Tulostusversio

4/2012

Riskienhallinta: Varaudu hyvin

Teksti: Antti J. Lagus

Tietoturvaloukkaus on riski, joka voi toteutua. Fiksu organisaatio ehkäisee riskejä johdonmukaisella riskienhallinnalla.

Riskienhallinta ei koostu pelkästään riskeistä vaan myös mahdollisuuksista. Kun tunnistetaan riskit, löydetään mahdollisuudet päästä tavoitteeseen tai saavuttaa toivottu tilanne. Riskit voivat liittyä esimerkiksi organisaation toimintaan, toimintaympäristöön, talouteen, henkilöstöön, prosesseihin, toimittajiin, alihankkijoihin, projekteihin ja turvallisuuteen. Kun näitä tarkastellaan yhdenmukaisin välinein, voi johto ottaa kantaa oikeisiin asioihin.

Riskienhallinta tulisi sisällyttää niin strategiselle tasolle kuin vuosisuunnitelmien ja projektien sekä vaikkapa tiedon turvaamisen tasolle.

Itellassa riskienhallintatyö on kiinnitetty muun muassa strategia- ja vuosisuunnitteluprosessiin.

”Olemme selvittäneet, mitä riskejä liittyy yrityksen strategisiin tavoitteisiin”, turvallisuus- ja riskienhallintajohtaja Markku Rajamäki sanoo.

”Kun riskit on tunnistettu, niiden todennäköisyys ja vaikutus arvotetaan, minkä jälkeen riskit priorisoidaan ja vastuutetaan. Näin ne tehdään ymmärrettäviksi.”

Sopii kaikenkokoisille

Riskienhallinnan käsitteestä on paljon eri tulkintoja. Moni mieltää sen teknisen tason asiaksi. Sen sijaan taloudelliset riskit ovat luonteeltaan kovin toisenlaisia. Riskienhallinnan sateenvarjon pitää kuitenkin ulottua koko organisaation toimintaan.

Johdolle tarvitaan tarpeellista tietoa päätöksenteon tueksi. Myös vaatimustenmukaisuuden hallinta voidaan kytkeä riskienhallintaan. Vaatimukset pitää huomioida riskeinä: mitä tehdään, jos vaatimus ei toteudukaan toivotulla tavalla?

Riskienhallinnassa on useita osatekijöitä, mikä merkitsee, että kunkin organisaation pitää selvittää asiat omista lähtökohdistaan. Viestintäviraston turvallisuuspäällikkö Jani Arnellin mukaan riskienhallinta sopii kaikenkokoisille yrityksille.

”Myös aloittavissa ja pienemmissä yrityksissä pitäisi ajatella riskejä, muun muassa tietoa ydinosaamisesta sekä avainhenkilöiden lähtöä, jo alusta lähtien”, Arnell sanoo.

”Käytännön tapoja toteuttaa on monenlaisia. Tärkeää on, että viitekehys, kuten riskienhallintapolitiikka, on mietitty, sillä muuten riskienhallintatyö alkaa rönsyillä eri suuntiin, eivätkä siitä saatavat hyödyt ole parhaiten ulosmitattavissa.”

Osa laadunvarmistusta

On myös tärkeää miettiä, mikä on organisaation toimintakenttä. Riskienhallinta on monessa Euroopan maassa Suomea pidemmällä, minkä vuoksi sen järjestämisestä saatetaan kysyä yhteistyökuvioita aloitettaessa.

Jos vaikkapa eurooppalaisille markkinoille tähtäävässä yrityksessä ei ole hoidettu asioita systemaattisesti, eteen voi tulla hankaluuksia. Kansainvälisillä kentillä kannattaakin Arnellin mielestä hyödyntää siellä tunnettuja välineitä yhteensopivuuden varmistamiseksi.

Se, miten säännelty toimiala on, vaikuttaa paljon riskienhallintaan. Monille yrityksille riskienhallinta tulee ulkoisena vaatimuksena. Riskienhallinnan on oltava osa organisaation toiminnanohjausta. Monesti riskienhallinta myös kytketään osaksi laadunvarmistustyötä. Esimerkiksi finanssialalla säätely ja sen myötä tarve riskienhallintatyölle lisääntyy todennäköisesti entisestään.

Älä jätä puolitiehen

Riskienhallintaa pidetään joskus pakollisena pahana. Aika usein tällöin on kyse siitä, että riskienhallinnan toteutus on jäänyt puolitiehen.

”Jos riskienhallinta näyttää ylimääräiseltä, se johtuu usein siitä, ettei sitä ole viety loppuun saakka eli olennaiseksi osaksi tuettavaa prosessia, esimerkiksi strategiaa tai projektinhallintaa. Monissa tilanteissa ei tarvitsekaan puhua riskienhallinnasta vaan on kyse johtamisen osasta”, Itellan Markku Rajamäki sanoo.

Toinen kompastuskivi riskienhallinnan rakentamisessa saattaa hänen mukaansa olla se, että sitä lähdetään rakentamaan yksityiskohdista. Lähestymistavan pitää olla ylhäältä alaspäin. Ylhäältä lähdettäessä myös johdon kiinnittäminen prosessiin on helpompaa.

”Itella on prosessitalo, jossa toiminta usein ylittää liiketoiminnan sisäisiä raja-aitoja. Toiminta helpottuu, kun on olemassa koko organisaation toimintatavat”, Rajamäki sanoo.

Lue myös

Tietoturva: Näin arvioit tietoturvariskit »
Riskienhallinta: Peruspilarit »
Riskienhallinta: Oma laite ei käy kaikkeen »
Riskienhallinta: Viisas varautuu verkkohyökkäykseen »
Riskienhallinta: Hataran tietoturvan kavalat seuraukset »
Riskienhallinta: Tietosuojan laiminlyönti voi käydä kalliiksi »
Riskienhallinta: Tietoturvaloukkaus on riski myös maineelle »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.