Riskien arvioinnin ensimmäinen vaihe on riskien tunnistaminen. Tavoitteena riskienhallinnassa on tunnistaa kaikki sellaiset seikat, joilla voi olla myönteistä tai kielteistä vaikutusta asetettujen tavoitteiden saavuttamiseen. Kyse on siis muun muassa mahdollisten tapahtumien ja olosuhteiden muutosten ennakoimisesta.
Yksi lähtökohta riskien tunnistamiseen on hyödyntää omaa, kollegoiden ja alan asiantuntijoiden kokemusta toiminnan uhkista ja mahdollisuuksista. Tällöin kuitenkin tulee huomioida alttius omien kokemusten puolueellisuuteen, kuten taipuvaisuuteen puoltaa omia ennakkokäsityksiä tukevaa informaatiota. Äskettäin tapahtuneita tapauksia voidaan pitää todennäköisempiä, kun mitä ne tilastojen valossa ovat. Objektiivisuus on haaste.
Toinen lähtökohta riskien tunnistamiseen on kerätä tietoa aikaisemmin samassa tai vastaavassa toiminnassa toteutuneista riskeistä. Käyttökelpoinen aineisto kuvaa toiminnan menneitä ja nykyisiä olosuhteita, kuten toteutuneita uhkia ja hyödynnettyjä mahdollisuuksia, sekä ennusteita tulevista olosuhteista. Tietoa tulee hankkia paitsi oman toiminnan olosuhteista myös laajemmin toimialasta tai markkinoista, toimintaan liittyvästä teknologiasta, lainsäädännöstä, kansainvälisestä tilanteesta ja yhteiskunnan olosuhteista. Arvokasta aineistoa ovat case-kuvaukset, vahinkotilastot, yritysten vuosikertomukset, toimialan trendit ja historialliset ongelmat (JOHDA s. 110).
Riskien tunnistaminen toteutetaan usein ryhmätyönä esimerkiksi työpajassa, johon osallistuu useita henkilöitä yrityksestä sekä sen yhteistyökumppaneita ja mahdollisesti myös asiakkaita.
Yksi toteutus riskien tunnistamiseen on laatia käytettävissä olevan aineiston pohjalta skenaarioita sille, mitä omassa toiminnassa voisi tapahtua tarkasteltavana ajanjaksona. Aineistosta poimitaan tarkasteltavan toiminnan kannalta relevantit mahdolliset tapahtumat, kehityskulut, syyt ja ulkoiset tekijät sekä niiden toteutumisen todennäköisyys ja mahdolliset vaikutukset toimintaan. (VAHTI s. 30).
ISO 31010 -standardin mukaan riskien tunnistamiseen voidaan käyttää menetelmiä näkemysten keräämiseen. Tällaisia ovat mm. aivoriihi, Delfoi, haastattelut ja mielipidekyselyt. Lisäksi voidaan käyttää menetelmiä riskien lähteiden ja syiden sekä riskitekijöiden määrittämiseen. Esimerkkinä mainittakoon riskianalyyttinen lähestymistapa ja juurisyyanalyysi. HAZOP-analyysi on puolestaan menetelmä fyysisten vaaratilanteiden lähteiden tunnistamiseen.
Dilemma on, että tietoa ei periaatteessa ole koskaan liikaa, mutta liian laajasta tietomäärästä voi olla vaikea tunnistaa olennaista tietoa oman toiminnan riskien kannalta. Tiedon jäsentämiseen ja tarkasteluun tuleekin käyttää sopivaa välinettä, kuten SWOT-analyysiä.
Riskien tunnistaminen on olennainen osa alkuvaiheessa laadittavaa riskikartoitusta. Riskien tunnistaminen ei kuitenkaan pääty tähän. Keskeisiä jatkotoimenpiteitä ovat säännöllinen riskien toteutumisen seuranta, uusien ja/tai muuttuneiden riskien tunnistaminen sekä olosuhteiden muutosten seuranta esimerkiksi ns. heikkojen signaalien kautta.
SWOT-analyysi
SWOT-analyysi on selkeä väline, jolla tunnistetaan esimerkiksi riskeihin liittyviä tapahtumia ja olosuhteita. SWOT-analyysillä tuotetaan nelikenttä, johon kirjataan tarkasteltavan toiminnan nykyhetken vahvuudet ja heikkoudet sekä tulevaisuuden mahdollisuudet ja uhat.
SWOT-analyysi voi kohdistua joko riskienhallinnassa tarkasteltavaan toimintaan kokonaisuutena tai rajatummin johonkin toiminnan osaan kuten tuotanto, markkinat tai digiympäristö. Alla olevan nelikenttä-kuvion keskellä on lueteltu joitain mahdollisia tarkastelun kohteita.
Nelikentän pohjalta toteutettavan riskien tunnistamisen voi aloittaa esimerkiksi seuraavilla kysymyksillä tarkastellen sekä negatiivisia että positiivisia seikkoja jokaisessa kentässä:
Vahvuudet
– mitkä tapahtumat heikentävät vahvuuksia toiminnassa?
+ mitkä tapahtumat luovat edellytyksiä vahvuuksien hyödyntämiselle toiminnassa?
Heikkoudet
– mitkä tapahtumat lisäävät heikkouksia?
+ mitkä tapahtumat lieventävät heikkouksia?
Mahdollisuudet
– mitkä tapahtumat heikentävät mahdollisuuksien hyödyntämistä toiminnassa?
+ mitkä tapahtumat vahvistavat toiminnan mahdollisuuksia?
Uhkat
– mitkä tapahtumat vahvistavat uhkien vaikutusta toimintaan?
+ mitkä tapahtumat lieventävät uhkien vaikutusta toimintaan?
Tavoitteiden kirjaaminen
Osa riskien tunnistamista on tehdä selväksi kaikki ne toiminnan tavoitteet, joiden saavuttamista halutaan turvata riskienhallinnalla.
Yleisellä tasolla voidaan todeta, että kaikella toiminnallamme yksilöinä tai organisaation jäseninä on tiedostettuja ja tiedostamattomiakin tavoitteita. Yhdistyksen, yrityksen tai muun organisaation toiminnalla on hyvinkin täsmällisiä tavoitteita, joiden saavuttamiseen pyritään yhdessä muiden organisaation jäsenten kanssa. Uusi ja käynnistettävä toiminta suunnitellaan asetettuja tavoitteita vasten.
Kirjaamalla ylös toiminnan tavoitteet voidaan niiden saavuttamista turvata riskienhallinnan keinoilla, kuten ennakoimalla epävarmuuksia, jotka voivat toteutuessaan estää tavoitteiden saavuttamisen.
Tavoitteiden kirjaamisen yhteydessä voidaan punnita, mitkä tavoitteet ovat ehdottomia ja mistä voidaan joustaa. Kun tiedostetaan, että epävarmuudessa voi olla paitsi uhkia myös mahdollisuuksia, voidaan jo toiminnan ja tavoitteiden kirjaamisessa ottaa huomioon tarttuminen epävarmuudesta nouseviin mahdollisuuksiin.
Toimintaa tarkasteltaessa voidaan myös päättää, missä rajoissa on valmiuksia muuttaa tavoitteita, esimerkiksi olosuhteiden muuttuessa ja uusien mahdollisuuksien avautuessa.
Väline tavoitteiden kirjaamiseen
Tavoitteiden kirjaamiseen voidaan käyttää seuraavaa yksinkertaista taulukkoa (lataa taulukon pohja täältä pdf-muodossa). Tavoitteiden määrittely ja toiminnan kuvaus tehdään rinnakkain. Joskus kuvauksen laatimisessa on luontevaa lähteä liikkeelle tavoitteiden asettamisesta (”mitä halutaan saavuttaa”), toisinaan taas toiminnan kuvauksesta (”mitä halutaan tehdä”).
Tavoitteet voivat olla määrällisiä, esimerkiksi tietty liikevoitto toiminnassa, tai laadullisia, esimerkiksi että saavutetaan jokin vaikutus johonkin yhteisöön. Eri tavoitteiden saavuttamiselle voi olla erilaiset aikataulut. Taulukossa tavoitteita voi olla useampia, ja ne voivat rakentua toistensa päälle, eli Tavoite 2 mahdollistuu Tavoitteen 1 saavuttamisen pohjalta jne.
Tämänlaisen taulukon täyttäminen yhdessä muiden toimintaan osallistuvien kanssa on luonteva väline keskustella siitä, miten yhteiset tavoitteet mielletään yrityksen tai muun organisaation sisällä.
Artikkeli pohjautuu Riskioppi-ympäristön aineistoon (KOMPASSI-hanke, ESR). Osa artikkelin kuvista on tehty Pixabay-lisenssin alaisina, alkuperäisiin kuviin muutoksia tehden.
Lähteet
(”JOHDA”=) Ilmonen, Ilkka; Kallio, Jani; Koskinen, Jani; Rajamäki, Markku (2016). Johda riskejä – käytännön opas yrityksen riskienhallintaan. Toinen laitos. Finva.
(”VAHTI”=) Reivo, Juho (2022). VAHTI-riskienhallintasanasto digitaaliseen toimintaympäristöön – esittely ja johdatusta riskiviestintään. VAHTI Hyvät Käytännöt –tukimateriaali. VAHTI Hyvät Käytännöt -tukimateriaali. 15.11.2022.
