Riskienhallinta prosessina ja käytännössä Sertifioinnilla kilpailuetua - Inspectan tietopäivä 7.9.2016 Jyrki Lahnalahti, tuotepäällikkö
Tänään iskemme käsiksi näihin Agenda riskienhallinnan teoriaa riskienhallinta käytännössä kokemuksia ja näkemyksiä 2
Esittäytyminen pääarvioija tuotepäällikkö (ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301, SÄHKE2) toimialavastaava (IT, sähkö ja elektroniikka) turvallisuusjohdon koulutusohjelma TJK13 Inspecta Sertifiointiin huhtikuussa 2004 aiemmin erilaisia IT-toimialan tehtäviä 18 vuotta jyrki.lahnalahti (at) inspecta.com 3
Kysymys Onko organisaatiossasi jo mallina tai tavoitteena kokonaisvaltainen riskienhallinta? 4
Riskienhallinnan teoriaa 5
Riski mikä se on? Lähde Frank H. Knight (1921) AS/NZS 4360:2004 Risk Management COSO (2004) ERM - Integrated Framework OHSAS 18001:2007 SFS-ISO 31000:2011 SFS-EN ISO 9000:2015 Määritelmä Objective uncertainty Chance of something happening that will have an impact on objectives. Risk is the possibility that an event will occur and adversely affect the achievement of objectives. Opportunity is the possibility that an event will occur and positively affect the achievement of objectives. Vaarallisen tapahtuman tai altistuksen esiintymistodennäköisyyden ja tapahtumasta tai altistuksesta mahdollisesti aiheutuvan vamman tai terveyden heikentymisen vakavuuden yhdistelmä Epävarmuuden vaikutus tavoitteisiin Epävarmuuden vaikutus 6
Yritysturvallisuutta ei ole ilman riskienhallintaa sanat riskienhallinta ja turvallisuus voivat tarkoittaa samaa asiaa ei jäädä termien vangeiksi, mutta ollaan kuitenkin selkeitä tavoitteissa ja menettelyissä jokaisella organisaatiolla ja toimialalla on omat painotuksensa turvallisuudessa ja riskienhallinnassa turvallisuuden hallinnan ja kehittämisen taustalla aina riskitietoisuus 7 http://ek.fi/mita-teemme/tyoelama/yritysturvallisuus/
Samaa kieltä johtamisjärjestelmissä ja mm. yritysturvallisuudessa http://ek.fi/mita-teemme/tyoelama/yritysturvallisuus/ 8
SFS-ISO 31000:2011 Riskienhallinnan prosessi ja periaatteet a) Riskienhallinta luo lisäarvoa ja säilyttää sen. b) Riskienhallinta on olennainen osa kaikkia organisaation prosesseja. c) Riskienhallinta on osa päätöksentekoa. d) Riskienhallinnan lähtökohtana on epävarmuuden huomioon ottaminen. e) Riskienhallinta on järjestelmällistä, jäsenneltyä ja ajantasaista. 9
Riskienhallinta käytännössä 10
Havaintoja toimivasta käytännön riskienhallinnasta suurissa organisaatioissa varsinkin taloudellisille ja vahinkoriskeille järjestelmällisiä hallintatapoja mm. vakuutusyhtiöiden avulla työturvallisuusriskejä arvioidaan ja käsitellään projektien riskejä listataan ja seurataan toimialoittain tietyt riskilajit saavat huomiota: ympäristö, vastuullisuus, tietoturvallisuus, fyysinen turvallisuus 11
Havaintoja ei-toimivasta käytännön riskienhallinnasta riskienhallintaa ei saada luontevaksi osaksi päätöksentekoa eikä erityisesti osaksi muutostilanteiden suunnittelua ja toteutusta hallinnan kattavuus pirstaloitunutta, rajoittunutta, näennäistä, ajallisesti satunnaista todellista riskinsietokykyä ei tiedetä tai siitä ei ole yksimielisyyttä ei meillä ole aikaa ylimääräiseen paperityöhön 12
Miten onnistua? menestystekijöitä mm. yksinkertaistaminen ja osallistaminen piilotetaan käytännöistä tiede ei tehdä riskeistä taidetta jos ei muuten, niin vauvan askelin liikkeelle tärkeintä on saada ihmiset ajattelemaan ja tunnistamaan uhkia ja mahdollisuuksia ennakoivaa ajattelua! 13
Kysymys Mikä sinun organisaatiossasi on ollut riskienhallinnan/turvallisuuden/ennakoinnin menestystarina? 14
15