Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan ja riskien hallinnan arvioimiseksi ja hallinnan menettelyiden määrittelemiseksi on laadittu kuvaus ja lomakkeet riskien arviointien kohdentumisesta, suorittamisesta, hallinnan ja valvonnan menettelyiden dokumentoinnista. Lomakkeisiin dokumentoidaan arvioitavan osa-alueen kuvaus (esim. perustehtävä), sen toteutumiseen liittyvät merkittävimmät riskit, niiden ennaltaehkäisyn ja / tai hallinnan menettelyt, vastuullinen toimija sekä seurannan ja arvioinnin menettelyt. Riskien ennaltaehkäisyllä ja hallinnalla tarkoitetaan johtamis- ja ohjausmenettelyitä sekä toimintatapoja, joilla edistetään toiminnan häiriöttömyyttä ja / tai tavoitteiden saavuttamista kuten esimerkiksi palveluiden tuottamista kuntalaisten tarpeisiin vastaten vaikuttavalla ja taloudellisella tavalla. Arviointien priorisointi, tavoitteellisuus ja raportointivelvoitteet Tavoitteena on, että kullakin vastuualueella ja tulosyksikössä arvioidaan ensimmäisessä vaiheessa (vuoden 2012 aikana) niiden toiminnan ja talouden näkökulmasta keskeisimmät asiakokonaisuudet. Seuraavina vuosina arviointia täydennetään yksiköiden tekemien sisäisten arviointien sekä toiminnan jatkuvan seurannan perusteella. Arviointien tulokset tulee käsitellä tulosyksikössä, vastuualueen johtoryhmässä sekä raportoida keskeiset riskiarviot ja johtopäätökset sisäisen valvonnan ja riskienhallinnan riittävyydestä vähintään vuosittain lautakunnalle, kunnan johtoryhmälle sekä kunnan tilintarkastajalle. Taulukkoon voidaan ensimmäisessä vaiheessa eli vuonna 2012 arvioida ja määritellä ensimmäiseen sarakkeeseen eri asiakokonaisuuksien prioriteetit (1 III) ja sen perusteella aikatauluttaa arviointien suorittamista. Asiakirjan ajantasaistaminen Asiakirja ja sen taulukot täydentyvät arviointien perusteella vuosittain. Asiakirjassa voidaan myös viitata muihin asiakirjoihin, jotka olennaisesti liittyvät sisäisen valvonnan ja riskien hallintaan. Asiakirjaan täydennetään vastuuhenkilö (tulosyksikön esimies), arviointien suorittajat ja ajankohdat sekä muut tarpeelliset tiedot.
2 Kuva 1. Arvioinnin kohdentuminen ja riskienhallinnan prosessi Arvioinnin kohdentuminen Perustehtävän toteutuminen Tavoitteiden saavuttaminen Henkilöstöjohtaminen Tietojärjestelmät ja tiedonhallinta Taloudenhoidon ja hallinnon toimintatavat Tila- ja työturvallisuus, omaisuuden hallinta Riskien arviointi ja hallinta Riskien tunnistaminen ja arviointi Merkittävimpien riskien analysointi Riskien hallinnan menettelyiden kuvaaminen Riskienhallinnan seuranta Riskien hallinnan menettelyiden toimeenpanon seuranta Riskienhallinnan tuloksellisuuden arviointi ja raportointi Perustana johtosäännöt, srategiat, toiminta- ja taloussuunnitelma sekä talousarvio, säännöt ja ohjeet Perustana tavoitteet, standardit ja suositukset, toimintapaohjeet, osavuosikatsaukset ja muut raportit Perustana raportointi tavoitteiden saavuttamisesta, toimenpiteiden toteutuksesta, prosessien ja toimintatapojen arvioinnit
3 Toimiala, vastuualue ja tulosyksikkö Esim. vastuualue x, tulosyksikkö x Tulosyksikön vastuuhenkilön nimi Tulosyksikön toiminta-ajatus ja perustehtävä Perustehtävän kuvaus perustuen esim. johtosääntöön tai toimintaohjeeseen sekä palvelutarpeisiin 1 Tunnistetaan ja kuvataan merkittävimmät perustehtävän häiriötöntä ja laadukasta toteutumista uhkaavat riskit 1, jotka vaikuttavat kuntaan, kuntalaiseen, ympäristöön tai eri sidosryhmiin a) ennaltaehkäistään, b) havaitaan varhaisessa vaiheessa, c) hallitaan seurausta 2 Kuvataan millä toimenpiteellä edistetään ja varmennetaan toiminnan häiriöttömyys ja laatu sekä esitetään vastuullinen toimija a) valvoa riskien hallintaa ja b) raportoida toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle 1 Toiminnan häiriöttömyyttä ja laadukasta toteutumista (ml. veden ja sähkön toimitukset) voivat uhata useat eri tekijät, joista esimerkkejä ovat mm. riittämättömät henkilöstöresurssit, puutteet asiantuntemuksessa, toimintatapojen heikkoudet, tietojärjestelmien häiriötilanteet, koneiden ja laitteiden (ml. viestintäjärjestelmät ja -laitteet) toimimattomuus, varajärjestelmien toimimattomuus, sähkökatkokset, riippuvuus ulkoisista palveluntoimittajista, kiinteistöihin ja tiloihin sekä henkilöstöön, kuntalaisiin ja asiakkaisiin liittyvät erilaiset vahinkotapahtumat
4 Strategisten päämäärien ja tavoitteiden saavuttaminen Strategisten muutosten hallinta, tavoitteiden ja mittareiden kuvaus 1 Tunnistetaan ja kuvataan merkittävimmät strategiset muutokset sekä tavoitteiden saavuttamista uhkaavat riskit (ml. mahdollisuudet / vahvuudet, jotka tulisi hyödyntää) 2 Kuvataan millä toimenpiteellä edistetään ja varmennetaan strategisten tavoitteiden saavuttaminen sekä esitetään vastuullinen toimija / toimijat 3 Kuvataan kuka ja miten a) valvoo riskien hallintaa / toimenpiteiden riittävyyttä ja b) milloin raportoidaan toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle
5 Talousarvion toiminnalliset ja taloudelliset tavoitteet Sitovien toiminnallisten ja taloudellisten tavoitteiden, niiden ohjausvaikutuksen ja mittareiden kuvaus 1Arvioidaan perustuvatko tavoitteet yksikön perustehtävään ja ovatko tavoitteet täsmällisesti määriteltyjä 2 Tunnistetaan ja kuvataan merkittävimmät sitovien tavoitteiden saavuttamista uhkaavat riskit (ml. mahdollisuudet / vahvuudet, jotka tulisi hyödyntää) 2 Kuvataan millä toimenpiteellä edistetään ja varmennetaan tavoitteiden saavuttaminen sekä esitetään vastuullinen toimija / toimijat 3 Kuvauksessa esitetään perusteltu arvio 4 Kuvauksessa analysoidaan mikä voi mahdollistaa c) valvoa riskien hallintaa / toimenpiteiden riittävyyttä ja d) raportoida toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle
6 Henkilöstöjohtaminen ja työhyvinvointi Henkilöstöstrategian tavoitteiden saavuttaminen sekä työhyvinvoinnin kehittyminen 1 Tunnistetaan ja kuvataan henkilöstöjohtamiseen ja resursseihin sekä työhyvinvointiin liittyviä keskeisimpiä riskejä 2 Kuvataan millä toimenpiteellä edistetään ja varmennetaan tavoitteiden saavuttaminen ja työhyvinvoinnin kehittymistä sekä esitetään vastuullinen toimija / toimijat a) valvoa riskien hallintaa / toimenpiteiden riittävyyttä ja b) raportoida toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle
7 Tietojärjestelmät ja tiedonhallinta Kuvaus tulosyksikön keskeisimmistä / kriittisimmistä tietojärjestelmistä Kuvaus tulosyksikön tietojärjestelmien sisältämän tiedon kriittisyydestä 1 Tunnistetaan ja kuvataan kriittisimpien tietojärjestelmien toiminnan häiriöttömyyttä uhkaavat riskit sekä niiden merkityksestä toiminnalle 1 Kuvataan tietojärjestelmien sisältämän salassa pidettävän tiedon asianmukaista hallintaa uhkaavat riskit 2 Kuvataan millä toimenpiteellä 2 edistetään ja varmennetaan tietojärjestelmien toiminnan häiriöttömyyttä sekä esitetään vastuullinen toimija / toimijat a) valvoa riskien hallintaa / toimenpiteiden riittävyyttä ja b) raportoida toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle 2 Kuvataan millä toimenpiteellä edistetään ja varmennetaan tietojen asianmukaista hallintaa sekä esitetään vastuullinen toimija / toimijat 2 Esimerkkejä toimenpiteistä ovat mm. hallinnollisen tietoturvallisuuden toimenpiteet (tietoturvapolitiikka, tehtävien ja vastuiden jaot, johdon asenne, tietoturvapoikkeamien käsittely, tiedon ja asiakirjojen luokittelu, salassapitosopimukset palveluntoimittajien kanssa), tukeutumalla toimintavarmoiksi arvioituihin järjestelmiin ja laitteisiin (ml. tietojärjestelmätoimittajan arviointi) palomuurit, virustorjunnat, tilojen tekniset suojaukset, pääsynhallinta ja kulunvalvonta, varajärjestelmät, järjestelmien hajauttaminen ja kahdentaminen, tietojen varmuuskopioinnit, käyttöoikeuksien hallinta ja asianmukaisuuden tarkistukset, lokitietojen säännönmukaiset seurannat, vikatilanteiden seuranta, henkilöstön tietoturvaosaamisen parantaminen
8 a) valvoa riskien hallintaa / toimenpiteiden riittävyyttä ja b) raportoida toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle
9 Toiminnan, taloudenhoidon ja hallinnon menettelyt Kuvaus olennaisimmista toiminnan, taloudenhoidon ja hallinnon menettelyistä Päätöksenteko Julkiset hankinnat ja ulkoistetut palvelut 1 Tunnistetaan ja kuvataan merkittävimmät toiminnan, moitteettoman taloudenhoidon ja hyvän hallintotavan toteutumista uhkaavat riskit (ml. vaaralliset työyhdistelmät, toimintatapojen heikkoudet jne.) 2 Kuvataan millä toimenpiteellä edistetään ja varmennetaan asianmukaisia toiminnan, taloudenhoidon ja hallinnon toimintatapoja sekä esitetään vastuullinen toimija / toimijat a) valvoa riskien hallintaa / toimenpiteiden riittävyyttä ja b) raportoida toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle Sopimusten hallinta Investoinnit Projektitoiminta Tulojen ja menojen käsittely Omaisuuden inventoinnit
10
11 Tila- ja työturvallisuus, omaisuuden hallinta ja kulun valvonta Kuvaus olennaisimmista omaisuuden hallinnan ja tilahallinnon menettelyistä Tilaresurssit (riittävyys, laatu, tarkoituksenmukaisuus) Koneiden ja laitteiden käyttökuntoisuus, varajärjestelmät 1 Tunnistetaan ja kuvataan merkittävimmät tila- ja työturvallisuutta sekä omaisuuden hallintaa uhkaavat riskit 2 Kuvataan millä toimenpiteellä edistetään ja varmennetaan tilojen ja omaisuuden asianmukaista hallintaa sekä esitetään vastuullinen toimija / toimijat a) valvoa riskien hallintaa / toimenpiteiden riittävyyttä ja b) raportoida toimenpiteiden riittävyydestä lautakunnalle ja / tai vastuualueen esimiehelle Työturvallisuus ja vaarojen arvioinnit Kulunvalvonta ja avainten hallinta