RISKIENHALLINTASUUNNITELMA HUS-Logistiikka liikelaitos Johtokunta 11.3.2016
2 RISKIENHALLINTASUUNNITELMA HUS-LOGISTIIKKA Sisällys 1. Johdanto 2. Riskienhallinnan periaatteet HUS:ssa 3. Riskienhallinnan toteuttaminen HUS-Logistiikka liikelaitoksessa 3.1 Kokonaisvaltainen riskienhallintamalli 3.2 Riskien tunnistaminen ja analysoiminen 3.3 Riskien suuruus ja merkittävyys sekä riskienhallintatoimenpiteet 3.4 Vakuuttaminen 3.5 Riskien seuranta, raportointi Liitteet 1: Riskien seurantalomakkeet (esimerkki ja yksikkökohtaiset) Liite 2: Strategisten riskien seuranta (Riskienhallinnan seuranta osana tasapainotettua ohjauskorttia) Liite 3: HUS-Logistiikan riskikartta Liitteet 4: Riskiprofiilit (esimerkki ja yksikkökohtaiset) Liite 5: Vakuutukset Liitteet 6: Pelastus- ja turvallisuussuunnitelmat
3 1. Johdanto Helsingin ja Uudenmaan sairaanhoitopiirin (HUS) visiona on olla uutta tietoa luova, kansainvälisesti korkeatasoinen sairaalaorganisaation, jossa potilaiden tutkimus ja hoito on laadukasta, oikea-aikaista, turvallista ja asiakaslähtöistä. HUS:n palvelutuotanto on kilpailukykyistä ja HUS on vetovoimainen työnantaja. Potilashoitoa tukevia palveluja tuottavat kuntayhtymän omat liikelaitokset. HUS-Logistiikka on yksi seitsemästä HUS:n liikelaitoksesta. Liikelaitos toimii kuntayhtymän yhteishankintayksikkönä ja julkisia hankintoja koskevassa lainsäädännössä tarkoitettuna hankintayksikkönä. HUS-Logistiikka huolehtii hankinta-, logistiikka- ja sairaankuljetuspalvelujen tuottamisesta ja niiden kehittämisestä. Liikelaitos tarjoaa asiantuntijapalveluita hankintoihin ja hankintamenettelyyn liittyen. HUS-Logistiikan asiakkaita ovat HUS:n sairaanhoitoalueiden sairaalat. Lisäksi liikelaitos palvelee HUSalueen jäsenkuntia ja erityisvastuualueiden sairaanhoitopiirejä Careaa ja Eksotea. HUS-Logistiikka vastaa hoitotarvikkeiden saatavuudesta myös kriisitilanteissa. HUS-Logistiikan liikevaihto vuonna 2014 oli 170 miljoonaa euroa. Henkilöstöä Logistiikassa on noin 300, järjestelmässä erilaisia tuotekategorioita 1 500 ja tuotenimikkeitä 35 000 sekä tavarantoimittajia noin 400 ja sairaankuljetuksen välittämiä potilaskuljetuksia 100 000. 2. Riskienhallinnan periaatteet HUS-Kuntayhtymässä Riskienhallinnan menetelmin, sisäistä valvontaa sekä hyvän hallinnon periaatteista noudattamalla pyritään varmistamaan asetettujen tavoitteiden saavuttaminen ja strategian toteutuminen sekä turvaamaan toiminnan jatkuvuus ja häiriöttömyys. Sisäinen valvonta ja riskienhallinta ovat osa kuntalain 23 :ssä hallitukselle säädettyjä hallinnon ja taloudenhoidon vastuutehtävää sekä kuntalain 24 :ssä johtajalle säädettyä hallinnon, taloudenhoidon ja kuntayhtymän muun toiminnan johtotehtävää. Riskienhallinnan tulee kattaa olennaiset toimintaan ja talouteen liittyvät riskit. Sisäisen valvonnan ja riskienhallinnan järjestämisen tulee olla systemaattista ja dokumentoitua. Riskienhallinnalla tulee turvata ne toiminnalliset perusedellytykset, jotka tarvitaan HUS:n toteuttaessa perustehtäväänsä häiriöittä ja keskeytyksittä, laadukkaasti ja kustannustehokkaalla tavalla. Riskienhallintaa tulee toteuttaa systemaattisesti ja dokumentoidusti kaikilla toiminnan tasoilla ja toiminnoissa. Valvonta-, seuranta- ja raportointimenettelyillä edesautetaan riskienhallinnan toteutumista. HUS:n valtuusto on linjannut Kokonaisvaltaisen riskienhallinnan käytännöt HUS-konsernin sisäisen valvonnan ja riskienhallinnan periaatteissa (11.12.2013). HUS-konsernin riskienhallinta perustuu kokonaisvaltaiseen riskienhallinnan malliin, jossa riskienhallinta kytketään organisaation strategisiin ja toiminnallisiin prosesseihin sekä operatiiviseen käytännön toimintaan 1. 1 Committee of Sponsoring Organizations of the Treadway Comission (Coso) 2004-2013
4 Riskienhallinta muodostaa olennaisen osan HUS -kuntayhtymän johtamista, ohjausta sekä toimintaa. Riskienhallinnalla varmistetaan, että organisaation johtamis-, suunnittelu- ja päätöksentekoprosesseissa on käytettävissä riittävästi tietoa organisaation olemassaoloa ja toimintaa uhkaavista riskeistä, ja että johdolla on kaikki tarpeellinen tieto merkittävistä riskeistä, suunnitelmat riskien hallitsemiseksi ja riittävät käsittelyjärjestelmät vahinkojen hoitamiseksi. Riskienhallinnalla tarkoitetaan toimintaa, jatkuvuutta tai tavoitteita uhkaavien asioiden tai niihin liittyvien mahdollisuuksien tunnistamista, asettamista keskinäiseen tärkeysjärjestykseen ja hallintakeinojen toteuttamista. Kuva 1. HUS:n riskienhallinnan kokonaisuus
5 Kuva 6. Riskienhallinnan raportointi HUS RISKIT järjestelmä koostuu neljästä päätoiminnosta (moduulista). 1. Turvallisuustapahtumista ilmoittaminen - moduuli mm. tapahtumaraportointi, tapaturmailmoitukset, lääkintälaitehäiriöt, ympäristöpoikkeamat 2. Riskikartoitukset ja analyysit, kokonaisriskien hallinta moduuli Sisältäen a) työsuojelun työn vaarojen ja riskien arvioinnin, b) kiinteistökohtaiset riskikartoitukset (operatiiviset riskit), c) Johtotason riskikartoitukset (strategiset riskit) 3. Dokumenttien hallinta moduuli (Eri dokumenttien käsittely ja säilytys; mm käyttöturvallisuustiedotteet, palotarkastuspöytäkirjat, työsuojeluviranomaisen tarkastukset, turvallisuus- ja valmiussuunnitelmat, erityistilanneohjeet.. ) 4. Turvallisuusauditoinnit moduuli (Työturvallisuuskierrokset ja kokonaisturvallisuutta koskevat auditoinnit)
6 Muita riskienhallinnan raportointitapoja ovat mm. operatiiviseen riskienhallintaan liittyvien osaalueiden olemassa olevat työkalut esimerkiksi kiinteistöturvallisuuteen liittyvät järjestelmät, kohdekohtaiset riskikartoitukset esimerkiksi sopimusriskien tai vakuutettavien riskien osalta, selvitykset ja tutkimukset esimerkiksi työhyvinvoinnin osalta sekä osastojen, ryhmien ja tiimien sisäinen työ. Kaikista turvallisuus- ja tietoturvallisuuspoikkeamista sekä läheltä piti tilanteista raportoidaan ja kerätään tietoa keskitetysti. Tulosalueilla, liikelaitoksissa ja yhtymätasolla seurataan HUS-alueen vahinkotilastojen lisäksi läheltä piti -tilanteita ja turvallisuuspoikkeamia koskevia ilmoituksia ja niiden käsittelyprosesseja. Kuntayhtymän johto saa käsiteltäväkseen merkittäviä vahinkoja sekä keskeisiä riskejä koskevat raportit vuosittain. Riskienhallinnan raportointi voidaan jakaa organisaatio-osan (liikelaitoksen) sisäiseen raportointiin, ulkoiseen raportointiin sekä konserniraportointiin. Organisaatio-osan (liikelaitoksen) sisäinen raportointi tehdään ennen kaikkea organisaatio-osan oman työn ja johtamisen tukemiseksi. Kunkin organisaatio-osan johtaja vastaa siitä, että raportointi vastaa yleistä hyvää raportoinnin tasoa. Organisaatio-osan sisäiseen raportointiin kuuluu muun muassa päivittäisen toiminnan parantamiseen ja poikkeamien käsittelyyn liittyvät asiat. Konsernin sisäinen raportointi kokoaa yhteen eri organisaatio-osien tekemän riskienhallintatyön. Tästä, konsernin sisäisestä riskienhallintamateriaalista koostetaan konsernijohdon tekemän työn pohjalta riskienhallinnan kokonaiskuva. Riskienhallinnan työryhmä hallinnoi konsernin sisäistä raportointia ja tukee eri osa-alueita tehtävissään. Konsernin sisäiseen raportointiin kuuluu erityisesti koko organisaation toimintaan vaikuttavat asiat, parhaat käytännöt ja konsernijohtamisen pääkohdat.
7 Konsernin ulkopuolinen riskienhallinnan raportointi tehdään yhdessä muun ulkoisen raportoinnin ohessa. Riskienhallinnan kokonaiskuva käsitellään riskienhallintapolitiikan mukaisella tavalla. Konsernin ulkopuolelle raportoinnissa on huomioitava, että riskeihin saattaa liittyä arkaluontoista tietoa, joten ulkoisessa raportoinnissa noudatetaan konsernin viestintään liittyviä ohjeita. Konsernin ulkopuolinen raportointi on tiivistetty yhteenveto konsernin riskienhallintakokonaisuudesta. Kuntayhtymien, vastuualueiden, liikelaitosten ja toimintayksiköiden vastuullisten henkilöiden on annettava tilinpäätös- ja toimintakertomuksen yhteyteen selonteko siitä, miten he ovat huolehtineet riskienhallinnan ja sisäisen valvonnan järjestämisestä. Selonteossa on erikseen mainittava merkittävät riskit ja epävarmuustekijät sekä kuvata kuluneella tilikaudella havaitut riskienhallinnan puutteet ja niiden johdosta suunnitellut kehittämiskohteet. Liikelaitoksen arvio ja kertomus riskienhallinnan kehityksestä käsitellään samalla kun lautakunta käsittelee edellisvuoden tilinpäätöksen. Lisäksi kyseiset asiakirjat tuodaan kaikkien toimialojen osalta hallitukselle tiedoksi. Riskienhallinnan raportointia rytmittää vuosikello. Kunkin vuoden tilinpäätökseen ja vuosikertomukseen kirjataan edellisen vuoden merkittävimmät riskienhallinnan toimenpiteet ja alkaneen vuoden tavoitteet.
8 3. Riskienhallinnan toteuttaminen HUS-Logistiikka liikelaitoksessa HUS Logistiikka liikelaitos toteuttaa riskienhallintaa kuntayhtymän riskienhallintaperiaatteiden mukaisesti. HUS-Logistiikka liikelaitos pyrkii varmistamaan ydintoimintansa jatkuvuuden kaikissa tilanteissa ja olosuhteissa 2. Riskienhallinta on osa liikelaitoksen kunkin toiminnon vastuulle kuuluvaa normaalia toimintaa ja sitä toteuttaa kukin toimija omassa roolissaan. Riskillä tarkoitetaan yllättävää tapahtumaa, joka realisoituessaan voi estää kokonaan tai väliaikaisesti jonkun tavoitteen toteutumisen, aiheuttaa menetyksiä, viivästyksiä tai uhkia hankkeen toteuttamiseen. Riskiin sisältyy tappion mahdollisuus ja menettämisen uhka. Olennainen riskiin liittyvä piirre on epävarmuus. Matemaattisesti riskin suuruus perustuu riskin todennäköisyyteen ja seurauksien vakavuuteen, joiden yhteisvaikutuksesta tehdään päätökset riskienhallintakeinoista. Riski on määrätyn vaarallisen tapahtuman esiintymistaajuuden tai -todennäköisyyden ja seurauksen yhdistelmä. Riskit voivat liittyä mihin tahansa toiminnan alueeseen ja sekä sisäisiin että ulkoisiin tekijöihin. Riskienhallinta on kokonaisnäkemys olemassa olevista vaaroista ja järjestelmällinen tutkimus siitä, miten niistä aiheutuvat menetykset voidaan minimoida, tähän tutkimukseen perustuva edullisimpien hallintakeinojen valitseminen sekä niiden toteuttaminen. HUS-Logistiikan riskienhallinnassa pääpaino on merkittävissä riskeissä. 3.1 Kokonaisvaltainen riskienhallintamalli Riskienhallintaa toteutetaan kokonaisvaltaisen prosessimallin mukaan, järjestelmällisesti ja kattavasti yhteisiä riskienhallinnan työkaluja käyttäen. Kokonaisvaltaisessa riskienhallintamallissa riskienhallintaprosessi kuuluu osaksi jokaisen toimintayksikön ja palvelualueen toimintaa. Riskienhallintaprosessi on säännöllinen, standardinmukainen ja ulottuu läpi organisaation koskemaan kaikkea toimintaa. 2 HUS konsernin sisäisen valvonnan ja riskienhallinnan periaatteet 2013
9 Kuva 2. Kokonaisvaltainen riskienhallintamalli Riskienhallintaprosessissa - tunnistetaan organisaation kohtaamia riskejä, - analysoidaan riskien suuruutta, - raportoidaan riskeistä, - otetaan kantaa riskienhallintamenetelmiin, - seurataan riskien kehittymistä ja tilaa. Jokaisessa liikelaitoksen yksikössä tunnistetaan ja kirjataan riskit sekä niiden edellyttämät toimenpiteet. Riskitiedot käsitellään kerran vuodessa marraskuussa johtoryhmässä. Riskien kirjaamisessa ja seurannassa käytetään HUS:n sähköisiä järjestelmiä ja riskienhallinnan työkaluista riskien seurantalomaketta (Liite 1) sekä riskimatriisia (Liite 4). Seurantalomakkeelle merkitään riskin nimi, nykyarvot (seuraus ja todennäköisyys) pahimmat seuraukset, syyt, toimenpiteet, vastuut ja riskiluku. HUS-Logistiikan riskienhallintatyöryhmä käy vuosittain syys-lokakuussa sekä tarvittaessa läpi yksiköittäin havaitut keskeiset riskit ja riskienhallinnan tilanteen riskien seurantalomaketta käyttäen (Liite 1). Riskien seurantalomakkeiden tiedot tallennetaan vuodesta 2016 lähtien HUS-Logistiikan intraan johtoryhmän työtilaan. Merkittävistä riskeistä raportoidaan heti, kun niitä tunnistetaan. Johtoryhmä osallistuu aktiivisesti riskien tunnistamiseen, arviointiin ja tarvittavien toimenpiteiden valmisteluun sekä vastaa riskienhallinnan raportoinnista konsernijohtoon kuntayhtymän johdon ohjeiden mukaisesti. Riskienhallintatyöryhmään kuuluvat työsuojelupäällikkö (puheenjohtaja ja koollekutsuja) sekä edustajat varastosta, tavarankuljetuksesta, asiakaspalvelusta, sairaankuljetuksesta ja hankintapalveluista.
10 Kuva 3. Riskienhallintaprosessi Riskien hallintakeinot 1. Riskien tunnistaminen Raportointi Seuranta 4. Merkittävimpien riskien valinta 2. Riskien suuruuden arviointi 3. Riskien hallintakeinojen arviointi 3.2 Riskien tunnistaminen ja analysoiminen Riskianalyysi etenee vaiheittain. Riskejä tunnistetaan kaikilla toiminnan tasoilla. Kuva 4. Riskinanalyysi Riskianalyysin vaiheet 1) Riskien tunnistaminen 2) Riskien arviointi 3) Riskien järjestäminen niiden suuruuden mukaisesti eli luokittelu
11 Riskit tunnistetaan ja jaotellaan eri luokkiin: strategisiin ja operatiivisiin riskeihin. Strategiset riskit liittyvät johtamiseen, ohjaukseen, toimintasuunnitteluun, palveluketjuun, toimiympäristöön tai muihin koko liikelaitosta koskeviin sisäisiin tai ulkoisiin riskeihin, joita ei operatiivisen riskienhallinnan tasolla voida tai ei ole mielekästä käsitellä. Strategiset riskit tunnistetaan johdon toimesta ja niihin tuodaan myös kriittisimmät operatiiviset riskit. Strategiset riskit johdetaan strategisista avaintavoitteista. Strategisia riskejä ja niiden hallintaa seurataan liikelaitostasolla mm. strategiset riskit lomakkeella osana tasapainotettua ohjauskorttia. Liitteessä 2 on havainneesimerkki strategisten riskien seurantalomakkeesta osana tasapainotettua ohjauskorttia vuodelta 2015. Jatkossa seurantalomake täydennetään vuosittain ohjauskorttipäivityksen yhteydessä. HUS-Logistiikan strategisten riskien tarkastelussa merkittävimmät riskit liittyvät: 1) terveydenhuollon toimialaan, 2) HUS:n investointeihin (mahdollisuus vaikuttaa HUS-Logistiikan toimintaa koskeviin ratkaisuihin, kuten kuljetus-, hankinta- ja varastointiratkaisut), 3) talouteen, 4) yhteistyöverkostoihin (toimittajat, kuljetusyhtiöt, ostopalvelutoimijat), 5) infran toimintaan, jakeluun ja häiriöihin, 6) viestintäteknologiaongelmiin ja 7) ulkoisiin uhkiin (suuronnettomuudet, pandemiat, laaja työtaistelutoimi jne.) Näitä strategisen riskienhallinnan merkittävimpiä uhkia hallitaan strategiasta johdetuilla toimenpiteillä. Operatiivisiin riskeihin sisältyy eri vaatimuksiin ja tarpeisiin perustuvat osa-alueet, jotka voidaan yhdistää osaksi riskienhallintaa. Operatiiviset riskit liittyvät pääsääntöisesti käytännön toimintaan, turvallisuuteen, varautumisen ja jatkuvuudenhallinnan kokonaisuuksiin. Strategiseen riskienhallintaan tuodaan operatiivisesta riskienhallinnasta merkittävimmät riskit, joita johto täydentää oman näkemyksensä perusteella. Operatiiviset riskit koostuvat jo olemassa olevasta riskienhallinnasta, jota täydennetään jatkuvasti henkilöstön toimesta. Operatiiviset riskit kattavat muun muassa toiminnan, liiketoiminnan ja palveluprosessien riskienhallinnan, varautumisen ja jatkuvuuden riskienhallinnan, juridisten riskienhallinnan, potilashoidon riskienhallinnan, tietoturvallisuuden ja tietohallinnon riskienhallinnan, toimintaympäristön turvallisuusriskienhallinta, työturvallisuus- ja hyvinvoinnin riskienhallinnan sekä omaisuus- ja rahoitusriskienhallinnan. HUS-Logistiikan toimintaan liittyviä merkittävimpiä operatiivisia riskejä ovat: henkilöstöön, tietojärjestelmähäiriöihin, työturvallisuuteen, keskitettyihin toimitiloihin, kuljetuksiin, tietojärjestelmäprojekteihin ja toiminnan laajenemiseen liittyvät riskit. Liikelaitoksen tunnistetut operatiiviset riskit löytyvät riskikartasta (Liite 3). Operatiiviset riskit ovat yleensä niitä riskejä, jotka vaikuttavat aina toimintaan ja niiden poistaminen kokonaan ei välttämättä onnistu. HUS-Logistiikan toiminnassa tärkeimpinä varautumiseen ja riskienhallintaan liittyvinä asioina HUSin tukipalveluiden ja sairaanhoidon näkökulmasta pidetään tarvikevarmuutta, kahdennettua tietoverkkoa, valinnaisia kuljetusreittejä sekä henkilöstön saatavuutta. HUS-Logistiikan varautumisvelvollisuudet koskevat terveydenhuollon tarvikkeiden varmuusvarastointia ja normaalia 3-4 viikon varantoa sekä pandemiavarastointia. Kriittistä liikelaitoksen kyvylle tuottaa palvelunsa on huolehtia riittävistä ja toimivista yhteistyöverkostoista vakavimpien strategisten ja operatiivisten riskien minimoimiseksi.
12 Liikelaitoksen toiminnassa on todettu, että mahdolliset uhkatilanteet edellyttävät: - Sekä paikallista varautumista ja suojautumista että valtakunnallista yhteistyötä o Logistiikkakeskuksen toiminta on turvattava kaikissa kriisi-, sää- ja liikenneolosuhteissa o On varmistettava riittävät välivarastoinnit kriittisissä kliinisissä yksiköissä viiveiden ja haittojen minimoimiseksi sekä varmistettava, että ajantasaiset tiedot näistä ovat myös logistiikkakeskuksessa o Yliopistosairaaloiden hankintayksiköiden ja sairaankuljetusyksiköiden välinen yhteistyö on suunniteltava ja toimivuus testattava - Toimittajasopimuksiin vaatimukset toiminnan jatkuvuudenhallinnan toteuttamisesta - Valmiutta siirtyä toimimaan ilman tietoliikenneyhteyksiä - Varasuunnitelman, jos kiinteistöt ovat käyttökelvottomia - Varasuunnitelman, jos sähköt- ja/tai viestiyhteyskaapelit ovat vaurioituneet (-> Valmius siirtyä paikallisratkaisuihin) - Verkon ja langattoman viestinnän varmistamisen kiinteistöissä - Henkilöstösuunnitelman poikkeusoloihin - Tiedon kriittisistä hoitotarvikkeista ainakin kriittisillä osastoilla > Valmius siirtyä manuaaliprosesseihin ja paperiversioihin - Kutsujärjestelmän päivittämisen Merkittävimpien operatiivisten riskien hallintaan on laadittu toimintamalleja, ohjeistuksia sekä käytäntöjä, joiden avulla tunnistettuja riskejä voidaan hallita. Keskeiset toimintasuunnitelmat edellä listatuista asioista laaditaan vuoden 2016 aikana ja kirjataan tämän suunnitelman liitteiksi sekä HUS- Logistiikan johtoryhmän työtilaan intranetissä. Kuva 5. Toimintatasot riskienhallinnassa
13 3.3 Riskien suuruus ja merkittävyys sekä riskienhallintatoimenpiteet Riskit tunnistetaan riskikartoituksissa ja ne arvioidaan. Riskien arviointi perustuu riskin toteutumisen todennäköisyyden ja riskin vaikutuksen arviointiin, jonka perusteella riskit jaetaan merkityksettömiin, vähäisiin, kohtalaisiin, merkittäviin ja sietämättömiin riskeihin. Riskin merkittävyyden arviointi perustuu riskimatriisiin. Riskien merkittävyys arvioidaan suhteessa niiden todennäköisyyteen sekä seurauksien vakavuuteen (Liite 4). Riskien kehittymistä ja muutoksia seurataan riskienhallinnan raportoinnin avulla (Liite 1). Merkittävät riskit raportoidaan ja käsitellään välittömästi. Riskienhallinnan toimenpiteet suhteutetaan riskien suuruuteen, käytettävissä oleviin resursseihin ja riskinkantokykyyn ja riskinottohalukkuuteen. Arviointityön avulla riskit pyritään asettamaan keskinäiseen järjestykseen. Arvioinnissa tulee kuvata riski, arvioida sen merkitys ja todennäköisyys, sekä esittää mahdolliset toimenpiteet riskin pienentämiseksi. Ensisijaisesti puututaan vakavimpiin riskeihin ja selvitetään mistä ongelma tai riski johtuu, mitkä tekijät voivat vaikuttaa sen syntyyn ja suuruuteen eli seurausten laajuuteen tai vakavuuteen. Esimiehet arvioivat yksikkönsä riskejä. Henkilöstö otetaan mukaan riskiarvioinnin laatimiseen. Riski määritellään todennäköisyyden ja toteutumisesta aiheutuvien seurausten perusteella. Riskin suuruuden määrittämisessä otetaan huomioon riskin aiheuttamat seuraukset esimerkiksi ihmisille, omaisuudelle, toiminnalle tai maineelle, tiedolle käyttämällä riskimatriisia (Liite 4 Riskimatriisi). Riskien tunnistamisessa käytetään apuna HUS:n riskikarttoja sekä erilaisia riskien tarkistus- sekä avainsanalistoja. Riskien tunnistamisessa ja arvioinnissa hyödynnetään oman henkilöstön laajaa osaamista ja yhteistyötä viranomaisten sekä sidosryhmien kanssa. Riskienhallinnassa keskeistä on riskien tunnistaminen, arviointi sekä kontrolli- ja hallintakeinojen toimivuuden ja riittävyyden varmistaminen. Uhkaavat tekijät tunnistetaan ja arvioidaan niiden merkitys ottaen huomioon niistä aiheutuvien seurausten suuruus ja niiden toteutumisen todennäköisyys. Riskienhallinnassa on kyse prosessista, jonka avulla riskit voidaan torjua ja pitää niistä aiheutuvat menetykset niin pieninä kuin mahdollista. Riskien suuruuden arvioinnin perusteella suunnitellaan riskienhallintatoimenpiteet. Riskienhallintakeinot valitaan riskin merkittävyyden mukaan. Riskeihin varautuminen on eri hallintakeinojen yhdistelmä. Osa riskeistä pidetään tietoisesti omalla vastuulla. Ensisijaisesti pyritään pienentämään riskin todennäköisyyttä ja seurauksia sekä rahoittamaan jäännösosariskiä. Riskienhallintakeinoihin kuuluu riskin välttäminen tai poistaminen, riskin pienentäminen, jakaminen tai siirtäminen. Riskiä välttävä pidättyy toimista, jotka kohdistuvat riskialttiiseen toimintaan, henkilöön tai omaisuuteen. Riskiä välttämällä saatetaan menettää kaikki ne edut, jotka riskin ottamisesta olisi mahdollista saada. Riskin välttämisen äärimmäinen muoto on riskin poistaminen. Riskien pienentämisellä pyritään joko riskin toteutumisen todennäköisyyden tai siitä aiheutuvien haitallisten seurausten pienentämiseen. Riskejä on yleensä aina mahdollista jollakin tavoin pienentää. Vakavuudeltaan kohtalaisten tai merkityksettömien riskien kohdalla tulee laskea, missä määrin riskin pienentäminen on taloudellisesti järkevää. Riskien jakamisella pyritään torjumaan yksipuolisuudesta aiheutuvia riskejä. Riskien jakaminen tulee kyseeseen erityisesti liikeriskien hallinnassa. Riskien jakaminen aiheuttaa lisäkustannuksia, mutta sen avulla keskeytysvahingot ja piilomenetykset usein vähenevät. Riskin siirtämistä toteutetaan esimerkiksi sopimusteitse, kun siirretään riskejä sisältävää omaisuuttaan tai toimintoja toiselle osapuolelle. Vakuuttaminen on riskin siirtämistä vakuutusyhtiön kannettavaksi.
14 3.4 Vakuuttaminen Vakuuttaminen on osa riskienhallintaa. Vakuuttamalla siirretään osa konsernin riskeistä vakuutusyhtiön kannettavaksi. HUS konsernin vakuutusratkaisut perustuvat riskikartoituksiin ja analyyseihin, vakuutustarvekartoituksiin sekä -turvaselvityksiin. Vakuuttamiseen on myös laissa säädettyjä velvoitteita. HUS kuntayhtymän lakisääteiset ja vapaaehtoiset henkilövakuutukset on keskitetty LähiTapiolaan ja omaisuuden sekä toiminnan on keskitetty vakuutusyhtiö Pohjolaan. Myös potilasvakuutus on Pohjolassa. Tiedot HUS:n vakuutuksista ja yhteyshenkilöistä löytyvät vakuutuskäsikirjasta. HUS:n hallitus päättää konsernitasolla vakuutuksista. Keskeiset HUS- kuntayhtymän HUS-Logistiikkaa koskevat vakuutusratkaisut on listattu liitteessä 5. 3.5 Riskien seuranta, raportointi Riskienhallintaan liittyy raportointia, minkä avulla koko liikelaitoksen riskit kerätään yhteen ja riskien hallintakeinojen etenemistä ja vaikuttavuutta seurataan. HUS-Logistiikassa merkittävien riskien kehittymistä ja muutoksia seurataan yksiköittäin riskien seurantalomakkeilla (Liite 1) sekä liikelaitostasolla ja tilinpäätöksen liitteenä riskimatriisia käyttäen (ts. riskiprofiilia käyttäen) (Liite 4). Tunnistettuja merkittävimpiä riskejä hallitaan keskeisten toimintasuunnitelmien avulla vuodesta 2016 lähtien. Riskienhallintaan liittyvän raportoinnin keskeinen osa on jakaa tietoa riskienhallintatoimenpiteiden edistymisestä. Tehokkaan toiminnan edellytys on, että johtamiseen ja päätöksentekoon sekä sisäisen valvonnan toteutumiseksi on käytettävissä riittävät ja kattavat tiedot. Toiminnan ohjaamiseen ja valvontaan tarvitaan riittävät tiedot taloudesta, toiminnasta, riskeistä, säännösten ja päätösten noudattamisesta. Lisäksi tarvitaan myös tietoa ulkopuolisesta toimintaympäristöstä, tapahtumista ja olosuhteista. HUS:n raportoitavat asiat on määritelty taloushallinnon ohjeissa. Riskikartoitukset ja analyysit toteutetaan säännöllisesti HUS:n tulosalueilla sekä liikelaitoksissa ja tytäryhtiöissä. Tulosalueilla ja toimintayksiköissä riskienhallinta integroidaan osaksi toimintaa siten, että riskienhallintaa koskevat toimintasuunnitelmat sisällytetään normaalien toimintasuunnitelmien ja raporttien osaksi. Kaikkia kirjattuja riskejä ei tarvitse raportoida, koska pääosa riskeistä voidaan hallita siellä, missä riski syntyy. Operatiivisessa riskienhallinnassa käytetään HUS-Riskit-järjestelmää sekä muita olemassa olevia riskien raportointikanavia.