Jenga-tyylinen peli pöydällä, josta henkilö on vetämässä yhden palikan pois.

Riskien käsittely ja hallintatoimenpiteet

Riskien käsittely tarkoittaa sellaisten toimenpiteiden määrittelemistä, joilla tunnistettu riski muunnetaan hyväksyttävälle riskitasolle. Kun käsittely on tehty jokaiselle tunnistetulle riskille, voidaan toiminnassa edetä luottavaisemmin. 
 
Riskien käsittely on resurssien kohdentamista: toiminnan tavoitteiden kannalta merkittävimmät riskit saavat suurimman huomion. Näin ollen riskien käsittely lähtee kunkin riskin arvon ja merkittävyyden määrittelystä. Tarkasteltavan toiminnan kannalta arvokkaimpiin ja merkittävimpiin riskeihin kohdistetaan tarvittavat resurssit. 
 
 
Riskin arvo 

Epätasapainossa oleva vaaka, jossa oikealla puolella olevat "hyödyt" ovat painavampia kuin vasemmalla olevat "haitat".

Jotta riski voidaan ottaa käsittelyyn, tulee riskille määritellä arvo. Se on laskelma siitä, mitä riskin käsittelyn mahdolliset vaihtoehdot tulevat kustantamaan rahana tai muuna resurssina. Lisäksi lasketaan kustannukset kaikkien riskien muodostamaan kokonaisuuden käsittelyyn. 
 
On kaksi päätapaa tarkastella riskin arvoa (VAHTI s. 54): 

  1. Arvioidaan potentiaalisia menetyksiä riskin toteutuessa sekä arvioidaan mahdollisia etuja, joita riskien toteutuminen avaa. 
  1. Tarkastellaan riskin torjumiseen tarvittavien toimenpiteiden arvoa, kuten riskin siirtämiseen hankittavan vakuutuksen hintaa tai riskin seurantaan käytettävää henkilöresurssia. 

Rahan sijaan riskin arvo voidaan määritellä muiden sellaisten resurssien kautta, joihin riski vaikuttaa. 
 
 
Riskin merkittävyys 
 
Edellä käsitelty riskimatriisi on väline, jolla pohjustetaan kunkin tunnistetun riskin merkittävyyden määrittely. Matriisissa riskitaso kullekin riskille saadaan kertomalla riskin vaikutus riskin todennäköisyydellä. 
 
Riskin merkittävyys määrittyy riskitason pohjalta esimerkiksi seuraavasti (JUDO s. 20): 

  • Kriittinen riski, joka vaatii välittömiä toimenpiteitä (korkein riskitaso). 
  • Merkittävä riski, joka vaatii nopeita toimenpiteitä. 
  • Huomioitava riski. 
  • Seurattava riski (matala riskitaso). 
  • Jäännösriski, joka päätetään jättää hallintatoimien ulkopuolelle (yleensä matala riskitaso). 
  • Otettava riski, joka päätetään ottaa, jotta toiminnassa päästään etenemään (voi olla riskitasoltaan matala tai korkea).  

Riskien merkittävyyttä arvioitaessa päätetään, mitä hallintatoimenpiteitä kunkin riskin suhteen tullaan tekemään, sekä arvioidaan esitetyn hallintatoimenpiteen toteutuksen prioriteettia, järjestystä, aikataulua ja tarvittavia resursseja. 
 
Riskien määrittelyssä jokainen riski suhteutetaan toiminnalle asetettuihin tavoitteisiin sekä riskienhallintaan panostettaviin resursseihin. Tätä kautta määritellään raja-arvo sille, mitä riskissä voidaan sietää ja toisaalta mitä ei voida hyväksyä. Tämän huomiorajan ylittyessä reagoidaan suunnitellulla toimenpiteellä. (VAHTI s. 23–24) 
 
Resursseja on harvoin käytettävissä lieventämään kaikkien riskien kielteisiä vaikutuksia. Jäännösriski tarkoittaa sitä osaa tunnistetusta riskistä, joka tietoisesti päätetään jättää hallintatoimien ulkopuolelle. Jäännösriski liittyy usein sellaiseen epävarmuuteen, joka ei edes olisi poistettavissa kohtuullisella kustannuksella tai toimenpiteellä. Jäännösriskiin voi myös sisältyä tunnistamatonta riskin osaa, joka ilmenee vasta riskin toteutuessa. (VAHTI s. 55) 

Hallintatoimenpiteiden määrittäminen 

Riskien käsittelyllä tarkoitetaan toimenpiteitä, joilla riski muutetaan hyväksyttävälle tasolle. Seuraavaksi esitellään tähän neljä erilaista toimenpidettä. 

Yhteenveto riskienhallintatoimenpiteiden periaatteista pohjautuen OECD:n suositukseen.

Avaa kaavion täysikokoinen versio. Kaaviossa esitetään yhteenveto riskienhallintatoimenpiteiden periaatteista pohjautuen OECD:n suositukseen (OECD s. 38). 
 
Riskienhallintatoimenpiteet ovat periaatteiltaan seuraavat: 
  
1) Riskiä pienennetään
a) turvatoimenpiteillä, joihin käytetyt resurssit ovat oikeasuhteiset riskiin merkittävyyteen nähden 
b) innovaatiotoiminnalla toiminnan ja turvatoimien sopeuttamisessa epävarmuuksiin 
c) varautumisella, jolloin varataan resursseja häiriönsiedon parantamiseen ja toiminnan jatkuvuuden varmistamiseen häiriötilanteissa. 
  
2) Riski siirretään ulkopuoliselle taholle maksamalla hinta, jotta riskin toteutumisen kielteiseltä vaikutukselta vältytään omalta osalta. Käytännössä riski siirretään esimerkiksi ottamalla vakuutus tai sopimuksella. Vakuutukset voivat olla vapaaehtoisia (kohdistuen henkilöön, omaisuuteen tai toimintaan) tai lakisääteisiä (esimerkiksi tapaturma- ja liikennevakuutukset) (JOHDA s. 146). Myös jonkin välineen vuokraaminen, sen ostamisen sijaan, on laitteeseen liittyvän riskin siirtämistä. 
  
3) Riski päätetään ottaa tai hyväksyä, jolloin suunniteltu toiminta jatkuu riskistä tietoisena. Lisäksi, kuten kaaviossa kuvataan, voidaan otettavaa riskiä pyrkiä pienentämään edellä mainituilla toimenpiteillä esimerkiksi pidemmällä aikavälillä. 
  
4) Riski vältetään siten, että toimintaa ei käynnistetä alkuperäisen suunnitelman mukaisesti. Toiminnalle laaditaan uusi toteutustapa, jossa riskit ovat hyväksyttäviä tai poistettavissa eli riskeille tunnistetaan poistoratkaisu. Toiminnan uudelleensuunnittelun yhteydessä voidaan myös tavoitteet määritellä ainakin osittain uudelleen. Jos hyväksyttävää toteutustapaa ei löydetä, tulee harkita toiminnan lopettamista ainakin niiden riskien osalta, joille ei tunnisteta poistoratkaisua. 
                                                                                                                
Jokaiselle tunnistetulle riskille pyritään valitsemaan vähintään yksi hallintatoimenpide näistä neljästä tyypistä. Vaihtoehtoisesti jokin riski voidaan jakaa osiin ja hallita sen osia erityyppisillä toimenpiteillä. Esimerkiksi yksi osa riskistä siirretään vakuutuksella ulkopuoliselle taholle ja toinen osa riskistä pienennetään sen seurantaan kohdistettavalla työpanoksella. 

  

Kertaluonteiset toimenpiteet ja jatkuvat kontrollit 
  
Hallintatoimenpiteitä voidaan asettaa kohdistumaan ennen tai jälkeen riskiksi tunnistetun tapahtuman. Rusettianalyysi on yksi menetelmä, jolla suunnitellaan hallintakeinoja riskiksi tunnistetun tapahtuman ympärille alla kuvatulla tavalla. 

Laajennettu rusettianalyysi -kuva

 
Avaa kuvan täysikokoinen versio. 

Riskin aiheuttajat, kuten uhkat ja vaarat, luetellaan rusettikuvion vasemmalla puolella, eli ne sijoitetaan ennen tarkasteltavaa tapahtumaa. 
  
Osalla riskienhallintatoimenpiteitä pienennetään riskin suuruutta ennen tapahtuman mahdollista toteutumista. Näillä toimenpiteillä pienennetään tapahtuman toteutumisen todennäköisyyttä ja/tai vähennetään tapahtuman kielteisiä vaikutuksia tavoitteisiin. Ennakoivat toimenpiteet pyritään kohdistamaan riskin juurisyihin (JOHDA s. 101). 
  
Alla olevassa kaaviossa esitetään, miten sarjalla kertaluontoisia toimenpiteitä pienennetään riskitasoa. Tällainen kaavio toimii hallintatoimenpiteiden suunnitelman laatimisen pohjana. Kaaviolla voidaan esittää joko yksittäisen riskin tai useamman tunnistetun riskin yhdistelmän tasoon vaikuttaminen. Kun kaaviota käytetään suunnittelun välineenä, voidaan sen aika-akselille merkitä kalenterikuukausi ja toimenpiteen yhteyteen voidaan kirjata toimenpiteen toteuttamisen aiheuttamat kustannukset. Suunnitelmaa laadittaessa on myös huomioitava, millä tasolla on luottamus siihen, että suunnitellut toimenpiteet voidaan toteuttaa onnistuneesti ja että niillä saavutetaan tavoiteltu tulos riskin pienentämiseksi. (OPEN UNIVERSITY) 

Kaavio, miten kertaluontoisilla toimenpiteillä pienennetään riskitasoa.

 
Kaaviossa visualisoidaan riskin taso ja sarja suunniteltuja toimenpiteitä, jotka ”vesiputous”-mallin mukaisesti pienentävät riskiä ajan myötä, ​​kunnes toimenpiteillä saavutetaan hyväksytty riskitaso. Monesti toimenpiteiden jälkeen jää jäännösriskiä, joka hyväksytään ottaa. (OPEN UNIVERSITY) 

  

Kontrolli on toistettava toimenpide, jonka kautta riski pidetään nykyisellä, hyväksytyksi katsotulla tasolla. Kontrollin toimiessa riski pysyy nykyisellä tasollaan, mutta kontrollin pettäessä voi riskin taso nousta. (OPEN UNIVERSITY) 
  
Kontrollissa on kolme vaihetta: 
1. Tunnistaminen: kontrolliin käytetään menetelmää, jolla tunnistetaan, että riskinä tarkasteltava tapahtuma on toteutumassa; esimerkiksi havaitaan, että riskin juurisyy on toteutunut 
2. Tulkinta: kontrolliin käytetään menetelmää, jolla tulkitaan, että tunnistettu tapahtuma on aiheuttamassa riskin toteutumisen 
3. Toimenpide: tulkinnan pohjalta suoritetaan ennalta määritelty toimenpide, jolla ehkäistään tapahtumasta seuraavan riskin toteutuminen tai lievennetään sen seurauksia. (OPEN UNIVERSITY) 
  
Kontrolleja asetetaan hallitsemaan riskiä ennen ja jälkeen tarkasteltavan tapahtuman. Riskin aiheuttajille asetetaan ennakoivia kontrolleja eli toimenpiteitä, joilla aiheuttajan (tapahtuman) vaikutukset pyritään havaitsemaan, ehkäisemään tai korjaamaan (JOHDA s. 220). 
  
Vastaavasti määritellään toimenpiteitä, joilla vaikutetaan tapahtuman jälkeisiin seurauksiin. Huomaa, että yllä esitetyssä rusettianalyysissä riskiä tarkastellaan kielteisenä tapahtumana, jota hallitaan lieventävillä toimenpiteillä ja korjaavilla kontrolleilla. Yhtä lailla voidaan suunnitella tapahtuman jälkeisiä toimenpiteitä, joilla tapahtuman seurauksista pyritään ottamaan hyöty irti tavoitteiden edistämiseksi. 
  
Kertaluonteisen riskitasoa pienentävän toimenpiteen ja toistuvan kontrollin eron voi mieltää seuraavalla konkreettisella esimerkillä. Riskiksi tunnistetaan tulipalosta aiheutuva toiminnan keskeytyminen. Riskiä pienentävänä toimenpiteenä asennetaan palovaroitin toimitilaan. Ennakoivana kontrollina palovaroittimeen toimivuus testataan säännöllisesti. Korjaavaksi kontrolliksi laaditaan suunnitelma siitä, miten toimitaan, kun palovaroitin hälyttää. 
  
  
Hallintatoimenpiteiden vertailu ja valinta 
  
Jokaiselle riskille voidaan tunnistaa useita vaihtoehtoisia hallintakeinoja. Hallintatoimenpiteen valinta tehdään usein kustannus- ja hyötyanalyysin pohjalta (JOHDA s. 131). Analyysissä kustannuksia vasten punnittavia hyötyjä ovat myös muut tekijät kuin rahalliset tuotot tai saavutettavat säästöt. 
  
Sopivien toimenpiteiden valinta voidaan tehdä esimerkiksi oheisen taulukon pohjalta suoritettavan vertailun pohjalta (ROUNDS). 

Artikkeli pohjautuu Riskioppi-ympäristön aineistoon (KOMPASSI-hanke, ESR). Osa artikkelin kuvista on tehty Pixabay-lisenssin alaisina, alkuperäisiin kuviin muutoksia tehden. 

Taulukko sopivien toimenpiteiden valitsemisesta.

Vaihtoehtoisia toimenpiteitä arvioidaan esimerkiksi taulukon kuuden kriteerin kautta. Taulukkoa voi täydentää omilla kriteereillä. Mikäli jotain kriteereistä halutaan painottaa päätöksenteossa, annetaan sille suurempi kerroin kuin muille kriteereille. Jokainen vaihtoehto pisteytetään taulukon kriteerien pohjalta esimerkiksi asteikolla 1–10. Lopuksi lasketaan jokaisen kriteerin painotettu arvo sekä yhteispistemäärä jokaiselle vaihtoehdolle. 

Riskirekisteri hallintavälineenä 

 
 Yleisenä välineenä riskienhallintaan käytetään riskirekisteriä. Se on yksinkertaisimmillaan taulukko, johon kirjataan tunnistetut riskit hallintaprosessin aikaisemmassa vaiheessa laaditusta riskimatriisista. Lisäksi kirjataan tiedot niihin kohdistettavista hallintatoimenpiteistä. 

Kuvaus yhdestä tavasta esittää riskirekisteri.

  
Tässä on kuvattu esimerkki yhdestä tavasta esittää riskirekisteri (lähde: www.vm.fi). 

Riskirekisteri voidaan toteuttaa monella tavalla. Jo taulukkolaskentaohjelmalla ylläpidettävä taulukko voi toimia riskirekisterin pohjana. Riskirekisterien ylläpitämiseen on kehitetty monipuolisia ohjelmistoja, joita käydään tarkemmin läpi myöhemmässä moduulissa. 
  
Riskirekisterin rakenteeseen sisältyy vähintään seuraavat osat eli sarakkeet: 

  1. riskin otsikko 
  1. riskinä tarkasteltavan tapahtuman kuvaus 
  1. tapahtuman vaikutuksen kuvaus suhteessa tavoitteisiin 
  1. värikoodattu riskin merkitys (tässä pohjautuen riskilukuun) 
  1. toimenpidesuunnitelma riskiin varautumisesta, kuten valittu hallintatoimenpide, riskin omistajan nimeäminen ja ohjeistus siitä, miten ilmoitukset riskihavainnoista tehdään.  

Yksittäiset riskit listataan rekisteriin päällekkäin omille riveilleen.  
  
Rekisteriin nimetty riskin omistaja vastaa riskin seurannasta ja hallintatoimenpiteiden toteuttamisesta ja lisäksi esimerkiksi siitä, että riskiin liittyviä hallintatoimenpiteitä kehitetään edelleen.  
  
Riskirekisteriin voidaan lisäksi kirjata poikkeamat odotetusta, toteutuneet läheltä piti -tilanteet, riskitasoon vaikuttavat muutokset sekä muut riskiin liittyvät tapahtumat, kuten tunnistetut uudet uhkat tai avautuvat mahdollisuudet. Myös jokaisen seurattavan riskin huomiorajat voidaan kirjata rekisteriin. 
  
Toiminnan edetessä riskirekisteriin merkitään, toteutuiko riski, missä olosuhteissa se toteutui ja millä vaikutuksilla. Olennaista onkin riskirekisterin jatkuva päivittäminen tilanteiden muuttuessa ja tiedon tarkentuessa. 
  
Riskirekisteri toimii myös riskitiedon viestinnän välineenä yrityksen sisällä ja muille tahoille, joita asia koskettaa. 
  
  
Riskienkäsittelysuunnitelma 
  
Tehdyn arvioinnin pohjalta kokonaisuudelle laaditaan riskienkäsittelysuunnitelma eli kuvaus, joka sisältää kaikki kirjatut riskit ja niille tehtävät toimenpiteet, vastuiden jakamisen, käsittelyn aikataulut sekä raportoinnin ja seurannan vaatimukset. (JUDO s. 21) Suunnitelma voidaan laatia riskirekisterin pohjalta. 
  
Ihanteellisesti riskienkäsittelysuunnitelman laatiminen etenee rinnakkain toiminnan ja sen tavoitteiden suunnittelun kanssa. Suunnitelmaa laadittaessa korostuu se, että riskienhallintaan kuuluu resurssien tasapainottaminen. Kaikki käytössä olevat resurssit tuleekin määritellä osana riskienhallinnan taustatietoja. Riskienhallintaan panostettavat resurssit kuten henkilöstö ja varat ovat pois muista toiminnan käynnistämiseen ja ylläpitämiseen tarvittavista resursseista. 

Lue myös

Scroll to Top