Riskienhallinta

Riskienhallinta on yritystoiminnassa seurauksiltaan merkittävien kielteisten tapahtumien (riskien) järjestelmällistä määrittelyä ja niihin varautumista. Merkittäviä riskejä ovat ne, joista tietoisuus vaikuttaa tai vaikuttaisi organisaation johdon päätöksentekoon. Riskienhallinta on prosessi, joka nivoutuu toimintoihin, joiden riskejä käsitellään.

Riskien määrittely muokkaa

Riskien määrittely käsittää

riskien tunnistamisen: tuotetaan luettelo riskeistä jatkokäsittelyä varten.
riskien analysoinnin: määritellään, mitä seurauksia tapahtumalla on ja mikä on tapahtuman todennäköisyys.
riskien arvioinnin: tehdään päätös siitä, miten analysoitua riskiä käsitellään.

Riskien käsittely muokkaa

Kielteisten tapahtumien seurauksiin ja todennäköisyyksiinkin pyritään vaikuttamaan toimenpitein, jotka päätetään yksittäistapauksissa tehdyn harkinnan perusteella organisaation riskinottohalua vasten peilaten. Toimenpiteinä tulevat kysymykseen

Riskin välttäminen. Esimerkiksi luovutaan toiminnasta, johon liittyy liialliseksi koettu riski, tai tietoisesti ei aloita tällaista toimintaa.
Riskin tai sen vaikutusten pienentäminen tai kasvattaminen. Vaikutetaan kielteisen tapahtuman todennäköisyyteen (vaikuttamalla tapahtuman alkusyihin) ja/tai seurauksiin (esimerkiksi poikkeusjärjestelysuunnitelmin). Riskiä voidaan tietoisesti kasvattaa esimerkiksi, kun riskienhallintakustannuksista halutaan tinkiä.
Riskin jakaminen tai siirtäminen. Riskejä – tai pikemminkin niiden taloudellisia seurauksia - siirretään tai jaetaan tyypillisesti vakuutusten avulla.

Järjestelmällinen riskienhallinta muokkaa

Riskienhallintaa varten voidaan luoda järjestelmä, jossa ovat määriteltyinä riskienhallintapolitiikka, riskienhallinnassa ja sen kehittämisessä sovellettavat menettelyt, riskienhallinnan eri toimijoiden tehtäväjako, riskien tarkkailu- ja raportointimekanismit ja riskienhallinnan tuki.

Riskinhallinnan menetelmiä ja suosituksia muokkaa

Riskienhallintaan on kehitetty erilaisia menetelmiä. Tällaisia ovat muun muassa Carnegie Mellon -yliopiston kehittämä Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). OCTAVE-menetelmä sisältää erityisesti isoille (300 tai useamman työntekijän) organisaatioille räätälöidyn OCTAVE Method -menetelmän^[1]. OCTAVE-S-menetelmä on suunniteltu pienten (100 tai vähemmän työntekijän) organisaatioille^[2]. OCTAVE Allegro -menetelmä keskittyy erityisesti organisaatioiden tietorekistereihin kohdistuvien riskien hallintaan^[3].

Yhdysvaltalainen National Institute of Standards and Technology (NIST) -organisaatio on antanut erilaisia suosituksia organisaatioiden riskienhallinnalle. Suositukset luotiin osana Federal Information Security Management Act (FISMA) -projektia:

NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems (Final)
NIST Special Publication 800-37, Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final)
NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View (Final)
NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final).

Lähteet muokkaa

Mattila, Matti: Tehtävänä valvonta (2006), ISBN 952-91-9897-3

Viitteet muokkaa

↑ OCTAVE Method. "OCTAVE Method -kotisivu". Viitattu 21. tammikuuta 2013.
↑ OCTAVE-S. "OCTAVE-S-kotisivu". Viitattu 21. tammikuuta 2013.
↑ OCTAVE Allegro. "OCTAVE Allegro -kotisivu". Viitattu 21. tammikuuta 2013.

Aiheesta muualla muokkaa

Commons

Wikimedia Commonsissa on kuvia tai muita tiedostoja aiheesta Riskienhallinta.

Federal Information Security Management Act (FISMA) Implementation Project National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
Joint Technical Committee OB-007: Australian/New Zealand Standard "Risk Management" ISBN 0-7337-5904-1
SFS-ISO 31000:2018 Riskienhallinta - Ohjeet
National Institute of Standards and Technology (html) National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems (Final) (pdf) 2002. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
NIST Special Publication 800-37, Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final) (pdf) 2010. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View (Final) (pdf) 2011. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final) (pdf) 2010. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
OCTAVE 2008. Carnegie Mellon University, Software Engineering Institute. Viitattu 21.1.2013. eng
Committee of Sponsoring Organizations of the Treadway Commission: Enterprise Risk Management — Integrated Framework (Arkistoitu – Internet Archive)
Pk-yrityksen riskienhallinta
Vaarojen selvittäminen ja riskien arviointi (Arkistoitu – Internet Archive)

[OCTAVE_Method-1] OCTAVE Method. "OCTAVE Method -kotisivu". Viitattu 21. tammikuuta 2013.

[OCTAVE-S-2] OCTAVE-S. "OCTAVE-S-kotisivu". Viitattu 21. tammikuuta 2013.

[OCTAVE_Allegro-3] OCTAVE Allegro. "OCTAVE Allegro -kotisivu". Viitattu 21. tammikuuta 2013.

[1]

[2]

[3]