Riskienhallinta ja jatkuvuudenhallinta ovat saman kolikon kääntöpuolia. Ne kulkevat käsikkäin organisaation tunnistaessa toimintaan kohdistuvia epävarmuuksia ja varautuessa niihin. Riskien- ja jatkuvuudenhallinnassa on kysymys organisaation varautumisesta liiketoimintaa uhkaaviin häiriötilanteisiin. Yhtäläisyyksistä huolimatta näillä kahdella on usein erilaiset lähtökohdat ja kytkökset päätöksentekoon.
Riskienhallinnassa riskitekijät, tapahtumat ja niiden vaikutusketjut pyritään tunnistamaan ja priorisoimaan. Keskeisimmille riskeille määritellään kontrollitoimenpiteitä, joilla tapahtumia ennaltaehkäistään tai lievennetään. Priorisoinnin apuna käytetään useimmiten arvioita tapahtumien todennäköisyydestä tai esiintymisfrekvenssistä ja arvioita riskien vaikutuksista joko euromääräisesti tai muuten laadullisesti arvioituna.
Riskiarviointi ja epävarmuuksien priorisointi on kuitenkin äärimmäisen vaikeaa tehdä hyvin. Päätöksenteon pohjana oleviin perinteisiin riskiarvioihin on myös syytä suhtautua skeptisesti useastakin syystä. Useat tutkimukset osoittavat tapahtumien todennäköisyyksien arvioinnin olevan haastavaa ja epäluotettavaa[1]. Parhaimmatkaan asiantuntijat eivät pysty luotettavasti ja systemaattisesti arvioimaan tapahtumien todennäköisyyksiä eikä empiiristä dataa ole useinkaan saatavissa päätöksenteon tueksi.[2] Asiantuntijatkin ovat taipuvaisia systemaattisesti aliarvioimaan pahimmat mahdolliset skenaariot. Subjektiivisuuden harha voimistuu erityisesti silloin, kun arvioiden tekemisestä vastaa yksittäinen asiantuntija eikä riskiarviointia toteuteta osallistavasti usean asiantuntijan voimin[3].
Paikkaa riskienhallinnan haasteet jatkuvuudenhallinnalla
Jatkuvuudenhallinnalla voidaan paikata riskienhallinnan haasteita hyväksymällä lähtökohdaksi pahimmat mahdolliset kauhuskenaariot. Tällöin fokus siirtyy jatkuvuus- ja varautumissuunnitelmien tekemiseen häiriötilanteiden varalle. Tällaisia häiriötilanteita voivat olla esimerkiksi IT-järjestelmissä, alihankkijoissa tai tuotantoketjussa esiintyvät poikkeamat sekä riippuvuudet niistä.
Koska varautuminen vaatii resursseja, jatkuvuudenhallinta rakennetaan usein käytännön syistä riskienhallinnan päälle. Lisäksi jatkuvuussuunnitelmia tehdään ainoastaan liiketoiminnalle merkittävimpien häiriötilanteiden ja riskien osalta. Jatkuvuussuunnitelmien tila kertoo paljon organisaation riskienhallinnan tilasta, varautumisesta sekä resilienssistä.
Jatkuvuus- ja varautumissuunnitelmien tekemisen lisäksi jatkuvuudenhallinnassa otetaan tärkeimpiä riskejä erityisen linssin alle ja häiriötilanteita mietitään yksityiskohtaisemmalla tasolla. Keskinäisriippuvuudet järjestelmistä, alihankkijoista, arvoketjusta tai organisaation muista prosesseista ovat jatkuvuudenhallinnan ytimessä. Tällaiset tarkastelut jäävät usein tavanomaisissa riskiarvioinneissa käsittelemättä. Systeemisellä tarkastelulla saadaan tarkempi käsitys mahdollisista ja mahdottomista kauhuskenaarioista sekä niiden erilaisista vaikutuksista, jolloin resursointia pystytään kohdistamaan tarkemmin oikeisiin toimenpiteisiin.
Osallistaminen on avainasemassa
Liiketoimintaan tai prosesseihin kohdistuvista vaikutuksista keskusteltaessa on tärkeää huomioida osallistujajoukon moninaisuus. Erilaisilla asiantuntijoilla on osaamisensa ja positionsa puolesta omat näkemyksensä häiriöiden vaikutuksista sekä niiden vakavuudesta. Erilaisten näkemysten ja vaikutusten ymmärtäminen osana riskien- ja jatkuvuudenhallintaa ovat avain organisaation varautumiselle. Keskustelu ja päätöksenteko epävarmuuden ja erilaisten näkemysten keskellä on kuitenkin usein haastavaa käytännössä.
Tukifunktiot kuten IT tai HR, joiden vastuulla varautumissuunnitelmien luonti voi olla, ovat harvoin perillä liiketoimintayksiköiden arjesta. Heiltä puuttuu syvällisempi käsitys häiriötilanteiden aiheuttamista vaikutuksista ja merkityksestä toiminnoissa. Toisaalta liiketoiminnot eivät pysty ottamaan kantaa kriittisiin resursseihin samalla asiantuntemuksella tai määrittelemään niille vasteaikoja tai palvelutasoja häiriötilanteissa. Riittävän varautumisen saavuttaminen ja resurssien allokointi edellyttävät näkemysten vaihtoa. Osallistava prosessi tuo organisaatiossa olevan osaamisen yhteen ja auttaa määrittelemään toimintojen häiriöherkkyyksiä, kriittisiä resursseja ja prosessien keskinäisriippuvuuksia. Tällöin vaikutuksista ja varautumistoimenpiteistä käydään organisaation sisällä moniäänistä keskustelua, mikä nostaa organisaation kykyä varautua häiriötilanteisiin.
Jatkuvuudenhallinta on jatkuva prosessi
Riskienhallinta ja jatkuvuudenhallinta ovat molemmat jatkuvia prosesseja. Niihin liittyvistä vuosikelloista on tärkeää käydä organisaatiossa keskustelua. Vaikka liiketoiminta tai liiketoimintaympäristö eivät näennäisesti olisikaan vauhdikkaassa muutoksessa, ihmisten kyky havaita ja kontrolloida riskejä on valitettavan rajallinen. Ilman selkeitä rakenteita ja työkaluja, jatkuvan tilannetiedon saavuttaminen käy varsin vaikeaksi.
- Tyypillisesti jatkuvuudenhallinta alkaa liiketoiminnallisesti kriittisten prosessien tai tuotteiden tunnistamisella. Tällä pyritään rajaamaan jatkuvuussuunnitelmien tekeminen vain kaikista tärkeimpien toimintojen osalle.
- Kun suojattavat prosessit on määritelty lähtökohdaksi, voidaan analysoida niiden riippuvuuksia erilaisista resursseista tai organisaation muista prosesseista.
- Osallistavan analyysin lopputuotoksena funktiot saavat systeemisen häiriökuvan oman toimintonsa osalta sekä konkreettisen toimenpideohjelman varautumisen parantamiseksi. Organisaatiotasolla piirtyy tarkempi kuva tärkeimmistä prosesseista, resursseista ja keskinäisriippuvuuksista.
2. Rosqvist, Tuominen: Expert judgement models in quantitative risk assessment
Bunn (1975): Authoring Bias in the Assessment of Subjective Probability
3. Douglas, H. (2009): Science, Policy, and the value-free ideal, s. 133-148
