Riskienhallinta ja sisäinen valvonta

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Turku

2.2.2022

 

 

 

Sisällys

JOHDANTO   2

1   VASTUU SISÄISEN VALVONNAN JA RISKIENHALLINNAN JÄRJESTÄMISESTÄ   2

2   SISÄINEN VALVONTA   2

2.1   Kaupungin sisäinen valvonta   2

2.1.1   Sisäisen valvonnan tavoitteet   3

2.1.2   Valvontavastuut   3

2.1.3   Operatiivisen toiminnan valvonta   5

2.1.4   Sisäisen valvonnan toimivuuden arviointi ja kehittäminen   6

2.1.5   Raportointi ja tiedonvälitys   7

2.2   Konsernivalvonta   7

2.2.1   Konserniyhteisöjen sisäinen valvonta   7

2.2.2   Konserniyhteisöjen riskienhallinta   7

2.2.3   Sisäinen tarkastus konsernin sisäisessä valvonnassa ja riskienhallinnassa   8

3   SISÄINEN TARKASTUS   8

3.1   Sisäisen tarkastuksen organisaatioasema ja tehtävä   8

4   RISKIENHALLINTA   8

4.1   Riskienhallinta ja riskien arviointi   8

4.2   Toteutuneet riskit   10

4.3   Vastuu riskien arvioinnin suorittamisesta   10

4.4   Seuranta ja katselmointi   10

4.5   Raportointi   10

4.6   Riskienhallinnan koordinaatioryhmä   11

 


JOHDANTO

 

Tässä ohjeessa määritellään Turun kaupunkikonsernin riskienhallinnan ja sisäisen valvonnan periaatteet ja toteuttamistavat. Ohje koskee kaikkia Turun konsernihallinnon toimielimiä ja tytäryhteisöjä.

 

Ohjeen tarkoituksen on varmistaa riskienhallinnan ja sisäisen valvonnan asianmukainen järjestäminen ja yhdenmukaistaa niiden toteuttamista, raportointia ja valvontaa. Tämä ohje korvaa aiemman riskienhallinta ja sisäinen valvonta – ohjeen (Kh 7.9.2015 § 367).

 

1. VASTUU SISÄISEN VALVONNAN JA RISKIENHALLINNAN JÄRJESTÄMISESTÄ

 

Kuntalain mukaan kaupunginvaltuusto päättää kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteista. Perusteet edellyttävät, että konsernin kaikissa toiminnoissa ja kaikilla organisaation tasoilla on riittävä sisäinen valvonta ja riskienhallinta.

 

Sisäisen valvonnan ohjaamisesta ja riskienhallinnasta vastaa keskitetysti kaupunginhallitus, joka antaa tarkempia ohjeita sisäisen valvonnan ja riskienhallinnan järjestämisen toimeenpanosta. Riskienhallinnan ja sisäisen valvonnan raportointi suoritetaan virkaketjun mukaisesti. Riskien arviointi ja raportointi sekä sisäisen valvonnan selonteko sidotaan vuosikelloon riskienhallintapäällikön ja tarkastusjohtajan ohjeiden mukaan.

 

Johtamansa toiminnan sisäisestä valvonnasta ja riskienhallinnasta vastaa kunkin toimielimen tehtäväalueen johtava viranhaltija.

 

Kaupunginhallitus, kaupungin johto ja muu konsernijohto vastaavat siitä, että Turun kaupungilla on sisäiseen valvontaan ja riskienhallintaan liittyvät menettelytavat ja organisaation eri toimijoiden toimivalta, velvoitteet ja vastuut on hyväksytty.

 

Lautakuntien tulee valvoa sisäisen valvonnan ja riskienhallinnan toimeenpanoa omalla vastuualueellaan. Kukin lautakunta vastaa omalla vastuualueellaan riittävien ja toimivien menettelytapojen hyväksymisestä ja niiden toimeenpanon valvonnasta ja varmentamisesta.

 

Kaupunkikonsernin tytäryhteisöissä kunkin yhteisön hallitus ja toimitusjohtaja vastaavat yhteisön sisäisen valvonnan ja riskienhallinnan asianmukaisuudesta lainsäädännön sekä omistajapoliittisten tavoitteiden ja konserniohjeistuksen mukaisesti.

 

Sisäiseen valvontaan ja riskienhallintaan liittyvät menettelytavat ja organisaation eri toimijoiden toimivalta, vastuut ja velvollisuudet tulee kuvata ja parhaat toimintatavat jalkauttaa kuvauksen perusteella.

 

2. SISÄINEN VALVONTA

 

2.1 Kaupungin sisäinen valvonta

 

Hallintosäännön mukaan kaupungin toiminnot on järjestettävä ja johtamistehtävät hoidettava siten, että organisaation kaikilla tasoilla ja kaikissa toiminnoissa on riittävä sisäinen valvonta ja riskienhallinta.

 

Kaupunkikonsernin konsernivalvonnan järjestämisestä vastaavaan konsernijohtoon kuuluvat kaupunginhallitus, konsernijaosto, pormestari ja kansliapäällikkö. Kaupunginhallitus huolehtii kaupungin sisäisestä valvonnasta ja riskienhallinnan järjestämisestä. Konsernijaosto puolestaan huolehtii konsernivalvonnan täytäntöönpanosta ja toimivuudesta sekä ohjaa, seuraa ja valvoo tytäryhteisöjen ja -säätiöiden toimintaa.

 

Pormestari johtaa ja valvoo kaupungin hallintoa, taloudenhoitoa ja muuta toimintaa. Hänen alaisuudessaan kansliapäällikkö johtaa kaupunkikonsernin toimintaa ja vastaa sen kehittämisestä. Kansliapäällikön alaisuudessa toimiva konsernihallinto vastaa kaupungin toimielinten päätöksenteon valmistelusta ja päätösten täytäntöönpanosta sekä avustaa pormestaria ja kansliapäällikköä kaupungin hallinnon ja taloudenhoidon johtamisessa sekä toiminnan ja talouden johtamisessa.

 

Konsernihallinto vastaa kaupungin toimielinten päätöksenteon valmistelusta ja päätösten täytäntöönpanosta sekä avustaa pormestaria ja kansliapäällikköä kaupungin hallinnon ja taloudenhoidon johtamisessa sekä toiminnan ja talouden johtamisessa.

 

Kaupunginhallitus raportoi vuosittaisessa toimintakertomuksessaan kaupunkikonsernin sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista ja kehittämistapeista sekä merkittävimmistä riskeistä.

 

2.1.1 Sisäisen valvonnan tavoitteet

 

Sisäisen valvonnan tavoitteet määritellään usein seuraavasti:

 

toiminnan tuloksellisuus ja tehokkuus

tiedon oikeellisuus ja riittävyys

resurssien tehokas käyttö ja omaisuuden turva sekä

sääntöjen noudattaminen.

 

Lisäksi sisäinen valvonta jaetaan seuraaviin toisiinsa liittyviin osatekijöihin:

 

valvontaympäristö

riskienhallinta

päivittäisen toiminnan valvonta

tiedon kulku

valvontakeinojen seuranta ja kehittäminen.

 

Yllä mainittuihin osatekijöihin sisällytetään käytäntöön sovellettuna ensiksi mainitun määrittelyn mukaiset tavoitteet. Tavoitteiden edellyttämien valvontakeinojen toimeenpano ratkaisee sisäisen valvonnan toimivuuden.

 

2.1.2 Valvontavastuut

 

Johdon valvontavastuu

 

Palvelukokonaisuuksien ja tytäryhteisöjen johtajat toimeenpanevat asianmukaisen sisäisen valvonnan edellyttämät menettelytavat kaupunginhallituksen ohjeiden mukaisesti.

 

Johto vastaa toiminnasta ja siitä, että prosesseille, hankkeille, projekteille ja toiminnoille on määritelty vastuutahot sekä tarvittavat ohjaus- ja seurantajärjestelmät. Palvelukokonaisuuksien ja tytäryhteisöjen johto hyväksyy tarvittaessa erikseen omaa toimintaansa koskevat sisäisen valvonnan periaatteet.

 

Johdon tehtävänä on varmistaa, että henkilöstölle viestitään sisäisen valvonnan perusperiaatteet. Tiedonkululla varmistetaan, että henkilöstö tuntee omien tehtäviensä edellyttämät sisäisen valvonnan tärkeimmät tavoitteet ja keinot.

 

Palvelukokonaisuudet ja tytäryhteisöt raportoivat sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista sekä kehittämistapeista kaupungin sisäisten ohjeiden mukaisesti.

 

Lähijohtajan valvontavastuu

 

Lähijohtajat vastaavat johtamiensa yksiköiden sisäisestä valvonnasta. Lähijohtaja vastaa siitä, että hänen yksikkönsä tavoitteet on johdettu kaupungin ylemmän tason tavoitteita. Samoin hän vastaa siitä, että hänen alaisuudessaan olevien yksiköiden tavoitteet on johdettu koko yksikön tavoitteista. Hän vastaa tiedonkulusta ja raportoinnista sekä ohjaa ja valvoo alaistensa toimintaa. Edelleen hänen on ryhdyttävä korjaaviin toimenpiteisiin, mikäli toiminta on tehotonta, epätarkoituksenmukaista tai sääntöjen vastaista.

 

Operatiivisen toiminnan päivittäinen valvonta on osa lähijohtajan valvontavastuuseen sisältyviä tehtäviä. Mm. tehtäväkuvaukset, toimivalta ja vastuut kuten myös työhyvinvointi sekä työtehtävissä tarvittavan osaamisen varmistaminen ovat asianmukaisen sisäisen valvonnan osatekijöitä, joista lähijohtaja vastaa.

Sisäistä valvontaa tukevat tehtävät

 

Jokainen työntekijä on omalta osaltaan vastuussa omien tehtäviensä edellyttämästä riittävästä valvonnasta. Mikäli valvonnassa on puutteita tai selkeitä kehittämistarpeita, on hän velvollinen tiedottamaan tästä lähijohtajalleen.

 

Sisäinen tarkastus tarkastaa ja arvioi sisäisen valvonnan toimeenpanoa sekä riskienhallintaa ja avustaa kaupungin johtoa tuottamalla tietoa sisäisen valvonnan ja riskienhallinnan toimeenpanosta sekä kehittämistarpeista kaupunkikonsernissa.

 

Sisäisen valvonnan kytkentä riskienhallintaan

 

Sisäinen valvonta sisältyy kaikkeen toimintaan. Siihen sisältyy myös riskien arviointi, priorisointi ja niiden hallintakeinojen määrittely.

 

Järjestelmällisellä riskienhallinnalla pyritään kartoittamaan uusia ja tunnistamattomia riskejä sekä arvioidaan tiedossa olevien riskien merkitys organisaation tavoitteille ja toiminnalle. Tarvittaessa sisäisen valvonnan painopistettä siirretään riskiarvioinnin perusteella merkittäviksi arvioitujen riskien seurantaan ja hallintaan.

 

Tytäryhteisön hallituksen valvontavastuu

 

Tytäryhteisön hallitus vastaa yhteisön hallinnon ja valvonnan järjestämisestä. Hallituksen tehtävät ja vastuut perustuvat yhteisöä koskevaan lainsäädäntöön, yhtiöjärjestykseen sekä muihin mahdollisiin sääntöihin ja sopimuksiin. Hallitus ohjaa, tukee ja valvoo yhteisön sisäisen valvonnan toteuttamista.

Hallituksen tulee käsitellä ja hyväksyä tilinpäätöksen ja toimintakertomuksen yhteydessä selonteko sisäisen valvonnan järjestämisestä sekä siinä havaituista puutteista ja kehittämistarpeista.

 

2.1.3 Operatiivisen toiminnan valvonta

 

Sisäisen valvonnan järjestämisen riittävyyden ja asianmukaisuuden ratkaisee valvottavan toiminnan luonne, sisältö ja taloudellinen merkitys. Sisäinen valvonta koostuu toimintatavoista, jotka sisällytetään operatiiviseen toimintaan esimerkiksi seurantana, hyväksymisinä tai muuna vastaavina varmistuksina. Valvontakeinot on suhteutettava valvottavaan toimintaan siten, että ne ovat riittävät, taloudelliset ja toimivat.

 

Asianmukainen sisäinen valvonta edellyttää etukäteen päätettyä organisaatiohierarkiaa, toimivaltuuksia sekä työtehtävien eriyttämistä. Näiden ohessa sisäisen valvonnan keinovalikoimaan kuuluvat esimerkiksi

 

kuukausiseuranta ja – raportointi

poikkeamaraportointi

talousarvion toteutumisen seuranta

työnjako ja vastuut

erilaiset täsmäytystoimenpiteet.

 

Johto voi tarvittaessa laatia omaan toimintaan soveltuvan ohjeistuksen sisäisestä valvonnasta. Johto vastaa myös siitä, että henkilöstö on tietoinen sisäisen valvonnan menettelytavoista.

 

Yksittäisten toimintaprosessien valvonta

 

Toimintaan sisältyvät valvontakeinot voivat olla ehkäiseviä, havaitsevia tai korjaavia. Toimintaprosessin valvontakeinojen määrittely edellyttää käytännössä prosessi- tms. kuvausta, jonka avulla voidaan arvioida toiminnan ne osa-alueet, jotka edellyttävät valvontaa. Toinen tärkeä elementti valvonnan osalta on arvioida olemassa olevien valvontakeinojen toimivuus. Esimerkkejä yllä mainituista valvontakeinoista ovat seuraavat:

 

työtehtävien eriyttäminen

päätöksenteon oikeellisuuden valvonta

kilpailutettujen hankintapaikkojen käytön varmistaminen

toimituksen täsmäytys lähetyslistaan

laskun täsmäytys toimitukseen

ostolaskun asiatarkastus

myyntitulojen kertymisen ja hyvityslaskujen seuranta

käteistulojen valvonta

omaisuuden turvan edellyttämät fyysiset kontrollit (lukot, hälytysjärjestelmät, valvontakamerat jne.)

tulojen ja menojen täsmäytys tiliotteeseen

irtaimiston ja käyttöomaisuuden inventoinnit

vaihto-omaisuuden inventoinnit

palkanmaksun oikeellisuuden valvonta

salasanakäytäntö

it-lokien ja sovelluksien virheilmoituksien seuranta

tieto-omaisuuden varmuuskopiointi.

 

Kontrollit voidaan toteuttaa joko manuaalisesti tai sisällyttämällä ne it-järjestelmiin tai näiden yhdistelmillä.

Työtehtävien eriyttämisen tavoitteena on virheiden ja väärinkäytösten estäminen vastuuttamalla työtehtävien eri vaiheet eri henkilöille. Mikäli tehtäviä ei voida eriyttää, esimerkiksi henkilökunnan vähäisyydestä johtuen tai jostain muusta syystä, on toiminnasta vastaavan lähijohtajan tehostettava jälkikäteistä eli havaitsevaa valvontaa. Keinoina voivat tällöin olla esimerkiksi erilaiset täsmäytykset ja hyväksynnät tai esimerkiksi tietojärjestelmien asianmukaisen käytön varmistaminen it-lokien avulla.

 

2.1.4 Sisäisen valvonnan toimivuuden arviointi ja kehittäminen

 

Sisäistä valvontaa tulee kehittää kaupunkikonsernin kaikilla tasoilla. Konsernitason kehittämisen lisäksi hyödynnetään kunkin palvelukokonaisuuden ja tytäryhteisön laatimia sisäisen valvonnan itsearviointeja ja valvonnan kehittämistoimia.

 

Palvelukokonaisuudet ja tytäryhteisöt seuraavat sisäisen valvontajärjestelmänsä toimivuutta ja kehittävät sitä omien tarpeiden mukaan kaupungin ylimmän johdon ohjeet huomioiden. Sisäisen valvonnan toimeenpanosta raportoidaan erikseen kaupungin sisäisten ohjeiden mukaisesti.

 

Yksiköiden itsearvioinnit

 

Palvelukokonaisuudet ja tytäryhteisöt kokoavat vuosittain omiin sisäisen valvonnan ja riskienhallinnan selontekoihinsa arvionsa yksikkönsä sisäisen valvonnan ja riskienhallinnan järjestämisestä, toimeenpanosta, havaituista puutteista sekä kehittämissuunnitelmista. Selonteko laaditaan jonkun yleisesti käytössä olevan sisäisen valvonnan arviointiin soveltuvan viitekehyksen avulla (esim. COSO eri versioineen tms.) tai sitä soveltaen. Arvioinnin on perustuttava todennettavissa oleviin tosiseikkoihin ja siihen on sisällytettävä mm. yksikön organisaatiorakenteen ja johtamisen, riskienhallinnan, operatiivisen valvonnan sekä tiedonkulun nykytila ja kehittämistarpeet. Arvioinnissa voi hyödyntää sisäisen tarkastuksen vuosittain toimittamaa sisäisen valvonnan viitekehikko COSOon pohjautuvia tukikysymyksiä sekä Word-muotoista selonteon asiakirjapohjaa.

 

Lautakuntien tulee käsitellä ja hyväksyä palvelukokonaisuuksien selonteot sisäisen valvonnan järjestämisestä, valvonnassa havaituista puutteista sekä sen kehittämistarpeista

 

Sisäisen tarkastuksen arvioinnit

 

Sisäinen tarkastus tarkastaa kaupunkikonsernin yksiköiden toimintaa sekä ulkoistettuja toimintoja ja palveluja. Kansliapäällikön toimeksiannon perusteella suoritetaan vuosittain erilaisia erityistarkastuksia. Tarkastuksien puitteissa arvioidaan sisäisen valvonnan ja riskienhallinnan riittävyyttä ja toimivuutta sekä annetaan suosituksia mahdollisesti havaittujen puutteiden korjaamiseksi. Suosituksien toteuttaminen on toimivan johdon vastuulla. Lisäksi sisäinen tarkastus valmistelee palvelukokonaisuuksien ja tytäryhteisöjen itsearviointien pohjalta kaupungin toimintakertomukseen sisältyvän sisäisen valvonnan ja riskienhallinnan selonteon.

 

2.1.5 Raportointi ja tiedonvälitys

 

Tehokkaan ja toimivan johtamisen ja päätöksenteon tueksi on johdon käytettävissä oltava oikeat ja riittävät tiedot toiminnasta. Valvonnalla johto ja lähijohtajat varmistavat sen, että yksikön tuottamat raportit ja muut tiedot toiminnasta, taloudesta ja hallinnosta ovat oikeita ja riittäviä. Johtamisessa ja päätöksenteossa tarvittavat tiedot tulee raportoida johdolle ajantasaisesti, kattavasti ja oikein.

 

Tehokasta ja toimivaa tiedonkulkua tarvitaan myös organisaation ulkoisten sidosryhmien kanssa, sillä näiltä tahoilta voidaan esimerkiksi saada tietoja sisäisen valvonnan puutteista sekä oman toiminnan heikkouksista ja kehittämistarpeista.

 

Epäillyt tai havaitut väärinkäytökset tai rikkomukset raportoidaan yksikön lähijohtajalle. Ilmoitus tehdään myös sisäiselle tarkastukselle. Sisäinen tarkastus tutkii tarvittaessa asiaa kansliapäällikön harkinnan perusteella.

 

2.2 Konsernivalvonta

 

2.2.1 Konserniyhteisöjen sisäinen valvonta

 

Riskienhallinnan ja sisäisen valvonnan ohje koskee kaikkia Turun kaupungin tytäryhteisöjä.

 

Tytäryhteisön hallitus ohjaa, tukee ja valvoo yhteisön sisäisen valvonnan toteuttamista. Hallitus päättää sisäisen valvonnan järjestämisestä lainsäädännön, konserniohjeiden ja hyvän hallintotavan mukaisesti. Kunkin tytäryhteisön hallitus vastaa siitä, että yhtiön kirjanpidon ja varainhoidon valvonta on asianmukaisesti järjestetty.

 

Hallituksen tulee arvioida sisäisen valvonnan tehokkuutta ja toimivuutta ja raportoida siitä vuosittain konsernijohdolle ja sisäiselle tarkastukselle. Hallituksen tulee reagoida, mikäli raportointi sisäisestä valvonnasta ei osoita valvonnan asianmukaista toimeenpanoa ja tuloksellisuutta. Lisäksi hallitus käsittelee ja hyväksyy osana tilinpäätöstä ja toimintakertomusta selonteon sisäisen valvonnan järjestämisestä, havaituista puutteista ja kehittämistarpeista sekä merkittävimmistä riskeistä. Toimitusjohtajan vastuulla puolestaan on huolehtia siitä, että sisäinen valvonta on toimeenpantu asianmukaisesti.

 

2.2.2 Konserniyhteisöjen riskienhallinta

 

Konserniyhteisöjen tulee raportoida konsernijohdolle konserniyhteisöjen merkittävistä riskeistä sekä riskienhallinnan toimivuudesta ja riittävyydestä.

 

Strategisia, toiminnallisia ja taloudellisia tavoitteita tukeva riskiraportointi on keskeinen osa riskienhallintaa. Raportoinnin tarkoitus on antaa Turun kaupungin konsernijohdolle ja sisäiselle tarkastukselle konsernin riskinhallinnasta kokonaisvaltainen ja kattava kuva. Tämä luonteeltaan jatkuva raportointi on osa toiminnan kehittämistä, joka sisältyy normaaliin vuosisuunnitteluun sekä operatiiviseen seurantaan sekä toiminnan kehittämiseen.

 

Riskienhallintaan liittyvän tiedonsaannin ja raportoinnin tulee olla toimivaa myös tilanteissa, joissa muuttunut toimintaympäristö tai havaitut poikkeamat aiheuttavat tarvetta riskienhallinnan uudelleenarviointiin.

 

2.2.3 Sisäinen tarkastus konsernin sisäisessä valvonnassa ja riskienhallinnassa

 

Sisäinen tarkastus tukee riskienhallinta-, valvonta-, johtamis- ja hallintoprosessien toimivuuden ja tuloksellisuuden arviointia sekä tarvittaessa toiminnan kehittämistä. Sisäisen tarkastuksen toimistolla on oikeus tarkastaa

myös tytäryhteisöjen sisäisen valvonnan järjestämistä ja toteuttamista.

 

Sisäisellä tarkastuksella on oikeus saada tytäryhteisöiltä kaikki tarkastusten ja sisäisen valvonnan ja riskienhallinnan järjestämisen ja toteuttamisen arvioimiseksi tarvitsemansa tiedot. Yhteisöjen tulee tarvittaessa avustaa tietojen saamisessa tarkastusta varten.

 

3. SISÄINEN TARKASTUS

 

3.1 Sisäisen tarkastuksen organisaatioasema ja tehtävä

 

Kaupungin hallintosäännön mukaan konsernihallinnossa toimii sisäinen tarkastus. Sisäistä tarkastusta johtaa tarkastusjohtaja. Kansliapäällikkö määrää tarkastusjohtajan yleisistä tehtävistä.

 

Sisäinen tarkastuksen tehtävänä on arvioida kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan toimivuus, tuloksellisuus sekä niiden kehittämistarpeet. Tehtäväkenttänä on kaupunkikonsernin kaikki toiminnot, yksiköt ja yhteisöt sekä ulkoistetut palvelut ja toiminnot. Toimistolla on kaupunkikonserniin nähden tiedotus- ja tiedonsaantioikeus, mutta ei päätösvaltaa eikä toimeenpano-oikeutta. Tämän estämättä ja riippumattomuuden vaarantumatta voi tarkastaja osallistua tarkastetun kohteen valvontamekanismien ja riskienhallinnan kehittämiseen, mikäli tarkastus tai kansliapäällikkö sitä edellyttävät.

 

Sisäisellä tarkastuksella on oikeus saada käyttöönsä tehtäviensä toteuttamista varten tarpeelliset tiedot, käyttö- ja kulkuoikeudet, asiakirjat sekä henkilöstö ja muu tuki. Tiedonsaantioikeuden toteuttamiseksi on tarkastusjohtajalla tai hänen nimeämällään tarkastajalla läsnäolo- ja puheoikeus niissä kokouksissa ja tilaisuuksissa, joissa käsitellään kaupunkikonserniin kuuluvien yksiköiden sisäistä valvontaa ja riskienhallintaa.

 

4. RISKIENHALLINTA

 

4.1 Riskienhallinta ja riskien arviointi

 

Riskienhallintaprosessi perustuu omien ydintoimintojen ja toiminnallisten tavoitteiden tiedostamiseen, näitä uhkaavien merkittävimpien riskien ja niiden seurausten tunnistamiseen sekä parhaiden riskienhallintakeinojen valitsemiseen ja toteuttamiseen. Jokaiselle riskille tulee nimetä omistaja, vastuuhenkilö sekä tarvittaessa määritellä hallintakeinolle aikataulu.

 

Kaupungin eri toiminnot ja keskeiset strategiset yhteisöt laativat vuosikelloon sidotun aikataulun mukaisesti riskien arvioinnin. Riskien arvioinnin laatijat käyttävät arvioinneissaan yhtenäistä ennalta sovittua riskienhallintaohjelmaa. Vuosikelloon sidotun riskien arvioinnin lisäksi toimintaympäristöä ja siihen kohdistuvia riskejä tulee arvioida säännöllisesti ja käydä niitä läpi johtoryhmässä. Uuden uhkaavan riskin ilmaantuessa tulee sen vaikutusta arvioida yllä mainitun riskienhallintaprosessin mukaisesti. Jokainen työntekijä, joka tunnistaa toimintaa uhkaavan keskeisen riskin, tulee ilmoittaa siitä lähijohtajalleen, jonka tehtävänä on välittää tieto siitä eteenpäin omassa organisaatiossaan. Riskienhallinnasta muodostuvan dokumentaation ja tallenteiden tulee olla jälkikäteen todennettavissa.

 

Arvioitavat riskit on jaettu operatiivisiin riskeihin, vahinkoriskeihin, taloudellisiin riskeihin sekä strategisiin riskeihin. Riskin aiheuttaja voi olla sisäinen ja / tai ulkoinen tekijä.

Riskin merkittävyyttä arvioidaan riskimatriisin avulla todennäköisyyden ja seurauksen tulona. Mitä todennäköisempää riskin toteutuminen on ja mitä vakavampi on sen vaikuttavuus, sitä merkittävämmästä riskistä on kysymys. Riskien arvioinnin laadinta tulee perustua usean henkilön asiantuntemuksen hyödyntämiseen, muutoin vaarana mm. on, että keskeisiä riskejä tai riskin todellista merkittävyyttä ei tunnisteta.

 

Jokaiselle riskille tulee määritellä hallintakeino. Riskienhallintakeinona voi olla:

 

riski säilytetään, siihen varaudutaan

riski poistetaan

riskiä lievennetään

riski jaetaan tai vastuuta siirretään.

 

Yhteen riskiin voi kohdentua yksi tai useampi riskienhallintatoimenpidetoimenpide.

 

Riskin hallintakeinoilla voi olla yksi tai useampi vastuuhenkilö, mutta riskin kokonaisvastuu on silti sen omistajalla.

 

Lähtökohtana on, että jos ei voida vaikuttaa riskin syihin niin pitää pyrkiä vaikuttamaan riskin seurausten pienentämiseen.

 

Riskienhallintatoimenpiteiden jälkeen voimaan jääviä riskejä, joihin ei voida tai haluta enää vaikuttaa, kutsutaan jäännösriskeiksi. Riskin omistajalla on vastuu hallita riskiä ja hyväksyä mahdollinen jäännösriski dokumentoidusti.

 

Riskit voivat olla toisistaan riippuvaisia, jolloin kerrannaisvaikutukset voivat olla uhkia. Osa riskeistä on sellaisia, joiden riskienhallintatoimenpiteiden omistajuus on muualla. Kaupunkikonserniin tai muilla sidosryhmiin kuuluvilla osapuolilla voi olla suuri vaikutus riskin todennäköisyyteen ja seurausten laajuuteen.

 

Riskien arviointia laadittaessa tulee tarkastella, miten kyseiset riskit vaikuttavat omien ydintehtävien hoitamiseen ja miltä osin riskin toteutumisen seurauksiin ja toiminnan jatkuvuuden varmistamiseen voidaan varautua itse vai onko vastuu riskienhallintatoimenpiteiden suorittamisesta toisaalla ja miltä osin. Jos riskienhallintatoimenpiteiden omistajana on joku toinen taho, niin tällöin tulee selvittää, miten he ovat varautuneet kyseiseen riskiin.

 

4.2 Toteutuneet riskit

 

Toteutuneen riskin tarkastelun lähtökohtana tulee olla, miten vältämme saman riskin uusiutumisen. Valittuja riskienhallintakeinoja tulee tarkastella kriittisesti, ovatko ne olleet oikeita ja riittäviä. Yksi keskeinen kysymys on, mitä opimme toteutuneesta riskistä? Toteutuneet riskit tulee myös käsitellä johtoryhmässä. Myös läheltä piti -tilanteita tulee seurata ja selvitellä.

 

Keskeiset toteutuneet riskit tulee kirjata ylös riskienhallintaohjelmaan. Toteutuneesta riskistä kirjataan tiedot siitä, milloin riski toteutui, mitä häiriöitä se aiheutti toiminnalle ja mitkä olivat riskin toteutumiseen johtaneet syyt. Toteutumisen seurausten ja syiden kuvausta selvitetään seuraavilla kysymyksillä: Mitä tapahtui? Miten tapahtui? Miksi tapahtui? Miten vaikutti?

 

4.3 Vastuu riskien arvioinnin suorittamisesta

 

Palvelualueiden ja palvelukokonaisuuksien johtajat vastaavat siitä, että heidän vastuualueillaan ja palvelukokonaisuuksissa on tehty riskien arviointi. Tytäryhteisöjen toimitusjohtajat vastaavat yleistoimivaltansa puitteissa riskienhallinnasta.

 

4.4 Seuranta ja katselmointi

 

Riskienhallintakeinojen vaikuttavuus ja tehokkuus varmistetaan seurannan ja katselmoinnin avulla. Seurantaan ja katselmointiin kuuluu valvontaa ja tarkastuksia, joita voidaan tehdä määrävälein tai tapauskohtaisesti.

 

Seurantaan ja katselmointiin sisältyvät toimintaympäristön sisäisten ja ulkoisten muutosten, riskien muutosten ja riskikriteerien muutostarpeiden havaitseminen. Riskienhallinnasta muodostuvan dokumentaation ja tallenteiden tulee olla jälkikäteen todennettavissa.

 

4.5 Raportointi

 

Riskienhallinta ja sen kehittäminen on osa strategiaa. Tarvittavat tiedot raportoidaan johdolle ajantasaisesti. Toiminnan kehittämistä ja strategisia painopisteitä mietittäessä riskienhallinta tulee katsoa osana kokonaisuutta. Riskienhallintaa kehitetään siten, että pystytään vastaamaan muuttuvan toimintaympäristön haasteisiin, hyödyntämällä riskienhallinnasta ja sisäisestä valvonnasta annettuja ohjeita.

 

Riskiraportoinnin tarkoitus on antaa kaupungin johdolle kaupunkikonsernin riskienhallinnasta kokonaisvaltainen kuva. Raportointi on osa toiminnan kehittämistä ja sisältyy normaaliin vuosisuunnittelun operatiiviseen seurantaan sekä toiminnan kehittämiseen. Riskienhallinnan kannalta keskeiset mittarit sisällytetään vuosisuunnitelmiin ja niitä hyödynnetään toiminnan suunnittelussa ja seurannassa. Kaupungin toimintakertomuksessa raportoidaan kirjanpitolautakunnan kuntajaoston ohjeen mukaisesti riskienhallinnasta ja sen kehittämistarpeista.

 

Riskiraportoinnin tulee toimia myös tilanteissa, joissa muuttunut toimintaympäristö tai havaitut poikkeamat aiheuttavat tarvetta riskien uudelleen arviointiin. Mikäli toteutunut riski aiheuttaa yli 5 %:n poikkeaman talous - tai toimintasuunnitelmaan kyseiselle vuodelle, on esimiehen laadittava siitä poikkeamaraportti. Johdon käsittelyn jälkeen poikkeamaraportti toimitetaan ao. luottamuselimelle sekä kaupunkikonsernin riskienhallintapäällikölle, pormestarille ja kansliapäällikölle. Raportointihierarkia, jonka mukaan toimitaan, on suositeltavaa kuvata kaupungin johtoon saakka. Jos toimielimet ennustavat ylitystä tai tavoitteen toteutumattomuutta osavuosikatsauksessaan, tulee niiden laatia riskianalyysi poikkeaman seurauksista ja mahdollisesti tarvittavista hallintakeinoista.

 

4.6 Riskienhallinnan koordinaatioryhmä

 

Kaupunkikonsernin riskienhallinnan ja sisäisen valvonnan arvioimiseksi ja kehittämiseksi on perustettu kansliapäällikön nimeämä riskienhallinnan koordinaatioryhmä. Koordinaatioryhmä muodostuu eri toimintojen, keskeisten yhteisöjen ja pelastustoimen edustajista. Koordinaatioryhmän puheenjohtajana toimii riskienhallintapäällikkö, joka raportoi riskienhallinnasta kaupungin johdolle.