JYVÄSKYLÄN KAUPUNKI JYVÄSKYLÄN KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN YLEISOHJE

Transkriptio

1 JYVÄSKYLÄN KAUPUNKI JYVÄSKYLÄN KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN YLEISOHJE Kaupunginhallitus

2 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje SISÄLLYSLUETTELO 1 JOHDANTO SISÄINEN VALVONTA JA RISKIENHALLINTA OSANA HYVÄÄ JOHTAMIS- JA HALLINTOTAPAA SISÄISEN VALVONNAN JA RISKIENHALLINNAN VASTUUT Tilivelvollisten valvontavastuu Luottamushenkilöiden valvontavastuu Tytäryhteisöjen hallitusten valvontavastuu Johdon valvontavastuu Esimiesten valvontavastuu Sisäistä valvontaa ja riskienhallintaa tukevat tehtävät Kaupunkikonsernin merkittävien riskien arviointivastuu SISÄINEN VALVONTA Sisäisen valvonnan kytkentä riskienhallintaan Sisäinen valvonnan tavoitteet Sisäisen valvonnan osatekijät RISKIENHALLINTA Riskienhallinnan näkökulmat ja ulottuvuudet Riskienhallinnan järjestäminen ja toteuttaminen Riskienarviointi Riskien hallintakeinoista päättäminen VALVONTATOIMENPITEET Säännöllinen valvonta Kontrollit osana toimintaprosesseja Sisäisen valvonnan kohteet ja menettelytavat Väärinkäytösten tunnistaminen RAPORTOINTI JA TIEDONVÄLITYS Raportoinnin ja tiedonvälityksen merkitys Sisäisen valvonnan ja riskienhallinnan raportointi SISÄISEN VALVONNAN JA RISKIENHALLINNAN SEURANTA JA ARVIOINTI Sisäisen valvonnan ja riskienhallinnan kehittämisen kokonaisuus Toimintayksiköiden oma arviointi Sisäisen valvonnan ja riskienhallinnan ohjausryhmän kehittämistehtävä Sisäisen tarkastuksen arviointitehtävä Ulkoisen tarkastuksen arviointitehtävä Sisäisen ja ulkoisen tarkastuksen tiedonsaantioikeus MUUT ERILLISASIAT Asiakirjahallinta Sopimukset Projektitoiminta Taloudellisten etujen vastaanottaminen Avustukset Sivutoimet OHJEEN VOIMAANTULO JA AJAN TASALLA PITÄMINEN...22 LIITE 1 KÄSITTEET...23 LIITE 2 KYSYMYKSIÄ ESIMIEHILLE SISÄISEN VALVONNAN TESTAAMISEKSI...25

3 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 1 1 JOHDANTO Jyväskylän kaupunginvaltuusto hyväksyi /140 kuntalain 13 :n mukaisesti Jyväskylän kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet. Hyväksymässään asiakirjassa valtuusto edellyttää kaupunginhallitukselta, että kaupunkikonsernin tehtävät on järjestettävä siten, että kaikilla organisaation tasoilla ja kaikissa toiminnoissa on riittävä sisäinen valvonta ja riskienhallinta, josta vastaavat kaikki tilivelvolliset toimielimet ja viranhaltijat sekä esimiehet. Tässä ohjeessa kaupunginhallitus määrittää valtuuston edellyttämällä tavalla Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan periaatteet ja toteuttamistavat. Ohjeen mukaiset käytännöt koskevat kaikkia Jyväskylän kaupungin palvelukokonaisuuksia, liikelaitoksia ja tytäryhteisöjä. Ohjeen tarkoituksena on varmistaa sisäisen valvonnan ja riskienhallinnan asianmukainen järjestäminen ja yhdenmukaistaa riskienhallinnan toteuttamista, raportointia ja valvontaa. Tämä ohje korvaa kaupunginhallituksen / 35 hyväksymän sisäisen valvonnan yleisohjeen. Sisäisen valvonnan ja riskienhallinnan käytännön toteuttamisen tukena toimivat palvelukokonaisuuksille ja liikelaitoksille asiakirjahallintojärjestelmään Askiin koottavat yhteiset työvälineet ja menetelmät. Samat aineistot toimitetaan myös tytäryhteisöille. Sisäinen valvonta ja riskienhallinta ovat kiinteä osa kaupunkikonsernin eri yksikköjen johtamista ja tavanomaisten suunnittelu-, päätöksenteko- ja toimintaprosessien hallintaa. Tarkoituksena ja tavoitteena on lisätä päämäärien ja tavoitteiden saavuttamisen todennäköisyyttä varmistumalla siitä, että toiminta on taloudellista ja tuloksellista, päätösten perusteena oleva tieto on oikeaa, riittävää ja luotettavaa, lakeja, viranomaisohjeita, sääntöjä, toimielinten päätöksiä ja johdon ohjeita noudatetaan ja omaisuus ja voimavarat turvataan. Sisäisen valvonnan ja riskienhallinnan yleisohje on tarkoitettu johtamis- ja valvontavastuussa olevien luottamushenkilöiden ja esimiesten käyttöön. Kaupunkikonsernin eri toimintayksiköiden esimiesten on varmistettava, että myös henkilöstö on tietoinen sisäisen valvonnan ja riskienhallinnan yleisohjeen keskeisestä sisällöstä ja sitoutuu noudattamaan sitä. Yleisohjeessa kuvataan kaupunkikonsernin hyvän johtamisen ja hallinnon periaatteita sekä sisäisen valvonnan ja riskienhallinnan keskeisiä kohteita. Tavoitteena on antaa työkaluja johtamiseen ja valvontaan, auttaa ymmärtämään sisäistä valvontaa ja riskienhallintaa sekä niiden kytkeytymistä omaan toimenkuvaan. Tarkoituksena on varmistaa, että yhteisesti sovittuja ja hyväksyttyjä toimintatapoja ja ohjeita noudatetaan. 2 SISÄINEN VALVONTA JA RISKIENHALLINTA OSANA HYVÄÄ JOHTAMIS- JA HAL- LINTOTAPAA Jyväskylän kaupunki konserniyhteisöineen on monitoimialainen julkinen organisaatio, jolla on merkittäviä viranomaistehtäviä ja palveluiden järjestämis- ja tuottamisvastuita, mikä edellyttää toiminnan läpinäkyvyyttä ja moitteettomuutta sekä toimivaa sisäistä valvontaa ja riskienhallintaa.

4 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 2 Jyväskylän kaupungin (emoyhteisö) ja tytäryhteisöjen muodostamaa kaupunkikonsernia johdetaan ja kehitetään kokonaisuutena ja kokonaistaloudellisesti. Kaupunkikonsernin toiminnot järjestetään ja tehtävät hoidetaan siten, että organisaatiossa noudatetaan hyvää johtamis- ja hallintotapaa. Hyvällä johtamis- ja hallintotavalla tarkoitetaan toiminnan ja talouden ohjauksen tilivelvollisuus- ja vastuujärjestelmää, joka edistää hallinnon ja palvelutuotannon luotettavuutta ja tehokkuutta sekä läpinäkyvyyttä. Järjestelmän perustana ovat lainsäädäntö, hallintosääntö ja johtosäännöt, asiakkaiden ja asukkaiden tarpeet sekä toiminnan tuloksellisuus. Keskeistä hyvän johtamis- ja hallintotavan toteuttamisessa ovat linjaukset ja menettelyt, joilla ohjataan kaupunkikonsernin toimintoja siten, että saadaan kohtuullinen varmuus tavoitteiden saavuttamisesta ja toiminnan lainmukaisuudesta, eettisyydestä ja vastuullisuudesta. Hyvään johtamis- ja hallintotapaan kuuluu, että organisaatio ja sen jäsenet sekä keskeiset yhteistyökumppanit ovat tietoisia kaupunkikonsernin toiminnassa noudatettavista eettisistä periaatteista. Niihin kuuluvat mm. luottamushenkilöiden, esimiesten ja työntekijöiden velvollisuus toimia lakien, säädösten ja johdon määräysten mukaisesti sekä asianmukaisesti, avoimesti, rehellisesti, oikeudenmukaisesti, vilpittömästi ja kaupunkilaisten luottamusta vahvistavasti. Hyvän johtamis- ja hallintotavan luomisessa ja ylläpitämisessä korostuu kaupungin ylimmän johdon asema. Luottamushenkilöt, viranhaltijat ja esimiehet osoittavat esimerkillään, kuinka he toimivat ohjeiden ja sääntöjen mukaisesti ja kuinka he puuttuvat toiminnassa ilmeneviin poikkeamiin. Sisäinen valvonta ja riskienhallinta ovat hyvän johtamis- ja hallintotavan edellytyksiä, osa johtamista, toiminnan ohjausta ja palvelujen laadukkuuden varmistamista. Hyvin organisoidussa hallinto- ja johtamisjärjestelmässä sisäinen valvonta ja riskienhallinta toteutuvat osana päivittäistehtäviä ja toimintaprosesseja. Sisäinen valvonta tarkoittaa organisaation sisäisiä ohjaus- ja toimintaprosesseihin sisältyviä menettelyitä ja toimintatapoja, joiden avulla varmistetaan (1) toiminnan tuloksellisuutta, tehokkuutta ja jatkuvuutta, (2) raportoinnin ja tiedon riittävyyttä, ajantasaisuutta ja luotettavuutta, (3) resurssien ja omaisuuden turvaamista sekä (4) lainsäädännön, päätösten, sääntöjen ja ohjeiden noudattamista. Riskienhallinta tukee asetettujen tavoitteiden saavuttamista ja talousarvion toteutumista. Se edistää kaupunkikonsernin tuloksellisuutta puuttumalla toimintaa ja tavoitteita uhkaaviin tekijöihin ennakoivasti. Riskienhallinta edellyttää toimintaympäristön ja uhkatekijöiden riittävää ja aktiivista kartoitusta ja arviointia. Hyvän hallinto- ja johtamistavan toteutumista sekä sisäisen valvonnan ja riskienhallinnan tehokkuutta seurataan ja arvioidaan muun muassa raportoinnin avulla. Raportoinnin ja tiedonvälityksen avulla kaupunkikonsernin johto, henkilöstö ja sidosryhmät saavat oikeaaikaisesti olennaista ja käyttökelpoista tietoa toiminnasta ja siihen vaikuttavista tekijöistä. 3 SISÄISEN VALVONNAN JA RISKIENHALLINNAN VASTUUT 3.1 Tilivelvollisten valvontavastuu Tilivelvollisuutta on käsitelty sisäisen valvonnan ja riskienhallinnan perusteiden kohdassa kuusi.

5 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 3 Tilivelvollisella luottamushenkilöllä ja viranhaltijalla on henkilökohtainen vastuu sisäisen valvonnan ja riskienhallinnan asianmukaisesta järjestämisestä ja jatkuvasta ylläpidosta vastuualueellaan. Tilivelvollisuus kattaa johtamis-, ohjaus- ja seurantavastuun lisäksi tulosvastuun ja oikeudellisen vastuun. Tulosvastuulla tarkoitetaan toiminnan tuloksellista järjestämistä, jolloin toimintayksikköjen toiminta on tavoitteiden mukaista, vaikuttavaa ja taloudellisesti järjestettyä. Oikeudellisella vastuulla tarkoitetaan voimassa olevan lainsäädännön ja hyvän johtamis- ja hallintotavan noudattamista kaikessa toiminnassa ja päätöksenteossa. Tilivelvollisuusaseman puuttuminen ei vapauta esimiestä alaistensa toiminnan valvontavastuusta eikä estä kohdistamasta vahingonkorvausvaatimusta tai rikosseuraamusta myös muuhun henkilöön kuin tilivelvolliseen (= tosiasiallinen vastuu). Viime kädessä harkintavallan siitä, ketkä ovat tilivelvollisia, voidaan katsoa olevan tilintarkastuskertomuksen antavalla tilintarkastajalla. Lopullisesti asian ratkaisee tarvittaessa oikeuslaitos. Mahdolliset virkarikossyytteet ja korvausvaatimukset käsitellään ensi asteessa käräjäoikeudessa. Korvausvelvollisuus ratkaistaan vahingonkorvauslain mukaisesti. Jos tilivelvolliselle on myönnetty vastuuvapaus, ei häntä kohtaan enää voida esittää siviilioikeudellisia vahingonkorvausvaatimuksia. Rikosoikeudellinen vastuu kuitenkin säilyy yleensä myös sen jälkeen. Tilivelvollisuus ei tuo viranhaltijalle mitään sellaista vastuuta, joka ei kuuluisi hänelle aseman perusteella muutoinkin esimiehenä, laskujen hyväksyjänä tai määrärahojen käytöstä päättävänä viranhaltijana. 3.2 Luottamushenkilöiden valvontavastuu Toimielinten jäsenten tilivelvollisuus korostaa heidän valvontavastuutaan päätöksenteossa ja toiminnan seurannassa. Luottamustehtäväänsä hoitaessaan he suorittavat sisäistä valvontaa seuraamalla toimintoja, analysoimalla tietoa ja arvioimalla päätöksentekoa. Seuranta on kunnallishallinnossa luottamushenkilöille kuuluva osa sisäistä valvontaa, esimerkiksi sen suhteen, miten viranhaltija käyttää hänelle delegoitua toimivaltaa. Seurannan keskeisiä tehtäviä ovat raportointivelvoitteiden asettaminen, raportoinnin toteutuksen valvonta ja tehtyjen päätösten ja raporteissa kuvattujen tulosten vertailu. 3.3 Tytäryhteisöjen hallitusten valvontavastuu Tytäryhteisön hallituksella on keskeinen tehtävä yhteisön hallinnon ja valvonnan järjestämisessä ja johtamisessa. Hallituksen tehtävät ja vastuut määräytyvät asianomaista yhteisöä koskevan lainsäädännön, yhtiöjärjestyksen, sääntöjen ja sopimusten mukaisesti. Tytäryhteisön hallitus edustaa myös kaupunkikonsernin johtoa yhteisön hallinnossa. Hallituksen toiminta on osa omistajaohjausta. Tytäryhteisön hallitus ohjaa, tukee ja valvoo yhteisön sisäisen valvonnan ja riskienhallinnan toteuttamista. 3.4 Johdon valvontavastuu Lain kunnallisesta viranhaltijasta 4 luvun 17 :n mukaan viranhaltijoiden yleisenä velvollisuutena on suorittaa virkasuhteeseen kuuluvat tehtävät asianmukaisesti ja viivytyksettä noudattaen asianomaisia säännöksiä ja määräyksiä sekä työnantajan työnjohto- ja valvontamääräyksiä. Viranhaltijan on toimittava tehtävässään tasapuolisesti ja käyttäydyttävä asemansa ja tehtävänsä edellyttämällä tavalla.

6 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 4 Kaupunginjohtaja huolehtii kaupunkikonsernitasolla riittävän ja toimivan sisäisen valvonnan ja riskienhallinnan asianmukaisesta järjestämisestä. Apulaiskaupunginjohtajien ja kansliapäällikön tehtävänä on omilla tehtäväalueillaan johtaa, valvoa ja kehittää kaupungin hallintoa sekä vastata siitä, että asetetut tavoitteet saavutetaan. Sisäinen tarkastus avustaa kaupunginhallitusta ja kaupunginjohtajistoa heidän valvontavelvollisuuksiensa täyttämisessä tarkastamalla ja arvioimalla sisäisen valvonnan ja riskienhallinnan toimivuutta. Palvelukokonaisuuksien vastuualuejohtaja, konsernihallinnon vastuualueen johtava viranhaltija, liikelaitoksen johtaja ja tytäryhteisön toimitusjohtaja tai vastaava huolehtii vastuualueen, liikelaitoksen ja tytäryhteisön sisäisen valvonnan ja riskienhallinnan asianmukaisesta järjestämisestä kaupunginhallituksen antaman yleisohjeen mukaisesti. Johto vastaa toiminnan järjestämisestä siten, että prosesseille, hankkeille, projekteille tai yksittäisille toiminnoille on määritelty vastuutahot. Sen tehtävänä on luoda toimiva ja kattava ohjaus- ja seurantajärjestelmä. Johdon on viestitettävä henkilöstölle sisäisen valvonnan ja riskienhallinnan merkityksestä. Tiedonkulku varmistaa, että henkilöstö tuntee tehtävissään sovellettavat toimintaperiaatteet ja menettelytavat. 3.5 Esimiesten valvontavastuu Esimies vastaa toiminnalle asetettujen tavoitteiden saavuttamisesta sekä riittävän ja asianmukaisen sisäisen valvonnan ja riskienhallinnan järjestämisestä ja toteuttamisesta toimintayksikössään. Hänellä on vastuu yksikkönsä toiminnan ja prosessien järjestämisestä, työvälineistä sekä seuranta- ja arviointijärjestelmien toiminnasta. Esimiehellä on aktiivinen selonottovelvollisuus ja velvollisuus ryhtyä tarpeellisiin toimenpiteisiin välittömästi, kun havaitaan lainsäädännön, sääntöjen, ohjeiden tai toimielinten päätösten vastaista tai virheellistä, tehotonta tai epätaloudellista toimintaa. Esimiehen tehtävänä on lisätä henkilöstön tietoisuutta sisäisestä valvonnasta ja riskienhallinnasta. Esimies ohjaa ja valvoo alaistensa toimintaa. Esimiehen on varmistuttava siitä, että alaiset hallitsevat tehtävänsä edellyttämät osa-alueet lainsäädännöstä, säännöistä ja ohjeista sekä osaavat käyttää asianmukaisesti tehtäviinsä liittyviä tietoteknisiä apuvälineitä ja atkohjelmia. Yksikkönsä prosessien ja tietojärjestelmien omistajana esimies vastaa tietojärjestelmien käytöstä toiminnan valvonnassa ja tietojärjestelmien käytönvalvonnasta. Esimies vastaa johtamansa yksikön osalta siitä, että henkilöstön toimivalta ja vastuut on määritelty ja henkilöstöllä on ajanmukaiset tehtäväkuvaukset. Esimiehen on varmistuttava siitä, että alaiset ovat tietoisia omista tehtävistään ja tavoitteistaan. Esimiehen tehtävänä on luoda edellytykset tehtävistä suoriutumiseen ja tavoitteiden saavuttamiseen. Esimies käy säännöllisesti kehityskeskustelut, joissa toimintatavoitteiden lisäksi käydään läpi alaisen toimivalta ja vastuut sekä tehtävien toteuttamisen edellyttämä osaaminen. Alaisille on järjestettävä työtehtävien edellyttämää koulutusta. Esimies vastaa myös tiedonkulusta ja raportoinnista.

7 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje Sisäistä valvontaa ja riskienhallintaa tukevat tehtävät Jokainen työntekijä vastaa osaltaan sisäisestä valvonnasta sekä riskien tunnistamisesta ja arvioinnista omissa tehtävissään ja on velvollinen toimimaan riskien toteutumisen ehkäisemiseksi sekä raportoimaan esimiehelleen havaitsemistaan riskeistä, väärinkäytöksistä ja läheltä piti -tilanteista. Konsernihallinnon vastuualueet ja niiden johtavat viranhaltijat (hallinto, kilpailukyky ja kaupunkikehitys, viestintä, markkinointi ja kansainväliset yhteydet, talouden ohjaus sekä henkilöstövoimavarojen ohjaus ja henkilöstötyö) ohjaavat, tukevat ja valvovat palvelukokonaisuuksia, liikelaitoksia ja tytäryhteisöjä omiin tehtäväalueisiinsa liittyvissä sisäisen valvonnan ja riskienhallinnan asioissa. Riskienhallinnan asiantuntijatehtävissä toimivat henkilöt avustavat johtoa sisäisen valvonnan ja riskienhallinnan toteuttamisessa ja raportoinnissa. Edellä mainitut henkilöt ovat merkittävässä roolissa etenkin toiminnallisten riskien ja vahinkoriskien hallinnassa. Työsuojeluorganisaatioon kuuluvat henkilöt huolehtivat osaltaan työturvallisuutta eli henkilöstön terveyttä ja turvallisuutta uhkaavien vaarojen tunnistamisen ja arvioinnin toteutumisesta. Sisäinen tarkastus edistää sisäistä valvontaa ja riskienhallintaa ja avustaa kaupunginjohtoa tuottamalla tietoa sisäisen valvonnan, riskienhallinnan sekä hyvän johtamis- ja hallintotavan tilasta ja kehittämistarpeista kaupungin palvelukokonaisuuksissa ja liikelaitoksissa sekä tarvittaessa tytäryhteisöissä. 3.7 Kaupunkikonsernin merkittävien riskien arviointivastuu Sisäisen valvonnan ja riskienhallinnan ohjausryhmä avustaa kaupunkikonsernin johtoa kokoamalla ja arvioimalla kaupunkikonsernin merkittäviä riskejä yhdessä palvelukokonaisuuksien, liikelaitosten ja tytäryhteisöjen kanssa. Tietoja merkittävistä riskeistä kootaan palvelukokonaisuuksien, liikelaitosten ja tytäryhteisöjen talousarviovalmisteluaineistoista, kolmannesvuosikatsauksista, sisäisen valvonnan ja riskienhallinnan selonteoista sekä riskiarvioinneista. Arvio kaupunkikonsernin merkittävimmistä riskeistä ja epävarmuustekijöistä annetaan talousarvion ja tilinpäätöksen käsittelyn yhteydessä. 4 SISÄINEN VALVONTA 4.1 Sisäisen valvonnan kytkentä riskienhallintaan Sisäinen valvonta kohdistuu organisaation kaikkeen toimintaan ja sillä varmistetaan toiminnan tuloksellisuutta, tehokkuutta ja jatkuvuutta, raportoinnin ja tiedon luotettavuutta, resurssien ja omaisuuden turvaamista sekä lainsäädännön ja ohjeiden noudattamista. Sisäisiä valvontatoimenpiteitä kohdistetaan, muutetaan ja/tai täydennetään riskienarvioinnin perusteella siten, että valvonnan painopiste on merkittävimmäksi arvioitujen riskien kontrolloimisessa.

8 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje Sisäinen valvonnan tavoitteet Vaikuttavuus ja tuloksellisuus: varmistetaan asetettujen tavoitteiden saavuttamista, tuotteiden ja palvelujen laatua sekä toimintojen taloudellisuutta, tuottavuutta ja vaikuttavuutta. Raportointi ja tiedon oikeellisuus: johto ja esimiehet huolehtivat siitä, että heidän vastuualueellaan tuotetaan ja ylläpidetään luotettavia tietoja toiminnasta, taloudesta ja hallinnosta. Tiedot tulee raportoida oikein ja ajantasaisesti. Onnistuneen johtamisen perusedellytyksiä on, että johtajalla/esimiehellä on ajantasainen tieto alueensa tai yksikkönsä olennaisten asioiden tilasta eikä johtaminen tapahdu olettamusten varassa. Toiminnan laillisuus ja johdon ohjeiden noudattaminen: turvataan lakien ja asetusten sekä kaupunkikonsernin päätösten, sääntöjen ja ohjeiden noudattaminen. Omaisuuden ja voimavarojen turvaaminen: varmistetaan, että kaupunkikonsernin voimavaroja käytetään järkevästi ja taloudellisesti kaupungin hyväksi ja että voimavarat turvataan menetyksiltä, jotka aiheutuvat virheistä, huonosta hoidosta, tuhlauksesta, väärinkäytöksistä, petoksista tai muusta sääntöjen ja ohjeiden vastaisesta toiminnasta. Sisäistä valvontaa toteutettaessa huomioidaan toimintayksikön talouden ja toiminnan luonne, sisältö ja laajuus sekä niihin liittyvät riskit. Valvonta on riittävää, kun toiminta on organisoitu siten, että se tuottaa kohtuullisen varmuuden tavoitteiden saavuttamisesta. Valvontatoimenpiteiden on oltava taloudellisia ja tehokkaita. 4.3 Sisäisen valvonnan osatekijät Sisäinen valvonta koostuu viidestä osatekijästä, joiden ollessa kunnossa organisaation ja sisäisen valvonnan tavoitteet voidaan saavuttaa (vrt. COSO- ja COSO ERM -viitekehykset; COSO = tilintarkastajien ja sisäisten tarkastajien amerikkalainen ammatillinen järjestö). 1) Johtamistapa ja organisaatio-/valvontakulttuuri (valvontaympäristö) Johtamistapa ja organisaatio-/valvontakulttuuri (1) luovat perustan valvonnalle, (2) edistävät tavoitteiden saavuttamista, päätöstenmukaista toimintaa ja henkilöstön valvontatietoisuutta sekä (3) ehkäisevät väärinkäytöksiä. Johtamistapa ja organisaatio-/valvontakulttuuri vaikuttavat siihen, millaiset valvontatoimet otetaan käyttöön, millaisiksi organisaation raportointi- ja tiedotusjärjestelmät muodostuvat ja miten seuranta toteutetaan. Organisaatio-/valvontakulttuurin muodostumiseen vaikuttavat mm. eettiset arvot, johtamis- ja hallintotapa, organisaatiorakenne, henkilöstön osaaminen ja sen kehittäminen sekä tehtävien ja vastuiden jakaminen. 2) Riskienhallinta Keskeinen osa sisäistä valvontaa on riskienhallinta, johon kuuluu riskien tunnistaminen, arviointi sekä niihin vastaaminen toiminnan suunnittelussa ja tavoitteiden asettamisessa. Sisäisen valvonnan menetelmät ja toimet, joilla pyritään toiminnallisten riskien ennalta ehkäisyyn tai havaitsemiseen, ovat osa riskienhallintaa. Riskienhallinta toteutuu suurelta osin toimintaprosesseihin sisällytettävinä päivittäisinä valvontatoimenpiteinä ja varmistuksina. Toiminnasta tehdyt prosessikuvaukset edistävät riskien tunnistamista ja niiden hallintaa. Riskien tunnistamisesta, arvioinnista ja hallinnasta raportoidaan säännöllisesti osana normaalia toiminnan ja talouden suunnittelua ja seurantaa.

9 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 7 3) Valvontatoimenpiteet Valvontatoimenpiteillä varmistetaan toiminnan tuloksellisuutta, talouden ja toiminnan laillisuutta ja päätösten noudattamista, voimavarojen ja omaisuuden tarkoituksenmukaista käyttöä sekä toiminnan johtamisessa tarvittavan tiedon riittävyyttä ja luotettavuutta. Johdon ja esimiesten päivittäisiin valvontatoimenpiteisiin kuuluvat mm. toiminnan ja talouden seuranta ja siitä raportointi, henkilöstön suoriutumisen arviointi, toimintaperiaatteiden ja ohjeiden noudattamisen valvonta, erilaiset hyväksymiset, valtuutukset, todentamiset, täsmäytykset, toiminnan tarkastukset, omaisuuden turvaamistoimet sekä työtehtävien eriyttäminen (vaaralliset työyhdistelmät). 4) Raportointi ja tiedonvälitys Toimivan raportoinnin ja tiedonvälityksen avulla kaupungin johto, henkilöstö ja sidosryhmät saavat oikea-aikaisesti olennaista ja käyttökelpoista tietoa toiminnasta ja siihen vaikuttavista tekijöistä. Tieto tulee määrittää, välittää ja tallentaa sellaisessa muodossa ja aikataulussa, että toimielimet ja henkilöstö voivat suoriutua velvollisuuksistaan. Raportoinnin tulee mahdollistaa tiedon kulku myös alhaalta ylöspäin organisaatiorakenteessa. 5) Seuranta ja arviointi Seurantatiedon perusteella arvioidaan sisäisen valvonnan ja riskienhallinnan toimivuutta, tehokkuutta ja edistetään niiden kehittämistä. Seuranta voi olla jatkuvaa tai sitä voidaan toteuttaa erillisillä määräajoin toteutettavilla arvioinneilla tai näiden yhdistelmällä. Seurantavastuu kuuluu johtaville viranhaltijoille ja toimielimille. Myös sisäinen tarkastus toteuttaa sisäisen valvonnan ja riskienhallinnan seurantaa. 5 RISKIENHALLINTA 5.1 Riskienhallinnan näkökulmat ja ulottuvuudet Riskienhallinta on osa sisäistä valvontaa. Riskienhallinnalla tunnistetaan organisaation toimintaan mahdollisesti vaikuttavat tapahtumat ja saatetaan tapahtumien riskit organisaation hyväksymälle tasolle. Riskienhallinnan päämääränä on varmistaa toimintojen jatkuvuus ja palvelujen häiriötön tuottaminen. Kaupungilla on koko kaupunkikonsernin tasolla toimiva valmiussuunnitteluprosessi, jonka tarkoituksena on varmistaa kaupungin palvelujärjestelmän toimivuus kaikissa häiriötilanteissa. Toimielinten tulee käsitellä ja hyväksyä alaistaan toimintaa koskevat valmiussuunnitelmat. Toimintayksiköiden esimiesten on huolehdittava, että kriittisille toiminnoille on laadittu jatkuvuussuunnitelmat ja että niitä ylläpidetään sekä testataan säännöllisesti. Jatkuvuussuunnitelma otetaan käyttöön, kun toimintayksikkö ei selviä toimintaa uhkaavasta poikkeuksellisesta tilanteesta tavanomaisin toimenpitein. Riski on mahdollinen tapahtuma tai tapahtumaketju, joka voi vaarantaa strategisten, taloudellisten tai toiminnallisten tavoitteiden saavuttamisen lyhyellä tai pitkällä aikavälillä. Riski ei ole ainoastaan negatiivisen asian mahdollinen tapahtuminen, vaan myös positiivisen asian toteutumatta jääminen.

10 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 8 Riskienhallinnan on katettava kaikki olennaiset toiminnan riskit. Merkittävät riskit on tunnistettava, luokiteltava, arvioitava ja mitattava mahdollisuuksien mukaan. Kohtuullinen varmuus ja olennaisimpien asioiden varmistaminen on riittävä päämäärä, koska ehdoton varmuus edellyttää yleensä liiallisia kustannuksia saavutettavaan hyötyyn verrattuna. Riskienhallintaa toteutetaan kaikilla organisaatiotasoilla eri toiminnoissa ja prosesseissa sekä palvelutuottajille ulkoistetuissa palveluissa. Riskienhallinnan näkökulmina ovat strategiset, taloudelliset sekä toiminnalliset ja vahinkoriskit: Strategiset riskit liittyvät organisaation pitkän aikavälin tavoitteisiin, kriittisiin menestystekijöihin sekä niihin kohdistuviin sisäisiin tai ulkoisiin epävarmuustekijöihin. Taloudelliset riskit ovat monenlaisia talouden tasapainoon, investointeihin ja rahaprosesseihin, kuten maksuvalmiuteen, rahoitukseen ja sijoituksiin liittyviä riskejä. Toiminnalliset ja vahinkoriskit ovat organisaation päivittäistä toimintaa, prosesseja ja järjestelmiä uhkaavia riskejä. Ryhmään kuuluvat myös asiakkaiden, henkilöstön tai ympäristön turvallisuutta sekä omaisuutta uhkaavat vahinkoriskit. Kaupunkikonsernin merkittävillä riskeillä tarkoitetaan sellaisia strategisia, taloudellisia tai toiminnallisia ja vahinkoriskejä, jotka uhkaavat kaupunkikonsernin tavoitteita tai ovat muuten hyvin laajoja vaikutuksiltaan. Monet kaupunkikonsernitason riskeistä ovat sellaisia, joita ei pystytä hallitsemaan pelkästään yksittäisen palvelukokonaisuuden, liikelaitoksen tai tytäryhteisön hallintakeinoilla. 5.2 Riskienhallinnan järjestäminen ja toteuttaminen Riskienhallintaprosessin avulla palvelukokonaisuudet, liikelaitokset ja tytäryhteisöt vastaavat niiden tavoitteita uhkaaviin riskeihin ja pyrkivät tunnistamaan, arvioimaan ja hallitsemaan merkittävimpiä riskejä. Toimintayksiköt laativat riskienhallintasuunnitelmat ja määrittivät riskienhallinnan tavoitteet ja toteuttamisen periaatteet toimintansa ja toimintaympäristönsä mukaisesti. Lähtökohtana on ennakkoon arvioida merkittävimmät riskikohteet sekä varautumalla ja ennaltaehkäisevillä toimenpiteillä poistaa ja/tai minimoida niiden mahdolliset seuraamukset. Palvelukokonaisuuksien, liikelaitosten ja tytäryhteisöjen on huomioitava omissa riskienhallintasuunnitelmissaan ja -prosesseissaan muun muassa seuraavia tekijöitä: perustehtävä, ydinprosessit, vastuualueet ja tavoitteet hallinto, organisaation koko ja rakenne sekä johtamisjärjestelmä lainsäädäntö, sopimukset ja muut velvoitteet kaupunkikonsernin riskienhallinnan linjaukset sosiaaliset tekijät ja poliittiset päätökset sisäiset ja ulkoiset sidosryhmät (ml. ulkoistettujen palvelujen tuottajat) Riskienhallintasuunnitelmista ja -periaatteista päätettäessä johto ottaa kantaa siihen, miten riskienhallintaa toteutetaan käytännössä. Palvelukokonaisuuksien, liikelaitosten ja tytäryhteisöjen riskienhallinnan periaatteissa on määriteltävä seuraavat tekijät: riskienhallintaprosessin tavoitteet, resurssit ja vastuut riskienhallinnan kytkeytyminen suunnittelu- ja seurantaprosessiin riskien arviointien toteuttamisen periaatteet riskien arviointimenetelmä(t) ja -kriteerit sekä riskien hallintamenetelmät

11 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje Riskienarviointi Riskienarviointia toteutetaan osana jokapäiväistä johtamista ja päätöksentekoa. Riskienhallintaprosessi voi osittain toteutua myös erillisten riskienarviointien avulla. Riskienarvioinnissa tunnistetaan riskejä, arvioidaan niiden todennäköisyyttä ja vaikutuksia sekä todetaan ne riskit, joiden hallintaa on kehitettävä. Arviointia toteutetaan riskienhallinnan tavoitteiden ja periaatteiden mukaisesti, ja siinä on huomioitava strategiset, taloudelliset ja toiminnalliset riskinäkökulmat. 1) Riskien tunnistaminen Tarkoituksena on tunnistaa, mitä sellaista voi tapahtua tai ilmetä, jolla arvioidaan olevan vaikutuksia organisaation tavoitteiden saavuttamiseen. Tunnistamisvaiheen perusteella kootaan merkitykselliset riskit sekä tuotetaan tietoa riskien syistä ja seurauksista. Tunnistetuista riskeistä ja niiden mahdollisista seurauksista kirjoitetaan lyhyet kuvaukset, jonka perusteella niiden suuruus arvioidaan. 2) Riskien suuruuden arviointi Tunnistettujen riskien todennäköisyyttä ja vaikutuksia on arvioitava ennalta päätettyjen arviointikriteereiden mukaisesti. Arviointikriteereissä on otettava kantaa, huomioidaanko olemassa olevat riskien hallintakeinot osana arviointia. Riskien suuruutta arvioitaessa on huomioitava, kuinka riski toteutuessaan uhkaa muun muassa: strategisia tavoitteita toiminnan vaatimustenmukaisuutta (velvoitteet ja säädökset) taloutta ja toiminnan jatkuvuutta terveyttä, turvallisuutta ja ympäristöä Arvioinnissa on huomioitava myös riskien keskinäiset vaikutukset ja useampien riskien samanaikainen toteutuminen. 3) Nykyisten hallintakeinojen arviointi Mikäli nykyisin käytössä olevia riskien hallintakeinoja ei ole huomioitu osana riskin suuruuden arviointia, on riskin hallinnan tasoa arvioitava erikseen. Tällöin on selvitettävä, mitä hallintakeinoja kyseistä riskiä vastaan on käytössä ja ovatko nykyiset keinot tarkoituksenmukaisia ja tehokkaita. Hallintakeinoja voivat olla esimerkiksi menettelytavat, ohjeet tai tekniset ratkaisut. 4) Merkittävimpien riskien valinta Riskien tunnistamisen, suuruuden ja nykyisten hallintakeinojen arvioinnin perusteella muodostetaan kuva merkittävimmistä riskeistä ja niiden hallinnasta. Tämän jälkeen on selvitettävä, mitkä riskeistä ovat sellaisia, jotka vaativat vielä jatkokäsittelyä. Mikäli merkittävät riskit eivät ole riittävän hyvin hallinnassa, tulee niiden hallintaa kehittää. Palvelukokonaisuuksien, liikelaitosten ja tytäryhteisöjen tulee omissa arvioissaan huomioida myös riskien vaikutukset poikkihallinnollisissa prosesseissa. Periaatteena on, ettei riskejä siirretä toiselle yksikölle kaupunkikonsernin sisällä. Mikäli palvelukokonaisuuden,

12 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 10 liikelaitoksen tai tytäryhteisön merkittävistä riskeistä aiheutuu uhkaa toiselle kaupunkikonsernin yksikölle, on asiasta raportoitava ja menettelystä sovittava yksiköiden kesken. 5.4 Riskien hallintakeinoista päättäminen Riskien hallintakeinojen tarkoituksena on saattaa riskit hyväksyttävälle tasolle. Hallintakeinoja valittaessa päätetään uhkaavien riskien ja niiden hallinnan tasapainosta huomioiden muun muassa hallintavaihtoehtojen hyöty, tehokkuus ja kustannukset. Keskeisimpiä vaihtoehtoja riskien hallinnassa ovat riskin poistaminen, välttäminen, pienentäminen, hyväksyminen tai siirtäminen. Riski voidaan myös pitää itsellään tietoisella päätöksellä tai ottaa hallittu riski mahdollisuuksien hyödyntämiseksi. Eri vaihtoehdot eivät ole välttämättä toisiaan pois sulkevia. Toteutettavat hallintakeinot on kytkettävä prosesseihin ja käytävä läpi tarvittavien sidosryhmien kanssa. Riskien hallintakeinot voivat tuoda mukanaan myös uusia riskejä, joita on edelleen arvioitava ja seurattava. Riskien hallintakeinoja suunniteltaessa ja toteutettaessa on huomioitava: vastuut, resurssit ja aikataulut hallintakeinojen tehokkuuden mittaaminen dokumentointi, seuranta ja raportointi Riskien hallintakeinojen tulee olla jäljitettävissä. Hallintakeinot tulee olla dokumentoituina esimerkiksi toimintasuunnitelmassa, prosessikuvauksissa, prosessien työohjeissa tai muissa vastaavissa asiakirjoissa. Käyttöön otetut hallintakeinot kirjataan myös riskienarvioinnin aineistoon. 6 VALVONTATOIMENPITEET Valvontatoimenpiteiden jako voi perustua ns. koviin ja pehmeisiin kontrolleihin. Kovia kontrolleja ovat mm. erilaiset hyväksymiset, valtuutukset, todentamiset, täsmäytykset, toiminnan tarkastukset, omaisuuden turvaamistoimet ja työtehtävien ja vastuiden eriyttäminen. Pehmeät kontrollit ovat puolestaan epämuodollisia ja aineettomia asioita mm. etiikka, rehellisyys, osaamisen kehittäminen, johtamisfilosofia, ymmärtämisen ja sitoutumisen aste, tiedonvälitys. 6.1 Säännöllinen valvonta Tehokas sisäinen valvonta perustuu siihen, että kaupunkikonsernilla on asianmukainen valvontarakenne ja valvontatoimenpiteet on järjestetty. Valvontatoimenpiteillä pyritään hallitsemaan riskejä. Parhaimmillaan sisäinen valvonta syntyy organisaation omista tarpeista ja on luonnollinen ja saumaton osa toiminnan johtamista ja ohjausta. Pahimmillaan sisäinen valvonta on raskas erillisprosessi, jota tehdään vain lain ja/tai muun säännöstön vuoksi. Säännölliseen valvontaan kuuluvat muun muassa: johdolle laadittavat raportit toiminnan ja toimintapoikkeamien seuranta talousarvion toteutumisen seuranta

13 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 11 toimintaperiaatteiden sekä ohjeiden noudattamisen valvonta hyväksymis- ja valtuutusjärjestelmä erilaiset säännölliset varmistus- ja täsmäytystoimenpiteet sovittujen riskirajojen seuranta ja siitä raportointi fyysiset valvontatoimenpiteet (esimerkiksi kameravalvonta ja kulunvalvonta) Palvelukokonaisuuksien, liikelaitosten ja tytäryhteisöjen johto ja esimiehet vastaavat säännöllisen valvonnan järjestämisestä ja toimivuudesta sekä siitä, että henkilöstö on tietoinen sisäisen valvonnan järjestelyistä. Osa valvontajärjestelyistä, esimerkiksi turvallisuuteen ja omaisuuden turvaamiseen liittyvät järjestelyt, voivat olla luonteeltaan sellaisia, että niistä annetaan tietoa rajoitetusti vain avainhenkilöille. 6.2 Kontrollit osana toimintaprosesseja Toimintaan/prosessiin sisäänrakennetut kontrollit havaitsevat ja estävät tai korjaavat prosessissa, tapahtumien käsittelyssä tai tiedoissa ilmeneviä virheitä. Toimintaprosessiin sisäänrakennettuun valvontaan kuuluu muun muassa kontrolleja, jotka: varmistavat tapahtumien ja tietojen oikeellisuutta tukevat prosessin oikeaa kulkua ja tietojärjestelmän käytön oikeellisuutta tukevat päätösten ja lakien noudattamista suojaavat tietoja valvovat valtuuksissa pysymistä estävät virheitä ja väärinkäytöksiä varmistavat tehtävien riittävää eriyttämistä turvaavat toiminnan jatkuvuutta Kontrollit voidaan toteuttaa joko manuaalisesti, tietojärjestelmiin rakentamalla tai näiden yhdistelmillä. Tietojärjestelmiä hyödyntävissä prosesseissa valvonnan kontrollit on yleensä tehokkainta toteuttaa tietojärjestelmien avulla. Tietojärjestelmissä valvontaan käytettävissä olevia keinoja ovat muun muassa: käyttöoikeuksien määrittely ja käytönvalvonta syöttötietojen tarkastukset ohjelmalliset tarkistukset ja täsmäytykset tietojen luokittelu ja suojaaminen poikkeamista raportointi Esimiehet ovat vastuussa näiden kontrollien järjestämisestä ja sekä niiden toimivuuden valvonnasta. Tietojärjestelmiin ei aina voida rakentaa riittäviä automatisoituja kontrolleja, jolloin esimiehen on myös huolehdittava korvaavien kontrollien järjestämisestä ja toimivuuden valvonnasta. Tehtävien eriyttämisellä tavoitellaan virheiden ja väärinkäytösten estämistä jakamalla työtehtävät useampaan vaiheeseen eri henkilöille niin, ettei synny vaarallisia työyhdistelmiä. Tietojärjestelmissä tehokas tehtävien eriyttäminen varmistetaan käyttöoikeuksien rajaamisella. Mikäli tehtäviä ei voida eriyttää (esimerkiksi henkilökunnan vähäisyydestä johtuen tai muutoin tietojärjestelmin tehokkaasti valvoa), on toiminnosta vastuussa olevan esimiehen tehostettava jälkikäteisvalvontaa. Tämä voi olla muun muassa tapahtumien tarkastamista

14 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 12 tai käyttäjälokien läpikäyntiä sen varmistamiseksi, että tietojärjestelmässä ei ole tapahtunut asiatonta tietojen käsittelyä. 6.3 Sisäisen valvonnan kohteet ja menettelytavat Yksityiskohtaisten ja kattavien sisäisten valvonnan kohteiden ja menettelytapojen luetteleminen ei ole tarkoituksenmukaista eikä mahdollistakaan, kun valvontaympäristöt poikkeavat toisistaan perustehtävien erilaisuudesta ja toimintayksikköjen kokoeroista johtuen. Seuraavassa on lueteltu sisäisen valvonnan kannalta keskeisiä kohteita ja niihin liittyviä riskejä sekä sisäisen valvonnan menettelyitä. Toimivalta ja vastuut on määritelty hallintosäännössä ja johtosäännöissä, joilla valtuusto on siirtänyt toimivaltaansa toimielimille, luottamushenkilöille ja viranhaltijoille. Samalla valtuusto on antanut viranomaiselle oikeuden siirtää eli delegoida sille siirrettyä toimivaltaa edelleen. Toimivallan voi siirtää sekä toimintasäännöllä että yksittäisellä päätöksellä. Toimielin tai viranhaltija, jolle toimivaltaa on siirretty, on sekä oikeutettu että velvoitettu tekemään päätöksen asiasta. Se, jolle on siirretty toimivaltaa, on vastuussa tehdystä päätöksestä. Toimielimissä päätöstä vastaan äänestänyt tai eriävän mielipiteen ilmoittanut ei kuitenkaan ole vastuussa päätöksestä. Asian esittelijällä on, mikäli päätös poikkeaa hänen päätösehdotuksestaan, oikeus ilmoittaa eriävä mielipide. Jos esittelijä ei ilmoita eriävää mielipidettään, myös hän on vastuussa esittelystään poikkeavasta päätöksestä. Toimivaltaa siirtäneen viranomaisen tulee varmistua siitä, että toimielin tai viranhaltija, jolle toimivaltaa siirretään, kykenee käyttämään sitä asianmukaisesti. Toimivaltaa siirtäneellä viranomaisella on valvontavastuu delegoinnin mukaisista päätöksistä. Vastuuta ei voi välttää vetoamalla siihen, että toimivalta on siirretty. Toimivallan ja vastuiden epäselvyydestä aiheutuvia riskejä voivat olla mm. toimivallan ylittäminen tai tehtävien tekemättä jääminen. Sisäisen valvonnan keinoja ovat esimerkiksi selkeät toimivallan ja vastuiden määrittelyt ja kuvaukset sekä toiminnan ja valtuuksien käytön valvonta. Päätöksenteko. Päätöksentekoprosessiin sisältyvät asian vireille tulo, valmistelu, päätöksenteko, tiedottaminen, toimeenpano sekä toimeenpanon valvonta. Päätöksenteon tulee perustua oikeisiin ja riittäviin tietoihin. Päätöstekstin on oltava yksiselitteinen ja täsmällinen. Päätökset on perusteltava. Tiedon on säilyttävä muuttumattomana asian kaikissa käsittelyvaiheissa. Päätöksenteossa ja -valmistelussa sekä täytäntöönpanossa on noudatettava lainsäädäntöä sekä sääntöjä ja ohjeita. Lainvastaiset ja virheellisesti tehdyt päätökset voidaan valitusteitse oikeudessa kumota. Päätöksenteossa on muistettava, ettei esteellinen henkilö osallistu asian käsittelyyn, mikä tarkoittaa asian käsittelyn kaikkia vaiheita valmistelusta täytäntöönpanoon saakka. Jokainen päätöksentekijä on ensisijaisesti itse vastuussa siitä, ettei osallistu esteellisenä asian käsittelyyn. Toimielimien jäsenten ja esimiesten tulee valvoa alaistensa päätöksentekoa tarvittaessa otto-oikeutta käyttämällä. Otto-oikeus on ylemmän viranomaisen keino valvoa alemman viranomaisen päätöksenteon laillisuutta ja tarkoituksenmukaisuutta. Päätöksentekoprosessin toimivuutta ja tarkoituksenmukaisuutta seurataan vuosittain toimielinten antamissa sisäisen valvonnan ja riskienhallinnan selonteoissa, joihin kootaan

15 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 13 yhteenveto viranhaltija- ja toimielinpäätöksistä: kokousten ja päätösten määrät, oikaisuvaatimukset, valitukset, otto-oikeuden käyttämiset, vireillä olevat oikeusprosessit sekä eri oikeusasteiden päätökset. Henkilöstö. Henkilöstön oikeudenmukainen kohtelu edellyttää voimassa olevan lainsäädännön, virka- ja työehtosopimusten sekä muiden henkilöstöasioita koskevien määräysten, päätösten ja ohjeiden noudattamista. Toimintayksiköiden tulee omassa päätöksenteossaan noudattaa konsernihallinnon antamia ohjeita ja linjauksia ja huolehtia tarvittavien yhteistoimintavelvoitteiden toteuttamisesta ennen päätöksentekoa. Vastuu työyhteisön hyvinvoinnista on sekä esimiehellä että työntekijöillä. Esimiehen on kuitenkin tiedostettava oma roolinsa ja tunnettava hänelle työnantajan edustajana kuuluvat velvollisuudet. Esiin tulleet ongelmat on käsiteltävä heti ja ryhdyttävä tarvittaviin toimenpiteisiin. Henkilöstöasioihin liittyviä ongelmallisia asioita ei saa jättää käsittelemättä. Toimintayksiköiden johdon tulee valvoa esimiestyön asianmukaisuutta ja puuttua tarvittaessa epäkohtiin. Esimiesten ja toimintayksiköiden johdon tulee suorittaa tarvittavat työnjohdolliset puuttumistoimenpiteet alaistensa osalta. Annetut huomautukset ja varoitukset tulee dokumentoida ja niiden tulee perustua kaupungin ohjeisiin ja käytäntöihin. Henkilöstöasioihin liittyvistä poikkeavista menettelytavoista tulee ilmoittaa konsernihallinnon henkilöstöyksikköön. Esimiesten on valvottava palkan maksatuksen oikeellisuutta kuukausittain. Erityistä huomiota on kiinnitettävä virka- ja työehtosopimusten mukaisiin arviointijärjestelmiin ja palkkauksen oikeudenmukaisuuteen. Samoin tulee menetellä harkinnanvaraisia etuuksia käsiteltäessä. Henkilöstöyksikön ja esimiehen on seurattava palkan maksuperusteiden oikeudenmukaisuutta ja oikeellisuutta. Riskit liittyvät henkilöstön hyvinvointiin (esimerkiksi työn kuormittavuus, työn organisointi, sairauspoissaolot ja työtapaturmat). Henkilöstön rekrytointi, perehdyttäminen, osaamisen kehittäminen ja henkilöstön liikkuvuuden varmistaminen sisältävät riskejä henkilöstöresurssien tehokkaalle käytölle. Avainhenkilöriskit on tunnistettava ja avainhenkilöille on määriteltävä sijais- ja varahenkilöjärjestelyt. Sisäisen valvonnan keinoja ovat esimerkiksi osaamisen hallinnan ja kehittämisen työkalut kuten kehityskeskustelut sekä henkilöstöhallinnon raportointi ja -seuranta. Toiminta ja talous. Talousarviossa ja -suunnitelmassa on esitetty kaupungin toiminnalliset ja taloudelliset tavoitteet sekä resurssit. Palvelukokonaisuudet ja liikelaitokset määrittelevät vuosittain talousarviossaan, miten ne toteuttavat omaa perustehtäväänsä tavoitteellisesti. Kaupunginvaltuuston asettamien tavoitteiden pohjalta toimielimet hyväksyvät tehtäväalueensa toiminnalliset ja taloudelliset tavoitteet sekä käyttösuunnitelmat määrärahoille ja tuloarvioille. Valtuusto hyväksyy talousarviossa investointisuunnitelman taloussuunnittelukaudelle. Investointien suunnittelun yhteydessä on selvitettävä investointien vaikutukset toiminnan volyymiin, kokonaiskustannuksiin ja käyttötalouteen. Ennen investointiesityksen tekemistä on selvitettävä myös vaihtoehtoisten tuottamistapojen ja ulkopuolisen rahoituksen mahdollisuudet. Riskejä ovat mm., että tavoitteet eivät ohjaa aidosti toimintaa, toiminta ei ole tavoitteiden mukaista, poikkeamia asetetuista tavoitteista ei huomata tai niitä ei oteta huomioon. Ylei-

16 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 14 sesti kyse on kuntien talouteen kohdistuvista uhkista ja kaupungin toiminnan sopeuttamisesta niiden vaatimalla tavalla. Kyse on talousarvion valmistelussa tehtävistä valinnoista sekä talousarvion tuloihin, menoihin ja tavoitteiden toteutumiseen liittyvistä epävarmuustekijöistä. Sisäisen valvonnan keinoja ovat esimerkiksi toiminnan ja talouden suunnitteluun liittyvät ohjeet, koulutukset sekä talouden raportointi ja seuranta. Kirjanpito ja maksuliikenne. Oikein tehtyjen kirjausten ja tilinpäätöksen edellytyksenä on kirjanpitohenkilöstön riittävä ammattitaito. Henkilöstön on ymmärrettävä kirjanpitojärjestelmiin sisältyvien kontrollien ja täsmäytysten merkitys ja heidän on osattava käyttää niitä virheettömän kirjanpidon ja tilinpäätöksen varmistamiseksi. Kirjanpitojärjestelmästä ja siihen liittyvistä osajärjestelmistä on oltava ajantasaiset menetelmäkuvaukset. Kirjanpitoon ja maksuliikenteeseen liittyviä riskejä ovat mm., että kirjanpitoa ei hoideta lakien ja määräysten mukaisesti, saatavia ei saada perityksi, varoja tileiltä ja käteiskassoista häviää tai käytetään väärin tai tehtävienjaon epäselvyyksien johdosta taloushallinnon tehtäviä jää suorittamatta. Sisäisen valvonnan keinoja ovat esimerkiksi tehtävien eriyttäminen, täsmäytykset, laskujen asiatarkastus ja hyväksyminen sekä kassavarojen tarkastukset ja muu omaisuuden hallinnointi. Arvonlisäveroon liittyviä riskejä ovat esimerkiksi, että verollisesta myynnistä jää arvonlisävero tilittämättä (aiheutuu viivästysseuraamuksia) ja vähennykseen tai palautukseen oikeuttava vero jää saamatta. Sisäisen valvonnan keinoja ovat erilaisten tarkistusraporttien ja laskujen läpikäynti, henkilökunnan koulutus ja ohjeistus arvonlisäveron käsittelyyn. Ympäristöasiat. Kaupungin ympäristöjärjestelmä on organisaation ympäristöjohtamisen väline, jonka avulla ympäristöasiat otetaan järjestelmällisesti huomioon toiminnassa ja sen suunnittelussa. Yleisesti vastuu ympäristöasioiden huomioimisesta osana työtehtäviä kuuluu kaikille kaupungin työntekijöille ja luottamushenkilöille. Jyväskylän kaupunkikonsernin ilmasto-ohjelmassa kerrotaan, miten kaupunki vastaa ilmastomuutokseen kaupunkistrategian mukaisesti. Riskejä ovat mm., että hyväksytyt ympäristötavoitteet eivät aidosti ohjaa toimintaa, poikkeamia asetetuista tavoitteista ei huomata tai niitä ei oteta huomioon. Kertomus ympäristöjärjestelmästä ja ympäristötilinpäätös julkaistaan vuosittain osana kaupungin tilinpäätöstä ja toimintakertomusta. Ympäristöraportti julkaistaan neljän vuoden välein. Raportti sisältää erilaisia kestävän kehityksen indikaattoreita, jotka kuvaavat ympäristön tilan yleistä kehitystä. Omaisuuden hallinnointi. Palvelukokonaisuudet, liikelaitokset ja tytäryhteisöt ovat velvollisia huolehtimaan siitä, että kaupunkikonsernin omistama ja hoidossa oleva omaisuus pidetään kunnossa ja että sitä käytetään taloudellisella ja tarkoituksenmukaisella tavalla. Omaisuudesta ja irtaimesta omaisuudesta on laadittava asianmukaiset luettelot. Omaisuuteen kohdistuvia riskejä on arvioitava säännöllisesti. Riskienhallinnasta vastaa se yksikkö, jonka hoitoon omaisuus on uskottu. Kaupungin kiinteä ja irtain omaisuus vakuutetaan kaupunginhallituksen hyväksymien periaatteiden mukaisesti. Toimintayksiköiden on välittömästi ilmoitettava kaupungin omaisuuteen kohdistuneista vahingoista ja rikoksista lakimies- ja sisäisen tarkastuksen yksiköille sekä poliisille tutkimusten suorittamista varten. Seurantaa varten toimintayksiköiden on pidettävä em. tapah-

17 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 15 tumista omaa rekisteriä, jonka tiedot on vuosittain käsiteltävä yksikön toimintakertomuksessa. Hankinnoissa noudatetaan hankintalainsäädäntöä ja hankintaohjeita. Toimintayksiköiden johdon on varmistettava, että hankintatoiminta on järjestetty tarkoituksenmukaisesti, yksikössä on riittävä hankintaosaaminen ja hankinnat tehdään oikein, asianmukaisesti, taloudellisesti ja tehokkaasti. Hankintojen yhteydessä ei saa antaa eikä ottaa vastaan lahjoja tai palveluksia. Henkilökohtaisia hankintoja ei saa tehdä kaupungin hankintojen yhteydessä eikä käyttää kaupungin hankintasopimuksia omaksi edukseen. Esteellinen henkilö ei saa osallistua hankintojen valmisteluun tai päätöksentekoon. Riskejä ovat mm., että hankintoja tehdään ilman valtuuksia, hankintalainsäädännön tai ohjeiden vastaisesti, omaisuutta häviää tai turmeltuu. Sisäisen valvonnan keinoja ovat esimerkiksi hankintavaltuuksien määrittely, valtuuksien käytön ja ohjeiden noudattamisen seuranta, hankintaan liittyvien tehtävien jako sekä hankintaprosessin toimivuuden arviointi. Tietohallinto, tietoturva ja tietosuoja. Kaupunkikonsernin tietotekniikkatoiminnassa on huomioitava suunnitelmallisuus, kustannustehokkuus ja kokonaisuuden hallinta siten, että turvataan tietoresurssien hyväksikäyttö suunnittelussa, johtamisessa, toteuttamisessa ja valvonnassa. Tietohallinto vastaa tietoturvan ja tietosuojan hallinnan kehittämisestä ja koordinoinnista, mutta vastuu toimintayksikön ja toiminnan tietoturvasta ja tietosuojasta on jokaisella esimiehellä ja työntekijällä. Kaupungilla on koko konsernia koskeva kaupunginhallituksen hyväksymä tietoturvapolitiikka, jossa määritellään tietoturvan toteuttamisen periaatteet, menettelytavat ja ohjeet tietoturvan varmistamiseksi ja ylläpitämiseksi. Tietoturvapolitiikkaan liittyvät tarkemmat käytännön ohjeet määritellään tietoturvan työryhmän hyväksymissä tietoturvastandardeissa sekä tietohallinnon ja käyttäjien tietoturvakorteissa. Joissakin toimintayksiköissä, mm. perusturvapalveluissa, on eritysohjeita tietoturvaan ja tietosuojaan liittyen. Henkilötietojen tietoturva ja tietosuoja korostuvat palvelutuotannon ulkoistamisessa niissä tapauksissa, kun kaupungilla säilyy henkilötietolain tarkoittama rekisterinpitäjän vastuu. Ulkoistussopimuksia tehtäessä tulee niihin aina liittää ehdot eri osapuolten oikeuksista ja velvollisuuksista. Henkilörekistereistä juridisesti vastaavalla rekisterinpitäjällä on rekisterinpitäjän velvoite antaa asiasta kirjalliset ohjeet sekä nimetä tehtävistä vastaavat henkilöt ja ylläpitää niitä tietosuojaselosteissa. Konsernijohto vastaa siitä, että on olemassa toimiva järjestelmä, jossa merkittävät tietoturva- ja toiminnalliset riskit tunnistetaan ja arvioidaan. Vastuu tietoteknisistä jatkuvuussuunnitelmista ja toimintaohjeista on tietojärjestelmän omistajayksiköllä. Jokaisen tietojärjestelmän omistajan on mm. kartoitettava tietojärjestelmiensä toimintaan liittyvät riskit, huolehdittava tietojenkäsittelyn luottamuksellisuudesta, tietojen oikeellisuudesta, pääsynvalvonnasta ja toimintojen jatkuvuudesta. Riskienhallinnassa on huomioitava, että kaupungin on pystyttävä tuottamaan lakisääteiset ja muut vastuullaan olevat palvelut teknisistä ongelmista huolimatta ilman, että siitä koituu kuntalaisille kohtuutonta haittaa. Tietoturvariskillä tarkoitetaan epäedullisia seuraamuksia, jotka voivat aiheutua siitä, että tieto ei ole turvassa ulkopuolisilta (luottamuksellisuus), tieto ei ole käytettävissä oikeaan

18 JYVÄSKYLÄN KAUPUNKI Jyväskylän kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan yleisohje 16 aikaan oikeilla henkilöillä (saatavuus) tai tietojen virheettömyyttä ei voida taata (oikeellisuus). Tietojärjestelmäriskit koostuvat mm. teknisten järjestelmien häiriöistä ja puutteellisuuksista ja kattavat esimerkiksi laitteisto-, ohjelmisto- ja tietoliikenneriskit. Tietojärjestelmän omistajien vastuuhenkilöiden tehtävänä on valvoa tietoturvaohjeiden noudattamista yhdessä järjestelmiä käyttävien henkilöiden esimiesten kanssa. Henkilön poistuessa kaupungin palveluksesta tai järjestelmien käyttötarpeen loputtua muusta syystä esimiesten on valvottava, että käyttöoikeudet peruutetaan välittömästi. 6.4 Väärinkäytösten tunnistaminen Väärinkäytöksen havaitseminen perustuu väärinkäytöksen tunnusmerkkien tunnistamiseen. Nämä tunnusmerkit voivat tulla esiin johdon käyttöön ottamissa valvontatoimenpiteissä, tarkastusten tuloksena tai muista lähteistä. Tunnusmerkkejä väärinkäytöksistä ovat esimerkiksi: Asiakirjat ovat vääriä tai niitä epäillään väärennetyiksi. Omaisuutta on hävitetty tai sen epäillään hävinneen. Epäillään, että on erehdytetty henkilöä, ja tästä olisi aiheutunut kaupungille vahinkoa. Huomataan avustusten hakemista koskevassa dokumentaatiossa virheellisiä tietoja. Päätösvaltaa käytetään ohi ohjeistuksen tai delegoidun toimivallan. Käskyvaltaa alaisiin on käytetty väärin. Epäilyt väärinkäytöksistä on tutkittava ja tarvittaessa on ryhdyttävä vaadittaviin oikeustoimiin. Henkilöstön on raportoitava epäilemänsä väärinkäytökset tai rikkomukset esimiehelleen. Ilmoituksen voi tarvittaessa tehdä myös sisäiseen tarkastukseen. Ensisijaisesti esimiesten tehtävänä on selvittää väärinkäytökset. Sisäinen tarkastus voi kaupungin johdon harkinnan mukaan avustaa tutkimuksen teossa tai tutkia väärinkäytösepäilyjä. Mikäli on perusteltua syytä epäillä rikoksen tapahtuneen ja sen tueksi on tosiseikkoja, kaupunginlakimies laatii tutkintapyynnön ja asia siirtyy poliisin tutkittavaksi. 7 RAPORTOINTI JA TIEDONVÄLITYS 7.1 Raportoinnin ja tiedonvälityksen merkitys Toiminnan ja sen tehokkuuden edellytyksenä on, että päätöksenteon pohjaksi ja sisäisen valvonnan toteutumiseksi on käytettävissä riittävät ja oikeat tiedot. Organisaation toiminnan ohjaamiseen ja valvontaan tarvitaan tietoja taloudesta, toiminnasta sekä säännösten ja päätösten noudattamisesta. Organisaation ulkopuolelta kerätään tietoa toimintaympäristöstä ja sen muutoksista. Säännöllinen ja ohjeiden mukainen raportointi toiminnallisten ja taloudellisten tavoitteiden toteutumisesta ja toiminnasta on tärkeä johdon työväline. Tiedon tulee olla luotettavaa, olennaista, ajantasaista ja oikeassa muodossa. Tiedon laatuun vaikuttavat tiedon soveltuvuus tarkoitukseensa, tiedon tuoreus, tiedon oikeellisuus ja saatavuus. Tehokasta tiedonvälitystä tarvitaan myös organisaation ulkoisten sidosryhmien kuten asiakkaiden, kuntalaisten, palvelujen toimittajien, tilintarkastajien ja valtionhallinnon kanssa.