Aloite 08.02.2017 <Liite x> 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita, riskienhallintapolitiikkamalli sekä liiteaineistoa, käyttökelpoinen riskienhallinnan kehittämisessä? Onko aineiston laajuus sopiva? Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä? Osittain, parannettavaa on seuraavissa asioissa Päällekkäisyyksiä tulee karsia Vain päätöksenteon kannalta olennaiset kohdat tulee jättää ohjeeseen Mitä tiiviimpi ja ymmärrettävämpi ohje on sitä käytettävämmäksi se tulee Riskienhallinnan järjestäminen Onko riskienhallinnan järjestämistä koskeva osuus sisällöltään käyttökelpoinen riskienhallinnan kehittämisessä? Osittain, parannettavaa on seuraavissa asioissa: Riskienhallinnassa tulee korostaa toimenpiteiden oikea suhdetta niiden tavoitteisiin. Riskienhallintatoimenpiteet tulee toteuttaa oikealla organisaatiotasolla Riskienhallintapolitiikkamalli Riskienhallintapolitiikkamalli on luonteeltaan suositus. On tarkoitus, että kukin virasto muokkaa siitä joko oman erillisen riskienhallintapolitiikkansa tai poimii tarvittavia osia muihin asiakirjoihinsa (esim. työjärjestykseen, taloussääntöön). Soveltuuko malli kokonaisuutena riskienhallintapolitiikan pohjaksi? Ovatko luvussa 3 esitettyjen keskeisten käsitteiden määrittelyt riittäviä? Liitteessä on 469896 Valtiovarainministeriö Snellmaninkatu 1 A, Helsinki PL 28, 00023 Valtioneuvosto Puh 0295 16001 (Vaihde) Faksi 09 160 33123 valtiovarainministerio@vm.fi www.vm.fi Y-tunnus 0245439-9
2 (3) kattavampi käsitehakemisto. Soveltuvatko luvussa 4 esitetyt tavoitteet pohjaksi viraston riskienhallinnan tavoitteille? Soveltuvatko luvussa 5 esitetyt periaatteet pohjaksi viraston riskienhallinnan periaatteille? Soveltuvatko luvun 6 vastuiden määrittelyt pohjaksi viraston riskienhallinnan vastuiden määrittelylle? Yhteiset luokitukset Jotta voitaisiin saada vertailukelpoista tietoa, millaisia riskejä on tunnistettu esim. ministeriön koko hallinnonalalla, tarvitaan yhtenäisiä luokituksia. Aineiston liitteessä 5 on esitetty luokitus, jossa riskit jaetaan strategisiin, operatiivisiin, taloudellisiin ja vahinkoriskeihin. Jokaisessa näistä on esimerkkejä, mitä aiheita koskevista riskeistä on kyse. Ovatko riskiluokittelu ja esimerkit toimivia ja selkeitä? Riskien arvioinnissa tarkastellaan vaikutuksia ja todennäköisyyttä. Aineiston liitteessä 6 on esitetty asteikot näille. Ovatko asteikot ja määrittelyt toimivia ja selkeitä? Osittain, niitä tulisi muuttaa seuraavasti: Riskien vaikutusten määrittely tulee tehdä organisaatiokohtaisesti sopeuttaen ne organisaation toiminnan luonteeseen ja laajuuteen. Esimerkiksi toteutuneiden kustannusten merkittävyys riippuu hyvin suuressa määrin organisaation koosta ja toimintakentästä. Monessa toiminnassa ei voida ottaa riskejä, joissa ihmisten henki vaarantuu, jolloin tällaiset riskit olisivat selkeästi liitteessä esitettyä merkittävää suurempia. Vapaamuotoista palautetta Toiminnan digitalisaatio vaatii organisaatioilta merkittävää toiminnan kehittämistä ja uudistamista, mikä edellyttää myös nykyistä enemmän riskien ottamista sekä niiden hallintaa. Riskien ottaminen sekä organisaation riskinottokyvyn ja -halukkuuden määrittäminen edellyttävät toimivaa riskienhallintaprosessia. Riskienhallinta mahdollistaa siten muun muassa digitalisaation, mutta ennen kaikkea organisaation tavoitteiden saavuttamisen ja jokapäiväisen arjen toiminnan. Tämän takia on erityisen tärkeää, että nyt on saatu luotua yhteinen politiikkamalli, jota organisaatiot voivat soveltaa oman politiikkansa päivittämisessä. Perinteisen riskienhallinnan ohella politiikassa korostetaan uusien toimintamahdollisuuksien tunnistamisen tärkeyttä eräällä tavalla siis positiivisia riskejä. Nyt lausunnoilla oleva riskienhallintapolitiikkamalli toimii hyvänä mallina valtionhallinnon ja myös laajemmin julkisen hallinnon riskienhallinnan yhtenäistämisessä. Tässä yhteydessä tulee korostaa, että tätä hallinnollista politiikkamallia tulee vahvasti tukemaan myös samaan aikaan lausunnolla oleva VAHTIn laatima Ohje riskienhallintaan, jossa ohjeistetaan käytännön tasolla riskienhallintaprosessin toteuttaminen organisaatiossa. Molemmat pohjautuvat tai hyödyntävät vahvasti ISO 31000 -standardia, mikä edistää kansainvälistä yhteentoimivuutta.
3 (3) Politiikkamallissa tulisi vielä korostaa sitä, kuinka varmistetaan tunnistettujen riskien hallinnan prossin loppuun vieminen, eli sovittujen toimenpiteiden eteneminen ja toteutuminen. Organisaatiolla on usein riskienhallintapolitiikka ja siihen liittyvä ohjeistus, joka päättyy riskin arviointivaiheeseen. Tällöin sovittujen toimenpiteiden seurannasta ja katselmoinnista ei huolehdita riittävästi ja sovitut toimenpiteet saattavat jäädä toteutumatta. Eräs jatkokehittämisen aihe voisi liittyä riskienhallinnan raportointiin: tulisiko valtionhallinnossa luoda yhteinen malli kokonaistilannekuvan raportoinnista esimerkiksi organisaation johtoryhmätasolle? Tämä helpottaisi myös organisaatioiden välistä riskienhallinnan ja yhteistyön kehittämistä. Johtoa alemmalla tasolla yhdenmukaistamista on haasteellista toteuttaa, sillä useimmilla organisaatioilla on jo olemassa olevia työkaluja tai palveluita, jotka on jo jalkautettu organisaation käyttöön. Osana nyt käynnistynyttä riskienhallinnan uudistamisprosessia tulisi arvioida, miten myös sisäisen valvonnan arviointi- ja vahvistuslausuma saataisiin paremmin tukemaan nyt päivittyvää riskienhallinnan kokonaisuutta. Riskienhallintapolitiikkamallin käännös ruotsiksi Onko riskienhallintapolitiikkamallia koskevasta suosituksesta tarpeen tehdä jollekin hallinnonalanne virastolle käännös ruotsiksi? Ei Tietojohtaja Irja Peltonen Talouspäällikkö Jan Holmberg Liitteet VM/BO sisäinen lausunto