Riskianalyysissä tarkastellaan käytettävissä olevan tiedon pohjalta epävarmuuden mahdollisia vaikutuksia tavoitteiden saavuttamiselle.
Analyysissä tarkastellaan riskien syitä ja lähteitä, eri riskien keskinäistä riippuvuutta ja liittymäkohtia sekä riskien negatiivisia ja positiivisia seurauksia.
Riskianalyysin tarkoituksena on tukea kokonaisvaltaista käsitystä tarkasteltavaan toimintaan liittyvistä riskeistä ja niiden hallintamenetelmien valitsemista.
Riskianalyysissä tulee esille myös, kuinka riskin elinkaari huomioidaan riskinhallinnassa. Ajan kuluessa ja olosuhteiden vaihtuessa tapahtuman todennäköisyys, vaikuttavuus tavoiteisiin tai kohde, johon tapahtuma vaikuttaa, voivat muuttua (VAHTI s. 28).
ISO 31000 -standardin mukaan riskianalyysin yksityiskohtaisuus riippuu analyysin tarkoituksesta, analyysissä käytettävissä olevien tietojen saatavuudesta ja luotettavuudesta sekä saatavilla olevista resursseista. Esimerkkinä riskien tunnistamisen ja riskianalyysin osittaisesta limittäin menemisestä tarkastelemme juurianalyysiä. Se soveltuu ISO 31010 -standardin mukaan sekä riskien tunnistamisen että riskianalyysin välineeksi.
Skenaario riskianalyysin välineenä
Skenaario on kuvaus toteutuneesta tai kuvitteellisesta tapahtumaketjusta, joka päättyi riskin toteutumiseen. Skenaarion kautta tarkastellaan syitä riskin toteutumiselle.
Riskeihin liittyviä tapahtumia tarkasteltaessa on mahdollista sekoittaa keskenään riski, riskin syy ja riskin seuraus (eli vaikutus tavoitteisiin).
Seuraavassa esimerkissä on tällainen tapahtumaketju: olet ajamassa töihin, alkaa rankkasade, näkyvyys heikentyy ja ajat kolarin. Myöhästyt töistä.
Tarkastellaan tätä tapahtumaketjua: mikä tapahtumista on riski, mikä on syy ja mikä seuraus?
1. Tunnistetaan tapahtuma, joka edistää toiminnan tavoitetta. Tavoitteenasi on saapua ajoissa työpaikalle.
2. Riski tunnistetaan tavoitetta vasten. Negatiivinen riski on tapahtuma, jonka vaikutus estää tavoitteen saavuttamisen. Toteutunut riski on tapahtuma, että jouduit kolariin työmatkalla. Tapahtuman vuoksi et ehtinyt työpaikalle ajoissa.
Kolariin joutuminen on tapahtuma, joka voi samalla olla riski myös monelle muulle tavoitteellesi. Jälkikäteen huomaat, että kolarin vuoksi et pääse suunnittelemallesi lomamatkalle.
3. Tunnistetaan tapahtuma tai ilmiö, joka oli välitön syy riskin toteutumiselle eli kolariin joutumiselle. Tapahtumaketjun mukaan välitön syy oli, että näkyvyys huononi.
4. Tapahtumaketjusta voidaan tunnistaa myös useita välillisiä syitä riskin toteutumiselle. Välilliset syyt vaikuttivat välittömään syyn toteutumiseen. Välillisiä syitä olivat paitsi rankkasade myös se, että autosi pyyhkijänsulat olivat kuluneet.
Riskin toteutuminen on usein monen syyn summa. Kenties et olisi voinut ennaltaehkäistä välitöntä syytä etkä kaikkia välillisiä syitä. Kuitenkin ainakin yhteen välilliseen syyhyn olisit voinut vaikuttaa hankkimalla uudet pyyhkijät. Olisiko yksin se riittänyt estämään riskin toteutumisen?
Yllä kuvatun esimerkin kaltaisia skenaariota laatimalla voit hahmottaa toimintaasi vaikuttavia riskejä ja niiden syitä.
Kun analysoit skenaarion tapahtumia, älä sekoita toimintasi tavoitteita riskeihin, jotka vaikuttavat näihin tavoitteisiin: esimerkiksi sitä, pysyykö projekti budjetissaan, siihen, että syyn Y seurauksena projektin budjetti ylittyy. Skenaariossa kuvattu tapahtuma, jolla on suora vaikutus tavoitteeseesi, on riski tälle tavoitteelle. Riski ei ole projektin budjetin ylittyminen, vaan budjettiin vaikuttavan syy Y:n toteutuminen.
Voit kuvata skenaarion tapahtumaketjun myös visuaalisesti tapahtumapuuna. Tähän sopiva työkalu on esimerkiksi CORAS.
Skenaariossa kuvatun tapahtumaketjun voit purkaa alla olevaan taulukkoon (joka pohjautuu lähteeseen JOHDA s. 103). Välilliset syyt luetellaan sen välittömän syyn kautta, johon ne liittyvät.
Avaa taulukon täysikokoinen versio.
Riskin toteutumiseen vaikutetaan puuttumalla sen välittömiin syihin ja erityisesti niihin syihin, jotka ovat yksin riittäviä ja välttämättömiä riskin toteutumiselle.
Juurisyyanalyysi
Kun samaa ilmiötä tarkastellaan eri näkökulmista, saattaa näyttää löytyvän eri riskikategorioihin kuuluvia tai toisistaan erillisiä riskejä. Tällöin kannattaa selvittää, ovatko kyseessä oikeasti eri riskit vai onko toinen riski itse asiassa ensimmäisen riskin juurisyy. (JOHDA s. 83)
Tähän sopiva väline on juurisyyanalyysi (engl. Root Cause Analysis). Kyseessä on keino ongelmien aiheuttajien tunnistamiseen ja ratkaisun määrittelemiseen ongelman ehkäisemiseen. Se toimii riskienhallinnan välineenä, kun juurisyyanalyysin kautta voidaan tunnistaa riskien aiheuttajien välisiä riippuvuuksia. Analyysi voi auttaa tunnistamaan välillisiä riskejä, joita on usein vaikeampi tunnistaa kuin välittömiä riskejä. Riskihallittavaa tapahtuma tarkastellaan juurisyyanalyysissä ongelmana.
Juurisyyanalyysin lähtökohtana on oletus, että toiminnat/tapahtumat ovat kytköksissä toisiinsa. Toisin sanoen, ensimmäinen toiminta/tapahtuma käynnistää seuraavan ja tämä edelleen seuraavan, ja niin edespäin.
Juurisyyanalyysi aloitetaan viimeisestä tapahtumasta. Se on selvitettävä ongelma, kuten toteutuneena riskinä tarkasteltava kielteinen tapahtuma. Jäljittämällä toisiinsa ketjuuntuneita tapahtumia tai toimintoja taaksepäin ajassa selvitetään, mistä ongelma sai alkunsa eli mikä oli sen juurisyy.
Juurisyyanalyysin avulla ongelmalle löydetään yksi tai useampi aiheuttaja. Aiheuttajiin puuttumalla päästään poistamaan ongelman pohjimmaiset syyt.
Analyysillä voidaan myös selvittää, missä vaiheissa juurisyystä liikkeelle lähteneet vaikutukset voimistuivat siten, että ilmenneen ongelman toteutuminen oli väistämätön. Toisin sanoen selvitetään, missä tapahtumaketjun vaiheessa olisi ollut mahdollista tehdä vielä korjaustoimenpiteitä.
Ongelmien kategorisoinnit
Juurisyyanalyysissä ongelmaa analysoidaan monesta näkökulmista. Ongelman syitä voidaan etsiä esimerkiksi seuraavista luokista:
- Fyysiset syyt: aineelliset rikkoutumiset, kuten kulumisesta tai vahingosta johtuvat laiterikot.
- Inhimilliset syyt: ihmisten tekemät virheet tai asioiden tekemättä jättämiset; väärinymmärrykset ja virheelliset tulkinnat, jotka johtuvat osaamattomuudesta tai välinpitämättömyydestä; tahalliset tai rikolliset teot.
- Organisatoriset syyt: virheelliset tai puutteelliset käytännöt tai prosessit; puutteellinen johtaminen; puutteellisesti laaditut sopimukset.
Edellistä kategorisointia täydentää ”6M”-luettelo, joka sisältää englanninkieliset käsitteet: Man, Machine, Methods, Measurements, Materials, Mother Nature, Management & Maintenance. Suomeksi käytetään esimerkiksi kategorioita:
– menetelmät, laitteet, hallinta, materiaalit, työvoima, raha.
– materiaalit, menetelmät ja prosessit, ympäristö, laitteet, henkilöt, mittaukset. (ISO 31010)
ISO 31010 -standardin mukaan juurisyyanalyysissä on mahdollista käyttää mitä tahansa kategorioiden joukkoa, joka sopii kuvaamaan analyysin kohteen olosuhteita.
Juurisyyanalyysin vaiheet
Juurisyyanalyysi etenee viiden vaiheen kautta seuraavasti:
1. Ongelman ymmärtäminen: järjestetään esim. aivoriihi, jossa haetaan vastauksia kysymyksiin ”mitä tapahtui?”, ”mikä meni vikaan?” tai ”miksi tapahtumalla oli toiminnalle kielteinen vaikutus?”
2. Tietojen kerääminen seikoista, joilla voi olla yhteys ongelman syntyyn, esimerkiksi ”kuinka kauan ongelma on ollut olemassa, ja mitkä ovat olleet sen vaikutukset?” Eri toimijoiden näkökulmat samaan ongelmaan voivat auttaa muita asianosaisia ymmärtämään ongelman uudella tavalla.
3. Tietojen analysointi, jolla poistetaan mahdollisuus, että jokin esitettävä johtopäätös onkin harhaanjohtava.
4. Juurisyiden selvittäminen sopivalla menetelmällä, esimerkiksi:
a. ”5 x Miksi?”
b. Ruotokaavio-diagrammi eli syy-seuraus-analyysi
5. Ratkaisujen määritteleminen ja toteuttaminen ongelman juurisyyn poistamiseksi. Tätä kautta pienennetään tapahtuman todennäköisyyttä.
Esimerkki 5 x Miksi? -menetelmästä
Tämän menetelmän kehitti alun perin Toyota Motor Company valmistusprosessiensa kehittämiseen. Tarkoituksena on ensin saada vastaus yhteen esitettyyn ongelmaan ja sitten lähteä syventämään ongelman syiden määrittelyä kysymällä joka vaiheessa ”Miksi?”. Lopulta, monesti viidennen ”Miksi?”-kysymyksen jälkeen, päädytään ongelman juurisyyhyn.
On huomattava, että jokainen ”Miksi?”-kysymys avaa vain yhden polun, jota etenemällä selviää vain yksi juurisyy. Ensimmäinen ”Miksi?”-kysymys voi mahdollisesti avata useita polkuja, joista jokainen johtaa eri juurisyyhyn. Tämän vuoksi ensimmäisen kysymyksen on kuvattava mahdollisimman täsmällisesti tarkasteltavaa ongelmaa.
Mikäli viimeisellä ”Miksi?”-kysymyksellä ei saada vakuuttavaa vastausta ongelman juurisyystä, voidaan palata alkuun ja varioida vastausta ensimmäiseen ”Miksi?”-kysymykseen.
”Miksi?”-kysymykset voivat johtaa esimerkiksi havaintoon, että fyysisenä syynä ilmenevä ongelma onkin juurisyyltään puute ohjeistuksessa.
Seuraavassa kaaviossa on esimerkki juurisyyn tunnistamisesta ”5 x Miksi?”-menetelmällä:
Avaa kuvan täysikokoinen versio.
Analyysin tulos esimerkissä: Tarkasteltu riski on, että valmistetut tuotteet voi olla epälaatuisia. Juurisyy toteutuneelle riskille on, että tuotantolaitteen huoltosuunnitelmaa ei tarkasteta säännöllisesti. Riski otetaan hallintaan yrityksessä esim. määrittelemällä, että huoltosuunnitelma pitää tarkistaa säännöllisin väliajoin ja että suoritetulle tarkistukselle tulee saada kuittaus esimieheltä.
Artikkeli pohjautuu Riskioppi-ympäristön aineistoon (KOMPASSI-hanke, ESR). Osa artikkelin kuvista on tehty Pixabay-lisenssin alaisina, alkuperäisiin kuviin muutoksia tehden.
