Riski | Riskiblogi.fi

19 syyskuun, 2017lauranoukka Ei kommentteja

Rusetti, tarina ja miksi?

Riskityöpaja – ehkä suosikkijuttumme riskienhallintatyössä. Tässä kirjoituksessa esittelemme kolme työkalua riskien tunnistamiseksi ja jäsentämiseksi työpajoissa. Suosittelemme lämpimästi kokeilemaan monenlaisia ryhmätyömenetelmiä (jopa niitä, joita ei alun perin ole tarkoitettu riskienhallintatyön tueksi – vaihtelu ja hienoinen leikillisyyskin virkistävät aina), ryhmän koon ja tavoitteen mukaan soveltaen ja muokaten. Tässä läpikäytävillä menetelmillä olemme saaneet hyviä tuloksia aikaan etenkin silloin, kun on nimenomaan haluttu saada riskin aiheuttajat ja riskin eri elementtien väliset kausaliteetit näkyviin.

Edelliseen kirjoitukseen viitataen, työpajoissa käytävä keskustelu auttaa selkeyttämään organisaation sisäistä riskienhallinnan sanastoa. Kaikki menetelmät ovat myös sovellettavissa kokonaisvaltaisen riskienhallinnan kaikilla tasoilla, vaikkakin tehokkainta käyttö on operatiivisella tasolla. Liiketoiminta- tai ylimmän johdon tasolla liikuttaessa kannattaa huomioida, että huolellinen toteutus vaatii todennäköisesti useamman työpajan, lähtien alustavasta ja melko laajasta brainstormingistä ja päätyen strukturoituun lopputulemaan. Tämä asettaa monesti haasteita ajankäytön suhteen.

Bow-Tie:

Ensimmäinen ja yksinkertaisin työkalu on Bow-Tie. Metodi lienee kehitetty alun perin öljyteollisuuden tarpeisiin konkreettisten vahinkoriskien kuvaamiseen mutta työssämme olemme soveltaneet sitä vapaasti jäsentämään niin turvallisuus-, projekti- kuin strategisiakin riskejä. Menetelmässä kuvataan riski selkeästi neljän elementin

– aiheuttaja

– tapahtuma

– seuraukset

– kontrollit

kautta kuvana, joka muistuttaa rusettia (bowtie). Kuvaamiseen on muuten olemassa oma tietojärjestelmänsäkin, mutta itse tykkäämme käyttää post-it lappuja ja fläppitaulua.

Työpaja kannattaa aloittaa vapaalla keskustelulla, jossa on tarkoituksena tunnistaa ja heitellä ilmaan ajatuksia etukäteen käsiteltäväksi päätettyyn aihealueeseen liittyen. Ajatukset kirjataan lapuille ja käydään keskustelu siitä, miten ne suhteutuvat käsiteltävänä olevaan aihealueeseen. Usein on käynyt niin, että ryhmän yksi jäsen on mieltänyt riskiksi asian, joka onkin toisen tunnistaman riskitapahtuman aiheuttaja ja näistä taas seuraa kolmannen tunnistama vaikutus liiketoiminnalle. Ilman analyysia kaikki nämä kolme tekijää todennäköisesti päätyisivät riskirekisteriin yksittäisinä riskeinä, joille olisi hyvin vaikea tehdä jatkoanalyysia. Bow-tie harjoituksen seurauksena ne pystytään kuitenkin kirjaamaan loogisena riskitarinana.

Tarinallistaminen:

Toinen hieman pidemmälle viety riskinmallintamistapa, jota sovelletaan tietoturvariskienhallinnan maailmassa, kuvaa riskin tarinana. Menetelmän on toinen meistä omaksunut tietoturvakonsulttina työskentelevältä mahtavalta kollegaltaan. Tarina aloitetaan yksilöimällä suojattavat kohteet, joihin kohdistuvia riskejä halutaan tunnistaa, esimerkiksi yrityksen maine, tulevan vuosineljänneksen tulos tai tärkeä tietovaranto. Sitten siirrytään kartoittamaan uhkatekijät, eli kerrotaan kuka tai mikä voi uhata kohdetta. Tämän jälkeen tunnistetaan toiminnan haavoittuvuuksia ja maalataan sanallisesti (tai miksei kuvallisestikin) niiden hyödyntämisestä seuraavat uhkaskenaariot. Skenaariot voivat oikeissa olosuhteissa konkretisoituvat tapahtumiksi, joiden seurauksena jokin suojattavista kohteista vahingoittuu.

Riskin mallinnustyöpajan lopputuotos (Lähde Marko Buuri, F-Secure)

Tarinallistaminen on oikeastaan tyyppiesimerkki siitä, miten strategista riskienhallintaa toteutetaan käytännön riskien tunnistamistyössä: tietoturvariskien tarina alkaa suojattavista kohteista, jotka voidaan helposti määrittää myös organisaation strategisiksi tavoitteiksi – ja tunnistaa asioita, jotka voivat uhata näiden tavoitteiden saavuttamista. Jos organisaation tavoitteet on määritelty tarpeeksi visuaalisesti ja ytimekkäästi, voidaan riskityöpajassa käyttää pohjamateriaalina suoraan strategiatyön materiaaleja. Jos tavoitteet on vielä kuvattu samaan tapaan sekä strategisella, taktisella ja jopa operatiivisella tasolla (tällöin puhutaan monesti jo toimintasuunnitelmasta tai vastaavasta materiaalista), materiaali toimii lähtökohtana riskienhallintakolmion jokaisella tasolla järjestettävissä työpajoissa.

5XMIKSI:

Kolmas menetelmä on 5XMIKSI. Ideana on työskennellä pareittain tai pienessä ryhmässä niin, että liikkeelle lähdetään tunnistetusta riskistä. Ryhmän jäsenet esittävät vähintään viisi kertaa kysymyksen MIKSI ja kirjaavat vastauksen ylös. Esimerkiksi: tavoite on toiminnan tehostaminen. Alatavoite on tiedon jakamiseen ja viestintään käytetyn ajankäytön tehostaminen, ja yksi keino tavoitteen saavuttamiseksi on nykyaikaisen kollaboraatiotyökalun käyttöönotto koko organisaatiossa. Riskiksi on määritelty se, etteivät kaikki ota järjestelmää omakseen, vaan jatkavat tiedon tallentamista omissa tiedostoissan ja jakamista sähköposteissa jne.

→ ja tätä jatketaan vähintään viisi kertaa.

Menetelmä itsessään on hyvin yksinkertainen ja kokemuksemme mukaan myös saattaa aiheuttaa aluksi hieman hilpeyttä työpajan osallistujissa. Mutta sitkeästi läpi vietynä se palkitsee, sillä jäljelle ei jää vähempää kuin riskin todellinen aiheuttaja (usein aiheuttajat). Ja vain aiheuttajiin on mahdollista kohdistaa tehokkaat, ennakoivat riskienhallintatoimenpiteet.

Yllä esitetyt työtavat ohjaavat keskustelemaan siitä, mistä kaikista elementeistä riski oikeasti muodostuu, mitkä ovat aiheuttajat ja mitkä seuraukset. Samalla riskikuvasta muodostuu yhtenäinen ja saman tasoinen käsitys kaikille osallistujille. Juuri tämä on monesti työpajojen aikaa vievin, mutta toisaalta antoisin vaihe. Kuvien piirtäminen ja kysymysten ja vastausten ylös kirjaaminen auttaa myös konkretisoimaan hallintatoimenpiteiden suunnittelua ja keskustelua siitä, mihin hallintatoimenpiteet kohdistetaan.

Tässä kirjoituksessa päästiin nyt vasta puoleen väliin riskianalyysia, sillä riskin kvantifiointiin liittyvä keskustelu ei luontevasti tule osana näiden työmenetelmien keskustelua. Palataan tähän jossain myöhemmässä kirjoituksessa, tai useammassakin…

Ps. jos olet riskityöpajojen osalta kiinnostunut erityisesti tietoturvanäkökulmasta, niin suosittelemme tutustumaan CORAS-menetelmään tai Intelin TARA-metodiin

30 elokuun, 2017Outi Nieminen 4 kommenttia

Riski, epävarmuus ja muutama muu termi

Kuten ihan ensimmäisessä postauksessamme mainitsimme, riskienhallinnassa vilisee termejä, joita käytetään välillä jokseenkin kirjavasti. Ja käytännössä pakkohan riskienhallintaa käsittelevän blogin on ottaa kantaa riskienhallinnan sanastoon, vaikka aihe saattaakin tuntua melko loppuunkalutulta. Yritämme seuraavassa kuitenkin lähestyä aihetta astetta freesimmällä otteella (laittakaa kommenttikenttään näkemyksiänne siitä, miten onnistuu!).

Riski vs. epävarmuus:

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen. Riskit ovat ”tunnettuja epävarmuuksia” eli käytännössä et tiedä, mitä seuraavaksi tapahtuu, mutta tiedät miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen.

Esimerkki tunnetusta epävarmuudesta (l. riskistä) on pankin myöntämä luotto. Pankin riski on se, että asiakas ei maksa lainaansa takaisin, mutta etukäteen ei voida tietää tapahtuuko näin. Kuitenkin todennäköisyys tälle pystytään historiallisen tiedon perusteella määrittelemään. Epävarmuus puolestaan viittaa ”tuntemattomiin epävarmuuksiin”, eli et tiedä mitä seuraavaksi tapahtuu, etkä myöskään tiedä miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää. Tällöin tapahtumiin liittyvää riskiä on vaikea määrittää.

Mietitään vaikka organisaatiota, jossa ollaan lähdössä toteuttamaan täysin uudenlaista projektia. Visiovaiheessa, kun tiedetään tavoiteltava lopputulos, mutta ei vielä keinoja tai resursseja sen saavuttamiseen, on varmasti luontevaa puhua enemmän projektiin liittyvästä epävarmuudesta kuin riskistä, koska meillä ei ole käytössämme aikaisempaa tietoa projektin kulun ja lopputuloksen, ja niihin liittyvien riskiskenarioiden riittävään ennustamiseen. Projektin edetessä ja suunnitelmien täsmentyessä epävarmuus tarkentuu vähitellen riskiksi.

Strategiatyön ja strategisen riskienhallinnan tason kannalta epävarmuus on mielenkiintoinen termi: lähihistoria on täynnä realisoituneita tuntemattomia epävarmuuksia, jotka ovat mullistaneet toimialoja ja vieneet pohjan aikaisemmalta liiketoimintalogiikalta. Näissä yhteyksissä viitataan monesti ”mustiin joutseniin” eli tapahtumiin, joita on hyvin vaikea tai mahdoton ennustaa historiallisen tiedon perusteella, ja joiden vaikutukset ovat toteutuessaan suuria. Strateginenkaan riskienhallinta ei pysty tarjoamaan täydellistä vastausta tuntemattomien epävarmuuksien tunnistamiseen ja mittaamiseen ja sen vuoksi yritysjohdon on elintärkeää olla hereillä, skannailla ja tarkkailla ns. hiljaisia signaaleja markkinoilta, kilpailijoilta ja muilta yhteiskunnan aloilta ollakseen valmiina, kun maailma muuttuu.

Vaara ja riski:

Vaara on tekijä, joka voi aiheuttaa vaaratilanteen, kuten tapaturman, onnettomuuden, vahingon tai muun vastaavan. Vaara on olemassa, mikäli jollakin asialla on luontainen ominaisuus aiheuttaa haittavaikutus – esimerkiksi jäinen tie tai viallinen sähkölaite. Vaaroista aiheutuu riskejä, tai jos tekijällä voi olla positiivisia vaikutuksia, vaaran sijaan puhutaan mahdollisuudesta. Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Riski ei välttämättä realisoidu, vaikka vaaratekijä olisi olemassa, vaan sana riski kuvaa vaarasta mahdollisesti aiheutuvaa haittaa (tai mahdollisuutta) ja sen suuruutta yhdistämällä toteutumisen arvioidun todennäköisyyden ja vaikutuksen. Jotta riski olisi olemassa, eli vaara tapahtuisi, vaaralle tulee altistua. Postauksen lähteistä löytyy hyvä esimerkki vaaran ja riskin suhteesta: myrkkykäärme eläintarhan terraariossa on vaarallinen, mutta se ei terraariossa ollessaan ole kävijöille todellinen riski. Jos käärme pääsisi kohtuullisen todennäköisesti karkaamaan terraariosta, se muuttuisi kävijöille riskiksi.

Riskinottohalukkuus ja riskinkantokyky:

Riskinottohalukkuus (risk appetite) on se riskin määrä, jonka organisaatio hyväksyy kokonaistasolla tavoitellessaan päämääriään. Riskinottohalu on aina sidottu organisaation kokonaisstrategiaan. Sitä ei välttämättä ole ilmaistu yhtenä lukuna, vaan se voi olla moniulotteisemmin ja laveamminkin määritelty, liialliseen yksinkertaistamiseen ei välttämättä kannatakaan pyrkiä. Kannattaa kuitenkin huolehtia, että riskinottohalukkuus on mitattavissa, jotta määritelmästä ei tule merkityksetöntä. Riskinottohalukkuus on organisaatiokohtainen ja voi vaihdella paljonkin mm. eri toimialojen, organisaatiokulttuureiden välillä. Riskinottohalukkuus voi (ja ehkä sen pitääkin) myös muuttua ajan kuluessa.

Riskinkantokyky (risk tolerance) on se riskin taso, jonka organisaatio hyväksyy per jokainen riski (toisin kuin riskinottohalukkuus, joka ilmaisee riskinsiedon kokonaisuudessaan). Riskinkantokyky määrittelee sen, onko organisaatio valmis kantamaan yksittäisen riskin vaikutukset sen toteutuessa .

Riski, Inherent Risk & Residual risk:

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata.

Käytännössä riskienhallinnassa usein puhutaan vain ”riskistä”, vaikka riskienhallinnan teoriassa riski jaotellaan inherent ja residual riskiin. Inherent-riskille on hieman vaikeaa löytää sopivaa suomennosta, kyse on ”alkuperäisestä” riskistä ilman mitään riskienhallinnan toimenpiteitä – voidaan puhua myös ”worst case” -skenaariosta riskiin liittyen. Residual risk -termille taas löytyy hyvä suomennos: jäännösriski, eli riski sen jälkeen, kun kaikki päätetyt riskin hallintatoimenpiteet ovat käytössä. Arkikielessä sanalla riski viitataan usein nimenomaan jäännösriskiin.

Otetaan esimerkki: toimit rahoitusalalla ja myönnät asiakkaallesi 2 Meuron lainan. Arvioit inherent-riskiksi luotonannossa historiallisen datan perusteella sen, että 10% todennäköisyydellä asiakas ei maksa lainaansa ollenkaan takaisin (ensimmäiseen sanapariin viitaten: tapahtumien todennäköisyysjakauma on sinulla siis tiedossa ja näin ollen puhutaan riskistä, eikä epävarmuudesta). Riski on melko korkea ja sen taloudellinen vaikutus liiketoiminnallesi suuri, joten päätät implementoida riskienhallintatoimenpiteitä pienentääksesi riskin toteutumisen todennäköisyyttä ja vaikutusta. Toimenpiteenä voivat olla esim. asiakkaan luottotietojen tarkistus ja vakuuksien tai takauksien vaatiminen jne. Näiden toimenpiteiden tehokkaan implementoinnin jälkeen arvioit, että todennäköisyys koko lainan maksamatta jättämiselle on pudonnut 5%:n ja vakuuksien vuoksi on todennäköistä, että saat joka tapauksessa takaisin ainakin 50% lainasummasta. Näin voit laskea jäännösriskisi taloudellisen arvon.

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata, sillä korkea inherent-riski antaa viitteitä siitä, kuinka huolissaan (ja kääntäen, kuinka varmoja) meidän tulisi olla riskienhallintatoimenpiteidemme tehokkuudesta ja riittävyydestä. Inherent- ja jäännösriskin välinen suuri epäsuhta antaa aina siis aihetta tarkastella riskienhallinnan toimenpiteiden tilannetta ja tehokkuutta tarkemmin.

ps. Tässä kirjoituksessa kuvatut tilanteet ja termit ovat käytössä kaikilla kolmella riskienhallinnan tasolla.

Lähteitä:

ISO 31000 – Risk Managment Standard Vocabulary

COSO: ”Strengthening Enterprise Risk Management for Strategic Advantage”

http://riskikompassi.fi/uploads/files/riskienhallintapolitiikka-esimerkki.pdf

https://www.theirm.org/media/464806/IRMRiskAppetiteExecSummaryweb.pdf

http://www.bwise.com/blog/assessing-risks-inherent-or-residual/obj5382859

http://www.teknokemia.fi/fin/kosmetiikka/kosmetiikan_puheenaiheita/riskin_ja_vaaran_ero/

11 kesäkuun, 2017Outi Nieminen Ei kommentteja

Viestintä riskikokonaisuudessa

Edellisissä kolmessa kirjoituksessa käytiin kerros kerrokselta läpi tapaa, jonka avulla tarkastelemme riskienhallintaa eri tasoista koostuvana kokonaisuutena. Totesimme, että strateginen ja kokonaisvaltainen riskienhallinta huomioi riittävässä laajuudessa kaikki kolme riskitasoa. Mutta siiloissa ei kannata elää – jotta riskienhallinta näin järjestettynä oikeasti toimisi, täytyy määritellä ja järjestää eri tasojen välinen keskustelu ja viestintä. Käytännössä tämä tarkoittaa sitä, että organisaatiossa määritellään, millä kriteereillä yhdellä tasolla tunnistetusta riskistä raportoidaan ylös- tai alaspäin kolmiossa:

Kolmion kärkipäästä ”ylhäältä” tuleva viestintä on tärkeää, jotta koko organisaatio on tietoinen sen toimintaan kohdistuvista merkittävimmistä riskeistä. Strateginen riskinäkemys tukee myös strategiaa ja sen viestintää, ja kertoo, mitä riskien minimoimiseksi tehdään & oletetaan organisaatiossa tehtävän.

Strategisen tason riskikokonaisuudessa on yleensä aina joitain elementtejä, joita ei voida jakaa kovin laajalle piirille. Kuitenkin lähtökohtaisesti tieto, jota ei ole jostain erityisestä syystä aihetta salata, tulisi viestiä avoimesti. Tieto ylimmän johdon huolenaiheista auttaa taktisella ja operatiivisella tasolla riskienhallinnan parissa työskenteleviä kokonaiskuvan muodostamisessa. Se helpottaa myös oman riskienhallinnan roolin ja siihen kohdistuvien odotusten ymmärtämistä.

Taktisella tasolla ollaan vuorovaikutuksessa kaikkiin suuntiin. Strategiselta tasolta saadaan viitekehys, jossa riskejä tarkastellaan ja takaisin syötetään tieto liiketoimintayksikön lähitulevaisuuden merkittävistä mahdollisuuksista ja haasteista. Taktinen taso antaa myös raamit operatiivisen riskienhallinnan toteuttamiselle. Operatiiviselta tasolta taktiselle nostettavat asiat puolestaan auttavat hahmottamaan, missä riskienhallinnan kokonaisuuden käytännön toteuttamisessa mennään.

Millä kriteereillä operatiivisen tason riskejä sitten nostetaan tarkasteluun ylemmälle tasolle? Riskin suuruuteen sitominen on todennäköisesti helpointa. Se ei kuitenkaan välttämättä aina ole paras tapa, etenkin jos riskit arvotetaan taloudellisen merkittävyytensä mukaan. Tällöin jokin yrityksen arvojen tai vaikka toiminnan turvallisuuden kannalta tärkeä asia saattaa jäädä ilman käsittelyä. Ratkaisuna ongelmaan voi todennäköisesti hyödyntää riskien kategorisointia, jolloin tietyistä teemoista, esim. arvoihin liittyvistä asioista voidaan koostaa yhteenvetoja riskiviestintää ja -raportointia varten.

”Alhaalta ylös” -tapahtuva viestintä (opertaviiselta taktiselle tasolle) on toimivalle riskienhallintajärjestelmälle tärkeää etenkin siksi, että riskikolmion alemmilla tasoilla saatetaan tunnistaa asioita tai huolenaiheita, joihin ylemmillä tasolla ei ole suoraa näkymää. Nämä saattavat kokonaisuuteen liitettynä tai useassa eri yksikössä samantapaisina toistuessaan olla merkityksellisiä kokonaisriskikuvan kannalta. Ne voivat tuoda esiin myös näkökulmia tai asioita, joihin täytyy ottaa kantaa riskienhallintajohdon tasolla. Riskienhallinnan prosessia käytetään tällöin tavallaan tunnistettujen huolien keskusteluun nostamisen työkaluna.

26 toukokuun, 2017lauranoukka Ei kommentteja

Riskienhallinta operatiivisella tasolla

Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä.

Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella.

Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisiä kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selkeästi kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksissä usein käytössä operatiivisten riskien tietojärjestelmä, joka tukee suuremman tietomassan käsittelyä. Riskien tunnistaminen ja luokittelu johdonmukaisesti on tärkeää erityisesti suuremmissa organisaatioissa, suuren tietomäärän analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.

Operatiivisella tasolla riskit ovat yksittäisiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyviä, riskinä tunnistetaan esimerkiksi tekijä, joka voi estää tietyn yksittäisen vuositavoitteen saavuttamisen. Tyypillisiä esimerkkejä ovat myös tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.

Riskeistä keskustellaan käytännönläheisesti, samalla tukeutuen yksikön omiin tavoitteisiin sekä koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan pääsääntöisesti yksikön oman budjetin sallimissa rajoissa. Riskienhallinnalle määritellään yksityiskohtaisesti yksittäiset toimenpiteet, vastuuhenkilö(t), aikataulu ja seurantaprosessi.

Pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvvarret” ruuhkauta ylemmän johdon agendaa.

Riskeistä raportoidaan kootusti bisnesriskienhallinnan tasolle mutta pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvarret” ruuhkauta ylemmän johdon agendaa. Raportointi ylemmälle tasolle on kuitenkin tärkeää siksi, että operatiivisella tasolla saatetaan tunnistaa riskejä, jotka ovat esim. osatekijöitä organisaatiota laajemmin koskettavissa riskeissä. Joskus on myös aiheellista arvioida hallintatoimenpiteiden riittävyys ylemmällä tasolla.

Tämä ja edeltävät kaksi postausta ovat käsitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riittävässä laajuudessa kaikki riskitasot. Tämä ei kuitenkaan tarkoita sitä, että kaikki riskit käsiteltäisiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja työkalut. Eri tasojen välinen viestintä on edellytys sille, että jako toimii tarkoituksenmukaisesti. Tähän palaamme seuraavassa kirjoituksessa.

Esimerkki operatiivisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaa kaikilla riskienhallinnan tasoilla. Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja käsitys uhkista ja kontrollien heikkouksista täsmentyy.

Etenkin ennen asetuksen voimaan astumista operatiivisen tason riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin järjestelmiin ja IT:n käytäntöihin tietojärjestelmien valvonnassa ja hallinnassa. Työtä priorisoidaan liiketoiminnan näkökulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyvät järjestelmät ovat etusijalla. Viimeistään toukokuun 2018 jälkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.

On pohdittava:

Mitä henkilötietoja käsittelemme?

Missä prosesseissa ja tietojärjestelmissä käsittelemme kutakin henkilötietoa?

Missä henkilötietoja säilytetään? Onko ratkaisu teknisesti vaatimukset täyttävä ja kestävä?

Millä käytännön toimenpiteillä varmistamme (ja parannamme) tietojen suojausta?

Onko tunnistetuille prosesseille ja järjestelmille tehty tietosuojan vaikutusarviointi?

Millä käytännön toimenpiteillä tunnistamme tietovuodon?

Miten käytännössä reagoimme tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?

9 toukokuun, 2017lauranoukka Ei kommentteja

Riskienhallinta taktisella tasolla

Taktinen riskienhallinta -tasolla tarkastellaan ja hallitaan toiminnan suunnitteluun, organisointiin sekä toteutukseen liittyviä riskejä. Monesti puhutaan myös bisnesriskien hallinnasta. Riskienhallintainformaatio tukee liiketoiminta-alueita koskevaa päätöksentekoa.

Kyseessä ovat strategisia riskejä astetta konkreettisemman tason riskit, jotka liittyvät strategian käytännön toteuttamiseen selkeiden tavoitteiden ja toimintasuunnitelmien mukaisesti. Hyvä taho arvioimaan riskejä tällä tasolla on liiketoimintajohto (yhdessä liiketoiminta-alueen johtoryhmän kanssa). Toimitusjohtajan rooli on tukea ja haastaa liiketoimintajohdon riskienhallintatyötä.

Keskustelu käydään strategista tasoa yksityiskohtaisemmin. Silti on erittäin tärkeää säilyttää kokonaiskäsitys oman liiketoiminta-alueen riskikokonaisuudesta ja yhtymäkohdista, sekä vaikutuksista muihin liiketoiminta-alueisiin. Riskien tunnistamisen lähtökohtana on sekä oman liiketoiminta-alueen strategia ja tavoitteet, että organisaation kokonaisstrategia. Tukena riskien käsittelyssä on sekä strategisen tason riskiraportointi, että operatiiviselta tasolta tuleva riskienhallinnan tieto ja erityisesti operatiivisella tasolla tunnistetut riskit, joita toivotaan arvioitavan ylemmällä tasolla suhteessa kokonaisuuteen. Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan.

Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan

Käsiteltävien riskien lukumäärä on edelleen rajallinen, mutta kuitenkin suurempi kuin strategisella riskienhallinnan tasolla; käsittelyssä on tyypillisesti 10-20 liiketoimintajohdolle olennaisinta riskiä per liiketoiminta-alue. Riskejä voidaan tunnistaa mihin tahansa perinteisistä riskiluokista, strategisiin, taloudellisiin, operatiivisiin… Olennaista on, että käsitellään liiketoiminnan kannalta merkittäviä aiheita.

Tehokkaiden riskienhallintasuunnitelmien laatimiseksi riskien juurisyistä tulee muodostaa riittävä käsitys. Kaikkiin riskienhallinnan toimenpiteiden yksityiskohtiin ei puututa, mutta suunnitelma konkretisoidaan toimenpiteiksi, joille määritetään vastuuhenkilöt, toteutusaikataulu ja seuranta. Toimenpiteiden vaikuttavuutta tulee arvioida suhteessa niiden vaatimiin resursseihin ja toimenpiteet tulee viedä toimintasuunnitelmiin ja liiketoiminta-alueen budjettiin.

Esimerkki taktisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla. Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta?

Strategisella tasolla luotiin käsitys siitä, onko tietosuoja merkittävä riski yrityksen toiminnalle ja miten siihen tulisi suhtautua. Taktisella tasolla tietosuojaan liittyvää riskiä tarkastellaan yrityksen tuottamien palveluiden ja tuotteiden näkökulmasta. Jos tietovuoto on strategisella tasolla nostettu merkittäväksi riskiksi, niin tällä tasolla tarkastelua konkretisoidaan tunnistamalla palvelut, toimintaprosessit ja liiketoimintatavoitteet joissa riski on suurin.

On pohdittava:

Minkä palveluiden tai tuotteiden tuottaminen edellyttää henkilötietojen käsittelyä?

Olemmeko kartoittaneet missä tietoja tallennetaan ja miten niitä hyödynnetään?

Käsittelemmekö tietoja kumppaniemme kanssa ja onko vastuut kirjattu selkeästi sopimuksiin?

Tiedämmekö, että tiedot on suojattu asianmukaisesti?

Onko meillä kyvykkyys tunnistaa tietovuoto?

Pystymmeko reagoimaan tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?

26 huhtikuun, 2017Outi Nieminen Ei kommentteja

Riskienhallinta strategisella tasolla

Strateginen riskienhallinta –tasolla riskienhallinta nivotaan tukemaan strategiaa ja strategisia tavoitteita. Sen tarkoituksena on tukea ylimmän johdon toimintaa, merkittävien strategisten linjausten arviointia ja päätöksentekoa. Käsiteltävien riskien määrä pidetään rajallisena, huomio on merkittävimmissä riskikokonaisuuksissa.

Strategisella tasolla riskit ovat suuria ja monitahoisia kokonaisuuksia, jotka ovat yritystasolla merkittäviä ja voivat uhata strategisten tavoitteiden saavuttamista. Käsiteltävät riskit eivät koostu yksinomaan yrityksen riskiluokituksessa lokeroon ”strategiset riskit” koostetuista asioista. Myös operatiivinen tai taktinen riski voi olla strategisesti merkittävä. Tämän vuoksi riskiraportoinnin tulee saada syötteitä sekä taktiselta, että operatiiviselta tasolta (yleensä taktisen tason kautta).

Merkittävänä haasteena strategisen riskienhallinnan toteuttamisessa on, että perinteiset strategiaopit eivät nosta riskienhallintaa osaksi strategiatyötä. On toimintaympäristöanalyysia ja SWOT-analyysia kaikkine laajennuksineen mutta riskit eivät kuulu prosessiin ja piste. Haastaisimme yritysjohtoa ja riskienhallinnan ammattilaisia miettimään, miten on mahdollista tehdä pitkälle tulevaisuuteen ulottuvia strategisia linjauksia, jos ei ole ymmärrystä nykytilan riskeistä ja niiden kehittymisestä eri strategiavaihtoehdoissa? Strategiset linjaukset kuten esimerkiksi laajentuminen uudelle palvelu- tai maantieteelliselle alueelle ovat mahdollisuuksia liiketoiminnalle, mutta niiden mukana syntyy uusia, tuntemattomia riskejä. Nämä riskit ja suhtautuminen niihin tulisi tunnistaa osana strategian valmistelutyötä, ei vasta päätöksenteon jälkeen.

Paras taho arvioimaan riskejä ja määrittämään ylätason hallintastrategiat on organisaation ylin johto: hallitus (ja suuremmassa yrityksessä hallituksen tarkastusvaliokunta) toimitusjohtajan tukemana (suuremmissa yrityksissä toimitusjohtajaa puolestaan tukee hänen johtoryhmänsä). Ylin johto varmistaa, että riskienhallinnan taso ja prosessi ovat riittäviä, haastaa toimitusjohtajaa riskikokonaisuudesta ja evästää riskienhallinnan toimenpiteiden priorisoinnista, tasosta ja luonteesta.

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää, yksityiskohtaisiin toimenpiteisiin ei ole tarkoituksenmukaista mennä. Tämä edellyttää keskustelun pohjana käytettävältä riskiraportoinnilta paljon – strategisten riskien raportoinnissa ei saa jäädä kiinni lillukanvarsiin. Toisaalta saattaa olla tarkoituksenmukaista tehdä ns. Deep Dive -tyyppisiä sukelluksia yksittäisiin riskeihin tai riskiluokkiin, jotta varmistetaan yhteinen ymmärrys ja näkemys riskin merkityksestä, tilasta, kehitysnäkymistä ja vaadittavien toimenpiteiden tasosta.

Esimerkki strategisen tason riskipohdinnoista – tietosuoja

On pohdittava:

Mitä henkilötietoja liiketoiminnassa tarvitaan?

Miten henkilötietoja liiketoiminnassa hyödynnetään?

Olemmeko mukana sellaisessa bisneksessä, jossa henkilötieto on liiketoiminnalle strategista tietoa?

Vaikuttaisiko tietovuoto merkittävästi liiketoimintaedellytyksiin, eli millainen vaikutus tapahtumalla olisi maineeseen ja uskottavuuteen & olisiko riski kustannusmielessä merkittävä?

Strategisella tasolla kannattaa pitää mielessä myös riskin upside. Voisiko hyvin hoidettu tietosuoja luoda jopa kilpailuetua markkinoilla asiakkaiden silmissä tai onko henkilötieto omaisuuserä, jonka avulla liiketoimintaa voidaan kehittää tai laajentaa?

31 maaliskuun, 2017Outi Nieminen Ei kommentteja

Miten saada jotain tolkkua riskienhallinnasta?

Edellisessä postauksessa nostimme esiin ongelman, joka on nähtävissä riskienhallinnan termistön ja sitä koskevien keskustelujen ympärillä: riskienhallinta itsessään on hyvin laaja käsite ja eri puhujat monesti tarkoittavat sanoillaan hieman eri asioita. Todennäköisesti sinäkin miellät käsitteen ”riskienhallinta” hieman eri tavalla kuin me, vaikka olisimmekin lukeneet alan samat perusteokset ja viralliset määritelmät. Siihen miten näemme riskienhallinnan vaikuttaa oma taustamme ja kokemuksemme eli se, mistä näkökulmasta olemme riskejä tottuneet tarkastelemaan. Toiselle riskienhallinta on perinteistä vahinkojen torjuntaa ja vakuuttamista, kun taas toiselle puhdasta matematiikka ja monte carlo -simulaatioita ja kolmannelle taas konsernitason strategisen riskikartan kokoamista.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan. Riskienhallinnan painopisteet heijastelevat usein myös toimialan tai toiminnan erityispiirteitä, esimerkiksi ydinenergian tuotannossa korostuvat turvallisuusriskien hallinta, konventionaalisissa energiantuotantomuodoissa vahinko- ja keskeytysriskit, elintarvikealalla keskitytään elintarviketurvallisuuteen, lääketeollisuudessa lopputuotteen vaatimustenmukaisuuteen ja laatuun, kun taas aloittelevissa yrityksissä saatetaan alkuvaiheessa keskittyä puhtaasti markkinaan ja kilpailijoihin ja suuren investointiohjelman juuri julkaissut organisaatio keskittyy lähivuodet intensiivisesti projektiriskien hallintaan. Listaa voisi jatkaa loputtomiin. Mutta mikä on näiden kaikkien erilaisten lähestymistapojen suhde toisiinsa? Ja mitä ihmettä tarkoittaa paljon käytössä oleva termi ”kokonaisvaltainen riskienhallinta”?

Kokonaisvaltaiselle riskienhallinnalle löytää nopeasti googlettamalla monia eri määrittelyjä; sanotaan sen käsittävän tavoitteita vastaan toteutettavan riskien tunnistamisen, käsityksen muodostamisen kaikista toimintaan liittyvistä riskeistä ja niiden merkittävyydestä, sen kuvaillaan olevan tiukasti integroitu strategiaprosessiin, operatiiviseen suunnitteluun, päivittäiseen päätöksentekoon ja toiminnan valvontaan. Mainitaan sen myös olevan osa sisäistä valvontaa ja painottavan riskien tarkastelua koko yrityksen tasolla, ei pelkästään yksittäisien toimintojen riskien tunnistamista. Sen tunnuspiirteenä kuvaillaan olevan kytkeminen strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin.

Nämä ovat kaikki ehdottoman hyviä linjauksia ja tavoitteita, mutta me kaipaamme jotain hieman konkreettisempaa, joka kertoo meille, miten suhteutamme, käsittelemme ja vastuutamme keskenään esim. organisaation tietojärjestelmiin kohdistuvat hyökkäykset, riskin siitä, että digitalisoituvassa maailmassa liiketoimintamme perusidea ei enää kanna, henkilöstömme työturvallisuudesta huolehtimisen ja riskin siitä, että rahoituksemme hinta nousee sietämättömälle tasolle.

Kokonaisuuden hahmottamiseksi ja jäsentämiseksi nojaamme kolmijakoon strategisen, taktisen ja operatiivisen toiminnan välillä. Mallimme jakaa riskienhallinnan osa-alueet eri tasoihin ja sitoo ne toisiinsa liittyväksi kokonaisuudeksi:

(lue mallista tarkemmin sivulta viitekehys):

Tämän mallin kaikkien osa-alueiden hallinta ja johtaminen, mukaan lukien eri tasojen välillä tapahtuvan viestinnän, on meille kokonaisvaltaista, tehokasta riskienhallintaa. Jokaisella tasolla on eri vastuuhenkilöt ja erilainen fokus mm. riskien tunnistamisessa ja niitä koskevassa keskustelussa ja raportoinnissa. Tehokkuus ja tarkoituksenmukaisuus riskienhallinnassa saavutetaan, kun eri riskit, tai samaan riskiin otettavat eri näkökulmat (esim. privacy-riski, jota käytämme esimerkkinä tulevissa kirjoituksissa) viedään käsiteltäväksi organisaatiossa oikeille tasoille. Eri tasoihin, niiden sisältöön ja niihin liittyvää viestintää tarkastelemme seuraavissa postauksissa tarkemmin.

31 maaliskuun, 2017Outi Nieminen 1 kommentti

Tervetuloa riskiblogi.fi:n!

Tämä blogi on olemassa kahden riskienhallinnan ammattilaisen jakaman kiinnostuksen, innostuksen ja yhteistyön tuloksena. Blogin perustamiselle on (ainakin) kaksi syytä:

Riskienhallintaa koskeva keskustelu kaipaa selkeyttä. Riskienhallinnan ammattilaiset puhuvat yhdessä termeistä kuten riski ja sen suuruus, riski ja epävarmuus ja yksinkertaisesti ”riski”, usein kuitenkin tarkoittaen hieman eri asioita. Myös sisäiseen valvontaan, complianceen ja kontrolleihin liittyvät termit esiintyvät keskusteluissa. On kuitenkin hankala hahmottaa, miten nämä kaikki suhteutuvat riskienhallinnan kokonaisuuteen. Järjestelmällisyyteen taipuvina ihmisinä päätimme katsella aihetta systemaattisen ja helposti ymmärrettävän ajatuskehikon kautta, jossa riskienhallinta on jaettu kolmeen eri tasoon (esittelemme kehikon tarkemmin seuraavassa postauksessa). Tämän blogin kautta pääsemme jakamaan ajatusmallimme, toivoen sen hyödyttävän myös muita alalla työskenteleviä, tai siitä kiinnostuneita.

Meillä on tavoite: tehdä riskienhallinnasta kokonaisvaltaista ja nostaa se ylimmän johdon agendalle niin, että se huomioi strategisen näkökulman ja on olennainen ja integroitu osa menestyvän liiketoiminnan pyörittämistä. Näemme kokonaisvaltaisen riskienhallinnan ensisijaisesti yrityksen liiketoiminnan mahdollistajana ja strategian tukijana tavoitteiden saavuttamiseksi. Sellainen riskienhallinta, johon me suhtaudumme suurella intohimolla, tukee tavoitteiden saavuttamista ja toteutumista, jopa mahdollistaa ne. Se on aktiivista ja vuorovaikutteista, ja vaatii niin riskienhallinnan teorian kuin oman organisaation liiketoiminnan ja ansaintamallin ymmärtämistä. Se käyttää erilaisia viitekehyksiä apunaan, muttei jää niiden vangiksi. Se on toimitusjohtajan, hallituksen, linjajohdon ja riskin omistajien paras kaveri ja apu muuttuvassa maailmassa.

Käytämme hyväksi kokemustamme, kirjallisuutta sekä keskusteluja kollegojen ja muiden asiantuntijoiden kanssa. Tarkoitus on antaa ideoita miettimisen aihetta niin riskienhallintapäälliköille, toimitusjohtajille, hallituksille, tarkastusvaliokunnille ja riskin omistajille, kuin kenelle tahansa aiheesta kiinnostuneelle.