2.2 Riskien tunnistaminen

Riskisalkunhallinta Oppitunti 2 – Riskisalkunhallinta 2.2 Riskien tunnistaminen

Osa riskeistä on ilmiselviä ja usein toistuvia, osan tunnistaminen vaatii taas erityistä asiantuntemusta ja paneutumista. Esimerkiksi projektitoiminnassa toistuvat samantyyppiset riskit, kun taas ulkoisten muutosten tai uhkien aiheuttamat riskit voivat olla ainutkertaisia.

Miten tunnistaa riskejä

Riskien tunnistaminen on osa organisaation riskienhallintamallia. Tunnistaminen voi olla jatkuvaa, säännöllisesti toistuvaa – esimerkiksi työpajoissa ­– tai hankekohtaista. Investointi- tai kehityshankkeisiin liittyy aina riskien tunnistusvaihe.

Riskien tunnistamiseen voi käyttää vapaan pohdinnan lisäksi erilaisia työkaluja ja tekniikoita, joista esimerkkejä on seuraavassa.

Haastattelut ja kyselyt

Haastattelut ja kyselyt auttavat tunnistamaan riskejä eri näkökulmia ja osaamista edustavilta henkilöiltä. Niihin voi osallistua henkilöitä omasta organisaatiosta, asiakkaita, kumppaneita ja ulkoisia asiantuntijoita.

Eräs suosittu kyselytekniikka vaikeiden ja monimutkaisten riskien tunnistamiseen on Delphi. Siinä asiantuntijapaneelilta kerätään ensin näkemyksiä yhdestä tai useammasta kysymyksestä anonyymisti ja toisistaan riippumattomasti. Vastausten analysoinnin jälkeen asiantuntijat saavat käyttöönsä kaikki vastaukset ja voivat muokata omia kantojaan niiden perusteella. Prosessi toistetaan, kunnes panelistit saavuttavat yhteisen näkemyksen annetuista kysymyksistä.

Riskityöpajat

Edellä kuvattuja menetelmiä voi käyttää etenkin yrityksen tai muun organisaation toimintaan liittyvien riskien tunnistamiseen työpajoissa. Investointi- ja kehitysprojektien riskityöpajat keskittyvät erityisesti projektin riskien tunnistamiseen, ottaen kuitenkin huomioon kytkennät laajempaan riskimaisemaan.

 Data-analytiikka

Omat tietojärjestelmät ja julkisesti saatavilla oleva data auttavat tunnistamaan trendejä ja riippuvuuksia, joita edellä mainitut menetelmät eivät välttämättä tuo esille. Tekoälytyökalut tulevat helpottamaan datapohjaisten analyysien tekemistä ja avaamaan uusia mahdollisuuksia riskienhallinnalle.

Skenaariot

Skenaariot ovat mahdollisia tulevaisuuskuvia. Suosittu tapa tuottaa skenaarioita on työpajatyöskentely. Tässä on eräs yksinkertainen malli niiden toteuttamiseen:

  • Valmisteluvaiheessa organisaattori määrittää työpajan tarkoituksen ja rajauksen. Yleensä skenaariot liittyvät tietyn organisaation tai sen osan tulevaisuuden ennakointiin.
  • Työpajassa osallistujat pohtivat ensin muutostekijöitä, joilla voisi olla vaikutusta organisaation tulevaisuuteen. Edellä mainitun PESTLE-analyysin näkökulmat yhdistettynä asiakkaiden tai kumppaneiden näkökulmiin auttaa jäsentämään muutostekijöitä.
  • Seuraavaksi osallistujat arvioivat muutostekijöiden epävarmuutta ja vaikutusta. Näistä valitaan keskustelun kautta kahdesta kolmeen kriittisintä tekijää.
  • Jos vaikuttavimpia mutta epävarmimpia tekijöitä on kaksi, esimerkiksi tietty regulaatio ja tekoälyn kyvykkyys, niille määritellään ääripäät. Toisin sanoen, regulaatio tiukkenee tai helpottuu ja AI:n kyvykkyydet kasvavat eksponentiaalisesti tai jäävät nykytasolle
  • Lopputuloksena on nelikenttä, johon osallistujat määrittävät neljä tulevaisuuskuvaa tai -tarinaa. Niihin kaikkiin liittyy mahdollisuuksia ja riskejä, joihin riskienhallinnan on vastattava.

Juurisyy- ja Bow tie –analyysi

Riskien tunnistamista helpottaa niiden juurisyihin perehtyminen. Juurisyyanalyysi pyrkii selvittämään, mitkä tapahtumat voivat johtaa riskin toteutumiseen. Analyysi paljastaa uusia riskejä, joita hallitsemalla alkuperäisen riskin toteutumisen todennäköisyyttä on mahdollista vähentää.

Bow tie on menetelmä, joka yhdistää riskin juurisyyanalyysin ja riskienhallintakeinot samaan kehykseen. Nimensä menetelmä on saanut visualisoinnista, joka muistuttaa rusettia.

Oheisessa kuvitteellisessa esimerkissä riskiksi – ydintapahtumaksi – on tunnistettu avainhenkilön menetys. Kaaviossa vasemmalla ovat uhat, jotka ovat riskin juurisyitä. Uhkien torjumiseksi on ideoitu joukko ennaltaehkäiseviä toimia, ennakoivia suojauksia.

Kaavion oikeassa laidassa on seuraukset, joita avainhenkilön menetys tuottaa. Niitä edeltävät palauttavat suojaukset, jotka pyrkivät estämään seurauksien toteutumisen.

Bow tie analysis

Muita menetelmiä

Alla on kuvattu menetelmiä riskien tunnistamiseen, kuten organisaation arviointiin tarkoitettu SWOT ja toimintaympäristön arviointiin tarkoitettu PESTLE. Lisäksi on esitelty organisaation yhteen johtamisprosessiin, eli projektinhallintaan, liittyvä riskienhallinta. Myös organisaation muihin prosesseihin ja toimintoihin voi liittyä erityistä riskienhallintaa, joka voidaan sopivin tavoin yhdistää koko organisaation (ERM) riskienhallintaan.

Muita riskien tunnistamisen menetelmiä ovat mm. Structured what if technique (SWIFT), Hazard and operability studies (HAZOP studies) ja Failure modes and effects analysis (FMEA and FMECA). Kuvauksia näistä on alan kirjallisuudessa ja standardeissa.

SWOT

SWOT-analyysi (Strengths, Weaknesses, Opportunities, Threats) on perinteinen tapa tunnistaa organisaation tai hankkeen vahvuuksia, heikkouksia, mahdollisuuksia ja uhkia.

Heikkoudet ja vahvuudet liittyvät omaan toimintaan, eli ovat sisäisiä; uhat ja mahdollisuudet ovat organisaatioon ulkoapäin kohdistuvia.

Organisaatiot toteuttavat SWOT-analyysejä yleensä työpajoissa, joita ne järjestävät esimerkiksi organisaation eri tasoilla tai yksiköissä. On myös digitaalisia työkaluja, joilla analyysia voi tehdä anonyymisti suurella joukolla.

PESTLE

PESTLE-analyysi auttaa tunnistamaan toimintaympäristöön liittyviä riskejä. Sen tarkastelukulmat ovat seuraavat:

  • Poliittiset tekijät, esimerkiksi markkina-alueen stabiilisuus, muutokset hallituspohjassa tai ilmapiirissä.
  • Taloudelliset tekijät, kuten rahoituksen hinta, rahoituksen saatavuus tai yleinen luottamus talouteen.
  • Sosiaaliset tekijät, esimerkiksi ikärakenteen muutos, kaupungistuminen tai arvostukset.
  • Teknologiset tekijät, kuten teknologiamurrokset, teknologioiden elinkaari tai luottamus teknologioihin.
  • Lainsäädäntö, esimerkiksi muutokset EU-lainsäädännössä, valtiollinen lainsäädäntö tai paikalliset ja teollisuusalan säännöt.
  • Ympäristölliset tekijät, kuten nollahiilisyyden vaatimukset, asiakkaiden odotukset tai ympäristöjärjestöjen toimet.

PESTLE on johdon työkalu, mutta sen sisällön tuottamiseen voi osallistua henkilöitä organisaation eri tehtävistä ja yksiköistä.

Projektiriskien tunnistaminen

Kehitysprojektien riskit liittyvät usein seuraaviin tekijöihin:

  • Aikataulu – Projektin aikataulun toteutumiseen voi liittyä epävarmuutta esimerkiksi riippuvuuksien vuoksi
  • Laajuus – Projekti on mahdollisesti liian laaja tai rajaus on epäselvä
  • Resurssien saatavuus – Projekti vaatii resursseja, joita on joko niukasti tai ei vielä ollenkaan saatavissa
  • Rahoitus – Projektin rahoitus on epävarma tai projektin budjettiin liittyy epävarmuutta
  • Sisältö – Projektin sisältö on monimutkainen tai monista paloista koostuva
  • Strategisuus ­– Projektin suoraa linkkiä organisaation strategiaan on vaikeaa osoittaa
  • Käyttöönoton vaativuus – Tulosten käytäntöön vieminen voi epäonnistua
Edellinen Osa
Takaisin oppituntiin
Seuraava Osa