POHJOIS-KARJALAN SAIRAANHOITO- JA SOSIAALIPALVELUJEN KUNTAYHTYMÄ Johtoryhmä 7.4.2015 Yhtymähallitus 27.4.2015 SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA
Sisällys 1. Lainsäädäntö 3 2. Soveltamisala 3 3. Sisäisen valvonnan ja riskienhallinnan tehtävät ja vastuut 3 4. Riskit ja riskienhallinta 5 5. Sisäinen valvonta ja riskienhallinta osana kuntayhtymän johtamis- ja hallintojärjestelmää 5 6. Sisäisen valvonnan ja riskienhallinnan arviointi ja raportointi 6
3 1. Lainsäädäntö Kuntalain 13 2 momentin 3 a) kohdan mukaan yhtymävaltuuston tehtävänä on päättää kuntayhtymän ja kuntayhtymä konsernin sisäisen valvonnan ja riskienhallinnan perusteista. Kuntalain 50 1 momentin 15) kohdan mukaan yhtymä valtuusto hyväksyy hallintosäännön, jossa annetaan tarpeelliset määräykset hallinnon ja talouden tarkastuksesta sekä sisäisestä valvonnasta ja riskienhallinnata. Kuntalain 69 1 momentin mukaan toimintakertomuksessa on annettava tiedot sisäisen valvonnan ja riskienhallinnan järjestämisestä ja keskeisistä johtopäätöksistä. Kuntalain 73 1 momentin 4) kohdan mukaan tilintarkastajien on tarkastettava, onko kuntayhtymän ja kuntayhtymäkonsernin sisäinen valvonta ja riskienhallinta sekä konsernivalvonta järjestetty asianmukaisesti Lain 13 :n 2 momentin 3 a)kohta ja 50 :n 1 momentin 15) kohta tuli voimaan vuoden 2014 alusta. Tiedot sisäisen valvonnan ja riskienhallinnan järjestämisestä ja keskeisistä johtopäätöksistä tulee sisällyttää ensimmäisen kerran tilikaudelta 2014 laadittavaan toimintakertomukseen 2. Soveltamisala Sisäisen valvonnan ja riskienhallinnan perusteiden tavoitteena on vahvistaa ja yhdenmukaistaa kuntayhtymäkonsernin hyvää hallinto- ja johtamistapaa. Perusteet koskevat kaikkia valvonnasta vastuussa olevia kuntayhtymän toimielimiä ja johtoa. Kuntayhtymäkonserniin kuuluvissa tytäryhteisöissä sisäinen valvonta ja riskienhallinnan järjestäminen kuuluu tytäryhteisöjen hallitusten ja toimitusjohtajien vastuulle. Sisäisestä valvonnasta ja riskienhallinnasta on lisäksi voimassa, mitä kuntayhtymän hallintosäännössä, sisäisen valvonnan ohjeessa sekä muissa ohjeissa ja määräyksissä on sanottu. 3. Sisäisen valvonnan ja riskienhallinnan tehtävät ja vastuut Yhtymävaltuusto Valtuuston tehtävänä on hyväksyä sisäisen valvonnan ja riskienhallinnan perusteet. Sisäisen valvonnan perusteilla tarkoitetaan sisäisen valvonnan ja riskienhallinnan tehtävien ja vastuiden, toimintatapojen sekä raportointivelvoitteiden määrittelyä. Valtuusto päättää kunnan hallinnon ja talouden perusteista. Valtuusto mm. hyväksyy säännöt, joilla päätetään eri toimijoiden toimivallasta ja velvollisuuksista sekä siitä, voidaanko toimivaltaa delegoida organisaatiossa eteenpäin.
4 Valtuusto vastaa strategisesta päätöksenteosta ja suunnittelusta sekä hyväksyy vuosittain talousarvion, joka kattaa kunnan koko toiminnan. Talousarviossa valtuusto asettaa kunnan ja kuntakonsernin toiminnalliset ja taloudelliset tavoitteet, joiden toteutumista tulee valvoa. Sisäinen valvonta ja riskienhallinta toimintana kytkeytyvät siten talousarvioprosessiin ja se kattaa kunnan koko tehtäväkentän. Yhtymähallitus Hallituksen velvollisuutena on osana taloudenhoidon tehtävää järjestää kuntayhtymän kokonaisvaltainen sisäinen valvonta ja riskienhallinta, ohjeistaa sisäisen valvonnan ja riskienhallinnan järjestäminen ja toimeenpano, valvoa sisäisen valvonnan ja riskienhallinnan toimeenpanoa sekä raportoida sisäisen valvonnan ja riskienhallinnan järjestämisestä ja keskeisistä johtopäätöksistä toimintakertomuksessa. Hallituksen tehtävänä on siten ohjata ja valvoa kunnan ja kuntakonsernin toimintaa ja päätöksentekoa, jotta voidaan varmistua sisäisen valvonnan ja riskienhallinnan järjestämisestä ja toimeenpanosta hyväksyttyjen ohjeiden mukaisesti. Sisäisen valvonnan ja riskienhallinnan järjestämisellä tarkoitetaan siten mm. niitä koskevien menettelytapojen hyväksymistä. Hallituksen tehtävänä on valvoa, että toiminnan ja talouden suunnittelussa, päätöksenteossa, toiminnassa sekä talouden ja hallinnon menettelyissä arvioidaan riskit etukäteen, ja että merkittävimmille riskeille määritellään hallinnan sekä valvonnan toimenpiteet. Kuntayhtymän johtaja, muut johtavat viranhaltijat sekä muut esimiehet (Toiminta-alueen, palvelualueen- ja vastuualueen johtajat sekä vastuuyksiköiden esimiehet) Vastaavat sisäisen valvonnan ja riskienhallinnan järjestämisestä ja tuloksellisuudesta alueillaan. He raportoivat sisäisen valvonnan ja riskienhallinnan järjestämisestä annettujen ohjeiden mukaisesti kuntayhtymän johdolle. Käytännön vastuu sisäisen valvonnan ja riskienhallinnan toteuttamisesta on siellä missä riskit myös ensisijaisesti syntyvät. Sisäisestä valvonnasta vastaavat täten kaikki esimiehet. Johtavien viranhaltijoiden velvollisuutena on siten ohjata ja seurata alaistaan toimintaa ja henkilöstä asetetuttujen tavoitteiden mukaisesti. Viranhaltijoiden tulee toimeenpanna riittävät sisäistä ja riskienhallinta koskevat menettelytavat ja valvoa niiden toimivuutta. Henkilöstön velvollisuutena on toimia tavoitteiden ja annettujen ohjeiden mukaisesti sekä ylläpitää ja kehittää ammatillista osaamistaan ja toimintatapoja sekä raportoida havaitsemistaan epäkohdista esimiehilleen. Konsernijohto Konsernijohdon velvollisuutena on ohjata konserniyhteisöjä sekä valvoa niiden sisäisen valvonnan ja riskienhallinnan järjestämistä. Osa kuntayhtymän tehtävistä hoidetaan usein muualla kuin kuntayhtymässä, kuten osakeyhtiöissä, ja liikelaitoksissa. Osa taloudesta ja velkataakasta on kuntayhtymän ulkopuolella. Siksi riskeistä ei voi saada riittävää kuvaa tarkastelemalla vain kuntayhtymän riskejä. Sisäisen valvonnan ja riskienhallinnan on siksi kohdistuttava koko konserniin. Konserniyhteisöjen velvollisuutena on järjestää sisäinen valvonta ja riskienhallinta organisaatiossaan huolellisesti. Riskienhallinnassa on otettava huomioon emoyhteisön omistajapoliittiset tavoitteet ja konserniohjeet hyvän hallintotavan mukaisesti.
5 Kuntayhtymän tulee ohjeissaan edellyttää, että konserniyhteisöjen tulee raportoida konsernijohdolle konserniyhteisöjen merkittävistä riskeistä sekä riskienhallinnan toimivuudesta ja riittävyydestä. 4. Riskit ja riskienhallinta Kuntayhtymässä riskeillä tarkoitetaan epävarmuustekijöitä, tapahtumia tai tapahtumaketjuja joiden toteutuessa kuntayhtymä tai sen yksikkö ei saavuta sille asetettuja tavoitteita ja/tai kokee huomattavia menetyksiä. Riskit jaotellaan viiteen eri riskilajiin, joiden avulla voidaan riskienhallintaa arvioida. Riskilajit ovat: 1. Toiminnan johtaminen ja talous 2. Henkilöturvallisuus 3. Tietoturvallisuus 4. Valmiussuunnittelu 5. Fyysiset toimintaedellytykset Kaikkiin näihin ryhmiin voi kuulua sisäisiä tai ulkoisia riskejä. Kuntayhtymän riskienhallinta on osa sisäistä valvontaa ja sen tavoitteena on saada järjestelmällisellä ja ennakoivalla toiminnalla kohtuullinen varmuus organisaation tavoitteiden saavuttamisesta. Se on järjestelmällistä toimintaa jonka myötä tavoitteiden saavuttamista uhkaavat riskit tunnistetaan ja arvioidaan sekä niiden hallintakeinoja suunnitellaan, toteutetaan ja seurataan tehokkaasti. Riskienhallinta sisältyy keskeisesti kuntayhtymän strategiaprosessiin sekä vuotuiseen toiminnan ja talouden suunnittelu- ja seurantaprosessiin. Operatiivisella tasolla se on mukana eri prosesseissa, toiminnoissa sekä ohjelmissa ja projekteissa. 5. Sisäinen valvonta ja riskienhallinta osana kuntayhtymän johtamis- ja hallintojärjestelmää Sisäinen valvonta ja riskienhallinta ovat osa kuntayhtymän strategista ja operatiivista toiminnan ja talouden suunnittelua, päätöksentekoa, seurantaa, poikkeamiin reagoimista sekä suoriutumisen arviointia. Sisäisen valvonnan ja riskienhallinnan tulee olla kokonaisvaltaista ja sen tulee toteutua kaikissa toiminnoissa ja kaikilla organisaation tasoilla. Riskienhallinnan tulee ulottua sekä sisäisiin että ulkoisiin riskeihin. Käytännössä sisäinen valvonta ja riskienhallinta kytkeytyvät vuosittaiseen talousarvio-, toiminnan ja talouden seuranta- ja tilinpäätösprosessiin. Sisäisen valvonnan ja riskienhallinnan tavoitteena on varmistaa, että asetetut tavoitteet saavutetaan ja että toiminta on tuloksellista. Sisäistä valvontaa ja riskienhallintaa ei eriytetä muusta tavoitteiden saavuttamiseen tähtäävästä toiminnasta, vaan se on jatkuva osa päivittäistä johtamista, ohjaamista ja työn toteuttamista. Sisäinen valvonta toteutuu mm. selkeinä tehtävien, toimivallan ja vastuiden
6 jakoina, valvonta- ja raportointivelvoitteina, tietojen ja tietojärjestelmien suojaamisena, omaisuuden turvaamisena, sopimusten hallintana Toiminnan tavoitteita uhkaavien riskien hallintaprosessiin kuuluu riskien tunnistaminen ja arviointi toimenpiteiden suunnittelu, toteutus sekä raportointi ja seuranta. Lisäksi tavoitteita uhkaavien riskien hallintaprosessin ja sen ohjeiden päivitys on osa kokonaisuutta. Kuntayhtymässä kukin alue tekee riskikartoituksensa oman sisäisen aikataulunsa mukaisesti. Riskikartoituksen nojalla tehdään johtopäätökset ja toimenpideohjelma, jonka toteutumista seurataan raportoinnin yhteydessä. Osana sisäistä valvontaa kuntayhtymän tilivelvollisten viranhaltijoiden ja työntekijöiden tulee välittömästi raportoida johdolle, mikäli merkittävä riski on todennäköisesti realisoitumassa tai sisäisen valvonnan ja riskienhallinnan toimivuus ja riittävyys on vaarantumassa. 6. Sisäisen valvonnan ja riskienhallinnan arviointi ja raportointi Talousarviovuoden aikana kuntayhtymän tavoitteiden toteutumista ja toiminnan tuloksellisuutta seurataan yhtymähallitukselle annettavalla raportoinnilla. Riskienhallinnan tila, merkittävimmät riskit ja tehdyt toimenpiteet niiden hallitsemiseksi raportoidaan osana toiminnan ja talouden seurantaa. Yhtymähallituksen tilinpäätökseen sisältyvässä toimintakertomuksessa yhtymähallitus antaa arvioin merkittävimmistä riskeistä ja epävarmuustekijöistä, selonteon sisäisenvalvonnan ja riskienhallinnan järjestämisestä ja toimenpiteistä havaittujen puuteiden korjaamiseksi Yhtymähallituksen selonteko muodostetaan palvelualueiden laatimista selonteoista, jotka perustuvat dokumentoituun aineistoon. Kuntayhtymän yhtymähallitus antavaa tarkemmat ohjeet sisäisen valvonnan ja riskienhallinnan järjestämisestä ja raportoinnista Mikäli tilikaudella havaitaan merkittäviä riskejä, tulee hallituksen alaisten toimielinten ja viranhaltijoiden sekä konserniyhteisöjen raportoida niistä ja niiden hallintakeinoista välittömästi valvontavastuussa olevalle. Valvontavastuussa olevien tulee raportoinnin perusteella ryhtyä tarvittaviin toimenpiteisiin