Riskienhallintapolitiikka. Ohje 1 (11) 3/2017

Samankaltaiset tiedostot
Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna.

Riskit hallintaan ISO 31000

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄISEN VALVONNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

Sisäisen valvonnan ja Riskienhallinnan perusteet

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SIIKAJO- EN KUNNASSA JA KUNTAKONSERNISSA

Inarin kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Sisäisen valvonnan ja riskienhallinnan perusteet

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Porvoon kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Sisäisen valvonnan ja riskienhallinnan perusteet

SIILINJÄRVEN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Tietoturvapolitiikka

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

VAHTI-riskienhallintaohje. teoriasta käytäntöön

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Kaarinan kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan periaatteet. Luonnos 0 (6)

Kuntakonsernin riskienhallinnan arviointi - kommenttipuheenvuoro Tampere Talo, Tilintarkastuksen ja arvioinnin symposium

Viestintäviraston tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Espoon kaupunkikonsernin

HARJAVALLAN KAUPUNGIN KUNNALLINEN SÄÄDÖSKOKOELMA

Tilintarkastuksen ja arvioinnin symposium

PÄLKÄNEEN KUNNAN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Mikkelin kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Toivakan kunnan sisäisen valvonnan ja kokonaisvaltaisen riskienhallinnan perusteet

Valtiovarain controller toiminto riskienhallinnan kehittäjänä Esko Mustonen

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Valtionhallinnon riskienhallintapolitiikkamalli luonnos

Pohjois-Pohjanmaan sairaanhoitopiirin kuntayhtymäkonsernin sisäisen valvonnan ja riskienhallinnan perusteet

SAARIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VAL- VONNAN JA RISKIENHALLINNAN PERUSTEET

Vihdin kunnan tietoturvapolitiikka

VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Vaasan kaupunginvaltuuston hyväksymät

Helsingin kaupunki Pöytäkirjanote 20/ (17) Kaupunginvaltuusto Kj/

Espoon kaupunkikonsernin riskienhallintapolitiikka

Valtionhallinnon riskienhallintapolitiikkamalli. Lausunnonantajan saate. Yleistä TEM. Lausunto Asia: VM036:00/2015

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄNTSÄLÄN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. 1. Johdanto

HALLINNOINTIKOODI (CORPORATE GOVERNANCE)

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Hallituksen selonteko.

Riskienhallintamalli. ja kuvaus riskienhallinnan kehittämisestä keväällä Inka Tikkanen-Pietikäinen

JÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE

Tietoturvapolitiikka

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Raitiotieallianssin riskienhallintamenettelyt

Dnro:375/ /2013 Ehdotus kunanhallitukselle

Riskienhallinta- ja turvallisuuspolitiikka

Kunnallisen toiminnan periaatteet, määritelty ja toimitaanko niiden mukaisesti? 3 strategialähtöiset

Sisäisen valvonnan ja riskienhallinnan perusteet

VALTIMON KUNNAN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Kunnanhallitus Valtuusto

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

JOENSUUN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Sisäisen tarkastuksen ohje

Tietoturvapolitiikka Porvoon Kaupunki

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TAMPEREEN KAUPUNKI TILINPÄÄTÖSARVIOINTI 2016 Liite 5 Dnro TRE: 8364/ /2016 1/12

Ohjeen nimi Riskienhallinta- ja turvallisuuspolitiikka LUONNOS!

Miten näkökulmat ovat syventyneet ISO ja välillä? Lassi Väisänen

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Riskienhallintapolitiikka

Loviisan kaupungin keskusten ja vastuualueiden riskienhallinnan ja valvonnan arviointikehikko (luonnos)

Riskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut?

Kaupunkikonsernin valvontajärjestelmä

TIETOTILINPÄÄTÖS TILINTARKASTAJAN SILMIN. Ylijohtaja Marjatta Kimmonen VTV

Sisäinen valvonta - mitä merkitsee luottamushenkilölle ja viranhaltijalle Rahoitusriskien hallinnan seminaari

JÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE

OPERATIIVISET RISKIT JA NIIDEN ENNAKOIMINEN

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Eläketurvakeskuksen tietosuojapolitiikka

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen - seminaari

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Neulamäen paloasema, lautakunnan huone, Volttikatu 1a, Kuopio

UTAJÄRVEN KUNNAN RISKIENHALLINTAPOLITIIKKA. Kunnanhallitus liite 3 Valtuusto. Arja Rantanen hallintojohtaja

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Juuan Kunta. Sisäisen valvonnan ja riskienhallinnan perusteet. Hyväksytty kunnanvaltuustossa. Sisällys

Espoon kaupunki Tietoturvapolitiikka

Heinolan kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Valvontajärjestelmä. Tarkastuslautakunta

Kokonaisvaltainen riskienhallinta

ELINVOIMAPALVELUT. 1. Valvontaympäristö l. johtamisen ja hallinnon järjestäminen ARVIOINTIHUOMIOT 2018

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Sisäisen valvonnan ohje

Turun kaupungin tietohallintostrategia Tiivistelmä

VAASAN KAUPUNGIN RISKIENHALLINTAPOLITIIKKA. Vaasan kaupunginvaltuuston hyväksymä

Sisäinen valvonta ja riskienhallinta. Suomen Kuntaliitto Marja-Liisa Ylitalo erityisasiantuntija

Riskienhallinta. Minna Lehmuskero Johtaja, analyysitoiminnot Tela

MÄNTSÄLÄN KUNNAN HANKINTOJEN STRATEGISET TAVOITTEET

Transkriptio:

Riskienhallintapolitiikka Ohje 1 (11) 3/2017

Ohje 2 (11) Sisältö 1 Soveltamisala... 3 2 Säädöspohja sekä muut määräykset ja ohjeet... 3 3 Riskienhallinnan keskeiset käsitteet... 3 4 Riskienhallinnan periaatteet... 4 5 Riskienhallinnan vastuut... 6 6 Riskienhallintaprosessi Viestintävirastossa... 7 7 Riskienhallinnan tavoitteet Viestintävirastossa... 8 8 Riskinottohalukkuus... 9 9 Seuranta... 9 10 Sisäinen raportointi ja tiedottaminen... 9 11 Ulkoinen raportointi... 10 12 Riskienhallinnan arviointi ja kehittäminen... 10 13 Allekirjoitukset... 11

Ohje 3 (11) 1 Soveltamisala Riskienhallintapolitiikka sisältää Viestintäviraston riskienhallintaan liittyvät periaatteet ja tavoitteet. Tavoitteena on selkeyttää ja yhtenäistää riskienhallinnan käsitteitä, periaatteita, tavoitteita, organisointia, vastuita ja toimintatapoja. Tässä asiakirjassa esitettyä riskienhallintapolitiikkaa sovelletaan Viestintäviraston koko organisaatiossa. Lisäksi riskienhallintapolitiikkaa sovelletaan hankkeissa ja projekteissa, jotka toteutetaan viraston toimesta tai joissa virasto on johtovastuussa, ellei erikseen ole toisin sovittu. Riskienhallinta on ennakoiva näkökulma toimintaan ja osa asioiden valmistelua. Se kattaa kaikki toiminnot, sekä oman toiminnan että toiminnan, josta organisaatio vastaa lainsäädännön, sopimusten tai muiden velvoitteiden nojalla. 2 Säädöspohja sekä muut määräykset ja ohjeet Riskienhallinta on osa sisäistä valvontaa ja siten jokaisen valtion viraston lakisääteinen tehtävä. Valtion talousarviosta annetussa lain (423/1988) 24 b :ssä säädetään sisäisen valvonnan järjestämisestä. Talousarvioasetuksen (1243/1992) 69 ja 69 b sisältävät tarkempia säännöksiä sisäisestä valvonnasta ja riskienhallinnasta. Tietoturvallisuusasetuksessa (681/2010) säädetään asiakirjojen käsittelyä koskevat tietoturvallisuusvaatimukset ja tietoturvallisuustoimenpiteet, 5 :ssä tietoturvallisuusriskien kartoittaminen. Riskienhallinnasta voidaan määritellä myös muissa säädöksissä tai ohjeissa. 3 Riskienhallinnan keskeiset käsitteet Seuraavassa on esitetty määrittelyt keskeisimmistä riskienhallinnan käsitteistä. Hallintakeino on toimenpide tai joukko toimenpiteitä, joilla vaikutetaan riskin toteutumisen vaikutukseen tai todennäköisyyteen, poistetaan riski täysin tai siirretään riski toisen kannettavaksi. Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna. Riski voi kohdistua esimerkiksi toimintaan, tavoitteisiin, maineeseen, omaisuuteen, terveyteen tai talouteen.

Ohje 4 (11) Riskienhallinta tarkoittaa koordinoitua toimintaa, jolla organisaatiota johdetaan ja ohjataan riskien osalta. Se on systemaattista ja jatkuvaa toimintaa, jonka avulla tunnistetaan, analysoidaan, arvioidaan, käsitellään ja seurataan riskejä. Riskienhallintapolitiikka sisältää organisaation riskienhallintaan liittyvät periaatteet ja tavoitteet. Riskienhallintaprosessi on menettely riskien arviointiin (tunnistamiseen, analysointiin, merkityksen arviointiin), käsittelyyn, seurantaan ja viestintään. Riskienkäsittelysuunnitelma on dokumentti, joka sisältää riskit ja niille tehtävät toimenpiteet, vastuut, käsittelyn tavoiteaikataulut, raportoinnin ja seurannan. Riskinsietokyky on taso jota riski ei saa ylittää. Viestintäviraston riskinsietokyky ylitetään, kun riskin toteutumisesta voisi seurata toiminnan vakava keskeytys tai oleellinen lisääminen, sopimuksen tai salassapitovelvoitteen rikkoutuminen, viraston uskottavuuden oleellinen heikkeneminen, vakava poikkeama toimintaympäristössä, vakava henkilöstöä uhkaava tilanne, vakava yhteiskunnallinen häiriötilanne, tai vakava tietoturvaloukkaus tai häiriötilanne. Uhka on vaara, haavoittuvuus tai toiminta, joka kohdistuu suojattavaan kohteeseen kielteisellä tavalla. 4 Riskienhallinnan periaatteet Viestintäviraston riskienhallinta on osa koko valtionhallinnon riskienhallintaa. Virastot tuottavat palveluita myös toisille virastoille sekä toimivat keskenään yhteistyössä ja verkostoissa. Riskienhallintaa koskevissa päätöksissä ja toimenpiteiden määrittelyssä otetaan huomioon, että niillä saattaa olla vaikutuksia myös muihin virastoihin. Riskienhallinta luo lisäarvoa auttamalla onnistumaan. Riskienhallinta edesauttaa tavoitteiden saavuttamista ja toiminnan tason havaittavaa ja mitattavaa kehittymistä. Riskienhallinta edesauttaa päivittäisen toiminnan, turvallisuuden, lakien ja viranomaisten vaatimusten noudattamista. Sillä voidaan edistää myös projektinhallintaa, toimintojen ja hallintotavan tehokkuutta sekä julkisuuskuvaan liittyvien uhkien hallintaa. Riskienhallinta on olennainen osa johtamista. Riskien tunnistaminen ja hallinta on osa ennakoivaa johtamista. Riskien-

Ohje 5 (11) hallinta on osa johdon vastuuta sekä olennainen osa suunnittelun ja seurannan prosesseja, hankkeita ja operatiivista toimintaa sekä niihin liittyvää päätöksentekoa. Riskienhallinnan onnistuminen edellyttää johdolta näkyvää sitoutumista. Johdon sitoutuminen ja esimerkki on perustana hyvän hallinnon toimivuudelle koko organisaatiossa. Riskienhallinta on osa päätöksentekoa. Riskitietoista kulttuuria edistetään kaikessa päätöksenteossa. Riskienhallinnassa otetaan huomioon epävarmuus, sen luonne ja käsittelymahdollisuudet. Tämä auttaa päätöksentekijöitä ennakoimaan ja tekemään tietoisia valintoja, asettamaan asioita tärkeysjärjestykseen ja erottamaan vaihtoehtoiset toimintatavat. Riskienhallinta on järjestelmällistä, jäsenneltyä ja ajantasaista. Järjestelmällinen, ajantasainen ja jäsennelty riskienhallinnan toimintamalli lisää tehokkuutta ja toiminnan yhdenmukaisuutta. Tähän kuuluvat olennaisena osana myös toimenpiteet riskien käsittelemiseksi. Riskienhallinta on avointa, kattavaa ja se perustuu parhaaseen saatavilla olevaan tietoon. Riskienhallinnan onnistumisen kannalta on tärkeää, että eri tasoilla olevat päätöksentekijät, asiantuntijat ja sidosryhmät otetaan tarkoituksenmukaisella tavalla mukaan riskienhallintatyöhön. Riskienhallinta on muutoksiin reagoivaa ja jatkuvaa kehittämistä. Riskienhallinnan avulla muutokset havaitaan ja niihin voidaan reagoida viipymättä. Riskienhallinta on mukana organisaation toiminnassa sen eri osa-alueita kehitettäessä. Toimiva ja läpinäkyvä riskienhallinta korostuu erityisesti muutoksissa, joissa kehitetään uusia toimintamalleja ja luovutaan vanhoista. Riskienhallinta toteutetaan organisaation tarpeiden mukaan. Riskienhallinnan järjestelyissä otetaan huomioon organisaation rakenne sekä toiminnan laatu, laajuus ja monimuotoisuus. Riskienhallinnan järjestelyt sovitetaan yhteen ulkoisen ja sisäisen toimintaympäristön ja riskien mukaan. Riskienhallinta kattaa myös yhteistyökumppaneiden toiminnan. Ulkopuolelta hankittavissa palveluissa riskienhallinnan kokonais- ja valvontavastuu on aina virastolla. Palveluntuottajien riskienhallinnan järjestelyjen riittävä taso tulee varmistaa sopimuksilla.

Ohje 6 (11) 5 Riskienhallinnan vastuut Viestintävirastossa riskienhallinnan vastuut jakautuvat seuraavasti: Pääjohtaja vastaa sisäisen valvonnan ja riskienhallinnan järjestämisestä, vahvistaa riskienhallintapolitiikan ja -periaatteet sekä hyväksyy sisäisen valvonnan arviointi- ja vahvistuslausuman. Pääjohtajalla on kokonaisvastuu riskienhallinnasta ja sen toteutuksen seurannasta. Käytännön tehtäviä voidaan delegoida organisaatiossa. Riskienhallinnan ohjausryhmää informoidaan ja kuullaan riskienhallinnan raportoinnin ja muutosten suhteen. Ohjausryhmään kuuluvat pääjohtaja, toimialojen ja yksiköiden johtajat sekä riskienhallintapäällikkö. Muita riskienhallinnan ohjausryhmän tehtäviä on kuvattu tietoturvapolitiikassa. Johtoryhmissä riskienhallinta on osa ohjaus- ja johtamisjärjestelmää ja työskentelyä kaikilla organisaatiotasoilla. Viraston johtoryhmä käsittelee virastotasoiset riskit ja riskienhallintatoimenpiteet. Johtajat, päälliköt ja esimiehet vastaavat oman organisaatioyksikkönsä riskienhallinnasta ja sen toimeenpanosta, tunnistavat oman organisaatioyksikön toimintaan liittyviä riskejä sekä ilmoittavat ja raportoivat niistä asiaankuuluvalla tavalla eteenpäin. Johtajat toimivat viraston riskien omistajina, joilla on vastuu ja valtuudet oman alueensa riskeistä. Hankkeen tai projektin omistaja, hanke- /projektipäällikkö tai työryhmän vetäjä vastaa riskienhallinnasta osana hanke-/projekti/työryhmähallintoa. Hankkeiden, projektien ja työryhmien riskienhallinta sisältää erityisesti työn läpiviemiseen ja tavoitteiden saavuttamiseen liittyvien riskien tunnistamisen, analysoinnin, käsittelyn ja raportoinnin. Näiden riskienhallinnassa mukaan on otettava myös tavoiteltavan lopputuloksen sisältämät mahdolliset uudet riskit. Riskiarvioija on henkilö, joka on erityisesti nimetty arvioimaan riskienhallinnassa seurattavan kohteen riskejä. Riskiarvioijan tehtävänä on tunnistaa ja arvioida riskejä, ja tuottaa aineisto riskeistä ja hallintatoimenpiteistä riskin omistajan käsiteltäväksi. Henkilöstö arvioi ja tunnistaa mahdollisia omaan työhönsä liittyviä riskejä sekä ilmoittaa niistä ja poikkeamista esimiehelleen tai kiireisessä tapauksessa riskienhallintapäällikölle. Henkilöstön on huomioitava voimassa olevat ohjeet ja määräykset. Johdon

Ohje 7 (11) on varmistettava, että koko henkilöstö on näistä tietoinen ja koulutus ja perehdytys on ollut riittävä. Riskienhallintapäällikkö toimii Viestintäviraston riskienhallinnan vastuuhenkilönä. Hänen vastuullaan on seurata riskienhallinnan tilaa, koordinoida riskienhallintaa ja menettelyiden yhdenmukaisuutta, tukea riskienhallinnan prosessissa sekä kehittää riskienhallinnan menettelyitä. Riskienhallintapäällikön tukena on riskienhallintaryhmä, jossa on toimialojen ja yksiköiden nimeämiä, toimintaa hyvin tuntevia henkilöitä. Ryhmä toimii riskienhallintaprosessin valmistelevana ryhmänä sekä riskienhallinnan ja sisäisen turvallisuuden sekä varautumisen kehittämisen tukena. Ryhmän avulla riskienhallinnan toteutukseen saadaan laajempaa koko virastoa tuntevaa asiantuntemusta ja näkemystä. Riskienhallintaryhmän asettaa pääjohtaja toimialojen esityksestä. Muita riskienhallintaryhmän tehtäviä on kuvattu tietoturvapolitiikassa. Sisäinen tarkastus selvittää johdolle sisäisen valvonnan ja riskienhallinnan asianmukaisuutta ja riittävyyttä. Sisäinen tarkastus arvioi näiden toimivuutta ja tehokkuutta sekä tukee asiantuntijana organisaation kaikkia tasoja systemaattisen riskienhallinnan toteuttamisessa. Sisäinen tarkastus ei ole vastuussa riskienhallinnan järjestämisestä ja toteuttamisesta. 6 Riskienhallintaprosessi Viestintävirastossa Riskienhallinta on osa viraston toiminnanohjausjärjestelmää ja siten oleellinen osa viraston johtamisjärjestelmää. Viestintäviraston riskienhallinta muodostuu riskienhallinnan tavoitteesta, riskienhallintaorganisaatiosta, riskienhallintaprosessista, riskienhallintamenetelmästä sekä sen toteutuksesta, seurannasta ja raportoinnista. Viestintäviraston riskienhallinnan kokonaisuus on kuvattu kuvassa 1. Viestintäviraston riskienhallinnan käytännön toiminta on kuvattu riskienhallinnan menetelmäkuvauksessa. Käytännön riskienhallintaa tehdään virastossa aikataulutetun prosessin avulla. Prosessi varmistaa että riskit tunnistetaan ja arvioidaan, sekä käsitellään ennakoitavalla tavalla. Prosessin mukaisesti riskienhallinnan keskeiset vaiheet sisältyvät vuosikelloon. Riskien kokonaisarviointi eli koko virastotason keskeisten alueiden riskikartoitus tai niiden päivitys tehdään vuosittain vuosikellon mukaisesti siten, että Viestintäviraston suojattaviin kohteisiin (ISMS) kohdistuvat riskit arvioidaan kerran vuodessa ja vuositason (ERM) riskit kahdesti vuodessa.

Ohje 8 (11) Johto seuraa ja katselmoi prosessia, jotta sitä voidaan jatkuvasti parantaa riskienhallinnan tavoitteiden ja laadun varmistamiseksi, sekä sovittamiseksi muuhun johtamisjärjestelmään. Kuva 1. Viestintäviraston riskienhallinnassa toistettava prosessi, lähde: SFS- ISO 31000 7 Riskienhallinnan tavoitteet Viestintävirastossa Viestintäviraston riskienhallinnan tavoitteena on varmistaa viraston tavoitteiden saavuttaminen ja se, että viraston toiminnan vaikutukset ja seuraukset yhteiskunnalle ovat mahdollisimman positiiviset. Viraston toiminnan järjestäminen edellyttää riskien tunnistamista ja hallittua riskinottoa. Riskienhallinnan keinoin varmistetaan, että viraston ylimmällä johdolla on käytettävissään tarpeellinen tieto viraston toimintaa tai tavoitteiden saavuttamista uhkaavista riskeistä sekä riskien paremman hallinnan mahdollisuuksista, järjestelmälliset ja yhtenäiset menetelmät arvioida sekä hallita tunnistettuja riskejä, dokumentoitu tieto toteutettujen riskienhallintakeinojen soveltuvuuden onnistumisesta, sekä

Ohje 9 (11) tarvittavat tiedot sidosryhmille raportointia varten. 8 Riskinottohalukkuus Viraston toimialat voivat ottaa riskejä voidakseen järjestää toimintansa tehokkaasti. Riskin ottamisen tulee perustua mahdollisten vaikutusten etukäteiseen tunnistamiseen ja arviointiin, sekä hyötyjen ja haittojen tunnistamiseen ja vertailuun. Riskin ottaminen ei saa ylittää edellä kuvattua riskinsietokykyä tai olla ristiriidassa säädösten, hallinnonalan vaatimusten, viraston omien päätösten tai sisäisten ohjeiden kanssa. Mikäli riskiä arvioitaessa tulee ilmi, että riskinsietokyvyn ylittävän riskin toteutuminen lyhyellä aikavälillä on mahdollista, on riskiin suunniteltava ja toteutettava riskienhallintakeinoja. Mikäli riskiä arvioitaessa tulee ilmi, että riskinsietokyvyn ylittävän riskin toteutuminen lyhyellä aikavälillä on todennäköistä, on riskiin suunniteltava ja toteutettava välittömästi riskienhallintakeinoja, tai keskeytettävä toiminta josta riski voi aiheutua. Jos riskin omistaja arvioi tällaisen riskin ottamisen välttämättömäksi, tulee sille saada pääjohtajan hyväksyntä. 9 Seuranta Riskienhallinnan prosessin toteutumista seurataan johdon katselmoinneissa, jotka järjestetään ennakkoon laaditun suunnitelman mukaisesti vähintään kerran vuodessa. Pääjohtaja voi kutsua ylimääräisiä katselmuksia erityisen tilanteen niin edellyttäessä. Katselmuksessa käsitellään riskinsietokyvyn ylittäviä tai muutoin merkittäviä riskejä sekä riskien hallitsemiseksi valittavia tai valittuja riskienhallintakeinoja sekä niiden soveltuvuuden onnistumista. 10 Sisäinen raportointi ja tiedottaminen Riskienhallintapäällikkö raportoi riskienhallinnan ja sisäisen turvallisuuden tilanteesta viraston johdolle (riskienhallinnan ohjausryhmä) Viestintäviraston vuosikellon mukaisesti. Riskienhallinnan ohjausryhmän pöytäkirjat ovat myös riskienhallintaryhmän luettavissa. Riskienhallintapäällikkö raportoi ja tiedottaa tarvittaessa viraston johdolle myös vuosikellon ulkopuolella merkittävistä tai kiireellisistä, viraston turvallisuuteen tai riskienhallintaan tai sen toimintaympäristön turvallisuuteen vaikuttavista asioista. Asian kriittisyydestä ja kiireellisyydestä riippuen voidaan käynnistää viraston kriisijohtamistoiminta.

Ohje 10 (11) 11 Ulkoinen raportointi Pääjohtaja voi pyytää riskienhallintapäälliköltä tilannekatsausta, jossa käsitellään ajankohtaisia turvallisuuteen tai riskienhallintaan liittyviä asioita. Tilannekatsaus voidaan antaa myös koko viraston johdolle. Riskienhallintapäällikkö käy riskienhallintaryhmän kanssa läpi riskienhallinnan ja sisäisen turvallisuuden ajankohtaisia asioita ryhmän säännöllisissä kokouksissa. Riskienhallintaryhmän pöytäkirjat ovat riskienhallinnan ohjausryhmän luettavissa. Riskienhallintapäällikkö tiedottaa ja kouluttaa riskienhallintaan ja turvallisuuteen liittyvistä asioista henkilöstöhallinnon sopimissa koulutustilaisuuksissa (esimerkiksi Viestintäviraston mopokortti- ja ajokorttipäivät), viraston sisäisissä tiedotustilaisuuksissa, toimialojen ja yksiköiden pyytämissä tilaisuuksissa tai itsenäisesti ajankohtaisista asioista. Riskienhallintapäällikkö toteuttaa yhdessä Viestinnän kanssa henkilöstön saataville viraston intranetiin kulloinkin tarvittavat riskienhallinnan ja sisäisen turvallisuuden ohjeistukset. Riskienhallintapäällikkö laatii kulloinkin tarvittavan sisällön osaksi viraston toimintakertomusta. Muu sidosryhmäkohtainen viestintä hoidetaan sidosryhmätyön hallintaperiaatteiden mukaisesti. Tietohallinto tai muu tietojärjestelmän omistaja laatii tietojärjestelmiä koskevat häiriötiedotteet henkilöstölle. Viestinnän tavoitteena on saada vikaantuneen tietojärjestelmän tai palvelun käyttäjille ajantasainen tieto häiriön laajuudesta ja kestosta, ja mikäli tilanteessa on käytettävissä vaihtoehtoisia palveluita tai järjestelmiä. Häiriön päättymisestä tiedotetaan erikseen. Jokainen virastolainen on velvollinen tiedottamaan havaitsemistaan viraston omaisuuteen, toimintaan tai henkilöstöön kohdistuvista turvallisuusuhkista, -haavoittuvuuksista ja - poikkeamista omalle esimiehelleen ja kiireellisessä tapauksissa suoraan riskienhallintapäällikölle. Virasto raportoi riskienhallinnasta viranomaisen toiminnan julkisuudesta annetun lain sekä viraston ohjeiden mukaisesti Liikenne- ja viestintäministeriölle osana toiminta- ja taloussuunnittelu- sekä tulosohjausprosessia, joka pitää sisällään viraston tilinpäätökseen liittyvän sisäisen valvonnan sekä riskienhallinnan arvioinnin vahvistuslausuman. 12 Riskienhallinnan arviointi ja kehittäminen Viestintäviraston riskienhallintaa seurataan ja arvioidaan säännöllisesti viraston johtoryhmässä katselmoinnin yhteydessä. Ar-

Ohje 11 (11) 13 Allekirjoitukset vioinnin tulosten perusteella määritellään kehittämiskohteet. Toimintakertomukseen kirjataan arvioinnin tulos sekä keskeiset kehittämiskohteet sisäisen valvonnan arviointi- ja vahvistuslausumaan. Tämä ohje tulee voimaan heti ja kumoaa aiemmat versiot. Helsingissä 8. toukokuuta 2017 Pääjohtaja Kirsi Karlamaa Riskienhallintapäällikkö Juha Salpakari

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute