Riskienhallinnan suunnittelu ja vastuutus

Riskienhallinnan osa-alueita on sovitettava organisaation toimintaympäristön ja omien käytäntöjen mukaisiksi. Eri virastoissa voidaan tarvita toisistaan poikkeavia käytännön menetelmiä. Riskienhallinta tulee liittää osaksi viraston toimintaa, päätöksentekoa, johtamista ja esimiestyötä. Myös viraston riskienhallinnan viestintää ja raportointia tulee suunnitella.

Riskienhallinnan tulee olla osa organisaation prosesseja. Se on tärkeä ottaa erityisesti strategisen suunnittelun, toiminnan ja talouden suunnittelun, tulosohjauksen sekä kehittämishankkeiden ja muutosprosessien osaksi. Esimerkiksi suunnittelun ja seurannan vuosikelloon on hyvä sisällyttää riskien arviointi ja käsittely.

Ylin johto vastaa riskienhallinnan organisoinnista sekä tehtäväjaoista. Riskienhallinnan järjestämiseksi on sovittava rooleista ja huolehdittava koko organisaation sitoutumisesta. Erityisesti johdolta edellytetään uskottavaa ja riittävän näkyvää sitoutumista. Johto ei voi delegoida kokonaisvastuuta, sen sijaan riskienhallintaan liittyviä käytännön tehtäviä voidaan delegoida.

Riskienhallinnan järjestämisessä on otettava huomioon organisaation sisäinen ja ulkoinen toimintaympäristö sekä organisaation erityispiirteet (esim. tehtäväalue, resurssit), joilla on vaikutusta riskienhallintaan. Vastuiden tulee perustua toiminnan vastuisiin mm. säädösten, työjärjestyksen ja taloussäännön mukaisesti, jotta riskienhallinta ei ole toiminnasta irrallista.

Riskienhallintapolitiikkamallin luvussa 6 on kuvattu riskienhallinnan vastuita. Vastuut tulee muokata viraston toimintaan ja organisointiin sopiviksi. Tässä yhteydessä voidaan kirjata tarvittaessa myös vastuutahojen tavoitteet ja konkreettiset toimenpiteet, mitä vastuu sisältää. Ministeriön riskienhallintapolitiikassa on hyvä kuvata mahdolliset vastuut hallinnonalan riskienhallinnan ohjauksessa ja koordinoinnissa.