1. Sertifioinnilla kilpailuetua - Inspectan tietopäivä 7.9.2016
Riskienhallinta prosessina ja käytännössä
Jyrki Lahnalahti, tuotepäällikkö
2. Agenda
Tänään iskemme käsiksi näihin
Julkinen2
►riskienhallinnan teoriaa
►riskienhallinta käytännössä
►kokemuksia ja näkemyksiä
3. 3
►pääarvioija
►tuotepäällikkö (ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301, SÄHKE2)
►toimialavastaava (IT, sähkö ja elektroniikka)
►turvallisuusjohdon koulutusohjelma TJK13
►Inspecta Sertifiointiin huhtikuussa 2004
►aiemmin erilaisia IT-toimialan tehtäviä 18 vuotta
►jyrki.lahnalahti (at) inspecta.com
Esittäytyminen
Julkinen
6. 6
Riski – mikä se on?
Julkinen
Lähde Määritelmä
Frank H. Knight (1921) Objective uncertainty
AS/NZS 4360:2004
Risk Management
Chance of something happening that will
have an impact on objectives.
COSO (2004) ERM -
Integrated Framework
Risk is the possibility that an event will
occur and adversely affect the achievement
of objectives.
Opportunity is the possibility that an event
will occur and positively affect the
achievement of objectives.
OHSAS 18001:2007 Vaarallisen tapahtuman tai altistuksen
esiintymistodennäköisyyden ja
tapahtumasta tai altistuksesta mahdollisesti
aiheutuvan vamman tai terveyden
heikentymisen vakavuuden yhdistelmä
SFS-ISO 31000:2011 Epävarmuuden vaikutus tavoitteisiin
SFS-EN ISO 9000:2015 Epävarmuuden vaikutus
7. 7
►sanat ”riskienhallinta” ja ”turvallisuus”
voivat tarkoittaa samaa asiaa
►ei jäädä termien vangeiksi, mutta
ollaan kuitenkin selkeitä tavoitteissa ja
menettelyissä
►jokaisella organisaatiolla ja toimialalla
on omat painotuksensa
turvallisuudessa ja riskienhallinnassa
►turvallisuuden hallinnan ja
kehittämisen taustalla aina
riskitietoisuus
Yritysturvallisuutta ei ole ilman riskienhallintaa
Julkinen
http://ek.fi/mita-teemme/tyoelama/yritysturvallisuus/
9. Julkinen9
►a) Riskienhallinta luo
lisäarvoa ja säilyttää sen.
►b) Riskienhallinta on
olennainen osa kaikkia
organisaation prosesseja.
►c) Riskienhallinta on osa
päätöksentekoa.
►d) Riskienhallinnan
lähtökohtana on
epävarmuuden huomioon
ottaminen.
►e) Riskienhallinta on
järjestelmällistä,
jäsenneltyä ja ajantasaista.
►…
Riskienhallinnan prosessi ja periaatteet
SFS-ISO 31000:2011
11. Julkinen11
►suurissa organisaatioissa varsinkin taloudellisille ja
vahinkoriskeille järjestelmällisiä hallintatapoja mm.
vakuutusyhtiöiden avulla
►työturvallisuusriskejä arvioidaan ja käsitellään
►projektien riskejä listataan ja seurataan
►toimialoittain tietyt riskilajit saavat huomiota:
ympäristö, vastuullisuus, tietoturvallisuus, fyysinen
turvallisuus
Havaintoja toimivasta käytännön riskienhallinnasta
12. Julkinen12
►riskienhallintaa ei saada luontevaksi osaksi
päätöksentekoa eikä erityisesti osaksi
muutostilanteiden suunnittelua ja toteutusta
►hallinnan kattavuus pirstaloitunutta, rajoittunutta,
näennäistä, ajallisesti satunnaista
►todellista riskinsietokykyä ei tiedetä tai siitä ei ole
yksimielisyyttä
►”ei meillä ole aikaa ylimääräiseen paperityöhön”
Havaintoja ei-toimivasta käytännön riskienhallinnasta
13. Julkinen13
►menestystekijöitä mm. yksinkertaistaminen ja
osallistaminen
►piilotetaan käytännöistä tiede
►ei tehdä riskeistä taidetta
►jos ei muuten, niin vauvan askelin liikkeelle
►tärkeintä on saada ihmiset ajattelemaan ja
tunnistamaan uhkia ja mahdollisuuksia – ennakoivaa
ajattelua!
Miten onnistua?