Riskienhallinta etenee rinnakkain muun toiminnan kanssa ja sillä turvataan asetettujen tavoitteiden saavuttaminen.
Riskienhallinta on monivaiheinen prosessi, jossa jokainen vaihe tuottaa syötettä seuraaville vaiheille. Vaiheet tulee ajoittaa siten, että ne osuvat oikeisiin jaksoihin toiminnassa. Toiminnan tulisi siis olla siinä vaiheessa, että on kertynyt riittävästi tietoa toimenpiteiden täsmentämiseksi ja ne osataan toteuttaa oikealla hetkellä.
Alla olevassa kaaviossa on esitetty käytäntölähtöinen riskienhallinnan prosessi. Yhteenvetona tarkastelemme prosessia kokonaisuutena ja sitä, miten riskienhallinta täsmentyy prosessin aikana kertyvän uuden tiedon ja olosuhteiden muutosten myötä. Kaaviossa esitetty riskienhallinnan kuusivaiheinen prosessi esitellään tarkemmin alla.
Avaa kaavion täysikokoinen versio. Kaaviossa esitetään riskienhallinnan prosessi pohjautuen OECD:n suositukseen. Kaavion vasemmalle puolelle on merkitty vastaavat riskienhallinnan vaiheet sen mukaan, miten ne on nimetty ISO 31000 -standardissa.
VAIHE 1: Määritellään tavoitteet toiminnalle, johon liittyviä riskejä halutaan hallita. Käynnistettävä toiminta suunnitellaan tavoitteiden pohjalta, ja toimintaan kohdistuvat epävarmuudet otetaan käsittelyyn.
Tavoitteita vasten määritellään joukko taustatietoja tarkasteltavasta toiminnasta, kuten käytössä olevat resurssit, tehtävien väliset kytkökset, aikataulut sekä toimintaan osallistuvien henkilöiden kokemus riskienhallinnasta. Osana taustatietoja voidaan kuvata myös tietoja toimialasta, markkinoista, yleisistä trendeistä jne. Tämä tehdään siinä laajuudessa kuin on olennaisia tavoitteiden ja niihin liittyvien epävarmuuksien määrittelemisen kannalta.
Erityisesti digitaalisen toimintaympäristön taustatietoja ovat mm. digitaalisten palveluiden vaatimusten kehitys, esimerkiksi viranomaismääräykset ja laajemmin digitaalisten teknologioiden kehitys omalla toimialalla.
VAIHE 2: Riskien arviointi, joka sisältää kolme vaihetta:
I. Riskien tunnistaminen eri menetelmiä hyödyntäen, esim. SWOT-analyysi.
II. Riskianalyysi, jolla tuotetaan perusta päätöksille siitä, mitkä tunnistetuista rikseistä otetaan käsittelyyn.
III. Riskin evaluointi ja priorisointi.
VAIHE 3: Riskien käsittelyssä päätetään, millä toimenpiteillä jokainen riski muutetaan hyväksyttävälle riskitasolle niin, että suunniteltu toiminta voidaan aloittaa tai sitä kannattaa jatkaa. Edellä tehty riskien priorisointi pohjustaa hallintatoimenpiteiden valitsemista. Hallintatoimenpiteitä on neljän periaatteen mukaisia:
I. Riskin pienentäminen
II. Riskin siirto
III. Riskin välttäminen
IV. Riskin ottaminen.
Teoksessa ”Johda riskejä” ehdotetaan, että lähtökohta riskien hallintakeinoja valittaessa on ensisijaisesti pienentää negatiivisen riskin toteutumisen todennäköisyyttä omilla toimenpiteillä. Vasta kun on tehty kaikki mahdollinen omien toimenpiteiden suunnittelun osalta, harkitaan jäljellä olevan riskin siirtämistä. (JOHDA s. 190)
Riskinkantokyvyllä viitataan yksilön tai yrityksen kykyyn toimia riskin toteutuessa. Riskinkantokyvyllä määritetään rajat, joiden puitteissa yksilö tai organisaatio voi ottaa riskejä toiminnassaan. Rajat liittyvät resursseihin, kuten rahaan, aikaan ja osaamiseen. Rajoja voidaan tarkastella myös maineen tai hyvinvoinnin näkökulmasta. Harvalla organisaatiolla on käytettävissään niin paljon resursseja, että sen riskinkantokyky olisi täydellinen. Erityisesti jäännösriskeistä päätettäessä on keskeistä määrittää, minkälaisista riskeistä on kysymys. Muutoin riskien yhdistelmät uhkaavat toiminnan mahdollisuuksia tai koko organisaation olemassaoloa. (VAHTI s. 55–56)
VAIHE 4: Riskienhallinta ei toteudu organisaatiossa, mikäli riskienhallinnasta ja sen tuottamasta tiedosta ei olla tietoisia. Viestintä ja riskeistä raportointi onkin nähtävä keskeisenä osana riskienhallinnan prosessia sen eri vaiheissa. (VAHTI s. 13)
Asiakkaille ja yhteistyökumppaneille on tärkeää kertoa, miten riskit on otettu haltuun toiminnassa. Läpinäkyvyys on osa toiminnan vastuullisuutta. Esimerkiksi välitön raportointi yritetystä tietomurrosta toimii varoituksena muille alan toimijoille. Läpinäkyvyys mahdollistaa riskienhallintaan kohdistettujen toimenpiteiden arvioinnin organisaation sisällä ja sen sidosryhmille siten, että tietojen jakaminen ei itsessään tuota merkittäviä riskejä. (VAHTI s. 37) Julkisesti ei kannata kertoa yksityiskohtaisesti esimerkiksi käytössä olevia tietoturvaratkaisuja, ettei niihin aleta etsimään haavoittuvuuksia.
VAIHE 5: Riskienhallintaan kuuluu jatkuva seuranta ja uudelleenmäärittely. Tällöin tarkastellaan sitä, miten uhkat ja mahdollisuudet toteutuvat toiminnan edetessä, miten käytössä olevat hallintatoimenpiteet toimivat tai eivät toimi ja miten ne edistävät tai estävät asetettujen tavoitteiden saavuttamista.
Riskien seurantaan liittyy riskiin kohdistuvien muutostekijöiden havainnointi. Niitä ovat riskien riippuvuudet, kerrannaisvaikutukset ja kehittyminen.
VAIHE 6: Olennaista riskienhallinnan prosessissa on sykli, jossa palataan jonkin ajan jälkeen takaisin toiminnan suunnitteluun sekä ehkä tavoitteidenkin uudelleentarkasteluun. Tämä tapahtuu muun muassa tähänastisen toiminnan aikana kertyneen tiedon ja mahdollisesti muuttuneiden olosuhteiden valossa. Prosessi jatkuu aiemmin tunnistettujen riskien uudelleenarvioinnilla ja uusien riskien tunnistamisella. Riskienhallintaan kuuluu, että tietty määrä epävarmuutta jää edelleen osaksi toimintaa, mutta epävarmuus on tehty siedettäväksi käyttöön otetuilla hallintatoimenpiteillä.
Toiminnan tavoitteita tulee tarkastella uudelleen, mikäli suunnitellulle toiminnalle ei riskianalyysin mukaan saavuteta hyväksyttävää riskitasoa, jonka puitteissa toiminta kannattaisi käynnistää.
Artikkeli pohjautuu Riskioppi-ympäristön aineistoon (KOMPASSI-hanke, ESR). Osa artikkelin kuvista on tehty Pixabay-lisenssin alaisina, alkuperäisiin kuviin muutoksia tehden.
