Sisäinen valvonta
Yritysturvallisuus > Compliance
Yrityksen johtamiseen liittyy olennaisena osana sisäinen valvonta. Sisäinen valvonta on luonteeltaan myönteistä seurantaa. Merkittävä osa sisäisen valvonnan toiminnasta liittyy yrityksen omaisuuserien asianmukaisen käytön valvontaan.Lähtökohtana on, että jokainen työyhteisön jäsen suorittaa tehtävänsä annettujen ohjeiden mukaisesti. Asianmukaisesti organisoitu ja toimiva sisäinen valvonta helpottaa oleellisesti esimiestehtävien hoitoa ja varmistaa tehokkaan toiminnan. Sisäisen valvonnan toimivuuden eräs kulmakivi on esimiehen aktiivisuus.
Esimiehen tulee olla kiinnostunut alaisista, heidän elämäntavoista ja yhteyksistä muihin yrityksiin. Kaikki olennaiset myös yrityksen tietoturvaan vaikuttavat seikat on tuotava sisäisen tarkastuksen tietoon. Sisäisen valvonnan tavoitteita ovat:
- tiedon luottamuksellisuuden, eheyden ja käytettävyyden turvaaminen
- toimintaperiaatteiden, suunnitelmien, ohjeiden, lakien ja määräysten noudattamisen todentaminen mm. virheiden ja väärinkäytösten ehkäisemiseksi
- yrityksen omaisuuden turvaaminen
- yrityksen resurssien kokonaistaloudellinen ja tarkoituksenmukainen käyttö.
Vastuu sisäisen valvonnan järjestämisestä kuuluu yrityksen johdolle. Johtajat eivät voi delegoida tätä vastuutaan, vaikka sisäiseen valvontaan kuuluvia tehtäviä tuleekin delegoida.
Sisäisen valvonnan toimivuutta on aika ajoin seurattava. Valvontajärjestelmä tulee laatia riittävän kattavaksi. Valvontajärjestelmän tulee olla myös ajan tasalla ja kaikissa tilanteissa kyseiselle kohderyhmälle soveltuva.
Sisäisen valvonnan järjestelmiä ei voida koskaan pitää täysin valmiina. Valvonta edellyttää jatkuvaa kehittämistä toimiakseen tehokkaasti. Hyvin organisoitu ja toimiva valvonta helpottaa kuitenkin oleellisesti esimiehen omaa työtä ja varmistaa tehokkaan resurssien hyödyntämisen.
Sisäisen valvontajärjestelmän kuvaaminen ja rakentaminen
Sisäinen valvontajärjestelmä rakennetaan käymällä läpi eri ryhmien toiminta. Valvontajärjestelmän tulee kattaa kaikki keskeiset toiminnan perusteella nähtävät riskit, uhat ja ongelmat.
Sisäisen valvonnan ohjeet tulee olla esimiesten saatavilla. Ohjeet tulee saattaa tarpeellisin osin myös henkilökunnan tietoon. Valvontatehtävistä vastuussa oleville henkilöille tulee erikseen kertoa heidän valvontatehtävänsä antamalla kopiot valvontakohdeluettelosta heitä koskevin osin.
Organisointi ja tehtävien jako
Sisäisen valvonnan perustana on organisaatio, jossa tehtävät ja vastuualueet on selvästi määritelty. Yleisenä periaatteena on, että sama henkilö ei saa hoitaa erilliseksi toiminnaksi katsottavaa kokonaisuutta, eikä aina edes useita osatehtäviäkään ts. vaarallisia työyhdistelmiä tulee mahdollisuuksien mukaan välttää.
Taloushallinnon työtehtävien organisoinnissa tulee pyrkiä siihen, että mahdolliset virheet ja väärinkäytökset tulevat ilmi viimeistään toisen henkilön suorittamassa myöhemmässä työvaiheessa. Muun kuin alkuperäisen toiminnan suorittajan tulee huolehtia valvonnasta ja oikeellisuuden tarkistamisesta. Ellei tämä onnistu, on aiheutuvaa riskiä pienennettävä lisäämällä lähiesimiehen suorittamaa valvontaa.
Vastuualuekohtaisten varamiesjärjestelyiden toimivuus pyritään yleensä varmistamaan henkilöiden suunnitelmallisella kierrätyksellä. Kierrätys kehittää myös henkilöstön ammattitaitoa, lisää työmotivaatiota, karsii virheellisiä toimintatapoja sekä toimii osaltaan tehokkaana ennalta ehkäisevänä keinona väärinkäytöksiä vastaan.
Tehtäväkierrätys ei ole yleensä mahdollista laajemmassa mittakaavassa, johtuen yritysten vähäisestä henkilöstömäärästä ja työtehtävien edellyttämästä erikoisosaamisesta. Näissä tapauksissa on esimiehen tehtävänä harkita muita soveltuvia valvontamenettelyitä mm. työtehtävien suorittamiseksi annettavia kirjallisia ohjeita. Henkilöiden työtehtävien tulee ylipäätään perustua kirjallisiin toimen- ja tehtäväkuvauksiin.
Toimivaltuudet
Henkilökunnalle annettavien valtuuksien yksilöinti, ajanmukaisuus ja valvonta ovat valtuuksien tehokkaan käytön edellytys. Valtuuksien tulee vastata henkilön työtehtävien laajuutta. Valtuuksia ovat mm. vastuupäätös, hyväksymispäätös ja tietojärjestelmien käyttövaltuudet.
Vahvistettu budjetti ei voi automaattisesti oikeuttaa henkilöä kustannuksia aiheuttaviin tai yritystä sitoviin toimenpiteisiin. Toimenpiteisiin ryhtymisen edellytyksenä tulee olla normaali hyväksymisjärjestelmän mukainen toiminta. Valtuudet määritellään toimintaohjeessa, jonka johto vahvistaa vuosittain tai toiminnassa tapahtuvien merkittävien muutosten yhteydessä.
Raportointi
Säännöllinen raportointi on valvonnan edellytys. Erityisesti budjetin seurantaan liittyvät raportit ovat keskeisimpiä liiketoiminnan valvonnan välineitä. Johtoryhmä päättää, millä organisaatiotasoilla eri raportit kierrätetään ja ketkä osallistuvat niiden käsittelyyn. Valvonnasta vastaava henkilö käy raportit läpi oman vastuualueensa osalta.
Esimiehen suorittama valvonta
Esimiehen velvollisuuksiin kuuluu vastuualueensa yleinen seuranta. Esimiehen on varmistuttava siitä, että hän saa välittömästi tiedon kaikista osastonsa olennaisista tapahtumista.
Henkilökunnan elämäntapojen tunteminen on osa valvontaa. Esimiesten tulee olla tietoinen alaistensa työsuorituksiin vaikuttavista oleellisista elämäntapamuutoksista. Oleelliset muutokset on huomioitava työtehtävien seurannassa ja valvonnassa.
Oleellisia seikkoja ovat esim. taloudelliset ongelmat, liialliset ylityöt, toistuvat poissaolot ja alkoholiongelmat. Mikäli aihetta ilmenee, noudatetaan ennalta sovittuja menettelytapoja asioiden ratkaisemiseksi.
Esimerkki valvontajärjestelmän sisällöstä
Suunnittelu ja ohjausjärjestelmäToiminnot noudattavat johtoryhmän hyväksymässä toimintaohjeessa määriteltyä suunnittelu- ja ohjausjärjestelmää.Organisaatio, tehtävät ja käyttövaltuudetOrganisaatiokaaviot tulee ylläpitää ja julkaista. Organisaatiokaaviosta tulee ilmetä esimies-alaissuhteet.ToimenkuvatToimenkuvat laatii esimies johtoryhmässä annettujen ohjeiden mukaisesti. Toimenkuvat tarkistetaan aina henkilön työtehtävien vaihtuessa ja vuosittain toimintasuunnitelman laatimisen (kehityskeskustelu) yhteydessä sekä säilytetään keskitetysti hallintoryhmässä.Organisaatiomuutosten yhteydessä siirtyvän henkilön, luovuttavan esimiehen ja vastaanottavan esimiehen sekä luottamusmiehen kesken käydään YT-prosessin mukaiset neuvottelut, joista laaditaan pöytäkirja.Omaisuuserien inventointiOmaisuuserien kirjanpito ja inventointi tulee määritellä inventointiohjeessa. Omaisuuden hankinta tulee määritellä hankintaohjeessa. Toimintojen johtajat vastaavat ohjeiden noudattamisesta.Omaisuuserien käyttöoikeudetOmaisuuden käyttöoikeuksien varmistamiseksi tulee jokaisella toiminnolla olla käytössään luettelo, josta käy ilmi kullekin henkilölle käyttöön luovutettu omaisuus. Luettelosta tulee ilmetä jokaisen henkilön osalta seuraavat tiedot:
- resurssien kokonaistaloudellinen ja tarkoituksenmukainen käyttö
- etätyötä varten luovutetut laitteet
- luovutetut ohjelmistot
- luottokortit
- toimistokoneet
- avaimet
- työsuhdeauto ja -puhelimet
- muu henkilökohtaisessa käytössä oleva yrityksen omaisuus.
Luettelo on tarkistettava vuosittain ajantasaisuuden varmistamiseksi. Henkilön erotessa palveluksesta tai siirtyessä toisiin tehtäviin, on luetteloa käyttäen varmistuttava siitä, että omaisuus jota ei uudessa tehtävässä tarvita tulee palautetuksi.Tietojärjestelmien käyttövaltuudetTietojärjestelmien käyttövaltuudet tulee pohjautua hyvän tiedonkäsittelytavan periaatteisiin ja muihin yleisesti hyväksyttyihin tietoturvakäytänteisiin. Käyttövaltuudet tulee olla raportoitavissa riittävällä tarkkuudella ja niiden ajantasaisuus tarkistettava esimiesten toimesta vuosittain.Työnkulkukaaviot ja vastuualueluettelotTyönkulkukaaviot on laadittava, jos tehtävät ovat laajoja tai sisältävät vaihtoehtoisia työmenetelmiä. Kaavioiden tavoitteina on selkiyttää työtehtävien liittymistä toisiinsa ja varmistaa, ettei työnkulkuun tai työnseurantaan jää aukkoja.Esimiesten tehtävänä on arvioida, milloin työnkulkukaavion laatiminen on tarpeellista ja tarkistaa niiden ajantasaisuus vuosittain.Vastuualueluettelot tulee laatia ja ylläpitää toiminnoittain (hallinto, tuotanto, myynti- ja markkinointi, tuotekehitys). Luetteloita säilytetään sisäisen valvonnan yleisohjeen liitteinä.VarahenkilöjärjestelytToimintojen esimiehet tarkistavat kerran vuodessa, että vastuuhenkilöille on nimetty varahenkilöt. Varahenkilön ei tarvitse osata varallaoloalueensa työtehtäviä syvällisesti, vaan tarkoituksena on, että varahenkilöllä on tarvittaessa valmius ottaa tehtävistä vastuu.Päivittäinen työaikaEsimiehet seuraavat päivittäistä työajan noudattamista.YlityötTyötehtävien etukäteissuunnittelun avulla on luotava järjestelmä, joka minimoi ylitöiden määrän. Esimies seuraa ylitöiden määrää kuukausittain. Henkilöstöpäällikkö seuraa ylitöiden määrää esimerkiksi kolmannes vuosittain.PoissaolotPoissaolojen ilmoitus- ja raportointimenettelystä on sovittava erikseen. Lähiesimiesten tulee kiinnittää huomiota toistuviin poissaoloihin ja selvittää niiden syyt. Henkilöstöhallinto hoitaa keskitetysti poissaolojen seurannan.LomatVuosilomien osalta noudatetaan voimassa olevaa työsopimusta. Esimiesten tulee huolehtia vuosittaisesta henkilöstön lomasuunnittelusta. Vuosilomasuunnitelmat toimitetaan keskitetysti hallintoon.SivutoimetSivutoimien hyväksymisessä ja ilmoittamisessa toimitaan johtoryhmän antamien ohjeiden mukaisesti. Sivutoimilupia myönnettäessä kiinnitetään huomiota sivutoimen ja henkilön päätoimen yhteensopivuuteen sekä sivutoimen vaatimaan ajankäyttöön.Henkilöstöhallinto ylläpitää sivutoimirekisteriä, ja varmistaa, että muutoksista ilmoitetaan ja että sivutoimirekisterissä olevien tietojen oikeellisuus vahvistetaan vuosittain. Sivutoimiluvat saatetaan keskitetysti johtoryhmän käsittelyyn.MatkatTyömatkojen osalta noudatetaan johtoryhmän hyväksymää matkustussääntöä.Työntekijän irtisanoutuminenTyöntekijän irtisanoutuessa työsuhteesta on valvottava, että tilanteessa noudatetaan erillistä henkilöasioista annettua ohjetta. Esimies valvoo ohjeiden noudattamista.LiiketoimintaToiminnot vastaavat omien liiketoimintaprosessien kuvaamisesta. Prosessit ja niihin liittyvät ohjeet käsitellään työryhmien omissa kokouksissa. Kirjallisia ohjeita laaditaan tarpeen mukaan.LiikesalaisuudetVakinaisten ja määräaikaisten henkilöiden sekä palveluntarjoajien henkilökunnan tietoon on saatettava liikesalaisuutta koskevat ohjeet ja periaatteet. Periaatteita rikottaessa noudatetaan johdon hyväksymiä toimenpiteitä ja salassapitosopimusten sanktioita.Yleinen turvallisuusToiminnot noudattavat johdon hyväksymiä kirjallisia turvallisuusohjeita. Esimiehet valvovat, että ohjeita noudatetaan.Asiakasvalitusten ja palveluvirheiden käsittelyToimintojen johtajien tulee varmistua, että asiakkaiden esittämät valitukset ja merkittävät palveluvirheet sekä -häiriöt tulevat asianmukaisesti selvitettyä ja merkittävät tapaukset saatetaan johtoryhmän tietoon.Toiminnan laadunvarmistusKaiken laadun lähtökohtana on henkilökohtainen laatu. On tärkeätä, että palvelut toteutuvat suunnitellusti ja laadullisesti korkealuokkaisina. Toimintojen johtajien tulee varmistua toiminnan laatutasosta.Toiminnan erityisriskitToimintojen johtajien tulee seurata toimintaolosuhteissa ja tehtävien organisoinnissa tapahtuvien muutosten vaikutuksia riskitasoon.ErityisvaltuudetToimintojen johtajien tulee valvoa, että erityisvaltuudet ovat asianmukaisesti määritelty ja niiden käyttöä seurataan.Valtuuksien myöntäminen ja valtuusrikkomusten seurantaEsimiesten tulee valvoa, että käyttövaltuuksien myöntäminen ja valtuuksien käyttö tapahtuvat asianmukaisesti.Sovellusmuutosten valvontaYrityksessä tulee olla muutostenhallintaryhmä (MUHA), jonka tehtävänä on varmistua, että tietojärjestelmien ohjelmistomuutoksissa ja päivityksissä noudatetaan riittävää huolellisuus- ja varovaisuusperiaatetta.KilpailutusHankintojen kilpailuttamista varten yrityksellä tulee olla ajantasainen hankintaohjeistus ja hankintojen kilpailuttamisesta vastaava henkilö nimetty.Tietojärjestelmien kehittämisessä ja ylläpitämisessä sekä laitteistojen hankinnassa noudatetaan kilpailuttamisesta annettuja ohjeita sekä tietohallintolinjauksissa mainittuja periaatteita.Laskujen hyväksymis- ja maksatusjärjestelmäLaskut tulee hyväksyä voimassaolevien valtuuksien mukaisesti. Tositevalvontaa suorittavat toimintojen esimiehet tai heidän määräämänsä henkilöt.Laitteisto- ja järjestelmävastuutToimintojen johtajat yhdessä tietohallintopäällikön kanssa seuraavat käytössä olevien tietojärjestelmien asianmukaisuutta.Varalaitteistot ja -järjestelmätLiiketoiminnan jatkuvuuden turvaamiseksi tietojärjestelmät tulee suunnitella mahdollisimman vika- ja häiriösietoisiksi. Tietojärjestelmistä vastaavat henkilöt varmistavat käytössä olevan asianmukaisen varalaitteiston ja -järjestelmän sekä tarpeellisten tietovarastojen kopiokappaleiden olemassaolon ja käytettävyyden.Dokumentointi ja ohjeistusTietojärjestelmät ja sovellukset tulee dokumentoida asianmukaisesti. Dokumentoinnissa ja ohjeistuksessa noudatetaan kulloinkin voimassa olevaa ohjeistusta.TietoturvallisuusToiminnot noudattavat ja tarvittaessa soveltavat tietoturvapolitiikassa määriteltyjä toimintaperiaatteita. Jokaisen henkilökuntaan kuuluvan on tunnettava kulloinkin voimassa olevat ohjeet. Noudattamisen seuranta kuuluu esimiehen tehtäviin.Luottamuksellisten asiakirjojen arkistointi ja säilytysLuottamuksellisten asiakirjojen käsittelyä, säilytystä ja lähettämistä koskevat ohjeet tulee saattaa henkilökunnan tietoon. Esimiehet seuraavat ohjeiden noudattamista. Arkistoaines säilytetään arkistonmuodostussuunnitelman mukaisesti.