AEO-Infotilaisuus Toimitusketjujen riskien analysointi ja hallinta yhteistyössä sopimuskumppanien kanssa 24.5.2012 Sami Hyytiäinen Minna Syri 24.5.2012 Tullihallitus 1
Johdanto Uudet suuntaviivat julkaistaan 2012 aikana Määrittelee riskilähtöisen turvallisuuden lähestymistavan Itsearvion rooli korostuu Tullin suorittamien tarkastusten turvallisuuden poikkeamat ja kehitysalueet painottuvat seuraaviin osa-alueisiin: Riskienhallinta Henkilöstöturvallisuus Sidosryhmäturvallisuus 24.5.2012 Tullihallitus 2
AEO Turvallisuuden osa-alueet Riskienhallinta Pääsynvalvonta Logistiikan ja tuotannon turvallisuus Tietoturvallisuus AEO Henkilöstöturvallisuus Toimitilaturvallisuus Sopimuskumppanit ja palveluntarjoajat Turvallisuusjohtaminen 24.5.2012 Tullihallitus 3
Guidelines Annex 2 Risks, threaths and possible solutions 24.5.2012 Tullihallitus 4
Turvallisuuden keskeiset poikkeamat Yrityksen toimitilaturvallisuus Yrityksen toimitilojen turvallisuussuunnittelussa tulee hyödyntää tarkoituksenmukaisessa laajuudessa turvallisuusvalvontaa (mm. kameravalvonta, rikosilmoitinjärjestelmä, kulunvalvonta, vartiointi). Suojattavien kohteiden turvallisuusmenettelyt Yrityksellä tulee olla käytössään turvallisuusmenettelyjä, joilla estetään luvaton pääsy tavaroihin ja niihin liittyviin asiakirjoihin toimitusketjun eri vaiheissa. Yrityksellä on oltava asianmukaiset menettelyt asiakirjojen ja tietojen arkistoimiseksi ja tietojen häviämisen estämiseksi. 24.5.2012 Tullihallitus 5
Turvallisuuden keskeiset kehitysalueet Yrityksen AEO-riskienhallinta AEO -osa-alueiden sisällyttäminen yrityksen perinteiseen riskienhallintaan Esim. rahoitus ja vahinkoriskit -> toimitusketjun turvallisuusriskit Hallintajärjestelmä -> tapa hallita riskejä Henkilökunnan koulutus ja tiedottaminen Henkilökunnalle tiedottaminen AEO-asemaan liittyvistä turvallisuusvaatimuksista AEO-asemaan liittyvät turvallisuusohjeet Toimitusketjun ja ulkoistettujen palvelujen riskienhallinta Turvallisuusvaatimusten huomioiminen ulkoistettujen palveluiden sopimuksissa Toimitusketjun turvallisuusvaatimusten sisällyttäminen sopimuksiin 24.5.2012 Tullihallitus 6
Yrityksen AEO-riskienhallinta 24.5.2012 Tullihallitus 7
Riskienhallinta Riskilähtöinen lähestymistapa Ei yksityiskohtaisia toteutusohjeita Vain ohjeistusta miten riskejä tulisi hallita (suuntaviivoja) Jokainen yritys ja toimintaympäristö on erilainen Arvioidaan kokonaisturvallisuutta tunnistetaan uhka, määritetään riski ja mitoitetaan kontrollit siten, että riski on hyväksyttävällä tasolla (riskimatriisi) Keskeiset työkalut SAQ ja Guidelines (erityisesti Annex II) Tärkeää tutustua huolellisesti em. ja tuottaa tarvittava osa-aluekohtainen dokumentointi 24.5.2012 Tullihallitus 8
Riskienhallinta AEO-turvallisuusjohtamisen kivijalka Turvallisuusjohtamisessa tulee keskittyä keskeisiin prosesseihin ja niiden turvaamiseen, riskienhallintaan, sisäisiin kontrolleihin ja riskien pienentämiseen hyväksyttävälle tasolle Riskienhallintajärjestelmän tulee sisältää: Ennaltaehkäisevä riskienhallinta Poikkeamatilanteiden hallinta Tulee nimetä vastuutaho ja/tai -henkilö Tulee kattaa kaikki toiminnot, henkilöt ja tilat, jotka ovat merkityksellisiä tullitoiminnan kannalta Toimintoja voidaan ulkoistaa, mutta ei vastuuta! 24.5.2012 Tullihallitus 9
Riskienhallintamalli AEO-toimija suorittaa riskienarvioinnin ja luo riskienhallintamallin Riskienhallintajärjestelmä = tapa hallita riskejä (PDCA-malli) Riskien tunnistaminen Riskianalyysi/merkityksen arviointi (riskienhallintamatriisi) Hallintatoimenpiteet Seuranta ja raportointi Tulli arvioi yrityksen riskienhallintamallin riittävyyttä ja tehokkuutta Yrityksen on osoitettava tullille, kuinka riskit on tunnistettu ja huomioitu (riskienhallintajärjestelmä ja vastuutahot) 24.5.2012 Tullihallitus 10
Riskienhallintamalli Riskienhallinta kattaa kaikki AEO-asemalle oleelliset osa-alueet: Toimitiloihin ja tavaraan kohdistuvat uhat Fiskaaliset uhat Tullitoimintojen ja kuljetusten tietojen luotettavuus Läpinäkyvä audit trail sekä petosten ja virheiden havaitseminen ja ennaltaehkäisy Sopimusjärjestelyt toimitusketjun osapuolille 24.5.2012 Tullihallitus 11
Riskienhallintamalli Punainen Riskienhallintatoimenpiteet riittämättömiä, toimenpiteitä riskin pienentämiseksi tarvitaan Keltainen Korjaavia toimenpiteitä tarvitaan/voidaan ehdottaa (vaikuttavuuden vähentäminen tai todennäköisyyden pienentäminen) Vihreä Riski voidaan hyväksyä (parannukset voivat silti olla mahdollisia) 24.5.2012 Tullihallitus 12
Mahdollisia ratkaisuja (Guidelines Annex 2) Kehitysalue: AEO-osa-alueiden sisällyttäminen yrityksen perinteiseen riskienhallintaan Uhkien ja riskien säännöllinen itsearviointi ja dokumentointi (hallintajärjestelmä) Yrityksen toimintoihin liittyvien riskien yksityiskohtainen tunnistaminen Turvallisuuteen ja vaarattomuuteen liittyvä riskienarviointi Toteutumisen todennäköisyys ja vaikutus (matala/keskikokoinen/korkea) Riskien mitoitus hyväksyttävälle tasolle ja korjaavat toimenpiteet 24.5.2012 Tullihallitus 13
Henkilökunnan koulutus ja tiedottaminen 24.5.2012 Tullihallitus 14
Henkilökunnan koulutus ja tiedottaminen AEO- toimijan tulee huolehtia, että henkilöstö osaa ja pystyy tunnistamaan kansainväliseen toimitusketjun riskit Koulutuksen laajuus tulee suhteutettaa ko. henkilön rooliin yrityksessä ja toimitusketjussa Oleellisia rooleja AEO-turvallisuuden kannalta voivat olla esim. työtehtävät, jotka liittyvät Turvallisuuteen, tulliasioihin tai rekrytointiin Kiinteistöön ja vieraiden vastaanottoon Lähtevään ja saapuvaan tavaraan sekä varastointiin Tarkoituksenmukaisessa laajuudessa on huolehdittava myös sopimuskumppaneiden kouluttamisesta Oleellisia ovat kaikki osapuolet, jotka tekemisissä AEO-statukseen liittyvän tiedon tai tavaran kanssa (esim. ulkoistetut kuljetukset). 24.5.2012 Tullihallitus 15
Henkilökunnan koulutus ja tiedottaminen Koulutusta tulisi järjestää jo ennen kuin yritys hakeutuu AEOtoimijaksi Luodaan koulutussuunnitelma, johon määritetään koulutussuunnittelu ja seuranta Ylläpidetään asiaankuuluvan koulutusrekisteriä Nimettävä koulutuksen vastuuhenkilö/-taho Koulutusten sisältö on tarkastettava säännöllisesti ja päivitettävä tarpeen mukaan Tarpeenmukaista aikaväliä koulutuksille ei ole määritelty Kuitenkin kertausta ja päivitystä tarvitaan, jotta henkilöstön turvallisuustietoisuuden taso kyetään ylläpitämään 24.5.2012 Tullihallitus 16
Mahdollisia ratkaisuja 1/2 (Guidelines Annex 2) Kehitysalue: AEO-asemaan liittyvä turvallisuuskoulutus Nimetty vastuutaho, joka havainnoi koulutustarvetta, vastaa käytännön toteutuksesta ja pitää yllä koulutusrekisteriä Henkilöstölle järjestetään koulutusta, mm. turvallisuusriskien ja poikkeavien tilanteiden havaitsemiseen luvattoman pääsyn estämiseen tavaran koskemattomuuden turvaamiseen liittyen Käytännön testejä uhka- ja riskitilanteisiin ja kuljetuksiin liittyen Turvallisuuteen ja vaarattomuuteen liittyvä koulutus järjestetään osaksi muuta turvallisuuskoulutusta, esim. työturvallisuuskoulutuksia 24.5.2012 Tullihallitus 17
Mahdollisia ratkaisuja 2/2 (Guidelines Annex 2) Kehitysalue: Henkilökunnalle tiedottaminen AEO-asemaan liittyvistä turvallisuusvaatimuksista Järjestetään koulutus eri toimintojen turvallisuusjärjestelyihin liittyen Luodaan henkilöstölle menettelytavat poikkeavien ja epäilyttävien tilanteiden raportointiin. Rekisteröidään poikkeamat ja uhkatilanteet ja läpikäydään säännöllisesti henkilöstön kanssa. Tiedotetaan aktiivisesti turvallisuuteen ja vaarattomuuteen liittyvistä asioista tiedottaminen, esim. ilmoitustaululla lastaus-/purkausalueella (ohjeiden tulee olla näkyvillä sekä omalle henkilökunnalle, että tarpeenmukaisille ulkoisille toimijoille) 24.5.2012 Tullihallitus 18
Esimerkkejä koulutusta vaativista aiheista Tiedottaminen AEO-statuksesta ja sen aiheuttamista velvoitteista Epäilyttävien poikkeavien tilanteiden tunnistaminen ja raportointi Sisäisten riskien tunnistaminen ja kulunvalvonnan käytännöt Rahdin koskemattomuuden varmistaminen ja epäilyksenalaisen rahdin tunnistaminen Esim. 7-kohtainen tarkastusmenettely rahdin koskemattomuuden varmistamiseksi 24.5.2012 Tullihallitus 19
Toimitusketjun ja ulkoistettujen palvelujen riskienhallinta 24.5.2012 Tullihallitus 20
Toimitusketjut ja ulkoistetut palvelut Yrityksen tulee tunnistaa ja arvioida toimitusketjun eri osapuolet sekä sisällyttää vaadittavat turvallisuusvaatimukset toimitusketjun eri osapuolten kanssa laadittuihin sopimuksiin Ennen sopimusten solmimista tarvitaan riittävät taustatiedot sopimuskumppanista ja sen noudattamista turvallisuusmenettelyistä Sopimuksiin viedään tarkoituksenmukaiset ja toteuttamiskelpoiset turvallisuusvaatimukset, jotka suhteutetaan ko. yrityksen rooliin toimitusketjussa Sopimusehtojen noudattamista on seurattava ja valvottava 24.5.2012 Tullihallitus 21
Toimitusketjut ja ulkoistetut palvelut Turvallisuusvaatimukset tulee huomioida myös ulkoistettujen palvelujen sopimuksissa Yritys voi ulkoistaa toimintonsa, mutta ei riskienhallintaa AEO-toimijan tulee olla tietoinen toimintojen ulkoistamisen aiheuttamista riskeistä ja huomioida ne riskienhallinnassaan Yrityksen on myös osoitettava, kuinka ulkoistamisen riskit on tunnistettu, arvioitu ja hallittu 24.5.2012 Tullihallitus 22
Mahdollisia ratkaisuja 1/2 (Guidelines Annex 2) Kehitysalue: Turvallisuusvaatimusten sisällyttäminen toimitusketjun ja ulkoistettujen palveluiden sopimuksiin Sopimuskumppaneiden taustojen tarkastaminen Esimerkiksi Internetin tai luokituslaitosten avulla Turvallisuusvaatimusten (tavaroiden merkintää, sinetöintiä, pakkaamista ja läpivalaisua koskien) kirjaaminen sopimuksiin Vaatimukset alihankinnan suorittamiselle (ei sallita alihankinnan ketjuttamista tuntemattomalle osapuolelle) Sopimuskumppanien turvallisuusvaatimusten noudattamisen valvonta asiantuntijoiden/ulkoisten auditoijien toimesta 24.5.2012 Tullihallitus 23
Mahdollisia ratkaisuja 2/2 (Guidelines Annex 2) Kehitysalue: Turvallisuusvaatimusten sisällyttäminen toimitusketjun ja ulkoistettujen palveluiden sopimuksiin Mahdolliset sopimuskumppaneiden kansainväliset turvallisuusstandardit Täydentävät turvallisuustarkastukset koskien tuntemattomia ja eivakinaisia sopimuskumppaneita Velvoittaa sopimuskumppanit ilmoittamaan kaikista kuljetusketjun turvallisuutta vaarantavista tilanteista Toimija tutkii ja raportoi kaikki em. tilanteet Velvoittaa korjaustoimenpiteiden tarvittava kirjaus 24.5.2012 Tullihallitus 24
Esimerkkejä toimitusketjun riskienhallinnasta AEO-toimija toimii yhteistyössä toisen AEO-toimijan tai vastaavan kanssa AEO-toimija varmistaa sopimuskumppaninsa täyttävän tarvittavat turvallisuusvaatimukset auditoinnein tai hyödyntämällä 3. osapuolen suorittamia auditointeja Sopimuskumppanin turvallisuuden tilaa arvioitaessa voidaan hyödyntää AEO-toimijoille suunnattua itsearviointikyselyä Sopimuskumppanit valitaan heidän noudattamiensa turvallisuuskäytäntöjen ja mahdollisesti myös soveltuvien kansainvälisten standardien perusteella Sopimuksin estetään alihankkijaa teettämästä alihankintaa AEOtoimijalle tuntemattomalla osapuolella 24.5.2012 Tullihallitus 25
Kiitoksia mielenkiinnosta! http://www.tulli.fi/fi/yrityksille/asiakkaana_tullissa/aeo/index.jsp 24.5.2012 Tullihallitus 26