Onko asiakirjahallinta riskienhallintaa?

Tuntuuko sinustakin välillä siltä, että maailmassa tapahtuu liian paljon ikäviä asioita? Tältä ei vain tunnu, vaan toden totta maailmassa on hirvittävän paljon uhkia, osa sellaisia, joihin kykenemme varautumaan, osa taas sellaisia, joita emme osaa aavistaa tai joilta haluamme ummistaa silmämme. Sotaa käydään Ukrainassa, Syyriassa ja Jemenissä. Ilmastonmuutos ja lajikato ovat uhkia koko maapallon tulevaisuudelle. Moderniin työnjakoon perustuva markkinatalous ja sen synnyttämä vauraus on ehkä parantanut elämänlaatuamme, mutta samalla se on tehnyt yhteiskunnista kovin haavoittuvaisia. Viime aikoina olemme todistaneet, kuinka kauppasiteiden yhtäkkinen katkeaminen vaikeuttaa raaka-aineiden saantia. Olemme nähneet, kuinka yksittäisen konttialuksen jumiutuminen saa osan maailmankaupasta sekaisin. Tiedämme aiempaa paremmin, miten kriittistä energiainfrastruktuuria pitäisi suojella sabotaaseilta. Olemme joutuneet todistamaan myös tietomurtoja, kun hakkerit ovat päässeet käsiksi arkaluonteisiin tietoihin ja jakaneet niitä eteenpäin taloudellinen hyöty mielessään.

Monille eri elämänalueille kohdistuu siis valtava määrä riskejä. Sen sijaan, että yksittäinen ihminen tai organisaatio pyrkisi ehkäisemään sotien syttymistä tai öljyonnettomuuksia (niinkin kannatettavia tavoitteita kuin ne ovatkin), on ehkä kuitenkin helpompaa aloittaa astetta pienempien riskien tunnistamisesta ja niihin varautumisesta. Vaikkei ihan heti ensimmäiseksi tulisikaan mieleen, asiakirja- ja tiedonhallinnalla on läheiset yhteydet riskienhallintaan. Riskienhallinnalla tarkoitan tässä riskien tunnistamista ja niihin varautumista organisaatioissa. Missä asiakirja- ja tiedonhallinta ja riskienhallinta sitten kohtaavat?

Victoria Lemieux on tyypitellyt vuonna 2010 julkaistussa artikkelissaan asiakirjojen ja riskien välisiä yhteyksiä. Useimmiten sanat ”riski” ja ”asiakirja” kohtaavat, kun puhumme asiakirjoihin kohdistuvista riskeistä tai asiakirjojen aiheuttamista riskeistä. Asiakirjoihin kohdistuviin riskeihin kuuluvat ihmisen ja luonnon aiheuttamat riskit, sillä toteutuessaan ne voivat aiheuttaa suurta vahinkoa asiakirjoille. Unohtaa ei myöskään sovi asiakirjojen pitkäaikaissäilytykseen liittyviä haasteita ja asiakirjojen autenttisuuden säilymistä. Asiakirjat voivat myös aiheuttaa riskejä: mitä kaikkea ikävää voikaan sattua, mikäli asiakirjoja hallitaan huonosti?

On katsottu, että esimerkiksi tiedonohjaussuunnitelmien yksi funktio on riskien vähentämisessä. Jos organisaatiolla ei ole ajantasaista tiedonohjaussuunnitelmaa, on mahdollista, että organisaation etujen kannalta välttämättömiä tietoja hävitetään tahattomasti tai arkaluonteisia henkilötietoja säilytetään tarpeettoman kauan ja tietoturvan kannalta puutteellisessa ympäristössä. Oikeusjuttujen yhteydessä organisaatio tarvitsee aseikseen asiakirja-aineistoa. Organisaatiolla ei ole varaa hallita asiakirjatietojaan puolivillaisesti.

Erityisen tärkeää on, että organisaatio käsittelee henkilötietoja sisältäviä tietovarantojaan lainsäädännön mukaisesti. Siksi jokaisen organisaation olisikin viimeistään nyt kartoitettava tietosuojan nykytila ja sen pohjalta määriteltävä, mihin jatkotoimenpiteisiin organisaatiossa on ryhdyttävä. Jotta tietosuojasta huolehtimisesta tulisi organisaation arkipäivää, se edellyttää erilaisten käytännön työtä ohjaavien dokumenttien laadintaa. Jalkauttamalla käytännöt henkilötietoja käsittelevien työntekijöiden keskuuteen vältytään arkaluonteisten tietojen päätymiseltä vääriin käsiin. Henkilötietojen päätyminen vääriin käsiin aiheuttaa pahimmillaan suuren inhimillisen tragedian, eikä organisaatiokaan selviä tällaisista töppäyksistä halvalla. Mainehaitta saattaa kuitenkin näissä tapauksissa olla euromääräisiä tappioita suurempi.

Muita asiakirja- ja tiedonhallinnan välineitä riskienhallinnassa ovat tiedonhallintalain edellyttämät tiedonhallintamalli ja asiakirjajulkisuuskuvaus. Ensimmäinen on riskienhallinnan näkökulmasta tärkeä samasta syystä kuin perinteisemmätkin asiakirjahallinnan välineet, kuten arkistonmuodostussuunnitelma. Jälkimmäiselläkin on yhteytensä riskien minimointiin: asiakirjajulkisuuskuvaus auttaa kansalaista yksilöimään tarvitsemansa asiakirjatiedot, jolloin julkisuusperiaate toteutuu aiempaa paremmin, eikä organisaatiolle koidu mainehaittoja turhasta tietojen pimittämisestä. Toisaalta myös organisaation oma tietoisuus julkisen ja salassa pidettävän aineiston välillä selkeytyy kuvausta laadittaessa, millä pienennetään riskiä salassa pidettävien tietojen päätymisestä julkisuuteen.

Kun asiakirjahallintaa kehittämällä halutaan parantaa riskienhallintaa, voi toisinaan olla perusteltua lähteä liikkeelle tietosuojakysymyksiä, tiedonohjaussuunnitelmia, tiedonhallintamalleja ja asiakirjajulkisuuskuvauksia perustavanlaatuisemmista kysymyksistä. Tällä viittaan organisaation prosessien hahmottamiseen ja kokonaisen toimintakulttuurin kehittämiseen. Nämä taas liittyvät läheisesti auditointiin, jolla asiakirjahallinnan kontekstissa tarkoitetaan organisaation asiakirjahallinnan nykytilan kartoittamista ja tavoitetilan määrittämistä sekä konkreettisen etenemissuunnitelman laatimista. Riskienhallinnan kannalta voidaan kysyä: Millaisten prosessien tuloksena on välttämätöntä luoda tai talteen ottaa asiakirjallista tietoa? Kuinka pitkäkestoisia organisaation prosessit ovat ja mitä tämä tarkoittaa asiakirjatiedon säilyttämisen kannalta? Millaiset asiakirjahallinnan tavoitteet tukisivat parhaiten riskien minimointia? Entä miten tavoitteet toimeenpannaan? Vastaukset muun muassa näihin kysymyksiin voidaan lopulta kodifioida osaksi organisaation asiakirjahallinnan toimintaohjetta.

Onko asiakirjahallinta siis lopulta riskienhallintaa? Ehkä ei pelkästään, mutta tarkempi tarkastelu auttaa meitä näkemään, että molemmilla toiminnoilla on yllättävän paljon yhteistä. Kun siis seuraavan kerran organisaation sisällä puheeksi nousee riskienhallinta, asiakirjahallinnan ammattilainen voi kaikella ylpeydellä ilmoittaa tietävänsä aiheesta jokseenkin paljon. Asiakirjahallinnan menetelmät ja tekniikat soveltuvat erinomaisesti myös riskienhallintaan.

Kaikkea ei kuitenkaan tarvitse osata itse, eikä kaikkea ehdi tehdä itse. Apupäitä ja -käsiä tarjoaa Metamanager Oy. Teemme asiakkaan tarpeisiin räätälöityjä asiakirjahallinnan auditointeja ja palvelumme kattavat myös mm. tiedonohjaussuunnitelmien/arkistonmuodostussuunnitelmien, tiedonhallintamallien, asiakirjajulkisuuskuvausten ja asiakirjahallinnan toimintaohjeiden laatimisen. Palvelupalettiimme kuuluvat lisäksi koulutustilaisuudet, tuki asianhallintajärjestelmäprojekteissa, paperiarkistojen järjestämiseen liittyvät työt sekä tietosuoja-asetukseen liittyvät palvelut. Palvelupalettimme on luettavissa täällä. Yhteystietoihimme ja yhteydenottolomakkeeseen pääset halutessasi tästä.

Blogikirjoituksen lähde

Lemieux, V.L. (2010), ”The records‐risk nexus: exploring the relationship between records and risk”, Records Management Journal, Vol. 20 No. 2, pp. 199-216.

– Lauri Partanen

Mahdolliset seuraavat blogikirjoitukset saat sähköpostiisi tilaamalla uutiskirjeen yhteydenottolomakkeella, tilauslomakkeelle voit kirjoittaa kenttään Viesti sanan Uutiskirje. Uutiskirjeitä lähetetään vuodessa arviolta 2-4 kappaletta, joten sähköpostilaatikko ei pääse niillä täyttymään. Tietosuojaselosteeseen pääset tästä.  

Alla linkit aiemmin julkaistuihin Asiakirjatyypit-blogin kirjoituksiin.