Kuvaa riskienhallinnan toimenpiteet

Prosessin jokaiseen vaiheeseen kuuluu myös

• riskiviestintä ja tiedonvaihto
• riskien seuranta ja
• riskien katselmointi.

Lue riskiviestinnästä lisää oppaan sivulta Viesti digiturvariskeistä.

Siinä havainnoidaan

• toimintaympäristön sisäisiä ja ulkoisia muutoksia
• riskien muutoksia
• riskikriteerien muutostarpeita.

Seurantaan ja katselmointiin kuuluu valvontaa ja tarkastuksia, joita voidaan tehdä määrävälein tai tapauskohtaisesti.

Riskienhallintaa tulee myös dokumentoida sen todennettavuuden, organisaation oppimisen ja kustannusten seurannan vuoksi.

Riskienhallinnan toteuttamiseen on löydettävissä viitekehyksiä ja apuvälineitä kaikenkokoisille organisaatioille ja erilaisiin käyttötarpeisiin.

Yleinen riskienhallinta:

• Riskienhallinnan käsikirja valtionhallinnon toimijoille (Valtiovarainministeriö)Avautuu uuteen ikkunaan.
• Riskien arviointi ja hallinta työpaikalla -työkirja (Sosiaali- ja terveysministeriö, PDF)Avautuu uuteen ikkunaan.
• SWOT analysis (Wikipedia, englanniksi)Avautuu uuteen ikkunaan.

Riskienhallinta digiturvassa:

• Digitaalisen turvallisuuden arkkitehtuuri -ohjeistus (Digi- ja väestötietovirasto)Avautuu uuteen ikkunaan.
• Digiturvan palvelukatalogi (Digi- ja väestötietovirasto)Avautuu uuteen ikkunaan.

Mitkä ovat organisaatiooni kohdistuvia riskejä? Mitkä ovat niiden lähteet, vaikutusalueet ja seuraukset?

Tunnistamisvaiheessa

• tunnistetaan tekijät, jotka voivat estää, haitata tai viivästyttää tavoitteiden saavuttamista
• tunnistetaan mahdollisuuksien menettämisestä tai hyödyntämättä jättämisestä aiheutuvat riskit
• luetteloidaan riskit mahdollisimman kattavasti.

Riskit luetteloidaan riippumatta siitä, onko niiden lähde organisaation hallinnassa ja myös vaikkei niiden lähde tai syy olisi selvillä.

Tavoite on havaita ja kuvata mahdollisimman laajasti ja kattavasti

• kaikki merkittävät riskit ja mahdollisuudet
• riskien lähteet
• riskien vaikutusalueet
• mahdolliset olosuhteiden muutokset ja niiden syyt
• riskien seuraukset.

Riskien tunnistamisen avuksi on olemassa erilaisia työkaluja: voit hyödyntää esimerkiksi tarkistuslistoja, haavoittuvuusanalyysia tai riskikarttoja. Riskit myös luokitellaan organisaation valitseman jaottelun mukaisesti. Huolehdi siitä, että riskien tunnistamiseen osallistuvilla henkilöillä on riittävästi asiantuntemusta tarkasteltavasta toiminnasta.

Tunnistettuasi riskit, sinulla on lista niistä riskeistä, joiden todennäköisyyttä ja vaikutusta voit arvioida analyysivaiheessa.

Miten todennäköisiä ja suuria ylös kirjaamani riskit ovat? Millaisia vaikutuksia niillä voi olla?

Riskianalyysissa arvioidaan riskin luonnetta ja suuruutta. Analyysin avulla organisaatiosi luo perustan päätöksille siitä mitä ja miten riskejä käsitellään. Analyysi voi perustua määrälliseen tai laadulliseen tarkasteluun tai niiden yhdistelmään.

Riskit voidaan jakaa neljään luokkaan

• strategisiin
• operatiivisiin
• taloudellisiin
• vahinkoriskeihin.

Strategisia riskejä ja uusia mahdollisuuksia arvioidaan usein laadullisesti eli kvalitatiivisesti. Operatiivisia ja vahinkoriskejä arvioidaan usein määrällisesti, koska niiden toteutumisen todennäköisyyden ja esimerkiksi taloudellisten vaikutusten numeerinen analysointi on helpompaa.

Organisaatiosi voi käyttää riskien todennäköisyyden ja vaikutuksen arvioinnissa esimerkiksi neliportaista asteikkoa.

Miten merkittäviä ylös kirjaamani riskit ovat organisaationi näkökulmasta? Mikä on niiden käsittelyn tärkeysjärjestys?

Merkityksen arvioinnin tavoite on

• ohjata riskeihin liittyvää päätöksentekoa
• päättää mitä riskejä on tarpeen käsitellä ja
• päättää käsittelyn tärkeysjärjestys.

Jotkut riskit vaativat välittömiä toimia, joidenkin vaikutusta tai todennäköisyyttä voidaan pienentää ja joitain jäädään seuraamaan. Riski voidaan myös päättää tietoisesti ottaa jonkin mahdollisuuden saavuttamiseksi.

Todennäköisyydeltään suurin riski ei välttämättä ole kriittisin tai merkittävin, mutta riskien merkitykset voivat muuttua ja niitä voidaan joutua arvioimaan uudelleen.

• Aika: vähäiseltä tuntuvan riskin merkitys voi ajan kuluessa muuttua olennaisesti.
• Psykologiset ja inhimilliset tekijät: yksilöiden riskien sieto-, käsittely- tai tunnistamiskyvyssä voi olla yksilöllistä vaihtelua.
• Keskinäisriippuvuudet: riskit voivat olla toisistaan riippuvaisia, jolloin niiden kerrannaisvaikutukset voivat olla merkittäviä.

Riskienkäsittelysuunnitelman eli riskisalkun laatiminen, toteuttaminen ja säännöllinen seuranta tukee riskienhallintaa. Suunnitelman pääkohdiksi valitaan usein muun muassa:

• riskit ja niiden käsittelytavat
• suunnitelman hyväksyjätahot ja toteuttamisvastuulliset
• riskeille tehtävät toimenpiteet
• käsittelyn tavoiteaikataulut, raportointi ja seuranta.

Riskin omistaja on henkilö tai taho, jolla on vastuu ja valtuudet hallita riskiä. Usein määritellään lisäksi riskitoimenpiteiden vastuuhenkilö, joka käytännössä seuraa ja koordinoi tiettyä riskiä.

- Valtiovarainministeriö: Riskienhallintapolitiikan liite

Käsittelyvaihtoehdot voivat olla esimerkiksi seuraavanlaisia:

• torjuminen (esimerkiksi pidättäytymällä riskejä aiheuttavasta toiminnasta)
• riskin ottaminen tai lisääminen (jonkin mahdollisuuden saavuttamiseksi)
• riskin syyn poistaminen (esimerkiksi lopettamalla riskialtis toiminta)
• riskin toteutumisen todennäköisyyteen vaikuttaminen
• riskin toteutumisen seurauksiin varautuminen tai vaikuttaminen
• riskin jakaminen osittain tai kokonaan yhden tai useamman osapuolen kesken
• tilanteen säilyttäminen sellaisenaan.

Samalla riskillä voi olla yksi tai useampi käsittelyvaihtoehto.

Tekijä suorittaa sovitut riskienhallintatoimenpiteet ja valvoja valvoo niiden toteuttamista. Käsittelyn tulee olla säännöllinen ja toistuva prosessi.

Myös riskien käsittely edellyttää niihin liittyvien osapuolten välistä aktiivista ja säännöllistä tiedonvaihtoa niin kauan kuin riski on olemassa.

Tunnistetuille ja vastuutetuille riskeille, niiden hallintatoimenpiteille ja jäännösriskien käsittelylle tulee asettaa tavoiteaikataulu. Tavoiteaikataulussa määritellään mihin mennessä suunnitellut toimenpiteet tulee tehdä. Aikataulu tulee myös hyväksyttää johdolla.

Aikataulutus, seuranta ja raportointi tulee tehdä dokumentoidusti ja niistä tulee viestiä, jotta riskienhallinta onnistuu ja on tehokasta ja tarkoituksenmukaista. Aikataulusta ja toimenpiteiden toteutumisesta tulee raportoida asianmukaisille tahoille, kuten esimerkiksi johdolle.

Joskus riskienhallinta voi olla tehotonta, kohdistua väärin tai riskien käsittelytoimet ovat riittämättömiä. Tämä voi johtua esimerkiksi siitä, jos

• riskienhallintaprosessin osia ja hallintatoimia ei ole vastuutettu asianmukaisesti
• niitä ei ole dokumentoitu riittävän hyvin tai
• käsittelyprosessissa on muita puutteita.