta. Mikäli valvonnassa on puutteita tai selkeitä kehittämistarpeita, on hän velvollinen tiedottamaan tästä esimiehelleen.
Talous- ja strategiaryhmä tukee kaupungin johtoa sekä toimialajohtajia taloudenpitoon ja omaisuuden valvontaan liittyvissä tehtävissä kuten talouden suunnittelussa, seurannassa ja raportoinnissa sekä omaisuuden tehokkaan ja taloudellisen käytön suunnittelussa ja seurannassa.
Työsuojeluorganisaation henkilöstö huolehtii osaltaan työturvallisuutta eli henkilöstön terveyttä ja turvallisuutta uhkaavien vaarojen tunnistamisen ja arvioinnin toteutumisesta.
Sisäinen tarkastus tarkastaa ja arvioi riskienhallintaa sekä sisäistä valvontaa ja avustaa kaupunginjohtoa tuottamalla tietoa sisäisen valvonnan, riskienhallinnan sekä hyvän johtamis- ja hallintotavan tilasta ja kehittämistarpeista toimialoilla ja liikelaitoksissa.
Sisäisen valvonnan kytkentä riskienhallintaan
Sisäinen valvonta sisältyy kaikkeen toimintaan. Siihen sisältyy myös riskien arviointi, priorisointi ja niiden hallintakeinojen määrittely.
Järjestelmällisellä riskienhallinnalla pyritään kartoittamaan uusia ja tunnistamattomia riskejä sekä arvioidaan tiedossa olevien riskien merkitys organisaation tavoitteille ja toiminnalle. Tarvittaessa sisäisen valvonnan painopistettä siirretään riskiarvioinnin perusteella merkittäviksi arvioitujen riskien seurantaan ja hallintaan.
Operatiivisen toiminnan valvonta
Sisäisen valvonnan järjestämisen riittävyyden ja asianmukaisuuden ratkaisee valvottavan toiminnan luonne, sisältö ja taloudellinen merkitys. Sisäinen valvonta koostuu toimintatavoista, jotka sisällytetään operatiiviseen toimintaan erilaisina seurantoina, hyväksymisinä tai muuna vastaavina varmistuksina. Valvontakeinot on suhteutettava valvottavaan toimintaan siten, että ne ovat riittävät, taloudelliset ja toimivat.
Asianmukainen sisäinen valvonta edellyttää etukäteen päätettyä organisaatiorakennetta, toimivaltuuksia sekä työtehtävien eriyttämistä. Näiden ohessa sisäisen valvonnan keinovalikoimaan kuuluvat esimerkiksi
•kuukausiseuranta ja – raportointi johdolle
•poikkeamaraportointi johdolle
•talousarvion toteutumisen seuranta
•työnjako ja vastuut
•erilaiset täsmäytystoimenpiteet.
Toimialojen, liikelaitosten ja tytäryhteisöjen johto ja esimiehet vastaavat sisäisen toimeenpanosta omissa yksiköissään. Johto voi tarvittaessa laatia toimialojen, liikelaitosten ja tytäryhteisöjen omaan toimintaan sovelletun ohjeistusta sisäisestä valvonnasta. Johto vastaa myös siitä, että henkilöstö on tietoinen tarvittavissa määrin sisäisen valvonnan menettelytavoista.
Yksittäisten toimintaprosessien valvonta
Toimintaprosesseihin sisältyvät valvontatoimenpiteet tai kontrollit voivat olla ehkäiseviä, havaitsevia tai korjaavia. Esimerkkejä yllä mainituista kontrollikeinoista ovat muun muassa seuraavat:
•työtehtävien eriyttäminen
•toimintaketjujen kontrollien määrittely ja kontrollien toimivuuden varmistaminen
•päätöksenteon oikeellisuuden valvonta
•kilpailutettujen hankintapaikkojen käytön varmistaminen
•toimituksen täsmäytys lähetyslistaan
•laskun täsmäytys lähetyslistaan
•laskun asiatarkastus hankintavaltuudet huomioiden
•myyntilaskutus ja tulojen kertymisen valvonta
•käteistulojen valvonta
•omaisuuden turvan edellyttämät fyysiset kontrollit (lukot, hälytysjärjestelmät, valvontakamerat jne.)
•tulojen ja menojen täsmäytys tiliotteeseen
•irtaimiston ja käyttöomaisuuden inventoinnit
•vaihto-omaisuuden inventoinnit
•palkanmaksun oikeellisuuden valvonta
•salasanakäytäntö
•it-lokien ja sovelluksien virheilmoituksien seuranta
•tieto-omaisuuden varmuuskopiointi
Kontrollit voidaan toteuttaa joko manuaalisesti tai sisällyttämällä ne it-järjestelmiin tai näiden yhdistelmillä.
Työtehtävien eriyttämisen tavoitteena on virheiden ja väärinkäytösten estäminen vastuuttamalla työtehtävien eri vaiheet eri henkilöille. Mikäli tehtäviä ei voida eriyttää, esimerkiksi henkilökunnan vähäisyydestä johtuen tai jostain muusta syystä, on toiminnasta vastaavan esimiehen tehostettava jälkikäteistä eli havaitsevaa valvontaa. Keinoina voivat tällöin olla esimerkiksi erilaiset täsmäytykset ja hyväksynnät tai it-lokien läpikäynti sen varmistamiseksi, että tietojärjestelmiä ei ole käytetty ilman asiaankuuluvaa yhteyttä työtehtäviin.
Sisäisen valvonnan toimivuuden arviointi
Toimialat, liikelaitokset ja tytäryhteisöt seuraavat sisäisen valvontajärjestelmänsä toimivuutta ja kehittävät sitä omien tarpeiden mukaan kaupungin ylimmän johdon ohjeet huomioiden. Sisäisen valvonnan toimeenpanosta raportoidaan erikseen annettujen ohjeiden mukaisesti.
Sisäisen valvonnan kehittäminen
Sisäistä valvontaa kehitetään kaupunkikonsernin kaikilla tasoilla. Kaupunkikonsernin tasolla tapahtuvan kehittämisen lisäksi hyödynnetään kunkin toimialan, liikelaitoksen ja tytäryhteisön tekemiä sisäisen valvonnan arviointeja ja kehittämistoimia.
Yksiköiden itsearvioinnit
Seurannan ja valvonnan tuottamien tietojen avulla johto voi reagoida muutoksiin toimintatavoissa ja – ympäristössä ja varmistaa siten valvonnan asianmukaisuuden organisaatio- tms. muutoksista huolimatta. Muutosten luonne ja laajuus sekä mahdollisesti entuudestaan tiedossa olevat heikkoudet sisäisessä valvonnassa tulee huomioida yksiköiden omissa kehittämistoimenpiteissä.
Toimialat, liikelaitokset ja tytäryhteisöt kokoavat vuosittain omaan sisäisen valvonnan ja riskienhallinnan selontekoonsa arvionsa yksikkönsä sisäisen valvonnan ja riskienhallinnan järjestämisestä, toimeenpanosta, havaituista puutteista sekä kehittämissuunnitelmista. Selonteko laaditaan jonkun yleisesti käytössä olevan viitekehyksen avulla (esim. COSO eri versioineen, CAF tms.) tai sitä soveltaen. Arvioinnin on perustuttava todennettavissa oleviin tosiseikkoihin ja siihen on sisällytettävä mm. yksikön organisaatiorakenteen ja johtamisen, riskienhallinnan, operatiivisen valvonnan sekä tiedonkulun nykytila ja kehittämistarpeet. Arvioinnissa voi hyödyntää sisäisen tarkastuksen vuosittain toimittamaa COSO-pohjaista kyselyä sekä Word-muotoista selonteon asiakirjapohjaa.
Lauta- ja johtokuntien tulee käsitellä ja hyväksyä toimialojen ja liikelaitosten selonteot sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista sekä sen kehittämistarpeista
Sisäisen tarkastuksen arvioinnit
Sisäinen tarkastus avustaa kaupungin johtoa sisäisen valvonnan toimeenpanon, toimivuuden, tehokkuuden ja mahdollisten kehittämistarpeiden arvioinnissa. Sisäinen tarkastus tarkastaa kaupunkikonsernin yksiköiden toimintaa sekä ulkoistettuja toimintoja ja palveluja. Kaupunginjohtajan toimeksiannon perusteella suoritetaan vuosittain vuosisuunnitelman ulkopuolisia erityistarkastuksia. Tarkastuksien puitteissa arvioidaan sisäisen valvonnan ja riskienhallinnan riittävyyttä ja toimivuutta sekä annetaan suosituksia tai edellytetään toimenpiteitä mahdollisesti havaittujen puutteiden korjaamiseksi. Suosituksien ja edellytettävien toimenpiteiden toteuttaminen on yksiköiden johdon vastuulla. Lisäksi sisäinen tarkastus valmistelee toimialojen, liikelaitoksien sekä tytäryhteisöjen itsearviointien pohjalta kaupungin toimintakertomukseen sisältyvän sisäisen valvonnan ja riskienhallinnan selonteon.
Tehokkaan ja toimivan johtamisen ja päätöksenteon tueksi on johdon käytettävissä oltava oikeat ja riittävät tiedot toiminnasta. Valvonnalla johto ja esimiehet varmistavat sen, että yksikön tuottamat tiedot toiminnasta, taloudesta ja hallinnosta ovat oikeita ja riittäviä. Tarvittavat tiedot raportoidaan johdolle ajantasaisesti johdon päättämän aikataulun puitteissa sekä kattavasti ja oikein. Näin parannetaan mahdollisuuksia tehokkaaseen johtamiseen.
Tehokasta ja toimivaa tiedonkulkua tarvitaan myös organisaation ulkoisten sidosryhmien kanssa, sillä näiltä tahoilta voidaan esimerkiksi saada tietoja sisäisen valvonnan puutteista sekä oman toiminnan heikkouksista ja kehittämistarpeista.
Epäillyt tai havaitut väärinkäytökset tai rikkomukset raportoidaan yksikön esimiehelle. Ilmoitus tulee tehdä myös sisäiselle tarkastukselle. Sisäinen tarkastus tutkii asiaa tarvittaessa kaupunginjohtajan harkinnan perusteella
Konserniyhteisöjen sisäinen valvonta
Riskienhallinnan ja sisäisen valvonnan ohje koskee kaikkia Turun kaupungin tytäryhteisöjä. Kaupunkikonserniin kuuluvien tytäryhteisöjen tulee noudattaa Turun kaupungin omistajapoliittisia tavoitteita ja konserniohjeita.
Tytäryhteisön hallitus ohjaa, tukee ja valvoo yhteisön sisäisen valvonnan toteuttamista. Hallitus päättää sisäisen valvonnan järjestämisestä lainsäädännön, konserniohjeiden ja hyvän hallintotavan mukaisesti. Kunkin tytäryhteisön hallitus vastaa siitä, että yhtiön kirjanpidon ja varainhoidon valvonta on asianmukaisesti järjestetty.
Hallituksen tulee arvioida sisäisen valvonnan tehokkuutta ja toimivuutta ja raportoida siitä vuosittain konsernijohdolle ja sisäiselle tarkastukselle. Hallituksen tulee reagoida, mikäli raportointi sisäisestä valvonnasta ei osoita järjestelmän toimeenpanoa ja tuloksellisuutta. Lisäksi hallitus käsittelee ja hyväksyy osana tilinpäätöstä ja toimintakertomusta selonteon sisäisen valvonnan järjestämisestä, havaituista puutteista ja kehittämistarpeista sekä merkittävimmistä riskeistä. Toimitusjohtajan vastuulla puolestaan on huolehtia siitä, että sisäinen valvonta on jalkautettu asianmukaisesti.
Konserniyhteisöjen riskienhallinta
Konserniyhteisöjen tulee raportoida konsernijohdolle konserniyhteisöjen merkittävistä riskeistä sekä riskienhallinnan toimivuudesta ja riittävyydestä.
Strategisia, toiminnallisia ja taloudellisia tavoitteita tukeva riskiraportointi on keskeinen osa riskienhallintaa. Raportoinnin tarkoitus on antaa Turun kaupungin konsernijohdolle ja sisäiselle tarkastukselle konsernin riskinhallinnasta kokonaisvaltainen ja kattava kuva. Tämä luonteeltaan jatkuva raportointi on osa toiminnan kehittämistä, joka sisältyy normaaliin vuosisuunnitteluun sekä operatiiviseen seurantaan sekä toiminnan kehittämiseen.
Riskien hallintaan liittyvän tiedonsaannin ja raportoinnin tulee olla toimivaa myös tilanteissa, joissa muuttunut toimintaympäristö tai havaitut poikkeamat aiheuttavat tarvetta riskienhallinnan uudelleenarviointiin.
Sisäinen tarkastus konsernin sisäisessä valvonnassa ja riskienhallinnassa
Sisäinen tarkastus tukee riskienhallinta-, valvonta-, johtamis- ja hallintoprosessien toimivuuden ja tuloksellisuuden arviointia sekä tarvittaessa toiminnan kehittämistä. Sisäisen tarkastuksen toimistolla on oikeus tarkastaa myös tytäryhteisöjen sisäisen valvonnan järjestämistä ja toteuttamista.
•Sisäisellä tarkastuksella on oikeus saada tytäryhteisöiltä kaikki tarkastusten ja sisäisen valvonnan ja riskienhallinnan järjestämisen ja toteuttamisen arvioimiseksi tarvitsemansa tiedot. Yhteisöjen tulee tarvittaessa avustaa tietojen saamisessa tarkastusta varten.
Sisäisen tarkastuksen organisaatioasema ja tehtävä
Kaupunginhallituksen johtosäännön (kv. 17.12.2012 § 252) mukaan konsernihallinnossa toimii kaupunginjohtajan alaisuudessa oleva sisäinen tarkastus. Sisäistä tarkastusta johtaa tarkastusjohtaja. Kaupunginjohtaja määrää tarkastusjohtajan yleisistä tehtävistä.
Sisäinen tarkastuksen tehtävänä on varmentaa kaupunginjohtajan vastuulla olevan kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan toimivuus, tuloksellisuus sekä niiden kehittämistarpeet. Tehtäväkenttänä on kaupunkikonsernin kaikki toiminnot, liikelaitokset, yksiköt ja yhteisöt sekä ulkoistetut palvelut ja toiminnot. Toimistolla on kaupunkikonserniin nähden tiedotus- ja tiedonsaantioikeus, mutta ei päätösvaltaa eikä toimeenpano-oikeutta. Tämän estämättä ja riippumattomuuden vaarantumatta voi tarkastaja osallistua tarkastetun kohteen valvontamekanismien ja riskienhallinnan kehittämiseen, mikäli tarkastus tai kaupunginjohtaja sitä edellyttää.
Sisäisellä tarkastuksella on oikeus saada käyttöönsä tehtäviensä toteuttamista varten tarpeelliset tiedot, käyttö- ja kulkuoikeudet, asiakirjat sekä henkilöstö ja muu tuki. Tiedonsaantioikeuden toteuttamiseksi on tarkastusjohtajalla tai hänen nimeämällään tarkastajalla läsnäolo- ja puheoikeus niissä kokouksissa ja tilaisuuksissa, joissa käsitellään kaupunkikonserniin kuuluvien yksiköiden sisäistä valvontaa ja riskienhallintaa.
Toiminnan ja tarkastusten suunnittelu
Tarkastusjohtaja vastaa siitä, että toimiston vuosittainen toimintasuunnitelma laaditaan ja esitetään hyväksyttäväksi kaupunginjohtajalle tammikuun loppuun mennessä. Lisäksi toimintasuunnitelma esitellään konsernin johtoryhmälle kaupunginjohtajan määräämällä tavalla.
Toimintasuunnitelman laatimisen tulee perustua kaupunkikonsernin eri toiminnoista tehtyyn karkean tason riskiarvioon. Riskiarvion laadinnassa huomioidaan mm:
•valtuuston toiminnalle asettamat tavoitteet
•tiedossa olevat riskit
•käytettävissä olevat tiedot yksiköiden valvontajärjestelmien toimivuudesta
•toiminnan olennaiset muutokset
•uudet toiminnot sekä
•johdon näkemykset.
Tarkastuskohteiden määrittelyssä otetaan huomioon kaupunginjohtajan antamat ohjeet ja konserniyksiköiden kanssa käydyissä neuvotteluissa esiin tulleet asiat. Tarkastusjohtaja huolehtii yhteydenpidosta ulkoisen tarkastuksen kanssa. Tarvittaessa kaupunginjohtaja määrittelee tarkastuskohteiden tärkeysjärjestyksen.
Tarkastukset voivat perustua myös kaupunginjohtajan erilliseen toimeksiantoon tai kaupunkikonsernin muun yksikön tekemään tarkastuspyyntöön.
Sisäinen tarkastus suorittaa pistokokeina käteiskassantarkastuksia, joiden suorittamiseen on erillinen ohje sekä raportointilomake.
Tarkastuksen valmistuttua toimitetaan tarkastusraporttiluonnos kommentoitavaksi tarkastuskohteeseen, mikäli kaupunginjohtaja ei ole toisin määrännyt tarkastusta suunniteltaessa.
Raportit luokitellaan sisältönsä perusteella julkisiksi tai salassa pidettäviksi julkisuuslain nojalla. Yhtiöiden kohdalla sovelletaan osakeyhtiölakia.
Raportit jaetaan kaupunginjohtajalle, asianomaiselle toimialajohtajalle, toiminnasta vastuussa olevalle linjajohdolle sekä tarkastuslautakunnan kautta kaupungin tilintarkastajalle. Tarkastuskohteelle valmis raportti toimitetaan kaupunginjohtajan hyväksynnän jälkeen.
Tarkastusjohtaja toimittaa kaupunginjohtajan määräämällä tavalla vuosittaisen yhteenvedon tehdyistä tarkastuksista sekä sisäisen valvonnan ja riskienhallinnan toimivuudesta kaupunginhallitukselle.
Sisäinen tarkastus suorittaa erillisellä sopimuksella konsultointitehtäviä, jotka liittyvät tarkastajien kokemuspiiriin ja erityisosaamiseen. Tämä edellyttää, että ne voidaan suorittaa riippumattomasti ja objektiivisesti.
Riskienhallinta on osa sisäistä valvontaa. Riskienhallinnalla tarkoitetaan järjestelmällisiä menettelytapoja, joiden avulla tunnistetaan ja kuvataan kunnan ja kuntakonsernin toimintaan liittyviä riskejä. Arvioidaan riskien merkittävyyttä ja toteutumisen todennäköisyyttä sekä määritellään toimintatavat riskien hallitsemiseksi, valvomiseksi ja raportoimiseksi. Riskienhallinnan keinoja ovat riskin välttäminen, siirtäminen, pienentäminen jakamalla ja vahingontorjunnalla sekä riskin ottaminen.
Varautumisessa riskienhallinta on useiden eri tahojen yhteistyötä. Sitä tekevät sekä yritykset, eri toimialat ja viranomaiset, kunnat ja valtio. Viranomaisilla, kunnilla ja joillain yrityksillä on lakisääteinen velvollisuus laatia valmiussuunnitelmia, johon riskienhallinta kuuluu tärkeänä osana. Riskienhallintaan kuuluu myös riittävien resurssien määrittäminen.
Riskienhallinnan koordinaatioryhmä
Kaupunginjohtajan nimeämän riskienhallinnan koordinaatioryhmän tehtävänä on arvioida ja kehittää kaupunkikonsernin riskienhallintaa ja sisäistä valvontaa. Koordinaatioryhmä raportoi riskienhallinnasta kaupungin johdolle. Ryhmä muodostuu eri toimialojen, keskeisten yhtiöiden, yhteisöjen ja pelastustoimen edustajista.
Riskienhallinnan tason määrittely
Riskienhallinnan tason määrittely toteutetaan toimialoilla, yhtiöissä ja yhteisöissä hyödyntämällä Helsingin kaupungin kehittämää Riskienhallinnan kypsyysmallin yleiskuva – mallia (Helsingin kaupungin pilottiversio 2013: Mika Häkkinen, talous- ja suunnittelukeskus, Helsingin kaupunki, liite 2). Malli on sovellettu yleisistä laatu- ja prosessijohtamisen kypsyysmalleista. Kypsyysmallissa arvioidaan kuutta eri kohtaa:
•vastuut ja periaatteet
•toimintatapa
•osaaminen
•riskienarviointimenetelmät
•kehittäminen
•dokumentointi ja raportointi.
Riskienhallinnan tavoitteet ja riskien luokittelu
Riskienhallinnan tavoitteena on edistää kaupungin hallinnon tuloksellisuutta puuttumalla toimintaa ja tavoitteita uhkaaviin tekijöihin ennakolla. Riskienhallinta edellyttää toimintaympäristön ja olennaisten uhkatekijöiden riittävää ja aktiivista kartoitusta ja arviointia.
Riskienhallinnan lähtökohtana on analyysi keskeisimmistä toimintaa uhkaavista riskeistä. Turun kaupunkikonsernin riskit luokitellaan toiminnallisiin, taloudellisiin ja vahinkoriskeihin. Kaikkiin näihin ryhmiin voi kuulua sisäisiä tai ulkoisia riskejä.
Riskienhallinnan työkalut ja riskien arviointi
Riskienhallinnan työkaluina käytetään riskimatriisia, riskien koontitaulukkoa sekä analyysitaulukkoa.
Riskien arvioinnin muodostamaan kokonaisuuteen sisältyy riskien tunnistaminen, riskien suuruuden arviointi, merkittävämpien riskien luokittelu ja niiden hallintakeinojen arviointi ja valitseminen.
Toimialojen, yhtiöiden ja tytäryhteisöjen riskejä arvioitaessa tulee ensimmäiseksi vastata kysymyksiin:
-miksi olemme olemassa ja
-mitkä ovat ydintoimintomme
Riskejä arvioitaessa käydään läpi toiminnalliset tavoitteet ja mitkä riskit näitä tavoitteita voivat uhata. Riskienhallinnan jatkotyössä keskitytään sen jälkeen näihin toimintoihin ja niihin liittyviin riskeihin.
On tärkeää tunnistaa, mitkä riskit ovat suurimmat ja miten ne voidaan torjua. Riskit priorisoidaan niiden merkityksen ja mahdollisen euromääräisen suuruusluokan avulla. Tämä tehdään vahingon vaikutuksen ja todennäköisyyden arvioinnin perusteella.
Riskien arvioinnit ja niiden taustatiedot dokumentoidaan. Mitä yksityiskohtaisemmin ja selkeämmän riskiarviot ja niiden taustatiedot kirjataan, sitä helpommin voidaan näitä dokumentteja hyödyntää tarvittaessa myöhemmin.
Riskien arvioinnissa tärkeä vaihe on sopia toimenpiteistä, joilla tunnistetut riskit saadaan hallintaan, samoin riskiarvioiden seurannasta ja niiden päivittämisestä.
Kuva 1. Riskien arvioinnin vaiheet
Riskien tunnistaminen ja suuruuden arviointi
Riskien tunnistamisen tarkoituksena on ehkäistä ne riskit, jotka toteutuessaan vaikeuttavat tai estävät organisaation keskeisten tehtävien suorittamista.
Riskien tunnistamisessa hyödynnetään riskien koontitaulukkoa, jossa on valmiiksi lueteltu osa riskeistä. Jokainen koontitaulukossa mainittu riski arvioidaan riskimatriisin avulla. Riskimatriisin avulla riskit arvioidaan vaikutusten ja todennäköisyyden mukaan. Jos esimerkiksi arvioitavan riskin vaikutus on erittäin vakava ja todennäköisyys sen toteutumalle on mahdollinen, saadaan riskin merkittävyydeksi 4*3=12. Saatu luku (1-25) merkitään koontitaulukossa arviotavan riskin kohdalle. Koontitauluun valmiiksi nimettyjen riskien lisäksi toimijat nimeävät ja arvioivat myös ne omaan toimintaan vaikuttavat merkittävät riskit, joita ei ole valmiiksi mainittu koontitaulukossa.
Kuva 2. Riskimatriisi
Merkittävimpien riskien valitseminen
Riskimatriisin perusteella esiin nousseista suurimmista riskeistä laaditaan tarkempi analyysi (kuva 3). Analyysitaulukkoon kirjataan arvioitava riski. Tämän jälkeen arvioidaan riskin toteutuessa aiheutuvat seuraukset. Vastausta haetaan kysymykseen, mitä haittaa toiminalle on, jos riski toteutuu. Riskin todennäköisyys ja vaikuttavuus saadaan riskimatriisista, joiden suurus merkitään numeraalisesti analyysilomakkeeseen. Merkittävyys on todennäköisyyden ja vaikutuksen tulo. Seuraavaksi analyysilomakkeeseen kirjataan, miten riskiin on varauduttu. Onko riskin hallintakeinona riskin välttäminen, pienentäminen, siirtäminen tai pitäminen? Toimenpiteet - kohdassa selvitetään, mitä riskienhallintakeinoa tulisi käyttää ja ovatko nykyiset toimenpiteet riittäviä. Vastuuhenkilö/aikataulu - kohdassa selvitetään kuka asiasta vastaa, miten raportoidaan ja millä aikataululla.
Kuva 3. Analyysitaulukko
Toimialojen, yhtiöiden ja tytäryhteisöjen tulee omissa arvioissaan huomioida myös riskien vaikutukset poikkihallinnollisissa prosesseissa. Periaatteena on, ettei riskejä siirretä toiselle toimialalle / yksikölle kaupunkikonsernin sisällä. Mikäli toimialan, yhtiön tai tytäryhteisön merkittävistä riskeistä aiheutuu uhkaa toiselle kaupunkikonsernin yksikölle, on asiasta raportoitava ja menettelystä sovittava yksiköiden kesken.
Riskien hallinnan keinojen arvioiminen
Analyysissa käydään läpi toimenpide-ehdotukset riskien hallintakeinoiksi. Samalla kartoitetaan, mitä hallintakeinoja kyseisen riskin osalta on jo käytössä ja ovatko nykyiset keinot tarkoituksenmukaisia ja tehokkaita. Hallintakeinoja voivat olla esimerkiksi erilaiset menettelytavat, ohjeet tai tekniset ratkaisut.
Riskien hallinnan keinot
Riskin välttäminen
Riskiä ei yleensä voida kokonaan välttää. Riskin välttäminen on usein mahdollista vain, jos kyseisistä toimista pidättäydytään kokonaan, luovutaan toiminnasta, johon liittyy liialliseksi koettu riski tai ei aloiteta tällaista toimintaa.
Riskin pienentäminen
Riskin pienentämisellä tarkoitetaan niitä toimenpiteitä, joilla riskin todennäköisyyttä ja / tai vaikutusta pyritään pienentämään. Toimenpiteet tulee olla riittävän konkreettisia ja mitattavissa olevaa tekemistä.
Riskin siirtäminen
Riskin siirtäminen tarkoittaa sen siirtämistä ulkopuolisen kannettavaksi, esimerkiksi vakuutuksin. Toiminnan häiriintyessä ei kuntalaista tosin tyydytä vastaus, että palvelusta viime kädessä vastaava on siirtänyt riskinsä muualle
Riskin pitäminen
Riskin pitäminen tarkoittaa tietoista riskin ottamista. Se edellyttää onnistunutta riskianalyysia eli merkittävimmät riskit on tunnistettu ja arvioitu sekä määritelty tarvittavat toimenpiteet. Mikäli toimenpiteiden aiheuttamat kustannukset ovat toimenpiteistä saatavia hyötyjä suuremmat tai riskin syntyihin ei voi itse vaikuttaa, riski voidaan hyväksyä.
Riskin pienentämiseksi ei ryhdytä aktiivisiin toimenpiteisiin Riskienhallintasuunnitelmat tulee olla ajan tasalla, jotta riskien toteutuessa niiden seuraukset ovat mahdollisimman pieniä. Lähtökohtana on, että jos ei voi vaikuttaa riskin syihin, niin pitää pyrkiä vaikuttamaan riskin seurausten pienentämiseen.
Vastuu riskien arvioinnin suorittamisesta
Toimialajohtajat vastaavat siitä, että heidän johtamillaan toimialoilla on tehty riskienarviointi. Yhtiöiden ja tytäryhteisöjen toimitusjohtajat vastaavat yleistoimivaltansa puitteissa riskienhallinnasta. Riskienarviointi tehdään vuosittain toukokuun loppuun mennessä (ajankohta tulee näkyä vuosikellossa), jotta mahdolliset esiin nousevat riskit, jota vaativat investointeja, ehditään huomioida talousarvion laadinnassa.
Riskien ja riskienhallinnan raportointi
Riskiraportoinnin tarkoitus on antaa kaupungin johdolle kaupunkikonsernin riskienhallinnasta kokonaisvaltainen ja kattava kuva. Raportointi on osa toiminnan kehittämistä ja sisältyy normaaliin vuosisuunnittelun operatiiviseen seurantaan sekä toiminnan kehittämiseen. Riskien hallinnan kannalta keskeiset mittarit sisällytetään vuosisuunnitelmiin ja niitä hyödynnetään toiminnan suunnittelussa ja seurannassa.
Riskiraportoinnin tulee toimia myös tilanteissa, joissa muuttunut toimintaympäristö tai havaitut poikkeamat aiheuttavat tarvetta riskien uudelleen arviointiin. Mikäli toteutunut riski aiheuttaa yli 5 %:n poikkeaman talous - tai toimintasuunnitelmaan kyseiselle vuodelle, on esimiehen laadittava siitä poikkeamaraportti. Johdon käsittelyn jälkeen poikkeamaraportti toimitetaan ao. luottamuselimelle sekä kaupunkikonsernin riskienhallintapäällikölle ja kaupunginjohtajalle. Raportointihierarkia, jonka mukaan toimitaan, on suositeltavaa kuvata kaupungin johtoon saakka.
Kaupungin toimintakertomuksessa raportoidaan kirjanpitolautakunnan kuntajaoston ohjeen mukaisesti riskienhallinnasta ja sen kehittämistarpeista.
Valmiuslain (1552/2011) mukaan kunnalla on varautumisvelvollisuus. Kuntien, kuntayhtymien ja muiden kuntien yhteenliittymien tulee valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa.
Poikkeusoloja valmiuslain mukaan ovat:
1) Suomeen kohdistuva aseellinen tai siihen vakavuudeltaan rinnastettava hyökkäys ja sen välitön jälkitila;
2) Suomeen kohdistuva huomattava aseellisen tai siihen vakavuudeltaan rinnastettavan hyökkäyksen uhka, jonka vaikutusten torjuminen vaatii tämän lain mukaisten toimivaltuuksien välitöntä käyttöön ottamista;
3) väestön toimeentuloon tai maan talouselämän perusteisiin kohdistuva erityisen vakava tapahtuma tai uhka, jonka seurauksena yhteiskunnan toimivuudelle välttämättömät toiminnot olennaisesti vaarantuvat;
4) erityisen vakava suuronnettomuus ja sen välitön jälkitila; sekä
5) vaikutuksiltaan erityisen vakavaa suuronnettomuutta vastaava hyvin laajalle levinnyt vaarallinen tartuntatauti.
Poikkeusoloihin varautuminen liittyy usein kiinteästi myös toiminnan suunnitteluun poikkeusoloja lievempiä poikkeuksellisia tilanteita varten. Uhkakuvat ovat muuttuneet ja nykyään valmiussuunnitelmissa varaudutaan ensisijaisesti normaaliolojen häiriötilanteisiin, kuten veden- ja sähkönjakeluongelmiin.
Yhteiskunnan turvallisuusstrategia on valtioneuvoston hyväksymä periaatepäätös, joka muodostaa yhteisen varautumisen ja kriisijohtamisen perustan yhteiskunnan kaikille toimijoille.
Yhteiskunnan turvallisuusstrategiassa on mainittu ne uhkamallit, joihin tulee varautua. Ne luovat varautumisen perustan myös kuntatasolle eli siihen minkä tyyppisiin uhkiin myös kunnissa tulee varautua.
Strategiassa kuvatut uhkamallit ovat:
•voimahuollon vakavat häiriöt
•tietoliikenteen ja tietojärjestelmien vakavat häiriöt – kyberuhkat
•kuljetuslogistiikan vakavat häiriöt
•yhdyskuntatekniikan vakavat häiriöt
•elintarvikehuollon vakavat häiriöt
•rahoitus- ja maksujärjestelmän vakavat häiriöt
•julkisen talouden rahoituksen saatavuuden häiriintyminen
•väestön terveyden ja hyvinvoinnin vakavat häiriöt
•suuronnettomuudet, luonnon ääri-ilmiöt ja ympäristöuhkat
•terrorismi ja muu yhteiskuntajärjestystä vaarantava rikollisuus
•rajaturvallisuuden vakavat häiriöt
•poliittinen, taloudellinen ja sotilaallinen painostus
•sotilaallisen voiman käyttö.
Turun kaupungin toimialat laativat omaa toimintaansa koskevat valmiussuunnitelmat. Vastuu valmiussuunnitelmien laatimisesta on toimialajohtajilla. Valmiussuunnitelmien päivitystarve tulee tarkastaa ja mahdolliset päivitykset tulee tehdä vuosittain. Erityisesti valmiussuunnitelmassa mainittujen yhteystietojen ajantasaisuuteen pitää kiinnittää huomiota. Toimialojen tulee huolehtia siitä, että riskienhallintapäälliköllä on aina saatavilla päivitetty versio valmiussuunnitelmasta. Valmiussuunnitelmista tulee olla myös paperinen versio. Toimialojen valmiussuunnitelmat tallennetaan Dotkuun.
Turun kaupungin valmiussuunnitelman yleisen osan päivittämisestä vastaa riskienhallintapäällikkö.
Kriisiviestintäohjeen päivittämisestä vastaa viestintäjohtaja.
Tietoturvatyön tavoitteena on, että oikea tieto (eheys) on oikeassa paikassa (luottamuksellisuus) oikeaan aikaan (saatavuus):
•Luottamuksellisuus tarkoittaa, että tieto on vain niiden käytettävissä, jotka ovat siihen oikeutettuja. Oikeudet pohjautuvat julkisuuslakiin ja sitä täydentäviin säädöksiin sekä annettuihin työtehtäviin. Salassa pidettävät tiedot luokitellaan luottamuksellisuuden perusteella eri suojaustasoille, joiden mukaan tiedoille määritellään erilaiset käsittelytavat (luonti, lukeminen, muokkaus, siirto, säilytys, hävitys). Käytännössä luottamuksellisuus näkyy mm. tietojärjestelmien käyttövaltuuksina.
•Saatavuudella tarkoitetaan, että tiedot ovat käytettävissä määritellyssä vasteajassa, joka pohjautuu toiminnallisiin vaatimuksiin. Käytännössä saatavuus näkyy palvelutasovaatimuksina ja -sopimuksina.
•Eheydellä tarkoitetaan tietojen oikeellisuutta ja ajantasaisuutta. Eheystason tulee olla riittävä toiminnan suorittamiseksi.
Kaupungin tavoitteena on saavuttaa kaikessa toiminnassa vähintään valtionhallintoa koskevassa tietoturva-asetuksessa määritelty tietoturvallisuuden perustaso, joka on edellytyksenä alimmalle suojaustasolle luokitellun salassa pidettävän tiedon käsittelylle.
Tietohallintolaki edellyttää kaupungilta kokonaisarkkitehtuurikuvausta, jossa määritellään mm. tietoturvatarpeet ja -periaatteet. Tietoturvatyön yhtenä tavoitteena on tämän kuvauksen ylläpito ja noudattaminen tietoturvallisuuden osalta.
Toimialat ja laitokset tarkentavat näitä tavoitteita oman toimintansa ja hallinnonalaa koskevan erityslainsäädännön perusteella.
Kaupungin tietoturvavastaavana toimii kaupungin riskienhallintapäällikkö. Hän huolehtii tietoturvallisuuden hallintajärjestelmään liittyvän dokumentaation ajantasaisuudesta, riskienhallinnan ja jatkuvuussuunnittelun koordinoinnista sekä johdon katselmusten järjestämisestä. Hänen apunaan toimii riskienhallinnan koordinaatioryhmä, joka toimii kaupungin tietoturvaryhmänä. Tietoturvavastaava puuttuu havaitsemiinsa epäkohtiin välittömästi tai tuo ne tietoturvaryhmän käsiteltäväksi tapauksesta riippuen
Kaupungissa on lisäksi erikseen nimettyjä tietosuojavastaavia siltä osin kuin lainsäädäntö niitä edellyttää. Heidän tehtävänään on yksityisyyden suojasta huolehtiminen.
Toimialojen ja laitosten toimintaan liittyvästä tietoturvallisuudesta vastaa niiden johtaja apunaan johtoryhmä. Johtaja nimeää tarvittaessa erillisen tietoturvavastaavan ja tietoturvaryhmän. Toimialat ja laitokset käsittelevät johtoryhmissään vähintään kerran vuodessa toimintojensa, rekisteriensä ja tilojensa tietoturvallisuuteen liittyviä asioita sekä henkilökunnan tietoturvaosaamista. Johtoryhmä laatii tästä pöytäkirjan ja lähettää sen tiedoksi kaupungin tietoturvavastaavalle.
Toiminnan kannalta tärkeille usean käyttäjän käyttämille sovelluksille nimetään sovelluksen omistaja, joka
•pitää yllä luetteloa toiminnoista, joissa sovellusta käytetään, sekä niistä vastaavista tahoista
•tekee kriittisten toimintojen osalta niistä vastaavien kanssa vaikutusanalyysin koskien ennakoimattomia käyttökatkoksia ja asettaa vaikutusanalyysin ja normaalin käytön pohjalta vaatimukset sovelluksen saatavuudelle
•asettaa yhteistyössä toiminnoista vastaavien kanssa vaatimukset sovelluksella käsiteltävien tietojen eheydelle
•vastaa sovelluksen tallentamien tietojen osalta henkilötietolaissa ja julkisuuslaissa mainituista rekisterinpitäjän velvollisuuksista, mm. rekisteriselosteen laatimisen osalta
•asettaa vaatimukset sovelluksen käyttövaltuushallinnalle
•huolehtii sovellukseen liittyvästä käyttäjäkoulutuksesta ja käyttäjien tukipalvelusta yhteistyössä toiminnoista vastaavien kanssa.
Sovelluksen omistaja vastaa tässä yhteydessä sovelluksen tietoturvasta. Sovelluksella voi olla myös erillinen haltija, joka vastaa sovellukseen liittyvistä taloudellisista seikoista, sovelluksen kehittämislinjoista ja ylipäätään sovelluksen olemassaolosta.
Jokaisella IT-palvelulla on IT-palveluvastaava, joka
•laatii tuotetun palvelun palvelukuvauksen ja huolehtii sen toteuttamisesta
•dokumentoi sovelluksen omistajan sovellukselle asettaman tietoturvatason yleisesti tietoturva-asetuksen mukaan ja/tai erillisinä vaatimuksina saatavuudelle, eheydelle ja luottamuksellisuudelle
•vastaa varmistuksista ja toipumissuunnittelusta
•vastaa käyttöoikeuslisenssien riittävyydestä.
Kaupunginjohtaja, toimialajohtaja tai laitoksen johtaja nimeävät toimivaltansa mukaisesti sovellusten omistajat. Kaupungin IT-palvelut -yksikön tuottamien palveluiden osalta IT-palveluvastaavat nimeää IT-palvelujohtaja. Ulkopuolisten IT-palveluiden osalta vastuuhenkilöt nimetään sopimusteitse.
Pääkäyttäjä on operatiivinen henkilö, joka tekee sovelluksen omistajan määrittelemiä tehtäviä, kuten käyttäjätuki, käyttövaltuuksien jakaminen ja raporttien laatiminen. Sovelluksen omistaja ja pääkäyttäjä voi olla sama henkilö.
Esimies vastaa uusien työntekijöiden ja sijaisten perehdytyksestä yksikössä noudatettaviin tietosuoja- ja tietoturvaohjeisiin ja valvoo, että niitä noudatetaan. Esimies käsittelee vähäpätöiset ja tahattomat tietoturvarikkomukset. Kaikki merkittävät, törkeät ja tuottamukselliset tietoturva- ja tietosuojarikkomukset saatetaan johdon tietoon. Esimies vastaa yksikkönsä avainhenkilöriskeistä esimerkiksi osoittamalla tarvittavat varahenkilöt.
Henkilöstö vastaa omalta osaltaan siitä, että tietoturvallisuus toteutuu. Henkilöstö raportoi viipymättä havaitsemistaan niin tahallisista kuin tahattomistakin rikkomuksista ja tietoturvallisuuden puutteista esimiehelleen ellei muusta menettelytavasta ole sovittu. Rikkomusten osalta työtehtävissä menetellään, kuten kaupungin säännöstössä on kuvattu.
Kaupungin ulkopuoliset työntekijät velvoitetaan sopimuksin noudattamaan kaupungin tietoturva- ja tietosuojaohjeita. Ulkopuolisen työn tilaajan vastuulla on valvoa niiden noudattamista.
Tietoturvallisuuden hallinta on pohjimmiltaan riskienhallintaa, jossa käsitellään tietoturvariskejä. Riskienhallintaa on kuvattu tässä oppaassa omana pääkappaleena. Tietoturvariskit käsitellään mainitun kuvauksen mukaisesti. Myös toimitilaturvallisuus ja kulunvalvonta ovat keskeisiä tekijöitä tietoturvallisuuden kannalta. Työtiloissa saatetaan käsitellä ja säilyttää luottamuksellisia dokumentteja. Konesalit ja arkistot sisältävät suuret määrät kaupungin tieto-omaisuutta. Kaupungin IT-palvelut-yksikön tuottamien palveluiden riskienhallintaa käsitellään myös erikseen strategia- ja kehittämisverkoston ohjausryhmässä pohjautuen sovellusten omistajien vaatimusten pohjalta tunnistettuihin riskeihin.
Tieto-omaisuuden säilyttämisessä on huomioitava myös kaupungin arkistotoimen säännökset.
Tietoturvallisuus huomioidaan henkilöstön koulutuksessa ja työhönotossa. Uusien työntekijöiden perehdyttämiseen kuuluu kaupungin tietosuoja- ja tietoturvaohjeiden läpikäynti. Työntekijöiden käytössä on sähköinen tietoturvallisuuden oppimisympäristö. Tavoitteena on, että jokainen työntekijä suorittaa oppimisympäristöön sisältyvän testin aluksi perehdytyksen yhteydessä ja myöhemmin säännöllisesti taitojensa ylläpitämiseksi ja arvioimiseksi. Tietoturvakoulutusta annetaan lisäksi muun koulutuksen yhteydessä tai tarvittaessa erikseen. Vastuu koulutuksen organisoimisesta on toimialan tai laitoksen johtajalla.
Tietoturvallisuutta mitataan vakavien tietoturvapoikkeamien määrillä, tietoturvaosaamisen kehityksellä, haittaohjelmien aiheuttamalla työmäärällä, haavoittuvuustarkastusten tuloksilla ja palveluiden käytettävyydellä. Kaupungin tietoturvavastaava seuraa mittareiden kehitystä IT-palvelut-yksikön tuottamien raporttien perusteella.
Tietoturvallisuutta ja sen hallintaa arvioidaan säännönmukaisesti. Kaupungin sisäinen tarkastus tekee tähän liittyviä tarkastuksia. Tarvittaessa käytetään ulkopuolista konsultointia. Tulokset raportoidaan kaupungin tietoturvavastaavalle.
Raportointi kaupungin johtoryhmälle
Kaupungin tietoturvavastaava raportoi kaupungin johtoryhmälle joka toinen vuosi kaupungin tietoturvatilanteesta mm. seuraavat asiat:
•aiempien johdon katselmusten seurantatoimenpiteet
•merkittävät tietoturvapoikkeamat ja toteutuneet riskit
•tietoturvallisuuden mittauksen ja arvioinnin tulokset
•muu saatu palaute
•tietoturvallisuutta koskevat muutokset lainsäädännössä ja kaupungin säännöstössä
•parantamismahdollisuudet.
Tietoturvariskeistä raportoidaan johdolle myös osana yleistä riskienhallinnan raportointia.
Raportin perusteella johto päättää tarvittavista toimenpiteistä tietoturvallisuuden hallintajärjestelmän, arvioinnin ja hallintakeinojen parantamiseksi sekä mahdollisista muutoksista resurssitarpeissa.
Häiriötila tai -tilanneTurvallisuustila, jossa on häiriöitä ja jonka hallitseminen voi vaatia viranomaisilta erityisiä toimia, mutta joka ei ole niin vakava kuin poikkeusolot.
PelastussuunnitelmaOnnettomuuksien ehkäisyksi ja onnettomuustilanteiden varalta tiettyä rakennusta tai muuta kohdetta varten laadittava toimintasuunnitelma.
PoikkeusolotTurvallisuustila, jossa on paljon tai vakavia häiriöitä ja jonka hallitseminen ei ole mahdollista viranomaisten säännönmukaisin toimivaltuuksin ja voimavaroin.
RiskienarviointiTunnistetaan riskejä ja niiden syitä, arvioidaan riskien suuruutta ja nykyisiä hallintakeinoja. Arvioinnin perusteella valitaan merkittävimmät riskit ja keskeisimmät hallintakeinojen kehittämiskohteet.
RiskienhallintaTunnistetaan, arvioidaan ja hallitaan tavoitteiden saavuttamista uhkaavia tekijöitä.
Sisäinen tarkastusAuttaa organisaatiota sen riskienhallinta-, valvonta-, johtamis- ja hallintaprosessien tuloksellisuuden arvioinnissa ja kehittämisessä. Arvioi sisäisen valvontajärjestelmän ja riskienhallinnan tarkoituksenmukaisuutta ja tuloksellisuutta.
Sisäinen valvontaOsa kunnan johtamisjärjestelmää sekä kunnan johdon ja hallinnon työväline, jonka avulla arvioidaan asetettujen tavoitteiden toteutumista, toimintaprosesseja ja riskejä. Valvonnan tarkoituksen on edistää organisaation tehokasta johtamista, riskien hallintaa, toiminnan kehittämistä ja tuloksellisuuden arviointia.
TurvallisuussuunnitelmaHallituksen sisäisen turvallisuuden ohjelman toimeenpanoa paikallisella tasolla. Keskittyy arjen turvallisuuden parantamiseen.
ValmiussuunnitelmaSuunnitelma, jossa selvitetään erityistilanteiden, häiriötilojen ja poikkeusolojen vaikutukset organisaation tehtäviin ja toimintaan, toiminnan jatkuvuuden turvaaminen ja toimenpiteet normaalioloihin palaamiseksi.
Kunnan valmiussuunnitelma jakautuu yleiseen osaan ja toimialakohtaisiin
valmiussuunnitelmiin.
VarautuminenToimintaa, jolla varmistetaan tehtävien mahdollisimman häiriötön hoitaminen kaikissa turvallisuustiloissa ja erityistilanteissa. Varautumistoimenpiteitä ovat muun muassa valmiussuunnittelu, etukäteisvalmistelut, koulutus sekä valmiusharjoitukset.
|
|
|
|
|
|
|
|
|
| |
|
|
|
Liite 3 Kysymyksiä tilivelvollisille sisäisen valvonnan järjestämiseksi ja sen toimivuuden testaamiseksi
Toiminta – l. valvontaympäristö:
•Kuinka hyvin ymmärrän kaupunkikonsernin tehtävät ja strategiat?
•Hallitsenko yksikköni toimintaan vaikuttavat strategiat jav siitä johdetut tavoitteet?
•Onko yksikköni strategia ja siitä johdetut yksityiskohtaiset tavoitteet selkeitä ja perustuvatko tavoitteet toimintaympäristön analyysiin?
•Miten ymmärrän yksikköni toiminnallisten tavoitteiden nivoutumisen kaupunkikonsernin muihin tavoitteisiin?
•Onko tavoitteiden asettelu selkeää organisaatiotasosta riippumatta?
•Kuinka kaupungin strategiaa, arvoja ja toimintaperiaatteita toteutetaan hallintokunta- ja yksikkötasolla? Vastaavatko ne toisiaan?
•Ovatko yksikkömme tai tehtäväalueemme valtuudet ja vastuut selkeästi määritellyt ja ovatko ne ajantasaiset?
•Onko yksikössäni päätöksiä tekevillä henkilöillä päätöksentekoon tarvittavat tiedot, taidot ja valtuudet?
•Miten huolehdin omalta osaltani yksikköni työntekijöiden osaamisen ylläpitämisestä?
•Onko toimintayksikössäni tai tehtäväalueellani toimiva laatujärjestelmä tai vastaava?
•Miten sisäinen tiedonkulku on järjestetty?
•Onko johto sitoutunut hyvään hallintotapaan ja noudattamaan kaupungin sisäistä säännöstöä?
•Kuinka kaupungin strategia, arvot ja toimintaperiaatteet on viestitetty henkilöstölle ja sidosryhmille?
•Tunteeko henkilöstö keskeiset ohjeet, säännöt ja menettelytavat ja kuinka reagoidaan niiden noudattamatta jättämiseen?
•Onko noudatettava ohjeistus kaikilta osiltaan ajanmukainen?
•Ovatko käytettävät tietojärjestelmät luotettavia?
•Ovatko henkilöstön rekrytoinnin, osaamisen arvioinnin ja kehittämisen periaatteet ajan tasalla?
Riskienhallinta:
•Tehdäänkö riskienarviointi kaupungin riskienhallintaohjeiden mukaisesti?
•Ovatko riskienhallinnan tehtävät ja roolit selvät?
•Olenko arvioinut tehtäväalueeni riskit ja niihin liittyvät tekijät?
•Onko minulla tietoa tai saanko tietoa, jonka avulla kykenen tunnistamaan ja arvioimaan riskit?
•Ymmärränkö yksikköni riskit ja olemmeko kartoittaneet ulottumattomiin jäävät riskitekijät?
•Arvioinko säännöllisesti riskejä?
•Onko yksikössä laadittu kirjalliset tehtävä- tai menetelmäkuvaukset?
•Sisältävätkö tehtäväkuvaukset toimintaa uhkaavat riskit ja niiden aiheuttajat?
•Miten olen huolehtinut, että henkilöstö suoriutuu tehtävistään tuloksellisesti mahdolliset riskit huomioiden?
•Perustuuko riskien tunnistaminen toimintaympäristön analyysiin?
•Onko riskien arviointi ja tunnistaminen järjestelmällinen osa toiminnan suunnittelua?
•Kuinka toimintaprosessit on kuvattu ja arvioidaanko niitä säännöllisesti?
•Kuinka riskiarviot dokumentoidaan ja kuinka riskien raportointi on järjestetty?
•Kuinka arvioidut riskit suhteutetaan riskinottokykyyn?
•Kuinka riskeihin vastataan?
Informaatio ja kommunikaatio
•Ovatko tietojärjestelmät toimivia ja tuottavatko ne olennaiset tiedot johdon tarpeisiin?
•Onko tiedonkulku tehokasta ja toimivaa?
•Tukeeko työntekijöiden keskinäinen yhteistyö tiedon kulkua ja tehokasta toimintaa?
•Saanko ja toimitanko päätöksenteon kannalta tarpeellista ja asianmukaista tietoa?
•Miten johto voi hyödyntää laskentatoimen ja seurannan tuottamia tietoja?
•Onko työntekijöillä riittävä tieto tehtäviensä hoitamiseen?
•Kuinka poikkeamatilanteet hoidetaan?
•Kuinka käsitellään toimintaa koskevia seurantatietoja?
•Kehitetäänkö toimintaa seurantatietojen pohjalta?
•Kuinka kaupungin sidosryhmät ja yksiköiden asiakkaat saavat tietoa kaupungin toiminnasta?
•Asiakaspalautteen laatu?
Päivittäiset valvontatoimet ja sisäiset kontrollit
•Ovatko yksikköni vastuut selkeät ja ajantasaiset?
•Miten seuraan alaisteni toimintaa ja päätöksentekoa (otto-oikeus /ottovelvollisuus)?
•Miten seuraan päätösten toimeenpanoa?
•Miten seuraan projektien ja hankkeiden hallinnointia ja etenemistä?
•Miten varmistan, että hankinnoissa noudatetaan normeja ja kaupungin omaa ohjeistusta?
•Varmistanko, että vastuuhenkilöt tietävät oikeutensa ja velvollisuutensa?
•Onko seuranta tehokasta, tuloksellista ja tarkoituksenmukaista?
•Onko yksikössä menettelytavat ja toimintoketjut, jotka varmistavat tavoitteiden saavuttamisen?
•Miten varmistan, että toimintayksikössäni ei synny vaarallisia työyhdistelmiä?
•Onko määritelty, mistä asioista tehdään päätöspöytäkirja tai päätös?
•Ovatko tietojärjestelmien käyttöoikeudet ajan tasalla?
•Valvotaanko tietojärjestelmien käyttöä säännöllisesti ja systemaattisesti?
•Seurataanko tietojärjestelmiin kirjattavien tietojen laatua?
Sisäisen valvonnan ja riskienhallinnan toimivuuden seuranta:
•Vastaavatko tietojärjestelmien raportointimahdollisuudet raportointitarpeitani?
•Mitä kehitettävää on toimintayksikköni raportointirutiineissa?
•Kehitetäänkö valvontajärjestelmiä valvonnan kautta saatavan tiedon avulla?
•Kuinka toiminnalliset raportit käsitellään?
•Kuinka toimintaprosessien toimivuutta arvioidaan?
•Kuinka sisäisen valvonnan tilaa ja sen eri osa-alueita käsitellään?
•Onko itsearviointia kehitetty?
•Kuinka käsitellään sisäisen tarkastuksen ja ulkoisen tarkastuksen raportit?
•Arvioinko säännöllisesti valvontatoimia ja niiden tehokkuutta?