Riskienhallinnan perusteet

Jaa myös muille

Riskienhallintaa toteutetaan usein organisaatiossa liittyen eri toiminnan osa-alueisiin. Riskejä on voitu tunnistaa tietosuojaan, paloturvallisuuteen, työturvallisuuteen tai esimerkiksi laadunhallintaan liittyen. Riskikartoitus saa usein alkunsa jostakin vaatimuksesta tai esimerkiksi lainsäädännöstä. Ehkä kaikkein tuorein lainsäädäntö liittyen riskilähtöiseen toimintaan on tietosuoja-asetus, jossa riskienhallinta henkilötietoon liittyvissä tehtävissä liittyi oleellisesti jatkuvaan tietosuojatyöhön ja sen kehittämiseen. Myös ISO9001:2015 riskilähtöisyys nostetiin päätöksenteon perustaksi ja samassa yhteydessä mainittiin myös positiivisten riskien eli mahdollisuuksien tunnistamisesta.

Mikä riski?

Organisaation riskienhallintaa rakennettaessa on lähdettävä liikkeelle siitä, mitä riski organisaatiossa tarkoittaa. Riski itsessään voi olla joko negatiivinen (uhka) tai positiivinen (mahdollisuus), ja se tulee ottaa huomioon jo ennen kuin riskejä lähdetään tunnistamaan. Sanalla riski taas voi olla monenlaista tulkintaa, joista yksi on epävarmuus, joka tapahtuessaan aiheuttaa hyötyä tai haittaa yrityksen toiminnassa. Riskienhallintaa aloittaessa tulee myös huomioida, mihin toiminnalla tähdätään eli esimerkiksi perustuuko se johonkin viitekehykseen tai vaikka lakiin.

Riskienhallinnan perusteet - Hallinnan viisi vaihetta

Riskienhallintaa voidaan organisaatiossa jakaa eri vaiheisiin, joka lähtee riskien tunnistamisesta ja johtaa usein tietynlaiseen raportointiin toiminnan tuloksista. Yhtä ja oikeaa tapaa hoitaa riskienhallintaa organisaatiossa ei ole, mutta yleisesti organisaatioiden riskienhallintaa voidaan hahmottaa viiteen eri vaiheeseen. Kuvassa 1 on hahmotettu riskienhallinnan viisi vaihetta, jotka ovat: tunnistaminen, arviointi, hallinta, seuranta ja raportointi. Vaiheille on olemassa useita eri nimiä, mutta yleisesti samat toiminnot toistuvat organisaatioiden riskienhallinnassa.

iskienhallinnan viisi vaihetta

Kuva 1, Riskienhallinnan viisi vaihetta

Riskienhallinta lähtee liikkeelle riskikartoituksesta eli riskien tunnistamisesta. Uusien riskien tunnistaminen ei kuitenkaan ole vain kertaluonteinen asia, vaan uusia riskejä tunnistetaan jatkuvasti, johtuen jo pelkästään toiminnan muuttumisesta ajan saatossa.

Toinen vaihe eli arviointi puolestaan on usein jollain ohjelmistolla (kuva 2) tehtävää riskianalysointia, jossa pisteytetään riskit perustuen niiden tapahtumistodennäköisyyteen ja sekä vaikuttavuuteen toiminnan kannalta.

 

Riskienhallinta IMS

Kuva 2, Riskien analysointi IMS-ohjelmistossa

Kun riski on pisteytetty eli riskikerroin on laskettu, siirrytään hallinta vaiheeseen, jossa päätetään suoritettavista toimenpiteistä ja millä tavalla lähdetään ennaltaehkäisemään uhkia tai edesauttamaan mahdollisuuksien toteutumista.

Hallinnan jälkeen siirrytään käytäntöön ja toteutetaan suunnitellut toimenpiteet. Seurannassa valvotaan toimenpiteiden vaikutusta itse toimintaan ja kirjataan tietoa, jota voidaan jatkossa hyödyntää tulevissa riskianalyyseissä sekä raportoinnissa.

Yhtä oikeaa tapaa hoitaa organisaation riskienhallintaa ei ole, mutta tähtäimenä on kuitenkin, että arvioitavat riskit ovat verrattavissa toisiinsa. Tätä varten riskejä arvioitaessa on hyvä olla käytössä yksi yhtenäinen tapa riskikertoimen laskemiseen, jotta samoja periaatteita toimenpiteisiin ryhtymisessä voidaan noudattaa. Voit lukea lisää riskikertoimen laskemisesta tästä blogitekstistä.

 

 

Katso myös aiheen webinaaritallenne:

Tagged , .

Tomi Saarinen toimii nuorempana konsulttina Arterilla. Tomilla on aiempaa kokemusta verkko-opetuksesta sekä start-up maailmasta, joissa nopea oppiminen ja etenkin erilaisten oppimistekniikoiden hyödyntäminen ovat keskeisessä roolissa. Asiakkaiden tarpeiden ja oppimistapojen ymmärtäminen ovat Tomille erittäin tärkeitä asioita koulutuksen menestymisen kannalta. Kun nämä asiat huomioidaan, ovat koulutkset selkeitä ja ennenkaikkea mukavia seurata.