1 HELSINGIN JA UUDENMAAN Valtuusto 11.12.2013, LIITE 2 SAIRAANHOITOPIIRI Fullmäktige BILAGA YHTYMÄHALLINTO HUS KONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERIAATTEET
2 SISÄLLYSLUETTELO SISÄLLYSLUETTELO JOHDANTO.. 3 1. JOHTAMINEN JA OHJAUS.. 4 2. HYVÄ HALLINTO... 5 2.1 Hyvän hallinnon periaatteet... 5 2.2 Päätöksenteko ja esteellisyys... 6 2.3 Sivutoimi ja kilpaileva toiminta.. 7 2.4 Ulkopuolisten matkojen ja muiden taloudellisten etujen vastaanottaminen.. 7 2.5 Väärinkäytösten ehkäisy ja valvonta 8 2.6 Sopimukset.. 8 3. VALVONTAJÄRJESTELMÄ. 9 3.1 Ulkoinen valvonta 9 3.2 Sisäinen valvonta 9 4. RISKIENHALLINTA 10 4.1 Kokonaisvaltaisen riskienhallinnan määritelmä. 10 4.2 Riskienhallintaprosessin vaiheet... 11 4.3 Riskienhallinnan toteuttaminen käytännössä. 15 4.4 Sähköinen riskienhallintajärjestelmä 16 5. SISÄISEN VALVONNAN JA RISKIENHALLINNAN VASTUUT. 18 5.1 Hallitus valtuuston päätösten laillisuusvalvojana... 18 5.2 Sairaanhoitoalueen lautakunnan ja sairaanhoitoalueen johtajan vastuu alaisensa toiminnan ja päätösten osalta... 18 5.3 Liikelaitoksen johtokunnan ja liikelaitoksen johtajan vastuu alaisensa toiminnan ja päätösten osalta... 19 5.4 Luottamushenkilöiden vastuu.. 19 5.5 Tytäryhtiöiden hallituksen vastuu... 19 5.6 Tilintarkastajien vastuu tilivelvollisten osalta. 20 5.7 Yhtymähallinnon viranhaltijajohdon, esimiesten ja muun henkilöstön vastuut. 20 6. RAPORTOINTI JA TIEDONVÄLITYS. 22 6.1 Toiminnan ja talouden seuranta... 22 6.2 Sisäistä valvontaa ja riskienhallintaa koskevaraportointi. 22 7. SISÄISEN VALVONNAN JA RISKIENHALLINNAN ARVIOINTI 24 8. VOIMAANTULO.. 25 9. LISÄTIETOJA.. 25 Liitteet 1-3
3 JOHDANTO Sisäinen valvonta ja riskienhallinta ovat keskeinen osa hyvää hallintoa ja johtamista. Hyvä hallinto- ja johtamistapa (corporate governance) tarkoittaa toiminnan organisoimista sidosryhmien edut huomioon ottavalla tavalla. 1 HUS:n riskienhallintapolitiikassa 2 riskienhallinta on määritelty kokonaisvaltaiseksi prosessiksi, johon kuuluu riskien tunnistaminen, riskien merkittävyyden arvioiminen, riskienhallintatoimenpiteistä päättäminen, riskienhallinnan tilan arviointi ja seuranta. Sisäiseen valvontaan kuuluu riskienhallinnan toteuttaminen. HUS:n valtuusto on 17.10.2012 kokouksessaan hyväksynyt HUS konsernin johtamisen ja ohjauksen periaatteet ja päättänyt, että ko. asiakirja täydentyy hallituksen erillispäätöksillä. Riskienhallinnan järjestämisperiaatteet on yksi tällainen asiakokonaisuus. Kuntalakiin 3 lisätty säännöksiä kuntien ja kuntayhtymien sisäisen valvonnan ja riskienhallinnan järjestämisestä. Vaatimukset sisäisen valvonnan ja riskienhallinnan järjestämiselle sekä raportoimiselle ovat kasvaneet. Säännösten tavoitteena on nykyistä yhtenäisempien sisäistä valvontaa sekä riskienhallintaa koskevien rakenteiden luominen ja tilinpäätösinformaation parantaminen. Uudet säännökset tulevat voimaan vuoden 2014 alusta. Sisäisen valvonnan ja riskienhallinnan periaatteet -asiakirja tukee lainsäädännön määräyksiä ja HUS -kuntayhtymän (myöhemmin HUS) hallintosääntöä. Sen tavoitteena on HUS -konsernin kokonaisedun näkökulmasta tukea johtamis- ja esimiestehtävissä toimivia, yhtenäistää toimintakäytänteitä ja sitouttaa toimintayksiköt edistämään yhteisiä tavoitteita. Käytännöt koskevat koko konsernia. Tässä ohjeessa ei käsitellä potilaiden hoitoon liittyvää kliinisten riskien hallintaa. Hoitotyöstä, potilasturvallisuudesta ja laadunhallinnasta ohjeistetaan potilasturvallisuussuunnitelmassa 4 ja potilashoitoa koskevissa ohjeissa. 1 Hyvää hallinto- ja johtamistapaa koskeva suositus, Kuntaliitto 2009 2 Riskienhallintapolitiikka 10/2007 3 Kuntalaki 15.6.2012/325 4 Potilasturvallisuussuunnitelma 2013
4 1. JOHTAMINEN JA OHJAUS HUS:n organisaatiorakenne, toimielinten tehtävät ja toimivallat perustuvat kuntalakiin, jäsenkuntien hyväksymään perussopimukseen sekä HUS:n valtuuston hyväksymiin hallintosääntöön ja liikelaitosten johtosääntöihin. HUS -konserni on kokonaisuus, joka muodostuu 1.1.2014 tilanteessa HUS - kuntayhtymästä (emoyhteisö) ja juridisesti itsenäisistä yhtiöistä, joissa HUS - kuntayhtymällä on määräysvalta. Kuntayhtymä jäsennetään sisäistä ohjausta ja johtamista varten yhtymähallintoon ja sairaanhoidon palveluja tuottaviin sairaanhoitoalueisiin sekä sairaanhoidollisia ja muita tukipalveluja tuottaviin liikelaitoksiin, taseyksiköihin ja tulosalueisiin. HUS -konsernin tavoitteena on huolehtia siitä, että siihen kuuluvat yksiköt tekevät tarkoituksenmukaista yhteistyötä ja että HUS kokonaisuus toimii mahdollisimman vaikuttavasti, laadukkaasti ja taloudellisesti. 5 Kuntayhtymän valtuusto on ylin päättävä toimielin. Valtuusto päättää asioista, joista sen on lain mukaan nimenomaan päätettävä ja asioista, joiden päätösvaltaa se ei ole siirtänyt kuntayhtymän hallitukselle tai muulle toimielimelle tai viranhaltijalle. Hallitus valvoo HUS -kuntayhtymän etua, edustaa HUS:ia ja tekee sen puolesta sopimukset, jollei näitä tehtäviä ole johtosäännöillä siirretty muun toimielimen tai viranhaltijan tehtäväksi. 6 Hallituksen apuna konserniohjauksessa toimii sen alainen konsernijaosto liikelaitosten ja etenkin tytäryhtiöiden osalta. Johtamisjärjestelmän tavoitteena on edistää lainsäädännön asettamien velvoitteiden sekä HUS:n strategisten, toiminnallisten ja taloudellisten tavoitteiden saavuttamista, niihin liittyvien riskien ennaltaehkäisyä ja hallintaa sekä vahvuuksien ja mahdollisuuksien aktiivista hyödyntämistä. Johtamisen perustana ovat yhteisesti hyväksytyt visio, arvot ja niistä johdetut strategiset päämäärät. Kuva 1. Strategiakartta 5 HUS johtamisen ja ohjaamisen periaatteet 2012 6 Hallintosääntö 2013
5 2. HYVÄ HALLINTO 2.1 Hyvän hallinnon periaatteet HUS:n toiminnassa tulee noudattaa hyvän hallinnon periaatteita. Näin varmistetaan, että toimitaan ja asiat käsitellään asianmukaisesti sekä oikeusturvan vaatimukset täyttävällä tavalla. Hallintotoimintaa koskevia menettelyitä on konkretisoitu pääsääntöisesti hallintolaissa. 7 Hallintolaki sisältää erityisesti säännöksiä hallintoasian käsittelystä viranomaisessa aina asian vireille tulosta päätöksentekoon ja muutoksenhakuun asti. Hallintolain määrittelemää viranomaistoiminnan laatutasoa voidaan pitää yleisenä hyvän hallinnon minimistandardina. 8 Hallinnon oikeusperiaatteet koskevat kaikkea HUS:n toimintaa; potilashoitoa ja hallintoa ja muuta toimintaa, riippumatta siitä liittyykö tähän varsinaista hallinnollista päätöksentekoa. Hyvä hallinto ei koostu pelkästään lainsäädännön ja hyvän hallinnon periaatteiden noudattamisesta. Hyvän hallinnon käsitteen perusulottuvuuksina pidetään englanninkielisiä käsitteitä good management, good governance ja good administration. Näistä management- näkökulma liittyy hallinnon sisäisen toiminnan tehokkuuteen, governanceen voidaan lukea julkishallinnon sisäiset laatukriteerit ja yksityisen henkilön ja hallinnon välisen suhteen vaatimukset. Good administration kohdistuu hallinnon ja asiakkaan välisiin suhteisiin, esimerkiksi potilaan oikeuteen saada hyvää hoitoa. 9 Hyvän hallinnon periaatteita ovat: Yhdenvertaisuusperiaate: velvollisuus kohdella hallinnon asiakkaita tasapuolisesti ja johdonmukaisesti. Tarkoitussidonnaisuuden periaate: velvollisuus käyttää viranomaisen toimivaltaa yksinomaan lain mukaan perusteltuihin tarkoituksiin ja kielto käyttää harkintavaltaa väärin. Objektiviteettiperiaate: toimien on oltava objektiivisesti perusteltavia ja puolueettomia. Suhteellisuusperiaate: toimien on oltava oikeassa suhteessa laissa määriteltyyn päämäärään nähden. Luottamuksensuojaperiaate: toimien on suojattava oikeusjärjestyksen perusteella oikeutettuja odotuksia. Hallinnon palveluperiaate: toiminnan tarkoitus on palvella asiakkaita ja heidän tarpeitaan. Tämä ilmenee muun muassa neuvontavelvollisuutena sekä puutteellisen asiakirjan täydennyspyyntönä sekä siten, että viranomaisen on viranpuolesta siirrettävä väärälle taholle tullut asiakirja oikealle. Kuulemisperiaate: Asianosaiselle on hänen asiassaan pääsääntöisesti annettava tilaisuus lausua mielipiteensä ja antaa selityksensä sellaisista selvityksistä ja vaatimuksista, jotka voivat vaikuttaa asian ratkaisuun. 7 Perustuslaki 731,1999, 2 ja 21, hallintolaki 434/2003,1 8 Mäenpää, Olli 2003: Hallintolaki ja hyvän hallinnon takeet, s. 36 9 Mäenpää, Olli 2003: Hallintolaki ja hyvän hallinnon takeet, s. 74-77
6 Julkisuusperiaate ja hallinnon avoimuus: oikeus saada tieto viranomaisen julkisesta asiakirjasta sekä käyttää hyväksi julkisuusperiaatteen mukaisesti saatua tietoa sekä oikeus levittää sitä edelleen. Laki kunnallisesta viranhaltijasta 10 edellyttää viranhaltijan suorittavan virkasuhteeseen kuuluvat tehtävät asianmukaisesti ja viivytyksettä. Viranhaltijan käytöksen pitää olla aseman ja tehtävän edellyttämällä tasolla. Työntekijöitä koskevat vastaavat säännökset löytyvät työsopimuslaista. 2.2 Päätöksenteko ja esteellisyys Päätöksenteko Päätöksentekoprosessiin kuuluvia osia ovat asian vireille tulo, päätöksen valmistelu, päätöksenteko, toimeenpano ja toimeenpanon valvonta. Asiakirjojen julkisuudesta säädetään laissa 11. Toimielinten kokouksissa asiat ratkaistaan esittelystä toimielimen toiminnan sisäistä järjestelyä lukuun ottamatta. Käsittelyn pohjana on esittelijän ehdotus. 12 Päätökset on perusteltava. Esittelijän päätösehdotus tulee laatia niin täsmällisesti, että päätös voidaan sen pohjalta tehdä. Asian esittelijä on vastuussa hänen esittelystään tehdystä päätöksestä, jollei hän ole ilmoittanut eriävää mielipidettä. Jokainen esimies on velvollinen valvomaan alaisensa päätöksenteon laillisuutta ja tarkoituksenmukaisuutta sekä HUS:n sääntöjen ja ohjeiden noudattamista. 13 Kuntalaissa ei ole erityistä säännöstä koskien esittelyä yksittäiselle viranhaltijalle. HUS:n ohjeessa 14 on lueteltu ne aihepiirit, joissa viranhaltijapäätökset tehdään esittelystä. Tällaisia ovat muun muassa hankintapäätökset, joiden arvonlisäveroton kokonaisarvo on vähintään 10.000 euron suuruinen, sekä toistaiseksi voimassa olevaan virkasuhteeseen ottaminen. Muita kuin ao.ohjeessa lueteltuja asioita koskevat viranhaltijapäätökset eivät edellytä esittelyä. Kun viranhaltijapäätös tehdään esittelystä, esittelevän viranhaltijan vastuu rinnastuu valmistelijan vastuuseen. HUS:n hallituksen, sairaanhoitoalueiden lautakuntien, tarkastuslautakunnan sekä liikelaitosten johtokuntien otto-oikeuden käyttämisestä säädellään laissa sekä HUS:n säännöissä. 15 Esteellisyys Kuntayhtymän luottamushenkilöiden, viranhaltijoiden ja työntekijöiden esteellisyydestä asian valmisteluun ja päätöksentekoon säädetään kuntalaissa ja hallintolaissa 16 sekä HUS:n pysyväisohjeessa 17. 10 Laki kunnallisesta viranhaltijasta 304/2003 11 Laki viranomaisten toiminnan julkisuudesta 621/1999 12 Hallintosääntö 2013,34 13 HUS -konsernin johtamisen ja ohjaamisen periaatteet 2012 14 Päätöksenteko ohje 09/2011 15 Kuntalaki 51, hallintosääntö 2013 16 Kuntalaki 52, hallintolaki 27-30 17 Sivutoimi ja kilpaileva toiminta sekä henkilöstön ja luottamushenkilöiden esteellisyyskysymykset 3/2013
7 Päätöksiä valmisteltaessa ja tehtäessä on varmistuttava siitä, etteivät asian käsittelyyn osallistuvat ole esteellisiä. Esteellisyyssäännöksillä turvataan luottamusta hallintoon ja asioiden käsittelyn puolueettomuuteen. 18 2.3 Sivutoimi ja kilpaileva toiminta Hyvään hallintoon kuuluu, että kansalaiset voivat luottaa HUS:n ja sen palveluksessa olevien henkilöiden toiminnan laillisuuteen. Toiminnan on oltava niin avointa, että sitä voidaan tarkastella ja arvioida hallinnon ulkopuolelta kansalaisen näkökulmasta. Viranhaltijoiden sivutoimista ja kilpailevasta toiminnasta säädetään kunnallisesta viranhaltijasta annetussa laissa. 19 Työntekijöiden oikeudesta pitää toista tehtävää on säännökset työsopimuslaissa. 20 Sivutoimella tarkoitetaan virkasuhdetta, palkattua työtä ja pysyväisluonteista tehtävää, josta viranhaltijalla on oikeus kieltäytyä, sekä ammatin, elinkeinon ja liikkeen harjoittamista. Sivutoimi voi olla myös luottamustoimi julkisessa tai yksityisessä yhteisössä tai osakkuus yhtiössä, jossa viranhaltijalla on yksin tai yhdessä perheenjäsentensä kanssa määräävä asema. Sivutoimista annetun ohjeen 21 mukaan sivutoimet ilmoitetaan henkilöstöhallinnon tietojärjestelmässä (HUSPLUS). 2.4 Ulkopuolisten matkojen ja muiden taloudellisten etujen vastaanottaminen Virka- ja työtehtäviin liittyvä matkustaminen voi liittyä päivittäisiin tehtäviin, koulutukseen, potilaiden saattamiseen tai työvälineiden tai laitteiden kuljettamiseen. Matkustamiseen liittyvät määräykset työajankäytöstä ja suoritettavista korvauksista sisältyvät kunnalliseen virka- ja työehtosopimukseen. Matkustamisessa tulee aina ottaa huomioon HUS:n edun ja toiminnan turvaaminen kaikissa olosuhteissa. Muilla kuin HUS:n varoilla rahoitettavan matkan vastaanottaminen ei ole suotavaa, mutta on mahdollista, mikäli matka ei vaaranna puolueettomuutta tai tasapuolisuutta virka- tai työtehtävien hoidossa. Ulkopuolisten kustantamista matkoista määrätään HUS:n pysyväisohjeessa. 22 Virka- ja työtehtäviin liittyvä matkustaminen kuuluu HUS:n matkavakuutuksen piiriin, joka kattaa sekä matkustaja-, matkatavara- että matkavakuutuksen. 23 Henkilökuntaan kuuluva ei saa ottaa ulkopuoliselta vastaan lahjoja, etuisuuksia, korvauksia tai kestitystä, jotka saattavat olla lain vastaisia tai jotka voisivat vaikuttaa tai näyttää vaikuttavan HUS:n tai ulkopuolisen työn tai tehtävien ammattimaiseen hoitamiseen ja vaarantaa eettisyyttä tai hyvän hallinnon periaatteita. 24 18 HUS konsernin johtamisen ja ohjaamisen periaatteet 2012 19 Laki kunnallisesta viranhaltijasta 304/2003,18 20 Kunnallinen yleinen virka- ja työehtosopimus (KVTES) 2012-2013 21 Sivutoimi ja kilpaileva toiminta sekä henkilöstön ja luottamushenkilöiden esteellisyys 3/2013 22 Virka- ja työtehtävien hoitamiseen liittyvä matkustaminen 11/2009 23 HUS:n vakuutuskäsikirja 1/2013 24 Hyvää hallinto- ja johtamistapaa koskeva suositus, Kuntaliitto 2009
8 2.5 Väärinkäytösten ehkäisy ja valvonta 2.6 Sopimukset Valvonnan tarkoituksena on ehkäistä ja selvittää väärinkäytöksiä. Väärinkäytöksinä pidetään paitsi lainsäädännön vastaisia tekoja myös erilaisia HUS:n sääntöjä ja ohjeita rikkovaa taikka muutoin epärehellistä toimintaa. Esimiesten ja johdon on tutkittava epäilyt väärinkäytöksistä välittömästi ja ryhdyttävä tarvittaviin toimenpiteisiin, jotta asiassa saavutetaan kaikkia osapuolia tyydyttävä ratkaisu, joka on eettisten näkökohtien, arvojen, lain ja määräysten mukainen. Sopimukset on laadittava kuntayhtymän edun mukaisina ja niiden pitää noudattaa kyseisen alan yleisiä sopimusehtoja silloin, kun sopimustyyppi sen sallii. Sopimustoiminnassa tulee hyödyntää tarvittaessa HUS:n lakiasiantuntijoiden osaamista. Sopimusten hyväksymisoikeuksista on määräykset hallintosäännössä ja johtosäännöissä. Sopimushallinnan tavoitteena on varmistua siitä, että: sopimuksista on yhteinen rekisteri ja arkistointi sopimusten teolle on selkeä prosessi ja valtuudet sopimuksia allekirjoittavat henkilöt, joilla on siihen valtuudet sopimuksissa on kuntayhtymää suojaavat kohtuulliset pykälät sopimuksilla on vastuuhenkilö, joka seuraa sopimustensa irtisanomista voimassaoloa, maksujen aiheellisuutta ja oikeellisuutta sopimukset sanotaan irti, kun ne eivät enää ole tarpeen.
9 3. VALVONTAJÄRJESTELMÄ Valvonnan avulla pyritään saamaan kohtuullinen varmuus siitä, että asiat hoidetaan laillisesti ja tarkoituksenmukaisesti, jotta kuntayhtymä saavuttaa asetetut tavoitteet. Valvonta sisältää laillisuusvalvonnan ja tarkoituksenmukaisuuden valvonnan. Hallinnon ja talouden valvonta järjestetään niin, että ulkoinen ja sisäinen valvonta yhdessä muodostavat kattavan valvontajärjestelmän. Kuva 2. Valvontajärjestelmä 3.1 Ulkoinen valvonta Ulkoista valvontaa toteuttavat monet viranomaiset (ks.kuva 2) ja myös kuntalaiset, joilla on julkisuuperiaatteen mukainen valvontaoikeus ja -mahdollisuus. HUS:n itse toteuttamasta ulkoisesta valvonnasta vastaavat tarkastuslautakunta, arviointijohtaja ja tilintarkastajat. 25 Tarkastuslautakunnan ja tilintarkastajien tehtävistä määrätään HUS:n hallintosäännössä. 3.2 Sisäinen valvonta Sisäinen valvonta on osa päivittäisjohtamista, ohjausta sekä yksikön toimintaa ja siitä vastaa jokainen organisaation jäsen omassa roolissaan. Sisäisellä valvonnalla tarkoitetaan menettely- ja toimintatapoja, joilla pyritään varmistamaan toiminnan laillisuus ja tuloksellisuus. Se on osa johtamisjärjestelmää, johdon ja 25 Hallintosääntö 29
10 hallinnon työväline. Sisäisen valvonnan tarkoituksena on edistää organisaation tehokasta johtamista, toimintaa uhkaavien riskien hallintaa ja toiminnan tuloksellisuuden arviointia. Sisäinen valvonta jakaantuu sisäiseen tarkkailuun, sisäisiin tarkastuksiin ja seurantaan. Sisäisestä tarkkailusta vastaavat esimiesasemassa olevat henkilöt. Jokaisella esimiehellä on vastuu oman yksikkönsä osalta sisäisen valvonnan toteuttamisesta. Sisäinen tarkastus tekee erillisselvityksiä ja tarkastuksia työohjelmansa mukaisesti. Sisäisen tarkastuksen toimintaa ohjaa kansainvälinen sisäisen tarkastuksen ammatillinen ohjeistus 26 ja toimintaohje 27. Seuranta kuuluu johtavassa asemassa oleville, esimiehille ja luottamushenkilöille. Seurannan keskeisiä tehtäviä ovat raportointivelvoitteiden asettaminen, raportoinnin toteutuksen valvonta sekä tehtyjen päätösten ja raporteissa kuvattujen tulosten vertailu. 4. RISKIENHALLINTA 4.1 Kokonaisvaltaisen riskienhallinnan määritelmä Riskienhallinnan tavoite on tukea HUS konsernia perustehtävän toteuttamisessa, strategian ja tavoitteiden saavuttamisessa. Riskienhallinnan menetelmin turvataan ne toiminnalliset perusedellytykset, jotka tarvitaan potilaiden hoidon toteuttamiseksi laadukkaasti, kustannustehokkaasti ja keskeytyksittä. HUS:n tulee turvallisuuskriittisenä toimijana kyetä varmistamaan ydintoimintansa jatkuvuus kaikissa tilanteissa ja olosuhteissa. 28 Riskienhallinta on osa organisaation kunkin toiminnon vastuulle kuluvaa normaalia toimintaa ja sitä toteuttaa kukin organisaation jäsen omassa roolissaan. Normaalista poikkeavissa olosuhteissa, erilaisissa häiriö- ja erityistilanteissa sekä poikkeusoloissa riskienhallintaan liittyvät toimintavastuut on kuvattu HUS kuntayhtymän valmiussuunnitelmassa 29 sekä yksikkökohtaisissa turvallisuus-, pelastus- ja valmiussuunnitelmissa. HUS konsernin riskienhallinta perustuu kokonaisvaltaiseen riskienhallinnan malliin. on kokonaisvaltaisesti järjestetty. Kokonaisvaltaisessa mallissa 30 riskienhallinta kytketään organisaation strategisiin ja toiminnallisiin prosesseihin. Riskienhallintaa toteutetaan systemaattisesti ja dokumentoidusti koko organisaatiossa kaikilla toiminnan tasoilla ja toiminnoissa. Valvontamenettelyillä edesautetaan riskienhallinnan toteuttamista. 31 26 HUS-konsernin johtamisen ja ohjaamisen periaatteet 2012 27 Sisäisen tarkastuksen toimintaohje 2000 28 Yhteiskunnan elintärkeiden toimintojen turvaamisen strategia (YETTS) 2010 29 HUS kuntayhtymän valmiussuunnitelma 2000 30 ISO 31000 (2011), ISO 31004 (2013), Suomen Standardisoimisliitto (SFS) 31 Committee of Sponsoring Organizations of the Treadway Comission (Coso) 2004-2013
11 Kokonaisvaltainen riskienhallinta jakautuu johtotasolla toteutettavaan strategiseen ja käytännön toiminnassa toteutettavaan operatiiviseen riskienhallintaan. 32 Strateginen riskienhallinta on osa johdon strategiatyötä, toiminnan suunnittelua, päätöksenteko- ja johtamisprosessia. Operatiivinen riskienhallinta tarkoittaa kaikkea käytännön päivittäistoiminnassa tapahtuvaa riskienhallintaa. Siihen kuuluu myös turvallisuusjohtaminen ja muu turvallisuustoiminta. Operatiivinen riskienhallinta tukee aina myös strategista riskienhallintaa. Kuva 3. Riskienhallinnan kokonaisuus 4.2 Riskienhallintaprosessin vaiheet Riskillä tarkoitetaan asiaa, joka voi estää tavoitteiden saavuttamisen tai mahdollisuuksien hyödyntämisen. Riski on määrätyn vaarallisen tai ei-toivotun tapahtuman todennäköisyyden ja seurauksen yhdistelmä. Riskien toteutumisen seuraukset ovat negatiiviset, riskistä seuraa taloudellisia tai muita menetyksiä organisaatiolle tai sidosryhmille. Riskin toteutumiseksi voidaan katsoa myös se, että jokin myönteinen asia jää tapahtumatta. 33 Riskienhallinnassa on kyse prosessista, jonka avulla riskit voidaan torjua ja pitää niistä aiheutuvat menetykset niin pieninä kuin mahdollista. Riskienhallintaprosessi käsittää (kuva 4) riskien tunnistamisen, riskien merkittävyyden arvioinnin, riskienhallintakeinojen valinnan, raportoinnin sekä seurannan vaiheet. 34 32 Riskienhallinta ja turvallisuussuunnittelu; Sosiaali- ja terveysministeriön ohje 11/2011. 33 SFS-IEC 60300-3-9 (2000) Suomen Standardisoimisliitto (SFS) 34 Committee of Sponsoring Organizations of the Treadway Comission (Coso) 2004-2013
12 Kuva 4. Riskienhallintaprosessin vaiheet 1. Riskien tunnistaminen Riskikartoituksessa tarkoituksena on tunnistaa tärkeimmät riskit, jotta voidaan laatia suunnitelmat niiden hallitsemiseksi. Riskien tunnistamisessa voidaan käyttää apuna riskikarttoja sekä erilaisia riskien tarkistus- sekä avainsanalistoja (liite 1). Strategiset riskit ovat strategian ja tavoitteiden saavuttamista sekä toiminnan jatkumisen edellytyksiä uhkaavia riskejä. Myös menetetty mahdollisuus voi ilmetä strategisena riskinä. Strategisina riskeinä otetaan huomioon muun muassa organisaatiorakenteisiin ja johtamiseen, toimintastrategioihin ja toimintasuunnitelmiin, toiminta- ja palveluprosesseihin liittyvät riskit. Taloudelliset riskit liittyvät kaikkeen toimintaan. Strategisia talouteen liittyviä riskejä sisältyy muun muassa investointeihin, rakennushankkeisiin, teknologiaan ja innovaatioihin. Muita strategisia riskejä ovat henkilöstövoimavaroihin liittyvät riskit, liikesuhteisiin ja kannattavuuteen liittyvät riskit, ulkoiseen toimintaympäristöön ja muutoksiin liittyvät riskit. Operatiivisilla riskeillä tarkoitetaan käytännön toiminnassa ilmeneviä riskejä, joka voi aiheutua puutteellisesti toimivista sisäisistä prosesseista, henkilöistä, järjestelmistä tai ulkoisista tapahtumista. Operatiiviset riskit ilmenevät usein arjen turvallisuusriskeinä. Operatiivisina riskeinä otetaan huomioon muun muassa henkilöstön, potilashoidon ja muiden toiminta- ja palveluprosessien riskejä. Operatiiviset riskit voivat laukaista myös strategisen riskin eli esimerkiksi tulipalon seurauksena joudutaan toiminta keskeyttämään, mikä voi aiheuttaa julkisuuskuvaan negatiivisesti ja lopulta uhata toiminnan jatkamisen edellytyksiä.
13 Tunnistetut riskit voidaan luokitella pääryhmiin riskien käsittelyn selkiyttämiseksi: - Henkilöstön riskit voivat kohdistua henkilöstöön tai henkilöstö voi toiminnallaan aiheuttaa riskejä organisaatiolle tai ulkopuolisille. Henkilöstön riskit voivat liittyä esimerkiksi palvelussuhteeseen ottamis- ja rekrytointiprosesseihin, henkilöstön osaamiseen, avainhenkilöihin sekä työsuojelullisiin asioihin kuten henkilökunnan terveyteen ja hyvinvointiin. - Potilashoidon turvallisuusriskit liittyvät etenkin potilaiden ja asiakkaiden turvallisuuteen ja hoidon laatuun, yleisen hoidon turvallisuuteen, lääkitysturvallisuuteen ja laiteturvallisuuteen. - Toiminnan/liiketoiminnan/palveluprosessin riskit kattavat muun muassa palvelujen tuotantoon, tukitoimintoihin, hankintaan, toimintaprosesseihin ja projektitoimintaan liittyvät riskit. - Varautumisen ja jatkuvuuden riskit liittyvät toiminnan jatkuvuuteen, erityistilanteiden ja poikkeusoloihin toimintaan, esimerkiksi suuronnettomuuksiin ja pandemioihin. - Juridiset riskit liittyvät muun muassa päätöksentekoon ja sopimuksiin sekä vastuisiin. Juridisia riskejä sisältyy moniin projekteihin, hankkeisiin, hankintoihin ja investointeihin. - Talousriskit kattavat kiinteään ja irtaimeen omaisuuteen kohdistuvia riskejä, liittyen omaisuuden tuhoutumiseen tai vaurioitumiseen sekä muun muassa haltuun luovutetun omaisuuden hallintaan. Talousriskejä liittyy myös maksuliikenteen hallintaan, varainhallintaan ja hankintaan sekä rahoituksen saatavuuteen. Talousriskit liittyvät kaikkeen toimintaan ja toiminnan tuottavuuteen, esimerkiksi ylikapasiteettiin ja resurssien alikäyttöön sekä investointeihin. - Toimintaympäristön turvallisuusriskit liittyvät ulkoiseen ja sisäiseen toimintaympäristöön sekä kiinteistöihin ja toimitiloihin. Riskit liittyvät esimerkiksi ympäristövahinkoihin, kiinteistöjen tulipaloihin ja vesivahinkoihin ja niihin kuuluu myös tonttien vastuuriskit. - Rikos- ja väärinkäytösriskit liittyvät rikolliseen toimintaan, ilkivaltaan, väkivaltaan, vahingontekoihin ja väärinkäytöksiin. - Tietoturvallisuuden ja tietohallinnon riskeihin kuuluvat tietosuojakysymykset, tietotekninen turvallisuus sekä muut tietoturvallisuuteen, tietojärjestelmiin sekä tietosuojaan liittyvät riskit. - Ulkoiset riskit liittyvät esimerkiksi lainsäädäntöön, poliittiseen päätöksentekoon, kilpailuun, väestötekijöiden muutoksiin sekä muihin terveydenhuollon toimialasta johtuviin seikkoihin. Riskienhallintaprosessissa voi ilmetä myös riskejä, joille ei ole osoitettavissa selkeätä pääryhmää. Käytännössä yhteen ryhmään kuuluvalla riskillä on myös usein vaikutuksia muihinkin ryhmiin. Riskejä tunnistettaessa ja ryhmiteltäessä on tarkoituksenmukaista ottaa huomioon monia luonteeltaan erilaisia riskitekijöitä ja tarkastella niiden välisiä riippuvuuksia eli kytköksiä ja kytköksiin liittyviä riskejä. 2. Riskien arviointi ja merkittävimpien riskien valinta Tunnistetut riskit tulee arvioida. Riskien arvioinnin ensisijainen tehtävä on selvittää merkittävimmät riskit, jotka vaativat välittömiä riskienhallinnan toimenpiteitä. Riskien arviointi perustuu riskin toteutumisen todennäköisyyden ja riskin vaikutuksen arviointiin, jonka perusteella riskit jaetaan merkityksettömiin, vähäisiin, kohtalaisiin, merkittäviin ja sietämättömiin riskeihin.
14 Riskin merkittävyyden arvioimiseksi tulee riskin syitä ja seurauksia tarkastella yksityiskohtaisesti. Riskien arvioinnissa käytetään apuna riskimatriiseja (liite 2). Arvioinnissa on selvitettävä, mistä ongelma tai riski johtuu, mitkä tekijät voivat vaikuttaa sen syntyyn ja suuruuteen eli seurausten laajuuteen tai vakavuuteen. Todennäköisyyttä mittaa aikamääre eli kuinka todennäköinen tai usein toistuva jokin epätoivottu asia on ja tapahtuman seurauksia arvioidaan esimerkiksi suhteessa omaisuuteen, tietoihin, henkilöihin ja maineeseen. 3. Riskienhallintakeinot Riskienhallintakeinot tulee valita riskin merkittävyyden mukaan. Merkityksetön riski ei yleensä edellytä toimenpiteisiin ryhtymistä. Vähäinen tai kohtalainen riski edellyttää tilanneseuranta ja tarvittaessa toimenpiteitä. Merkittävää riskiä tulee pyrkiä vähentämään riskienhallinnan toimenpitein. Sietämättömät riskit vaativat välittömiä hallintatoimenpiteitä. Riskienhallinnan tarkoituksena on löytää optimi riskienhallintaan käytettyjen varojen ja riskien toteutumisesta aiheutuvien kustannusten välille. Riskin omalla vastuulla pitämisen tulee perustua taloudellisiin syihin; toistuvat pienet riskit on edullista pitää omalla vastuulla. Kuva 5. Riskienhallintakeinojen valinta Riskienhallintakeinoihin kuuluu riskin välttäminen tai poistaminen, riskin pienentäminen, jakaminen tai siirtäminen. Riskiä välttävä pidättyy toimista, jotka kohdistuvat riskialttiiseen toimintaan, henkilöön tai omaisuuteen. Riskiä välttämällä saatetaan menettää kaikki ne edut, jotka riskin ottamisesta olisi mahdollista saada. Riskin välttämisen äärimmäinen muoto on riskin poistaminen.
15 Riskien pienentämisellä pyritään joko riskin toteutumisen todennäköisyyden tai siitä aiheutuvien haitallisten seurausten pienentämiseen. Riskejä on yleensä aina mahdollista jollakin tavoin pienentää. Vakavuudeltaan kohtalaisten tai merkityksettömien riskien kohdalla tulee laskea, missä määrin riskin pienentäminen on taloudellisesti järkevää. Riskien jakamisella pyritään torjumaan yksipuolisuudesta aiheutuvia riskejä. Riskien jakaminen tulee kyseeseen erityisesti liikeriskien hallinnassa. Riskien jakaminen aiheuttaa lisäkustannuksia, mutta sen avulla keskeytysvahingot ja piilomenetykset usein vähenevät. Riskin siirtämistä toteutetaan esimerkiksi sopimusteitse, kun siirretään riskejä sisältävää omaisuuttaan tai toimintoja toiselle osapuolelle. Vakuuttaminen on riskin siirtämistä vakuutusyhtiön kannettavaksi. HUS:n hallitus päättää kuntayhtymätasolla vakuutettavien riskien hallinnasta. 35 4.3 Riskienhallinnan toteuttaminen käytännössä Riskienhallinta on tehokasta ja tuloksellista, kuntalain ja suositusten 36 mukaisesti järjestetty, kun siinä toteutuu sekä strateginen että operatiivinen näkökulma. 37 Strateginen riskienhallinta on kiinteä osa normaalia johtamis-, päätöksenteko ja talousarvioprosessia. Johtamisessa, strategian, tavoite- ja toimintasuunnitelmien käsittelyn yhteydessä johdon tulee tunnistaa ja analysoida ne strategiset riskit ja mahdolliset tapahtumat, joilla on merkitystä tavoitteiden saavuttamiselle ja toiminnan jatkuvuudelle. Samassa yhteydessä arvioidaan toimintaympäristössä tapahtuneet muutokset ja niiden vaikutus strategian toteuttamiseen sekä yhdistetään tunnistetut riskitekijät suunniteltuihin strategisiin hankkeisiin. Johto päättää vuosittain strategisten riskien priorisoinnista, niiden hallinnan tavoitteista ja aikataulusta sekä nimittää kullekin riskille vastuuhenkilön. Riskienhallinnan etenemisestä raportoidaan säännöllisesti johtoryhmässä. Vastuuhenkilöt vastaavat riskien osalta raportoinnista. Johdon tulee seurata myös operatiivisten riskien tilaa säännöllisesti ja käsitellä operatiivisen riskienhallinnan tilannetta kuvaavat raportit. Operatiivista riskienhallintaa toteutetaan kaikessa käytännön työssä ja sitä toteuttaa kukin henkilökuntaan kuuluva omassa tehtävässään ja roolissaan. Kaikessa päivittäistoiminnassa tunnistetaan ja käsitellään operatiivisia riskejä ja niiden hallintaa. Päivittäistoiminnan lisäksi tehdään erillisiä riskikartoituksia ja riskejä koskevia toimenpide esityksiä (esimerkiksi työn vaarojen ja riskien arviointi, kiinteistöturvallisuus). 35 HUS kuntayhtymän vakuutuskäsikirja 2013 36 ISO 31000 (2011),ISO 31004 (2013), Suomen Standardisoimisliitto (SFS) 37 Committee of Sponsoring Organizations of the Treadway Comission (Coso) 2004-2013
16 Kuva 6. Riskienhallinnan kokonaiskuva HUS tasoisen työn lisäksi riskienhallintaa toteutetaan kaikissa yksiköissä. Riskienhallintaa tehdään sekä strategisella että operatiivisella tasolla. Yksiköiden riskienhallinnan kokonaisuus muodostuu, kun strategisiin riskeihin yhdistetään operatiiviset riskit. Sairaanhoitoalueilla, liikelaitoksissa, tytäryhtiöissä ja tase- sekä muissa yksiköissä tehdään riskikartoitukset, selvitykset sekä muu riskienhallintatyö ja riskienhallintasuunnitelmat sisällytetään normaaleihin toimintasuunnitelmiin. Yksiköiden johto arvioi ja seuraa säännöllisesti oman yksikkönsä osalta riskienhallinnan tilaa. Merkittävien riskien tilaa seurataan säännöllisen raportoinnin ja arviointien avulla johtoryhmissä ja riskienhallinnan tilasta raportoidaan myös konsernijohtoon. 4.4 Sähköinen riskienhallintajärjestelmä HUS:lla on käytössään riskien tunnistamista, arviointia, seurantaa ja raportointia varten sähköinen riskienhallintatyökalu. 38 HUS riskit -järjestelmä on hankittu edesauttamaan turvallisuusyhteistyötä, yhtenäistämään riskienhallinnan käytäntöjä ja edistämään riskienhallinnan tehokkuutta. Henkilökunta tekee riskienhallintajärjestelmään muun muassa turvallisuuden eri osa-alueita koskevat poikkeamailmoitukset, kuten vahinko-, vaaratilanne- ja läheltä piti ilmoitukset sekä kehittämis- ja parannusehdotukset. Järjestelmän keskeisiä käyttäjäryhmiä ovat turvallisuus-, valmius- sekä työsuojeluorganisaatiot, tila- sekä ympäristöhallinto ja riskienhallinnan asiantuntijat. HUS riskit -järjestelmässä toteutetaan työsuojelun riskienarvioinnit, johdon riskienarvioinnit sekä kiinteistökohtaiset riskienarvioinnit. Järjestelmän 38 HUS:n hallituksen päätös 4.9.2007, toimitusjohtajan päätös 26.6.2009.
17 avulla tuotetaan esimerkiksi koontiraportteja eri organisaatiotasoille johtamisen ja päätöksenteon, toiminnansuunnittelun ja toimenpiteiden kohdentamisen tueksi. 39 Järjestelmässä myös hallinnoidaan keskeisiä riskienhallintaan ja turvallisuuteen liittyviä dokumentteja. Tarkemmin HUS -riskit -järjestelmän toiminnot on kuvattu käyttöohjeessa. 40 Potilashoitoon liittyvät haittatapahtumat ja lähellä piti tilanteita koskevat ilmoitukset raportoidaan anonyymisti HaiPro -ilmoituksina. HaiPro järjestelmän Ilmoitusten käsittelystä ja raportoinnista ohjeistetaan muun muassa potilasturvallisuussuunnitelmassa 41. Kuva 7. HUS -riskit -järjestelmän tietolähteet 39 HUS:n hallituksenpäätös 4.9.2007. 40 HUS riskit ohjelmiston käyttöopas 12/2010 41 Potilasturvallisuussuunnitelma 2013
18 5. SISÄISEN VALVONNAN JA RISKIENHALLINNAN VASTUUT 5.1 Hallitus valtuuston päätösten laillisuusvalvojana Valtuuston tehtäviin kuuluu: 1) päättää sisäisen valvonnan ja riskienhallinnan perusteista 42, 2) hyväksyä hallintosääntö, jossa on tarpeelliset määräykset sisäisestä valvonnasta ja riskienhallinnasta sekä raportoinnista, 43 3) hyväksyä tilinpäätöksen yhteydessä toimintakertomuksessa annetut arviot sisäisen valvonnan ja riskienhallinnan järjestämisestä sekä keskeisistä johtopäätöksistä. 44 Valtuusto päättää myös niistä toimenpiteistä, joihin tarkastuslautakunnan valmistelu, tilintarkastuskertomus ja siinä tehdyt mahdolliset muistutukset antavat aihetta. Päättäessään tilinpäätöksen hyväksymisestä valtuusto päättää samalla myös vastuuvapaudesta tilivelvollisille. Hallitus vastaa HUS:n hallinnosta, taloudenhoidosta sekä sisäisen valvonnan ja riskienhallinnan toteuttamisesta. Hallituksen tehtävänä on huolehtia siitä, että HUS:n ja sen tytäryhtiöiden toimintaan liittyvät merkittävät riskit on tunnistettu ja arvioitu sekä toteutettu tarvittavat riskienhallinnan toimenpiteet. Hallitus vastaa myös valtuuston päätösten valmistelusta, täytäntöönpanosta ja laillisuuden valvonnasta. 45 Mikäli hallitus katsoo, että valtuuston päätös on syntynyt virheellisessä järjestyksessä taikka että valtuusto on ylittänyt toimivaltansa tai että päätös on muuten lainvastainen, hallituksen on jätettävä päätös täytäntöön panematta. Asia on viipymättä saatettava valtuuston uudelleen käsiteltäväksi. 46 Asian ottamisesta hallituksen käsiteltäväksi päättää hallitus, hallituksen puheenjohtaja tai toimitusjohtaja. Päätös on tehtävä viimeistään samassa ajassa kuin oikaisuvaatimus päätöksestä on tehtävä eli 14 päivän kuluessa päätöksen tiedoksisaamisesta / nähtävillä olosta. 47 Hallintosäännössä on tarkemmat määräykset otto-oikeuden käyttämisestä. 5.2 Sairaanhoitoalueen lautakunnan ja sairaanhoitoalueen johtajan vastuu alaisensa toiminnan ja päätösten osalta Sairaanhoitoalueen lautakunta ohjaa ja valvoo sairaanhoitoalueen toimintaa, sekä vastaa hallinnon, toiminnan ja sisäisen valvonnan sekä riskienhallinnan asianmukaisesta järjestämisestä sairaanhoitoalueen osalta. Sairaanhoitoalueen lautakunnalla on oikeus päättää asian ottamisesta lautakunnan käsiteltäväksi. Asian ottamisesta lautakunnan käsiteltäväksi päättää lautakunnan puolesta lautakunta, lautakunnan puheenjohtaja tai sairaanhoitoalueen johtaja. 48 42 Kuntalaki 13 43 Kuntalaki 50 44 Kuntalaki 75 45 Kuntalaki 23 46 Kuntalaki 56 47 Kuntalaki 51 48 Hallintosääntö 2013,7,34
19 Sairaanhoitoalueen johtajan tehtävänä on johtaa ja kehittää lautakunnan alaisena sairaanhoitoalueen toimintaa, huolehtia hallinnosta ja talouden hoidosta sekä sisäisen valvonnan ja riskienhallinnan järjestämisestä. Sairaanhoitoalueen johtaja vastaa siitä, että sairaanhoitoalueelle asetetut toiminnalliset ja taloudelliset tavoitteet saavutetaan. 5.3 Liikelaitoksen johtokunnan ja liikelaitoksen johtajan vastuu alaisensa toiminnan ja päätösten osalta Liikelaitoksen johtokunta ohjaa ja valvoo liikelaitoksen toimintaa, sekä vastaa hallinnon, toiminnan ja sisäisen valvonnan sekä riskienhallinnan asianmukaisesta järjestämisestä liikelaitoksen osalta. Asian ottamisesta liikelaitoksen käsiteltäväksi päättää liikelaitoksen puolesta johtokunta, johtokunnan puheenjohtaja tai liikelaitoksen johtaja. 49 Liikelaitoksen johtajan tehtävä on johtaa ja kehittää lautakunnan tai johtokunnan alaisena sairaanhoitoalueen tai liikelaitoksen toimintaa, huolehtii hallinnosta, sekä talouden hoidon ja sisäisen valvonnan ja riskienhallinnan järjestämisestä kuntayhtymän ohjeistuksen ja linjausten mukaisesti. Liikelaitoksen johtaja vastaa siitä, että asetetut toiminnalliset ja taloudelliset tavoitteet saavutetaan. Liikelaitoksen johtokunnan on toimintakertomuksessa esitettävä selvitys liikelaitokselle asetettujen toiminnallisten ja taloudellisten tavoitteiden toteutumisesta, sekä muista liikelaitoksen talouteen liittyvistä olennaisista asioista, kuten arvio todennäköisestä tulevasta kehityksestä sekä tiedot sisäisen valvonnan ja riskienhallinnan järjestämisestä ja keskeisistä johtopäätöksistä. 50 5.4 Luottamushenkilöiden vastuu Kuntayhtymän luottamushenkilöitä ovat valtuuston ja hallituksen jäsenet ja varajäsenet sekä muut kuntayhtymän lautakuntiin ja johtokuntiin valitut henkilöt. 51 Liikelaitosten johtokuntiin valitut HUS:n virkamiehet eivät kuitenkaan toimi luottamushenkilöroolissa vaan virkamiehinä. Tilivelvollisista päättää valtuusto tarkastuslautakunnan valmistelun pohjalta. 52 Valtuustoa lukuun ottamatta luottamushenkilötoimielimet ja toimielimen esittelijät varajäsenineen ja sijaisineen ovat tilivelvollisia. Luottamushenkilöorganisaatiosta on määrätty kuntayhtymän perussopimuksessa. Seuranta on hallinnossa luottamushenkilöille kuuluva osa sisäistä valvontaa ja riskienhallintaa. Kokonaisvastuu kuntayhtymän sisäisen valvonnan järjestämisestä ja toimivuuden varmistamisesta on hallituksella. 5.5 Tytäryhtiön hallituksen vastuu Tytäryhtiön hallituksella on keskeinen tehtävä yhtiön hallinnon ja sisäisen valvonnan sekä riskienhallinnan järjestämisessä ja johtamisessa. Hallituksen 49 Hallintosääntö 2013, 34 50 Kuntalaki 2012, 87k 51 Kuntalaki 2012, 32 52 Kuntalaki 2012, 71
20 tehtävät ja vastuut määräytyvät asianomaista yhtiötä koskevan lainsäädännön, yhtiöjärjestyksen, sääntöjen ja sopimusten mukaisesti. Tytäryhtiön toimitusjohtaja vastaa yhtiön operatiivisesta johtamisesta ja siitä, että tytäryhtiö toteuttaa sisäistä valvontaa ja riskienhallintaa HUS:n toimintaperiaatteiden ja ohjeistusten mukaisesti. 5.6 Tilintarkastajien vastuu tilivelvollisten osalta Tilintarkastajien on annettava valtuustolle kultakin tilikaudelta kertomus, jossa esitetään tilintarkastuksen tulokset. Tilintarkastajan tulee tilintarkastuskertomuksessa antaa lausuntonsa siitä, onko kuntayhtymän ja HUS-konsernin sisäinen valvonta ja riskienhallinta sekä konsernivalvonta järjestetty asianmukaisesti. Tilintarkastuskertomuksessa on esitettävä, onko tilinpäätös hyväksyttävä ja voidaanko toimielimen jäsenelle ja asianomaisen toimielimen tehtäväalueen johtavalle viranhaltijalle eli tilivelvollisille myöntää vastuuvapaus. Tilivelvollisuus merkitsee vastuullisuutta päätöksistä ja toimista, vastuuta julkisten varojen hoidosta ja niiden tuloksellisesta käytöstä. 53 Mikäli tilintarkastajat havaitsevat, että kuntayhtymän hallintoa tai taloutta on hoidettu lakien tai valtuuston päätösten vastaisesti eikä virhe tai aiheutunut vahinko ole vähäinen, tilintarkastuskertomuksessa on tehtävä asiasta tilivelvolliseen kohdistuva muistutus. Tarkastuslautakunnan tulee hankkia tilintarkastuskertomuksessa tehdystä muistutuksesta asianomaisen selitys sekä hallituksen lausunto. 5.7 Yhtymähallinnon viranhaltijajohdon, esimiesten ja muun henkilöstön vastuut Kuntayhtymän toimitusjohtajan tehtävänä on johtaa kuntayhtymän toimintaa, huolehtia konserniohjauksesta sekä vastata osaltaan siitä, että valtuuston ja hallituksen asettamat tavoitteet saavutetaan. Sisäisen valvonnan operatiivinen vastuu on toimitusjohtajalla. Yhtymähallinnon viranhaltijajohdon keskeisenä tehtävänä on luoda edellytykset potilaiden hoidolle, opetukselle ja tutkimukselle. Yhtymähallinnon johdon tehtävänä on vastata kuntayhtymän operatiivisesta johtamisesta ja talouden hallinnasta kuntayhtymän strategian mukaisesti. Lisäksi yhtymähallinnon johdon tehtävänä on vastata koko kuntayhtymää koskevista toimintapolitiikoista, työnantajatoiminnasta, edunvalvonnasta, lakiasioista, rahoituksen järjestämisestä, omaisuuden hallinnasta, sisäisen valvonnan sekä riskien hallinnan järjestämisestä ja kehittämisestä, ympäristökysymyksistä huolehtimisesta sekä viestinnästä. Yhtymähallinnon johtavien viranhaltijoiden velvollisuus on huolehtia sisäisen valvonnan ja riskienhallinnan toteutumisesta niissä toiminnoissa, joista ovat vastuussa omien tehtäväkuvauksiensa mukaisesti. Viranhaltijajohto ja esimiehet vastaavat siitä, että heidän alaisensa henkilöstön toimivalta ja vastuut on asianmukaisesti määritelty. 53 Kuntalaki 2012 75
21 Esimiehet vastaavat siitä, että heidän alaisuudessaan olevien yksiköiden tavoitteet tukevat ylemmän tason tavoitteita, tavoitteiden saavuttamista uhkaavat riskit on tunnistettu ja riskienhallinnan toimenpiteet otetaan huomioon yksikön strategioissa, suunnitelmissa sekä käytännön toiminnassa. Esimies vastaa myös tiedonkulusta ja raportoinnista. Esimiehen tehtävänä on luoda henkilöstölle edellytykset tehtävistä suoriutumiseen ja tavoitteiden saavuttamiseen. Esimiehen on ryhdyttävä toimenpiteisiin välittömästi, kun havaitaan toimintaa, joka on tehotonta, epätarkoituksenmukaista, tai lain tai muiden sääntöjen, ohjeiden ja päätösten vastaista. Esimiehellä on velvollisuus toteuttaa sisäistä valvontaa ja esimiesten tulee muistuttaa alaisiaan hyvän hallinnon menettelytavoista. Jokaisella työntekijällä on kuitenkin vastuu viime kädessä oman toimintansa osalta sisäisen valvonnan ja riskienhallinnan toteuttamisessa. Henkilöstön tulee osallistua riskien tunnistamiseen ja arviointiin osana normaalia työtä sekä työyksikössä sovitulla tavalla, raportoida havaitsemistaan turvallisuuspoikkeamista, perehtyä ohjeisiin ja osallistua koulutuksiin. Yhtymähallinnon riskienhallintapäälliköllä ja kehittämispäälliköllä on asiantuntijavastuu ja he vastaavat sisäisen valvonnan sekä riskienhallinnan toimintojen kehittämisestä sekä seurantaan ja arviointiin liittyvistä tehtävistä omien tehtäväkuvauksiensa ja johdon toimeksiantojen mukaisesti. Näihin tehtäviin kuuluu muun muassa riskeistä raportointi johdolle sekä sähköisen riskienhallintajärjestelmän toiminnasta huolehtiminen. Riskienhallintapäällikkö vastaa myös vakuutettavien riskien hallintaan liittyvistä prosesseista. Yhtymähallinnon työsuojelun, valmiuden, turvallisuuden, tietoturvallisuuden, potilasturvallisuuden ja laadunhallinnan asiantuntijoilla on myös omien tehtäväkuvaustensa mukaisia vastuita riskienhallinnan osalta. 54 Sisäinen tarkastus avustaa kuntayhtymän johtoa sisäisen valvonnan toteuttamisessa työohjelmansa mukaisesti. Sisäinen tarkastus on tarkastustarkoituksessa tehtyä valvontaa ja siten valvonnan näkyvä osa. 54 Yhtymähallinnon toimintaohje 2012, Hallintosääntö 2013
22 6. RAPORTOINTI JA TIEDONVÄLITYS Johtamisessa ja päätöksenteossa tarvitaan luotettavaa ja ajantasaista tietoa. Raportointi on tärkeä johdon työväline. Toimivan tiedonkulun kautta varmistetaan se, että henkilöstö tuntee toimintaperiaatteet ja menettelytavat sekä osaltaan viestittää ja raportoi merkittävistä asioista ylemmälle organisaatiotasolle. Tehokasta tiedonvälitystä tarvitaan myös organisaation ulkoisten sidosryhmien kuten kuntalaisten, asiakkaiden, palvelujen toimittajien ja valtiovallan kanssa. 6.1 Toiminnan ja talouden seuranta HUS:n valtuuston hyväksymä talousarvio ja -suunnitelma ohjaavat kuntayhtymän toimintaa. HUS:n hallituksen ja toimitusjohtajan tehtävänä on seurata toimintaa ja taloutta asetettujen tavoitteiden saavuttamiseksi sekä ryhtyä tarvittaviin toimenpiteisiin. Seuranta ja päätöksenteko edellyttävät tietoja merkittävistä riskeistä sekä riskienhallinnan tilasta. Taloushallinnon ohjeella annetaan menettelytapaohjeet käytännön tilinpidosta, maksuliikenteen hoitamisesta ja raportoinnista. HUS:ssa laaditaan kuukausikohtaisia seurantaraportteja sekä kolmannesvuosittain osavuosikatsauksia. 55 Sairaanhoitoalueiden, liikelaitosten ja taseyksiköiden sekä tytäryhtiöiden johto raportoi säännöllisesti toiminta-alueensa ja yksikkönsä toiminnasta ja taloudesta. Ne yhtymähallinnon viranhaltijat joille on vastuutettu tulosalueiden, taseyksiköiden, liikelaitosten ja tytäryhtiöiden konsernitason ohjaus, raportoivat säännöllisesti vastuullaan olevan yksikön toiminnasta ja taloudesta kuntayhtymän toimitusjohtajalle ja johtoryhmälle. Raporteissa tulee tuoda esille riskinäkökulma. 56 Vastuuhenkilöiden tehtävänä on myös käydä osavuosikatsauksiin liittyvät seurantakokoukset. Yhtymähallinnon talousjohto kokoaa tulosalueiden, liikelaitosten ja tytäryhtiöiden raportoimista tiedoista yhteenvetoja, joiden avulla kuntayhtymän johto saa olennaista tietoa toiminnasta, tavoitteista ja tunnusluvuista. 6.2 Sisäistä valvontaa ja riskienhallintaa koskeva raportointi Kuntayhtymätasolla sekä yksiköiden johdossa tulee käsitellä sisäisen valvonnan puutteita, merkittäviä riskejä ja niiden hallintaa koskevat tiedot säännöllisesti. Yksikön esimiehen tulee huolehtia siitä, että raportointi on vastuutettu ja toteutettu yksikössä. Raportoinnissa ja raporttien kokoamisessa hyödynnetään HUS:ssa käytössä olevia vahinkojen, turvallisuuspoikkeamien ja riskien ilmoitus-, käsittely- ja seurantajärjestelmiä. 55 Taloushallinnon ohje 2012 56 HUS-konsernin johtamisen ja ohjaamisen periaatteet 2012 Riskienhallintapolitiikka 10/2007
23 Potilasturvallisuuteen ja hoitoprosesseihin liittyvästä seurannasta ja raportoinnista ohjeistetaan muun muassa potilasturvallisuussuunnitelmassa 57. Tämän lisäksi yksiköissä tulee soveltuvin osin käsitellä muita merkittäviä riskejä ja sisäisen valvonnan puutteita (ks. tässä ohjeessa luku 4, kohta 4.2). Yhtymähallinnon riskienhallinnan asiantuntijat vastaavat sisäisen valvonnan ja riskienhallinnan koontiraporttien valmistelusta osavuosikatsauksien yhteyteen. Koontiraporteissa käsitellään merkittävät riskit, havaitut puutteet sisäisessä valvonnassa sekä riskienhallinnan toimenpiteet. Koontiraporttien tiedot kootaan riskikartoituksista ja muista tietolähteistä. Kuva 8. HUS -tason merkittäviä riskejä ja sisäistä valvontaa koskevan koontiraportin tietolähteitä 57 Potilasturvallisuussuunnitelma 2013
24 7. SISÄISEN VALVONNAN JA RISKIENHALLINNAN ARVIOINTI Johdon ja esimiesten tehtävänä on omalla vastuualueellaan arvioida sisäisen valvonnan ja riskienhallinnan toimivuutta ja tarkoituksenmukaisuutta. Arvioinnin avulla on mahdollista: kehittää sisäistä valvontaa ja riskienhallintaa varmistaa valvonnan tehokkuutta ja toimivuutta havaita muutoksia toimintaympäristössä, jotka voivat vaikuttaa riskien syntymiseen tai muuttumiseen tunnistaa heikkoa signaaleja ja oppia läheltä piti -tilanteista ja epäonnistumisista tunnistaa riskejä. HUS:n yksiköt antavat toimintakertomuksen yhteydessä oman arvionsa sisäisen valvonnan ja riskienhallinnan tilasta sekä kehittämistarpeista selonteon muodossa. Kuntayhtymän taloushallinto on ohjeistanut toimintayksiköiden selonteon valmistelun talousarvioasiakirjassa. Selonteossa on erikseen mainittava merkittävät riskit ja epävarmuustekijät. 58 HUS -kuntayhtymän konsernivalvonnasta vastaa HUS:n hallitus. Hallituksen on toimintakertomuksessa tehtävä selkoa, miten konsernivalvonta on konsernissa järjestetty, onko valvonnassa havaittu puutteita kuluneella tilikaudella ja miten konsernivalvontaa on mainituilla kohdealueilla tarkoitus kehittää voimassa olevalla taloussuunnittelukaudella. 59 Kuntayhtymän sisäisen valvonnan ja riskienhallinnan sekä konsernivalvonnan selontekoja varten HUS:n yksiköt sekä tytäryhtiöt tekevät itsearvioinnit HUS riskit järjestelmässä. Selontekojen laatimisessa käytetään kansainvälisesti hyväksyttyä arviointiviitekehystä (COSO-ERM). 60 Arviointi toteutetaan kuvan 9. mukaisilla osa-alueilla. Kuva 9. Sisäisen valvonnan ja riskienhallinnan arvioinnin osa-alueet 58 Talousarvio 2013, Taloussuunnitelma 2013-2015 59 Kirjanpitolautakunnan (KILA) yleisohje 2013 60 Kansainvälinen Committee of Sponsoring Organizations of the Treadway Comissions (COSO) www.coso.org tai www.theiia.fi
25 8. VOIMAANTULO Tämä sisäisen valvonnan ja riskienhallinnan periaatteet -asiakirja tulee voimaan 1.1.2014. Tällä asiakirjalla kumotaan riskienhallintapolitiikka 10/2007 sekä hyvä hallinto -pysyväisohje 10/2010. 9. LISÄTIETOJA Lisätietoja antaa riskienhallintapäällikkö Kati Ekholm, puh. (09) 471 71233, kati.ekholm@hus, riskienhallinta@hus.fi sekä kehittämispäällikkö Sinikka Mäkeläinen, puh. (09) 471 71277, sinikka.makelainen@hus.fi. Aki Lindèn toimitusjohtaja Ilkka Kauppinen hallintojohtaja JAKELU: intranet
26 LIITE 1 ESIMERKKEJÄ RISKIKARTOISTA (Terveydenhuollon riskikartta Sosiaali- ja terveysministeriö 2011) Ulkoiset riskit Yhteiskunnalliset riskit Lainsäädäntö Talousnäkymät Rahoitus Verotus Kehitystrendit Politiikka Muut ulkoiset riskit Onnettomuudet Rikollisuus Epidemiat, pandemiat Luonnon ilmiöiden aiheuttamat riskit Toimintariskit Päätöksenteko Johtaminen, ohjaus Toiminnan organisointi Organisaatio- ja turvallisuuskulttuuri Toimintaprosessit Talous, toimintappiot Laadunhallinta Projektit ja hankkeet Investoinnit Kustannusseuranta Maksuliikenne Sopimukset Riippuvuus ja toiminnan vastuuriskit Katekeskeytykset, toiminnan jatkuvuus Tukitoiminnot, palveluiden tuotanto Hankinnat ja ostot Logistiikka Tietojärjestelmä-häiriöt Arkistot, tietosuoja Sisäiset riskit Henkilöriskit Yli- tai alikuormitustekijät Puutteelliset työolot Puutteelliset työvälineet Fyysinen väkivalta Henkinen väkivalta Osaaminen Henkilöstön saatavuus Avainhenkilöt Henkilöristiriidat Työhönotto Työsopimukset Työsuhteiden päättyminen Tahalliset vahingonteot Rikokset, väärinkäytökset Tahattomat vahingonteot ja inhimilliset virheet Työhön liittyvä matkustaminen Toimitilariskit Pelastussuunnittelu Rakenteellinen ja tekninen palontorjunta Fyysinen esteettömyys Toimitilojen järjestys ja siisteys Toimitilojen sijainti Erityistilat (ml. apteekit, laboratoriot, tehoosastot) Tulityöt Sähkölaitteet Tuhopoltot Vesivahingot Ilkivalta Ryöstöt Murrot Kiinteistö- ja turvatekniikka Kemikaalit ja jätteet Polttoaineet, öljytuotteet Päästöt Kiinteistöhuolto ja kunnossapito Ulkopuolisille aiheutetut riskit Potilaille / asiakkaille aiheutuneet Vahingot, virheet Viiveet Tapaturmat Katoamiset Toiminnasta aiheutuvat riskit Ympäristölle Luonnolle Väestölle Sidosryhmille Rakennuksille