Riskiblogi on viettänyt hiljaiseloa viimeisen vuoden, lopullisesti blogia ei kuitenkaan ole vielä kuopattu! Tosin kirjoittajien kilpailevat kiinnostuksen kohteet tietokoneen ruudun ulkopuolella tulevat jatkossakin sääntelemään julkaisurytmiä. Päivityksiä tulee siis rennon letkeässä tahdissa, kun muut työt ja harrastukset sen sallivat ja saamme julkaisukelpoisia ideoita.
Tähän kirjoitukseen tuli innoitus asiantuntijalausuntopyynnöstä. Saimme pyynnön pohtia, mitkä kolme konkreettista vinkkiä antaisimme organisaatiolle, joka ei ole systemaattisesti tehnyt riskienhallintaa, mutta haluaa lähteä jostain liikkeelle? Haastavan kysymyksestä teki adjektiivi ”konkreettinen”. On todella vaikea antaa yleispäteviä vinkkejä, joihin mikä tahansa organisaatio voi tarttua ja lähteä toteuttamaan. Tällaisissa usein sortuu lopulta ympäripyöreään viisasteluun tai asiat on jo kertaalleen kirjoitettu standardien teksteihin.
Pohdiskelun lopputuloksena syntyi kolme pointtia, joita voisimme vaikka nimittää riskiblogin teeseiksi onnistuneelle riskienhallinnalle.
Rajaus ja tavoite
Ensimmäinen askel riskienhallinnassa on tavoitteen asettaminen ja kohteen rajaaminen. Tai kuten ISO-31000 standardin mukaisessa riskienhallintaprosessissa, ensimmäisenä tulee ”scope, context and criteria”. Riskienhallintaa ei tulisi tehdä, ”koska täytyy”, vaan koska tarvitsee. Jokaisella riskinarvioinnilla tulee olla liiketoiminnallinen tarve. Jos arvioinnin lopputuloksia ei hyödynnetä missään liiketoiminnan prosessissa, ei arviointia myöskään lievästi yksinkertaistaen tarvitse tehdä.
Rajauksen ja tavoitteen voi asettaa esimerkiksi riskiblogin viitekehyksen mukaisesti tietylle tasolle, yksittäisen liiketoimintaprosessin tukemiseen tai riskilajiin, kuten ympäristöturvallisuus, kyberturvallisuus, compliance… Sen lisäksi, että organisaatiolla tulisi olla selkeä tavoite, riskienhallinnalle isossa kuvassa on yhtä tärkeää, että yksittäisen riskinarvioinnin tavoite ja rajaus ovat selkeät työhön osallistuville. Keskustelu työskentelyn tarkoituksesta tulisi käydä jokaisen riskityöpajan alussa.
Laatu, ei määrä
Keskity riskinarvioinnissa laatuun, ei määrään – kattavinkaan lista yritystä koskevista riskeistä ei takaa riskienhallinnan vaikuttavuutta – päinvastoin, pitkä lista itsestäänselvyyksiä johtaa kokemuksemme mukaan paperinmakuiseen byrokratiaan.
Riskienhallinta on epävarmuuden hallintaa ja osa tätä epävarmuutta on sietää käsittelyyn nostettavien riskien priorisointiin liittyvä epävarmuus. Kaikkea ei voi hallita, joten nostetaan käsittelyyn tunnistetuista riskeistä ne, joiden hallinnalla uskotaan olevan suurin vaikutus.
Riskien lisäksi laadun tulisi ulottua hallintatoimenpiteiden suunnitteluun. Tehokkaimmat toimenpiteet kohdistuvat riskin juurisyyhyn. Niiden selvittämiseen kannattaa panostaa vaadittava aika ja vaiva.
Tarpeen mukainen dokumentointi
Dokumentoi huolella (kuitenkin vain ne priorisoidusti valitut riskit). Ota käyttöön järjestelmällinen ja toistettava tapa dokumentoida riskit. Tämä ei aina tarkoita riskitaulukkoa Excelissä tai tietojärjestelmän käyttöä – dokumentaation sisältö ja muoto tulee valita arvioinnin tavoitetta tukevaksi. Jos kyseessä on säännöllisesti seurattava ja päivitettävä riskilista, varmista että riskit on dokumentoitu kattavasti. Hyvä kirjaus tuo selkeästi esiin itse riskin, sen aiheuttajat ja seuraukset perustellen riskille tehdyn merkittävyyden arvioinnin.
Dokumentoinnin yhteydessä kannattaa tarkistaa, että tehtyjä kirjauksia on helppo päivittää myös jatkossa. Näin vältetään tilanne, jossa jokainen riskikeskustelu alkaa lauseella ”Mitä tässä riskissä numero X tarkoitettiin, kun…” (been there, on muuten melkoisen hankalaa perustella johdon ajankäyttö riskienhallintaan, jos jokainen keskustelu alkaa tällaisella pohdinnalla).
Jossain yhteydessä voi olla tarpeen dokumentoida kaikki vaaratekijät, jotka arvioinnin yhteydessä on käsitelty. Esimerkiksi kun tavoitteena on täyttää jonkin asetuksen vaatimukset, tällöin dokumentointi kannattaa tehdä kevyesti ison massan osalta ja nostaa erilliseen käsittelyyn merkittävimmät riskit.
Jätä kommentti