Päivitetty 28.3.2017 SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI Riskianalyysiohjeen tarkoitus on tukea yrityksen toimintaa uhkaavien tilanteiden (riskien) tunnistamisessa, niiden aiheuttamien seurausten arvioinnissa sekä riskienhallinnan toimenpiteiden suunnittelussa ja niistä päättämisessä. Riskianalyysin tuloksena tunnistetut toimintavarmuutta uhkaavat riskit ja niihin liittyvät hallinnan toimenpiteet ovat perusta toimintavarmuuden kehittämiselle. Riskianalyysi voidaan tehdä ASKI.fi palvelun mukaisessa verkkopohjaisessa liiketoiminnan johtamisen työkirjassa (jatkossa työkirja) kohdassa vastuullisuus tai soveltuvin osin manuaalisesti. Riskianalyysin tarkoitus Riskianalyysi tukee yritystä sen tavoitteiden toteuttamisessa. Riskianalyysin tarkoituksena on liiketoiminnan suunnitteluun liittyen tunnistaa tuloksellisen liiketoiminnan uhkat ja näiden perusteella määrittää niistä aiheutuvat riskit sekä suunnitella tarvittavat toimenpiteet vastuineen riskien hallitsemiseksi. Riskianalyysi suositellaan toteutettavaksi koko yrityksen osalta vähintään kerran vuodessa, ellei olosuhteissa ole tapahtunut merkittäviä muutoksia. Tapauskohtainen riskianalyysi, kuten tarjouspyyntömenettelyyn liittyvä riskianalyysi, tulee toteuttaa asian niin vaatiessa. Riskianalyysin tehtävänä on tunnistaa toiminnan uhat (sisäisen ja ulkoisen toiminnan häiriötilanteet ja vaaratekijät) määrittää uhkista aiheutuvat riskit arvioida riskien todennäköisyys ja niistä aiheutuvien seurausten vakavuus luokitella riskit eli määrittää riskin riskiluku suunnitella ja päättää tarvittavat riskienhallinnan toimenpiteet, joilla riski poistetaan, estetään, rajataan, siirretään tai hyväksytään päättää riskienhallintakeinojen ja -toimenpiteiden toteutus (vastuuhenkilö ja aikataulu) seurata päätettyjen toimenpiteiden toteutusta.
Riskianalyysin toteutus Riskianalyysin vaiheita ovat: 1. uhkien tunnistaminen 2. riskien määrittäminen 3. riskien käsittely (riskianalyysilomakkeen laatiminen) riskin todennäköisyyden ja vakavuuden sekä riskiluvun määrittely riskienhallinnan toimenpiteiden määrittely toimenpiteiden takarajan määrittely vastuuhenkilöiden nimeäminen 4. riskikortin laatiminen 5. seuranta ja raportointi. Vaihe 1: Uhkien tunnistaminen Uhkien tunnistaminen tehdään etukäteen määritettyjen osa-alueiden avulla. Osa-alueet pitävät sisällään yrityksen toimintaan kohdistuvia uhkia väittämien muodossa. Osa-alueen sisällä kuhunkin väittämään vastataan kyllä / ei / ei koske meitä. Kunkin väittämän osalta on erikseen määritetty riskin laukaiseva vastaus. Työkirjassa kaikki riskin laukaisevat väittämät siirtyvät automaattisesti seuraavaan vaiheeseen riskien määrittämisen perustaksi. Vaihe 2: Riskien määrittäminen Työkirjassa kohdan yksi mukaisten vastausten perusteella riskin laukaisevat väittämät on siirretty vaiheen kaksi taulukkoon ja kuhunkin väittämään on yhdistetty oletusriski. Oletusriskin voi hyväksyä sellaisenaan, muokata sitä tai poistaa sen. Vaihe 3: Riskien käsittely Työkirjassa vaiheessa kaksi tallennetut riskit siirtyvät vaiheen kolme riskienkäsittelylomakkeelle. Kunkin riskin todennäköisyys arvioidaan taulukon 1 avulla. Työkirjassa taulukko 1 aukeaa sarakkeessa todennäköisyys ja siitä voidaan suoraan valita riskin toteutumisen todennäköisyys. Taulukko 1. Riskin todennäköisyys 1 Erittäin harvinainen Riskin tapahtuminen on erittäin epätodennäköistä (ei ole tapahtunut, mutta mahdollisuus tunnistettu) 2 Harvinainen Riskin toteutuminen on harvinaista (on joskus tapahtunut muualla) 3 Melko harvinainen Riskin toteutuminen on mahdollista (on tapahtunut joskus omassa yrityksessä tai tapahtunut muualla useammin kuin kerran) 4 Melko todennäköinen Riskin toteutuminen on todennäköistä (on odotettavissa, että tapahtuu, on tapahtunut omassa yrityksessä useasti, on ollut läheltäpiti -tilanteita 5 Erittäin todennäköinen Riskin toteutuminen on lähes varmaa (voi toteutua lähitulevaisuudessa)
Kunkin riskin vakavuus arvioidaan taulukon 2 avulla. Työkirjassa taulukko 2 aukeaa sarakkeessa vakavuus ja siitä voidaan suoraan valita riskin toteutumisen arvioitu vaikutus yrityksen toimintaan. Taulukko 2. Riskin vakavuus 1 Erittäin vähäinen 2 Vähäinen 3 Huomattava 4 Merkittävä 5 Erittäin merkittävä Riskin vaikutus on erittäin vähäinen. Toteutuessaan erittäin pieniä häiriöitä toimintaan. Ei vaikuta tavoitteiden saavuttamiseen / sopimusten toteuttamiseen Riskin vaikutus on vähäinen. Pieniä häiriöitä toiminnalle. Kaikki tai lähes kaikki tavoitteet saavutetaan / sopimukset toteutetaan. Pieniä taloudellisia menetyksiä Riskin vaikutus on huomattava. Toiminnan hidastuminen, osa tavoitteista jää saavuttamatta / sopimuksista toteuttamatta. Taloudelliset menetykset kohtalaisia Riskin vaikutus on merkittävä. Toiminnan huomattava vaikeutuminen. Suurin osa tavoitteista jää saavuttamatta / sopimuksista toteuttamatta. Merkittäviä taloudellisia vaikutuksia Riskin vaikutus on erittäin merkittävä. Toiminta lamaantuu. Tavoitteiden saavuttaminen epäonnistuu täydellisesti / sopimukset jää toteuttamatta. Todella merkittäviä taloudellisia vaikutuksia Riskiluku saadaan kertomalla riskin todennäköisyys ja vakavuus keskenään. Johtamisen työkirja laskee automaattisesti kunkin riskin riskiluvun, kun todennäköisyys ja vakavuus on määritetty. Taulukossa 3 on esitetty riskiluvun mukaiset riskitaso
Taulukko 3. Riskitaso VÄRIKOODI 1-5 Merkityksetön Riski on merkityksetön. Ei tarvitse toimenpiteitä. 6-10 Siedettävä 12-16 Kohtalainen 20 Merkittävä 25 Sietämätön Riski on siedettävä. Ennalta ehkäiseviä toimenpiteitä ei tarvita. On harkittava kustannusvaikutuksiltaan parempia ratkaisuja tai parannuksia, jotka eivät aiheuta lisäkustannuksia. Tarvitaan seurantaa, jolla varmistetaan, että riski pysyy hallinnassa. Riski on kohtalainen. Riskin pienentämiseksi on ryhdyttävä toimenpiteisiin, mutta ennalta ehkäisyn kustannukset on mitoitettava ja rajattava tarkasti. Toimenpiteet on toteutettava määrätyn ajan kuluessa. Jos riskiin liittyy erittäin haitallisia seurannaisvaikutuksia, lisäarviointi on tarpeen haitan todennäköisyyden tarkemmaksi toteamiseksi, jonka perusteella voidaan tarvittavat toimenpiteet määrittää Riski on merkittävä. Toimintaa ei pidä aloittaa tai jatkaa ennen kuin riskiä on pienennetty. Riskin pienentämiseen voidaan joutua osoittamaan huomattavia resursseja. Jos riski liittyy meneillään olevaan työhön, ongelma pitäisi korjata lyhyemmässä aikataulussa kuin kohtalaisen riskin ollessa kyseessä. Riski on sietämätön. Toimintaa ei pidä aloittaa eikä jatkaa ennen kuin riskiä on pienennetty. Jos riskin pienentäminen ei ole mahdollista, toimintaa täytyy rajoittaa tai se on keskeytettävä. Korjaavien toimenpiteiden määrittely Riskiskaalan (merkityksetön, siedettävä, kohtalainen, merkittävä, sietämätön) mukaan voidaan tarvittaessa käyttää apuna taulukkoa 4, kun arvioidaan riskienhallinnan toimenpiteiden merkitys ja kiireellisyys. Taulukko 4. Riskiasteikko määrittelee toimenpiteet eri riskiluokille 1-4 Merkityksetön Ei edellytä riskienhallintakeinojen toteuttamista. 6-10 Siedettävä Tunnistettava. Seurattava. Tarvittaessa toteutettava toimenpiteet. 12-16 Kohtalainen Tunnistettava tarvittavat toimenpiteet ja laadittava toimenpidesuunnitelma. Aikataulussa pelivaraa. 20 Merkittävä Merkittävä tarve toteuttaa mahdollisimman nopeasti uusia riskienhallinnan toimenpiteitä / keinoja. 25 Sietämätön Erittäin merkittävä tarve toteuttaa välittömästi riskienhallinnan toimenpiteitä / keinoja.
Kunkin uusia riskienhallinnan toimenpiteitä tai keinoja edellyttävän riskin kohdalla arvioidaan mitä pitää tehdä, jotta riskin riskiluokka pienenee hyväksyttävälle tasolle. Riskienhallintakeinoina ovat riskin hyväksyminen, ehkäisy, rajoittaminen, suunnittelu ja siirtäminen. Riskien käsittelyn vaihtoehdot ja toimenpiteet ovat taulukossa 5. Taulukko 5. Riskien käsittelyn vaihtoehdot ja toimenpiteet TOIMENPIDE KUVAUS Hyväksyminen Ehkäisy Rajoittaminen Suunnittelu Siirtäminen Hyväksytään riski ja jatketaan toimintaa. Seurataan. Poistetaan riskin syy tai seuraus. Rajoitetaan riskiä ottamalla käyttöön keinot, jotka vähentävät riskin vaikutusta. Hallitaan riskiä kehittämällä riskienkäsittelysuunnitelma, jolla priorisoidaan, otetaan käyttöön ja ylläpidetään tarvittavat keinot. Siirretään riski toiselle osapuolelle käyttämällä muita vaihtoehtoja menetysten kompensoimiseksi. Esimerkiksi hankkimalla vakuutus tai tekemällä sopimus. Työkirjassa kunkin riskin kohdalla näytetään tavanomaiset riskienhallinnan toimenpiteet. Näiden perusteella pitää kirjoittaa yksilöidyt omaa yritystä koskevat toimenpiteet Toimenpiteiden määräajan asettaminen Kunkin riskin osalta määritetään toimenpiteiden määräaika (takaraja). Työkirjassa määräajan asettaminen tapahtuu solussa avautuvan kalenterin avulla. Vastuuhenkilön nimeäminen Kunkin riskin osalta määritetään vastuuhenkilö, joka vastaa riskienhallinnan toimenpiteistä ja raportoinnista. Vaihe 4: Riskikortin laatiminen Kustakin toimenpiteitä aiheuttavasta riskistä voidaan laatia riskikortti, johon voidaan tarkentaa analyysiin kirjattuja asioita. Johtamisen työkirjasta voidaan suoraan analyysilomakkeelta muodostaa riskikohtainen riskikortti. Riskikorttiin tulostuu riskianalyysilomakkeelle kirjatut tiedot ja näitä tietoja voidaan edelleen täydentää tai muuttaa riskikortissa. Vaihe 5: Seuranta ja raportointi Kun riskien arviointi on suoritettu ja suositeltavat riskienhallinnan toimenpiteet ja keinot on määritelty, tulokset dokumentoidaan ja taltioidaan. Riskianalyysilomakkeet ja riskikortit tukevat johtamista ja auttavat tekemään päätöksiä tarvittavista toimenpiteistä ja luovat edellytyksiä päätettyjen toimenpiteiden seurantaan. Järjestelmästä voidaan tulostaa ilmoitus systemaattisen riskienhallinnan menettelyn käytöstä.