Sisäisen valvonnan ja riskienhallinnan perusteet

2. Soveltamisala

Sisäisen valvonnan ja siihen olennaisena osana sisältyvän riskienhallinnan perusteilla luodaan puitteet järjestää ja yhdenmukaistaa kaupunkikonsernin ohjaus- ja johtamisjärjestelmää. Tavoitteena on vahvistaa hyvää hallinto- ja johtamistapaa.

Sisäisen valvonnan ja riskienhallinnan tulee olla järjestetty näiden perusteiden mukaan sekä kaupunkikonsernin omassa toiminnassa että toiminnassa, josta kaupunki vastaa omistuksen, ohjaus- ja valvontavastuun sekä muiden velvoitteiden myötä. Sisäisen valvonnan ja riskienhallinnan perusteet koskevat siten kaikkia valvonnasta vastuussa olevia kaupungin toimielimiä ja johtoa. Kaupunkikonserniin kuuluvissa tytäryhteisöissä sisäisen valvonnan ja riskienhallinnan järjestäminen kuuluu tytäryhteisöjen hallitusten ja toimitusjohtajien vastuulle.

Sisäisestä valvonnasta ja riskienhallinnasta on lisäksi voimassa, mitä kaupungin johtosäännöissä, ”Hyvä hallintotapa -suosituksessa”, ”Sisäisen valvonnan yleisohjeessa”, ”Espoon kaupungin riskienhallintapolitiikassa” sekä muissa ohjeissa ja määräyksissä on sanottu. Kaupunkikonserniin kuuluvien tytäryhteisöjen on noudatettava ”Hyvä hallinto- ja johtamistapaa koskeva ohje Espoo-konserniin kuuluvissa yhtiöissä” -ohjeen sisäistä valvontaa ja riskienhallintaa koskevaa ohjeistusta.

3. Käsitemäärittelyä

Sisäinen valvonta on kaupungin ja sen toimialan, palvelu- tai vastuualueen toiminnan omaa valvontaa, joka on johdon tekemää tai johdon lukuun tehtyä. Toimivalla sisäisellä valvonnalla varmistetaan, että johto saa organisaation toimimaan haluamallaan tavalla ja että johto saa riittävästi tietoa toiminnan ja organisaation tilasta ja aikaansaannoksista. Kysymys on toiminnan itsearvioinnista ja tavoitteena on toiminnan jatkuva parantaminen.

Riskienhallinta on osa sisäistä valvontaa, joka toteutuu sekä johtamis-, suunnittelu- ja ohjauskäytännöissä että säännöllisten riskikartoitusten kautta. Sisäinen valvonta jakaantuu luottamushenkilöille kuuluvaan seurantaan, esimiesten suorittamaan valvontaan sekä sisäiseen tarkastukseen.

Ulkoinen valvonta on kaupunginhallituksesta ja kaupungin viranhaltijajohdosta riippumatonta toimintaa, jota suoritetaan sekä kaupungin järjestämänä (tarkastuslautakunta ja tilintarkastaja) että täysin kunnallisen ohjauksen ulkopuolella. Ulkoista valvontaa harjoittavat mm. kaupungin asukkaat, joilla on julkisuusperiaatteen mukainen valvontaoikeus ja -mahdollisuus.

4. Sisäisen valvonnan tarkoitus ja tavoitteet

Sisäisen valvonnan tarkoituksena on hallituksen, muiden tilivelvollisten toimielinten, johdon, esimiesten ja henkilöstön erilaisten toimenpiteiden avulla hallita riskejä ja lisätä päämäärien ja tavoitteiden saavuttamisen todennäköisyyttä. Sisäinen valvonta on osa kaupungin johtamisjärjestelmää sekä kaupunginjohdon ja hallinnon työväline, jonka avulla arvioidaan asetettujen tavoitteiden toteutumista, toimintaprosesseja ja riskejä.

Espoon kaupungin sisäisen valvonnan tavoitteena on saada kohtuullinen varmuus seuraavien tavoitteiden saavuttamisesta:

•  kaupungin toiminnan tuloksellisuus ja tehokkuus,
• toiminnan ja talouden raportoinnin oikeellisuus ja tietojen luotettavuus,
•  lakien, päätösten, sääntöjen ja johdon ohjeiden noudattaminen sekä
•  resurssien ja omaisuuden turvaaminen.

Espoon kaupunkikonserni on laaja, monilla eri toimialoilla toimiva konserni. Sisäisen valvonnan tulee kattaa valvottavan kaikki toiminnot. Sisäisen valvonnan järjestämisessä tulee ottaa huomioon organisaatiorakenne sekä toiminnan laatu, laajuus ja monimuotoisuus. Lisäksi on varmistettava, että sisäinen valvonta on riittävää ja oikeassa suhteessa toiminnan sisältämiin riskeihin.

5. Sisäisen valvonnan tehtävät ja vastuut

Valtuusto päättää kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteista ja linjauksista sekä edellyttää, että kaupunkikonsernin toiminnot on järjestettävä siten, että kaikilla organisaation tasoilla ja kaikissa toiminnoissa on riittävä sisäinen valvonta ja riskienhallinta.

Kaupunginhallituksella on operatiivinen vastuu sisäisen valvonnan ja riskienhallinnan ohjeistamisesta ja asianmukaisesta järjestämisestä, toimeenpanon valvonnasta ja tuloksellisuudesta. Kaupunginhallitus päättää sisäistä valvontaa ja riskienhallintaa koskevat ohjeet sekä vastaa tilinpäätöksen toimintakertomuksessa annettavasta sisäisen valvonnan ja konsernivalvonnan järjestämisen selonteosta. Kaupunginhallitus voi perustaa alaisekseen tarkastustoimikunnan joka valmistelee kaupunginhallitukselle päätettäväksi edellä mainitut ohjeet sekä selonteon. Konserniesikunnan strategia ja talous -yksikön konserniohjausryhmän tehtävänä on koordinoida ja kehittää kaupunkikonsernin riskienhallintaa.

Kaupunginhallituksen alaiset toimielimet vastaavat omalla tehtäväalueellaan sisäisen valvonnan ja riskienhallinnan asianmukaisesta järjestämisestä, toimeenpanon valvonnasta ja tuloksellisuudesta sekä merkittävimpien riskien raportoinnista kaupunginhallituksen antamien ohjeiden mukaisesti.

Kaupunginjohtaja, toimialajohtajat sekä muut johtavat viranhaltijat ja esimiehet vastaavat sisäisen valvonnan ja riskienhallinnan järjestämisestä ja tuloksellisuudesta vastuualueillaan. He raportoivat sisäisen valvonnan ja riskienhallinnan järjestämisestä ja tuloksellisuudesta valvonnasta vastuussa olevalle toimielimelle. Käytännön vastuu sisäisen valvonnan ja riskienhallinnan toteuttamisesta on siis toimialoilla, liikelaitoksissa ja tytäryhteisöissä, eli siellä missä riskit myös ensisijaisesti syntyvät. Sisäisestä valvonnasta vastaavat täten kaikki tilivelvolliset ja esimiehet. Henkilöstö sitoutuu toimimaan tavoitteiden ja annettujen sääntöjen mukaisesti, kehittämään toimintatapoja sekä ylläpitämään ja jatkuvasti kehittämään ammatillista osaamistaan.

6. Sisäisen tarkastuksen tarkoitus ja tehtävät

Sisäinen tarkastus tukee organisaatiota sen tavoitteiden saavuttamisessa tarjoamalla järjestelmällisen lähestymistavan organisaation valvonta-, johtamis- ja hallintoprosessien tuloksellisuuden arviointiin ja toiminnan kehittämiseen. Sisäisen tarkastuksen toiminto on riippumatonta ja objektiivista. Sisäistä tarkastusta toteutetaan ammattistandardien mukaisesti.

Sisäisen tarkastuksen yksikön tehtävänä on

•  tarkastaa ja arvioida kaupungin sisäisen valvonnan ja toiminnan tuloksellisuutta arvioida ja varmentaa kaupungin sisäisen valvonnan ja riskienhallinnan asianmukaisuutta ja riittävyyttä
•  arvioida ja tarkastaa, ovatko sisäisen valvonnan menettelyt toiminnan riskeihin nähden asianmukaiset ja riittävät siten, että ne varmistavat talouden ja toiminnan laillisuuden ja tuloksellisuuden, hallinnassa olevien varojen ja omaisuuden turvaamisen sekä johtamisen ja päätöksenteon edellyttämät oikeat ja riittävät tiedot taloudesta ja toiminnasta.

Sisäisellä tarkastuksella on oikeus saada tarkastustehtävänsä suorittamiseksi tarpeelliset tiedot ja asiakirjat. Sisäistä tarkastusta suoritetaan kaupunginjohtajan hyväksymän toimintasuunnitelman mukaisesti. Toimintasuunnitelma annetaan tiedoksi tilintarkastajille.

7. Sisäisen valvonnan ja riskienhallinnan kytkentä Espoon kaupunkikonsernin johtamis ja
ohjausjärjestelmään

Sisäinen valvonta ja riskienhallinta ovat osa strategista ja operatiivista toiminnan ja talouden suunnittelua, päätöksentekoa, seurantaa, poikkeamiin reagoimista sekä suoriutumisen arviointia. Sisäiseen valvontaan on kiinnitettävä erityistä huomiota organisaation ja sen toimintaympäristön laajentuessa ja muuttuessa.

Sisäisen valvonta koostuu viidestä toisiinsa vaikuttavasta osa-alueesta:

•  johtamistapa ja organisaatiokulttuuri,
•  riskienhallinta,
•  valvontatoimenpiteet,
•  raportointi ja tiedonvälitys sekä
•  seuranta ja arviointi.

Näiden osa-alueiden sisältö ja rakenne vaikuttavat ratkaisevasti sisäisen valvonnan toimivuuteen. Erityisesti korostuu vuorovaikutteinen tiedonvälitys johdon ja henkilöstön välillä. Sisäisestä valvonnasta vastuussa olevien tahojen tulee huolehtia edellä mainittujen osa-alueiden asianmukaisesta järjestämisestä, toimivuuden arvioinnista ja raportoinnista.

Sisäisen valvonnan ja riskienhallinnan avulla kaupunkikonsernin toimialat, yksiköt ja muut vastuutahot pyrkivät varmistamaan tavoitteidensa saavuttamisen. Tästä syystä sisäistä valvontaa ja riskienhallintaa ei eriytetä muusta tavoitteiden saavuttamiseen tähtäävästä toiminnasta, vaan se on jatkuva osa päivittäistä johtamista, ohjaamista ja työn toteuttamista Espoo-konsernissa.

8. Riskit ja riskienhallinta

Espoon kaupunkikonsernissa riskeillä tarkoitetaan epävarmuustekijöitä, tapahtumia tai tapahtumaketjuja joiden toteutuessa Espoo-konserni tai sen yksikkö ei saavuta sille asetettuja tavoitteita ja/tai kokee huomattavia menetyksiä. Kaupunkikonsernin riskit jaotellaan neljään pääryhmään, jotka ovat strategiset, taloudelliset ja toiminnalliset riskit sekä vahinkoriskit. Kaikkiin näihin ryhmiin voi kuulua sisäisiä tai ulkoisia riskejä.

Kaupunkikonsernin riskienhallinta on osa sisäistä valvontaa ja sen tavoitteena on saada järjestelmällisellä ja ennakoivalla toiminnalla kohtuullinen varmuus organisaation tavoitteiden saavuttamisesta. Se on järjestelmällistä toimintaa jonka myötä tavoitteiden saavuttamista uhkaavat riskit tunnistetaan ja arvioidaan sekä niiden hallintakeinoja suunnitellaan, toteutetaan ja seurataan tehokkaasti. Riskienhallinta sisältyy keskeisesti kaupunkikonsernin strategia- ja vuosisuunnitteluun ja se on operatiivisella tasolla mukana eri prosesseissa, toiminnoissa sekä ohjelmissa ja projekteissa.

9. Riskienhallintaprosessin määrittely

Riskienhallinta koostuu jatkuvista toimenpiteistä, joiden tulee olla luonteva osa kaupunkikonsernin toiminnan suunnittelua ja operatiivista toimintaa. Toiminnan tavoitteita uhkaavien riskien hallintaprosessiin kuuluu riskien tunnistaminen ja arviointi (ts. riskikartoitus), toimenpiteiden suunnittelu, toteutus sekä raportointi ja seuranta. Lisäksi tavoitteita uhkaavien riskien hallintaprosessin ja sen ohjeiden päivitys on osa kokonaisuutta.

Kaupunkikonsernissa on määritelty vuosittainen riskienhallinnan prosessi, joka noudattaa kaupunkikonsernin muuta suunnittelu- ja raportointisykliä:

• Vastuutahot tekevät riskikartoituksensa tuloskorttiensa ja toimintasuunnitelmiensa laatimisen yhteydessä keväällä.
• Riskejä tunnistetaan ja arvioidaan koko toiminnan onnistumisen kannalta: Mitkä asiat voivat uhata toiminnan jatkuvuutta, tavoitteiden saavuttamista tai mahdollisuuksien hyödyntämistä?
•  Syksyllä/loppuvuodesta kevään riskikartoituksesta päivitetään uusi versio, johon tarkennetaan keväällä (tai sen jälkeen) tunnistettuja riskejä, niiden tilannetta ja riskienhallintatoimenpiteitä.

10. Riskeistä ja riskienhallinnasta raportointi

Raportointi tavoitteiden toteutumisesta ja toiminnasta on tärkeä johdon työväline. Tiedon tulee olla luotettavaa, olennaista ja ajantasaista. Vastuutahot raportoivat harkintansa mukaan merkittävimmistä riskeistään ja niiden hallinnan tilasta organisaatiossa ylemmälle tasolle. Toimialat, liikelaitokset ja tytäryhteisöt raportoivat merkittävistä riskeistään ja riskien hallinnan kehittämisestä osana toiminnan ja talouden seurantaa ja raportointia kaksi kertaa vuodessa keväällä ja loppuvuonna. Strategia ja talous –yksikön konserniohjausryhmä koostaa ja raportoi vastaavat tiedot kaupunkikonsernitasolla.

11. Arviointi ja selonteko sisäisen valvonnan ja riskienhallinnan järjestämisestä

Kaupunginhallitus on velvollinen antamaan selonteot sisäisen valvonnan ja konsernivalvonnan järjestämisestä kunnassa ja kuntakonsernissa. Jokainen Espoon kaupungin tilivelvollinen toimielin ja tytäryhteisö tekevät osana toimintakertomustaan sisäisen valvonnan selonteon toimialaltaan. Selonteossa tulee kuvata sisäisen valvonnan ja riskienhallinnan järjestäminen, valvonnassa havaitut puutteet sekä toimenpiteet niiden korjaamiseksi.

12. Väärinkäytösten ehkäisy ja tunnistaminen

Espoon kaupunkikonsernissa ei sallita väärinkäytöksiä. Toimiva sisäinen valvonta ehkäisee väärinkäytöksiä ja on paras menetelmä väärinkäytöksien paljastamisessa. Johdon velvollisuutena on toteuttaa sisäistä valvontaa väärinkäytösten ehkäisemiseksi ja havaitsemiseksi sekä puuttua havaittuihin väärinkäytöksiin. Väärinkäytöksenä pidetään erilaisia epärehellisiä, epäeettisiä tai kaupunkikonsernin ohjeita rikkovia taikka lainvastaisia tekoja.