Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Valtorin riskienhallintamalli Perustuu VAHTI 22/2017 riskienhallintaohjeeseen ja ISO31000-standardiin Mallin kuvauksina prosessikuvaus, riskienhallintapolitiikka sekä riskienhallintaohje Prosessikuvaus valmistunut keväällä 2017 Prosessin omistaja toimitusjohtaja, prosessivastaava riskienhallintapäällikkö Riskienhallintapolitiikka hyväksytty 2014, päivitetty prosessikuvauksen laadinnan yhteydessä Valtorin TUVE-yksiköllä toistaiseksi erillinen prosessi, joka pääpiirteittäin yhtenevä 2

Riskienhallinnan tavoitteet Tukea Valtorin strategista ohjausta ja johtamista Mahdollistaa strategisten ja toiminnallisten tavoitteiden saavuttaminen Mahdollistaa Asiakkaalle annetun arvolupauksen toteutuminen Mahdollistaa Valtoria täyttämään riskienhallinnan näkökulmasta sen toiminnalta edellytettävät vaatimukset Varautuminen Valtorin toimintaympäristössä tapahtuviin muutoksiin 3

Soveltamiskohteet Kohde Frekvenssi Kuvaus Organisaation riskien arviointi Vuosittain Yksiköittäin toiminnan ja tavoitteiden kannalta Työsuojeluriskien arviointi Kahden vuoden välein Työntekijöiden ja toiminnan turvallisuuteen liittyvät riskit Palveluiden riskien arviointi Vuosittain Palvelun tuottamiseen ja käyttöön liittyvät riskit Prosessin riskien arviointi Kahden vuoden välein Prosessin toimintaan liittyvät riskit Projektin riskien arviointi Projektin aikana Projektin toteutukseen ja tuotoksiin liittyvät riskit Yksittäisen riskin tai muutoksen arviointi Tarvittaessa Esim. päätöksenteon tueksi merkittävien muutosten yhteydessä 4

Riskiluokat Strategiset riskit Taloudelliset riskit Operatiiviset riskit Omistajuus: Riskienhallinnan johtoryhmä Hallinta- ja käsittelyvastuu: Riskienhallinnan johtoryhmä Omistajuus: Talousyksikkö Hallinta- ja käsittelyvastuu: Tulosyksiköt oman toimintansa osalta Omistajuus: Palvelut ja tuotanto Hallinta- ja käsittelyvastuu: Tulosyksiköt oman toimintansa osalta 5

Riskien arviointiprosessi Uhkien tunnistus Uhkien arviointi Riskien käsittely Seuranta ja raportointi 6

Riskiarvioinnin kulku Toteutus 2017 asti excel-työkalulla, keväällä 2018 Granite riskienhallintatuotteella Yksiköiden ja ryhmien päälliköt vastaavat toteutuksesta ja valitsevat osallistujat vastuualueeltaan, riskienhallinta-/tietoturvayksiköt tukevat toteutusta (tarvittaessa fasilitointi) Arvioinnin toteutus työpajoissa, alustava uhkien tunnistus sähköpostikyselynä ennen työpajaa Uhkien tunnistamisessa ei käytetä valmiita uhkalistoja, vaan esimerkkikategorioita pyritään löytämään todelliset toiminnan aikana havaitut asiat Toimenpiteiden seuranta yksikkö-/ryhmäkokouksissa 7

Vaikutusten arviointi 8

Todennäköisyyden arviointi 9

Riski-indeksi 10

Riskin käsittely 11

Riskien käsittelysuunnitelma Käsiteltäville riskeille määritellään käsittelytapa, mahdolliset kontrollitoimenpiteet, aikataulu sekä vastuuhenkilö Vaihtoehdot käsittelytavalle: Riskin pienentäminen: riskin todennäköisyyttä tai vaikutuksia pyritään pienentämään kontrollitoimenpiteillä Riskin poisto: riskin aiheuttavan toiminnan päättäminen Riskin hyväksyntä: riski hyväksytään sellaisenaan omistajan päätöksellä ja otetaan seurantaan 12

Riskien seuranta Yksiköt vastaavat omistamiensa riskien ja niiden hallintatoimenpiteiden toteutuksesta ja seurannasta Kokonaisuudesta raportoidaan riskienhallinnan johtoryhmälle sekä Valtorin hallitukselle 13

Kiitos mielenkiinnosta 14