Vastuullisuusraportti

Raportointikausi: 1.1.2024-31.12.2024

ESE-konsernin kilpailukyky perustuu laadukkaaseen palveluun, ympäristö-, energiatehokkuus- sekä työterveys- ja -turvallisuusasioiden huomioimiseen. ESEn työturvallisuuspäämääränä on turvallinen ESE, jossa kaikki huolehtivat työturvallisuuden ja työhyvinvoinnin ylläpitämisestä ja kehittämisestä.

Toiminnan tavoitteena on tuottaa ympäristöystävällisiä ja kilpailukykyisiä energiapalveluja tyytyväisille asiakkaille. Energiapalvelujen perustana on ympäristöystävällinen, luotettava ja energiatehokas tuotantoketju, jolla pääosin uusiutuvista raaka-aineista tuotetaan laadukkaita energiapalveluja. Kaiken toiminnan varmistaa ammattitaitoinen ja hyvinvoiva henkilöstö.

Tavoitteiden saavuttamiseksi yhtiö on sitoutunut toimintansa systemaattiseen suunnitteluun, seurantaan ja jatkuvaan kehittämiseen. Kaikki toimialaa koskevat lainsäädännön vaatimukset on tunnistettu ja niitä sitoudutaan noudattamaan. Toiminnan tavoitteista ja tuloksista raportoidaan suunnitelmallisesti henkilöstölle sekä kaikille sidosryhmille.

Tämän hankintapolitiikan tarkoitus on kuvata hankinnoissa käytettävät sopimukset, hankintavaltuudet ja sopimusten elinkaaren hallinnan, joita noudatetaan ESE-konsernin hankinnoissa. Kaikkien hankintojen osalta pyritään siihen, että hankinnoista tehtävät sopimukset täyttävät tässä dokumentissa kuvatut sopimusehdot.

I Hankintojen sopimusehdot
1. Sopimukset, niiden voimassaolo, muutokset ja lisäykset on aina tehtävä kirjallisesti.
2. Sopimuksessa on määriteltävä tarkasti sopimuskumppanien vastuut ja velvollisuudet, kuten toimituksen sisältö ja laajuus.
3. Asiakaskohtaisen sopimuksen rinnalla käytetään tilanteesta riippuen vakiintuneita yleisiä sopimusehtoja, kuten NLM 10 ehtoja tai YSE 1998. Sopimusehdoilla varmistetaan, että keskeiset sopimusoikeudelliset velvoitteet on huomioitu.
4. Sopimuksen maksuehtojen tulee olla tavanomaiset (enintään 30 päivää). Hinnankorotuksista on sovittava selkeästi kirjallisesti.
5. Viivästyssakot ja esim. palvelutason alituksen seuraamukset on sovittava selkeästi.
6. Vastuunrajoitukset on sovittava tarkasti. ESE ei koskaan korvaa välillisiä vahinkoja. Suorien vahinkojen korvausvelvollisuudeksi suositellaan enimmäisrajaa (euromääräinen tai prosentuaalinen) tilanteesta riippuen etenkin silloin, kun ESE on myyjän roolissa.
7. Pankkitakauksia annetaan vain tavanomaisessa määrin, kun itse myydään urakointityötä.
8. Rakentamis- ja takuuajanvakuudet pyydetään sopimusehtojen mukaan esim. NLM 10.
9. Kilpailukieltoa, rekrytointikieltoa tai muuta ESEn toimintavapautta rajoittavaa ehtoa ei lähtökohtaisesti hyväksytä sopimuksiin.
10. Sopimusta ei saa siirtää kolmannelle osapuolelle ilman ESEn kirjallista suostumusta.
11. Sopimukseen sovelletaan vain Suomen lakia. Oikeuspaikaksi pyritään sopimaan välimiesmenettely. Pienemmissä sopimuksissa voi oikeuspaikka kuitenkin olla Etelä-Savon käräjäoikeus.
12. Sopimuksesta pitää käydä selkeästi ilmi, milloin ja miten sopimus päättyy sekä miten sopimuksesta pääsee tarvittaessa irti sopimuskauden aikana.

II Hankintasopimukset
Kaikki sopimukset, jotka ovat arvoltaan yli 400.000 euroa (alv. 0%) tai ovat sopimuksia, jollaisia ei ole aiemmin tehty, tulee laittaa juristien kommentoitavaksi ennen sopimuksen allekirjoittamista. Sopimuksen allekirjoittanut henkilö vastaa siitä, että juristien kommentit on huomioitu ja että tämä voidaan todentaa.

Sopimus muodostuu kaikesta kirjeenvaihdosta, jota käydään esim. sähköpostien välityksellä sopimusta neuvoteltaessa, joten ne tulee säilyttää. Mikäli palvelu tai tavara ei vastaa sovittua, tulee siitä todistettavasti reklamoida toimittajalle. Myös puutteet tulee dokumentoida. Kaikki reklamaatioon liittyvä dokumentaatio tulee säilyttää.

III Sopimusvaltuudet
Hankintasopimuksen voi allekirjoittaa asemavaltuutuksen perusteella, mikäli myyjä ei edellytä nimenkirjotusoikeudellisen tai prokuran omaavan henkilön allekirjoitusta sopimukseen. Myyntisopimuksen voi allekirjoittaa asemavaltuutuksen perusteella.

IV Sopimustenhallinta ja elinkaari
Sopimukset arkistoidaan.

Tämä tietosuojapolitiikka linjaa ESE-konsernin tietosuojan (GDPR) toteuttamista. Tietosuojapolitiikan linjausten perustana käytetään vuosisuunnitteluun kuuluvaa riskienarviointia, jonka pohjalta tietosuojaa kehitetään käyttäen mahdollisimman tarkoituksenmukaisia sekä kustannustehokkaita ratkaisuja. Tietosuojapolitiikka on osa ESE-konsernin toimintajärjestelmää.

1. Tarkoitus
Tietosuojaan kuuluvat henkilöiden yksityiselämän suoja ja yksityisyyden suojaa turvaavat muut oikeudet henkilötietoja käsiteltäessä.

Tietosuojapolitiikan avulla pyritään turvaamaan lainsäädännön mukaiset henkilötietojen käyttöön liittyvät, Organisaation asiakkaiden, työntekijöiden ja muihin sidosryhmiin kuuluvien henkilöiden oikeudet sekä varmistamaan tietojen käsittelijän oikeudet ja heidän velvollisuuksiensa noudattaminen henkilötietoja käsiteltäessä.

Tietosuojaa toteutettaessa kiinnitetään erityistä huomiota henkilötietojen salassapitoon sekä siihen, ettei asiattomilla ole pääsyä tietoihin ja ettei tietoja käytetä henkilöä vahingoittavasti.

2. Soveltamisala
Tietosuojapolitiikka koskee ESE-konsernin henkilökuntaa, asiakkaita ja kumppaneita.

3. Vastuut
ESE-konsernin toimitusjohtajat vastaavat juridisesti tietosuoja-asetuksen mukaisista toimista or-ganisaatiossa. Liiketoimintajohtajat valvovat tämän menettelyn käytäntöön panoa.
Liiketoimintajohtajat hallinnoivat ja koordinoivat ajantasaisen Tietosuojapolitiikka-dokumentin toteutusta omissa liiketoimintayksiköissään.

4. Menettelyt
4.1. Tietosuojatietoisuus
Organisaation tietosuojapolitiikalla tuetaan tietosuojatietoisuudenkasvattamista erityisen tietosuojakoulutuskäytännön nojalla, joka on aikataulutettu vuosikelloon.
4.2. Riskienhallinta
Tietosuojariskit arvioidaan vuosittain liiketoimintojen vuosisuunnittelun yhteydessä. Riskienarviointi koostuu riskin määrittelystä sekä sen todennäköisyyden sekä vaikuttavuuden arvioinneista. Tässä yhteydessä voidaan suunnitella myös toimenpiteitä, miten riski voidaan poistaa tai miten sen toteutumisen vaikutuksiin voidaan varautua.

4.3. Henkilötietojen käsittely
Henkilötietojen käsittely perustuu henkilön suostumukseen tai laissa määriteltyyn muuhun perusteeseen. Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä.

Henkilötietoja käsitellään vain perustellun käyttötarkoituksen johdosta ja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti.

Tietoja käytetään niitä kerättäessä kuvattuihin tarkoituksiin lainsäädännön kulloinkin sallimissa rajoissa. Tietoja luovutetaan vain nimenomaisesti kerrotulla tai laissa mainitulla perusteella ja nimenomaisesti kerrotuille tai laissa mainituille luovutuksen saajille.

Tietoja saatetaan siirtää rekisterinpitäjän sijaintivaltion ulkopuolelle, mikäli kyseistä rekisteriä koskeva lainsäädäntö sallii siirron. Tällöin noudatetaan siirtoa koskevia, kunkin maan lainsäädännössä mahdollisesti säädettyjä menettelyitä.

4.4. Henkilötietojen käsittelyn turvallisuus
Henkilötietojen käsittelijöiden käyttöoikeudet ovat ajan tasalla ja dokumentoituja. Henkilötietoja katsellaan vain siinä laajuudessa kuin se dokumentoidun käyttötarkoituksen mukaisesti on tarpeen.

Henkilötietoja sisältäviä tietojärjestelmiä käyttävien henkilöiden tunnistamisessa ja todentamisessa käytetään luotettavia tunnistamismekanismeja.

Käytössä olevat tietoliikenneyhteydet on suojattu. Käytettävien järjestelmien turvaominaisuudet testataan määrävälein luotettavasti.

Toimitilat, missä järjestelmiä säilytetään ovat fyysisesti suojattuja. Erilaisia vikatilanteita, sähkökatkoja ja tulipaloja sekä valtuudetonta pääsyä vastaan on suojauduttu.

4.5. Rekisteröityjen informointi ja oikeudet
Kustakin henkilörekisteristä laaditaan lainsäädännön edellyttämä dokumentaatio. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio tietosuojaselosteena henkilötietojen käsittelystä tietoja kerättäessä.

Rekisteröidyllä on oikeus tarkastaa mitä tietoja hänestä on tallennettu rekisteriin, sekä oikeus vaatia itseensä liittyvän virheellisen tiedon korjaamista. Rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista rekisteristä. Tällöin henkilötietojen poistaminen toteutetaan mahdollisimman pian, mikäli lain vaatimaan säilytysvelvollisuutta ei ole.

Evästekäytäntömme on kuvattu ja ajantasaisesti saatavilla nettisivuillamme.

Rekisteröidyn oikeudet omien tietojensa osalta ovat:
• Oikeus saada pääsy omiin tietoihinsa
• Oikeus tietojen oikaisemiseen
• Oikeus poistaa tiedot (”oikeus tulla unohdetuksi”)
• Oikeus siirtää tiedot järjestelmästä toiseen
• Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia
• Oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta

4.6. Tietosuoja- ja tietoturvapoikkeamien käsittely
ESEllä raportoidaan tietoturvaan ja tietosuojaan liittyvistä uhista, poikkeamista ja ohjeiden vastaisista menettelyistä Falcony-havintojen keruujärjestelmään. Kirjatut havainnot tulevat järjestelmän kautta ESEn GDPR-ryhmälle, joka vastaa jatkotoimenpiteiden suorittamisesta.
Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä ja ilmoitetaan tietosuojaviranomaiselle. Rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tietosuojarikkomuksista 72 h sisällä ilmoituksesta ja/tai löydöksestä. Lisäksi asiasta ilmoitetaan viipymättä rekisteröidylle, jonka tietosuoja on vaarantunut, edellyttäen, että ilmoittaminen on aiheellista korjaavien toimenpiteiden suorittamiseksi tai vahingon rajaamiseksi.

5. Kurinpitomenettelyt
Tietosuoja-asetuksen (GDPR) tai tämän tietosuojapolitiikka-dokumentin noudattamatta jättäminen tai laiminlyönti käsitellään organisaation kurinpitomenettelyn mukaisesti. Lisäksi tällainen rikkomus saattaa olla rikos, missä tapauksessa asia ilmoitetaan tarvittaville viranomaisille mahdollisimman pian.
Organisaation tai sen kanssa toimivien kumppaneiden ja kolmansien osapuolten, jotka pääsevät tai saattavat päästä käsiksi henkilötietoihin, edellytetään lukevan ja ymmärtävän tämän tietosuojapolitiikka-dokumentin ja sitoutuvan siihen. Kukaan kolmas osapuoli ei saa päästä organisaation säilyttämiin henkilötietoihin solmimatta ensin salassapitosopimusta.

6. Määrittelyt
Henkilötiedot – tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Rekisterinpitäjä – luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Rekisteröity – tunnistettu tai tunnistettavissa oleva luonnollinen henkilö jonka henkilötietoja käsitellään organisaatiossa.

Käsittely – toiminto tai toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Henkilötietojen tietoturvaloukkaus – tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksista valvontaviranomaisille ja kertomaan loukkauksen todennäköisistä kielteisistä vaikutuksista rekisteröidyn henkilötietoihin, yksityisyyteen tai tietosuojaan.

Kolmas osapuoli – luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu toimielin kuin rekisteröity, rekisterinpitäjä, henkilötietojen käsittelijä ja henkilö, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena.

Rekisteri – mikä tahansa jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

7. Hyväksyntä
Tietoturvapolitiikan hyväksyy ESEn johtoryhmä ja sitä päivitetään osana toimintajärjestelmän ylläpitämistä.

Tämä tietoturvapolitiikka linjaa ESE-konsernin tietoturvan toteuttamista. Tietoturvapolitiikan linjausten perustana käytetään vuosisuunnitteluun kuuluvaa riskienarviointia, jonka pohjalta tietoturvaa kehitetään käyttäen mahdollisimman tarkoituksenmukaisia sekä kustannustehokkaita ratkaisuja. Tietoturvapolitiikka on osa ESE-konsernin toimintajärjestelmää.

1. Tietoturvapolitiikan päämäärä
Tietoturvapolitiikan ensisijainen päämäärä on ESE-konsernin toimintojen turvaaminen kaikissa olosuhteissa. Tämä tarkoittaa sitä, että ICT-infra on käytettävissä kaikissa olosuhteissa sekä voidaan luottaa siihen, että tietojen luottamuksellisuus säilyy sekä että tietojen eheys ja saatavuus varmistetaan. Tietoturvapolitiikka linjaa, miten tietojärjestelmien ja tietojenkäsittelyn turvallisuus suojataan.

2. Tietoturvan toteuttaminen
2.1 Riskien arviointi
Tietoturvariskit arvioidaan vuosittain liiketoimintojen vuosisuunnittelun yhteydessä. Riskienarviointi koostuu riskin määrittelystä sekä sen todennäköisyyden sekä vaikuttavuuden arvioinneista. Tässä yhteydessä voidaan suunnitella myös toimenpiteitä, miten riski voidaan poistaa tai miten sen toteutumisen vaikutuksiin voidaan varautua.

2.2 Henkilötietojen käsittely
ESE-konsernissa käsitellään vain niitä henkilötietoja ja siinä laajuudessa kuin toiminnan kannalta on välttämätöntä. Henkilötietojen käsittely on dokumentoitu Digiturvamalli -järjestelmässä, joka kattaa GDPR säännösten vaatimukset.

2.3 Tietoturvavaatimukset yhteistyökumppaneille
Tietoturvavaatimuksissa määritellään, mitä vaaditaan sopimuskumppanien tietoturvan ja henkilötietojen käsittelyn osalta. Tietoturvan osalta vaatimukset on avattu liitteessä 1. Ulkopuolisia tahoja, kuten palvelutoimittajia koskeviin sopimuksiin liitetään tämän politiikan tietoturvavaatimukset soveltuvin osin. Näiden tahojen vastuulla on noudattaa sopimuksellisia tietoturvavaatimuksia siten kuin eri tahojen välillä on sovittu. Toimittajille tehdään riskiperusteisesti tarkastuksia tietoturvan toteutumisen varmistamiseksi.
Henkilötietojen käsittelyn osalta vaaditaan, että henkilötiedot on suojattu tietoturvaperiaatteiden sekä lain vaatimusten mukaisesti. Rekisterinpitäjän tulee pystyä osoittamaan tietoturvaperiaatteiden tehokas toteutuminen henkilötietojen suojaamisessa sekä käsittelyssä ja niiden tulee perustua riskikartoitukseen. Riskikartoituksen perusteella arvioidaan henkilötietojen käsittelyn aiheuttama riski rekisteröidylle ja suojaamistoimenpiteet mitoitetaan tämän arvioinnin perusteella. Arvioinnissa tulee huomioida mm. missä tietoa käsitellään, ketkä tietoa käsittelevät, henkilötietojen käsittelyn luonne ja laajuus, asiayhteys sekä tietojenkäsittelyn tarkoitus. Henkilötietojen käsittelyn tulee aina olla luottamuksellista ja tiedot tulee pitää ajan tasalla. Henkilötietoja tulee myös käsitellä vain siinä laajuudessa kuin toiminnan kannalta on välttämätöntä.

2.4 Tietoturvavastuut
Vastuu tietoturvan toteuttamisesta on ylimmällä johdolla, joka käytännön toteuttamisen on vastuuttanut IT- ja kyberturvallisuudesta organisaatiossa vastuussa oleville tahoille. Jokainen käyttäjä vastaa osaltaan tietoturvan toteuttamisesta annettujen ohjeiden mukaisesti.

2.5 Tietoturvasuojakoulutus ja –ohjeet
Henkilöstölle on laadittu ”Tietoturvaohje, käyttäjän pikaopas”, jonka mukaisesti tulee toimia tietokoneiden, tallennusvälineiden sekä matkapuhelinten kanssa. Siinä ohjeistetaan myös kulunvalvontaan liittyvästä tietoturvasta. Tarpeen mukaan henkilöstölle järjestetään tietoturvakoulutusta.

2.6 Tietoturvallisuuden toteutumisen valvonta
Tietojärjestelmiä valvotaan automaattisesti jatkuvasti. Järjestelmiä, prosesseja ja toimintatapoja
tarkastetaan säännöllisesti, ja niitä verrataan ajankohtaisiin suositeltuihin käytäntöihin. Tietoturva auditoidaan säännöllisesti yrityksen sisäisesti sekä ulkoisten auditoijien toimesta.

2.7 Tietoturvapoikkeamat ja -havainnot
ESE-konsernin käytössä on järjestelmä, johon henkilöstö voi kirjata poikkeamat ja havainnot puhelimella ja tietokoneella. Havainnot käsitellään, ja mahdollisiin korjaaviin toimenpiteisiin ryhdytään viiveettä. Mahdolliset tietoturvan puutteet ja uudet suositukset pyritään ottamaan käyttöön niin nopeasti, kuin mahdollista.

2.8 Toiminta häiriötilanteissa
Tärkeimmille järjestelmille on tehty toipumissuunnitelmat, joissa on ohjeet tiedottamiseen ja korjaustoimenpiteisiin häiriötilanteen sattuessa. Erikseen nimetyillä henkilöillä on häiriötilanteissa oikeus ryhtyä välittömiin toimenpiteisiin organisaatioon tai sen tietoihin kohdistuvan riskin minimoimiseksi.

2.9 Tiedottaminen häiriötilanteissa
Häiriötilanteista tiedotetaan ensin konsernin sisällä IT:n toimesta. Mikäli ulkoista tiedottamista tarvitaan, toteutetaan se häiriöviestintäsuunnitelman mukaisesti?

2.10 Tietoturvapolitiikan päivittäminen
Tietoturvapolitiikan hyväksyy ESEn johtoryhmä ja sitä päivitetään osana toimintajärjestelmän ylläpitämistä.

Tässä politiikassa kuvataan ESE-Energia –konsernin (ESE) riskienhallinnan päämäärät ja periaatteet, organisointi ja vastuut sekä toimintatavat. Politiikan tueksi on laadittu tarkempaa ohjeistusta eri osa-alueille.

Riskienhallinnan päämäärät
Riskienhallinnan päämääränä on varmistaa ESEn strategian toteutuminen. Päämäärän saavuttaminen edellyttää, että
- tunnetaan toimintaan kohdistuvat riskit ja mahdollisuudet
- käytössä on yhdenmukaiset ja tehokkaat menetelmät tunnistaa, arvioida ja hallita riskejä
- riskinottohalu on suhteessa riskinkantokykyyn ja tavoiteltuihin hyötyihin
- riskien raportointi on systemaattista

Riskienhallinnan periaatteet
Riskienhallinta on systemaattista toimintaa, jonka tarkoituksena on taata koko konsernin kattava riskien tunnistaminen, arviointi, hallinta sekä valvonta. ESEllä riskejä arvioidaan liiketoimintalähtöisesti ja kokonaisvaltaisesti. Tämä tarkoittaa sitä, että keskeisiä riskejä tunnistetaan, arvioidaan, hallitaan, seurataan ja raportoidaan järjestelmällisesti osana ESEn toimintajärjestelmää.

Riskienhallinnan prosessi
Riskien tunnistaminen tapahtuu osana toimintajärjestelmän mukaista vuosisuunnittelua. Jokainen yksikkö tekee seuraavalle vuodelle oman vuosisuunnitelmansa, jonka yhteydessä käydään läpi tunnistetut riskit, niiden mahdolliset vaikutukset, toteutumistodennäköisyys, vaikutuksen laajuus ja vaikutuksen seuraus. Näin saadaan laskettua eri riskien kriittisyysasteet ja ne voidaan laittaa tärkeysjärjestykseen. Vuosisuunnittelun yhteydessä katsotaan toimenpiteet, joilla riskejä hallitaan ja mitkä riskienhallintakeinot otetaan mukaan vuositavoitteisiin. Vuositavoitteet saadaan, kun mietitään, mitä mahdollisuuksia eri toiminnot tarjoavat riskien hallintaan.
Riskit tunnistetaan seuraavista toiminnan alueista:
1. Liiketoiminnan riskit
2. Huoltovarmuusriskit
3. Ympäristöriskit
4. Työturvallisuus- ja työterveysriskit
5. Energiatehokkuusnäkökohdat
6. Tietoturvallisuusriskit
Toteutuneista riskeistä laaditaan poikkeamat, jotka käsitellään johtoryhmässä ja poikkeamat suljetaan vasta, kun riski on poistettu.

Riskiottohalu ja riskinkantokyky
Riskinottohalu on se riskin määrä, jonka ESE on tiettynä aikana valmis ottamaan pyrkiessään asettamiinsa tavoitteisiin. Riskinkantokyky on se taloudellisten resurssien määrä jota vastaan riskiä voidaan ottaa. Riskinottohalu määritellään strategiatyössä. Riskinkantokykyä määriteltäessä pitää huomioida myös riskin poistamisen tai rajoittamisen aiheuttama kustannus.

Organisaation roolit ja vastuut riskienhallinnan osalta
Riskien tunnistaminen: riskien tunnistaminen on jokaisen yksikön vetäjän vastuulla.
Riskien hallinta: tunnistettujen riskien hallinnasta vastaa yksikönvetäjä tai hänen vastuuttamansa henkilö.
Poikkeamien laadinta: jokaisella konsernin työntekijällä on vastuu raportoida toteutuneista riskeistä eli tehdä poikkeamailmoitus.
Poikkeamien korjaus: yksikön vetäjä vastaa omaan yksikköönsä kohdistuvien poikkeamien käsittelystä.
Poikkeamien seuranta: johtoryhmä
Poikkeamien sulkeminen: kehityspäällikkö

Riskeihin liittyvät raportointimenettelyt
Tunnistetut riskit ja niiden hallintatoimenpiteet dokumentoidaan vuosisuunnittelulomakkeelle. Toteutuneet riskit raportoidaan poikkeamailmoituksella, jotka käsitellään johtoryhmässä ja poikkeamat suljetaan vasta, kun riski on poistettu. Riskienhallinnan onnistumista ja toteutuneita riskejä seurataan myös johtoryhmän pitämissä johdon katselmuksissa. Hallitukselle raportoidaan merkittävät riskien toteumat esim. kokouksissa käsiteltävissä toimitusjohtajan hallitusraporteissa. Lisäksi hallitukselle raportoidaan puolivuosittain omistajalle toimitettava seurantaraportti sen aikataulun mukaan.

Riskienhallinnan keskeiset käsitteet
Seuraavassa on esitetty määrittelyt keskeisimmistä riskienhallinnan käsitteistä.
Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna.
Riskienhallinta tarkoittaa koordinoitua toimintaa, jolla organisaatiota johdetaan ja ohjataan riskien osalta. Se on systemaattista ja jatkuvaa toimintaa, jonka avulla tunnistetaan, analysoidaan, arvioidaan, käsitellään ja seurataan riskejä.
Riskienhallintapolitiikka sisältää organisaation riskienhallintaan liittyvät periaatteet ja tavoitteet.
Riskienhallintaprosessi on menettely riskien arviointiin (tunnistamiseen, analysointiin, merkityksen arviointiin), käsittelyyn, seurantaan ja viestintään.
Vuosisuunnitelma on dokumentti, joka sisältää riskit ja niille tehtävät toimenpiteet, vastuut, käsittelyn tavoiteaikataulut, raportoinnin ja seurannan.