![\"\"](\"https:\/\/riskiblogi.fi\/wp-content\/uploads\/2017\/04\/InkedRiskikolmio_2_0504-4_operatiivinen-1024x912.jpg\")
<\/p>\nOperatiivinen riskienhallinta \u2013tasolla riskienhallinta on m\u00e4\u00e4r\u00e4muotoista ja se keskittyy yrityksen p\u00e4ivitt\u00e4isen toiminnan riskeihin lyhyell\u00e4, usein noin vuoden aikaj\u00e4nteell\u00e4.<\/p>\n
<\/p>\n
Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, k\u00e4sittelyst\u00e4 ja raportoinnista oman organisaationsa avustuksella.<\/p>\n
Operatiivisella tasolla tarkasteltavien ja k\u00e4sitelt\u00e4vien riskien lukum\u00e4\u00e4r\u00e4 on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja j\u00e4ljitett\u00e4vyydest\u00e4. My\u00f6s riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisi\u00e4 kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selke\u00e4sti kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksiss\u00e4 usein k\u00e4yt\u00f6ss\u00e4 operatiivisten riskien tietoj\u00e4rjestelm\u00e4, joka tukee suuremman tietomassan k\u00e4sittely\u00e4.\u00a0Riskien tunnistaminen ja luokittelu johdonmukaisesti on t\u00e4rke\u00e4\u00e4 erityisesti suuremmissa organisaatioissa, suuren tietom\u00e4\u00e4r\u00e4n analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.<\/p>\n
Operatiivisella tasolla riskit ovat yksitt\u00e4isiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyvi\u00e4, riskin\u00e4 tunnistetaan esimerkiksi tekij\u00e4, joka voi est\u00e4\u00e4 tietyn yksitt\u00e4isen vuositavoitteen saavuttamisen. Tyypillisi\u00e4 esimerkkej\u00e4 ovat my\u00f6s tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.<\/p>\n
Riskeist\u00e4 keskustellaan k\u00e4yt\u00e4nn\u00f6nl\u00e4heisesti, samalla tukeutuen yksik\u00f6n omiin tavoitteisiin sek\u00e4 koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan p\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti yksik\u00f6n oman budjetin sallimissa rajoissa. Riskienhallinnalle m\u00e4\u00e4ritell\u00e4\u00e4n yksityiskohtaisesti yksitt\u00e4iset toimenpiteet, vastuuhenkil\u00f6(t), aikataulu ja seurantaprosessi.<\/p>\n
\nP\u00e4\u00e4osa riskeist\u00e4 pyrit\u00e4\u00e4n k\u00e4sittelem\u00e4\u00e4n keskijohdon valtuuksin, jotta prosessi pysyy kevyen\u00e4, eiv\u00e4tk\u00e4 ”lillukanvvarret” ruuhkauta ylemm\u00e4n johdon agendaa. <\/span><\/p>\n<\/blockquote>\n
Riskeist\u00e4 raportoidaan kootusti bisnesriskienhallinnan tasolle mutta p\u00e4\u00e4osa riskeist\u00e4 pyrit\u00e4\u00e4n k\u00e4sittelem\u00e4\u00e4n keskijohdon valtuuksin, jotta prosessi pysyy kevyen\u00e4, eiv\u00e4tk\u00e4 ”lillukanvarret” ruuhkauta ylemm\u00e4n johdon agendaa. Raportointi ylemm\u00e4lle tasolle on kuitenkin t\u00e4rke\u00e4\u00e4 siksi, ett\u00e4 operatiivisella tasolla saatetaan tunnistaa riskej\u00e4, jotka ovat esim. osatekij\u00f6it\u00e4 organisaatiota laajemmin koskettavissa riskeiss\u00e4. Joskus on my\u00f6s aiheellista arvioida hallintatoimenpiteiden riitt\u00e4vyys ylemm\u00e4ll\u00e4 tasolla.<\/p>\n
T\u00e4m\u00e4 ja edelt\u00e4v\u00e4t kaksi postausta ovat k\u00e4sitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riitt\u00e4v\u00e4ss\u00e4 laajuudessa kaikki riskitasot. T\u00e4m\u00e4\u00a0ei kuitenkaan tarkoita sit\u00e4, ett\u00e4 kaikki riskit k\u00e4sitelt\u00e4isiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja ty\u00f6kalut. Eri tasojen v\u00e4linen viestint\u00e4 on edellytys sille, ett\u00e4 jako toimii tarkoituksenmukaisesti. \u00a0T\u00e4h\u00e4n palaamme seuraavassa kirjoituksessa.<\/p>\n
\nEsimerkki operatiivisen\u00a0tason riskipohdinnoista \u2013\u00a0tietosuoja<\/h4>\n
Tietosuojariskit ovat hyv\u00e4 esimerkki riskilajista, johon liittyvi\u00e4 riskej\u00e4 voidaan tunnistaa kaikilla riskienhallinnan tasoilla.\u00a0 Keskustelu tietosuojan ymp\u00e4rill\u00e4 on ollut viime aikoina tiivist\u00e4, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pit\u00e4isi suhtautua yrityksess\u00e4 riskienhallinnan n\u00e4k\u00f6kulmasta? Kenen p\u00f6yd\u00e4ll\u00e4 aiheen tulisi olla ja mist\u00e4 n\u00e4k\u00f6kulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja k\u00e4sitys uhkista ja kontrollien heikkouksista t\u00e4smentyy.<\/p>\n
Etenkin ennen asetuksen voimaan astumista operatiivisen tason\u00a0riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin j\u00e4rjestelmiin ja IT:n k\u00e4yt\u00e4nt\u00f6ihin tietoj\u00e4rjestelmien valvonnassa ja hallinnassa. Ty\u00f6t\u00e4 priorisoidaan liiketoiminnan n\u00e4k\u00f6kulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyv\u00e4t j\u00e4rjestelm\u00e4t ovat etusijalla. \u00a0Viimeist\u00e4\u00e4n toukokuun 2018 j\u00e4lkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.<\/p>\n
On pohdittava:<\/strong><\/p>\n
Mit\u00e4<\/strong> henkil\u00f6tietoja k\u00e4sittelemme?<\/p>\n
Miss\u00e4<\/strong> prosesseissa ja tietoj\u00e4rjestelmiss\u00e4 k\u00e4sittelemme kutakin henkil\u00f6tietoa?<\/p>\n
Miss\u00e4<\/strong> henkil\u00f6tietoja s\u00e4ilytet\u00e4\u00e4n? Onko ratkaisu teknisesti vaatimukset t\u00e4ytt\u00e4v\u00e4 ja kest\u00e4v\u00e4?<\/p>\n
Mill\u00e4 k\u00e4yt\u00e4nn\u00f6n toimenpiteill\u00e4 varmistamme<\/strong>\u00a0(ja parannamme) tietojen suojausta?<\/p>\n
Onko<\/strong> tunnistetuille prosesseille ja j\u00e4rjestelmille tehty tietosuojan vaikutusarviointi?<\/p>\n
Mill\u00e4 k\u00e4yt\u00e4nn\u00f6n toimenpiteill\u00e4 tunnistamme<\/strong> tietovuodon?<\/p>\n
Miten k\u00e4yt\u00e4nn\u00f6ss\u00e4 reagoimme tietovuotoon<\/strong> 72 tunnin ilmoitusvelvollisuuden puitteissa?<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Operatiivinen riskienhallinta \u2013tasolla riskienhallinta on m\u00e4\u00e4r\u00e4muotoista ja se keskittyy yrityksen p\u00e4ivitt\u00e4isen toiminnan riskeihin lyhyell\u00e4, usein noin vuoden aikaj\u00e4nteell\u00e4. Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, k\u00e4sittelyst\u00e4 ja raportoinnista oman organisaationsa avustuksella. Operatiivisella tasolla tarkasteltavien ja k\u00e4sitelt\u00e4vien riskien lukum\u00e4\u00e4r\u00e4 on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja j\u00e4ljitett\u00e4vyydest\u00e4. My\u00f6s riskiarviointien laadintaan osallistuu… <\/p>\n