Riskiblogi on viett\u00e4nyt hiljaiseloa viimeisen vuoden, lopullisesti blogia ei kuitenkaan ole viel\u00e4 kuopattu! Tosin kirjoittajien kilpailevat kiinnostuksen kohteet tietokoneen ruudun ulkopuolella tulevat jatkossakin s\u00e4\u00e4ntelem\u00e4\u00e4n julkaisurytmi\u00e4. P\u00e4ivityksi\u00e4 tulee siis rennon letke\u00e4ss\u00e4 tahdissa, kun muut ty\u00f6t ja harrastukset sen sallivat ja saamme julkaisukelpoisia ideoita.<\/p>\n
T\u00e4h\u00e4n kirjoitukseen tuli innoitus asiantuntijalausuntopyynn\u00f6st\u00e4. Saimme pyynn\u00f6n pohtia, mitk\u00e4 kolme konkreettista vinkki\u00e4 antaisimme organisaatiolle, joka ei ole systemaattisesti tehnyt riskienhallintaa, mutta haluaa l\u00e4hte\u00e4 jostain liikkeelle? Haastavan kysymyksest\u00e4 teki adjektiivi ”konkreettinen”. On todella vaikea antaa yleisp\u00e4tevi\u00e4 vinkkej\u00e4, joihin mik\u00e4 tahansa organisaatio voi tarttua ja l\u00e4hte\u00e4 toteuttamaan. T\u00e4llaisissa usein sortuu lopulta ymp\u00e4ripy\u00f6re\u00e4\u00e4n viisasteluun tai asiat on jo kertaalleen kirjoitettu standardien teksteihin.<\/p>\n
Pohdiskelun lopputuloksena syntyi kolme pointtia, joita voisimme vaikka nimitt\u00e4\u00e4 riskiblogin teeseiksi onnistuneelle riskienhallinnalle.<\/p>\n
Ensimm\u00e4inen askel riskienhallinnassa on tavoitteen asettaminen ja kohteen rajaaminen. Tai kuten ISO-31000 standardin mukaisessa riskienhallintaprosessissa, ensimm\u00e4isen\u00e4 tulee \u201dscope, context and criteria\u201d. Riskienhallintaa ei tulisi tehd\u00e4, ”koska t\u00e4ytyy”, vaan koska tarvitsee. Jokaisella riskinarvioinnilla tulee olla liiketoiminnallinen tarve. Jos arvioinnin lopputuloksia ei hy\u00f6dynnet\u00e4 miss\u00e4\u00e4n liiketoiminnan prosessissa, ei arviointia my\u00f6sk\u00e4\u00e4n liev\u00e4sti yksinkertaistaen tarvitse tehd\u00e4.<\/p>\n
Rajauksen ja tavoitteen voi asettaa esimerkiksi riskiblogin viitekehyksen mukaisesti tietylle tasolle, yksitt\u00e4isen liiketoimintaprosessin tukemiseen tai riskilajiin, kuten ymp\u00e4rist\u00f6turvallisuus, kyberturvallisuus, compliance… Sen lis\u00e4ksi, ett\u00e4 organisaatiolla tulisi olla selke\u00e4 tavoite, riskienhallinnalle isossa kuvassa on yht\u00e4 t\u00e4rke\u00e4\u00e4, ett\u00e4 yksitt\u00e4isen riskinarvioinnin tavoite ja rajaus ovat selke\u00e4t ty\u00f6h\u00f6n osallistuville. Keskustelu ty\u00f6skentelyn tarkoituksesta tulisi k\u00e4yd\u00e4 jokaisen riskity\u00f6pajan alussa.<\/p>\n
Keskity riskinarvioinnissa laatuun, ei m\u00e4\u00e4r\u00e4\u00e4n – kattavinkaan lista yrityst\u00e4 koskevista riskeist\u00e4 ei takaa riskienhallinnan vaikuttavuutta – p\u00e4invastoin, pitk\u00e4 lista itsest\u00e4\u00e4nselvyyksi\u00e4 johtaa kokemuksemme mukaan paperinmakuiseen byrokratiaan.<\/p>\n
Riskienhallinta on ep\u00e4varmuuden hallintaa ja osa t\u00e4t\u00e4 ep\u00e4varmuutta on siet\u00e4\u00e4 k\u00e4sittelyyn nostettavien riskien priorisointiin liittyv\u00e4 ep\u00e4varmuus. Kaikkea ei voi hallita, joten nostetaan k\u00e4sittelyyn tunnistetuista riskeist\u00e4 ne, joiden hallinnalla uskotaan olevan suurin vaikutus.<\/p>\n
Riskien lis\u00e4ksi laadun tulisi ulottua hallintatoimenpiteiden suunnitteluun. Tehokkaimmat toimenpiteet kohdistuvat riskin juurisyyhyn. Niiden selvitt\u00e4miseen kannattaa panostaa vaadittava aika ja vaiva.<\/p>\n
Dokumentoi huolella (kuitenkin vain ne priorisoidusti valitut riskit). Ota k\u00e4ytt\u00f6\u00f6n j\u00e4rjestelm\u00e4llinen ja toistettava tapa dokumentoida riskit. T\u00e4m\u00e4 ei aina tarkoita riskitaulukkoa Exceliss\u00e4 tai tietoj\u00e4rjestelm\u00e4n k\u00e4ytt\u00f6\u00e4 – dokumentaation sis\u00e4lt\u00f6 ja muoto tulee valita arvioinnin tavoitetta tukevaksi. Jos kyseess\u00e4 on s\u00e4\u00e4nn\u00f6llisesti seurattava ja p\u00e4ivitett\u00e4v\u00e4 riskilista, varmista ett\u00e4 riskit on dokumentoitu kattavasti. Hyv\u00e4 kirjaus tuo selke\u00e4sti esiin itse riskin, sen aiheuttajat ja seuraukset perustellen riskille tehdyn merkitt\u00e4vyyden arvioinnin.<\/p>\n
Dokumentoinnin yhteydess\u00e4 kannattaa tarkistaa, ett\u00e4 tehtyj\u00e4 kirjauksia on helppo p\u00e4ivitt\u00e4\u00e4 my\u00f6s jatkossa. \u00a0N\u00e4in v\u00e4ltet\u00e4\u00e4n tilanne, jossa jokainen riskikeskustelu alkaa lauseella ”Mit\u00e4 t\u00e4ss\u00e4 riskiss\u00e4 numero X tarkoitettiin, kun…” (been there, on muuten melkoisen hankalaa perustella johdon ajank\u00e4ytt\u00f6 riskienhallintaan, jos jokainen keskustelu alkaa t\u00e4llaisella pohdinnalla).<\/p>\n
Jossain yhteydess\u00e4 voi olla tarpeen dokumentoida kaikki vaaratekij\u00e4t, jotka arvioinnin yhteydess\u00e4 on k\u00e4sitelty. Esimerkiksi kun tavoitteena on t\u00e4ytt\u00e4\u00e4 jonkin asetuksen vaatimukset, t\u00e4ll\u00f6in dokumentointi kannattaa tehd\u00e4 kevyesti ison massan osalta ja nostaa erilliseen k\u00e4sittelyyn merkitt\u00e4vimm\u00e4t riskit.<\/p>\n","protected":false},"excerpt":{"rendered":"
Riskiblogi on viett\u00e4nyt hiljaiseloa viimeisen vuoden, lopullisesti blogia ei kuitenkaan ole viel\u00e4 kuopattu! Tosin kirjoittajien kilpailevat kiinnostuksen kohteet tietokoneen ruudun ulkopuolella tulevat jatkossakin s\u00e4\u00e4ntelem\u00e4\u00e4n julkaisurytmi\u00e4. P\u00e4ivityksi\u00e4 tulee siis rennon letke\u00e4ss\u00e4 tahdissa, kun muut ty\u00f6t ja harrastukset sen sallivat ja saamme julkaisukelpoisia ideoita. T\u00e4h\u00e4n kirjoitukseen tuli innoitus asiantuntijalausuntopyynn\u00f6st\u00e4. Saimme pyynn\u00f6n pohtia, mitk\u00e4 kolme konkreettista vinkki\u00e4 antaisimme… <\/p>\n