Blogi
Riskienhallinnan perusteet
Riskienhallintaa toteutetaan usein organisaatiossa liittyen eri toiminnan osa-alueisiin. Riskejä on voitu tunnistaa tietosuojaan, paloturvallisuuteen, työturvallisuuteen tai esimerkiksi laadunhallintaan liittyen. Riskikartoitus saa usein alkunsa jostakin vaatimuksesta tai esimerkiksi lainsäädännöstä.
Ehkä kaikkein tuorein lainsäädäntö liittyen riskilähtöiseen toimintaan on tietosuoja-asetus, jossa riskienhallinta henkilötietoon liittyvissä tehtävissä liittyi oleellisesti jatkuvaan tietosuojatyöhön ja sen kehittämiseen. Myös ISO9001:2015 riskilähtöisyys nostetiin päätöksenteon perustaksi ja samassa yhteydessä mainittiin myös positiivisten riskien eli mahdollisuuksien tunnistamisesta.
Mikä riski?
Organisaation riskienhallintaa rakennettaessa on lähdettävä liikkeelle siitä, mitä riski organisaatiossa tarkoittaa. Riski itsessään voi olla joko negatiivinen – uhka – tai positiivinen – mahdollisuus -, ja se tulee ottaa huomioon jo ennen kuin riskejä lähdetään tunnistamaan.
Sanalla riski taas voi olla monenlaista tulkintaa, joista yksi on epävarmuus, joka tapahtuessaan aiheuttaa hyötyä tai haittaa yrityksen toiminnassa. Riskienhallintaa aloittaessa tulee myös huomioida, mihin toiminnalla tähdätään eli esimerkiksi perustuuko se johonkin viitekehykseen tai vaikka lakiin.
Riskienhallinnan perusteet – hallinnan viisi vaihetta
Riskienhallintaa voidaan organisaatiossa jakaa eri vaiheisiin, joka lähtee riskien tunnistamisesta ja johtaa usein tietynlaiseen raportointiin toiminnan tuloksista. Yhtä ja oikeaa tapaa hoitaa riskienhallintaa organisaatiossa ei ole, mutta yleisesti organisaatioiden riskienhallintaa voidaan hahmottaa viiteen eri vaiheeseen. Kuvassa 1 on hahmotettu riskienhallinnan viisi vaihetta, jotka ovat:
- tunnistaminen,
- arviointi,
- hallinta,
- seuranta ja
- raportointi.
Vaiheille on olemassa useita eri nimiä, mutta yleisesti samat toiminnot toistuvat organisaatioiden riskienhallinnassa.
Vaihe 1: Riskien tunnistaminen
Riskienhallinta lähtee liikkeelle riskikartoituksesta eli riskien tunnistamisesta. Uusien riskien tunnistaminen ei kuitenkaan ole vain kertaluonteinen asia, vaan uusia riskejä tunnistetaan jatkuvasti, johtuen jo pelkästään toiminnan muuttumisesta ajan saatossa.
Vaihe 2: Riskien arviointi
Toinen vaihe eli arviointi puolestaan on usein jollain ohjelmistolla (kuva 2) tehtävää riskianalysointia, jossa pisteytetään riskit perustuen niiden tapahtumistodennäköisyyteen ja sekä vaikuttavuuteen toiminnan kannalta.
Vaihe 3: Riskien hallinta
Kun riski on pisteytetty eli riskikerroin on laskettu, siirrytään hallintavaiheeseen, jossa päätetään suoritettavista toimenpiteistä ja millä tavalla lähdetään ennaltaehkäisemään uhkia tai edesauttamaan mahdollisuuksien toteutumista.
Vaihe 4: Riskien seuranta
Hallinnan jälkeen siirrytään käytäntöön ja toteutetaan suunnitellut toimenpiteet. Seurannassa valvotaan toimenpiteiden vaikutusta itse toimintaan ja kirjataan tietoa, jota voidaan jatkossa hyödyntää tulevissa riskianalyyseissä sekä raportoinnissa.
Vaihe 5: Riskien raportointi
Tuloksista tulee myös raportoida. Helpolla raportoinnilla madallat raportoinnin tekemisen kynnystä – näin varmistat että esimerkiksi tieto poikkeamista, läheltäpititilanteista, kehitysajatuksista ja muutosehdotuksista siirtyy eteenpäin.
Varmista riskien verrattavuus toisiinsa
Yhtä oikeaa tapaa hoitaa organisaation riskienhallintaa ei ole, mutta tähtäimenä on kuitenkin, että arvioitavat riskit ovat verrattavissa toisiinsa. Tätä varten riskejä arvioitaessa on hyvä olla käytössä yksi yhtenäinen tapa riskikertoimen laskemiseen, jotta samoja periaatteita toimenpiteisiin ryhtymisessä voidaan noudattaa. Voit lukea lisää riskikertoimen laskemisesta tästä blogitekstistä.
Suosittelen sinun tutustuvan myös näihin sisältöihin:
👉 Arvioi riskejä tehokkaasti – käytä asteikkoa | blogi
👉 Mahdollisuudet osana toimivaa riskienhallintaa | blogi + webinaari
👉 Riskien arviointitaulukko | ladattava Excel-pohja
