Kirkkonummen kunta

Riskienhallinnan kehittäminen riskilajiluokittelun avulla

ARC-ohjelmisto on ollut Kirkkonummen kunnalla aktiivisessa käytössä vuodesta 2016 lähtien. Ohjelmiston avulla on muun muassa työstetty tiedonhallintamallia sekä organisaation kokonaisarkkitehtuurikuvauksia. Samalla kunnan riskienhallintaa on kehitetty eteenpäin.

Asiakkaamme on kuvannut ARC-ohjelmistoon toiminnastaan tunnistamia yksittäisiä riskejä. Riskejä on pystytty liittämään esimerkiksi organisaation liiketoimintaan, tiettyyn ohjelmistoon sekä rooliin.

Asiakastarina tiivistetysti:

  • LÄHTÖTILANNE: Tarve helpottaa riskien tunnistamistyötä sekä osallistaa henkilökuntaa monipuolisemmin mukaan riskienhallintaan.
  • RATKAISU: Käytössä olevan ARC-ohjelmiston hyödyntäminen riskien tunnistamisen ja kirjaamisen helpottamisen edistämiseksi.
  • TULOKSET: Henkilökunnan osallistaminen riskienhallintaan ja riskienhallinnan linkittyminen kokonaisarkkitehtuuriin kokonaisvaltaisesti irrallisten elementtien sijaan.

Haasteena yksittäisten ja tarkasti rajattujen riskien hyödyntäminen osana kokonaisvaltaista toiminnan kehittämistä

Asiakkaamme tunnisti riskienhallinnassaan haasteekseen riskien tarkan rajauksen sekä tunnistetun uhan kirjaamisen. Kirjaaminen vaati tekijältään paljon, erityisesti tapauksissa, joissa riskin kirjaaja ei ole muutoin riskienhallinnan kanssa tekemisessä työnsä puolesta.

Kirkkonummen kunnassa haluttiin helpottaa riskientunnistamistyötä ja osallistaa henkilökuntaa monipuolisemmin mukaan riskienhallintaan.

Yksittäisistä riskeistä riskiluokitteluun

Päädyimme hyödyntämään toiminnassamme EK:n määrittelemää yhdeksästä riskiluokasta, sillä koimme sen hyödylliseksi toimintaamme peilaten”, Kirkkonummen kokonaisarkkitehti ja ICT-suunnittelija Harri Pohjoisaho kertoo.

Elinkeinoelämän keskusliitto on määritellyt turvallisuusjohtamisen riskiluokitukset seuraavanlaisesti:

  1. Tietoturvallisuus,
  2. toimitila- ja kiinteistöturvallisuus,
  3. väärinkäytösten ja poikkeamien hallinta,
  4. varautuminen ja kriisinhallinta,
  5. pelastusturvallisuus,
  6. henkilöstöturvallisuus,
  7. ympäristöturvallisuus,
  8. työturvallisuus sekä
  9. tuotannon ja toiminnan turvallisuus.

Elinkeinoelämän keskusliiton kuvauksen mukaan turvallisuusjohtamisen suuntaviivat määritellään organisaation strategiasta riskienhallintaan ja sieltä turvallisuusjohtamiseen.

Kun päätös riskilajien hyödyntämisestä oli tehty, täytyi meidän löytää tapa, jolla tuomme luokittelun osaksi organisaatiomme kokonaisarkkitehtuuria sekä arkea”, Harri jatkaa.

Riskilajien kuvaamisen toteutustapa

Asiakkaamme tunnisti kokonaisuudelle kaksi mahdollista toteutustapaa ARC-ohjelmiston avulla:

  • Pudotuslista riskilajeista, sekä niiden linkitykset liiketoiminnan kokonaisuuksiin, joihin ne liittyvät.
    • Haasteena tässä tavassa tunnistettiin ettei ARC-ohjelmiston yhteyskaavion hyödyntäminen riskien vaikutussuhteissa olisi pudotuslistan avulla mahdollista.
  • Riskiluokat omina elementteinään ARC-ohjelmistoon riskiluokka-mallin avulla, jolloin riskilajeja pystytään liittämään esimerkiksi jonkin tietyn kokonaisuuden riskeiksi tai esimerkiksi, jonkin ohjelmiston tai prosessin tunnistetuksi uhaksi.

Riskiluokkien avulla ARC-ohjelmiston elementtien avulla pystyt yhdistämään riskilajin tietojärjestelmiin, kunnan lakisääteiseen tehtävään, kunnan tuottamaan palveluun tai vaikkapa prosesseihin. Alla esimerkkikuva ARC-ohjelmiston tuottamasta yhteyskaaviosta, johon on linkitetty prosessiin, rooliin ja tietojärjestelmään liittyvä riski. 

Kirkkonummen kunnassa päädyttiin hyödyntämään yllä olevista vaihtoehdoista jälkimmäistä eli riskiluokkien tuomista omina elementteinään ARC-ohjelmistoon.

Näkökulmien kuvaukset yhdistettynä, ARC-yhteyskaavioiden avulla
Näkökulmien kuvaukset yhdistettynä ARC-yhteyskaavioiden avulla. KLIKKAA KUVA ISOMMAKSI.

Millaisia hyötyjä uusi riskien kuvaamistapa riskiluokkittelu tuottaa?

Toimintatavalla saatiin olemassa olevat ja tunnistetut riskit yhdistettyä sopivaan riskiluokkaan.

Riskien uusi kuvaamistapa toi mukanaan muitakin etuja:

Sen sijaan, että esimerkiksi tietojärjestelmän käyttöönotossa tarvitsisi miettiä yksittäisiä ja kaikkia siihen mahdollisesti liittyviä riskeja, asiantuntijamme pystyvät tunnistamaan valmiista riskilajeista niitä, jotka vaikuttavat tietyn järjestelmän käyttöönottoon”, Harri alleviivaa.

Tapa kuvata riskilajit omina elementteinään tuottavat arvoa niistä viestimisen yhteydessä organisaation eri sidosryhmille. Samaisella kuvaustavalla saadaan tuotua riskienhallinta kokonaisarkkitehtuuriin mukaan linkittyvänä osana irrallisten elementien sijaan.

ARC-ohjelmistossa graafiseen yhteyskaavioon voidaan tuoda mukaan esimerkiksi prosesseihin tai tietojärjestelmiin liittyvät riskilajit yksittäisten riskien sijaan, jolloin kokonaisuutta on helpompi hahmottaa. 

Tiedon visualisoimisen kautta kokonaisuuksia on helpompi sisäistää ja graafisia aineistoja voidaan hyödyntää vaikkapa uuden työntekijän perehdytyksessä.

Tilanteessa, kun organisaation toiminnasta tunnistetaan yksittäinen riski, riski kirjataan ylös ARCiin valmiin pohjan avulla. Pohja määrittelee mitä tietoja riskistä kirjataan ylös ja mihin riskilajiin kyseinen uhka kuuluu.

Mitä tapahtuu seuraavaksi?

Elementit eli riskilajit tullaan linkittämään kaikkeen Kirkkonummen toimintaan:

  • prosesseihin,
  • tietojärjestelmiin,
  • kunnan tehtäviin ja palveluihin,
  • riskeihin,
  • tiedonhallintamalliin
  • sekä muihin kokonaisarkkitehtuurin osa-alueisiin.

Kyseistä linkitystietoa voi hyödyntää esimerkiksi ARCin visuaalisessa yhteyskaaviossa, jolloin tiettyyn prosessiin tai tietojärjestelmään liittyvien tunnistettujen riskien hahmottaminen on nopeampaa ja helpompaa. Yllä esimerkkikuva ARCilla tuotetusta yhteyskaaviosta, josta selviää tiettyyn prosessiin, tietojärjestelmään ja rooliin liittyvä riski.

Lue lisää riskienhallinnasta:

👉 Arvioi riskejä tehokkaasti – käytä asteikkoa | blogi
👉 Analysoi riskejä ekosysteemi mallinnuksen avulla | blogi
👉 Mahdollisuudet osana toimivaa riskienhallintaa | webinaari

Aiheeseen liittyvää

Kaikki resurssit