Valtion virastojen suunnitelmat oman toimintansa jatkuvuuden varmistamiseksi eivät ole riittävän hyvällä tasolla. Monelta virastolta suunnitelmat puuttuvat kokonaan. Virastojen johdon tulee ottaa vastuu toiminnan jatkuvuuden varmistamisesta normaaliolojen häiriötilanteissa. Valtionhallinnon sisäisten palvelujen keskittäminen ja uudet verkostomaiset toimintamallit edellyttävät jatkuvuusriskien hallintaa virastotasoa laajemmin. Tarvetta ylemmän tason hallintaan tulisi selvittää valtiovarain controller -toiminnon johdolla.
Tarkastusviraston kannanotot
Tarkastuksessa arvioitiin sitä, miten valtion virastot, laitokset ja ministeriöt ovat varautuneet turvaamaan oman toimintansa jatkuvuuden normaaliolojen häiriötilanteissa.
Riskien- ja jatkuvuudenhallinnalla pyritään varmistamaan organisaation ydintoimintojen jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa. Valmiuslain (1552/2011) mukaista poikkeusoloihin varautumista johtaa ja valvoo valtioneuvosto sekä kukin ministeriö toimialallaan. Valtioneuvoston kanslian toimialaan kuuluvat muun muassa valtioneuvoston yhteinen tilannekuva ja häiriötilanteiden hallinnan yleinen yhteensovittaminen.
Normaaliolojen häiriötilanteita varten tällaista etukäteen määrättyä vastuunjakoa ja keskitettyä ohjausta sekä johtamista ei ole. Kuitenkin normaalioloissa palvelussa tai toiminnassa tapahtuva merkittävä tai vakava häiriö voi johtaa toiminnan keskeytymiseen tai merkittävään alenemiseen tai keskeyttää kokonaan toiminnan kannalta tärkeän strategisen tavoitteen saavuttamisen. Häiriöstä voi seurata suurta vahinkoa tai kustannuksia myös muille sekä aiheutua merkittäviä kustannuksia koko valtionhallinnon näkökulmasta katsottuna.
Lisäksi poikkeusoloissa toiminen perustuu osin siihen, että organisaatiolla on toiminnan jatkuvuuden varmistavat järjestelmät ja menettelyt normaalioloja ja normaaliolojen häiriötilanteita varten. Normaaliolojen ja poikkeusolojen rajanveto ei aina ole selvää. Esimerkiksi sähköhuollossa poikkeusolojen huoltovarmuuden ja normaaliolojen toimitusvarmuuden ero on usein hiuksenhieno: tuotannon ja verkkojen kapasiteetista sekä tehon riittävyydestä ylipäänsä on huolehdittava niin normaalioloissa kuin poikkeustilan aiheuttavien kriisienkin aikana.
Normaaliolojen häiriötilanne voi myös pitkittyä ja eskaloitua vakavammaksi. Tällöin lähestytään poikkeusoloja ja sen mukaisesti muun muassa huoltovarmuuskysymyksiä.
Tarkastuksessa selvitettiin myös valtionhallinnon toimintojen keskittämisen, poikkihallinnollisten hankkeiden sekä laajojen toimintoketjujen riskien- ja jatkuvuudenhallinnan järjestämistä. Lisäksi selvitettiin sitä, tuottaako valtionhallinnon riskien- ja jatkuvuudenhallinta riittävän kuvan valtioneuvostotason päätöksentekoon.
Tavoitteena oli varmistua siitä, että valtion viranomaiset ovat varmistaneet toimintavarmuutensa ja palvelukykynsä. Lisäksi tavoitteena oli selvittää, millaisia kehittämistarpeita ja -mahdollisuuksia valtion riskien- ja jatkuvuudenhallinnassa on. Tarkastuksessa tuotettua tietoa voidaan hyödyntää valtionhallinnon riskien- ja jatkuvuudenhallinnan kehittämisessä.
Tarkastuksen ulkopuolelle rajattiin huoltovarmuus, joka ei liity normaaliolojen häiriötilanteisiin vaan poikkeusoloihin. Lisäksi rajattiin pois kyberturvallisuus ja osin myös sähköisten palvelujen jatkuvuuden varmistaminen. Näitä aiheita on käsitelty tuloksellisuustarkastuskertomuksissa 15/2017 ja 16/2017: Sähköisten palvelujen toimintavarmuuden ohjaus, Kybersuojauksen järjestäminen.
Tässä raportissa käytetään yksinkertaisuuden vuoksi nimitystä virasto kaikista valtionhallinnon yksiköistä, niin ministeriöistä, virastoista kuin laitoksista. Lisäksi on käytetty nimitystä ministeriö silloin, kun on haluttu korostaa, että kysymyksessä on nimenomaisesti ministeriöitä koskeva asia.
Virastojen on tehtävä suunnitelmat jatkuvuuden varmistamiseksi
Kokonaisuutena tarkastellen valtion virastojen suunnitelmat toimintansa jatkuvuuden varmistamiseksi eivät ole riittävän hyvällä tasolla.
Eri virastot olivat laatineet hyvin vaihtelevasti riskienhallinnan ja jatkuvuuden turvaamisen suunnitteluasiakirjoja. Puolella virastoista oli sekä riskienhallinta- että jatkuvuussuunnitelma tai ainakin toinen niistä, mutta kolmanneksella virastoista ei ollut mitään suunnitelmia. Lisäksi useiden suunnitelmien sisällössä oli huomattavia puutteita. Suunnitelmia ei useinkaan ollut päivitetty, testattu eikä niiden mukaisia toimia harjoiteltu.
Osassa virastoja oli kuitenkin jo ryhdytty laatimaan ja kehittämään suunnitelmia. Lisäksi tarkastuksen aikana useat virastot ryhtyivät pohtimaan ja kehittämään omaa riskien- ja jatkuvuudenhallintaansa. Myös ministeriöt voivat tulosohjauksella kiinnittää hallinnonalansa virastojen johdon huomion riskien- ja jatkuvuudenhallintaan. Riskien- ja jatkuvuudenhallinta on saatava osaksi viraston arjen johtamista ja toimintaa.
Hyväkään virastotasoinen riskien- ja jatkuvuudenhallinta ei aina yksinään riitä
Yksittäisen viraston niukka keinovalikoima ja virastopohjainen, kapea tilannekuva eivät riitä vastaamaan muuttuvan toimintaympäristön monimutkaistuviin riskeihin. Monet valtionhallinnon nykyiset toimintatavat edellyttävät aiempaa kokonaisvaltaisempaa riskien- ja jatkuvuudenhallintaa. Useissa jatkuvuuden kannalta tärkeissä toiminnoissa on viraston oman työn sijaan siirrytty ostamaan palvelut valtakunnallisilta palveluntuottajilta; ICT-, taloushallinto- ja tilapalvelut on keskitetty. Lisäksi monet riskien- ja jatkuvuudenhallinnan ongelmat koskevat yhä enemmän pitkiä toiminta- ja vuorovaikutusketjuja, koko hallinnonalaa tai poikkihallinnollisia kysymyksiä. Monet riskit ovat sellaisia, että yksittäisen viraston ei ole mahdollista eikä taloudellisesti tarkoituksenmukaista niitä hallita.
Valtiovarain controller -toiminnon uusi suositus[1] (2017) riskienhallintapolitiikkamallista on saanut positiivista vaikutusta aikaan mutta vain virastojen tasolla, joille suositus on suunnattu.
On ryhdyttävä hallitsemaan monimutkaisempaa ja laajempaa kokonaisuutta – vaikkei siihen velvoittavaa lainsäädäntöä ole
Valtionhallinnon riskien- ja jatkuvuudenhallinnan järjestämisessä korostuu yksittäisten virastojen vastuu, vaikka yhteiskunnan ja valtionhallinnon toimintatavat ja ongelmat ovat monimutkaistuneet ja monialaistuneet.
Valtiokokonaisuuden kattavaa riskien- ja jatkuvuudenhallintaa ei ole, eikä valtionhallinto ole sellainen kokonaisuus, josta muodostettaisiin normaalioloissa kokonaiskuva riskeistä ja niiden hallinnan tilasta. Suunnitelmallinen jatkuvuudenhallinta rajautuu yleensä yksittäisiin tietojärjestelmiin, prosesseihin tai virastoihin.
Useat samat riskit koskettavat monta viranomaista hallinnonalasta riippumatta, ja poikkihallinnolliset riskit ylittävät hallinnonalojenkin rajat. Niiden hallinta edellyttää sekä hallinnonaloittaisia että hallinnonalarajat ylittäviä ratkaisuja. Yhtenäiset ja järjestelmälliset menettelytavat näiden laajempien kokonaisuuksien riskienhallintaan eivät vielä ole vakiintuneet valtionhallinnossa. Virastokohtaisesta olisi laajennuttava myös hallinnonalatasoiseen tai valtioneuvostotasoiseen riskien- ja jatkuvuudenhallintaan, vaikka tähän velvoittavaa säännöstöä ei ole.
Teknologiariippuvuus, valtionhallinnon sisäisten palvelujen keskittäminen ja verkostomaiset toimintamallit edellyttävät jatkuvuusriskien tarkasteluja ja hallintaa yli virasto- ja hallinnonalarajojen.
Tarkastusvirasto suosittaa, että
Kaikki ne virastot, laitokset ja ministeriöt, jotka eivät vielä ole laatineet valtiovarain controller -toiminnon vuoden 2017 suosituksen mukaista riskienhallintapolitiikkaa, laativat viipymättä mallin mukaiset tai asiallisesti vastaavat asiakirjat.
Virastojen johto huolehtii osana johtamisjärjestelmää viraston oman toiminnan jatkuvuuden varmistamisesta ja virastot soveltavat riskien- ja jatkuvuudenhallinnassaan Vahti-ohjeita: Toiminnan jatkuvuuden hallinta (2016) ja Ohje riskienhallintaan (2017) tai vastaavia suosituksia ja standardeja. Kun riskien- ja jatkuvuudenhallinnan asiat ovat osa johtamista, niin niiden on tärkeää olla myös osa tulosohjausta ja konkretisoitua tavoitteina ja velvoitteina tulos- ja johtamissopimuksissa.
Valtioneuvoston controller -toiminnon johdolla käynnistetään selvitys, jossa arvioidaan tarve laajentaa riskien- ja jatkuvuudenhallinta hallinnonala- tai valtioneuvostotasoiseksi. Edelleen tulisi selvittää tarkoituksenmukaiset tavat tarkastella ja ohjata sekä vastuuttaa riskien- ja jatkuvuudenhallintaa. Selvitystyössä tulisi olla mukana valtiovarainministeriö ja valtioneuvoston kanslia sekä tarkoituksenmukaisella tavalla myös muiden ministeriöiden johto.
Valtiovarainministeriö huolehtii ohjauksellaan siitä, että Valtorin tuottamien keskitettyjen palveluiden jatkuvuus ja siitä varmistuminen saadaan toteutumaan tarkoituksenmukaisella tavalla sekä asiakkaan että Valtorin kannalta.
[1] Riskienhallintapolitiikkamalli: asiakirjapohja viraston riskienhallintapolitiikan valmisteluun sekä liitteet, 2017.