Kansainvälinen selvitys korkeakoulujen. turvallisuusjohtamisesta

Kansainvälinen selvitys korkeakoulujen turvallisuusjohtamisesta Koskenranta Harri, Paasonen Jyri, Ranta Tiina 2012 Laurea Leppävaara

2 Laurea-ammattikorkeakoulu Leppävaara Kansainvälinen selvitys korkeakoulujen turvallisuusjohtamisesta Koskenranta Harri Paasonen Jyri Ranta Tiina

3 Laurea-ammattikorkeakoulu Joulukuu, 2012 Tiivistelmä Vuosi 2012 Sivumäärä 103 Korkeakoulujen turvallisuusverkosto käsitteli kokouksessaan 19.01.2012 korkeakoulujen turvallisuustilanteen selvittämiseksi erilaisia kehittämistarpeita. Se tarjosi Laurealle selvitystehtävää kartoittaa muun muassa kansainvälisiä korkeakoulujen turvallisuusjohtamisen arviointiin liittyviä kriteeristöjä. Opetus- ja kulttuuriministeriön kanssa käytyjen neuvottelujen tuloksena päätettiin tehdä selvitys kansainvälisistä turvallisuusjohtamisen standardeista. Samoin tehtiin kyselytutkimus standardien käytöstä korkeakouluissa tarkoituksenmukaisella otannalla Euroopassa, Pohjois-Amerikassa ja Australiassa sekä selvitettiin verkkoviestinnän sisältöjä turvallisuusviestinnän osalta. Laurealta pyydettiin myös selvityksen kautta syntyviä suosituksia kotimaiseen korkeakoulukenttään. Saaduista tuloksista voidaan todeta, että esitellyistä turvallisuusjohtamista tukevista standardeista ja malleista sekä niiden sopivuudesta kotimaisille korkeakouluille syntyi näyttöä. Standardien käyttö kotimaisissa korkeakouluissa on paitsi mahdollista niin myös suotavaa. Paras hyöty niistä syntyy kohteelleen silloin, kun ne suunnitellaan hankittaviksi järjestelmällisesti. Turvallisuusjohtamista käsitelleen kyselyn kautta vahvistui näkemys siitä, että turvallisuusjohtaminen nähdään selkeästi systemaattisena ja ammattimaisesti hoidettuna osana organisaation riskienhallintaa sekä laatujohtamista. Turvallisuus nähtiin osana strategista johtamista. Kyselyn mukaan kohdekorkeakoulujen johto on organisoinut, määrittänyt turvallisuuden kokonaisuudesta vastaavan henkilön ja asettanut turvallisuudelle tavoitteet. Samoin kansainvälisten standardien käyttäminen tai standardien mukainen toiminta tuli esille. Johtopäätöksinä saaduista tuloksista voidaan turvallisuusviestinnän osalta todeta, että vahva turvallisuusjohtamisen sisältö oli tunnistettavissa myös kohteiden verkkoviestinnässä. Parhaimmillaan verkkoviestintä tuki turvallisuusjohtamisen sisältöjä ja turvallisuusviestintä näyttäytyi kiinteänä osana muuta organisaatioviestintää. Tuloksista voidaan lisäksi vielä todeta, että korkeakoulujen turvallisuusjohtamista on lähdettävä rakentamaan systemaattisesti nykytilan arvioinnin kautta ja sitten kehittämistyön tueksi voidaan valita toimintaa tukevia standardeja. Raportin lopussa esitellään hankkeessa syntyneet suositukset kotimaisille korkeakouluille.

4 Sisällys 1 JOHDANTO... 6 2 TURVALLISUUSJOHTAMISEN STANDARDIEN KARTOITUSTYÖSTÄ... 8 2.1 Standardit selvityksen osana... 8 2.2 Standardi ISO 31000... 9 2.2.1Soveltamisalasta... 9 2.2.2Toimintamallin rakenteesta ja periaatteista... 10 2.2.3Riskienhallinnan puitteista... 11 2.2.4Prosessista... 12 2.3 COSO ERM-mallista... 13 2.3.1Soveltamisalasta... 14 2.3.2Riskienhallinnan määritelmä... 14 2.3.3Kuutiomaisesta viitekehyksestä... 15 2.4 ISO 9001... 16 2.4.1Soveltamisalasta... 16 2.5 OHSAS 18001... 18 2.5.1Soveltamisalasta... 18 2.5.2TTT-järjestelmän määritelmästä... 18 2.5.3TTT-järjestelmän rakenneosat... 19 2.6 ISO 14001-standardisarja... 20 2.6.1Soveltamisalasta... 21 2.6.2Ympäristöjärjestelmä... 21 2.7 ISO 27001... 22 2.7.2Tietoturvallisuuden hallintajärjestelmästä... 23 2.8 ISO 22301... 24 2.8.1Soveltamisalasta... 24 2.8.2Toiminnan jatkuvuuden hallintajärjestelmästä... 24 2.9 ISO 22320... 25 2.9.1Soveltamisalasta... 26 2.9.2Kriisijohtamisen malli... 26 2.10 Yhteenveto standardeista ja malleista... 27

5 3 KYSELYTUTKIMUS... 29 3.1 Tutkimusmenetelmät ja -aineisto... 29 3.2 Kyselytutkimuksen tulokset... 30 3.3 Yhteenveto kyselytutkimuksen tuloksista... 44 4 SELVITYS KORKEAKOULUJEN VERKKOVIESTINNÄSTÄ... 46 4.1 Turvallisuusviestinnän selvityksen taustoista... 46 4.2 Turvallisuusviestintää kartoittavan selvityksen menetelmistä... 46 4.3 Selvityksen aineistoista... 47 4.4 Turvallisuusviestinnän tuloksista... 50 4.5 Selvityksen tuloksista turvallisuusviestinnän kehittämiseksi kotimaisissa korkeakouluissa... 66 5 JOHTOPÄÄTÖKSET... 68 5.1 Yhteenveto tuloksista... 68 5.2 Turvallisuusjohtamiseen liittyviä suosituksia kotimaisille korkeakouluille... 69 LÄHTEET... 71 Kuvat... 73 Kuviot... 74 Taulukot... 75

6 1 JOHDANTO Suomen yliopistojen UNIFI ja ammattikorkeakoulujen rehtorineuvosto ARENE katsoivat yhteisessä kannanotossaan 23.11.2011, että yhtenäisen kriteeristön avulla voitaisiin parhaiten varmistaa korkeakoulujen systemaattinen turvallisuustyö. Korkeakoulujen turvallisuusverkosto käsitteli korkeakoulujen turvallisuuden mahdollisia auditointitarpeita 19.1.2012 ja tarjosi Laurealle selvitystehtävää kartoittaa muun muassa olemassa olevia kansainvälisiä korkeakoulujen turvallisuusjohtamisen arviointiin liittyviä kriteeristöjä. Opetus- ja kulttuuriministeriön pyynnöstä Laurea ammattikorkeakoulu laati hankesuunnitelman, joka hyväksyttiin 29.6.2012. Selvityksen työstäminen alkoi 15.8.2012 ja se päättyi 30.11.2012. Kotimaisten korkeakoulujen turvallisuusjohtaminen on vielä selkeästi jäsentymässä oleva alue, joten tässä opetus- ja kulttuuriministeriön hankkeessa päätettiin keskittyä sellaisiin asioihin ja tekijöihin, joilla jokainen kohde voisi omatoimisesti lähteä kehittämään omaa turvallisuusjohtamisen tilaansa. Tässä hankkeessa kartoitettiin yleisiä kansainvälisiä turvallisuusjohtamisen standardeja sekä tehtiin kyselytutkimus standardien käytöstä korkeakouluissa tarkoituksenmukaisella otannalla Euroopassa, Pohjois-Amerikassa ja Australiassa. Samalla kysyttiin niistä mahdollisista kansallisista standardeista, jotka ohjaisivat vastaajiksi valittujen kohteiden turvallisuusjohtamista. Samanaikaisesti selvitettiin vielä myös sitä, mitä ja miten korkeakoulut viestivät turvallisuudestaan kotisivuillaan. Näistä selvityksen kohteista valittiin vielä lopuksi parhaita käytänteitä jaettaviksi kotimaisille korkeakouluille. Selvityksen keskeisimmät käsitteet sekä niiden sisällöt listattiin seuraavasti kuvausten kautta. Riskienhallinta on koordinoitua toimintaa, jolla organisaatiota johdetaan ja ohjataan riskien osalta. Turvallisuuden johtamisella tarkoitetaan taas systemaattisia ja koordinoituja toimintoja sekä käytäntöjä, joiden avulla organisaatio hallitsee parhaalla mahdollisella tavalla turvallisuusriskejään. Turvallisuuden johtamisjärjestelmä on organisaation johtamisjärjestelmän osa, jota käytetään turvallisuuspolitiikan kehittämiseen ja toteuttamiseen sekä turvallisuusriskien hallintaan. Turvallisuusviestintä on yksikertaisimmillaan keino välittää yrityksen turvallisuusnormeja ja näkemyksiä henkilöstölle sekä ko. toimien kautta kannustaa positiiviseen turvallisuusilmapiiriin (Merivirta 2011, 19). Parhaimmillaan turvallisuusviestintä linkittyy osaksi

7 kohteen organisaatioviestintää, jolloin se on suunniteltua ja sille on määritelty sekä tavoitteet että myös mentelmät, joilla sitä toteutetaan. Heti alussa selvityshankkeelle määriteltiin ohjausryhmä, jonka tehtävänä oli seurata työn etenemistä ja painotusten kohdentamista. Samoin sen tehtävänä oli toimia kotimaisille korkeakouluille tarkoitettujen suositusten arvioijana. Ohjausryhmä kokoontui kahdesti ja se seurasi hankkeen etenemistä aktiivisesti. Hankkeen ohjausryhmän muodostivat Reijo Tolppi ohjausryhmän puheenjohtajana (ARENE), Tomi Halonen (OKM), Suvi Eriksson (SYL), Emmi Lehtinen (SAMOK), Margit Lumia (Laurea), Mikko Savela (UNIFI) sekä selvityksen projektipäällikkönä ja ohjausryhmän sihteerinä Harri Koskenranta (Laurea). Selvityksen aikataulu oli tiukka, joten sitä työstettiin kolmella eri osa-alueella ohjausryhmän tuella (kuvio 1). KUVIO 1. Selvityksen osa-alueet Selvityshankkeen suunnittelusta, rajaamisesta sekä itse selvitystyöstä vastasivat Laurea-ammattikorkeakoulun yliopettajat Harri Koskenranta ja Jyri Paasonen sekä turvallisuuspäällikkö Tiina Ranta. Koskenranta selvitti standardeja, Paasonen vastasi kyselytutkimuksesta ja Ranta keskittyi turvallisuusviestinnän selvitys- ja kehittämisosioon.

8 2 TURVALLISUUSJOHTAMISEN STANDARDIEN KARTOITUSTYÖSTÄ Harri Koskenranta Tässä luvussa käsitellään niitä selvityshankkeen tuloksia, joita saatiin selvittämällä sellaisia standardeja, joita korkeakoulut kansainvälisesti käyttävät ja joita voisi suositella kotimaisille kohteille. Luvussa esitellään korkeakoulujen turvallisuustoiminnan kehittämiseen sopivat standardit, niiden keskeinen sisältö ja mahdollisuudet toimia turvallisuustoiminnan jäsentäjinä. 2.1 Standardit selvityksen osana Standardien systemaattinen kartoitustyö käynnistettiin heti projektin alkuvaiheessa. Turvallisuusjohtamisen viitekehyksenä käytettiin Suomessa kehitettyä ja vakiintunutta EK:n Yritysturvallisuuden neuvottelukunnan yritysturvallisuusmallia (kuvio 2). Malli pohjautuu laajaan turvallisuuskäsitteeseen ja kaikkien turvallisuusasioiden yhtenäisiä tavoitteita tukevaan kokonaishallintaan. Kokonaisturvallisuus muodostuu monista osa-alueista, jolloin ne saattavat mennä tarkoituksella päällekkäin syystä, että mallin tarkoituksena on tarjota organisaatiolle menetelmä rakentaa omista tarpeista lähtevä kokonaisturvallisuuden hallintajärjestelmä. Mallin pohjalle rakentuva turvallisuuden johtamisjärjestelmä mahdollistaa yhteiset perustoiminnot ja käsitteet. Yritysturvallisuusmallia on käytetty myös muissa kuin yritysorganisaatioissa ja tällöin on luontevaa puhua organisaatioturvallisuudesta.

9 KUVIO 2. EK:n yritysturvallisuusmalli Standardeja ja erilaisia turvallisuusjohtamismalleja haettiin standardisoimisjärjestöistä, alan järjestöistä ja ammattilehdistä. Kansallisia malleja, ohjeita ja oppaita löytyi runsaasti, mutta kun kriteereinä pidettiin laajaa, monikansallista peittoa, jäi tulokseksi kuusi ISO -standardia, yksi toinen kansainvälinen standardi ja vielä erillinen malli. Kriteerit täyttävät standardit ja mallit esitellään seuraavissa kohdissa. 2.2 Standardi ISO 31000 Standardin ISO 31000 Risk management- Principles and guidelines on laatinut ISO:n teknisen valiokunnan riskienhallintatyöryhmä. Standardi julkaistiin vuonna 2009. Kansainvälinen standardi vahvistettiin suomalaiseksi, kansalliseksi standardiksi ( SFS-ISO 31000 Riskienhallinta, periaatteet ja ohjeet) toukokuussa 2011. On sovittu, että ristiriitatilanteissa pätee englanninkielinen teksti. 2.2.1 Soveltamisalasta Standardi on laadittu toimiala- ja sektoririippumattomaksi ja sitä voivat käyttää kaikki julkiset ja yksityiset organisaatiot koosta riippumatta. Standardi määrittelee

10 29 erilaista termiä ja on luonut yhteistä kieltä jatkuvaan tiedonvaihtoon ulkoisten sekä sisäisten sidosryhmien kanssa. Standardissa korostetaan, ettei lukuisista yleisistä ohjeista huolimatta ole kuitenkaan tarkoitus yhdenmukaistaa riskienhallintaa eri organisaatioissa. Standardia voidaan soveltaa organisaation kaikissa vaiheissa, moniin eri osa-alueisiin ja kaikentyyppisiin riskeihin. Standardi tarjoaa yleisen toimintamallin, joka tukee erityisriskejä tai sektoreita käsitteleviä standardeja. Standardia ei ole tarkoitettu sertifioitavaksi. Riskienhallinnan määritelmä Standardin kohdassa 2.1 on määritelty riskienhallinta eli se koordinoitua toimintaa, jolla organisaatiota johdetaan ja ohjataan riskien osalta. 2.2.2 Toimintamallin rakenteesta ja periaatteista Riskienhallinnan toimintamalli rakentuu periaatteista, puitteista ja prosessista. Kuviossa 3 on kuvattu toimintamallin rakennetta yleisellä tasolla. KUVIO 3. Riskienhallinnan yleisen toimintamallin rakenne Yleiseen toimintamalliin kuuluu 11 periaatetta, joita organisaation tulisi noudattaa kaikessa tekemisessä, jotta riskienhallinta olisi vaikuttavaa.

11 Riskienhallinta: luo lisäarvoa ja säilyttää sen on olennainen osa kaikkia organisaation prosesseja on osa päätöksentekoa lähtökohtana on epävarmuuden huomioon ottaminen on järjestelmällistä, jäsenneltyä ja ajantasaista perustuu parhaaseen saatavilla olevaan tietoon toteutetaan organisaation tarpeiden mukaan ottaa inhimilliset ja kulttuuriset tekijät huomioon on avointa ja kattavaa on dynaamista, toistuvaa ja muutoksiin reagoivaa tukee organisaation jatkuvaa kehittämistä 2.2.3 Riskienhallinnan puitteista Puitteiden avulla halutaan auttaa organisaatioita sisällyttämään riskienhallinta sen yleiseen johtamisjärjestelmään kaikilla tasoilla. Puitteet varmistavat, että riskienhallintaprosessista saatava tieto raportoidaan oikealla tavalla päätöksenteon tukena. Kuviossa 4 on esitetty puitteiden eri osien väliset suhteet. KUVIO 4. Puitteiden eri osat ja niiden väliset suhteet

12 Puitteet esitetään jatkuvana eri osista muodostuvana ja osien välisten suhteiden prosessina. Puitteiden pääosat ovat: Valtuudet ja sitouttaminen Riskienhallinnan puitteiden suunnittelu Riskienhallinnan toteuttaminen Puitteiden seuranta ja katselmointi Puitteiden jatkuva kehittäminen Riskienhallinnan puitteiden suunnittelu pitää sisällään mm. riskienhallintapolitiikan määrittämisen, missä selkeästi määritellään riskienhallinnan tavoitteet sekä sitoutuminen siihen. Standardi korostaa puitteiden suunnittelussa sitä, että riskienhallinta olisi sisällytettävä kaikkiin organisaation käytäntöihin ja prosesseihin. Riskienhallintaa ei saisi pitää erillisenä prosessina. 2.2.4 Prosessista Standardin 31000 riskienhallintaprosessi käsittää yksityiskohtaisemman toimintaympäristön määrittämisen soveltamisalalta, ulkoisten ja sisäisten sidosryhmien välisen viestinnän, riskien arvioinnin, niiden käsittelyn ja seurannan sekä katselmoinnin. Kuviossa 5 esitetään riskienhallintaprosessin yleiskuvaus.

13 KUV0 5. Riskienhallintaprosessi Riskien arviointi on prosessi, joka kattaa riskien tunnistamisen, riskianalyysin sekä sen merkityksen arvioinnin. Riskin merkityksen arvioinnissa verrataan riskianalyysin tuloksia organisaation asettamiin riskikriteereihin ja päätetään siitä, onko riski tai sen suuruus hyväksyttävä tai siedettävä. Riskikriteerit voivat olla johdettuja standardeista, laista tai muista vaatimuksista. Standardin 31000 liitteessä A on esitetty tehokkaan riskienhallinnan ominaisuuksia. Liitteen tarkoitus on opastaa organisaatiota esimerkein arvioimaan omaa riskienhallinnan tasoaan standardin kriteereiden perusteella. 2.3 COSO ERM-mallista Committee of Sponsoring Organizations of the Treadway Commission (COSO) julkaisi vuonna 1992 mallin Internal Control-Integrated framework (Sisäinen valvonta - kokonaisvaltainen ajatusmalli). Julkaisun tarkoituksena oli auttaa organisaatioita arvioimaan ja tehostamaan sisäisiä valvontajärjestelmiään. Vuonna 2001 COSO käynnisti projektin kehittääkseen mallin pohjalta työkalun, jonka avulla johto voisi arvioida ja kehittää organisaationsa riskienhallintaa. COSO ERM (Enterprise risk management) julkaistiin vuonna 2004. COSO ERM sai aluksi amerikkalaisena mallina runsaasti käyt-

14 täjiä sekä amerikkalaisista että USA:ssa toimivista yrityksistä, mutta on viime vuosina levinnyt voimakkaasti ympäri muuta maailmaa. Esimerkiksi Suomessa julkishallinnossa on yhä laajemmin otettu COSO ERM -malli riskienhallinnan pohjaksi muun muassa Valtiokonttorin myötävaikutuksella. 2.3.1 Soveltamisalasta Malli lähtee siitä, että ensin tunnistetaan organisaatioon vaikuttavia potentiaalisia tapahtumia ja pidetään riskit riskinottohalukkuuden rajoissa. Näin tavoitellaan kohtuullista varmuutta organisaation tavoitteiden toteutumisesta. Riskienhallinnan kautta organisaatiolle mahdollistuu eteneminen päämääräänsä ja välttämään näin mahdolliset sudenkuopat sekä muut yllättävät tilanteet. Mallissa korostuu se, että organisaatiota tarkastellaan kokonaisuutena. 2.3.2 Riskienhallinnan määritelmä COSO ERM määrittelee riskienhallinnan niin, että organisaation riskienhallinta on sen hallituksen, johdon ja muun henkilökunnan toteuttama prosessi, jota sovelletaan strategian laadinnassa ja koko organisaatiossa. Sen tarkoituksena on tunnistaa organisaatioon vaikuttavia potentiaalisia tapahtumia ja pitää riskit riskinottohalukkuuden rajoissa, jotta voidaan olla kohtuullisen varmoja organisaation tavoitteiden toteutumisesta.

15 2.3.3 Kuutiomaisesta viitekehyksestä COSO ERM on tullut tunnetuksi sen kuutiomaisesta viitekehyksestään (KUVIO 6) KUVIO 6. COSO ERM -kuutiomalli Kuutiossa neljä pystysuoraa palkkia esittävät organisaation tavoitteita neljällä eri tasolla, joita ovat strateginen, operatiivinen, raportointi sekä vaatimusten mukaisuus. Kahdeksan vaakariviä kuvaavat riskienhallinnan osa-alueita, joita ovat: Sisäinen ympäristö Tavoitteenasettelu Tapahtumien tunnistaminen Riskien arviointi Riskeihin vastaaminen Valvontatoimenpiteet Tieto ja viestintä Seuranta

16 Kuution kolmantena ulottuvuutena ovat organisaation yksiköt, joiden kaikkien on toteutettava riskienhallintaprosessia. Organisaatiotasojen läpi toteutetaan kokonaisvaltaista riskienhallintaa. 2.4 ISO 9001 Laadunhallintaa käsittelevien kansainvälisten standardien ISO 9000-sarjaa on kehitetty jo 1980- luvulta saakka. ISO 9000:2005 sisältää laadunhallinnan perusteet ja käsitteet. ISO 9001:2008 (Quality management systems. Requirements) sisältää varsinaiset vaatimukset laadunhallintajärjestelmälle, joten sitä käytetään myös sertifiointiin. Kun kansainväliset ISO-standardit vahvistetaan eurooppalaisiksi standardeiksi, niiden tunnuksiin lisätään EN-tunnus. EN-standardi on edelleen vahvistettava Euroopassa kansallisiksi standardeiksi ja niihin on lisättävä kansallinen tunnus. ISO 9001 vahvistettiin suomalaiseksi kansalliseksi standardiksi 15.12.2008 (SFS-EN ISO 9001 Laadunhallintajärjestelmät. Vaatimukset). ISO 9001 on yksi laadunhallinnan sarjan noin kahdestakymmenestä standardista. Standardissa korostetaan sitä, ettei kaikille organisaatioille ole tavoitteena yhdenmukainen rakenne tai dokumentaatio. Organisaation on luotava, dokumentoitava ja toteutettava laadunhallintajärjestelmä ja sitä ylläpitämällä jatkuvasti parannettava sen vaikuttavuutta. Noudattaessaan ISO 9001-standardia organisaatio voi yhdistellä muita siihen liittyviä johtamisjärjestelmiä (ympäristö, työterveys ja turvallisuus) tai mukauttaa laadunhallintajärjestelmänsä samansuuntaiseksi muiden johtamisjärjestelmiensä kanssa. 2.4.1 Soveltamisalasta ISO 9000- standardisarja on tarkoitettu kaikille organisaatioille riippumatta niiden tyypistä, koosta tai toimialasta.

17 Organisaation on tehtävä seuraavat asiat täyttääkseen standardin yleiset vaatimukset: määrittää laadunhallintajärjestelmää varten tarvittavat prosessit koko organisaatiossa määrittää prosessien keskinäinen vuorovaikutus ja järjestys määrittää kriteerit ja menetelmät, joilla varmistetaan vaikuttava toiminta varmistaa prosessien tueksi tarvittavat resurssit ja informaatio seurata, mitata ja analysoida prosesseja toteuttaa toimenpiteet tavoitteiden saavuttamiseksi kohti jatkuvaa parantamista Laadunhallintajärjestelmän dokumentoinnille standardi esittää yleisenä vaatimuksena seuraavat tekijät: laatupolitiikka ja -tavoitteet laatukäsikirja standardin edellyttämät menettelyohjeet ja tallenteet laadunhallintajärjestelmässä tarvittavat asiakirjat Kohteiden tavoitteena on toteuttaa prosessimaista toimintatapaa siten, että toimitaan vaikuttavasti ja näin lisätään asiakastyytyväisyyttä. Perusprosesseihin kuuluvat johtamistoiminnot, resurssien hallinta, tuotteen ja palvelun toteuttaminen sekä mittaus, analysointi ja parantaminen. Johdon on osoitettava sitoutumisensa asiakasvaatimuksista lähtevään laadunhallintajärjestelmän kehittämiseen. Vastuut ja valtuudet ovat selkeästi viestitty koko organisaatiossa. Ulkoistetuissa prosesseissa varmistetaan niiden riittävä ohjaus. Johdon on katselmoitava laadunhallintajärjestelmä varmistaakseen, että se on soveltuva, asianmukainen ja vaikuttava. Katselmuksessa arvioidaan hallintajärjestelmän kehittämistarpeet ja niihin toteutetaan jatkuvaa parantamista.

18 2.5 OHSAS 18001 Työterveys- ja turvallisuusjohtamisjärjestelmien standardi on laadittu kansainvälisenä yhteistyönä vastaamaan kiireellisiin asiakastarpeisiin, jotta organisaation johtamisjärjestelmiä voidaan arvioida ja sertifioida. Se on laadittu yhteensopivaksi laatu (ISO 9001)- ja ympäristöstandardien (ISO 14001) kanssa, jotta näiden osa-alueiden johtamisjärjestelmien yhdistäminen helpottuisi organisaation niin halutessa. OHSAS 18002 antaa vaatimukset ja ohjeet soveltaa OHSAS 18001:tä. 2.5.1 Soveltamisalasta Standardi sisältää työterveys- ja turvallisuusjohtamisjärjestelmiä (TTT-järjestelmää koskevat vaatimukset), joiden avulla organisaatio voi hallita TTT-riskejään ja parantaa toimintansa tasoa. OHSAS 18001 soveltuu kaikille niille organisaatiolle, jotka haluavat: luoda TTT-järjestelmän toteuttaa, ylläpitää ja jatkuvasti parantaa TTT-järjestelmää varmistua ja osoittaa muille noudattavansa TTT-politiikkaa vakuuttaa toimivansa standardin mukaisesti ja hakea sertifiointia Organisaatio voi vapaasti valita standardin käyttöalueeksi joko koko organisaation tai sen tietyt toimintayksiköt tai toiminnot. 2.5.2 TTT-järjestelmän määritelmästä Standardin kohdassa 3.11 on määritelty se, mitä TTT-järjestelmällä tarkoitetaan. Tämän mukaan se osa yleistä hallintajärjestelmää, joka edesauttaa organisaation liiketoimintaan liittyvien TTT-riskien hallintaa. Se sisältää organisaatiorakenteet, suunnittelutoiminnot, vastuut, käytännöt, menettelytavat, prosessit ja resurssit TTTpolitiikan kehittämiseksi, toteuttamiseksi, saavuttamiseksi, katselmoimiseksi sekä ylläpitämiseksi.

19 2.5.3 TTT-järjestelmän rakenneosat Organisaation on luotava, otettava käyttöön ja aktiivisesti ylläpidettävä kuviossa 8 esiteltyjä johtamisjärjestelmän rakenneosia: Politiikka Ylimmän johdon hyväksymässä TTT-politiikassa on selkeästi ilmaistavat kokonaisvaltaiset päämäärät sekä sitoutuminen jatkuvaan parantamiseen. Suunnittelu Organisaatiossa on oltava menettelytavat jatkuvaa vaarojen tunnistamista, riskin arviointia ja hallintatoimenpiteitä varten. Organisaation on noudatettava toimintaansa sovellettavia lakisääteisiä ja muita TTT-vaatimuksia. Organisaatiossa on oltava dokumentoidut TTT-päämäärät (mitattavat) ja vastuut, valtuudet, keinot ja aikataulut päämäärien saavuttamiseksi. Järjestelmän toteuttamisesta ja toiminnasta Organisaation ylimmästä johdosta on nimitettävä henkilö, joka on erityisesti vastuussa siitä, että TTT-järjestelmä on toteutettu ja että se toimii. Kaikkien johtamisvastuussa olevien on osoitettava sitoutumisensa TTT-toiminnan jatkuvaan parantamiseen. Organisaatiossa on sen henkilöstöllä oltava riittävä pätevyys TTT-tehtävien suorittamiseksi ja yhteistoiminta kaikkien sidosryhmien kanssa on varmistettava. Organisaation on luotava dokumentointijärjestelmä ja TTT-toimintojen suorittamisen kannalta oleellisten asiakirjojen ja tietojen on oltava tunnistettavissa ja valvottavissa. Organisaation on hallittava erityistä huomiota vaativat toiminnalliset riskit sekä testattava valmius toimia hätätilanteissa. Tarkastukset ja korjaavat toimenpiteet Organisaation on käytettävä määrällisiä ja laadullisia mittareita TTT-päämäärien toteutumisen seuraamiseksi. Organisaation on tutkittava onnettomuudet, vaaratilanteet ja poikkeamat. Korjaavat toimenpiteet on käynnistettävä ja toteutettava sekä niiden vaikuttavuus on varmistettava. TTT-tiedostojen, jotka osoittavat järjestelmän

20 toimivan tehokkaasti, on oltava selkeitä, tunnistettavia, ajantasaisia ja helposti käytettäviä. TTT-järjestelmä on auditoitava säännöllisesti. Johdon katselmus Ylimmän johdon on suoritettava säännöllisin väliajoin TTT-järjestelmän katselmus varmistuakseen sen soveltuvuudesta, riittävyydestä ja tehokkuudesta. KUVIO 7. TTT-järjestelmän rakenneosat Johtamisjärjestelmien perusperiaatteet ovat samanlaisia riippumatta siitä, sovelletaanko niitä TTT-järjestelmään tai laatu- ja ympäristötoimintoihin. Jokainen organisaatio tekee omat ratkaisunsa omista lähtökohdistaan. Standardien vaatimusten noudattaminen ei sinänsä takaa lakisääteisten velvoitteiden täyttymistä. 2.6 ISO 14001-standardisarja ISO 14000-standardisarja edistää kestävää kehitystä tukevia toimia ja tarjoaa organisaatioille tehokkaan ympäristönhallintajärjestelmän rakenneosat, joita voidaan yhdistää muiden johtamisjärjestelmien kanssa. ISO 14001:2004 sisältää varsinaiset vaatimukset ympäristöjärjestelmälle, joten sitä käytetään myös sertifiointiin. Kun kan-

21 sainväliset ISO standardit vahvistetaan eurooppalaisiksi standardeiksi, sen tunnukseen lisätään EN-tunnus. EN-standardi on edelleen vahvistettava Euroopassa kansallisiksi standardeiksi ja lisättävä kansallinen tunnus. ISO 14001 vahvistettiin suomalaiseksi, kansalliseksi standardiksi 29.11.2004 (SFS-EN ISO 14001 Ympäristöjärjestelmät. Vaatimukset ja opastusta niiden soveltamisesta). Käsitepari management systems on suomenkieliseen käännökseen nimetty käsitteellä järjestelmä, vaikka muissa järjestelmästandardeissa puhutaan joko hallinta- tai johtamisjärjestelmästä. Ympäristöstandardi 14001 sisältää vain sellaisia vaatimuksia, joita voidaan auditoida objektiivisesti. Standardissa korostetaan, ettei tavoitteena ole kaikille organisaatioille yhdenmukainen rakenne tai yhdenmukainen dokumentaatio, eikä se sisällä ehdottomia ympäristönsuojelun tasoa koskevia vaatimuksia. Organisaation on luotava, dokumentoitava ja toteutettava itselleen laadunhallintajärjestelmä ja tätä ylläpitämällä parannettava jatkuvasti sen vaikuttavuutta. Standardissa on otettu huomioon ISO 9001 vaatimukset, jolloin organisaatio voi yhdistellä siihen muita johtamisjärjestelmiä (laatu, tieto, työterveys ja turvallisuus) tai mukauttaa ympäristöjärjestelmänsä samansuuntaiseksi muiden johtamisjärjestelmiensä kanssa. 2.6.1 Soveltamisalasta ISO 14001 -standardi on tarkoitettu kaikenlaisille organisaatioille riippumatta niiden tyypistä, koosta tai toimialasta ja sen on tarkoitus soveltua erilaisiin maantieteellisiin, sosiaalisiin ja kulttuuriolosuhteisiin. 2.6.2 Ympäristöjärjestelmä Organisaation on tehtävä seuraavat asiat täyttääkseen standardin vaatimukset: määritellä ympäristöpolitiikkansa varmistaa, että merkittävät ympäristönäkökohdat otetaan huomioon luotaessa, toteutettaessa ja ylläpidettäessä järjestelmää varmistaa, että lakisääteiset ja muut vaatimukset otetaan huomioon järjestelmässä luoda, toteuttaa ja ylläpitää dokumentoidut ympäristöpäämäärät ja tavoitteet varmistaa prosessien tueksi tarvittavat resurssit ja informointi

22 määritellä roolit, vastuut ja valtuudet varmistaa henkilöiden pätevyys, koulutus ja tietoisuus luoda, toteuttaa ja ylläpitää sisäinen sekä ulkoinen viestintä hallita standardin edellyttämät asiakirjat ja tallenteet seurata, mitata ja analysoida prosesseja toteuttaa toimenpiteet tavoitteiden saavuttamiseksi ja jatkuvaksi parantamiseksi Organisaatioiden tavoitteena on toteuttaa prosessimaista toimintatapaa siten, että toimitaan vaikuttavasti ehkäisemällä ympäristön pilaantumista. Ympäristöjärjestelmän käyttöönotolla ja soveltamisella voidaan myötävaikuttaa kaikkia sidosryhmiä tyydyttävien tulosten saavuttamiseen. Ympäristöjärjestelmän menestys edellyttää johdolta ja organisaatiolta sitoutumista. Johdon on osoitettava sitoutumisensa sidosryhmien vaatimuksista lähtevään ympäristöjärjestelmän kehittämiseen. Vastuut ja valtuudet ovat selkeästi viestitty koko organisaatiossa. Ulkoistetuissa prosesseissa on varmistettava niiden riittävä ohjaus. Organisaation on toteutettava objektiivisia ja tasapuolisia sisäisiä auditointeja. Näin voidaan päätellä ympäristöjärjestelmän olevan ISO 14001 mukainen ja toteutettuna sekä ylläpidettynä asianmukaisesti. Johdon on katselmoitava ympäristöjärjestelmä varmistaakseen, että se on soveltuva, riittävä ja tehokas. Katselmuksessa arvioidaan järjestelmän kehittämistarpeet ja näin toteutetaan jatkuvaa parantamista. 2.7 ISO 27001 ISO (the International Organization for Standardization) ja IEC (the International Electrotechnical Commission) ovat perustaneet yhteisen teknisen komitean ISO/IEC JTC 1:n, joiden yksi alakomitea on laatinut standardin ISO/IEC 27001. Se on käännetty suomeksi, mutta sitä ei ole toistaiseksi vielä hyväksytty suomalaiseksi, kansalliseksi standardiksi. ISO 27001 määrittelee tietoturvallisuuden hallintajärjestelmän vaatimukset ja toimii siten sen sertifioinnin perustana. Se pohjautuu englantilaiseen standardiin BS7799, osa 2.

23 2.7.1 Soveltamisalasta Standardissa esitetyt vaatimukset ovat yleisiä ja tavoitteena on, että ne soveltuisivat kaikille organisaatioille riippumatta niiden tyypistä, koosta tai luonteesta. Julkiselle sektorille on useissa maissa omat ohjeensa. Suomessa valtiovarainministeriö on laatinut Vahti-ohjeet. 2.7.2 Tietoturvallisuuden hallintajärjestelmästä Organisaation on ensin luotava ja siten toteutettava, käytettävä, valvottava, katselmoitava, ylläpidettävä ja jatkuvasti kehitettävä hallintajärjestelmää tavoitteenaan hyvä tietoturvallisuus. Hallintajärjestelmä tukee organisaation liiketoimintoja (organisaation olemassaolon ydintarkoitus) ja sen riskien hallintaa. Hallintajärjestelmän luomiseksi organisaation on täytettävä seuraavat asiat: määritellä hallintajärjestelmän kattavuus määritellä hallintapolitiikka määritellä riskien arvioinnin toimintatapa tunnistaa riskit analysoida ja arvioida riskien vaikutukset tunnistaa ja arvioida riskien käsittelyn vaihtoehdot valita valvontatavoitteet ja turvamekanismit hankkia johdon hyväksyntä jäännösriskeille hankkia johdon hyväksyntä hallintajärjestelmälle ja sen käytölle valmistella hallintajärjestelmän soveltamissuunnitelma Hallintajärjestelmässä on tarkoitus toteuttaa prosessimaista toimintatapaa siten, että toimitaan vaikuttavasti lisäten tietoturvallisuutta. Perusprosesseihin kuuluvat johtamistoiminnot, resurssien hallinta, palvelun toteuttaminen sekä mittaus, analysointi ja parantaminen. Johdon on osoitettava sitoutumisensa liiketoiminnan tavoitteista lähtevään tietoturvallisuuden hallintajärjestelmän kehittämiseen. Vastuut ja valtuudet ovat selkeästi viestitty koko organisaatiossa. Ulkoistetuissa prosesseissa varmistetaan niiden riittävä ohjaus.

24 Johdon on katselmoitava tietoturvallisuuden hallintajärjestelmä varmistaakseen, että se on soveltuva, asianmukainen ja vaikuttava. Katselmuksessa arvioidaan hallintajärjestelmän kehittämistarpeet, jolloin toteutetaan jatkuvaa parantamista. 2.8 ISO 22301 ISO (the International Organization for Standardization) julkaisi standardin 22301 Societal security-business continuity management systems-requirements toukokuussa 2012 ja jo heti perään kesäkuussa korjatun version. Standardin on laatinut tekninen komitea ISO/TC223 Societal security. Tekninen komitea Yhteiskunnan turvallisuus aloitti toimintansa 2001 ja se on julkaissut viisi ja valmisteilla on lisäksi kahdeksan uutta standardia. Standardia 22301 ei ole toistaiseksi hyväksytty suomalaiseksi, kansalliseksi standardiksi eikä sitä ole myöskään käännetty suomeksi. Standardissa hyödynnetään Plan- Do-Check-Act (PDCA) -mallia ja se on yhdenmukainen standardien ISO 9001, ISO 14001 ja ISO 27001 kanssa. Tarkoituksena on tukea eri hallintajärjestelmästandardien mukaan rakennettujen järjestelmien yhtenäistä ja integroitua toteuttamista sekä käyttöä. Vaikka standardissa puhutaan liiketoiminnan jatkuvuudesta, siinä korostetaan kuitenkin sitä, että käsite liiketoiminta on ymmärrettävä laajasti tarkoittamaan kaikkia niitä toimintoja, joiden vuoksi organisaatio on olemassa. ISO 22301 määrittelee liiketoiminnan jatkuvuuden hallintajärjestelmän vaatimukset ja toimii siten jatkuvuuden hallintajärjestelmän sertifioinnin perustana. 2.8.1 Soveltamisalasta Standardissa esitetyt vaatimukset ovat yleisiä ja tavoitteena on se, että ne soveltuvat kaikille organisaatioille riippumatta niiden tyypistä, koosta tai luonteesta. Tätä kansainvälistä standardia voidaan käyttää arvioimaan organisaation kyvykkyyttä kohdata jatkuvuudelle esitetyt tarpeet ja vaatimukset. 2.8.2 Toiminnan jatkuvuuden hallintajärjestelmästä Organisaation on luotava ja sitten toteutettava, käytettävä, valvottava, katselmoitava, ylläpidettävä ja jatkuvasti kehitettävä hallintajärjestelmää, jotta organisaatio

25 voi suojautua, varautua ennalta ja toimia häiriöiden aikana sekä toipua normaalille palvelutasolle niiden jälkeen. PDCA-mallin soveltaminen hallintajärjestelmässä PLAN: Luodaan liiketoiminnan jatkuvuuspolitiikka, päämäärät, tavoitteet, turvamekanismit, prosessit ja menettelyt tavoitteena parantaa liiketoiminnan jatkuvuutta. Näillä keinoin organisaation yleiset tavoitteet voidaan saavuttaa. DO: Sovelletaan ja toteutetaan liiketoiminnan jatkuvuuspolitiikkaa, päämääriä, turvamekanismeja, prosesseja ja menettelyitä. CHECK: Seurataan ja katselmoidaan suorituksia jatkuvuuspolitiikan ja tavoitteiden kannalta sekä raportoidaan tuloksista johdolle heidän katselmuksiaan varten. Näin johto voi päättää korjaavista ja parantavista toimenpiteistä. ACT: Ylläpidetään ja parannetaan jatkuvuudenhallintajärjestelmää toteuttamalla johdon päättämät toimenpiteet sekä arvioidaan jatkuvuuspolitiikka ja tavoitteet. Johdon on osoitettava sitoutumisensa liiketoiminnan tavoitteista lähtevään jatkuvuuden hallintajärjestelmän kehittämiseen. Vastuut ja valtuudet on viestitettävä selkeästi koko organisaatiossa. Johdon on katselmoitava hallintajärjestelmä varmistaakseen sen soveltuvuus, asianmukaisuus ja vaikuttavuus. Katselmuksessa arvioidaan hallintajärjestelmän kehittämistarpeet ja näin toteutetaan jatkuvaa parantamista. 2.9 ISO 22320 ISO (the International Organization for Standardization) julkaisi standardin 22320 Societal security-emergency management Requirements for incident response marraskuussa 2011. Sen on laatinut tekninen komitea ISO/TC223 Societal security. Tekninen komitea Yhteiskunnan turvallisuus aloitti toimintansa 2001 ja on julkaissut viisi sekä valmisteilla on vielä kahdeksan uutta standardia. Standardia 22320 ei ole toistaiseksi hyväksytty suomalaiseksi, kansalliseksi standardiksi eikä sitä ole myöskään käännetty suomeksi.

26 Standardi kehottaa ottamaan huomioon kansallisen lainsäädännön. Suomessa ammattikorkeakoulu- ja yliopistolaissa on erikseen säädetty varautumisesta poikkeusoloihin sekä häiriö- ja erityistilanteisiin. Käsite Emergency management ei ole vakiintunut vielä Suomessa, vaan täällä siitä käytetään synonyyminä käsitteille hätätilanteiden hallinta, kriisijohtaminen, poikkeustilanteiden johtaminen, häiriötilanteiden hallinta, erityistilanteiden johtaminen, tilannejohtaminen jne. 2.9.1 Soveltamisalasta Standardissa esitetyt vaatimukset ovat yleisiä ja tavoitteena on, että ne soveltuvat kaikille organisaatioille riippumatta niiden tyypistä, koosta tai luonteesta. Vaatimukset sopivat kansainvälisellä, kansallisella ja paikallistasolla. Tätä kansainvälistä standardia voidaan käyttää arvioimaan organisaation kyvykkyyttä toimia häiriötilanteen sattuessa. 2.9.2 Kriisijohtamisen malli Standardi 22320 ohjeistaa luomaan kriisijohtamisen mallin, joka perustuu oikeaan tilannekuvaan, sidosryhmäyhteistyöhön ja selkeisiin johtamisvastuisiin sekä myös päätöksentekoon. Kriisijohtamiseen kuuluvat suunnittelu ja säännöllinen harjoittelu. Viestintä, niin sisäinen kuin ulkoinenkin, ovat häiriötilanteissa oleellinen osa onnistunutta kriisijohtamista.

27 2.10 Yhteenveto standardeista ja malleista Standardeja ja erilaisia turvallisuusjohtamismalleja haettiin standardisoimisjärjestöistä, alan järjestöistä ja ammattilehdistä. Kansallisia malleja, ohjeita ja oppaita löytyi runsaasti, mutta kun kriteereinä pidettiin laajaa, monikansallista peittoa, jäi tulokseksi kuusi ISO-standardia, yksi toinen kansainvälinen standardi ja vielä erillinen malli. Kriteerinä oli myös soveltuvuus korkeakoulumaailmaan, joten mukaan ei otettu esimerkiksi toimitusketjun turvallisuutta varmistavia standardeja. Kuviossa 8 kriteerit täyttävät löydöt on sijoitettu yritysturvallisuusmalliin osa-alueittain. KUVIO 8. Standardit ja mallit turvallisuuden osa-alueilla Hallintajärjestelmästandardit auttavat ohjaamaan organisaation tiettyjä toiminnan osa-alueita sen valitsemassa laajuudessa. Kansainvälisesti tehdään paljon työtä hallintajärjestelmästandardien integroimiseksi osaksi organisaation johtamisjärjestelmää. Kehitys näyttäisi kulkevan siten, että organisaatio ottaa yhden hallintajärjestelmästandardin kerrallaan haltuunsa kohteelleen tarkoituksenmukaisessa järjestyksessä. Uuden hallintajärjestelmän käyttöönotto on aina toisen jälkeen helpompaa, koska standardeilla niin paljon yhteisiä elementtejä.

28 Tällaisia yhteisiä elementtejä ovat: johdon sitoutuminen toimintapolitiikka roolit, vastuut ja valtuudet tavoitteet ja suunnitelmat resurssien varaaminen pätevyys ja tietoisuus dokumentointi viestintä prosessien ja toimintojen ohjaus seuranta ja mittaus sisäinen auditointi johdon katselmus poikkeamat ja korjaavat toimenpiteet jatkuva parantaminen Organisaatiot, jotka käyttävät hallintajärjestelmästandardeja, kertovat asiasta näyttävästi muun muassa sidosryhmäviestinnässään. Toisin sanoen organisaatiot uskovat standardien käyttämisen tuottavan lisäarvoa toiminnalleen.

29 3 KYSELYTUTKIMUS Jyri Paasonen Tässä luvussa tarkastellaan selvityksen kyselytutkimusta. Aluksi esitellään tutkimusmenetelmät ja -aineisto. Tämän jälkeen tarkastellaan kyselytutkimuksen tuloksia. Lopuksi tehdään yhteenvetoa kyselytutkimuksen keskeisistä tuloksista. 3.1 Tutkimusmenetelmät ja -aineisto Kyselytutkimuksen tarkoituksena oli selvittää, miten eri korkeakouluissa on turvallisuusjohtaminen ja riskienhallintaprosessi toteutettu. Selvityksessä käytetty kyselylomakkeen muoto oli Likert-asteikollinen kysely, jota käytetään yleisesti asenne- ja motivaatiomittareissa. Vastaajat pisteyttävät oman käsityksensä kysymyksen tai väitteen sisällöstä. Kyseinen asteikko yhdistää laadullisia ja määrällisiä elementtejä (Metsämuuronen 2006, 39 40). Tässä selvityksessä kyselylomake sisälsi väittämien lisäksi avoimia kysymyksiä. Kyselylomake on liitteenä (LIITE 1). Kyselytutkimuksen otos tehtiin harkinnanvaraisesti keskittyen Australiassa, Euroopassa ja Pohjois-Amerikassa sijaitseviin yliopistoihin. Otoksen koko oli 250 yliopistoa, joista 100 oli valittu QS World University Rankingsin mukaan. Tämän lisäksi valittiin 150 yliopistoa eri puolelta näitä maanosia. Kyselytutkimuksesta tiedotettiin sähköisenä vastauspyyntönä kaikille sellaisille turvallisuus- tai riskienhallinta-ammattinimekkeen omaaville henkilöille näissä yliopistoissa, joiden voitiin ajatella vastaavan organisaationsa turvallisuustoiminnasta. Kyselyn vastausaika oli 6.10. 18.11.2011 ja vastauksia tuli yhteensä 28 kappaletta. Vaikka kyselyn vastausmäärä (alle 12 prosenttia) jäi verrattain pieneksi suhteessa lähetettyihin vastauspyyntöihin, voidaan otoksen todeta kuitenkin antavan riittävän yleiskuvan selvityksen tavoitteisiin nähden. Vastaajien joukko on taustatietojen perusteella riittävän heterogeenistä ja kokenutta. Yleisellä tasolla voidaan todeta, ettei kyselylomakkeella tapahtuvassa tutkimuksessa voida koskaan varmuudella tietää, miten tarkasti kaikki vastaajat ovat paneutuneet aiheeseen ja miten hyvin he ovat ymmärtäneet esitetyt kysymykset tai väittämät. Kuitenkin kyselyjen etuna on nähty laaja käyttötarkoitus ja mahdollisuudet saada laaja aineisto suhteellisen helposti ja verraten pienin kustannuksin (Hirsijärvi Re-

30 mes Sajavaara 2001, s. 182). Tiettynä kyselylomakkeen ongelmana voidaan nähdä tässä selvityksessä ainakin se, että kyselyyn vastasivat vain motivoituneet henkilöt. Lisäksi otos on hyvin pitkälle mielivaltainen, mikä on syytä muistaa tulosten tarkastelussa. Kyselyiden vastausjakautumat on taulukoitu Likert-asteikon mukaisesti taulukoihin, joka vaihteli 1 (= täysin eri mieltä), 2 (= jokseenkin eri mieltä), 3 (= ei mielipidettä), 4 (= jokseenkin samaa mieltä) ja 5 (= täysin samaa mieltä) välillä. Taulukoissa näkyy vastausprosenttien jakautuma. Avoimet vastaukset käydään läpi kysymyskohtaisesti ja niistä esitetään lisäksi suoria lainauksia vastauksista. 3.2 Kyselytutkimuksen tulokset Kyselyn vastaajista miehiä oli 68 prosenttia ja naisia 32 prosenttia. Vastaajien iän keskiarvo oli 51,3 vuotta. Kuten taulukosta 1 havaitaan, lähes puolet vastaajista oli suorittanut ylemmän korkeakoulututkinnon. Koulutus % Ammatillinen koulutus 4 Alempi korkeakoulututkinto 29 Ylempi korkeakoulututkinto 46 Jatko-opinnot (lisensiaatti tai tohtori) 21 Taulukko 1: Vastaajien taustatiedot. Vastaajilla oli turvallisuuteen liittyvää koulutustaustaa erittäin paljon. Suurin osa vastaajista oli suorittanut korkeakoulututkinnon liittyen turvallisuuden eri osaalueisiin. Kolmanneksella vastaajista oli myös turvallisuusviranomaisen, kuten poliisin, pelastustoimen tai puolustusvoimien, tutkintoja suoritettuna. Lisäksi usea vastaaja oli suorittanut myös muita sertifioituja koulutuksia muun muassa riskienhallintaan liittyen. Kaikkien vastaajien nykyisenä toimenkuvana oli vastata organisaation turvallisuustoiminnasta ja riskienhallinnasta. Suurimman osan vastaajista toimenkuvana oli riskienhallintapäällikkö tai turvallisuusjohtaja. Lisäksi osa vastaajista oli turvallisuuskoordinaattoreita. Vastaajien nykyisen toimenkuvan keskiarvo vuosissa oli 5,1 vuotta.

31 Työkokemusta turvallisuusalalta vastaajilla oli reilusta, koska vastaajien keskiarvo vuosissa oli 16,4 vuotta. Organisaatiot, joissa vastaajat työskentelivät, sijoittuivat ympäri maailman. Vastaajista noin puolet oli Euroopasta ja noin kolmasosa organisaatioista sijaitsi Yhdysvalloissa (katso taulukko 2). Valtio % Australia 8 Kanada 4 Tanska 17 Yhdistynyt kuningaskunta 17 Alankomaat 8 Norja 4 Etelä-Afrikka 4 Yhdysvallat 38 Taulukko 2: Vastaajien taustatiedot. Organisaatioissa henkilökunnan lukumäärä vaihteli välillä 300 8000 henkilöä. Henkilöstön lukumäärän keskiarvo oli 2503 henkilöä. Opiskelijoiden lukumäärä vaihteli välillä 1600 50000 henkilöä. Opiskelijoiden lukumäärän keskiarvo oli 24175 henkilöä. Kampuksia organisaatioissa oli 1 23 kappaletta, josta keskiarvo oli 3,5 kampusta. Vastaajista lähes jokainen (95 prosenttia) oli ainakin jokseenkin sitä mieltä, että strategisessa johtamisessa on huomioitu turvallisuusasiat. Organisaation johdon katsottiin myös ainakin jokseenkin määrittäneen turvallisuuspolitiikan (84 prosenttia vastaajista). Vastaajista 66 prosenttia oli ainakin jokseenkin samaa mieltä siitä, että turvallisuuspolitiikassa on määritelty organisaation keskeiset turvallisuustavoitteet, vastaajista 10 prosentin ollessa ainakin jokseenkin eri mieltä. Turvallisuuspolitiikan sisällön tiedottamiseen työntekijöille oltiin ainakin jokseenkin tyytyväisiä (67 prosenttia vastaajista), noin joka viidennen vastaajan ollessa ainakin jokseenkin eri mieltä. Hieman yli puolet vastaajista oli ainakin jokseenkin samaa mieltä siitä, että turvallisuuspolitiikka sisältää vaatimuksen kaikkien työntekijöiden sitoutumisesta jatkuvaan kehittämiseen. Jopa joka kolmas vastaaja oli ainakin jokseenkin eri mieltä väittämän kanssa. Väittämien tarkemmat vastausjakautumat on esitelty taulukossa 3.

32 Strategisessa johtamisessa on huomioitu turvallisuusasiat. Organisaation johto on määrittänyt turvallisuuspolitiikan. Turvallisuuspolitiikassa on määritelty organisaation keskeiset turvallisuustavoitteet. Turvallisuuspolitiikan sisältö on tiedotettu kaikille työntekijöille. Turvallisuuspolitiikka sisältää vaatimuksen kaikkien työntekijöiden sitoutumisesta jatkuvaan kehittämiseen. Täysin eri mieltä Jokseenkin eri mieltä Ei Jokseenkin mielipidettä samaa mieltä Täysin samaa mieltä 5 0 0 67 28 5 0 9 62 24 5 5 24 47 19 5 14 14 48 19 5 29 9 48 9 Taulukko 3: Väittämäkysymykset Organisaatioiden turvallisuuspolitiikassa huomioitiin eri asiakokonaisuuksia laajasti, kuten risk management policy (86 prosenttia), emergency management policy (71 prosenttia), occupational health and safety management system policy (67 prosenttia). Lisäksi vastauksissa oli mainittu joitakin muita, kuten counter terrorism policy, equity and diversity policy ja legal policy. Asiakokonaisuuksien tarkemmat prosenttijakaumat on esitelty taulukossa 4.

33 Turvallisuuspolitiikka kattaa organisaation turvallisuustoiminnan kokonaisvaltaisesti huomioiden seuraavia asiakokonaisuuksia: % Risk management policy 86 Security policy 62 Occupational health and safety management system policy 67 Information security policy 52 Continuity management policy 62 Emergency management policy 71 Jokin muu 14 Taulukko 4: Väittämäkysymykset Vastaajat kokivat, että turvallisuustoiminnalle on asetettu tavoitteet, koska 90 prosenttia vastaajista oli ainakin jokseenkin tätä mieltä. Turvallisuustavoitteet on integroitu kiinteäksi osaksi organisaation toimintaa väittämän kanssa ainakin jokseenkin samaa mieltä oli 73 prosenttia. Vastaajista 69 prosenttia oli ainakin jokseenkin sitä mieltä, että turvallisuustoimintaa mitataan säännöllisesti, vastaajista 10 prosentin ollessa eri mieltä. Vastaajista noin 60 prosenttia oli ainakin jokseenkin sitä mieltä, että mittauksen kautta saatua tietoa hyödynnetään kehittämistoiminnassa ja, että organisaatiolla on tehty toimintaohjelma turvallisuusjohtamiseksi. Väittämien kanssa ainakin jokseenkin vastakkaista mieltä oli 16 prosenttia vastaajista. Noin puolet vastaajista (52 prosenttia) katsoi, että toimintaohjelma tarkistetaan säännöllisesti, kun taas vastakkaista mieltä oli noin joka viides vastaaja. Väittämien tarkemmat vastausjakautumat on esitelty taulukossa 5.

34 Turvallisuustoiminnalle on asetettu tavoitteet. Turvallisuustavoitteet on integroitu kiinteäksi osaksi organisaation toimintaa. Turvallisuustoimintaa mitataan säännöllisesti. Mittauksen kautta saatua tietoa hyödynnetään kehittämistoiminnassa. Organisaatiolla on tehty toimintaohjelma turvallisuusjohtamiseksi. Toimintaohjelma tarkistetaan säännöllisesti. Täysin eri mieltä Jokseenkin eri mieltä Ei Jokseenkin mielipidettä samaa mieltä Täysin samaa mieltä 5 5 0 69 21 5 11 11 58 15 5 5 21 58 11 5 11 26 42 16 5 11 21 37 26 5 16 27 26 26 Taulukko 5: Väittämäkysymykset Vastaajien organisaatioissa on käytetty useita eri standardeja, kuten ISO 9001 (31 prosenttia), ISO 27001 (15 prosenttia) ja OHSAS 18001 (15 prosenttia). Järjestelmien ja standardien prosenttijakaumat on esitelty taulukossa 6. Turvallisuusjohtaminen on toteutettu jonkin tietyn järjestelmän tai standardin mukaisesti. % ISO 9001 31 ISO 14001 8 ISO 17799 8 ISO 22301 8 ISO 27001 15 ISO 31000 8 COSO ERM 8 OHSAS 18001 15 Jokin muu 31 Taulukko 6: Väittämäkysymykset Vastaajista 31 prosenttia oli myös vastannut jokin muu kohtaan. Näissä vastauksissa oli tuotu esille lainsäädäntöä, joka ohjaa korkeakoulujen turvallisuusjohtamista ja riskienhallintaa. Tätä samaa asiaa tiedusteltiin myös avoimessa kysymyksessä, jossa

35 useissa vastauksissa todettiin opetusministeriön ohjaavan toimintaa. Lisäksi vastauksissa tuotiin esille eri valtioiden lainsäädäntöä. The Ministery of Education has guidelines for safety and security in school s and university s. The Ministery of Education has defined guidelines for security and crisis management. There is still no law in the Netherlands for this but the ministry advises educational organizations to take care for risk management. In Canada, education is a provincial responsibility. The Ontario OH&SA regulates safety policy, systems and hazard risk management processes. It also has specific legislation covering workplace violence and harassment. The Criminal Code of Canada and various provincial statutes govern security issues. Amongst the Post-Secondary sector, Security colleagues have produced a best practices guideline, endorsed by our Minister, regarding school shootings and lockdowns. In the United States, the federal government has committed to postcatastrophe aid if the affected institution (city, county, university, etc.) has adhered to federal guidelines and has adhered to NIMS protocols. Duties under the Health and safety at Work Act and other regulations. Turvallisuustyön vastuut katsottiin olevan määritetty, koska 84 prosenttia vastaajista oli ainakin jokseenkin tätä mieltä. Turvallisuustyölle on suunnattu riittävästi resursseja väittämä jakoi melko tasaisesti mielipiteet taulukon molemmille puolille. Huomioitavaa on se, että 37 prosentilla vastaajista ei ollut väittämään mielipidettä. Noin 90 prosenttia vastaajista koki, että johto on määrittänyt henkilön, joka on vastuussa turvallisuusjohtamisesta ja, että turvallisuudesta vastaava henkilö raportoi suoraan johdolle turvallisuuteen liittyvissä asioissa. Väittämien kanssa ainakin jokseenkin vastakkaista mieltä oli 10 prosenttia vastaajista. Edellisiä väittämiä vastaavasti noin reilu 90 prosenttia vastaajista oli ainakin jokseenkin sitä mieltä, että johto on sitoutunut turvallisuustavoitteisiin ja niiden saavuttamiseen ja, että johto on määrittänyt

36 turvallisuusorganisaation. Väittämien tarkemmat vastausjakautumat on esitelty taulukossa 7. Turvallisuustyön vastuut on määritetty. Turvallisuustyölle on suunnattu riittävästi resursseja. Johto on määrittänyt henkilön, joka on vastuussa turvallisuusjohtamisesta. Turvallisuudesta vastaava henkilö raportoi suoraan johdolle turvallisuuteen liittyvissä asioissa. Johto on sitoutunut turvallisuustavoitteisiin ja niiden saavuttamiseen. Johto on määrittänyt turvallisuusorganisaation. Täysin eri mieltä Jokseenkin eri mieltä Ei Jokseenkin mielipidettä samaa mieltä Täysin samaa mieltä 5 11 0 68 16 5 21 37 26 11 5 5 0 58 32 10 0 5 53 32 5 0 5 58 32 5 0 0 58 37 Taulukko 7: Väittämäkysymykset Riskienhallinnan koettiin tukevan organisaation toimintaa, koska jopa 90 prosenttia vastaajista oli sitä mieltä. Noin kaksi kolmesta vastaajasta piti organisaatioiden riskienhallintaa ainakin jokseenkin systemaattisena ja he myös kokivat, että riskienarviointia tehdään säännöllisesti yhdessä henkilöstön kanssa. Vastaajista 10 prosenttia oli väittämistä ainakin jokseenkin toista mieltä. Riskienarviointien havainnot koettiin huomioitavan turvallisuustoiminnan tavoitteita asetettaessa ja, että organisaatioilla on menetelmät valvoa riskienarviointien perusteella tehtyjen toimenpiteiden toteuttamista ja tehokkuutta, koska myös näiden väittämien osalta noin kaksi kolmesta vastaajasta oli ainakin jokseenkin sitä mieltä. Vastaajista 5 prosenttia oli väittämistä täysin eri mieltä. Vastaajista 74 prosenttia katsoi, että riskienhallinnassa huomioidaan sidosryhmät. Myös 79 prosenttia vastaajista oli sitä mieltä, että riskienarviointien tulokset dokumentoidaan. Väittämien tarkemmat vastausjakautumat on esitelty taulukossa 8.