Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä.
Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella.
Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisiä kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selkeästi kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksissä usein käytössä operatiivisten riskien tietojärjestelmä, joka tukee suuremman tietomassan käsittelyä. Riskien tunnistaminen ja luokittelu johdonmukaisesti on tärkeää erityisesti suuremmissa organisaatioissa, suuren tietomäärän analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.
Operatiivisella tasolla riskit ovat yksittäisiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyviä, riskinä tunnistetaan esimerkiksi tekijä, joka voi estää tietyn yksittäisen vuositavoitteen saavuttamisen. Tyypillisiä esimerkkejä ovat myös tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.
Riskeistä keskustellaan käytännönläheisesti, samalla tukeutuen yksikön omiin tavoitteisiin sekä koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan pääsääntöisesti yksikön oman budjetin sallimissa rajoissa. Riskienhallinnalle määritellään yksityiskohtaisesti yksittäiset toimenpiteet, vastuuhenkilö(t), aikataulu ja seurantaprosessi.
Pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvvarret” ruuhkauta ylemmän johdon agendaa.
Riskeistä raportoidaan kootusti bisnesriskienhallinnan tasolle mutta pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvarret” ruuhkauta ylemmän johdon agendaa. Raportointi ylemmälle tasolle on kuitenkin tärkeää siksi, että operatiivisella tasolla saatetaan tunnistaa riskejä, jotka ovat esim. osatekijöitä organisaatiota laajemmin koskettavissa riskeissä. Joskus on myös aiheellista arvioida hallintatoimenpiteiden riittävyys ylemmällä tasolla.
Tämä ja edeltävät kaksi postausta ovat käsitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riittävässä laajuudessa kaikki riskitasot. Tämä ei kuitenkaan tarkoita sitä, että kaikki riskit käsiteltäisiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja työkalut. Eri tasojen välinen viestintä on edellytys sille, että jako toimii tarkoituksenmukaisesti. Tähän palaamme seuraavassa kirjoituksessa.
Esimerkki operatiivisen tason riskipohdinnoista – tietosuoja
Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaa kaikilla riskienhallinnan tasoilla. Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja käsitys uhkista ja kontrollien heikkouksista täsmentyy.
Etenkin ennen asetuksen voimaan astumista operatiivisen tason riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin järjestelmiin ja IT:n käytäntöihin tietojärjestelmien valvonnassa ja hallinnassa. Työtä priorisoidaan liiketoiminnan näkökulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyvät järjestelmät ovat etusijalla. Viimeistään toukokuun 2018 jälkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.
On pohdittava:
Mitä henkilötietoja käsittelemme?
Missä prosesseissa ja tietojärjestelmissä käsittelemme kutakin henkilötietoa?
Missä henkilötietoja säilytetään? Onko ratkaisu teknisesti vaatimukset täyttävä ja kestävä?
Millä käytännön toimenpiteillä varmistamme (ja parannamme) tietojen suojausta?
Onko tunnistetuille prosesseille ja järjestelmille tehty tietosuojan vaikutusarviointi?
Millä käytännön toimenpiteillä tunnistamme tietovuodon?
Miten käytännössä reagoimme tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?
Jätä kommentti