Pöytäkirja nh Merikotka, Siltasaarenkatu 18-20A 9. krs, Helsinki

Transkriptio

1 Valtori I Valtion tieto-ja viestintätekniikkakeskus Pöytäkirja 1 (3) Valtorin hallituksen kokous 9/2014 Aika pe klo Paikka nh Merikotka, Siltasaarenkatu 18-20A 9. krs, Helsinki Läsnä Timo Valli, puheenjohtaja Pirjo Pöyhiä, varapuheenjohtaja Jukka Aaltonen, jäsen (henkilöstön edustaja) Hilkka Alatalo-Korpi, jäsen Arto Jalkanen, jäsen Kari Pessi, toimitusjohtaja Niina Taikka, sihteeri Poissa Helena Forsman, jäsen 1. Kokouksen avaus, päätösvaltaisuuden toteaminen ja pöytäkirjan tarkastajan valinta Puheenjohtaja avasi kokouksen klo Todettiin läsnäolijat. Hallituksen jäsenistä yli puolet oli edustettuna, joten kokous katsottiin päätösvaltaiseksi. Pöytäkirjan tarkastajaksi valittiin Arto Jalkanen. 2. Esityslistan hyväksyminen Hyväksyttiin esityslista. 3. Toimitusjohtajan katsaus ja päätöspöytäkirjat Toimitusjohtaja esitteli Valtorin strategian toimeenpanon tilanteen ja muut ajankohtaiset asiat (liite 1) sekä aikavälillä kirjatut päätökset ja sopimukset, jotka ovat nähtävillä hallituksen sähköisessä työtilassa. Keskusteltiin lyhyesti muun muassa TUVElain etenemisestä. Merkittiin tiedoksi katsaus, käyty keskustelu sekä päätökset ja sopimukset 4. Toimitusjohtajan sijaisten nimeäminen Valtorin työjärjestyksen mukaan hallitus määrää toimitusjohtajan sijaisen. Toimitusjohtajan ensimmäiseksi sijaiseksi esitettiin kehitysjohtaja Sari-Anne Hannula ja toiseksi sijaiseksi hankintajohtaja Mikko Vuorikoski. Hallitus kävi keskustelun kuukausittaisen lisäkorvauksen maksamisesta toimitusjohtajan sijaisiksi määrättäville. Valtion tieto- Javlestintiteknlikkakaskus Valtori

2 Valtori Valtion tieto-ja I viestintätek niikkakeskus Pöytäkirja 2 (3) Päätettiin määrätä toimitusjohtajan ensimmäiseksi sijaiseksi kehitysjohtaja Sari-Anne Hannula ja toiseksi sijaiseksi hankintajohtaja Mikko Vuorikoski. Lisäksi päätettiin, että ensimmäiseksi sijaiseksi määrätylle maksetaan kuukausittaista lisäkorvausta sijaisuudesta. 5. VaJtorin tulossopimus vuodelle 2015 Toimitusjohtaja esitteli Valtorin tulossopimusesityksen vuodelle 2015 niillä muutoksilla, jotka siihen on tehty hallituksen puheenjohtajan ja toimitusjohtajan käytyä keskustelun tulossopimuksesta tulosohjaajan kanssa Merkittiin tiedoksi tulossopimuksen neuvottelutilanne. 6. Valtorin viestintäohjelma Toimitusjohtaja eslttef Valtorin viestintäohjelman, josta keskusteltiin. Hallitus totesi, että ohjelma on hyvin valmisteltu, mutta esitysasultaan vielä turhan laaja. Hallitus piti tärkeänä, että viestintäohjelma sisältää linjaukset poikkeusolo- ja kriisviestinnästä. Hallitus edellyttää, että ohjelma tiivistetään noin kolmasosaan nyt esitetystä ja siihen sisällytetään henkilöstölle tarkoitetut Valtori-viestinnän periaatteet/ohjeet (code of conduct). Merkittiin tiedoksi Valtorin viestintäohjelman valmistelun tilanne. 7. Valtorin riskienhallinnan ja kokonaisuusturvallisuuden suunnitelma Toimitusjohtaja esitteli toimintasuunnitelman Valtorin riskienhallinnan ja kokonaisuusturvallisuuden toteuttamiseksi (liite 2), josta keskusteltiin. Hallitus edellyttää, että riskienhallinnan raci-taulukko tuodaan hallituksen käsittelyyn alkuvuonna Hyväksyttiin toimintasuunnitelma Valtorin riskienhallinnan ja kokonaisuusturvallisuuden toteuttamiseksi, riskienhallintapolitiikka, tietoturvapolitiikka, kokonaisturvallisuuden periaatteet sekä jatkuvuudenhallinnan periaatteet. 8. Hallituksen toiminnan itsearviointi Hallituksen puheenjohtaja esitteli ehdotuksen hallituksen toiminnan itsearviointilomakkeeksi. Keskusteltiin itsearvioinnin toteuttamisesta. Merkittiin tiedoksi käyty keskustelu. Hallituksen puheenjohtaja muokkaa kyselylomakkeen käydyn keskustelun pohjalta. Kysely toteutetaan sähköisenä kyselynä, jonka tulokset tuodaan tammikuun kokoukseen. 9. Seuraaviin kokouksiin valmisteltavat asiat Tammikuun kokoukseen valmistellaan yhteenveto Valtorin toiminnasta vuonna 2014 ja lähitulevaisuuden keskeisimmistä tavoitteista pohjaksi hallinnointi- ja ohjausjärjestelmien (corporate governance) arvioinnille, tulosyksikkökohtaiset strategian toimeenpanosuunnitelmat, tiivistetty viestintäohjelma sekä riskienhallinnan raci-taulukko. Tammikuun kokouksessa toteutetaan myös hallituksen toiminnan itsearviointi. Helmikuun kokoukseen valmistellaan Valtorin tilinpäätös ja toimintakertomus vuodelta 2014 sekä esitys palvelujen hinnoittelun perusteista ja muista yleisistä periaatteista. Hyväksyttiin hallituksen seuraaviin kokouksiin valmisteltavat edellä kuvatuin lisäyksin. Valtion tleto- ja viestintätekniikkakeskus Valtori

3 Valtori Valtion tieto-ja I viestintatekn iikkakeskus Pöytäkirja 3 (3) Muut asiat Toimitusjohtaja esitteli valtion yhteisen IDM-ratkaisun hankintaesityksen, josta keskusteltiin. Lopullinen investointipäätös tulee hankkeen edetessä hallituksen käsittelyyn. Päätettiin hyväksyä hankkeen jatkaminen esityksen mukaisesti. 11. Kokouksen päättäminen Puheenjohtaja päätti kokouksen klo Allekirjoitukset Ld;~ Timo Valli hallituksen puheenjohtaja Liitteet hallituksen jäsen 1 Toimitusjohtajan katsaus 2 Toimintasuunnitelma Valtorin riskienhallinnan ja kokonaisuusturvallisuuden toteuttamiseksi, riskienhallintapolitiikka ja tietoturvapolitiikka Valtion tieto- ja viestintätekniikkakeskus Vaitori

4

5 Valtion tieto- ja viestintätekniikkakeskus Valtori Tilannekatsaus Hallituksen kokous Kari Pessi

6 Valtorin tilannekatsaus Asiakas TUVE-lainsäädännön tilanne Ihmiset ja osaaminen Tulosalueiden päälliköiden rekrytoinnin tilanne Valtorin työnantajalupaus Palvelut ja prosessit Tuotteistamisen eteneminen Toimittajatapaaminen Kari Pessi

7 Hallituksen esitys eduskunnalle laiksi julkisen hallinnon turvallisuusverkkotoiminnasta Hallituksen esitys eduskunnalle laiksi julkisen hallinnon turvallisuusverkkotoiminnasta (HE 54/2013 vp) on läpäissyt hallintovaliokunnan ja etenee Eduskunnan täysintokäsittelyyn ja sen on tarkoitus tulla voimaan Valmisteilla olevan turvallisuusverkon tavoitteena on tarjota keskeisille turvallisuudesta vastaaville viranomaisille ja valtionjohdolle, ministeriöt mukaan lukien, korkean varautumis- ja turvallisuustason tietoliikenneratkaisu. Perusajatuksena on taata, että turvallisuusviranomaisten tietoliikenne on suojattua ja käytettävyys varmistettua, kyseisten viranomaisten kriittinen tietoaineisto varastoitua ja hallinnoitua Suomessa sekä että liiallista riippuvuutta kaupallisista toimijoista vältetään. TUVE-hankkeessa on tavoitteena myös parantaa valtionjohdon päätöksentekoedellytyksiä, tilannekuvan muodostamista ja viranomaisten välistä tietojen vaihtoa sekä tiedon eheyden ja kiistämättömyyden edellytyksiä kaikissa turvallisuustilanteissa. Valiokunta pitää mainittuja hankkeen keskeisiä lähtökohtia yhteiskuntamme kannalta erittäin tärkeinä. 3 Kari Pessi

8 Hallituksen esitys eduskunnalle laiksi julkisen hallinnon turvallisuusverkkotoiminnasta Turvallisuusverkon palvelutuotanto ehdotetaan TUVE-laissa jaettavaksi kolmeen palvelukokonaisuuteen: 1) turvallisuusverkon verkko- ja infrastruktuuripalvelut, 2) yhteiset tieto- ja viestintätekniset palvelut ja 3) integraatiopalvelut. Lakiehdotuksen mukaan turvallisuusverkon verkko- ja infrastruktuuripalvelujen tuottajana toimii Suomen valtion kokonaan omistama turvallisuusverkkotoiminnassa voittoa tavoittelematon Suomen Erillisverkot Oy -niminen osakeyhtiö (ERVE). Ehdotetun sääntelyn erikoispiirteisiin kuuluu, että verkko- ja infrastruktuuripalvelujen tuottajana voi toimia myös Suomen Erillisverkot Oy:n perustama ja kokonaan omistama tytäryhtiö. Itse asiassa tätä toimintaa varten on perustettu Suomen Turvallisuusverkko Oy. Lakiehdotuksen perusteella Suomen Erillisverkot Oy:n on erotettava käsiteltävänä olevassa lakiehdotuksessa tarkoitettu toiminta hallinnollisesti, toiminnallisesti ja taloudellisesti muusta toiminnastaan. 4 Kari Pessi

9 Hallituksen esitys eduskunnalle laiksi julkisen hallinnon turvallisuusverkkotoiminnasta Ehdotetun TUVE-lain siirtymäsäännöksen mukaisesti Hallinnon tietotekniikkakeskus HALTIK toimii TUVE-lain mukaisena tieto- ja viestintäteknisten palveluiden tuottajana enintään asti. Tämän jälkeen tarkoitus on, että (poist.) palvelutuotanto siirtyy perustettavalle valtion toimialariippumattomia ICT-palveluja tuottavalle palvelukeskukselle, Valtion tieto- ja viestintätekniikkakeskus Valtorille (TORIpalvelukeskus). Palvelutuotannon on tarkoitus jatkua mainitun siirtymäajan päättymisen jälkeen samojen periaatteiden mukaisesti ja pääosin samalla henkilöstöllä. Yksityiskohtaisissa perusteluissa valiokunta ehdottaa siirtymävaiheelle varattavaksi aikaa kaksi vuotta lain voimaantulosta. Hallintovaliokunta painottaa muutettavan 8 :n 2 momentin merkitystä. Valiokunta korostaa, että säännös velvoittaa palveluntuottajan erottamaan TUVE-laissa tarkoitettu toiminta hallinnollisesti, toiminnallisesti ja taloudellisesti muusta kuin TUVE-lain mukaisesta toiminnastaan. Valiokunta katsoo, että toiminta tulee erottaa erilliseen TUVE-yksikköön. 5 Kari Pessi

10 Hallituksen esitys eduskunnalle laiksi julkisen hallinnon turvallisuusverkkotoiminnasta Integraatiopalvelujen tuottajan tehtävänä on yksinoikeudella yhdistää turvallisuusverkon palvelut käyttäjien muihin tieto- ja viestintäteknisiin palveluihin ja vastata tämän palvelukokonaisuuden välittämisestä ja tarjoamisesta käyttäjille. Keskeistä integraatiopalvelun tuottajan (integraattorin) tehtävässä on käyttäjän teknisen liittämisen lisäksi käyttäjäsuhteen muodostaminen turvallisuusverkon muiden palveluntuottajien ja käyttäjän välille sekä TUVE-palvelujen yhteensovittaminen käyttäjän toimialasidonnaisiin palveluihin ja toimialariippumattomiin TORI-palveluihin. Tarkoituksena on, että käyttäjäsuhde muodostetaan käyttäjäryhmiä ohjaavien ministeriöiden sekä verkko- ja infrastruktuuripalvelujen ja tieto- ja viestintäteknisten palvelujen palveluntuottajien välisillä puitesopimuksilla. Integraatiopalvelujen tuottajan ja verkon käyttäjän välille solmitaan palvelusopimus. Aiemmin käsiteltävänä olleen TORI-lakiesityksen perustelujen mukaan myös integraatiopalvelujen tuottamisen on suunniteltu annettavan nyttemmin perustetulle palvelukeskukselle (poist.) Valtorille (HE 150/2013 vp). Hallintovaliokunta ehdottaa yksityiskohtaisissa perusteluissa ilmenevin tavoin, että Valtion tieto- ja viestintätekniikkakeskus Valtori toimii myös integraatiopalvelujen tuottajana. Valiokunnan saaman selvityksen mukaan integraatiopalvelujen tuottamisessa on tärkeää huomioida myös näiden palvelujen järjestäminen TUVEn käyttäjinä oleville kuntasektorin toimijoille. Kari Pessi

11 Hallituksen esitys eduskunnalle laiksi julkisen hallinnon turvallisuusverkkotoiminnasta Valtiovarainministeriö vastaa turvallisuusverkkotoiminnan yleishallinnollisesta, strategisesta, taloudellisesta ja tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta ja valvonnasta. Turvallisuusverkon palvelutuotannon ohjauksesta ja valvonnasta vastaa valtiovarainministeriö. (Uusi 2 mom.) Ohjauksen toteuttamiseksi valtiovarainministeriö voi antaa palvelutuottajille määräyksiä. Määräykset voivat koskea 7, 9, 11 ja 12 :ssä tarkoitettuja turvallisuutta, varautumista, valmiutta ja jatkuvuutta koskevia vaatimuksia sekä turvallisuusverkon palvelutuotannon ja käytön ensisijaisuus-, kiireellisyys- ja muuta tärkeysmäärittelyä tai muita turvallisuusverkkotoiminnan ohjauksen kannalta välttämättömiä toimenpiteitä. Palvelutuottajien alihankkijoiden on noudatettava määräyksiä niiden suorittaessaan tämän lain mukaisia tehtäviä. (Uusi 4 mom.) 7 Kari Pessi

12 Hallituksen esitys eduskunnalle laiksi julkisen hallinnon turvallisuusverkkotoiminnasta "Turvallisuusverkon verkko- ja infrastruktuuripalveluja tuottavan yhtiön palveluksessa olevaan henkilöön ja turvallisuusverkon 6, 8 ja 10 :ssä tarkoitettujen palvelutuottajien alihankkijoiden palveluksessa oleviin henkilöihin ja 8 ja 10 :ssä tarkoitetun palvelutuottajan muussa kuin virkasuhteessa tai siihen rinnastettavassa palvelussuhteessa oleviin sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä heidän suorittaessaan turvallisuusverkkotoimintaan liittyviä tehtäviä. Rikosoikeudellista virakavastuuta koskevia säännöksiä sovelletaan myös 6 :ssä tarkoitettujen yhtiöiden hallituksen jäseniin ja muihin palvelutuottajien päättävissä toimielimissä oleviin sekä alihankkijoiden päättävissä elimissä oleviin heidän tehdessään turvallisuusverkkotoimintaan liittyviä tehtäviä. Puolustusvoimat ja valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain 5 :n 1 momentissa tarkoitettu palvelukeskus toimivat 6 :ssä tarkoitettuina turvallisuusverkon verkko- ja infrastruktuuripalvelujen tuottajina enintään 31 päivään joulukuuta 2016 saakka. Hallinnon tietotekniikkakeskus toimii 8 :ssä tarkoitettuna turvallisuusverkon tieto- ja viestintäteknisten palvelujen ja 10 :ssä tarkoitettuna turvallisuusverkon integraatiopalvelujen tuottajana enintään 31 päivään joulukuuta 2016 saakka. Valtioneuvosto päättää tarkemmin 1 ja 2 momentissa säädetyn määräajan puitteissa 6, 8 ja 10 :ssä tarkoitetuille palveluntuottajille siirrettävistä tehtävistä ja toiminnoista sekä aikataulusta. 8 Kari Pessi

13 Palvelutuotannon tulosalueiden päälliköt Tilanne Tehtävä Henkilö Koulutus Status Käyttäjätukipalvelut, päällikkö Päätelaite- ja viestintätekniset palvelut, päällikkö Tietoliikenne- ja käyttöpalvelut, päällikkö Projekti- ja asiantuntijapalvelut, päällikkö Nanna Nevatalo emba OK Paula Aalto FM, LTM OK Jukka Yli-Koivisto FM OK auki 9 Kari Pessi

14 Valtion tieto- ja viestintätekniikkakeskus Valtori Valtorin työnantajalupaus (LUONNOS) Työpaja

15 Työnantajalupauksen muodostaminen STRATEGIA Valtorin strategian kannalta keskeisten tekijöiden esiintuominen STRATEGIA PREFERENSSIT AMMATTILAISTEN PREFERENSSIT IT-ammattilaisten työnantajiltaan haluamat asiat IDENTITEETTI VALTORIN IDENTITEETTI Valtorin realistinen tarjoama (nyt ja tulevaisuudessa)! Millaisia ihmisiä tarvitsemme ja miten varmistamme, että talossa on oikeat ihmiset? Kari Pessi 11

16 Työnantajalupauksen tärkein hyöty Tyytyväinen henkilöstö Saavutetaan tavoitteet Tyytyväiset asiakkaat Vaikutus Valtorin kokonaisimagoon Tekee Valtorista houkuttelevan työpaikan Kiteyttää Valtorin strategiset tavoitteet Luo Valtorista mielikuvaa sekä työnantajana että laajemmin toimijana Vaikutus Valtorin henkilöstöön Antaa viestin, että Valtori sitoutuu annettuihin lupauksiin ja henkilöstö on tärkeä Auttaa odotusten hallinnassa, helpottaa esimiestyötä Henkilöstöstä heimo Identiteetti Sitoutuminen Totuudenmukainen työnantajalupaus herättää luottamuksen, ei hypeä Kari Pessi 12

17 Nykyiset valtorilaiset eivät arvosta innovaatiota yhtä paljon kuin ulkoinen verrokkiryhmä ULKOISET AMMATTILAISET TOP Kilpailukykyinen peruspalkka 2. Luova ja dynaaminen työympäristö 3. Innovatiivisuus 4. Varma työsuhde 5. Taloudellinen vahvuus 6. Työntekijöitä kunnioittava kulttuuri 7. Ystävällinen työympäristö 8. Joustavat työolot 9. Monipuoliset työtehtävät 10. Houkuttelevat / mielenkiintoiset tuotteet ja palvelut VALTORILAISTEN TOP Kilpailukykyinen peruspalkka 2. Monipuoliset työtehtävät 3. Työntekijöitä kunnioittava kulttuuri 4. Houkuttelevat / mielenkiintoiset tuotteet ja palvelut 5. Johtajia, jotka tukevat työntekijöiden kehitystä 6. Varma työsuhde 7. Arvostettu 8. Ystävällinen työympäristö 9. Mahdollisuus työn ja vapaa-ajan yhteensovittamiseen 10.Yhteiskuntavastuu Kari Pessi 13

18 Henkilöstön näkemyksiä Valtorin nykytilanteesta Mielenkiintoinen ja haastava kokonaisuus. kaikki mahdollisuudet vaikuttaa yhteiskunnan hyvään tavoitteena kustannussäästöt toiminnassa niin Valtorissa, kuin asiakkaalla. Mielenkiintoisia palveluita, projekteja ja muita osa-alueita, joihin tarvitaan ammattiaitoista väkeä. Tästä voi kasvaa jotain hyvää. Turvallinen työympäristö. Kunnianhimoiset ja selkeät tavoitteet En keksi miksi nyt kannattaisi tulla... ehkä myöhemmin jos Valtori saa hankittua johdon itselleen ja asiat toimimaan. Johtajan paikoilta saa vähintäänkin hyvän ponnahduslaudan ja todennäköisesti hyvä urapolun. Jos on perusduunari, niin ei tässä vaiheessa kannata tulla kuin tilapäisesti työttömyysputkea katkaisemaan. Työn ja palkkatason säilyvyys on erittäin epävarmaa. Tulevaisuus on vielä auki, eli mahdollisuuksia on periaatteessa vaikka mihin, jos vaan johto hoitaa asiat hyvin. Kari Pessi 14

19 Valtorin johdon valitsemat teemat (LUONNOS) EROTTUVA Yhteiskuntavastuu Työntekoa kunnioittava Houkuttelevat palvelut Yhdistelmä muodostaa viestien kärjen KILPAILUKYKYINENN Joustavat työolot Monipuoliset työtehtävät Arvostus Tukevat, selittävät ja täydentävät kärkiviestejä KILPAILIJOIDEN TASOLLA Tasa-arvo Tiimityö Tukevat, selittävät ja täydentävät kärkiviestejä Kari Pessi 15

20 Työnantajalupauksen sisältö (LUONNOS) MITÄ? Houkuttelevat palvelut - Monipuoliset työtehtävät Houkuttelevat palvelut takaavat kiinnostavat haasteet Palveluista konkreettista hyötyä Arvostettu ja houkutteleva työnantajana Valtionhallinnon osaaja - osaaminen koko palvelun elinkaaren ajan - MITEN? Työntekijöitä ja työn tekemistä kunnioittava kulttuuri Työntekoa ja saavutuksia kunnioittava kulttuuri, tiimityön arvostus Luottamus, kiitos, arvostus, suorituksen huomioinen, yrityksen ja erehdyksen kulttuuri Joustavuus työntekemisen tavoissa luo myös mielikuvaa ketterämmästä toiminnasta ja organisaatiosta Tasa-arvoinen työpaikka Turvallinen Pitkäjänteinen MIKSI? Yhteiskunnallinen vastuu Mahdollistaja ja yhteiskunnallinen vaikuttaja Asiakkaat pystyvät tuottamaan tärkeät palvelut Valtorissa vaikuttaa yhteiskunnan kriittisiin toimintoihin turvallisuusnäkökulma Vaikuttavat hankkeet Uudet palvelut Valtiolle Arvostettu Haastaa tekemään paremmin säästää resursseja tulos ratkaisee! Kari Pessi 16

21 Valtorin työnantajaviestien kärki Valtori haastaa kaikki sidosryhmät tekemään asioita järkevämmin- (LUONNOS) Valtorissa vaikutat koko yhteiskuntaan: kun Valtori löytää tehokkaan tavan tuottaa julkiselle- ja valtionhallinnolle palveluita, myös Valtorin asiakkaat pystyvät paremmin kehittämään palvelujaan Valtorissa teemme pitkäjänteistä työtä koko Suomen eduksi. Tule mukaan vaikuttamaan osaamisellasi! Mielenkiintoiset palvelut takaavat mielenekiintoisen tehtäväkentän Valtorissa kehitetään laajamittaisesti laadukkaita ja asiakastarpeet täyttäviä ICT-palveluja haluamme olla julkishallinnon uudistaja! Kunnioittava kulttuuri Valtorissa kunnioitetaan sekä työntekijöitä että itse työn tekemistä. Luotamme osaajiimme - tulos ratkaisee! Yhteiskunnallinen vastuu Valtorin tuottamat palvelut auttavat julkista- ja valtionhallinnon sektoria keskittymään olennaiseen. Yhtenäistämällä toimintamalleja saavutamme tärkeitä säästöjä ja kehitetään Suomen kilpailukykyä. Vastuullisuus Yhteinen toimintatapa Kumppanuus - Jatkuva kehittyminen Hyvä työpaikka Kari Pessi 17

22 Valtori Tuotteistustyön tilannekatsaus

23 Tuotteistustyön etenemissuunnitelma Tavoitteet Luoda Valtorille tuotteistusmalli, jonka pohjalta se voi kuvata ja tuotteistaa kaikki sen palvelut. Tehdä ensimmäinen tuotteistus (proof of concept) valitusta tuotealueesta. Antaa Valtorin tuote- ja tuotantovastaaville sekä kehityshenkilöstölle valmiudet itsenäisesti tehdä uusia tuotteistuksia. Aikataulu Tuotteistus jatkuu tämän jälkeen Valtorin omana työnä -> palvelut tuotteistettu 12/2015 mennessä Lopputulokset Tuotteistusmallin kuvaus Tuotteistukseen liittyvät mallipohjat Yksi valittu tuotteistettu palvelu Palvelukatalogin malli Tulevien tuotteistusten suunnitelma (roadmap) Osallistujat Valtorin johto ja asiantuntijat Konsulttina Conversatum Oy 19 Kari Pessi

24 Tuotteistustyön aikataulu ja tarkistuspisteet Tuotteistustyö Kokonaisuuden tarkastelu Proof of concept Käyttöönotto Tuki ja seuranta Alustava palveluvalikoima Tuotteistuksen roadmap POC valmis Palaute Dokumenttimallit Ohjeet Projektin päättäminen = ohjausryhmän kokous 20 Kari Pessi

25 Valtorin palvelut 21 Kari Pessi

26 Valtorin tuotteistettavat palvelut ja roadmap 1. Käyttäjän palvelut Tuotteistusaikataulu 1.1 Työntekijän peruspalvelut 04/ / Päätelaitepalvelut 04/ / Viraston palvelut 2.1 Viraston perustietotekniikka 04/ / Viraston lisäpalvelut 09/ / Kapasiteettipalvelut 11/ / Asiantuntijapalvelut 09/ / Sähköisen asioinnin tukipalvelut 06/ / Etenemisjärjestys 22 Kari Pessi

27 Tuotteistuksen lopputulokset Palveluvalikoima (palvelukatalogi) Yksittäisen palvelun Esittelymateriaali (pptx) Palvelukuvaus, jonka liitteinä mm. Palvelutasokuvaus Toiminnallinen kuvaus / tekniset vaatimukset Kustannusrakenne ja hinnoittelu Palveluun liittyvät tekniset palvelukomponentit (sis. osaamisvaatimusten tarkastelun) Hinnasto 23 Kari Pessi

28 Tuotteistus ja Valtorin prosessien kehittäminen Tuotteistus liittyy uuden ja muuttuneen palvelun prosessiin Proof-of-concept tuotteistuksessa käydään läpi tukiprosesseja mm. tilaaminen, toimittaminen, raportointi Tuotteistuksen ja toiminnanohjausjärjestelmän kehittämishankkeen kesken pidetään yhteinen palaveri tammikuun loppupuolella, jotta toiminnanohjausjärjestelmän kehittämiseen saadaan vaatimuksia tuotteistuksesta tuotteistukseen saadaan peruslinjauksia toiminnanohjauksen kehittämisestä Asiakkaat mukaan tuotteistukseen (tammi-helmikuun vaihde) 24 Kari Pessi

29 Palvelujen tuotteistaminen Suunnitelmallinen palvelukehitys Palvelutuotanto Asiakasyhteistyö Palvelujen tuotteistaminen Prosessit Hankinnat ja toimittajahallinta Toiminnan organisointi ja ohjaus Henkilöstö Kehittäminen ja innovointi Riskienhallinta ja kokonaisturvallisuus Tukitoiminnot viestintä, tilat, talous, tietohallinto TORI-tehtävien siirrot Tavoitetilan kuvaus Asiakkaan tarpeet Arvoketju Asiakasroolit Palvelun arvolupaus Palveluluettelo Palvelukuvaukset Palveluesitteet Palveluvaatimukset Palvelun kuvaus ja viestintä asiakkaan näkökulmasta Toimintamalli verkostossa Missä verkostossa palvelu tuotetaan Asiakkaan saama hyöty Ansaintamalli - rahoitusmalli Palvelun kustannusrakenne, elinkaarikustannukset Hinnoittelu Loppukäyttäjän tarpeet Tuotteistettu palvelu Palvelutuotanto Käyttäjän ohjeet Tilausprosessin kuvaus Toimitusketju, toimitusprosessin kuvaus Alihankkijat prosessin osana Asiakkaan/käyttäjän osallistuminen toimitukseen Palvelun toimitus Palvelun tuottaminen Tuotannon tehokkuus Operointiohjeistus Tuotantoprosessi Palveluiden yhtenäistäminen Roolit ja vastuut Tarvittavat resurssit ja osaaminen Tuottamista tukeva organisointi

30 Tietoiskuja ict-toimittajille Valtorista Valtori ja sen Hankinnat- tulosyksikkö järjesti historiansa ensimmäisen toimittajille suunnatun tilaisuuden nimellä Valtori asiakkaana: Rautaisannos Valtori - tietoiskuja ict-toimittajille Tilaisuus pidettiin Opetushallituksen monitoimitilassa ja osallistujia oli n. 130 henkilöä Tilaisuudessa tavattiin Valtorin nykyisiä ja tulevia perustietotekniikan ja viestintätekniikan tuote- ja palvelutoimittajia ja heille kerrottiin Valtorin tämän hetken ja tulevaisuuden näkymistä Tilaisuuden ohjelma koostui Valtorin johtoryhmän edustajien esityksistä, joissa esiteltiin Valtorin strategiaa, kehityssuunnitelmia ja ensi vuoden kilpailutuksia, Valtorin ja Hanselin rooleja palveluiden kilpailuttamisissa sekä Valtorin omaa tuotantoa ja toimittajien tuottamia palveluita. Sen lisäksi Hankinnat- tulosyksikön asiantuntijat esittelivät tietoiskuja hankintamenettelyistä erilaisissa Valtorin hankinnoissa Tilaisuus on osa Valtorin toimittajayhteistyötä ja tarkoituksena on järjestää vastaavanlaisia tapaamisia toimittajien kanssa muutaman kerran vuodessa. 26 Kari Pessi

31 Ohje 1 (17) [Dnro] [Apuotsikko] Valtorin riskienhallintapolitiikka [Alaotsikko] Valtion tieto- ja viestintätekniikkakeskus Valtori

32 Ohje 2 (17) [Dnro] Sisällysluettelo 1 Johdanto Tavoitteet Riskienhallinnan periaatteet Riskienhallinnan toteuttaminen ja luokittelu Riskienhallinnan vastuut Raportointi Ylläpito ja hyväksyminen Liitteet Liite 1 - Velvoitteet ja vaatimustenmukaisuus Liite 2 - Vastuunjakotaulukko PVM Muutokset Tekijä(t) Hyväksyjä Hyväksyntä PVM Luonnos johtoryhmälle v 0.90 Kimmo Rousku, Valtorin tietoturvaryhmä, Marko Sjöroos Versio 1.0 Kimmo Rousku, Valtorin tietoturvaryhmä, Marko Sjöroos Valtion tieto- ja viestintätekniikkakeskus Valtori

33 Ohje 3 (17) [Dnro] 1 Johdanto Riskienhallinta tarkoittaa yleisesti menettelyitä, joilla tunnistetaan, arvioidaan ja hallitaan organisaation tavoitteiden saavuttamista heikentäviä tai toimintaa muuten vaarantavia uhkia (kielteisiä tai epäedullisia seikkoja), niiden todennäköisyyksiä ja vaikutuksia sekä avautuneiden toimintamahdollisuuksien menettämistä. Tavoitteiden saavuttamisen kannalta epäedulliset tai toimintaa häiritsevät tapahtumat sekä menetetyt mahdollisuudet ovat Valtorille riskejä. Valtori hallitsee riskejä tunnistamalla ja analysoimalla sekä laatimalla suunnitelman toimenpiteistä, joilla riskien toteutumista voidaan ehkäistä ja niiden vaikutuksia voidaan pienentää. Riskienhallinnan avulla turvataan Valtorin toiminta, tuotettavat palvelut ja niiden toimivuus sekä turvallisuus. Valtorin toiminta pohjautuu ISO standardin ja ITIL-käytäntöjen perusteella kehitettävään palvelunhallintajärjestelmään ja sitä toteuttavaan toiminnanohjausjärjestelmään. Valtorin kokonaisvaltainen riskienhallinta (ERM, enterprise risk management, jatkossa riskienhallinta ) on keskeinen osa tätä toiminnanohjausjärjestelmää ja samalla osa Valtorin laatujärjestelmää. Riskienhallinta on myös osa Valtorin kokonaisturvallisuuden sekä sisäisen valvonnan toteutusta. Tässä riskienhallintapolitiikassa määritetään riskienhallinnan tavoitteet, toimintamallit, vastuut sekä kokonaisuuteen liittyvä seuranta ja raportointi. Politiikkaa tukee erillinen riskienhallintaprosessin ohje, jossa on yksityiskohtaisesti kuvattu ja ohjeistettu käytännön tasolla riskienhallinnan toteuttaminen Valtorissa. Riskienhallinnan avulla tuetaan ja kehitetään sekä Valtorin päivittäistä toimintaa että Valtorin kokonaisturvallisuutta, joka on kuvattu tarkemmin Valtorin kokonaisturvallisuuden periaatteita määrittävässä asiakirjassa. Kokonaisvaltaisuus tarkoittaa sitä, että riskienhallinta otetaan huomioon Valtorin kaikessa toiminnassa, niin prosesseissa kuin yksittäisissä tietojärjestelmissä ja palveluissa sekä eri organisaatiotasoilla (johtoryhmä - tulosyksiköt - tulosalueet ja ryhmät). Valtoria uhkaavat riskit vaikuttavat yleensä useisiin Valtorin tulosyksiköihin, jolloin kokonaisvaltainen riskienhallinta auttaa johtoa tunnistamaan paremmin riskien keskinäiset vaikutukset. Valtorin riskienhallinta soveltaa COSO-ERM-viitekehystä 1 sekä siinä hyödynnetään soveltuvasti ISO standardia. Riskienhallinta soveltaa valtiovarainministeriön valtiovarain controller-toiminnon suositusta Valtion viraston ja laitoksen sekä rahaston sisäinen valvonta ja riskienhallinta - Valtionhallinnon hyvä käytäntö ja sen toteutumisen arviointi Valtion tieto- ja viestintätekniikkakeskus Valtori

34 Ohje 4 (17) [Dnro] Riskienhallinta Riskienhallintapolitiikka Kokonaisturvallisuus Tietoturvapolitiikka Kokonaisturvallisuuden periaatteet Jatkuvuudenhallinnan periaatteet Kuva 1. Riskienhallintapolitiikka on keskeisin Valtorin riskienhallintaa ja turvallisuutta ohjaava asiakirja. 2 Tavoitteet Riskienhallinnan keskeisin tavoite on tukea Valtorin strategista ohjausta ja johtamista. Riskienhallinta mahdollistaa luotettavan perustan päätöksenteolle ja suunnittelulle. Riskienhallinnan avulla parannetaan Valtorin strategisten- ja liiketoiminnallisten tavoitteiden saavuttamisen todennäköisyyttä. Edellisten lisäksi mahdollistetaan Valtorin toiminnan kilpailukykyisyys, laadukkuus, ekologisuus, tietoturvallisuus sekä parannetaan Valtorin operatiivista vaikuttavuutta ja tehokkuutta. Tunnistetut positiiviset mahdollisuudet voidaan nähdä uusia toimintamahdollisuuksia ja innovaatioita luovina tai toimintaa uhkaavia riskejä pienentävinä tekijöinä. Valtorin riskienhallinnan tavoitteita ovat: - tukee Valtorin toiminnan kilpailukykyisyyttä, laadukkuutta, ekologisuutta, tietoturvallisuutta - parantaa Valtorin operatiivista vaikuttavuutta ja tehokkuutta - tukee Asiakkaalle annetun arvolupauksen toteutumista, asiakastarpeiden täyttymistä ja asiakastyytyväisyyden toteutumista - mahdollistaa luotettavan perustan päätöksenteolle ja suunnittelulle - vaatimustenmukaisuuden täyttäminen; Valtori täyttää riskienhallinnan osalta sen toiminnalta edellytettävät vaatimukset - auttaa kokonaisturvallisuuden eri osa-alueita uhkien tunnistamisessa ja riskien hallitsemisessa - varautua Valtorin toimintaympäristössä tapahtuviin muutoksiin - tehostaa pääoman ja muiden resurssien käyttöä; riskien tunnistaminen auttaa johtoa arvioimaan tehokkaasti pääoman ja resurssien kokonaistarvetta ja mahdollistaa niiden oikean kohdentamisen - tukea Valtorin toiminnan jatkuvuutta ja varautumista normaalioloissa ja poikkeusoloissa Valtion tieto- ja viestintätekniikkakeskus Valtori

35 Ohje 5 (17) [Dnro] 3 Riskienhallinnan periaatteet Valtorin riskienhallinnan tarkoituksena on toteuttaa koko Valtorin toiminnan kattava ja tarkoituksenmukainen riskienhallintakokonaisuus ja prosessi. Riskienhallintaa käytetään osana Valtorin strategista ja vuosittaista toiminnan suunnittelu- ja johtamisprosessia, päätöksentekoa, päivittäistä johtamista ja toimintaa sekä valvonta- ja raportointimenettelyjä. Riskejä arvioidaan ja hallitaan liiketoimintalähtöisesti ja kokonaisvaltaisesti; keskeisiä riskejä tunnistetaan, arvioidaan, hallitaan, seurataan ja raportoidaan järjestelmällisesti osana liiketoimintaa ja palvelutuotantoa sekä muuta Valtorin toimintaan kaikilla organisaatiotasoilla. Valtorin riskienhallinnan keskeiset periaatteet ovat: Riskienhallinta on osa johtamista, toiminnan suunnittelua, päätöksentekoa ja turvallisuuden varmistamista; se on osa Valtorin kaikkea toimintaa ja prosesseja Johdossa, tulosyksiköissä, tulosalueilla, ryhmissä, prosesseissa ja palvelutuotannossa arvioidaan ja hallitaan riskejä säännöllisesti. Riskienhallinta auttaa päätöksentekijöitä tekemään tietoisia valintoja, asettamaan toimintoja tärkeysjärjestykseen ja erottamaan vaihtoehtoiset toimintatavat. Riskienhallinta luo lisäarvoa ja säilyttää sen Riskienhallinta edesauttaa tavoitteiden saavuttamista ja toiminnan kehittymistä Valtorin kokonaisturvallisuuden, lakien ja viranomaisten vaatimusten noudattamisen, yleisen hyväksynnän saavuttamisen, palveluiden laadun, projektinhallinnan, toimintojen ja hallintotavan tehokkuuden sekä maineen osalta. Riskienhallinta on järjestelmällistä, säännöllistä ja säännönmukaista Järjestelmällisyys lisää tehokkuutta ja tekee tuloksista yhdenmukaisempia, luotettavampia ja helpommin vertailtavia. Riskienhallinnan toimet kuvataan vuosikellossa. Säännöllisyys perustuu vuosikelloon ja säännönmukaisuus riskienhallinnan viitekehykseen sekä - prosessiin. Riskienhallinta on ennakoivaa ja ennaltaehkäisevää Riskienhallinnalla ennakoidaan toimintaympäristön muutoksia ja muuttuvia uhkakuvia sekä ennaltaehkäistään niiden vaikutuksia. Valtion tieto- ja viestintätekniikkakeskus Valtori

36 Ohje 6 (17) [Dnro] Riskienhallinnan vastuut on määritetty Valtorin riskienhallinnan ja kokonaisturvallisuuden vastuut on kuvattu ja tehtävät ovat vastuutettu kokonaisuutta määrittävissä asiakirjoissa. Riskienhallinta on kokonaisvaltaista toimintaa Riskienarviointi toteutetaan neliportaisen riskiluokittelun (strategiset taloudelliset operatiiviset vahinkoriskit) mukaisesti. Riskejä arvioidaan ja hallitaan taloudellisten vaikutusten ohella muun muassa vaikutuksina strategian ja tavoitteiden saavuttamiseen, asiakkaisiin, henkilöstöön, maineeseen, ympäristöön ja tietoihin. Riskienhallinta mahdollistaa riskienottamisen Valtori voi ottaa tarkkaan harkittuja ja arvioituja, tietoisesti valittuja riskejä kehittäessään toimintaansa strategian ja liiketoimintasuunnitelman mukaisesti ottaen huomioon Valtorin riskinottohalukkuus ja - kyky. Riskienhallinta sisältää mahdollisuuksien tunnistamisen Riskienarviointia suoritettaessa saatetaan tunnistaa positiivisia mahdollisuuksia kehittää Valtorin toimintaa. Ne tulee käsitellä riskienhallinnan menetelmin. Riskienhallinta on dynaamista, jatkuvasti kehittyvää ja muutoksiin reagoivaa Riskienhallinnan avulla havaitaan myös kriittiset muutokset ja niihin reagoidaan viipymättä. Riskienhallinnassa noudatetaan PDCAmallia (Suunnittele, Toteuta, Arvioi, Toimi), jolla varmistetaan kyky hallita riskejä myös muutostilanteissa ja mahdollistetaan toiminnan jatkuva kehittäminen. Ulkoisten ja sisäisten tapahtumien myötä kun toimintaympäristö ja tietämys muuttuvat, ilmaantuu uusia riskejä sekä osa riskeistä muuttuu ja osa katoaa. Riskienhallinnan tulee olla tarkoituksenmukaista ja kustannustehokasta Riskienkäsittelyn eri vaihtoehdoissa ja riskienkäsittelysuunnitelmassa kustannukset arvioidaan suhteessa hyväksyttyyn riskitasoon. Riskienhallinta tukee kokonaisturvallisuuden, toiminnan jatkuvuuden ja varautumisen kehittämistä Valtorin kokonaisturvallisuuden ja toiminnan jatkuvuuden ja varautumisen kehittäminen perustuu riskienhallintaan. Riskienhallinta edellyttää poikkeamiin varautumista Valtion tieto- ja viestintätekniikkakeskus Valtori

37 Ohje 7 (17) [Dnro] Kaikkia riskejä ei voida etukäteen tunnistaa eikä kaikkia riskejä ole tarkoituksenmukaista poistaa. Tämän takia tarvitaan häiriöiden ja poikkeamien hallintakykyä toteutuneiden uhkien ja riskien vaikutusten hallitsemiseksi. Tätä toteutetaan Valtorin jatkuvuudenhallinnan ja varautumisen periaatteiden mukaisesti. Riskien toteutumiseen varaudutaan jatkuvuudenhallinnalla Saatavuutta uhkaavien riskien toteutumiseen varaudutaan Valtorin toimintaa ja keskeisiä prosesseja, järjestelmiä ja palveluita varten laadittujen valmius-, jatkuvuus- ja toipumissuunnitelmien avulla. Niiden toimivuus varmistetaan yhteistyössä asiakkaiden, alihankkijoiden ja sidosryhmien kanssa pidettävillä harjoituksilla. Riskienhallinnan suunnittelu ja raportointi ovat jatkuvaa Riskienhallinnan toimintasuunnitelma laaditaan ja katselmoidaan vuosittain. Riskienhallinnan toteutumisesta laaditaan vuosittainen raportti. 4 Riskienhallinnan toteuttaminen ja luokittelu Riskienhallinnan toteuttamisessa lähtökohdaksi on otettu Valtorin toiminnan kehittäminen, kuten johtaminen, toimintatavat, prosessit sekä osaaminen. Näiden ohella tulee kehittää tarkoituksenmukaisia teknisiä suojakeinoja. Riskien luokittelu Riskit luokitellaan Valtorissa neljään riskiluokkaan: strategisiin riskeihin - liittyvät a) Valtorin toiminnalle asetettuihin strategisiin tavoitteisiin ja niiden toimeenpanoon sekä b) Valtorin omiin strategisiin linjauksiin - näitä ovat Valtorin strategiaan, toimintaympäristöön, toimintakulttuuriin ja asenteeseen, maineeseen, alihankintaan, kumppaneihin ja sidosryhmiin sekä säädöksiin liittyvät riskit. Nämä riskit voivat uhata tai hidastaa Valtorin toiminnalle asetettujen tavoitteiden saavuttamista ja vaikuttaa Valtorin kykyyn tuottaa palveluita taloudellisiin riskeihin - liittyvät Valtorille asetettuihin taloudellisiin ja laadullisiin tavoitteisiin. Tehokas, tarkoituksenmukainen Valtorin palvelunhallinta mahdollistaa kustannustehokkaat ja laatuvaatimukset täyttävät palvelut - näitä ovat esimerkiksi toiminnan suunnitteluun ja rahoitukseen, määrärahojen ja valtuuksien käyttöön, sopimuksiin, hinnoitteluun, laskutukseen, raportointiin ja seurantaan liittyvät riskit. Nämä voivat myös Valtion tieto- ja viestintätekniikkakeskus Valtori

38 Ohje 8 (17) [Dnro] uhata tai hidastaa Valtorin toiminnalle asetettujen tavoitteiden saavuttamista tai vaarantaa Valtorin päivittäistä toimintaa operatiivisiin riskeihin - liittyvät toiminnan jatkuvuuteen. Riskienhallinnan ja kokonaisturvallisuuden toteuttaminen (muun muassa tietoturvallisuus ja jatkuvuuden hallinta sekä varautuminen) muodostavat perustan Valtorin turvallisen toiminnan takaamiseksi - näitä ovat esimerkiksi Valtorin johtamiseen, henkilöstöön, toimintaan, prosesseihin, projekteihin, tietoihin, omaisuuteen ja toiminnan lainmukaisuuteen liittyvät riskit. Ne voivat vaarantaa Valtorin tavoitteiden saavuttamista tai uhkaavat Valtorin päivittäistä toimintaa tai prosesseja - tietoriskit ovat keskeinen operatiivisten riskien osa-alue Valtorin toiminnassa. Ne voivat toteutuessaan vaarantaa tiedon luottamuksellisuuden, eheyden tai saatavuuden menetyksen Vahinkoriskeihin - vahinkoriskit ovat äkillisiä, pääsääntöisesti omaisuuteen kohdistuvia riskejä, joita vastaan on mahdollista hankkia vakuutus - vahinkoriskit aiheuttavat taloudellista vahinkoa - vahinkoriski ei sisällä suoraan positiivista mahdollisuutta kuten edellä olevat muut riskiluokat - näitä ovat esimerkiksi toimitiloihin tai henkilöstöön liittyvät onnettomuudet ja vahingot Käytännön tasolla toteutettava riskienhallintaprosessi on kuvattu erillisessä ohjeessa. Valtion tieto- ja viestintätekniikkakeskus Valtori

39 Ohje 9 (17) [Dnro] 5 Riskienhallinnan vastuut Riskienhallinnan vastuut on kuvattu Valtorin työjärjestyksessä. Kokonaisuuden onnistuminen edellyttää Valtorin hallituksen, johdon ja esimiesten tukea ja näkyvää sitoutumista riskienhallinnan toteuttamiseen. Jokaisella tunnistetulla riskillä tulee olla omistaja, joka vastaa siihen liittyvien menetelmien ja toimenpiteiden toteuttamisesta. Valtorin riskienhallintastrategia Strategiset riskit Taloudelliset riskit Operatiiviset riskit Vahinkoriskit Prosessin omistaja - riskienhallintajohtaja Riskien arviointi: johtoryhmä Riskien arviointi: tulosyksiköt ja -ryhmät Kuva 2. Riskienhallintaprosessin kehittämisen ja riskien arvioinnin toteuttamisen vastuut. Riskienhallinta on osa koko Valtorin toimintaa, siihen osallistuvat rooliperusteisesti seuraavat tahot, heidän vastuut ovat seuraavat: Hallitus Toimitusjohtaja - päättää viraston sisäisestä valvonnasta ja riskienhallinnasta - antaa tilinpäätöksen yhteydessä arvioinnin sisäisen valvonnan ja siihen liittyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä sekä sen perusteella lausuman sisäisen valvonnan tilasta ja olennaisimmista kehittämistarpeista (sisäisen valvonnan arviointi- ja vahvistuslausuma) - käsittelee raportin riskien toteutumisesta sekä riskienhallintasuunnitelman mukaisten toimenpiteiden toteuttamisesta - päättää riskienhallinnan tavoitteista ja periaatteista sekä asettaa hyväksyttävän riskitason Valtion tieto- ja viestintätekniikkakeskus Valtori

40 Ohje 10 (17) [Dnro] - tekee päätökset vakavien riskien hallintakeinoista apunaan johtoryhmä - esittelee hallitukselle kokonaiskuvan toimintaan sisältyvistä riskeistä Valtorin strategian ja vuosittaisen talous- ja toimintasuunnitelman käsittelyn yhteydessä - seuraa riskienhallinnan toimivuutta kokonaisuutena. Seuranta perustuu normaaliin johtoryhmätoimintaan ja raportointimenettelyihin, sisäisen tarkastuksen toteuttamiin järjestelmätarkastuksiin, ulkoisiin tarkastuksiin ja johdon tilaamiin erillisselvityksiin - päättää oikeiden ja riittävien riskien toteutumatietojen julkaisemisesta osana strategista viestintää - vastaa siitä, että riskit tulevat strategiatyössä ja muussa johtoryhmän toiminnassa käsiteltyä riittävän kattavasti - vastuu sisäisestä valvonnasta, sen järjestämisestä, asianmukaisuudesta ja riittävyydestä apunaan riskienhallintajohtaja Johtoryhmä - käsittelee riskienhallintapolitiikan ja sitä täydentävät asiakirjat päivityksineen - käsittelee strategiset avainriskit sekä niihin liittyvät hallintamenettelyt - käsittelee Valtorin riskienhallintaraportin - jäsenten tehtävänä on vastata vastuualueensa osalta siitä, että sisäinen tarkastus ja riskienhallinta on asianmukaisesti järjestetty - muodostaa Valtorin riskienhallinnan ohjausryhmän, joka täydentyy tarvittavilla asiantuntijoilla Tulosyksikkö, tulosalue ja ryhmä - Tulosyksikön johtajan, tulosalueen esimiesten ja ryhmän toiminnasta vastaavien vastuulla on oman tulosyksikön, tulosalueen tai ryhmän riskianalyysien ja vaaditun raportoinnin tuottamisesta sekä valvonnasta. Tämän ohella heidän vastuulla on nostaa Valtorin riskienhallinnan ohjausryhmän tietoisuuteen sellaiset riskit, joilla voi olla merkittävä vaikutus Valtorin toimintaan Henkilöstö - Henkilöstö on velvollinen noudattamaan ohjeita, määräyksiä ja säädöksiä ja raportoimaan työtehtävissään havaitsemistaan lainmukaisuuden tai Valtorin toimintaa tai palvelua uhkaavista tilanteista tai poikkeamista omalle esimiehelle ja riskienhallintajohtajalle Valtion tieto- ja viestintätekniikkakeskus Valtori

41 Ohje 11 (17) [Dnro] - Henkilöstö osallistuu työtehtäviensä mukaisesti riskien tunnistamiseen ja arviointiin sekä sovittujen toimenpiteiden toteuttamiseen Prosessin tai palvelun omistaja - Prosessi- tai palvelun omistajan vastuulla on toteuttaa vastuullaan olevissa kohteissa tämän politiikan ja tätä täydentävien ohjeiden mukaista riskienhallintaa Riskin omistaja - riskin omistajana toimii henkilö, joka vastaa kohteesta, johon riski kohdistuu - hyväksyy kohteen jäännösriskin ja varmistaa että riski on hallintatoimenpiteiden jälkeen johdon määrittämällä hyväksyttävällä tasolla Riskienhallintajohtaja - toimii riskienhallintaprosessin omistajana - vastaa Valtorin kokonaisvaltaisen riskienhallinnan koordinoinnista ja ohjeistuksesta - vastaa vuosittaisesta Valtorin johtoryhmällä hyväksyttävästä ja hallitukselle esitettävästä riskienhallintasuunnitelman perusteella tehtävästä raportista riskien toteutumisesta sekä suunnitelman mukaisten toimenpiteiden toteuttamisesta Sisäinen tarkastus - selvittää toimivalle johdolle sisäisen valvonnan ja riskienhallinnan asianmukaisuutta ja riittävyyttä sekä suorittaa hallituksen määräämät tarkastustehtävät - sisäinen tarkastus avustaa valvonnasta vastuullisia sen varmistamisessa, että Valtorissa riskit on tunnistettu ja hallittu asianmukaisesti taloudellinen ja operatiivinen informaatio on luotettavaa henkilöstö noudattaa ohjeita, määräyksiä ja säädöksiä resursseja käytetään tehokkaasti ja omaisuus on turvattu projektien ja ohjelmien tavoitteet saavutetaan ja toiminta on tavoitteiden ja päätösten mukaista laatua ja jatkuvaa parantamista edistetään johtamisprosessissa laeista ja asetuksista toiminnalle tulevat vaatimukset tunnistetaan ja niihin reagoidaan asianmukaisesti Valtion tieto- ja viestintätekniikkakeskus Valtori

42 Ohje 12 (17) [Dnro] - sisäinen tarkastus on mukana arvioimassa sisäisen valvonnan ja riskienhallinnan tilaa ja raportoi siitä hallitukselle ja toimitusjohtajalle. Tämän perusteella laaditaan vuosittainen arviointilausuma Tietoturvapäällikkö - vastaa Valtorin tietoriskienhallinnan kehittämisestä - vastaa tietojen luottamuksellisuutta, eheyttä ja saatavuutta uhkaavien riskien hallintatoimenpiteiden kehittämisestä yhdessä muiden turvallisuuden vastuuhenkilöiden kanssa Turvallisuuspäällikkö - vastaa Valtorin seuraavien kokonaisturvallisuuden osa-alueiden kehittämisestä: henkilöturvallisuus kiinteistö- ja toimitilaturvallisuus pelastustoiminta rikostorjunta matkustusturvallisuus - vastaa edellä kuvattuihin osa-alueisiin liittyvästä riskienhallinnasta ja sovittujen toimenpiteiden toteuttamisesta Valmiuspäällikkö - vastaa Valtorin valmius-, jatkuvuus- ja toipumissuunnittelun toteutumisesta sekä toimii näihin liittyvien prosessien omistajana - vastaa edellä kuvattuihin osa-alueisiin liittyvästä riskienhallinnasta ja sovittujen toimenpiteiden toteuttamisesta Työsuojelupäällikkö - työsuojelun tavoitteena on taata turvalliset ja terveelliset työolot ja tukea työntekijöiden työkyvyn ylläpitämistä. - vastaa työsuojeluun liittyvän tarvittavan riskienhallinnan toteutumisesta työsuojelun ja hyvinvoinnin näkökulmasta Valtorin riskienhallinnan ohjausryhmä - Valtorin johtoryhmä toimii täydennettynä tarvittavilla asiantuntijoilla riskienhallinnan ohjausryhmänä, ryhmän puheenjohtajana toimii toimitusjohtaja Projektitoiminta ja hanke- sekä projektipäälliköt Valtion tieto- ja viestintätekniikkakeskus Valtori

43 Ohje 13 (17) [Dnro] - Jokainen hanke tai projekti vastaa riskienhallinnasta Valtorin hankeja projektiohjeen mukaisesti, hanke - tai projektipäällikkö vastaa riskienhallinnan toteuttamisesta Alihankkijat - Alihankkijoiden kanssa tehtävissä sopimuksissa tulee huolehtia siitä, että alihankkijalla on otettu riskienhallinta käyttöön tarkoituksenmukaisesti ottaen huomioon alihankkijan tuottaman palvelun luonne - vastuu näiden vastuiden sisällyttämisestä hankintavaatimuksiin ja sopimuksiin on hankintayksiköllä Asiakkaat - Asiakkaiden kanssa tehtävissä palvelusopimuksissa tulee huolehtia siitä, että osapuolten vastuut on riittävän tarkasti kuvattu myös riskienhallinnan osalta - vastuu näiden vastuiden sisällyttämisestä sopimuksiin on Asiakkuudenhallintayksiköllä Muut sidosryhmät ja yhteistyökumppanit - Toimittaessa muiden sidosryhmien ja yhteistyökumppanien kanssa pitää tapauskohtaisesti selvittää, tarvitaanko yhteistyössä millaista riskienhallintaa ja mikäli tarvitaan, huolehtia yhdenmukaisten menetelmien käyttöönottamisesta Valtion tieto- ja viestintätekniikkakeskus Valtori

44 Vakioraportointi Ohje 14 (17) [Dnro] 6 Raportointi Periaatekuva riskienhallintaan liittyvästä raportoinnista: Hallitus Raportointi sisäisen valvonnan ja riskienhallinnan tilasta ja asianmukaisuudesta Sisäinen tarkastus Toimitusjohtaja Tulosyksikkö -alue ryhmä Hanke/projekti Henkilöstö Raportointi sekä akuutisti että säännöllisesti riskienhallinnan toiminnasta Riskienhallinnan ohjausryhmä Merkittävät, kriittiset uhat ja kohonneet riskit Raportointi turvallisuuspoikkeamista ja häiriöistä Lähiesimies Riskienhallinta -johtaja turvallisuuspäällikkö tietoturvapäällikkö valmiuspäällikkö l työsuojelupäällikkö Kuva 3. Vakioraportointi käsitellään normaaliaikataulun mukaisesti. Punaisella kuvatut, merkittävät, kriittiset uhat ja kohonneet riskit raportoidaan välittömästi. Valtion tieto- ja viestintätekniikkakeskus Valtori

45 Ohje 15 (17) [Dnro] 7 Ylläpito ja hyväksyminen Tämän politiikan ylläpitämisestä vastaa riskienhallintajohtaja yhteistyössä sisäisen tarkastuksen ja Valtorin kokonaisturvallisuudesta vastaavien vastuuhenkilöiden kanssa. Politiikka julkaistaan intranetissa. Politiikka katselmoidaan vuosittain ja mahdollisista muutoksista tiedotetaan henkilöstölle. Politiikka jalkautetaan osaksi Valtorin toimintaa riskienhallintaprosessin ja siihen liittyvän ohjeistuksen ja koulutuksen kautta. Muutokset tähän politiikkaan hyväksyy Valtorin hallitus. Tämän politiikan on hyväksynyt Valtorin hallitus Politiikka astuu voimaan Valtion tieto- ja viestintätekniikkakeskus Valtori

46 Ohje 16 (17) [Dnro] Liitteet Liite 1 - Velvoitteet ja vaatimustenmukaisuus Riskienhallinta nähdään osana Valtorin toiminnan laatua, mutta siihen kohdistuu myös ulkoisia velvoitteita, esimerkiksi Talousarvioasetus 69 todetaan: Viraston ja laitoksen johdon on huolehdittava siitä, että virastossa ja laitoksessa toteutetaan sen talouden ja toiminnan laajuuteen ja sisältöön sekä niihin liittyviin riskeihin nähden asianmukaiset menettelyt (sisäinen valvonta), jotka varmistavat: 1) viraston ja laitoksen talouden ja toiminnan laillisuuden ja tuloksellisuuden; 2) viraston ja laitoksen hallinnassa olevien varojen ja omaisuuden turvaamisen; ja 3) viraston ja laitoksen johtamisen ja ulkoisen ohjauksen edellyttämät oikeat ja riittävät tiedot viraston ja laitoksen taloudesta ja toiminnasta. Talousarvioasetus 65 todetaan: 7) arviointi sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä sekä sen perusteella laadittu lausuma sisäisen valvonnan tilasta ja olennaisimmista kehittämistarpeista (sisäisen valvonnan arviointi- ja vahvistuslausuma); Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) 5 Tietoturvallisuuden perustason toteuttaminen todetaan: Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että: 2) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan; Valtorin riskienhallinta on osa Valtorin vaatimustenmukaisuuden toteuttamista riskienhallinnan osalta vastaavalla tavalla kuin Valtorin kokonaisturvallisuuden avulla huolehditaan siihen liittyvien osa-alueiden, esimerkiksi tietoturvallisuuden sekä jatkuvuudenhallinnan ja varautumisen toteutumisesta. Valtion tieto- ja viestintätekniikkakeskus Valtori

47 Ohje 17 (17) [Dnro] Liite 2 - Vastuunjakotaulukko Taulukko löytyy Excel-tiedostona samasta sijainnista, mistä tämä politiikka löytyy. Valtorin riskienhallinta - vastuunjakotaulukko Hallitus Sisäinen tarkastaja Toimitusjohtaja Johtoryhmä Riskienhallintajohtaja Turvallisuuspäällikkö Tietoturvapäällikkö Valmiuspäällikkö Riskienhallinnan ohjausryhmä Kokonaisturvallisuuden ohjausryhmä Tulosyksikön johtaja Tulosalueen päällikkö Kohteen/ riskin omistaja Riskienhallinnan tavoitteiden ja vastuiden asettaminen A R R C Riskitason asettaminen A R R C Riskienhallinnan menetelmien ja ohjeistuksen kehittäminen A, R R R R C, I C, I I Riskienhallintapolitiikan kehittäminen ja ylläpito A I R C, I C, I I Strategisten riskien hallinnan kehittäminen R A, R Strategisten riskien arviointien toteuttaminen A C R Strategisten riskien seuranta ja raportointi A R Strategisten jäännösriskien hyväksyminen A R Operatiivisten riskien hallinnan kehittäminen A, R R R R Operatiivisten riskien arviointien toteuttaminen C I I A R R Operatiivisten riskien seuranta ja raportointi I I A R R Operatiivisten jäännösriskien hyväksyminen A, R Taloudellisten riskien hallinnan kehittäminen R A, R Taloudellisten riskien arviointien toteuttaminen C A R R Taloudellisten riskien seuranta ja raportointi I A R R Taloudellisten jäännösriskien hyväksyminen A R R R Vahinkoriskien hallinnan kehittäminen R A, R R R Vahinkoriskien arviointien toteuttaminen C I A R R Vahinkoriskien seuranta ja raportointi I I A R R Vahinkoriskien jäännösriskien hyväksyminen A R R R Valtion tieto- ja viestintätekniikkakeskus Valtori