Riskienhallintapolitiikka Ohje 1 (11) 3/2017
Ohje 2 (11) Sisältö 1 Soveltamisala... 3 2 Säädöspohja sekä muut määräykset ja ohjeet... 3 3 Riskienhallinnan keskeiset käsitteet... 3 4 Riskienhallinnan periaatteet... 4 5 Riskienhallinnan vastuut... 6 6 Riskienhallintaprosessi Viestintävirastossa... 7 7 Riskienhallinnan tavoitteet Viestintävirastossa... 8 8 Riskinottohalukkuus... 9 9 Seuranta... 9 10 Sisäinen raportointi ja tiedottaminen... 9 11 Ulkoinen raportointi... 10 12 Riskienhallinnan arviointi ja kehittäminen... 10 13 Allekirjoitukset... 11
Ohje 3 (11) 1 Soveltamisala Riskienhallintapolitiikka sisältää Viestintäviraston riskienhallintaan liittyvät periaatteet ja tavoitteet. Tavoitteena on selkeyttää ja yhtenäistää riskienhallinnan käsitteitä, periaatteita, tavoitteita, organisointia, vastuita ja toimintatapoja. Tässä asiakirjassa esitettyä riskienhallintapolitiikkaa sovelletaan Viestintäviraston koko organisaatiossa. Lisäksi riskienhallintapolitiikkaa sovelletaan hankkeissa ja projekteissa, jotka toteutetaan viraston toimesta tai joissa virasto on johtovastuussa, ellei erikseen ole toisin sovittu. Riskienhallinta on ennakoiva näkökulma toimintaan ja osa asioiden valmistelua. Se kattaa kaikki toiminnot, sekä oman toiminnan että toiminnan, josta organisaatio vastaa lainsäädännön, sopimusten tai muiden velvoitteiden nojalla. 2 Säädöspohja sekä muut määräykset ja ohjeet Riskienhallinta on osa sisäistä valvontaa ja siten jokaisen valtion viraston lakisääteinen tehtävä. Valtion talousarviosta annetussa lain (423/1988) 24 b :ssä säädetään sisäisen valvonnan järjestämisestä. Talousarvioasetuksen (1243/1992) 69 ja 69 b sisältävät tarkempia säännöksiä sisäisestä valvonnasta ja riskienhallinnasta. Tietoturvallisuusasetuksessa (681/2010) säädetään asiakirjojen käsittelyä koskevat tietoturvallisuusvaatimukset ja tietoturvallisuustoimenpiteet, 5 :ssä tietoturvallisuusriskien kartoittaminen. Riskienhallinnasta voidaan määritellä myös muissa säädöksissä tai ohjeissa. 3 Riskienhallinnan keskeiset käsitteet Seuraavassa on esitetty määrittelyt keskeisimmistä riskienhallinnan käsitteistä. Hallintakeino on toimenpide tai joukko toimenpiteitä, joilla vaikutetaan riskin toteutumisen vaikutukseen tai todennäköisyyteen, poistetaan riski täysin tai siirretään riski toisen kannettavaksi. Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna. Riski voi kohdistua esimerkiksi toimintaan, tavoitteisiin, maineeseen, omaisuuteen, terveyteen tai talouteen.
Ohje 4 (11) Riskienhallinta tarkoittaa koordinoitua toimintaa, jolla organisaatiota johdetaan ja ohjataan riskien osalta. Se on systemaattista ja jatkuvaa toimintaa, jonka avulla tunnistetaan, analysoidaan, arvioidaan, käsitellään ja seurataan riskejä. Riskienhallintapolitiikka sisältää organisaation riskienhallintaan liittyvät periaatteet ja tavoitteet. Riskienhallintaprosessi on menettely riskien arviointiin (tunnistamiseen, analysointiin, merkityksen arviointiin), käsittelyyn, seurantaan ja viestintään. Riskienkäsittelysuunnitelma on dokumentti, joka sisältää riskit ja niille tehtävät toimenpiteet, vastuut, käsittelyn tavoiteaikataulut, raportoinnin ja seurannan. Riskinsietokyky on taso jota riski ei saa ylittää. Viestintäviraston riskinsietokyky ylitetään, kun riskin toteutumisesta voisi seurata toiminnan vakava keskeytys tai oleellinen lisääminen, sopimuksen tai salassapitovelvoitteen rikkoutuminen, viraston uskottavuuden oleellinen heikkeneminen, vakava poikkeama toimintaympäristössä, vakava henkilöstöä uhkaava tilanne, vakava yhteiskunnallinen häiriötilanne, tai vakava tietoturvaloukkaus tai häiriötilanne. Uhka on vaara, haavoittuvuus tai toiminta, joka kohdistuu suojattavaan kohteeseen kielteisellä tavalla. 4 Riskienhallinnan periaatteet Viestintäviraston riskienhallinta on osa koko valtionhallinnon riskienhallintaa. Virastot tuottavat palveluita myös toisille virastoille sekä toimivat keskenään yhteistyössä ja verkostoissa. Riskienhallintaa koskevissa päätöksissä ja toimenpiteiden määrittelyssä otetaan huomioon, että niillä saattaa olla vaikutuksia myös muihin virastoihin. Riskienhallinta luo lisäarvoa auttamalla onnistumaan. Riskienhallinta edesauttaa tavoitteiden saavuttamista ja toiminnan tason havaittavaa ja mitattavaa kehittymistä. Riskienhallinta edesauttaa päivittäisen toiminnan, turvallisuuden, lakien ja viranomaisten vaatimusten noudattamista. Sillä voidaan edistää myös projektinhallintaa, toimintojen ja hallintotavan tehokkuutta sekä julkisuuskuvaan liittyvien uhkien hallintaa. Riskienhallinta on olennainen osa johtamista. Riskien tunnistaminen ja hallinta on osa ennakoivaa johtamista. Riskien-
Ohje 5 (11) hallinta on osa johdon vastuuta sekä olennainen osa suunnittelun ja seurannan prosesseja, hankkeita ja operatiivista toimintaa sekä niihin liittyvää päätöksentekoa. Riskienhallinnan onnistuminen edellyttää johdolta näkyvää sitoutumista. Johdon sitoutuminen ja esimerkki on perustana hyvän hallinnon toimivuudelle koko organisaatiossa. Riskienhallinta on osa päätöksentekoa. Riskitietoista kulttuuria edistetään kaikessa päätöksenteossa. Riskienhallinnassa otetaan huomioon epävarmuus, sen luonne ja käsittelymahdollisuudet. Tämä auttaa päätöksentekijöitä ennakoimaan ja tekemään tietoisia valintoja, asettamaan asioita tärkeysjärjestykseen ja erottamaan vaihtoehtoiset toimintatavat. Riskienhallinta on järjestelmällistä, jäsenneltyä ja ajantasaista. Järjestelmällinen, ajantasainen ja jäsennelty riskienhallinnan toimintamalli lisää tehokkuutta ja toiminnan yhdenmukaisuutta. Tähän kuuluvat olennaisena osana myös toimenpiteet riskien käsittelemiseksi. Riskienhallinta on avointa, kattavaa ja se perustuu parhaaseen saatavilla olevaan tietoon. Riskienhallinnan onnistumisen kannalta on tärkeää, että eri tasoilla olevat päätöksentekijät, asiantuntijat ja sidosryhmät otetaan tarkoituksenmukaisella tavalla mukaan riskienhallintatyöhön. Riskienhallinta on muutoksiin reagoivaa ja jatkuvaa kehittämistä. Riskienhallinnan avulla muutokset havaitaan ja niihin voidaan reagoida viipymättä. Riskienhallinta on mukana organisaation toiminnassa sen eri osa-alueita kehitettäessä. Toimiva ja läpinäkyvä riskienhallinta korostuu erityisesti muutoksissa, joissa kehitetään uusia toimintamalleja ja luovutaan vanhoista. Riskienhallinta toteutetaan organisaation tarpeiden mukaan. Riskienhallinnan järjestelyissä otetaan huomioon organisaation rakenne sekä toiminnan laatu, laajuus ja monimuotoisuus. Riskienhallinnan järjestelyt sovitetaan yhteen ulkoisen ja sisäisen toimintaympäristön ja riskien mukaan. Riskienhallinta kattaa myös yhteistyökumppaneiden toiminnan. Ulkopuolelta hankittavissa palveluissa riskienhallinnan kokonais- ja valvontavastuu on aina virastolla. Palveluntuottajien riskienhallinnan järjestelyjen riittävä taso tulee varmistaa sopimuksilla.
Ohje 6 (11) 5 Riskienhallinnan vastuut Viestintävirastossa riskienhallinnan vastuut jakautuvat seuraavasti: Pääjohtaja vastaa sisäisen valvonnan ja riskienhallinnan järjestämisestä, vahvistaa riskienhallintapolitiikan ja -periaatteet sekä hyväksyy sisäisen valvonnan arviointi- ja vahvistuslausuman. Pääjohtajalla on kokonaisvastuu riskienhallinnasta ja sen toteutuksen seurannasta. Käytännön tehtäviä voidaan delegoida organisaatiossa. Riskienhallinnan ohjausryhmää informoidaan ja kuullaan riskienhallinnan raportoinnin ja muutosten suhteen. Ohjausryhmään kuuluvat pääjohtaja, toimialojen ja yksiköiden johtajat sekä riskienhallintapäällikkö. Muita riskienhallinnan ohjausryhmän tehtäviä on kuvattu tietoturvapolitiikassa. Johtoryhmissä riskienhallinta on osa ohjaus- ja johtamisjärjestelmää ja työskentelyä kaikilla organisaatiotasoilla. Viraston johtoryhmä käsittelee virastotasoiset riskit ja riskienhallintatoimenpiteet. Johtajat, päälliköt ja esimiehet vastaavat oman organisaatioyksikkönsä riskienhallinnasta ja sen toimeenpanosta, tunnistavat oman organisaatioyksikön toimintaan liittyviä riskejä sekä ilmoittavat ja raportoivat niistä asiaankuuluvalla tavalla eteenpäin. Johtajat toimivat viraston riskien omistajina, joilla on vastuu ja valtuudet oman alueensa riskeistä. Hankkeen tai projektin omistaja, hanke- /projektipäällikkö tai työryhmän vetäjä vastaa riskienhallinnasta osana hanke-/projekti/työryhmähallintoa. Hankkeiden, projektien ja työryhmien riskienhallinta sisältää erityisesti työn läpiviemiseen ja tavoitteiden saavuttamiseen liittyvien riskien tunnistamisen, analysoinnin, käsittelyn ja raportoinnin. Näiden riskienhallinnassa mukaan on otettava myös tavoiteltavan lopputuloksen sisältämät mahdolliset uudet riskit. Riskiarvioija on henkilö, joka on erityisesti nimetty arvioimaan riskienhallinnassa seurattavan kohteen riskejä. Riskiarvioijan tehtävänä on tunnistaa ja arvioida riskejä, ja tuottaa aineisto riskeistä ja hallintatoimenpiteistä riskin omistajan käsiteltäväksi. Henkilöstö arvioi ja tunnistaa mahdollisia omaan työhönsä liittyviä riskejä sekä ilmoittaa niistä ja poikkeamista esimiehelleen tai kiireisessä tapauksessa riskienhallintapäällikölle. Henkilöstön on huomioitava voimassa olevat ohjeet ja määräykset. Johdon
Ohje 7 (11) on varmistettava, että koko henkilöstö on näistä tietoinen ja koulutus ja perehdytys on ollut riittävä. Riskienhallintapäällikkö toimii Viestintäviraston riskienhallinnan vastuuhenkilönä. Hänen vastuullaan on seurata riskienhallinnan tilaa, koordinoida riskienhallintaa ja menettelyiden yhdenmukaisuutta, tukea riskienhallinnan prosessissa sekä kehittää riskienhallinnan menettelyitä. Riskienhallintapäällikön tukena on riskienhallintaryhmä, jossa on toimialojen ja yksiköiden nimeämiä, toimintaa hyvin tuntevia henkilöitä. Ryhmä toimii riskienhallintaprosessin valmistelevana ryhmänä sekä riskienhallinnan ja sisäisen turvallisuuden sekä varautumisen kehittämisen tukena. Ryhmän avulla riskienhallinnan toteutukseen saadaan laajempaa koko virastoa tuntevaa asiantuntemusta ja näkemystä. Riskienhallintaryhmän asettaa pääjohtaja toimialojen esityksestä. Muita riskienhallintaryhmän tehtäviä on kuvattu tietoturvapolitiikassa. Sisäinen tarkastus selvittää johdolle sisäisen valvonnan ja riskienhallinnan asianmukaisuutta ja riittävyyttä. Sisäinen tarkastus arvioi näiden toimivuutta ja tehokkuutta sekä tukee asiantuntijana organisaation kaikkia tasoja systemaattisen riskienhallinnan toteuttamisessa. Sisäinen tarkastus ei ole vastuussa riskienhallinnan järjestämisestä ja toteuttamisesta. 6 Riskienhallintaprosessi Viestintävirastossa Riskienhallinta on osa viraston toiminnanohjausjärjestelmää ja siten oleellinen osa viraston johtamisjärjestelmää. Viestintäviraston riskienhallinta muodostuu riskienhallinnan tavoitteesta, riskienhallintaorganisaatiosta, riskienhallintaprosessista, riskienhallintamenetelmästä sekä sen toteutuksesta, seurannasta ja raportoinnista. Viestintäviraston riskienhallinnan kokonaisuus on kuvattu kuvassa 1. Viestintäviraston riskienhallinnan käytännön toiminta on kuvattu riskienhallinnan menetelmäkuvauksessa. Käytännön riskienhallintaa tehdään virastossa aikataulutetun prosessin avulla. Prosessi varmistaa että riskit tunnistetaan ja arvioidaan, sekä käsitellään ennakoitavalla tavalla. Prosessin mukaisesti riskienhallinnan keskeiset vaiheet sisältyvät vuosikelloon. Riskien kokonaisarviointi eli koko virastotason keskeisten alueiden riskikartoitus tai niiden päivitys tehdään vuosittain vuosikellon mukaisesti siten, että Viestintäviraston suojattaviin kohteisiin (ISMS) kohdistuvat riskit arvioidaan kerran vuodessa ja vuositason (ERM) riskit kahdesti vuodessa.
Ohje 8 (11) Johto seuraa ja katselmoi prosessia, jotta sitä voidaan jatkuvasti parantaa riskienhallinnan tavoitteiden ja laadun varmistamiseksi, sekä sovittamiseksi muuhun johtamisjärjestelmään. Kuva 1. Viestintäviraston riskienhallinnassa toistettava prosessi, lähde: SFS- ISO 31000 7 Riskienhallinnan tavoitteet Viestintävirastossa Viestintäviraston riskienhallinnan tavoitteena on varmistaa viraston tavoitteiden saavuttaminen ja se, että viraston toiminnan vaikutukset ja seuraukset yhteiskunnalle ovat mahdollisimman positiiviset. Viraston toiminnan järjestäminen edellyttää riskien tunnistamista ja hallittua riskinottoa. Riskienhallinnan keinoin varmistetaan, että viraston ylimmällä johdolla on käytettävissään tarpeellinen tieto viraston toimintaa tai tavoitteiden saavuttamista uhkaavista riskeistä sekä riskien paremman hallinnan mahdollisuuksista, järjestelmälliset ja yhtenäiset menetelmät arvioida sekä hallita tunnistettuja riskejä, dokumentoitu tieto toteutettujen riskienhallintakeinojen soveltuvuuden onnistumisesta, sekä
Ohje 9 (11) tarvittavat tiedot sidosryhmille raportointia varten. 8 Riskinottohalukkuus Viraston toimialat voivat ottaa riskejä voidakseen järjestää toimintansa tehokkaasti. Riskin ottamisen tulee perustua mahdollisten vaikutusten etukäteiseen tunnistamiseen ja arviointiin, sekä hyötyjen ja haittojen tunnistamiseen ja vertailuun. Riskin ottaminen ei saa ylittää edellä kuvattua riskinsietokykyä tai olla ristiriidassa säädösten, hallinnonalan vaatimusten, viraston omien päätösten tai sisäisten ohjeiden kanssa. Mikäli riskiä arvioitaessa tulee ilmi, että riskinsietokyvyn ylittävän riskin toteutuminen lyhyellä aikavälillä on mahdollista, on riskiin suunniteltava ja toteutettava riskienhallintakeinoja. Mikäli riskiä arvioitaessa tulee ilmi, että riskinsietokyvyn ylittävän riskin toteutuminen lyhyellä aikavälillä on todennäköistä, on riskiin suunniteltava ja toteutettava välittömästi riskienhallintakeinoja, tai keskeytettävä toiminta josta riski voi aiheutua. Jos riskin omistaja arvioi tällaisen riskin ottamisen välttämättömäksi, tulee sille saada pääjohtajan hyväksyntä. 9 Seuranta Riskienhallinnan prosessin toteutumista seurataan johdon katselmoinneissa, jotka järjestetään ennakkoon laaditun suunnitelman mukaisesti vähintään kerran vuodessa. Pääjohtaja voi kutsua ylimääräisiä katselmuksia erityisen tilanteen niin edellyttäessä. Katselmuksessa käsitellään riskinsietokyvyn ylittäviä tai muutoin merkittäviä riskejä sekä riskien hallitsemiseksi valittavia tai valittuja riskienhallintakeinoja sekä niiden soveltuvuuden onnistumista. 10 Sisäinen raportointi ja tiedottaminen Riskienhallintapäällikkö raportoi riskienhallinnan ja sisäisen turvallisuuden tilanteesta viraston johdolle (riskienhallinnan ohjausryhmä) Viestintäviraston vuosikellon mukaisesti. Riskienhallinnan ohjausryhmän pöytäkirjat ovat myös riskienhallintaryhmän luettavissa. Riskienhallintapäällikkö raportoi ja tiedottaa tarvittaessa viraston johdolle myös vuosikellon ulkopuolella merkittävistä tai kiireellisistä, viraston turvallisuuteen tai riskienhallintaan tai sen toimintaympäristön turvallisuuteen vaikuttavista asioista. Asian kriittisyydestä ja kiireellisyydestä riippuen voidaan käynnistää viraston kriisijohtamistoiminta.
Ohje 10 (11) 11 Ulkoinen raportointi Pääjohtaja voi pyytää riskienhallintapäälliköltä tilannekatsausta, jossa käsitellään ajankohtaisia turvallisuuteen tai riskienhallintaan liittyviä asioita. Tilannekatsaus voidaan antaa myös koko viraston johdolle. Riskienhallintapäällikkö käy riskienhallintaryhmän kanssa läpi riskienhallinnan ja sisäisen turvallisuuden ajankohtaisia asioita ryhmän säännöllisissä kokouksissa. Riskienhallintaryhmän pöytäkirjat ovat riskienhallinnan ohjausryhmän luettavissa. Riskienhallintapäällikkö tiedottaa ja kouluttaa riskienhallintaan ja turvallisuuteen liittyvistä asioista henkilöstöhallinnon sopimissa koulutustilaisuuksissa (esimerkiksi Viestintäviraston mopokortti- ja ajokorttipäivät), viraston sisäisissä tiedotustilaisuuksissa, toimialojen ja yksiköiden pyytämissä tilaisuuksissa tai itsenäisesti ajankohtaisista asioista. Riskienhallintapäällikkö toteuttaa yhdessä Viestinnän kanssa henkilöstön saataville viraston intranetiin kulloinkin tarvittavat riskienhallinnan ja sisäisen turvallisuuden ohjeistukset. Riskienhallintapäällikkö laatii kulloinkin tarvittavan sisällön osaksi viraston toimintakertomusta. Muu sidosryhmäkohtainen viestintä hoidetaan sidosryhmätyön hallintaperiaatteiden mukaisesti. Tietohallinto tai muu tietojärjestelmän omistaja laatii tietojärjestelmiä koskevat häiriötiedotteet henkilöstölle. Viestinnän tavoitteena on saada vikaantuneen tietojärjestelmän tai palvelun käyttäjille ajantasainen tieto häiriön laajuudesta ja kestosta, ja mikäli tilanteessa on käytettävissä vaihtoehtoisia palveluita tai järjestelmiä. Häiriön päättymisestä tiedotetaan erikseen. Jokainen virastolainen on velvollinen tiedottamaan havaitsemistaan viraston omaisuuteen, toimintaan tai henkilöstöön kohdistuvista turvallisuusuhkista, -haavoittuvuuksista ja - poikkeamista omalle esimiehelleen ja kiireellisessä tapauksissa suoraan riskienhallintapäällikölle. Virasto raportoi riskienhallinnasta viranomaisen toiminnan julkisuudesta annetun lain sekä viraston ohjeiden mukaisesti Liikenne- ja viestintäministeriölle osana toiminta- ja taloussuunnittelu- sekä tulosohjausprosessia, joka pitää sisällään viraston tilinpäätökseen liittyvän sisäisen valvonnan sekä riskienhallinnan arvioinnin vahvistuslausuman. 12 Riskienhallinnan arviointi ja kehittäminen Viestintäviraston riskienhallintaa seurataan ja arvioidaan säännöllisesti viraston johtoryhmässä katselmoinnin yhteydessä. Ar-
Ohje 11 (11) 13 Allekirjoitukset vioinnin tulosten perusteella määritellään kehittämiskohteet. Toimintakertomukseen kirjataan arvioinnin tulos sekä keskeiset kehittämiskohteet sisäisen valvonnan arviointi- ja vahvistuslausumaan. Tämä ohje tulee voimaan heti ja kumoaa aiemmat versiot. Helsingissä 8. toukokuuta 2017 Pääjohtaja Kirsi Karlamaa Riskienhallintapäällikkö Juha Salpakari