Mikä on riskikirjanpito?

Riskikirjanpito on jäsennelty luettelo kaikista organisaation tai projektin tunnistetuista riskeistä sekä niiden arvioinnista, omistajuudesta, toimenpiteistä ja tilasta. Se on operatiivinen — sitä tulee lukea, päivittää ja tarkastella säännöllisesti.

Kirjanpito ei ole riskiraportti. Raportti on tilannekuva (PDF hallitukselle), joka on laadittu kirjanpidon pohjalta. Kirjanpito on elävää dataa.

ISO 27001:ssä riskikirjanpito on tietoturvallisuuden hallintajärjestelmän (ISMS) pakollinen osa (lausekkeet 6.1.2 ja 8.2). ISO 31000:ssa se on prosessin vakiotuotos. NIS2:n artiklassa 21 se on riskiperusteisen kyberturvallisuuden edellytys.

Täydellisessä riskikirjanpidossa on tyypillisesti nämä kentät kutakin riskiä kohden:

• Tunnus

  Yksilöllinen numero tai koodi (R-001, R-002...). Mahdollistaa riskin viittaamisen ilman koko kuvauksen kirjoittamista.

• Kuvaus

  Mikä on riski? Kirjoita 1–2 lausetta. Vältä epämääräisiä ilmaisuja ("IT-ongelmien riski"), ole täsmällinen ("laskutusjärjestelmän käyttökatko yli 4 tunnin ajan").

• Kategoria/toimialue

  Operatiivinen, taloudellinen, strateginen, vaatimustenmukaisuus, kyber, projekti. Helpottaa suodatusta ja raportointia.

• Todennäköisyys (1–5)

  Kuinka todennäköistä on, että riski toteutuu. Käytä määriteltyä asteikkoa.

• Seuraus (1–5)

  Kuinka vakava tilanne on, jos riski toteutuu. Voidaan arvioida erikseen taloudelliselta, operatiiviselta, maineelliselta ja vaatimustenmukaisuuden kannalta.

• Pisteet / vakavuus

  T × S = 1–25. Muuntuu tasoiksi matala/keskisuuri/korkea/kriittinen.

• Omistaja

  Nimetty henkilö, joka on vastuussa riskistä. Ilman omistajaa mikään ei etene.

• Toimenpide

  Mitä riskille tehdään? Hyväksy, vähennä, siirrä tai vältä. Konkreettinen toimintasuunnitelma, jos vähennetään.

• Tila

  Avoin, käsittelyssä, käsitelty, suljettu. Muuttuu ajan myötä.

• Päivämäärät

  Milloin riski tunnistettiin? Milloin viimeksi tarkistettu? Milloin seuraavan kerran?

• Jäännösriski

  Todennäköisyys ja seuraus toimenpiteiden jälkeen. Osoittaa, onko toimenpide riittävä.

Kypsä riskikirjanpito erottaa kolme riskimittaria kutakin riviä kohden. Nämä ovat termejä, joita ISO 27001 -auditoijat ja hallitukset odottavat näkevänsä:

• Bruttoriski (luontainen riski)

  Riski ilman mitään kontrolleja tai toimenpiteitä. Kuinka pahaksi se voi pahimmillaan mennä? Olennainen turvallisuusinvestointien perustelemiseksi.

• Nettoriski / jäännösriski

  Riski olemassa olevien kontrollien huomioimisen jälkeen. Tämä on arvo, jota verrataan riskinsietokykyysi. Kutsutaan myös jäännösriskiksi.

• Tavoiteriski

  Riskitaso, johon pyrit suunniteltujen toimenpiteiden jälkeen. Netto- ja tavoiteriskin välinen kuilu osoittaa, ovatko suunnitellut toimenpiteet riittäviä.

Miksi sillä on merkitystä? Riski, jolla on korkea bruttoriski mutta matala nettoriski (vahvojen kontrollien ansiosta), tarvitsee kontrollien ylläpitoa, ei uusia toimenpiteitä. Matalan bruttoriskin kohde harvoin tarvitsee erillisiä toimenpiteitä lainkaan. Ilman tätä erottelua kaikki muuttuu yhdeksi kasaumaksi.

Pienelle yritykselle (15–50 henkilöä): 10–30 riskiä on tyypillistä. Vähemmällä jäät todennäköisesti puuttumaan tärkeitä asioita. Enemmällä kirjanpidosta tulee vaikea hallita.

Keskisuurelle organisaatiolle (100–500 henkilöä): 30–80 riskiä eri toimialueilla.

Suurille organisaatioille: 100+ riskiä, usein jaettuna liiketoiminta-alueittain tai toimialueittain.

Projekti: 10–20 riskiä, päivitetään sprinteittäin tai ohjausryhmän kokouksissa.

• Kirjanpitoa ei koskaan päivitetä

  Laadittu ISO-sertifiointia varten, jonka jälkeen se jää paikoilleen. Arvo katoaa 6 kuukauden kuluessa.

• Ei omistajaa per riski

  Ilman omistajaa riski on teoreettinen. Nimetty henkilö, jolla on valtuudet.

• Riskit ilman toimenpidettä

  Riskin dokumentointi ilman suunnitelmaa on epäonnistumisen dokumentointia. Jokaisella riskillä tulisi olla valittu vastaus (hyväksy/vähennä/siirrä/vältä).

• Liian abstrakti ilmaisu

  "IT-häiriöiden riski" ei ole riski. "Kiristyshaittaohjelma, joka tekee laskutusjärjestelmän käyttämättömäksi yli 4 tunnin ajan" on riski.

• Kukaan johdossa ei lue sitä

  Jos kukaan johdossa ei aktiivisesti käytä kirjanpitoa, prosessia ei ole juurrutettu organisaatioon. Korjaa se ensin, ei formaattia.

Excel toimii pienille kirjanpidoille (alle noin 15 riskiä), mutta muuttuu nopeasti ongelmalliseksi: versiohajaannus, rikkinäiset kaavat, ei auditointipolkua, vaikea jakaa kontrollille, ei roolipohjaista pääsynhallintaa.

Erityistyökalu kuten RiskNote tarjoaa sinulle versiohistorian per riski, jakamisen linkin kautta rooleilla, tekoälyehdotuksia tunnistamiseen ja PDF-viennin suoraan datasta — ei manuaalista raporttikokoonpanoa.

Katso oppaamme Excel-vaihtoehdoista riskikirjanpidolle.