Kuinka tehdä riskiarviointi

Riskiarviointi on jäsennelty prosessi, jonka avulla tunnistetaan tavoitteisiin vaikuttavat riskit, arvioidaan niiden vakavuus ja päätetään, miten niihin reagoidaan. Ydinprosessi on sama riippumatta siitä, arvioidaanko kyberturvallisuutta, työturvallisuutta, projektin riskejä vai liiketoimintariskejä.

Riskienhallinnan globaali standardi on ISO 31000:2018. Se kuvaa yleisen prosessin (tunnista, analysoi, arvioi, käsittele, seuraa), joka soveltuu mille tahansa organisaatiolle ja minkä tahansa tyyppisille riskeille. Se ei ole sertifioitavissa, mutta se on viitekehys, jolle muut standardit (ISO 27001, NIS2, DORA) rakentuvat.

Ruotsissa järjestelmällinen työympäristön hallinta (SAM) on säädelty Ruotsin Työympäristöviraston asetuksella AFS 2001:1. Työnantaja on velvollinen jatkuvasti tutkimaan, arvioimaan, käsittelemään ja seuraamaan työympäristöä — ei kertaluonteisena projektina, vaan jatkuvana syklinä.

Riskiarvioinnin on oltava kirjallinen (kun yrityksessä on yli kymmenen työntekijää), tarkistettava vähintään vuosittain ja aina ennen merkittäviä muutoksia: uudet laitteet, uusi organisaatio, uudet tehtävät, muutto tai työtä koskevat hankinnat.

• Tutki

  Kartoita työolosuhteet. Turvallisuuskierrokset, henkilöstökyselyt, sairauspoissaolotilastot ja tapahtumailmoitukset ovat tyypillisiä lähteitä.

• Arvioi

  Arvioi jokainen tunnistettu riski todennäköisyyden ja vakavuuden perusteella. Fyysiset, ergonomiset, kemialliset, biologiset, psykososiaaliset ja organisatoriset riskit tulee kaikki kattaa.

• Käsittele

  Kirjallinen toimenpidesuunnitelma, jossa on toimenpide, omistaja, määräaika ja seuranta. Kaikki heti korjaamattomat asiat kirjataan suunnitelmaan.

• Seuraa

  Tarkista, että toimenpiteet toteutettiin ja niillä oli haluttu vaikutus. Tarkista arviointi muutoksen yhteydessä tai vähintään vuosittain.

Turvallisuusedustajan osallistuminen on pakollista. Jos yrityksellä on turvallisuusedustaja, hänet on otettava mukaan arviointiin (Ruotsin Työympäristölaki, luku 6 § 4). Dokumentaation on oltava Työympäristöviraston tarkastettavissa.

Työpaikan riskit ja tietoturvariskit limittyvät usein (esim. stressi häiriötilanteissa, GDPR-vaatimukset työpaikan seurannan osalta). Yhdistetty arviointi säästää aikaa — mutta edellyttää poikkifunktionaalista asiantuntemusta.

• Johdon tuki

  Riskiarviointi ilman johdon tukea jää dokumentiksi, jota kukaan ei lue. Varmista, että johdossa on joku, joka omistaa prosessin. Toimitusjohtajan allekirjoittama yksisivuinen riskienhallintapolitiikka riittää.

• Määrittele laajuus

  Mitä arvioidaan? Koko liiketoiminta, tietty alue, projekti vai tietty prosessi (esim. henkilötietojen käsittely)?

• Määrittele riskinkantokyky

  Mitkä riskit olet valmis hyväksymään? Mitkä vaativat toimenpiteitä? Kirjoita kolme tai neljä tasoa (esim. pisteet 1–3 = hyväksy, 4–7 = seuraa, 8–14 = toimenpidesuunnitelma, 15–25 = välitön toimenpide).

• Kokoa oikeat ihmiset

  Yhden henkilön tekemä riskiarviointi on yhden henkilön mielipide. Kutsu mukaan 3–6 avainhenkilöä eri näkökulmista: operatiivinen toiminta, talous, IT, asiakasomistajuus.

Tämä on tärkein vaihe. Tunnistamatta jäänyt riski on vaarallisempi kuin virheellisesti arvioitu.

Joitakin riskien tunnistamisen tekniikoita:

• Jäsennelty aivoriihityöskentely

  Kokoa ryhmä ja käy läpi liiketoiminta-alue kerrallaan. Kysy: "Mitä täällä voi mennä pieleen?"

• Tekoälyllä generoidut ehdotukset lähtökohtana

  RiskNoten kaltaiset työkalut käyttävät tekoälyä ehdottamaan 5 toimialakohtaista riskiä per analyysi. Hyödyllinen sellaisten riskien havaitsemiseen, joita et ole aiemmin kohdannut.

• Tarkastele aiempia tapahtumia

  Mitä on aiemmin mennyt pieleen? Sinulle, kilpailijoille, toimialalla?

• Tarkista vakioluettelot

  ISO 27005 sisältää luetteloita tyypillisistä tietoturvariskeistä. Työturvallisuusmääräyksissä on esimerkkejä työpaikan riskeistä. Käytä tarkistuslistoina.

• Prosessin läpikäynti

  Käy kriittinen prosessi läpi vaihe vaiheelta (esim. laskutus, rekrytointi, järjestelmän ylläpito) ja kysy: "Mitä täällä voi mennä pieleen?"

Arvioi jokaisen tunnistetun riskin todennäköisyys ja seuraus. Vakiokäytäntö on 5x5-matriisi (todennäköisyys 1–5 × seuraus 1–5 = pisteet 1–25).

Oleellista on asteikon johdonmukainen soveltaminen. Määrittele jokainen taso etukäteen, jotta kaikki arvioijat käyttävät samaa ymmärrystä.

• Todennäköisyys 1–5

  1 = harvinainen (kerran 10 vuodessa), 3 = mahdollinen (kerran 2–3 vuodessa), 5 = lähes varma (useita kertoja vuodessa).

• Seuraus 1–5

  1 = merkityksetön (hoidetaan normaalissa toiminnassa), 3 = kohtalainen (vaatii johdon väliintuloa), 5 = katastrofaalinen (olemassaoloa uhkaava).

• Arvioi ryhmässä

  Yhden henkilön arviointi on subjektiivinen. Ryhmässä saadaan vivahteikkuutta ja konsensus.

• Dokumentoi perustelut

  Kirjoita yksi rivi siitä, miksi valitsit tietyn T- ja S-arvon. Auttaa myöhemmässä tarkastuksessa.

Kun jokaiselle riskille on pisteet, vertaa niitä riskinkantokykyyn. Kriittiset riskit (esim. pisteet 15–25) vaativat välittömän toimenpidesuunnitelman. Korkeat riskit (8–14) tarvitsevat jäsennellyn vasteen. Keskiluokkaiset ja matalat voidaan asettaa seurantaan.

Varo mustia joutsenia — riskejä, joiden todennäköisyys on matala mutta seuraukset katastrofaalisia (T=1, S=5 antaa pisteet 5, mikä näyttää matalalta mutta voi olla olemassaoloa uhkaava). Käytä laadullista harkintaa pelkkien pisteiden sijaan.

• Hyväksy

  Riski on kantokyvyn rajoissa. Dokumentoi ja jatka eteenpäin.

• Pienennä (lieventäminen)

  Ryhdy toimenpiteisiin todennäköisyyden tai seurauksen pienentämiseksi. Yleisin valinta. Dokumentoi toimenpide, omistaja ja määräaika.

• Siirrä

  Vakuutus, ulkoistaminen tai sopimukselliset lausekkeet, jotka siirtävät riskin. Huomio: joitakin riskejä (esim. maine) ei voi siirtää.

• Vältä

  Kieltäydy toiminnasta, joka luo riskin. Toisinaan ainoa järkevä valinta.

Riskit muuttuvat. Uusia ilmaantuu, vanhat käyvät tarpeettomiksi ja toimenpiteet muuttavat kokonaisuutta. Riskiarviointi on perishable.

Käytäntö: neljännesvuosittainen tarkistus operatiivisille riskeille, vuosittainen strategisille. Projektiriskit päivitetään sprintin tai ohjausryhmäkokouksen mukaan. Merkittävän muutoksen yhteydessä (uusi toimittaja, sääntelymuutos, järjestelmänvaihto) aloitetaan aina uusi kierros.