Sisäinen valvonta - SecMeter

Sisältöön

Sisäinen valvonta

Yritysturvallisuus > Compliance
Yrityksen johtamiseen liittyy olennaisena osana sisäinen valvonta. Sisäinen valvonta on luonteeltaan myönteistä seurantaa. Merkittävä osa sisäisen valvonnan toiminnasta liittyy yrityksen omaisuuserien asianmukaisen käytön valvontaan.

Lähtökohtana on, että jokainen työyhteisön jäsen suorittaa tehtävänsä annettujen ohjeiden mukaisesti. Asianmukaisesti organisoitu ja toimiva sisäinen valvonta helpottaa oleellisesti esimiestehtävien hoitoa ja varmistaa tehokkaan toiminnan. Sisäisen valvonnan toimivuuden eräs kulmakivi on esimiehen aktiivisuus.

Esimiehen tulee olla kiinnostunut alaisista, heidän elämäntavoista ja yhteyksistä muihin yrityksiin. Kaikki olennaiset myös yrityksen tietoturvaan vaikuttavat seikat on tuotava sisäisen tarkastuksen tietoon. Sisäisen valvonnan tavoitteita ovat:

  • tiedon luottamuksellisuuden, eheyden ja käytettävyyden turvaaminen
  • toimintaperiaatteiden, suunnitelmien, ohjeiden, lakien ja määräysten noudattamisen todentaminen mm. virheiden ja väärinkäytösten ehkäisemiseksi
  • yrityksen omaisuuden turvaaminen
  • yrityksen resurssien kokonaistaloudellinen ja tarkoituksenmukainen käyttö.

Vastuu sisäisen valvonnan järjestämisestä kuuluu yrityksen johdolle. Johtajat eivät voi delegoida tätä vastuutaan, vaikka sisäiseen valvontaan kuuluvia tehtäviä tuleekin delegoida.

Sisäisen valvonnan toimivuutta on aika ajoin seurattava. Valvontajärjestelmä tulee laatia riittävän kattavaksi. Valvontajärjestelmän tulee olla myös ajan tasalla ja kaikissa tilanteissa kyseiselle kohderyhmälle soveltuva.

Sisäisen valvonnan järjestelmiä ei voida koskaan pitää täysin valmiina. Valvonta edellyttää jatkuvaa kehittämistä toimiakseen tehokkaasti. Hyvin organisoitu ja toimiva valvonta helpottaa kuitenkin oleellisesti esimiehen omaa työtä ja varmistaa tehokkaan resurssien hyödyntämisen.

Sisäisen valvontajärjestelmän kuvaaminen ja rakentaminen
Sisäinen valvontajärjestelmä rakennetaan käymällä läpi eri ryhmien toiminta. Valvontajärjestelmän tulee kattaa kaikki keskeiset toiminnan perusteella nähtävät riskit, uhat ja ongelmat.

Sisäisen valvonnan ohjeet tulee olla esimiesten saatavilla. Ohjeet tulee saattaa tarpeellisin osin myös henkilökunnan tietoon. Valvontatehtävistä vastuussa oleville henkilöille tulee erikseen kertoa heidän valvontatehtävänsä antamalla kopiot valvontakohdeluettelosta heitä koskevin osin.

Organisointi ja tehtävien jako
Sisäisen valvonnan perustana on organisaatio, jossa tehtävät ja vastuualueet on selvästi määritelty. Yleisenä periaatteena on, että sama henkilö ei saa hoitaa erilliseksi toiminnaksi katsottavaa kokonaisuutta, eikä aina edes useita osatehtäviäkään ts. vaarallisia työyhdistelmiä tulee mahdollisuuksien mukaan välttää.

Taloushallinnon työtehtävien organisoinnissa tulee pyrkiä siihen, että mahdolliset virheet ja väärinkäytökset tulevat ilmi viimeistään toisen henkilön suorittamassa myöhemmässä työvaiheessa. Muun kuin alkuperäisen toiminnan suorittajan tulee huolehtia valvonnasta ja oikeellisuuden tarkistamisesta. Ellei tämä onnistu, on aiheutuvaa riskiä pienennettävä lisäämällä lähiesimiehen suorittamaa valvontaa.

Vastuualuekohtaisten varamiesjärjestelyiden toimivuus pyritään yleensä varmistamaan henkilöiden suunnitelmallisella kierrätyksellä. Kierrätys kehittää myös henkilöstön ammattitaitoa, lisää työmotivaatiota, karsii virheellisiä toimintatapoja sekä toimii osaltaan tehokkaana ennalta ehkäisevänä keinona väärinkäytöksiä vastaan.

Tehtäväkierrätys ei ole yleensä mahdollista laajemmassa mittakaavassa, johtuen yritysten vähäisestä henkilöstömäärästä ja työtehtävien edellyttämästä erikoisosaamisesta. Näissä tapauksissa on esimiehen tehtävänä harkita muita soveltuvia valvontamenettelyitä mm. työtehtävien suorittamiseksi annettavia kirjallisia ohjeita. Henkilöiden työtehtävien tulee ylipäätään perustua kirjallisiin toimen- ja tehtäväkuvauksiin.

Toimivaltuudet
Henkilökunnalle annettavien valtuuksien yksilöinti, ajanmukaisuus ja valvonta ovat valtuuksien tehokkaan käytön edellytys. Valtuuksien tulee vastata henkilön työtehtävien laajuutta. Valtuuksia ovat mm. vastuupäätös, hyväksymispäätös ja tietojärjestelmien käyttövaltuudet.

Vahvistettu budjetti ei voi automaattisesti oikeuttaa henkilöä kustannuksia aiheuttaviin tai yritystä sitoviin toimenpiteisiin. Toimenpiteisiin ryhtymisen edellytyksenä tulee olla normaali hyväksymisjärjestelmän mukainen toiminta. Valtuudet määritellään toimintaohjeessa, jonka johto vahvistaa vuosittain tai toiminnassa tapahtuvien merkittävien muutosten yhteydessä.

Raportointi
Säännöllinen raportointi on valvonnan edellytys. Erityisesti budjetin seurantaan liittyvät raportit ovat keskeisimpiä liiketoiminnan valvonnan välineitä. Johtoryhmä päättää, millä organisaatiotasoilla eri raportit kierrätetään ja ketkä osallistuvat niiden käsittelyyn. Valvonnasta vastaava henkilö käy raportit läpi oman vastuualueensa osalta.

Esimiehen suorittama valvonta
Esimiehen velvollisuuksiin kuuluu vastuualueensa yleinen seuranta. Esimiehen on varmistuttava siitä, että hän saa välittömästi tiedon kaikista osastonsa olennaisista tapahtumista.

Henkilökunnan elämäntapojen tunteminen on osa valvontaa. Esimiesten tulee olla tietoinen alaistensa työsuorituksiin vaikuttavista oleellisista elämäntapamuutoksista. Oleelliset muutokset on huomioitava työtehtävien seurannassa ja valvonnassa.

Oleellisia seikkoja ovat esim. taloudelliset ongelmat, liialliset ylityöt, toistuvat poissaolot ja alkoholiongelmat. Mikäli aihetta ilmenee, noudatetaan ennalta sovittuja menettelytapoja asioiden ratkaisemiseksi.

Esimerkki valvontajärjestelmän sisällöstä

Suunnittelu ja ohjausjärjestelmä
Toiminnot noudattavat johtoryhmän hyväksymässä toimintaohjeessa määriteltyä suunnittelu- ja ohjausjärjestelmää.

Organisaatio, tehtävät ja käyttövaltuudet
Organisaatiokaaviot tulee ylläpitää ja julkaista. Organisaatiokaaviosta tulee ilmetä esimies-alaissuhteet.

Toimenkuvat
Toimenkuvat laatii esimies johtoryhmässä annettujen ohjeiden mukaisesti. Toimenkuvat tarkistetaan aina henkilön työtehtävien vaihtuessa ja vuosittain toimintasuunnitelman laatimisen (kehityskeskustelu) yhteydessä sekä säilytetään keskitetysti hallintoryhmässä.

Organisaatiomuutosten yhteydessä siirtyvän henkilön, luovuttavan esimiehen ja vastaanottavan esimiehen sekä luottamusmiehen kesken käydään YT-prosessin mukaiset neuvottelut, joista laaditaan pöytäkirja.

Omaisuuserien inventointi
Omaisuuserien kirjanpito ja inventointi tulee määritellä inventointiohjeessa. Omaisuuden hankinta tulee määritellä hankintaohjeessa. Toimintojen johtajat vastaavat ohjeiden noudattamisesta.

Omaisuuserien käyttöoikeudet
Omaisuuden käyttöoikeuksien varmistamiseksi tulee jokaisella toiminnolla olla käytössään luettelo, josta käy ilmi kullekin henkilölle käyttöön luovutettu omaisuus. Luettelosta tulee ilmetä jokaisen henkilön osalta seuraavat tiedot:

  • resurssien kokonaistaloudellinen ja tarkoituksenmukainen käyttö
  • etätyötä varten luovutetut laitteet
  • luovutetut ohjelmistot
  • luottokortit
  • toimistokoneet
  • avaimet
  • työsuhdeauto ja -puhelimet
  • muu henkilökohtaisessa käytössä oleva yrityksen omaisuus.

Luettelo on tarkistettava vuosittain ajantasaisuuden varmistamiseksi. Henkilön erotessa palveluksesta tai siirtyessä toisiin tehtäviin, on luetteloa käyttäen varmistuttava siitä, että omaisuus jota ei uudessa tehtävässä tarvita tulee palautetuksi.

Tietojärjestelmien käyttövaltuudet
Tietojärjestelmien käyttövaltuudet tulee pohjautua hyvän tiedonkäsittelytavan periaatteisiin ja muihin yleisesti hyväksyttyihin tietoturvakäytänteisiin. Käyttövaltuudet tulee olla raportoitavissa riittävällä tarkkuudella ja niiden ajantasaisuus tarkistettava esimiesten toimesta vuosittain.

Työnkulkukaaviot ja vastuualueluettelot
Työnkulkukaaviot on laadittava, jos tehtävät ovat laajoja tai sisältävät vaihtoehtoisia työmenetelmiä. Kaavioiden tavoitteina on selkiyttää työtehtävien liittymistä toisiinsa ja varmistaa, ettei työnkulkuun tai työnseurantaan jää aukkoja.

Esimiesten tehtävänä on arvioida, milloin työnkulkukaavion laatiminen on tarpeellista ja tarkistaa niiden ajantasaisuus vuosittain.

Vastuualueluettelot tulee laatia ja ylläpitää toiminnoittain (hallinto, tuotanto, myynti- ja markkinointi, tuotekehitys). Luetteloita säilytetään sisäisen valvonnan yleisohjeen liitteinä.

Varahenkilöjärjestelyt
Toimintojen esimiehet tarkistavat kerran vuodessa, että vastuuhenkilöille on nimetty varahenkilöt. Varahenkilön ei tarvitse osata varallaoloalueensa työtehtäviä syvällisesti, vaan tarkoituksena on, että varahenkilöllä on tarvittaessa valmius ottaa tehtävistä vastuu.

Päivittäinen työaika
Esimiehet seuraavat päivittäistä työajan noudattamista.

Ylityöt
Työtehtävien etukäteissuunnittelun avulla on luotava järjestelmä, joka minimoi ylitöiden määrän. Esimies seuraa ylitöiden määrää kuukausittain. Henkilöstöpäällikkö seuraa ylitöiden määrää esimerkiksi kolmannes vuosittain.

Poissaolot
Poissaolojen ilmoitus- ja raportointimenettelystä on sovittava erikseen. Lähiesimiesten tulee kiinnittää huomiota toistuviin poissaoloihin ja selvittää niiden syyt. Henkilöstöhallinto hoitaa keskitetysti poissaolojen seurannan.

Lomat
Vuosilomien osalta noudatetaan voimassa olevaa työsopimusta. Esimiesten tulee huolehtia vuosittaisesta henkilöstön lomasuunnittelusta. Vuosilomasuunnitelmat toimitetaan keskitetysti hallintoon.

Sivutoimet
Sivutoimien hyväksymisessä ja ilmoittamisessa toimitaan johtoryhmän antamien ohjeiden mukaisesti. Sivutoimilupia myönnettäessä kiinnitetään huomiota sivutoimen ja henkilön päätoimen yhteensopivuuteen sekä sivutoimen vaatimaan ajankäyttöön.

Henkilöstöhallinto ylläpitää sivutoimirekisteriä, ja varmistaa, että muutoksista ilmoitetaan ja että sivutoimirekisterissä olevien tietojen oikeellisuus vahvistetaan vuosittain. Sivutoimiluvat saatetaan keskitetysti johtoryhmän käsittelyyn.

Matkat
Työmatkojen osalta noudatetaan johtoryhmän hyväksymää matkustussääntöä.

Työntekijän irtisanoutuminen
Työntekijän irtisanoutuessa työsuhteesta on valvottava, että tilanteessa noudatetaan erillistä henkilöasioista annettua ohjetta. Esimies valvoo ohjeiden noudattamista.

Liiketoiminta
Toiminnot vastaavat omien liiketoimintaprosessien kuvaamisesta. Prosessit ja niihin liittyvät ohjeet käsitellään työryhmien omissa kokouksissa. Kirjallisia ohjeita laaditaan tarpeen mukaan.

Liikesalaisuudet
Vakinaisten ja määräaikaisten henkilöiden sekä palveluntarjoajien henkilökunnan tietoon on saatettava liikesalaisuutta koskevat ohjeet ja periaatteet. Periaatteita rikottaessa noudatetaan johdon hyväksymiä toimenpiteitä ja salassapitosopimusten sanktioita.

Yleinen turvallisuus
Toiminnot noudattavat johdon hyväksymiä kirjallisia turvallisuusohjeita. Esimiehet valvovat, että ohjeita noudatetaan.

Asiakasvalitusten ja palveluvirheiden käsittely
Toimintojen johtajien tulee varmistua, että asiakkaiden esittämät valitukset ja merkittävät palveluvirheet sekä -häiriöt tulevat asianmukaisesti selvitettyä ja merkittävät tapaukset saatetaan johtoryhmän tietoon.

Toiminnan laadunvarmistus
Kaiken laadun lähtökohtana on henkilökohtainen laatu. On tärkeätä, että palvelut toteutuvat suunnitellusti ja laadullisesti korkealuokkaisina. Toimintojen johtajien tulee varmistua toiminnan laatutasosta.

Toiminnan erityisriskit
Toimintojen johtajien tulee seurata toimintaolosuhteissa ja tehtävien organisoinnissa tapahtuvien muutosten vaikutuksia riskitasoon.

Erityisvaltuudet
Toimintojen johtajien tulee valvoa, että erityisvaltuudet ovat asianmukaisesti määritelty ja niiden käyttöä seurataan.

Valtuuksien myöntäminen ja valtuusrikkomusten seuranta
Esimiesten tulee valvoa, että käyttövaltuuksien myöntäminen ja valtuuksien käyttö tapahtuvat asianmukaisesti.

Sovellusmuutosten valvonta
Yrityksessä tulee olla muutostenhallintaryhmä (MUHA), jonka tehtävänä on varmistua, että tietojärjestelmien ohjelmistomuutoksissa ja päivityksissä noudatetaan riittävää huolellisuus- ja varovaisuusperiaatetta.

Kilpailutus
Hankintojen kilpailuttamista varten yrityksellä tulee olla ajantasainen hankintaohjeistus ja hankintojen kilpailuttamisesta vastaava henkilö nimetty.

Tietojärjestelmien kehittämisessä ja ylläpitämisessä sekä laitteistojen hankinnassa noudatetaan kilpailuttamisesta annettuja ohjeita sekä tietohallintolinjauksissa mainittuja periaatteita.

Laskujen hyväksymis- ja maksatusjärjestelmä
Laskut tulee hyväksyä voimassaolevien valtuuksien mukaisesti. Tositevalvontaa suorittavat toimintojen esimiehet tai heidän määräämänsä henkilöt.

Laitteisto- ja järjestelmävastuut
Toimintojen johtajat yhdessä tietohallintopäällikön kanssa seuraavat käytössä olevien tietojärjestelmien asianmukaisuutta.

Varalaitteistot ja -järjestelmät
Liiketoiminnan jatkuvuuden turvaamiseksi tietojärjestelmät tulee suunnitella mahdollisimman vika- ja häiriösietoisiksi. Tietojärjestelmistä vastaavat henkilöt varmistavat käytössä olevan asianmukaisen varalaitteiston ja -järjestelmän sekä tarpeellisten tietovarastojen kopiokappaleiden olemassaolon ja käytettävyyden.

Dokumentointi ja ohjeistus
Tietojärjestelmät ja sovellukset tulee dokumentoida asianmukaisesti. Dokumentoinnissa ja ohjeistuksessa noudatetaan kulloinkin voimassa olevaa ohjeistusta.

Tietoturvallisuus
Toiminnot noudattavat ja tarvittaessa soveltavat tietoturvapolitiikassa määriteltyjä toimintaperiaatteita. Jokaisen henkilökuntaan kuuluvan on tunnettava kulloinkin voimassa olevat ohjeet. Noudattamisen seuranta kuuluu esimiehen tehtäviin.

Luottamuksellisten asiakirjojen arkistointi ja säilytys
Luottamuksellisten asiakirjojen käsittelyä, säilytystä ja lähettämistä koskevat ohjeet tulee saattaa henkilökunnan tietoon. Esimiehet seuraavat ohjeiden noudattamista. Arkistoaines säilytetään arkistonmuodostussuunnitelman mukaisesti.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön