Sisältöön

Riskienhallinta - SecMeter

Ohita valikko
Ohita valikko

Riskienhallinta

Yritysturvallisuus > Riskienhallinta
Riskienhallinta



Riskienhallinta on laajempi prosessi, kuin uhkien todennäköisyyksien arviointi. Se on myös päätöksentekoa, toimenpiteitä ja epävarmuuksiin liittyvää viestintää.

Riskienhallinta tulee ymmärtää yrityksen johdon strategisen ajattelun tukena. Riskienhallinta-ajattelu keskittyy liiketoiminnan uhkien ja mahdollisuuksien arviointiin sekä valintojen perusteluun epävarmuuden keskellä.

Riskienhallinta on myös yrityksen turvallisuuskulttuurin rakentaja. Se edistää avointa ja järjestelmällistä suhtautumista epävarmuuksiin sekä integroituu arjen päätöksentekoon siten, että se ei ole erillinen prosessi.

Yleinen harhaluulo on, että riskienhallintaprosessi varmistaa yrityksen jatkuvuuden yllättävissä tilanteissa. On virheellistä ajatella, että riskienhallintaprosessin avulla voitaisiin ennustaa ja hallita eteen tulevia yllättäviä tapahtumia.

Toinen yleinen harhaluulo on, että riskienhallinta takaa turvallisuuden. On tärkeää ymmärtää, että riskienhallinta ei ole tae turvallisuudesta tai toiminnan jatkuvuudesta.

Riskienhallintaprosessin tulos perustuu arvioijan subjektiivisiin käsityksiin ja näkemyksiin, minkä vuoksi sen tuottamat tulokset vaihtelevat arvioijan mukaan.

Hyvin hoidettu riskienhallinta voi kuitenkin luoda yritykseen turvallisuuskulttuurin, jossa epävarmuuksia ei pelätä, vaan niihin varaudutaan suunnitelmallisesti.

Yrityksen kohdatessa yllättävän tapahtuman, selviytyminen ei riipu riskienhallinnasta, vaan monesta muusta tekijästä, kuten organisaation sopeutumiskyvystä, johtajuudesta, tilannekuvasta, päätöksenteon nopeudesta ja työntekijöiden sitoutuneisuudesta.

Tämän johdosta yrityksen ei kannata käyttää tarpeettomasti aikaa todennäköisyyksien ja frekvenssien ennustamiseen. Toimeliaisuus kannattaa suunnata toimintojen tavoitteita uhkaavien riskien arviointiin ja riittävään resilienssiin.

Parasta riskienhallintaa on ylläpitää yrityksen toimintojen riittävää resilienssiä. Resilienssillä tarkoitetaan yrityksen toimintojen kykyä kohdata toimintaympäristössä tapahtuvia ennakoimattomia muutoksia ja yllättäviä epäsuotuisia tapahtumia.
Tehtävälista
  1. Aloita johdon sitouttamisesta ja vastuunjaosta varmistamalla johdon tuki ja ymmärrys riskienhallinnan merkityksestä.
  2. Nimeä vastuuhenkilö tai -tiimi (esim. riskienhallintapäällikkö).
  3. Määrittele roolit ja vastuut (kuka omistaa prosessin, kuka omistaa riskit, kuka toteuttaa käytännön työn).
  4. Tee nykytilan kartoitus.
  5. Selvitä mitä riskienhallintaa on jo tehty (esim. vakuutukset, auditoinnit, suunnitelmat).
  6. Arvioi yrityksen kypsyystaso riskienhallinnassa (esim. perus, kehittyvä, systemaattinen).
  7. Suunnittele riskienhallintaprosessi. Laadi kevyt ja selkeä prosessi, joka sisältää riskien tunnistamisen, arvioinnin, hallintakeinot ja seurannan..
  8. Osallista liiketoiminta mukaan..
  9. Kokoa avainhenkilöt eri liiketoiminta-alueilta..
  10. Varmista, että riskejä tarkastellaan liiketoimintojen omasta ja koko yrityksen tavoitteiden näkökulmasta.
  11. Tunnistakaa ja priorisoikaa riskit, jotka uhkaavat yrityksen ja liiketoimintojejn tavoitteita.
  12. Laatikaa riskikartta tai -matriisi avainriskien tunnistamiseksi.
  13. Priorisoikaa avainriskit.
  14. Määritelkää hallintatoimet ja aloittakaa käytännön työ avainriskeistä (vältetään, vähennetään, siirretään, hyväksytään).
  15. Aloittakaa avainriskeistä, jotka eivät vaadi investointeja ja ovat helposti toteutettavissa.
  16. Valmistautukaa jatkuvaan vuotuiseen seurantaan luomalla malli riskien ja toimenpiteiden seurannalle esimerkiksi tulossuunnittelun yhteydessä, jossa tavoitteet määritellään.

Asia COSO ERM FERMA IRM ISO 31000 Kehittäminen Tarkastuslista
Riskienhallintaa voidaan luonnehtia navigoinniksi, jossa edetään kohti satamaa (määränpäätä) karikoita vältellen. Keskeisintä on pitää vauhti hallinnassa ja katse riittävän kaukana horisontissa, jotta eteen tulevat karikot voidaan havaita ja väistää ajoissa. Aina tämä ei onnistu.

Konkurssi ei välttämättä johdu riskienhallinnan laiminlyönnistä, vaan usein myös liiallisesta liiketaloudellisesta riskinotosta, virheellisistä strategisista näkemyksistä ja niihin perustuneista päätöksistä. Viimeistään konkurssi osoittaa yritykselle, että riskienhallinta ei ole toiminnan jatkuvuuden tae.

Yritysten toiminnot tuottavat suoritteita optimaalisissa suotuisissa olosuhteissa kohtuullisesti, mutta pienetkin arkipäiväiset häiriöt, kuten ongelmat tietojärjestelmissä, tietoliikenteessä, sähköntuotannossa tai henkilöstöresursseissa, voivat aiheuttaa merkittäviä operatiivisia häiriöitä.

Laajamittainen ulkoistaminen on heikentänyt monien yritysten kykyä hallita riippuvuuksia ja varmistaa operatiivisten toimintojen jatkuvuus. Usein varajärjestelyt eivät toimi odotetusti, eikä tilanteita korjaamaan ole riittävästi osaavaa henkilöstöä.

Resilienssi, ehkä keskeisin riskienhallinnan osa-alue on jäänyt liian vähälle huomiolle. Tämä on johtanut krooniseen ja vaaralliseen haavoittuvuuteen, joka koskettaa koko suomalaista yhteiskuntaa.

Riittävä resilienssi saadaan aikaan varautumalla epäsuotuisiin tapahtumiin. Varautuminen tuottaa tarvittavan redundanssin, joka on välttämätöntä toimintojen jatkuvuuden turvaamiseksi.

Redundanssia kasvattavat esimerkiksi tietojärjestelmien kapasiteetin ylimitoitus, varaosat ja varajärjestelmät, etätyömahdollisuus, toimintojen hajauttaminen, epäsuotuisat tilanteet huomioivat riittävät henkilöresurssit ja vaihtoehtoiset toimintatavat. Eli kaikki se ylimäärä mikä yrityksissä ja julkishallinnossa on saneerattu pois.

Riskienhallinnan merkitystä yrityksen kilpailukyvylle on usein liioiteltu. Väite, että riskienhallinta on avain menestykseen, on harhaanjohtava, mikään yksittäinen prosessi, ei edes riskienhallinta, takaa kilpailukykyä tai suojaa konkurssilta.

Riskienhallinnan integroiminen yrityksen tulossuunnitteluprosessiin
Nykyisessä liiketoimintaympäristössä yritykset kohtaavat jatkuvasti monenlaisia riskejä, jotka voivat vaikuttaa niiden taloudelliseen suorituskykyyn ja strategisten tavoitteiden saavuttamiseen. Näiden haasteiden vuoksi riskienhallinta on noussut keskeiseksi osaksi yritysten päätöksentekoa ja suunnittelua.

Erityisesti riskienhallinnan integroiminen yrityksen tulossuunnitteluprosessiin mahdollistaa kokonaisvaltaisen näkemyksen yrityksen toiminnasta ja parantaa päätöksenteon laatua.

Riskienhallinnan rooli tulossuunnittelussa
Tulossuunnittelu on prosessi, jossa yritys asettaa taloudelliset tavoitteensa, budjetoi toimintansa ja arvioi tulevaisuuden suoriutumistaan. Perinteisesti tulossuunnittelu keskittyy ennusteisiin ja tavoitteisiin, jotka perustuvat oletettuihin markkinaolosuhteisiin ja sisäisiin resursseihin.

Ilman riskienhallinnan näkökulmaa nämä suunnitelmat voivat jäädä liian optimistisiksi tai kapea-alaisiksi. Riskienhallinta tuo tähän prosessiin tarvittavan varovaisuuden ja joustavuuden, sillä se auttaa tunnistamaan, arvioimaan ja hallitsemaan mahdollisia uhkia ja epävarmuustekijöitä.

Kun riskit otetaan huomioon tulossuunnittelussa, yritys voi esimerkiksi varautua liiketoiminnan häiriöihin, raaka-aineiden hintavaihteluihin tai regulaatioiden muutoksiin. Tämä mahdollistaa realistisempien ja joustavampien talousennusteiden tekemisen sekä paremman varautumisen muuttuvaan liiketoimintaympäristöön. Lisäksi riskienhallinta auttaa priorisoimaan investointeja ja resursseja siten, että riskien vaikutukset minimoidaan.

Riskienhallinnan integroinnin hyödyt
Integroitu riskienhallinta ja tulossuunnittelu lisäävät yrityksen kykyä saavuttaa strategiset tavoitteensa. Ensinnäkin se parantaa tiedon läpinäkyvyyttä ja kommunikointia eri liiketoimintayksiköiden välillä. Riskienhallinnan tiedot tuodaan osaksi taloussuunnittelua, mikä tekee prosessista holistisemman ja paremmin linjassa yrityksen kokonaisstrategian kanssa.

Toiseksi riskien hallinta voi nostaa yrityksen kilpailukykyä ja vahvistaa sidosryhmien luottamusta. Sijoittajat, asiakkaat ja yhteistyökumppanit arvostavat yrityksiä, jotka osoittavat kykynsä tunnistaa ja hallita riskejä ennakoivasti. Lisäksi integroitu prosessi vähentää yllätyksiä ja parantaa reagointikykyä, mikä voi säästää merkittäviä kustannuksia ja ehkäistä kriisitilanteita.

Käytännön toimenpiteet riskienhallinnan integroimiseksi
Toimintojen tavoitteita uhkaavat riskiskenaariot ja niiden hallintatoimenpiteet on käsiteltävä samassa yhteydessä, jossa liiketoimintojen tavoitteet asetetaan, eli osana tulossuunnitteluprosessia.

Tulossuunnittelun yhteydessä yrityksen johto määrittää liiketoiminnoille tavoitteet, jotka pohjautuvat yrityksen strategisiin linjauksiin. Liiketoiminnot laativat omat suunnitelmansa siten, että ne tukevat näiden strategisten tavoitteiden saavuttamista. Samalla niiden tehtävänä on arvioida tavoitteiden toteutumista uhkaavia riskejä, erityisesti niin sanottuja avainriskejä.

Yrityksen johto muodostaa näiden riskiarvioiden pohjalta kokonaiskuvan strategian toteutumista uhkaavista tekijöistä ja määrittää tarvittavat hallintatoimenpiteet. Nämä toimenpiteet raportoidaan edelleen yrityksen hallitukselle.

Riskienhallinnan tehokas integrointi tulossuunnitteluun edellyttää systemaattista ja johdonmukaista toimintatapaa. Ensinnäkin yrityksen tulee luoda selkeät menettelytavat riskien tunnistamiseen ja arviointiin osana budjetointia ja talousennustamista. Tämä voi tarkoittaa esimerkiksi säännöllisesti toteutettavia riskikartoituksia, joissa huomioidaan sekä sisäiset että ulkoiset riskitekijät.

Toiseksi riskienhallinnan havainnot ja suositukset tulee kiinteästi liittää tulossuunnittelun dokumentaatioon ja päätöksentekoon. Tämä voi tapahtua muun muassa riskiraporttien ja skenaarioanalyysien avulla, joita hyödynnetään budjettien ja strategisten suunnitelmien laadinnassa. Lisäksi yrityksen sisäisen viestinnän ja koulutuksen merkitys korostuu, koska riskienhallinnan periaatteiden on oltava laajasti tunnettuja ja käytännön toimintaan juurtuneita yrityksen kaikissa toiminnoisa.



Riskienhallinta ei poista yllätyksellisyyttä
Järjenvastaisiltakin vaikuttavilla tapahtumilla on taipumus toteutua. Todellisuus on usein monimutkaisempi kuin riskiarviot antavat ymmärtää. Sekä odottamattomat menestykset että kriisit muistuttavat siitä, että yllättäviä tapahtumia voi ja tulee tapahtumaan, jopa silloin, kun niitä ei pidetä todennäköisinä.

Yksi riskienhallinnan keskeisistä rajoitteista on sen perustuminen olemassa olevaan tietoon ja arvioijan näkemyksiin. Täysin ennakoimattomiin tilanteisiin ei näin ollen voida varautua etukäteen. Yllättävää kyllä, tämä on monelle yritysjohtajalle yllätys. Mikään menetelmä ei mahdollista kaikkien yllätysten ennakoimista, sen sijaan yrityksen resilienssi voi auttaa niistä selviytymisessä.

Mahdollisuuksilla on rajansa
Riskienhallinta voi tarjota ratkaisuja vain rajalliseen joukkoon riskejä, jotka perustuvat subjektiiviseen arvioon uhkapotentiaalista. Suurin osa yrityksen mahdollisista haavoittuvuuksista jää usein kokonaan tunnistamatta. Lisäksi edes tunnistettuihin riskeihin kohdistetuilla hallintatoimenpiteillä ei välttämättä pystytä estämään kaikkia epäsuotuisia kehityskulkuja.

Keskeisimmät riskienhallintastandardit

  • Riskienhallinnan kansainvälinen standardi ISO 31000:2009
  • Tietoturvallisuuden kansainvälinen riskinhallintastandardi ISO/IEC 27005:2008

Mikä on riskienhallintatyön tehtävä?
Riskienhallintatyön tehtävänä on tunnistaa ja analysoida yrityksen tavoitteita vaarantavat epäsuotuisat kehityssuunnat (haavoittuvuudet) ja tehdä päätökset niitä koskevista hallintatoimenpiteistä. Joissakin tapauksissa riskienhallinta perustuu lainsäädäntöön, kuten kyberturvallisuuslakiin, jolloin lainsäädäntö asettaa yrityksen riskienhallinnalle velvoitteita, jotka on täytettävä.

Kun riskienhallintaa tarkastellaan lainsäädännön ulkopuolella, sen käytännön toimenpiteet kohdistuvat erityisesti liiketoimintojen avainriskeihin. Jokaisesta tunnistetusta riskiskenaariosta on tehtävä riskienhallintapäätös. Avainriskien osalta on laadittava suunnitelmat epäsuotuisien kehityskulkujen hallinnasta ja huolehdittava niiden toimeenpanosta.

Mitä riskeillä tarkoitetaan?
Riski on vaikuttavuus (vaara menettää kokonaan tai osittain päämääräksi asetettu tavoite), joka syntyy tunnistetun riskiskenaarion (haavoittuvuuden) toteutuessa.

Miten riskit kehittyvät?
Ajantasaisen ja realistisen tilannekuvan ylläpito on parasta riskitietoisuutta. Riskejä voi kehittyä, jos yritys ei ole selvillä toimintojen tavoitteita vaarantavista haavoittuvuuksista, joita aiheuttavat esim.

  • epärealistiset aikatauluvaatimukset
  • huomiotta jääneitä asiakastarpeet
  • koordinaation puutteet
  • laillisuuspuutteet
  • osaamiseen liittyvät puutteet
  • resurssipula
  • toiminnan tehottomuus
  • kustannustehottomuus
  • toimintaympäristön epävakaus
  • turvallisuuspuutteet.

Perinteisen riskienhallintatyön ydinprosessi on riskianalyysi
Riskianalyysin tehtävänä on tunnistaa riskit ja arvioida kunkin riskin todennäköisyys sekä vakavuus. Riskin vakavuudella tarkoitetaan kvalitatiivisessa analyysissä esimerkiksi toiminnallista (operatiivista) haittaa, kun taas kvantitatiivisessa analyysissä arvio perustuu usein rahalliseen arvoon.

Riskianalyysin keskeiset heikkoudet

Subjektiivisuus ja menneisyyspainotteisuus
Riskianalyysit perustuvat usein arvioijien subjektiivisiin näkemyksiin, jotka pohjautuvat menneeseen, vaikka riskienhallinnan tulisi katsoa tulevaisuuteen. Jos tulevaisuus toistaisi menneisyyttä, ei uusia riskianalyysejä tarvittaisi lainkaan. Todellisuudessa tulevaisuus on epävarma, ja tämä epävarmuus, jota kutsutaan usein yllätykseksi, tekee riskianalyysistä haastavan.

Ennustettavuuden rajoitteet
Tulevaisuuden kehityskulkuja ei voida koskaan tietää varmuudella etukäteen. Tämä tekee riskianalyyseistä väistämättä vajavaisia ja osoittaa, että kaikkia riskejä ei voida tunnistaa tai arvioida ennakolta. Tämän seurauksena kaikki riskiarviot sisältävät väistämättä virheellisyyksiä tai epävarmuutta.

Aikajänteen epämääräisyys
Riskianalyyseissä jätetään usein määrittelemättä, mitä ajanjaksoa arvio koskee. Arvioinnin tulisi kohdistua konkreettisesti tulevaan:

  • Operatiivisia riskejä tulisi tarkastella vuositasolla ja toimintokohtaisesti.
  • Strategisia riskejä on johtoryhmän arvioitava vuosittain tulevalle kalenterivuodelle sekä suhteessa koko strategiakauteen.
  • Menneeseen tai meneillään olevaan kauteen ei ole tarkoituksenmukaista tehdä uutta riskianalyysiä, koska siihen ei voida enää vaikuttaa.

Riskiskenaarion eskaloituminen
Jos riskiskenaarion etenemistä ei havaita ja hallita riittävän varhaisessa vaiheessa, se voi eskaloitua uhkatilanteesta aina katastrofitilanteeksi saakka.

uhkatilanne > häiriötilanne > keskeytystilanne > kriisitilanne > katastrofitilanne

Mitkä ovat riskienhallinnan keskeiset kysymykset?

  • Mikä on riskienhallinnan tehtävä?
  • Miten riskienhallinta on organisoitu?
  • Millainen riskienhallintaprosessi on?
  • Miten riskienhallintaprosessi on jalkautettu?
  • Mitä riskejä riskienhallintaprosessiin on sisällytetty?
  • Mitä riskillä tarkoitetaan?
  • Mitä avainriskeillä tarkoitetaan?
  • Mikä on yrityksen riskinkantokyky?
  • Mikä on yrityksen riskinottohalu?
  • Miten riskiraportointi on järjestetty?
  • Miten poikkeamat raportoidaan?

Mitkä ovat riskianalyysin keskeiset kysymykset?

  • Mitkä ovat yrityksen ja sen toimintojen tavoitteet?
  • Mitkä riskiskenaariot (haavoittuvuudet) voivat vaarantaa tavoitteiden toteutumisen?
  • Mikä on yksittäisten riskien vaikuttavuus asetettuun tavoitteeseen?
  • Miten tavoitteita vaarantavat riskiskenaariot (haavoittuvuudet) voidaan estää tai niiden vaikuttavuutta vähentää?

Risk Management by the Natural Method (RMNM)
Muodollinen riskienhallintaprosessi ei ole välttämätön edellytys toimivalle yritysjohtamiselle. Yritysjohto tekee useimmiten liiketoimintaa tukevia ja perusteltuja päätöksiä ilman erillistä, systemaattista riskienhallintamenettelyä.

Riskien arvioinnissa tulee muistaa, että riskit ja inhimillinen toiminta kuuluvat aina yhteen. Riskejä on käytännössä loputon määrä, ja jokainen päätös sisältää riskin. Kaikkien riskien ennakointi ja hallinta on mahdotonta.

Useissa yrityksissä riskienhallinta toteutetaan vain muodollisten vaatimusten vuoksi, jolloin se näyttäytyy työntekijöille raskaana ja hyödytöntä lisätyötä tuottavana prosessina. Kriisitilanteet ovat osoittaneet, että monimutkaisista riskienhallintamenettelyistä ei ole ollut apua, kun taas ruohonjuuritason havainnot ja nopea reagointi olisivat voineet estää ongelmien kärjistymisen.

RMNM:n perusajatus
Risk Management by the Natural Method (RMNM) perustuu käsitykseen, että vastuun kantamiseen sisältyy luonnostaan myös riskienhallinta. RMNM ei ole muodollinen riskien kuvantamismenetelmä, vaan päätös tehostaa riskienhallintaa hajauttamalla vastuu koko organisaatioon ja karsimalla turhaa byrokratiaa ja menetelmäpainolastia. Riskienhallinta syntyy tiedon ja järkiperäisen ajattelun vuorovaikutuksesta, eikä se aina vaadi teknisiä tai muodollisia menetelmiä. Ihmisillä on luonnollinen kyky tunnistaa ja arvioida riskejä. Tämä perustuu:

  • kokemukseen,
  • henkilökohtaiseen näkemykseen,
  • ja aiemmin koettuihin ongelmatilanteisiin.

Kenelle RMNM sopii?
RMNM tarjoaa erityisesti pienille ja keskisuurille yrityksille vaihtoehdon, joka ei edellytä raskaita standardeja tai dokumentaatiota. Menettely vapauttaa yritysjohdon muodollisten vaatimusten paineesta ja antaa mahdollisuuden keskittyä päätöksenteon yhteydessä tapahtuvaan riskienhallintaan ilman keinotekoisia rajoitteita.

Kvalitatiivinen (laadullinen) riskianalyysi
Kvalitatiivisessa riskianalyysissä riskin vaikuttavuudella tarkoitetaan yleensä tavoitteen vaarantaa operatiivista haittaa, jonka riskiskenaarion (haavoittuvuuden) toteutuminen aiheuttaa. Kvalitatiivisessa riskianalyysissä luvuilla ei suoriteta (ei saa suorittaa) matemaattisia operaatioita.

Mitä informaatiota kvalitatiivisen riskiskenaarion tulee sisältää?
Riskiskenaario (haavoittuvuus) on subjektiivinen käsitys epäsuotuisasta tapahtumienkulusta ja sen vaikuttavuudesta tavoitteeseen. Riskiskenaario kuvaa seuraavat kolme asiaa:

  • Toiminnon asettaman tavoitteen, jonka toteutumisen riskiskenaario vaarantaa.
  • Epäsuotuisan vaikutusmekanismin kuvauksen, joka kohdistuu tavoitteeseen. Riskianalyysissä riskiskenaarion todennäköisyys ilmaistaan asteikolla 1-5.
  • Vaikuttavuuden ankaruuden kuvauksen, joka aiheutuu riskiskenaarion toteutuessa. Riskianalyysissä riskin vaikuttavuus tavoitteeseen ilmaistaan asteikolla 1-5.

Kvantitatiivisen riskianalyysin käyttökelpoisuus ja rajoitteet
Kvantitatiivinen riskianalyysi on käyttökelpoinen työkalu ainoastaan tietyissä erikoistilanteissa, kuten investointi-, sopimus- ja vastuuriskien arvioinnissa. Näissä tilanteissa riskien rahallinen vaikuttavuus on selkeästi määritettävissä ja analysoitavissa.

Kvantitatiivisessa riskianalyysissä riskin vaikuttavuus tarkoittaa nimenomaan taloudellista kustannusvaikutusta. Riskiä mitataan joko vuotuisena tai hankekohtaisena taloudellisena menetyksenä.
Yleensä "frekvenssiä" käytetään todennäköisyyden sijasta, etenkin kvantitatiivisemmassa turvallisuuslaskennassa. Tämä lähestymistapa perustuu yksinkertaistettuun kaavaan:

Riski = vuotuinen tapahtumafrekvenssi × vuotuinen menetysarvo
Esimerkki: R = 0,4 × 100 000 = 40 000 €

Tässä esimerkissä oletetaan, että riskiskenaario toteutuu neljä kertaa kymmenessä vuodessa ja aiheuttaa vuosittain 100 000 euron suuruisen menetyksen.

Riskienhallinnan tarkentaminen kontrollien vaikutuksilla
Menetysarvon arviointia voidaan tarkentaa huomioimalla olemassa olevien kontrollien riskiä vähentävä vaikutus:

Riski = frekvenssi × menetysarvo × nykyisten kontrollien vaikutus
Esimerkki: R = 0,4 × 100 000 × 0,8 = 32 000 €

Tässä kontrollien vaikutus (eli kattavuus) on 20 % täydellisestä kontrollitasosta. Jos yritys suunnittelee uusia hallintatoimia, kaavaan voidaan lisätä myös suunniteltujen kontrollien vaikutus:

Riski = frekvenssi × menetysarvo × nykyisten kontrollien vaikutus × suunniteltujen kontrollien vaikutus
Esimerkki: R = 0,4 × 100 000 × 0,8 × 0,4 = 12 800 €

Tämä tarkoittaa, että jäännösriski, eli kontrollien jälkeen jäljelle jäävä riski on 12 800 euroa. Yrityksen tulee arvioida, onko tämä jäännösriski hyväksyttävissä suhteessa sen riskinkantokykyyn.

Kvantitatiivisen riskianalyysin keskeinen ongelma
Kvantitatiivisen analyysin suurin haaste liittyy syöttöarvojen epävarmuuteen. Usein käytetyt todennäköisyys- ja vaikutusarviot perustuvat oletuksiin, eivät faktoihin. Näin ollen riskiarviot voivat pohjautua enemmän kuvitelmiin kuin todelliseen tietoon. Tätä ongelmaa kuvaa tietojenkäsittelystä tuttu ilmiö:

  • GIGO, Garbage In, Garbage Out (jos syötetään epäluotettavia lähtöarvoja, myös lopputulos on epäluotettava).

Ongelmana ei siis ole ajattelu itsessään, vaan se, että kuvittelemme liian varmoina asioita, joista meillä ei ole riittävää tietopohjaa. Kvantitatiivisessa riskianalyysissä virhearviot kasvavat lineaarisesti, eksponentiaalisesti ta kompensoivat toisiaan..



Yllä kuvassa viivadiagrammissa näkyy, miten pelkästään todennäköisyyden arviointivirhe vaikuttaa riskin suhteelliseen virheeseen, kun menetysarvio on tarkka (0 % virhettä). Käyrä on lineaarinen, koska riski on suoraan verrannollinen todennäköisyyteen.

Esimerkiksi:

  1. Jos todennäköisyys yliarvioidaan 30 %:lla, myös riskin arvio kasvaa noin 30 %.
  2. Jos todennäköisyys aliarvioidaan 40 %:lla, riskin arvio on noin 40 % liian pieni.




Yllä kuvassa nähdään, miten riskin suhteellinen virhe muuttuu, kun vain menetysarviossa on virhe ja todennäköisyysarvio on tarkka.

Tulokset ovat jälleen lineaarisia:

  1. Menetysarvion 50 % yliarvio johtaa 50 % yliarvioon riskissä.
  2. 30 % aliarvio johtaa 30 % aliarvioon riskissä.

Mitä tapahtuu, jos todennäköisyys ja vaikutukset arvioidaan liian korkeiksi
Jos molemmat arviot osoittautuvat liian suuriksi riskianalyysiin syntyy merkittävä virhe potenssiin. Tämä johtuu siitä, että riskin suuruus määritellään kaavalla:

Riski = Todennäköisyys × Vaikutus

Jos molemmat tekijät on arvioitu yläkanttiin, kokonaisriski kasvaa eksponentiaalisesti eikä vain lineaarisesti, varsinkin jos näitä käytetään myöhemmin päätöksenteon tai resurssien allokoinnin perusteena.

Esimerkki:

  • Oikea todennäköisyys: 0,1 (10 %)
  • Oikea vaikutus: 5 (esimerkiksi euroina miljoonaa)
  • Oikea riski = 0,1 × 5 = 0,5

Mutta jos molemmat arvioidaan väärin:

  • Arvioitu todennäköisyys: 0,5
  • Arvioitu vaikutus: 10
  • Arvioitu riski = 0,5 × 10 = 5,0

Tämä on 10 kertaa suurempi kuin todellinen riski.


Toisin sanoen:

  • Jos yksi tekijä on yliarvioitu (todennäköisyys tai vaikutukset) virhe kasvaa lineaarisesti.
  • Jos molemmat tekijät on yliarvioitu (todennäköisyys ja vaikutukset) virhe kertautuu. Käytännössä potenssiluonteinen kasvu.
  • Jos yksi tekijä on aliarvioitu (todennäköisyys ja vaikutukset) ja toinen tekijä yliarvioitu, tulos voi olla joko ali- tai yliarvioitu riippuen virheiden suhteesta, koska ne vaikuttavat toisiinsa käänteisellä tavalla.

Riskin arvioinnin virheet kasvavat suoraan suhteessa arviointivirheisiin kummassakin komponentissa erikseen. Yhdessä nämä virheet voivat kumuloitua tai osin kumoutua, kuten alla esitetty lämpökartta osoittaa.


Yllä kuvassa lämpökartta, joka näyttää kuinka riskin suhteellinen virhe muuttuu riippuen todennäköisyyden ja menetysten arviointivirheistä. Kaavio osoittaa selvästi, miksi molempien tekijöiden arviointivirheiden yhdistelmä on kriittinen riskianalyysin tarkkuudelle.

Tulokset havainnollistavat:

  1. Jos molemmat arviot ovat pielessä samaan suuntaan (esim. molemmat yliarvioitu), riski voi kasvaa reilusti.
  2. Jos toinen on yliarvioitu ja toinen aliarvioitu, virheet voivat kumoutua.
  3. Pienetkin virheet molemmissa tekijöissä voivat johtaa merkittäviin poikkeamiin riskin arviossa.


Yllä olevasta taulukosta ilmenee, miten riskin arvioitu arvo ja virhekerroin muuttuvat eri todennäköisyyden ja vaikutuksen arviointivirheiden yhdistelmillä. Talukosta näkyy, että virhekerroin kasvaa, kun molemmat tekijät yliarvioidaan.

Riskienhallintatyön tehokkuuden mittaaminen
Riskienhallintatyön tehokkuutta voidaan mitata esimerkiksi seuraavalla kaavalla:

Tehokkuus = (hallittujen avainriskien määrä / havaittujen avainriskien määrä) × 100

Kaava kertoo, kuinka suuri prosenttiosuus havaituista avainriskeistä on saatu hallintaan. Esimerkiksi:

  • Jos havaittuja riskejä on 10 ja hallittuja 8 on tehokkuus 80 %.
  • Jos havaittuja riskejä on 10 ja hallittuja 3 on tehokkuus 30 %.

Kvantitatiivisen riskianalyysin arviointivirheiden seuraukset yritykselle
Kvantitatiivinen riskianalyysi on väline, jolla yritykset arvioivat riskejä numeerisesti, erityisesti tapahtumien todennäköisyyksiä ja niistä aiheutuvia menetyksiä. Tämä menetelmä tarjoaa tarkan ja systemaattisen tavan hallita riskejä, mutta siihen liittyy myös merkittävä virhearviointien mahdollisuus, jossa arviointivirheet voivat johtaa huomattaviin virheisiin lopullisessa riskilaskennassa. Tällaiset virheet voivat vääristää yrityksen päätöksentekoa ja johtaa vakaviin liiketoiminnallisiin seurauksiin.

Arviointivirheiden luonne
Riskin laskentakaava on yksinkertainen: riski (R) = todennäköisyys (P) × menetys (L). Jos jompikumpi komponentti arvioidaan väärin, lopullinen riskiluku vääristyy. Arviointivirhe voi olla joko yliarviointi tai aliarviointi, ja virhe voi syntyä joko todennäköisyyden tai menetysarvion puolella tai molemmissa.

Yliarvioinnin seuraukset
Kun riski arvioidaan todellista suuremmaksi, seurauksena on usein ylimitoitettu varautuminen. Yritys saattaa investoida turhan paljon riskienhallintakeinoihin, kuten vakuutuksiin, varmistusjärjestelmiin tai ylimääräiseen henkilöresurssiin.

Tämä voi johtaa resurssien haaskaukseen, kustannustehokkuuden heikkenemiseen ja kilpailukyvyn laskuun. Samalla vältetään mahdollisuuksia, jotka olisivat olleet liiketaloudellisesti kannattavia, mikä heikentää kasvun ja innovoinnin edellytyksiä.

Aliarvioinnin seuraukset
Vielä vaarallisempi on tilanne, jossa riski aliarvioidaan. Tällöin yritys ei varaudu riittävästi mahdolliseen vahinkoon, mikä voi johtaa merkittäviin taloudellisiin tappioihin. Esimerkiksi, jos kyberuhkaa pidetään epätodennäköisenä ja sen vaikutusta vähäisenä, yritys saattaa jättää toteuttamatta olennaisia turvatoimia.

Todellisen uhan toteutuessa seuraukset voivat olla lamauttavia, kuten mainehaitta, asiakasmenetykset ja oikeudelliset vastuut. Tällaiset virhearviot voivat vaarantaa koko liiketoiminnan jatkuvuuden.

Kvantitatiivinen riskianalyysi on hyödyllinen ja välttämätön työkalu, mutta sen tuottamat tulokset ovat vain yhtä luotettavia kuin siihen syötetyt arviot. Arviointivirheiden vaikutukset eivät ole vain teknisiä virheitä, vaan ne ovat myös strategisia virheitä, joilla voi olla pitkälle ulottuvia seurauksia. Siksi on tärkeää suhtautua syöttötietoihin kriittisesti, käyttää herkkyysanalyysejä ja täydentää kvantitatiivista lähestymistapaa kvalitatiivisella näkökulmalla. Vain näin riskinarvio voi palvella yrityksen päätöksentekoa luotettavasti ja vastuullisesti.
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön