Tärkeä linjaus joka vaatii vielä selventämistä.

Kaikkeen toimintaan liittyy riskejä ja ne tulee arvioida aina. Tarvitaan konkretiaa.

Kuvaus on liian kevyt ja sisällöllisesti väärä.

Tässä tulisi ihan kirjoittamisen osala toteuttaa yhteistyötä valtiohallinnon digitaalisen turvallisuuden Haukka -hankkeen kanssa, joka kehittää riskienhallintaa valtiohallinnossa. Riskienhallintaa kehitetään valtiohallinnossa ja API linjauksen täytyy olla sen kanssa linjassa.

Samalla käytetty terminologia tulee yhtenäistää riskienhallinnan terminologian kanssa.

Kun otetaan viimeinen lause: "Riskit tulee tunnistaa ja niihin täytyy varautua"... Liian kevyt ilmaisu strategisena tavoitteena. "Tunnistaa ja varautua" toteutuisi käytännössä vain kerran vuodessa tehtävänä pienenä pohdintana jossa sitten kirjataan hallintakeinoja joita ei toteuteta. Tämä on jo akateemisesti todettu heikoksi tavaksi toteuttaa asia.

Riskienhallinnan tulee olla jatkuvaa, sisäänrakennettua toimintaa osana päätöksentekoa. Se ei saa olla eikä sitä tule edes ilmaista omaksi erilliseksi linjakseen: Päätöksenteko on riskienhallintaa. Koko riski termin vaihtaisin termiksi "Epävarmuus". Se kuvaa sitä paremin.

"Epävarmuudet tulee tunnistaa, sen määrää kvantitatiivisesti mitata, tunnistaa epävarmuutta pienetäviä keinoja, toteutaa epävarmuutta pienentäviä keinoja, pienentää epävarmuutta hyväksytylle tasolle ja analysoida jäävä epävarmuus". "Hallinnan tulee olla jatkuvaa ja sen on oltava osa päätöksentekoa".