Toimintamme tähtää tavoitteiden saavuttamiseen. Riski kuvaa epävarmuuden vaikutusta tavoitteisiin. Hallitsemalla riskejä turvaat tavoitteiden saavuttamista toiminnassasi.
Arkikielessä synonyymejä riskille ovat muun muassa uhkatekijä, vahingonvaara ja tappionuhka, eli riski mielletään haitalliseksi tapahtumaksi. Uhka tarkoittaa yksinkertaisimmillaan sitä, että saattaa tapahtua jokin ei-toivuttu tapahtuma.
Monesti sanotaan, että riski otetaan, kun tavoitellaan jotain hyötyä. Tässä yhteydessä puhutaan käsiteparista hyöty/haitta, jolla tarkoitetaan, että otettavaa riskiä (eli mahdollista tappiota) punnitaan mahdollista hyötyä vasten. Riski nähdään tilaisuutena tehdä voittoa tai kasvattaa liikevaihtoa. Joskus kuullaan puhuttavan riskistä myös rahamääränä, jonka voi toiminnassaan menettää.
Riskienhallinnalla turvataan tavoitteisiin pääsemistä sellaisissa toimintaympäristöissä, joihin liittyy monenlaista epävarmuutta. Riskienhallinnalla myös varmistetaan kaikenlaisen toiminnan jatkuvuus pidemmällä aikavälillä.
Kokonaisuutena riskienhallinta kattaa:
1) asetettuihin tavoitteisiin vaikuttavien epävarmuuksien järjestelmällisen tunnistamisen
2) ennakoivien ja lieventävien toimenpiteiden määrittämisen ja toteuttamisen, jotta hallitaan epävarmuuden vaikutuksia tavoitteisiin
3) riskien seurannan ja viestinnän niistä asianosaisille.
Tavoitteisiin vaikuttava epävarmuus voi olla jokin yllättävä tapahtuma tai muutos toiminnan olosuhteissa. Se voi olla esimerkiksi ihmisen teko tai luonnontapahtuma tai jonkin tapahtumaketjun aiheuttama muutos resurssin kysynnässä tai tarjonnassa. Epävarmuuden vaikutus tavoitteisiin voi olla negatiivinen tai positiivinen riippuen siitä, miten tavoitteet on asetettu. Riskienhallinnalla tarkastellaan aikaa ennen ja jälkeen tapahtuman, kuten esitetään seuraavassa kuvassa.
Avaa kuvan täysikokoinen versio. (kuvaa muokattu lähteestä AFRY)
Tässä kuvattu rusettianalyysi on yksi menetelmä, jolla tarkastellaan riskejä ja suunnitellaan niille hallintakeinoja. Riskin aiheuttajia nimetään myös riskin syiksi tai riskin lähteiksi, kuten uhkat ja vaarat. Kuvion vasemmalla puolella olevat aiheuttajat vaikuttavat tapahtumaan, joka on analyysin keskiössä. Riskin aiheuttajien vaikutuksia pyritään estämään ja minimoimaan ennakoivilla toimenpiteillä. Tapahtuman jälkeisiä kielteisiä seurauksia lievennetään korjaavilla toimenpiteillä. Huomaa, että tässä riskiä tarkastellaan kielteisenä tapahtumana.
Kuvan mukaisesti riskienhallinnan ytimessä on jonkin tapahtuman mahdollinen toteutuminen. Toteutuessaan tapahtumalla on seurauksia, kuten vaikutus tavoitteisiin.
Riskienhallinnassa tarkastellaan aikaa ennen ja jälkeen tapahtuman. Ennen tapahtuman toteutumista riskienhallinnan keinoilla pyritään tunnistamaan sille yksi tai useampi aiheuttaja. Toiminnan kannalta kielteisten tapahtumien toteutuminen pyritään ehkäisemään kohdistamalla aiheuttajiin ennakoivia toimenpiteitä eli hallintakeinoja. Riskienhallinnalla pyritään myös vaikuttamaan tapahtuman seurauksiin lieventävillä toimenpiteillä ja näin minimoimaan kielteiset vaikutukset tavoitteisiin ennen tapahtuman toteutumista.
Riskiä kuvaava epävarmuus kattaa koko kuvassa esitetyn kokonaisuuden. Avoimia kysymyksiä ovat: toteutuvatko aiheuttajat, toimivatko ennakoivat toimenpiteet, toteutuuko tapahtuma, onko lieventävillä toimenpiteillä vaikutusta, mitkä ovat tapahtuman seuraukset suhteessa asetettuihin tavoitteisiin, voiko tapahtuma toistua uudestaan jne.
Epävarmuuteen voidaan varautua myös määrittelemällä toimenpiteitä, joilla pyritään edistämään tavoitteita mahdollisesti toteutuvan tapahtuman seurausten kautta. Haasteellista riskienhallinnassa onkin tunnistaa kaikki mahdolliset tavoitteisiin vaikuttavat tapahtumat sekä niiden aiheuttajat. Juuri omalle toiminnalle asetetuista tavoitteista riippuen niihin voi vaikuttaa lukuisat tapahtumat, joko kielteisesti tai myönteisesti. Tapahtumilla on taipumus ketjuuntua ja tapahtumien ketjua voi olla vaikea ennakoida sen alkua pidemmälle. Määrittelemällä ennakoivia ja lieventäviä toimenpiteitä jollekin tapahtumalle, voidaan pyrkiä estämään kielteisten tapahtumien ketjuuntumista.
Yhtäältä riskienhallinnalla varaudutaan ennalta mahdollisiin ongelmiin eli negatiivisiin riskeihin (VAHTI s. 53). Toisaalta riskienhallinta tarjoaa kokonaisvaltaisia mahdollisuuksia. Näin ollen riskienhallinnassa ei kannata rajoittua pelkästään ennakoimaan kielteisiä tapahtumia ja lieventämään niiden vaikutuksia (JOHDA s. 16).
Toimintaan liittyvää epävarmuutta pyritään hallitsemaan kokonaisvaltaisesti. Yhtäältä varmistetaan tavoitteiden saavuttaminen suojautumalla negatiivisilta riskeiltä kuten uhkilta ja vaaroilta. Toisaalta varaudutaan hyödyntämään epävarmuudesta nousevat positiiviset mahdollisuudet, esimerkiksi tilaisuudet luoda uutta liiketoimintaa (JOHDA s. 16, 18).
Riskienhallinnan tarkoitus on opastaa ottamaan tavoitteisiin nähden hyväksyttäviä riskejä, jotka eivät kuitenkaan ylitä riskinkantokykyä.
Riskienhallinnalla turvataan tavoitteiden saavuttamista omassa toiminnassa. Riskienhallinta on mahdollisten tapahtumien ennakointia, vaikuttamista uhkien vaikutusten pienentämiseen sekä tapahtumaketjujen ja tapahtumien välisten riippuvuuksien tunnistamista.
Riskienhallinta on proaktiivista. Sillä siis pyritään ennakoimaan mahdolliset toiminnan kannalta merkitykselliset tapahtumat ja määrittelemään, miten toimitaan erityisesti jonkin uhkan toteutuessa. Riskienhallinnalla voidaan myös varautua siihen, miten voidaan hyötyä jonkin uhkalta näyttäytyvän tapahtuman toteutumisesta. Riskienhallinnalla epävarmuutta käsitellään sekä uhkana että mahdollisuutena.
Riskienhallinta tulisi ulottua kaikkialle, myös ihmisten arkeen ja vapaa-aikaan. Arjen riskienhallintaa on yhtä lailla auton talvirenkaiden vaihtaminen ajoissa kuin se, että pysähtyy työpäivän aikana miettimään, mikä voisi mennä pieleen ja alkaa haitata omaa työtä. (VAHTI s. 13)
Riskienhallinnan taidoilla voit paitsi hallita laajemmin tulevia uhkia myös tarkastella, mitä uhkia tapahtuneesta voi vielä seurata. Riskejä tarkastellaan aina kohdistetusti liittyen johonkin toimintaan tai tavoitteeseen. Riskienhallinta kohdistuu mahdollisiin tuleviin tapahtumiin, joiden toteutumiseen useimmiten ei itse voi vaikuttaa. Tapahtumilla on toteutuessaan joko kielteinen tai myönteinen vaikutus tarkasteltavan toiminnan tavoitteisiin. Menneistä vahingoista otetaan oppia vastaisuuden varalle.
Prosessi riskienhallinnalle
Riskienhallinta etenee rinnakkain muun toiminnan kanssa. Sillä pyritään turvaamaan asetettujen tavoitteiden saavuttaminen toimintaan liittyvästä epävarmuudesta huolimatta.
Riskienhallintaan on käytettävissä monenlaisia menetelmiä ja prosesseja, joissa määritellään sen vaiheet. Riskienhallinnan standardit ja prosessit eroavat toisistaan esimerkiksi siinä, miten riskin käsite määritellään. Tässä aineistossa tarkastelemme riskiä uhkan ohella myös mahdollisuutena.
Yleiskäyttöisen riskienhallintaprosessin määrittelyssä lähdemme liikkeelle sen ydinvaiheista. Seuraavassa kuvatut vaiheet pohjautuvat OECD:n suositukseen digitaaliseen turvallisuuteen kohdistuvien riskien hallinnasta (OECD s. 38). Ne vastaavat standardissa SFS-ISO 31000:2018, tai lyhyemmin ISO 31000, määriteltyä riskienhallinnan prosessia.
Avaa kuvan täysikokoinen versio.
Prosessin vaiheet ovat pääpiirteiltään seuraavat:
TAVOITTEIDEN MÄÄRITTELY OSANA TOIMINNAN SUUNNITTELUA: Riskienhallintaprosessin alkuvaiheessa määritellään tavoitteet toiminnalle, johon liittyviä riskejä halutaan hallita. Tavoitteet voivat olla yhtä lailla henkilökohtaisia tai yrityksen, muun organisaation tai kenties yhteiskunnan asettamia. Tavoitteet voivat olla määrällisiä tai laadullisia. Käynnistettävä toiminta suunnitellaan tavoitteiden pohjalta, ja toimintaan kohdistuvat epävarmuudet otetaan käsittelyyn.
RISKIEN ARVIOINTI sisältää kolme alivaihetta:
I. Riskien tunnistamiseen on käytettävissä useita menetelmiä, kuten SWOT-analyysi. Toiminnalle asetettuihin tavoitteisiin liittyy yleensä useita riskejä, ja ne muodostavat kokonaisuuden, jossa riskit ovat keskenään riippuvaisia. Tällöin puhutaan esimerkiksi ketjuuntuneista riskeistä, joiden tunnistaminen edellyttää myös käsitystä siitä, miten riskit ovat ketjuuntuneet toisiinsa.
II. Riskianalyysissä tarkastellaan epävarmuuden mahdollisia vaikutuksia tavoitteiden saavuttamiselle. Analyysissä tarkastellaan mm. riskien syitä ja lähteitä, eri riskien keskinäistä riippuvuutta sekä riskien negatiivisia ja positiivisia seurauksia.
III. Riskin evaluoinnissa arvioidaan jokaisen tunnistetun riskin merkittävyys riskiin liittyvän tapahtuman todennäköisyyden ja sen vaikutuksen pohjalta. Tältä pohjalta riskit priorisoidaan.
RISKIEN KÄSITTELY: Päätetään, millä toimenpiteillä jokainen käsittelyyn valittu riski muutetaan hyväksyttävälle riskitasolle niin, että suunniteltu toiminta voidaan aloittaa tai sitä kannattaa jatkaa. Edellä tehty riskien priorisointi luo pohjan hallintatoimenpiteiden valitsemiselle. Hallintatoimenpiteitä on neljän tyyppisiä:
I. Riskin pienentäminen
II. Riskin siirto kolmannelle osapuolelle
III. Riskin välttäminen
IV. Riskin ottaminen.
Prosessin kautta hahmotetun kokonaisuuden hallitsemiseksi laaditaan riskienkäsittelysuunnitelma. Siinä määritellään mm. tunnistetut riskit ja niihin kohdistettavat hallintatoimenpiteet, vastuuhenkilöt, käsittelyn tavoiteaikataulut sekä vaatimukset riskien seurannalle ja raportoinnille. Suunnitelman toteuttaminen etenee rinnakkain muun toiminnan kanssa.
Riskienhallintaprosessin vaiheet käydään läpi yksityiskohtaisemmin seuraavissa erillisissä kappaleissa:
- Riskienhallintaprosessi toiminnan tueksi
- Riskien tunnistaminen
- Riskien arviointi
- Riskianalyysin toteuttaminen
- Riskien käsittely ja hallintatoimenpiteet
Artikkeli pohjautuu Riskioppi-ympäristön aineistoon (KOMPASSI-hanke, ESR). Osa artikkelin kuvista on tehty Pixabay-lisenssin alaisina, alkuperäisiin kuviin muutoksia tehden.
