Riskienhallinta taktisella tasolla

Taktinen riskienhallinta -tasolla tarkastellaan ja hallitaan toiminnan suunnitteluun, organisointiin sekä toteutukseen liittyviä riskejä. Monesti puhutaan myös bisnesriskien hallinnasta. Riskienhallintainformaatio tukee liiketoiminta-alueita koskevaa päätöksentekoa.

Kyseessä ovat strategisia riskejä astetta konkreettisemman tason riskit, jotka liittyvät strategian käytännön toteuttamiseen selkeiden tavoitteiden ja toimintasuunnitelmien mukaisesti. Hyvä taho arvioimaan riskejä tällä tasolla on liiketoimintajohto (yhdessä liiketoiminta-alueen johtoryhmän kanssa). Toimitusjohtajan rooli on tukea ja haastaa liiketoimintajohdon riskienhallintatyötä.

Keskustelu käydään strategista tasoa yksityiskohtaisemmin. Silti on erittäin tärkeää säilyttää kokonaiskäsitys oman liiketoiminta-alueen riskikokonaisuudesta ja yhtymäkohdista, sekä vaikutuksista muihin liiketoiminta-alueisiin. Riskien tunnistamisen lähtökohtana on sekä oman liiketoiminta-alueen strategia ja tavoitteet, että organisaation kokonaisstrategia. Tukena riskien käsittelyssä on sekä strategisen tason riskiraportointi, että operatiiviselta tasolta tuleva riskienhallinnan tieto ja erityisesti operatiivisella tasolla tunnistetut riskit, joita toivotaan arvioitavan ylemmällä tasolla suhteessa kokonaisuuteen.  Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan.

 Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan

Käsiteltävien riskien lukumäärä on edelleen rajallinen, mutta kuitenkin suurempi kuin strategisella riskienhallinnan tasolla; käsittelyssä on tyypillisesti 10-20 liiketoimintajohdolle olennaisinta riskiä per liiketoiminta-alue. Riskejä voidaan tunnistaa mihin tahansa perinteisistä riskiluokista, strategisiin, taloudellisiin, operatiivisiin… Olennaista on, että käsitellään liiketoiminnan kannalta merkittäviä aiheita.

Tehokkaiden riskienhallintasuunnitelmien laatimiseksi riskien juurisyistä tulee muodostaa riittävä käsitys.  Kaikkiin riskienhallinnan toimenpiteiden yksityiskohtiin ei puututa, mutta suunnitelma konkretisoidaan toimenpiteiksi, joille määritetään vastuuhenkilöt, toteutusaikataulu ja seuranta. Toimenpiteiden vaikuttavuutta tulee arvioida suhteessa niiden vaatimiin resursseihin ja toimenpiteet tulee viedä toimintasuunnitelmiin ja liiketoiminta-alueen budjettiin.


Esimerkki taktisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta?

Strategisella tasolla luotiin käsitys siitä, onko tietosuoja merkittävä riski yrityksen toiminnalle ja miten siihen tulisi suhtautua. Taktisella tasolla tietosuojaan liittyvää riskiä tarkastellaan yrityksen tuottamien palveluiden ja tuotteiden näkökulmasta. Jos tietovuoto on strategisella tasolla nostettu merkittäväksi riskiksi, niin tällä tasolla tarkastelua konkretisoidaan tunnistamalla palvelut, toimintaprosessit ja liiketoimintatavoitteet joissa riski on suurin.

On pohdittava:

Minkä palveluiden tai tuotteiden tuottaminen edellyttää henkilötietojen käsittelyä?

Olemmeko kartoittaneet missä tietoja tallennetaan ja miten niitä hyödynnetään?

Käsittelemmekö tietoja kumppaniemme kanssa ja onko vastuut kirjattu selkeästi sopimuksiin?

Tiedämmekö, että tiedot on suojattu asianmukaisesti?

Onko meillä kyvykkyys tunnistaa tietovuoto?

Pystymmeko reagoimaan tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?