ISO 31000 -standardin määritelmän mukaan riski on epävarmuuden vaikutus tavoitteisiin.
Epävarmuus tarkoittaa puutteellista tietoa jonkin tapahtuman todennäköisyydestä, toteutumisen ajankohdasta ja toistuvuudesta sekä vaikutuksesta toiminnan tavoitteisiin.
Epävarmat seikat voivat olla tavoitteiden kannalta sekä kielteisiä (negatiivisia) että myönteisiä (positiivisia).
Kuitenkin ISO 31000 -määritelmän mukaan riski voi olla sekä uhka että mahdollisuus:
- Riski on siis epävarmuuden vaikutus tavoitteisiin ja ”… vaikutus on poikkeama odotetusta. Se voi olla myönteinen, kielteinen tai molempia, ja se voi käsitellä, luoda tai saada aikaan mahdollisuuksia ja uhkia.” (ISO 31000 s. 6)
Uhka tarkoittaa yksinkertaisimmillaan edellytystä sille, että saattaa tapahtua jokin ei-toivuttu tapahtuma.
Riskienhallinnalla varaudutaan paitsi suojautumaan uhkien toteutumiselta myös hyödyntämään toiminnan epävarmuuteen liittyviä mahdollisuuksia. Standardin mukaan yksi mahdollinen riskinkäsittelytapa on ”… riskin ottaminen tai lisääminen jonkin mahdollisuuden hyödyntämisen takia” (ISO 31000 s. 18).
”Kaava” riskin määrittelylle
Riskin määrittely voidaan esittää seuraavana ”kaavana”:
riski = tapahtuman todennäköisyys * tapahtuman vaikutus tavoitteisiin
Käydään seuraavaksi läpi riskienhallinnan kannalta keskeisiä tekijöitä tämän yhtälön pohjalta.
Tavoite on se päämäärä, joka riskienhallinnalla käsiteltävällä toiminnalla pyritään saavuttamaan. Tavoitteet voivat olla yhtä lailla taloudellisia, henkilökohtaisia tai yhteiskunnallisia. Samalla toiminnalla voi olla useita tavoitteita eri aikajänteillä. Riskien hallinnassa tavoite voi liittyä yhtä lailla elannon hankkimiseen työssä tai itsensä toteuttamiseen harrastuksessa.
Tapahtuma on ainutkertainen tai toistuva. Tapahtumalle voi olla useita syitä. Tapahtuma voi myös koostua useasta samanaikaisesta tai peräkkäisestä tapauksesta. (VAHTI s. 18)
Tapahtumaksi voidaan tulkita myös muutos olosuhteissa, kuten muutos toiminnan kannalta keskeisen resurssin saatavuudessa. Muutos olosuhteissa saattaa olla seurausta useiden tapahtumien yhteisvaikutuksesta.
Vaara (engl. hazard) on tekijä tai olosuhde, joka voi aikaansaada haitallisen tapahtuman (JOHDA s. 226). Vaaratilanteiden hallinta onkin erityinen alueensa riskienhallinnassa.
Riskienhallinnan kannalta tapahtuma voi olla tunnistettu, tunnistamaton tai kokonaan tuntematon. Haasteellista onkin tunnistaa tavoitteisiin mahdollisesti vaikuttavat tapahtumat sekä varautua riittävissä määrin tunnistamattomien sekä tuntemattomien tapahtumien seurauksiin.
Käsitteellä riskitekijät tarkoitetaan riskien aiheuttajia tai myötävaikuttajia. Jonkin riskitekijän vuoksi tietty tapahtuma voi olla merkittävä uhka tavoitteille. Riskienhallinnassa tehdään ero syiden ja niiden seurausten välillä. Riskienhallinnassa puututaan tapahtumien syihin, jotta voidaan hallita tapahtumien seurauksia. (OECD s. 35) Myös seurausten laajuuteen tai vakavuuteen voidaan ennakoivasti pyrkiä vaikuttamaan.
Välitön riski on sellainen, jonka lähde vaikuttaa suoraan kohteeseen, kuten toiminnan tavoitteisiin. Välillinen riski puolestaan vaikuttaa epäsuorasti kohteeseen. Välillisiä riskejä on usein vaikeampi tunnistaa kuin välittömiä riskejä. Välilliset riskit voivat myös olla ketjuuntuneita riskejä. (VAHTI s. 57)
Todennäköisyys: riskiin kuuluu tapahtuma, jonka toteutuminen on odotettavissa jollain todennäköisyydellä. Todennäköisyys tarkasteltavan tapahtuman toteutumiselle on aina arvio. Siihen vaikuttavat arvioinnin aikaiset olosuhteet sekä ennakoitavissa olevat olosuhteiden muutokset. Tietyissä olosuhteissa tarkasteltavan tapahtuman toteutuminen on todennäköisempää kuin toisissa olosuhteissa.
Tapahtuma voi toteutua esimerkiksi vain joissakin olosuhteissa tai lähes aina. Tapahtuman todennäköisyys voidaan myös arvioida lukuarvona.
Olennaista on, että tietyn toiminnan riskejä arvioitaessa käytetään yhdenmukaista asteikkoa. Näin ollen mahdolliset tapahtumat voidaan priorisoida niiden todennäköisyyden pohjalta. Tällöin ne asetetaan keskinäiseen tärkeysjärjestykseen.
Vaikka tapahtumalla olisi tilastotietojen valossa tietty todennäköisyys toteutua, on omaan toimintaan vaikuttavan tapahtuman todennäköisyyden arviointi kuitenkin subjektiivinen arvio. Se tehdään tiettynä hetkenä. Tilastotietoa ei aina edes ole saatavilla, jolloin todennäköisyys arvioidaan pitkälti oman kokemuksen pohjalta. Riskienhallinnassa on hyväksyttävä, ettei aina löydy keinoa laskea tapahtuman todennäköisyyttä.
Vaikutus: tapahtuman toteutuminen voi aikaansaada useita eritasoisia vaikutuksia liittyen esim. ihmisiin, resursseihin, omaisuuteen, ympäristöön tai digitaalisiin järjestelmiin (VAHTI s. 25).
Riskienhallinnan näkökulmasta vaikutukset voivat olla sekä kielteisiä että myönteisiä riippuen siitä, miten toiminnan tavoitteet on määritelty. Kuvaava esimerkki saman tapahtuman vaihtelevista vaikutuksista eri tavoitteille on, että ”sateen toteutumisen vaikutus voi olla 0 euroa normaalille toimistotyölle tai vaikkapa 100 000 euroa ulkoilmakonsertille” (IIVARI & LAAKSONEN s. 118).
Vaikutus voidaan käsittää poikkeamana odotetusta:
- Positiiviset tapahtumat (engl. upside), ovat esim. liiketoimintamahdollisuuksia, jotka merkitsevät realisoituessaan liiketoiminnan tai kannattavuuden kasvua. (JOHDA s. 16) Näistä käytetään myös nimitystä positiivinen riski.
- Negatiivisten tapahtumien (engl. downside) vaikutus on miinusmerkkinen tavoitteisiin nähden. Realisoituessaan negatiivinen riski esimerkiksi lisää kustannuksia tai pienentää kannattavuutta. (JOHDA s. 16) Haavoittuvuus on tarkasteltavan toiminnan tai kohteen piirre, joka mahdollistaa sen, että uhka aiheuttaa toteutuessaan negatiivisen vaikutuksen; esim. varkauden uhka voi realisoitua siitä, että fyysisessä suojauksessa on haavoittuvuus kuten rikkinäinen lukitus (IIVARI & LAAKSONEN s. 118).
- Läheltä piti -tilanne on toteutunut tapahtuma, jolla ei ollut vallinneissa olosuhteissa olennaista kielteistä vaikutusta toimintaan. Kielteinen vaikutus onnistuttiin ehkäisemään omalla toiminnalla tai oltiin onnekkaita. Toisenlaisissa olosuhteissa tapahtumalla olisi voinut ollut merkittävä kielteinen vaikutus. (VAHTI s. 19, 73) Läheltä piti -tilanteita ei tule painaa villaisella, vaan niistä pitää ottaa opiksi.
Riskienhallinnassa arvioidaan tapahtuman todennäköisyyden lisäksi sen vaikutus tavoitteisiin. Vaikutus voi olla esimerkiksi vähäinen, kohtalainen, merkittävä tai kriittinen. Vaikutus voidaan arvioida myös resurssin, kuten rahan tai työpanoksen, kautta. Seuraus näihin on joko positiivinen tai negatiivinen.
Vaikutuksen arviointi tehdään pitkälti kokemuksen pohjalta. Haasteena on kuitenkin se, että olemme alttiita omien kokemustemme puolueellisuuteen. Olemme esimerkiksi taipuvaisia puoltamaan omia ennakkokäsityksiämme tukevaa informaatiota. Olemme myös taipuvaisia etsimään päätöksenteon pohjaksi lähteitä, jotka puoltavat ja vahvistavat aikaisempia olettamuksiamme. Tämän vuoksi tapahtumien todennäköisyyden ja vaikutuksen arviointi tulisi pohjautua useamman ihmisen arvioon.
Riskienhallintaan kuuluu epävarmuuden kanssa toimeen tuleminen: niin tunnistettavien ja tuntemattomien tapahtumien kuin myös uhkien ja mahdollisuuksien. Käsitteellä musta joutsen viitataan kielteiseen tapahtumaan, jota ei pystytä ennakoimaan. Sillä on toteutuessaan suuri vaikutus ja jälkikäteen tarkasteltuna se näyttäytyy ilmeiseltä uhkalta. Mustia joutsenia ei osaa odottaa kohtaavansa, joten vastaavasti tällaiset tapahtumat ovat täysin odottamattomia ja yllätyksellisiä.
Yksi keino määritellä riskejä on niiden luokittelun kautta. Tätä käsitellään seuraavaksi.
Riskien luokittelu
Riskien luokittelu pohjautuu esimerkiksi niiden olemukseen tai siihen, mihin toimintoihin ne vaikuttavat. Vaikka näillä luokitteluilla voidaan tunnistaa selkeärajaisia riskilajeja, voi yksi ja sama tapahtuma käytännössä kohdistua useaan riskiluokkaan.
Käymme seuraavassa läpi muutaman luokittelun ja tarjoamme linkkejä lisätietoon. Nämä luokittelut täydentävät toisiaan.
1) Tietoiset ja tiedostamattomat
Riskit voivat olla tietoisia tai tiedostamattomia. Vain tiedostettuihin riskeihin kyetään kohdistamaan hallintatoimenpiteitä. (JOHDA s. 82) Yritystoimintaa käynnistettäessä tai muuhun toimintaan lähdettäessä puhutaan tietoisen riskin ottamisesta.
2) Sisäiset ja ulkoiset
Sisäiset riskit kohdistuvat omaan toimintaan eli tavoitteisiin, valintoihin, tekoihin ja tekemättä jättämisiin.
Ulkoiset riskit ovat tapahtumia, joiden toteutumiseen ei voi vaikuttaa omalla toiminnalla, mutta joiden vaikutuksiin voidaan varautua.
3) Välittömät ja välilliset
Välitön riski vaikuttaa toimintaan suoraan, välillinen riski puolestaan jonkin muun toiminnan kautta tai osana. Välillisiin riskeihin puuttuminen voi olla vaikeaa tai ei
ollenkaan omissa käsissä. (JOHDA s. 82)
Riskit voivat myös olla ketjuutuneita tai verkottuneita.
4) Neljä riskilajia
Yleisesti riskit luokitellaan neljään riskilajiin, joita ovat strategiset riskit, talouden riskit, operatiiviset riskit ja vahinkoriskit (JOHDA s. 76). Näistä tarkemmin seuraavassa.
a) Strategiset riskit liittyvät siihen, että toiminnassa ”tehdään vääriä valintoja tai hukataan mahdollisuuksia” (SRHY). Näitä ovat mm. liiketoiminnan kehittymiseen liittyvät riskit, liiketoimintaympäristöön liittyvät riskit, markkinariskit, maineriskit, globaaleista ilmiöistä johtuvat riskit ja teknologiariskit. (JOHDA s. 77)
Lue lisää: https://riskikompassi.fi/riskien-luokittelu/strategiset-riskit/
b) Taloudelliset riskit ”tarkoittavat organisaation vakavaraisuuteen, pääomien riittävyyteen ja rahaprosessien toimivuuteen liittyviä epävarmuuksia”. Riskit voivat johtua muutoksista esimerkiksi pääomien saatavuudessa, valuuttakursseissa ja koroissa. (SRHY) Taloudellisiin riskeihin sisältyvät myös mm. kirjanpidon riskit, sopimusriskit ja vastapuoliriskit (JOHDA s. 77).
- Vastapuoliriskejä ovat esimerkiksi luottoriskit, jotka ovat potentiaalisia koko sen ajan, kun yritys on toimittanut asiakkaalleen tuotteen mutta ei ole vielä saanut siitä maksua. Luottoriskien hallinta toteutetaan noudattamalla selkeää prosessia, jossa määritellään mitä tehdään ja missä vaiheessa tehdään, jos asiakas jättää laskun maksamatta. (JOHDA s. 183)
Lue lisää: https://riskikompassi.fi/riskien-luokittelu/taloudelliset-riskit/
c) Operatiiviset riskit ovat seurauksia ”tapahtumasta, joka aiheutuu riittämättömistä tai toimimattomista sisäisistä prosesseista, järjestelmistä tai ihmisistä” (SRHY). Niistä käytetään myös nimitystä toiminnalliset riskit.
Operatiivisia riskejä ovat mm. tuotannolliset riskit, tuottavuusriskit, projektiriskit, sopimus- ja vastuuriskit, tietoturvallisuusriskit ja informaatioteknologiaan liittyvät riskit. (JOHDA s. 77) Resurssiriski on riski menettää resursseja, kuten avainhenkilöstöä tai kalustoa. Maineriski on uhka sille, että maine heikkenee julkisuudessa esille tuotujen kielteisten seikkojen kautta.
Lue lisää: https://riskikompassi.fi/riskien-luokittelu/operatiiviset-riskit/
d) Vahinkoriskit liittyvät mahdollisiin tapaturmiin, rikoksiin tai palo- ja vuotovahinkoihin. Vahinkoriskien hallintaan on käytettävissä vakuutuksia. Riskejä voikin luokitella myös sen pohjalta, ovatko ne vakuutettavia vai ei-vakuutettavia (JOHDA s. 82).
Lue lisää: https://riskikompassi.fi/riskien-luokittelu/vahinkoriskit/
Yhteenveto
Riskien tunnistaminen on riskienhallinnan ensimmäinen vaihe. Tunnistamiseen liittyy:
- Tavoitteisiin vaikuttavien mahdollisten tapahtumien tunnistaminen.
- Kunkin tunnistetun tapahtuman toteutumisen todennäköisyyden arviointi.
- Tunnistetun tapahtuman mahdollisten kielteisten vaikutusten arviointi tavoitteisiin nähden.
- Tunnistetun tapahtuman mahdollisten myönteisten vaikutusten arviointi tavoitteisiin nähden.
Kun jokin negatiivinen riski on toteutunut, on tärkeää pysähtyä ottamaan siitä opiksi. Kun tapahtuman syyt, kulku ja vaikutukset selvitetään, voidaan vähentää tai estää saman riskin toteutuminen uudelleen. Opittu on usein tärkeää jakaa myös oman yhteisön ja yhteistyökumppaneiden kesken.
Artikkeli pohjautuu Riskioppi-ympäristön aineistoon (KOMPASSI-hanke, ESR). Osa artikkelin kuvista on tehty Pixabay-lisenssin alaisina, alkuperäisiin kuviin muutoksia tehden.
