Riskikartta on 2000-luvun riskianalyysin tärkeä väline

Oma henkilöstö Tietoriskit Laatu Oman osaamisen kaventuminen Kustannukset Sopimukset Prosessien kehittäminen Riskikartta on 2000-luvun riskianalyysin tärkeä väline Aikataulu Ulkoistuksen riskit Alihankkijan kyvykkyys Kumppanin valinta Riippuvuus Tulevaisuus Alihankkijan liiketoiminta Kulttuurierot ja ajattelumallit Alihankkijan valvonta ulkoistuksessa on uutta ja erikoista Ns. riskikartta on erityisesti 2000- lukulaiseen toimintaan sopiva riskianalyysin ja siinä riskien tunnistamisen väline, koska se tukee eri osapuolten dialogia ja siten mahdollistaa herkkyyden uusille ilmiöille. Tässä paketissa on lyhyen johdannon jälkeen kooste riskikarttoja joka lähtöön, kolmisenkymmentä erilaista. Matti Vuori, xmvuori@kolumbus.fi www.mattivuori.net 24.8.2010 1(13)

Sisällysluettelo Moderni riskianalyysi-istunto 3 Perinteisiä välineitä 4 Tarvitaan tehokasta dialogia 5 Riskikartta vastaa haasteisiin 6 Riskikartan etuja 7 Mitä asioita riskikartoissa on? 9 Sovitettava kontekstiin 10 Tyypillinen käyttösessio 11 Joskus on tingittävä 12 Esimerkkejä 13

Moderni riskianalyysi-istunto Tyypillisesti riskejä tunnistetaan ja analysoidaan riskianalyysisessioissa. Ne ovat muutaman tunnin mittaisia neuvotteluhuoneessa pidettäviä istuntoja, joilla on tietty käsikirjoitus. Ideana on tunnistaa riskejä ja arvioida niiden suuruutta ja miettiä, miten niiden suhteen toimitaan. Riskianalyysi on kypsää johtamista. Kriittinen vaihe siinä on riskien tunnistaminen, koska vain tunnistettuja riskejä osataan hallita ja välttää. 3(13)

Perinteisiä välineitä Sessiopohjaisessa riskinalyysissä on perinteisesti käytetty tunnistamisen tukena tarkistuslistoja, kohteen rakennetta ja toimintaa analysoivia erityisiä menetelmiä tai luovia esimerkiksi avainsanoihin pohjautuvia menetelmiä. Ideaalinen analyysi käyttää näitä kaikkia sopivassa järjestyksessä avoimesta tarkemmin määriteltyyn; aivoriihistä tarkistuslistoihin. Reaalimaailmassa tästä pitää usein tinkiä, koska analyyseihin ei ole käytettävissä kovin paljon aikaa. 4(13)

Tarvitaan tehokasta dialogia Riskianalyysi on hyvä paikka käydä erilaisten ihmisten dialogia, koska sillä luodaan yhteistä tahtoa, sitoutumista ja kyvykkyyttä. Muuttuvassa maailmassa jokainen heikkokin oire tulevista sudenkuopista on kullanarvoinen. Siksi tarvitaan tehokkaita välineitä, jotka: Antavat kaikkien ajatuksille ja kokemuksille psykologista tilaa. Tuottavat keskustelun herätteitä. Eivät ohjaa menneeseen, vaan tulevaisuuteen! 5(13)

Asiakastarpeet ja vaatimukset Tiimi Riskikartta vastaa haasteisiin Tuotevastuu loppukäyttäjät Osaaminen Tietoturva ja IPR:t Aikataulu Projektin Projektin riskit riskit Laatu Strategiset riskit Budjetti Tekniset riskit projektissa on uutta ja erikoista Visuaalinen, mindmap-tyylinen Merkityksellisten teemojen tarkistuslista Avaa riskien avaruutta, ei rajoita, vaan ohjaa Käydään läpi keskustellen jokainen laatikko, riskejä tunnistaen, kirjaten ja niistä keskustellen Tähän kuluu esim. projektien riskianalyyseissä tunnista kahteen Riskikarttoja voidaan käyttää useampaa kuin yhtä samassa analyysissä Sen jälkeen jatketaan esim. yksityiskohtaisemmalla tarkistuslistalla, jolla varmistetaan, että mitään ei jäänyt huomiotta 6(13)

Riskikartan etuja 1/2 Auttaa jäsentämään tarkastelun kohdetta Esittelee keskeiset toiminnan elementit ja haavoittuvuudet Avaa riskien maailmaa Tukee luovaa riskien tunnistamista Tukee osapuolten keskustelua Tarjoaa yhteisen objektin, jonka kautta riskejä tarkastellaan Sopiva abstraktiotaso, jota kaikki ammattiryhmät pystyvät käsittelemään ei liian tekninen tai teoreettinen 7(13)

Riskikartan etuja 2/2 Systemaattinen, mutta joustava: Käydään läpi laatikko kerrallaan, mutta voidaan poiketa toisellekin puolelle kaaviota Helppo laatia erilaisiin tarkoituksiin Sen avulla tunnistetaan relevantteja riskejä enemmän kuin tarkalla tarkistuslistalla, mutta osallistujille tulee lisäksi oman ja yhteisen oivaltamisen ilo MUTTA! Riskikarttakin edellyttää osaavaa riskianalyysin prosessia ja vetäjää. 8(13)

Mitä asioita riskikartoissa on? Riskikartoissa ei ole paljonkaan suoria riskejä, vaan alueita, joilta riskejä voidaan oivaltaa Tarkastelun kohteen konseptin elementit Tärkeimmät menestystekijät Asiakokonaisuudet, jotka koetaan tärkeiksi ja merkityksellisiksi Kriittiset asiat, kuten pakolliset vaatimukset ja asiakkaan näkökulma Kokemusperäisesti riskialttiit alueet Mutta myös yksittäisiä hyvin tärkeitä riskejä 9(13)

Sovitettava kontekstiin Riskikartan asiat ovat siis sellaisia, joita yleensä pitää suunnitella ja joista pitää keskustella Riskikartta jatkaa sitä prosessia, nyt riskien näkövinkkelistä Mutta asiat ovat kohtuullisesti kontekstista riippuvia, eli kartat kannattaa sovittaa kulloisenkiin tilanteeseen (ainakin, jos jotain karttaa käytetään säännöllisesti kuten projektikohtaisia riskikarttoja) 10(13)

Tyypillinen käyttösessio Esimerkiksi ohjelmistoprojektin riskianalyysi voi tapahtua suunnilleen seuraavasti pienellä porukalla 1. Session aloitus, tavoitteiden, agendan ja pelisääntöjen kuvaus 2. Riskien tunnistaminen projektien riskikarttaa läpikäyden Käydäänpä sitten riskikarttaa läpi kellon suuntaan kiertäen. Aloitetaan asiakastarpeista ja vaatimuksista. Onko projektisuunnitelmassa sellaista, mikä voisi vaarantaa sen, että asiakas ei saa sitä, mitä on hakemassa? Sana on vapaa. Löydökset kirjataan sitten riskilistaan, mutta niitä ei käsitellä vielä sen tarkemmin. Puhutaan syistä, mutta ei vielä pohdita sen tarkemmin 3. Optio: projektin keskeiseen teemaan liittyvän toisen riskikartan läpikäynti 4. Tarkistava kierros projektiriskien tarkistuslistan avulla tämä menee nopeasti, koska useimpia asioita on jo käsitelty! 5. Riskilistan läpikäynti, riskien suuruuden arviointi, toimenpiteiden alustava suunnittelu ja osoitus henkilöille 11(13)

Joskus on tingittävä Aina ei ole aikaa toimia kaikkien taiteen sääntöjen mukaan, kun esimerkiksi aika ei riitä Silloin muistetaan, että on parempi tehdä jotain hyödyllistä kuin olla tekemättä mitään Riskikarttaa voi käyttää työkaluna niin lyhyissä sessioissa kuin huvittaa toisin kuin muita välineitä, joiden kanssa menee aina tietty minimiaika ja olla käyttämättä mitään muita välineitä 12(13)

Esimerkkejä Seuraavilla sivuilla on riskikarttoja moniin eri tarkoituksiin lähinnä ICT-organisaatioiden tarpeisiin Yritystason analyysistä käyttöliittymiin ja testaukseen Riskikartat ovat aakkosjärjestyksessä 1990-luvulla riskikarttoja tehtiin Pk-yrityksen riskienhallinta -hankkeessa, jonka välinesarjasta löytyy lisää riskikarttojen lisäksi paljon muutakin hyödyllistä, ks. http://www.pk-rh.com/ 13(13)

Hajautetun projektin riskikartta Yhteinen visio Projektinhallinta Tiimien koordinointi Viestintä, tiedonkulku, keskustelu Valvonta Seuranta Ohjaus Integrointi Kulttuuri Ajattelutavat Historia Yhteistyövalmiudet Hajautetun projektin erityisriskit Läpinäkyvyys, näkymät tiimeihin Pelisäännöt ja prosessit Tietoverkot Robustius Suorituskyky Tuote- ja teknologiaosaaminen Yhteensopivat välineet Huom! Tässä on lähinnä hajautuksen kannalta oleellisia asioita. Mikä on erityistä tai uutta tässä projektissa? 20.3.2010

Hallinnon riskikartta Kasvaminen ja uudistuminen Prosessit Johtaminen Tietoriskit Osaaminen, kehittyminen Henkilöstö Hallinnon riskit Roolit ja vastuut Sisäiset palvelut Palveluntoimittajat Infrastruktuuri (tilat, tietotekniikka...) Tietojärjestelmät Henkilöstöhallinto Yhteistyö liiketoiminnan kanssa toiminnassa on uutta ja erikoista 4.5.2010

Johtamisen riskikartta Liiketoiminta Strategia Asioiden johtaminen Asiakkaiden ja sidosryhmien tarpeet Suhde yritykseen Johtajuus Katalysointi Alaisten toiminta Arvojen toteuttaminen Johtamisen riskit Valvominen ja valmentaminen Etiikka ja eheys Valmiudet Välineet Organisaatio Johtajien oma kehittyminen Uudistaminen, kehittäminen, ketteryys Johtotiimi Johto mediassa ja yhteisössä Viestintä Laatujohtaminen johtamisessa erityistä? Mikä on uutta? 20.8.2010

Henkilöstön riskikartta Johtajuus Laatukulttuuri Henkilövalinnat Roolit, työnjako Vastuu ja valta Tietovuodot Henkilöjohtaminen Ohjeet Työyhteisö Henkilöstön riskit Kehittäminen Tyytyväisyys Osallistumismahdollisuudet Motivaatio Kokemus Sitoutuminen Osaaminen Kokemuksista oppiminen Avainhenkilöriskit organisaatiossa on uutta ja erikoista 16.2.2010

Kuuman ryhmän riskikartta Tarkoitus ja tavoite Tehtävän haasteet Kuumuuden ylläpito Rakenne ja toimintatyyli Kuuman ryhmän riskit Vapaus ja valta Rauhoitus organisaatiolta Ulkosuhteet ja ympäristön hallinta Sisäiset suhteet, ryhmädynamiikka Johdon suhtautuminen ryhmässä erityistä? Mikä on uutta? 4.12.2010

Hostauksen riskikartta Kapasiteetti Hajautus SLA Muut sopimukset Odotettu palvelutaso Asiakastarpeet Tietoverkot Laitteisto Muutokset Palvelun päivitykset Alustan päivitykset Asiakkaan rajoitukset Varmuuskopiot Hostauksen riskit Tuotantoonsiirrot Osaaminen Laitteiston muutokset Tietoturva Hyökkäykset Ohjeet ja dokumentit Valvonta Hälytykset Tapahtumat Tiedonkulku Mikä tässä järjestelmässä / palvelussa on uutta ja erikoista 16.2.2010

Internet-viestintäratkaisun riskikartta Viestintästrategia Konsepti Käyttäjät ja yhteisöt Kehittäminen ja uudistaminen Teknologia Tietosuoja Kehittämisprojekti Internetviestintäratkaisun riskit Tietoturva Valvonta Lanseeraus Virheet Hostaus Hyökkäykset ratkaisussa on uutta ja erikoista 16.2.2010

Konsultoinnin ja koulutuksen riskikartta Profiili Palvelut Menetelmät Kehittyminen, uudistuminen Imago Liiketoiminta Markkinointi Kysyntä Hinnoittelu Substanssi Konsultointi Koulutus Osaaminen Koulutuksen ja konsultoinnin riskit Asiakastarpeet Muutokset Avainhenkilöt Johtaminen Asiakastyytyväisyys Koettu laatu Vaikuttavuus toiminnassa on uutta ja erikoista 5.5.2010

Markkinoinnin ja myynnin riskikartta Palvelut ja tuotteet Markkinat ja kohderyhmät Strategia ja visio Positiointi Myyntikanavat Mediat ja tiedottaminen Markkinoinnin ja myynnin riskit Brändi Design management Resurssit Prosessit ja menetelmät Johtaminen toiminnassa on uutta ja erikoista 4.5.2010

Muutoksen riskikartta Uuden ratkaisun / muutoksen toimivuus Muutoksen parannuskyky Vaikutus kohteen konseptin eheyteen, menestystekijöihin ja heikkouksiin Tulevaisuus, seuraavat askeleet Keskeytys ja palautus Muutoksen riskit Muutoksen toteutus Muutoksen välittömät vaikutukset Välilliset vaikutukset Sisäiset sidosryhmät Varautuminen ongelmiin Kumppanit ja yhteisöt muutoksessa on uutta ja erikoista 1.9.2010

Ohjelmistohankinnan riskikartta Sidosryhmien tarpeet Muutokset Muutosprosessi Kustannukset Aikataulu Ohjelmistohankinnan riskit Yhteensopivuus Tietovarastot Tekniset riskit Ohjelmistotoimittaja Projektiyhteistyö Tietoturva Hyväksyminen Laatu projektissa on uutta ja erikoista 4.5.2010

Ohjelmistoliiketoiminnan riskikartta Tuotevastuu loppukäyttäjät Laatu Tietoturva ja IPR:t Asiakastyytyväisyys Sopimukset Osaaminen Kehittäjät Vaatimustenmukaisuus Yhteensopivuus Ohjelmistoliiketoiminnan riskit Innovointi Strategiset riskit Käyttäjien teknologiat Palvelut Menekki Avainasiakkaat Markkinat Kilpailijat Tuoteperhe Tuoteteknologia liiketoiminnassa on uutta ja erikoista 4.5.2010

Ohjelmiston inkrementin riskikartta Resurssien riittävyys Vision mukaisuus Tuotteen eheys Inkrementin riskit Konseptin muuttuminen Mitä muutokset rikkovat Muista myös projektin riskikartan asiat Aika Validointi ja verifiointi, testaus Tuotteen tilanne, stabiilius Arkkitehtuuri projektissa on uutta ja erikoista 16.4.2010

Ohjelmistotuotannon riskikartta ITinfrastruktuuri Asiakastyytyväisyys Tuotevastuu loppukäyttäjät Henkilöstö Osaaminen Tietoturva ja IPR:t Toimitilat Projektit Ohjelmistotuot annon riskit Laatu Strategiset riskit Kustannukset Päämiehen alihankkijavaatimukset Tilauskanta Sopimukset Kapasiteetti Tuoteteknologia yksikössä on uutta ja erikoista 4.5.2010

Open Source -integroinnin ja soveltamisen riskikartta Tuotehallinta Politiikat ja OStietoisuus Tuotekehitysprosessi Tulevaisuus Arkkitehtuuri ja korvattavuus Ylläpidettävyys Open Source -riskit Tietoturvallisuus Lisenssit Asiakkaat ja sopimukset Liiketoimintamallit Vaatimustenmukaisuus Yhteisö ja infrastruktuuri Laatu toiminnassa on uutta ja erikoista? 25.7.2010

Organisaation tietoriskikartta Liiketoiminta Asiakkaat Viestintäjärjestelmät Tietoturvapolitiikka Tiedot Tietoriskit Tietovarastot Tietojärjestelmät Riskienhallinta Käyttäjät Tietotekninen infrastruktuuri Fyysinen ympäristö Kulttuuri ja asenteet yksikössä on uutta ja erikoista 4.5.2010

Projektin riskikartta Asiakastarpeet ja vaatimukset Tuotevastuu loppukäyttäjät Aikataulu Projektin riskit Strategiset riskit Budjetti Tiimi Osaaminen Laatu Tekniset riskit projektissa on uutta ja erikoista 4.5.2010

Prosessin riskikartta Tiedonkulku Yhteistyö Poikkeamat kulussa Poikkeamat Poikkeavat tilanteet ja olosuhteet Aika Ajan tarve Ajoitus Nopeus Inputit Prosessin riskit Osaaminen Välineet, tekniset resurssit Avainhenkilöt Omistajuus Valvonta Virheet toiminnassa on uutta ja erikoista 6.10.2010

Säästötoimien riskikartta Eettiset periaatteet Vaikutus moraaliin Sitoutuminen yritykseen Suunnittelun yhteistyö Aikaperspektiivi Säästöjen merkityssisällöt Sitoutuminen säästöihin Yhteistyö Kehittyminen ja jatkuva parantaminen Ulkoiset vaatimukset Muutosten analysointi Säästötoimien riskit Osaaminen Tuotteiden laatu Prosessien laatu Palvelujen laatu Säästöviestintä Organisaatiodynamiikka Sitoutuminen säästöihin säästötilanteessa on uutta ja erikoista 16.2.2009

Teknologiastrategian riskikartta Yrityksen muutokset Osaaminen Resurssit Lähtötietojen luotettavuus Teknologian muutokset Teknologiajohtaminen Organisoituminen Teknologiastrategian riskit Sitoutuminen ja yhteistyö Ulkoiset tekijät Uudistuminen Liiketoimintastrategia Tuotteet ja alustat Markkinointi Arvoverkko Asiakkaat Toimiala Kilpailijat yrityksessä on uutta ja erikoista 8.4.2010

Testauspalvelutoiminnan riskikartta Avainasiakkaat Tietotekninen infrastruktuuri Tietoriskit Liiketoiminta ja markkinat Testauspalvelutoiminnan riskit Palvelut Kilpailuetujen ylläpito Tuoteymmärrys Menetelmät ja testausvälineet Osaaminen Kehittyminen ja uudistuminen Henkilöstö Teknologian hallinta toiminnassa on uutta ja erikoista 4.3.2010

Testausprojektin riskikartta 1 Asiakastyytyväisyys Laatu Liiketoiminta Tietotekniikka, tietoliikenne Menetelmät Aikataulut Lähtötiedot Kohdealueen osaaminen Testausprojektin riskit Kehittyminen Resurssit Avainhenkilöt Testattava tuote Seuranta Johtaminen toiminnassa on uutta ja erikoista? 3.7.2010

Tietojärjestelmähankinnan riskikartta Ylläpito Tietoturvallisuus ja muut uhat (Erillinen analyysi) Sitoutuminen Kustannukset Tulevaisuus Käyttöönotto Oma testaus ja hyväksyntä Luotettavuus Tekniikka Kehittämisen kohde Projektin riskit Suunnittelutavat Yhteentoimivuus Sidosryhmät, käyttäjät Sopimukset Alihankkija Projektin johtaminen ja hallinta Alihankkijan tekemä ohjelmistokehitys Vaikutukset toimintaan projektissa on uutta ja erikoista 4.8.2010

Tietojen riskikartta Tarkoitus Omistus Käyttäjät Käyttö Saatavuus Näkyvyys Suojaus Valvonta Tietoriskit Oikeellisuus Eheys Tietosuoja Kiinnostavuus Väärinkäyttö, sabotaasi Vahingot Uhkaajat yksikössä on uutta ja erikoista 4.5.2010

Tietoriskien riskikartta Kriittiset tiedot Tietojen hallinta ja käsittely Tietoturvapolitiikka ja ohjeet Tietoturvakulttuuri ja asenteet Osaaminen Liiketoiminta Päämiehet Tietoriskit Henkilöt ja työsuhteet Työprosessit Alihankkijat ja kumppanit Sopimukset Etätyö Toimitilat Toipuminen Tietojärjestelmät ja ohjelmistot Turvalliset ratkaisut Toiminta ja käyttö Suojaustekniikka Vahinkotilanteet Viestintäjärjestelmät Päätelaitteet yrityksessä on uutta ja erikoista 9.2.2010

Tulevaisuuden riskikartta Strateginen ketteryys / kankeus Käsitykset ja uskomukset Sisäiset Ulkoiset Megatrendit Alueelliset muutokset Unohtamiskyky Toivo ja luottamus Ennakointikyky Sinisten merien etsiminen Voimavarat Rakenteet Kumppanit Tulevaisuuden riskit Markkinat ja kilpailu Kumppanit ja yhteisöt Toimialojen muutokset Teknologian tulevaisuus Asiakkaiden tulevaisuus kuviossa on uutta ja erikoista 1.9.2010

Tuotekonseptin riskikartta Arvolupaus Hankittavuus asiakkaalle Käyttötarkoitus Luotettavuus Tietoturva Väärinkäyttö Tuotekonseptin riskit Turvallisuus Tuotekehitys Kilpailu Teknologia Siirtyminen vanhasta Houkuttelevuus Toiminnallisuus Yhteensopivuus Käyttäjätyytyväisyys Kulttuurinen sopivuus Olosuhteet Pitkä tähtäin tuotteessa on uutta ja erikoista 4.6.2005

Ulkoistuksen riskikartta Oma henkilöstö Tietoriskit Laatu Oman osaamisen kaventuminen Aikataulu Ulkoistuksen riskit Kumppanin valinta Alihankkijan valvonta Riippuvuus Tulevaisuus Alihankkijan liiketoiminta Kustannukset Sopimukset Prosessien kehittäminen Alihankkijan kyvykkyys Kulttuurierot ja ajattelumallit ulkoistuksessa on uutta ja erikoista 7.2.2010

Yhteisön riskikartta Väistämätön kuolema, elinkaari Kilpailevat foorumit Jatkuva uudistuminen Verkottuminen ulos Mission kestävyys Identiteetti ja etiikka Yhteisön riskit Käyttäjäkunnan saaminen Päätöksenteko / demokratia Kaupallisuus Aktiivien palkinta Lisäarvo, motivaatio Yksilöiden tukeminen 25.8.2010 Häiriöt Moderointi Alusta, infrastruktuuri Vetäjän / omistajan panos Egot yhteisössä on uutta ja erikoista

Yhteistyön ja luottamuksen riskikartta Eri asiakkaiden arvottaminen Asiakkaan auttaminen Yhteinen kehittäminen ja kehittyminen Eettiset periaatteet Asiakkaan tarpeiden selvittäminen Yhteistyön ja luottamuksen riskit Lupausten realistisuus Poikkeamien korjaus Lupausten pitäminen Laatujärjestelmä ja turvallisuuden hallinta Asioiden vastaavuus asiakkaan vaatimuksiin Asiakasviestintä Luottamuksen symbolit Onnistumisen mittaus mittaus Kokemuksista oppiminen Virheiden korjaus yhteistyössä / asiakkaassa on uutta ja erikoista 16.2.2010

Yrityksen riskikartta Kasvaminen ja uudistuminen Liikeidea, visio ja strategia Arvot ja politiikat Johtaminen Tuotteet ja palvelut Osaaminen, kehittyminen Talous ja pääomat Henkilöstö Yrityksen riskit Teknologia Asiakastyytyväisyys ja laatu Avainasiakkaat Infrastruktuuri (tilat, tietotekniikka...) Toimiala, yhteisö Markkinat ja kilpailu Markkinointi ja näkyvyys yrityksessä on uutta ja erikoista 4.5.2010