Yhdeksän hyvää ja kymmenen kaunista – Riskianalyysien laatuvaatimukset eilen ja tänään

On jo lähes 10 vuotta siitä, kun julkaisimme pohdintojamme riskianalyysien laatuvaatimuksista (Heikkilä et al. 2007)[1]. Tuolloin kokosimme yhteen tietoa, kokemuksia ja kriteerejä laadukkaan riskianalyysin tai riskien arvioinnin toteuttamiseksi. Tavoitteena oli mm. tukea teollisuusyrityksiä ja muralaatuita toiminnanharjoittajia riskianalyysien asiantuntijavalinnoissa.

Miltä nuo hyvän ja laadukkaan riskianalyysin kriteerit näyttävät tänä päivänä? Olemmeko niistä edelleen samaa mieltä? Kaipaisivatko ne päivitystä? Onko aika tuonut mukanaan uusia kriteereitä? Millainen on laadukas riskianalyysi vuonna 2016? Palaamme seuraavassa alkuperäisiin kriteereihin ja kommentoimme niitä yhteensä 40 henkilötyövuoden lisäkokemuksella.

Taannoin olimme siis sitä mieltä, että hyvässä riskianalyysissä seuraavat tekijät ovat kunnossa:

  1. Selkeästi määritelty tavoite ja tulosten käyttötarkoitus. Tämä on edelleen itsestään selvä kärkikriteeri. Riskianalyysi tehdään aina jotakin tarkoitusta varten ja sen tekemisellä on jokin tavoite. Riskianalyysin laatu määräytyy suhteessa tähän tavoitteeseen. Valitettavasti keskustelua tavoitteesta ja tarkoituksesta ei vieläkään käydä riittävästi, eikä riskianalyysille ja sen tekemiselle asetettu tavoite läheskään aina ole riittävän selkeä. Käytännön tekemisen ja menetelmävalintojen kannalta on iso ero esimerkiksi siinä, halutaanko analyysin avulla muodostaa laaja kokonaiskuva jonkin kohteen riskeistä, pureutua yksityiskohtaisesti joihinkin tiettyihin riskeihin vai kenties vain täyttää päämiehen tai lainsäädännön vaatimuksia.
  2. Kohteen tavoitteenmukainen rajaaminen. Kohteen määrittely ja myös rajausten tekeminen liittyvät läheisesti riskianalyysin tavoitteiden määrittelyyn. Riskianalyysissä täytyy tietää, mitä tarkastellaan. Kohteen rajaaminen on monesti tasapainottelua riittävän yksityiskohtaisuuden ja riittävän laajuuden välillä. Jos kohteen rajaa liian pieneksi, uhkaa tukehtuminen lillukanvarsiin. Jos rajaus puolestaan on liian laaja, uppoaa helposti ylimalkaisuuden suohon. Hyvä käytäntö on, että aluksi muodostetaan yleiskuva laajan alueen tärkeimmistä riskeistä, minkä jälkeen päätetään tarkempien riskianalyysien toteutuksesta analyysille asetettujen tavoitteiden mukaisesti. Näin päästään alustaviin tuloksiin nopeasti ja pystytään käyttämään riskianalyysille varatut resurssit tehokkaasti.
  3. Kohteen ja tavoitteen mukaiset menetelmät. Riskianalyysimenetelmiä ja niiden toteuttamiseen liittyviä tietoteknisiä apuvälineitä on tänään tarjolla vielä enemmän kuin 10 vuotta sitten. Hyvässä riskianalyysissä ei kuitenkaan mennä menetelmä edellä. Kaikki menetelmät ovat hyviä renkejä, mutta huonoja isäntiä. Jos menetelmä sanelee liikaa, mitä tai miten riskianalyysiä voidaan tehdä, kannattaa miettiä muita vaihtoehtoja. One size does not fit all, eli toiset menetelmät soveltuvat tiettyihin kohteisiin tai tilanteisiin paremmin kuin toiset.
  4. Lähtötietojen laatu. Jokainen riskianalyysi on niin laadukas kuin siihen käytetty lähtöaineisto ja osaaminen. Riskianalyysi tehdään tiettynä aikana ja tietystä kohteesta ja käytettävän lähtöaineiston tulee vastata juuri tätä tilannetta. Jos riskianalyysin pohjana käytettävät dokumentit ja kaaviot eivät ole ajan tasalla tai ne ovat puutteelliset, tehdään riskianalyysiä jostain muusta kohteesta kuin oli tarkoitus. Näin saadut tulokset eivät ole luotettavia eivätkä vastaa alkuperäisiin tavoitteisiin. Vaikka tekniikan kehityksen myötä dokumenttien päivitys nykyisin on teknisesti helppoa, on yhä edelleen varmistettava, että esimerkiksi kaikki tehdyt tekniset muutokset on viety niihin. Lähtötietojen laatua arvioitaessa ei pidä myöskään unohtaa työn organisointiin ja toimintatapoihin liittyvän tiedon oikeellisuutta.
  5. Vetäjän ammattitaito ja pätevyys. Kymmenen vuotta sitten riskianalyysin vetäjän pätevyyttä painotettiin varmasti enemmän kuin tänä päivänä. Tänään korostetaan enemmän jokaisen työntekijän omaa osaamista, vastuuta, riskitietoisuutta ja tilannetajua, sekä riskianalyysien tekemistä yhteistyössä eri asiantuntijoiden voimin. Viimekädessä riskit kohdataan ja myös hallitaan kuitenkin lattiatasolla, työtä tehtäessä. Osallistuminen asiantuntevasti toteutettuun riskianalyysiin parantaa omalta osaltaan henkilöstön valmiuksia käytännön riskienhallintaan.  Edelleen siis kaikkien riskianalyysiin osallistuvien on tiedettävä, mitä he ovat tekemässä.
  6. Resurssien varaus ja analyysin aikataulutus. Jos edellä kuvatut kriteerit on otettu huomioon, on riskianalyysin resursoinnin ja aikataulutuksen hyväksi tehty jo paljon. Tutkiminen ja kehittäminen vaativat aina oman aikansa, niin myös riskianalyysit. Oleellista ei niinkään ole yhteen yksittäiseen riskianalyysiin kulunut aika ja henkilöpanokset. Tärkeämpää on kiinnittää huomiota suurempaan aikaikkunaan ja varmistaa, että riskianalyysien tekeminen on oleellinen osa toiminnan jatkuvaa parantamista ja että riskianalyysejä tehdään kohteen elinkaaren kaikissa vaiheissa. Turvallisuuden kehittäminen riskianalyysien keinoin on hidas, mutta kestävä tie. Tuloksia nähdään ehkä vasta vuosien kuluttua. Riskianalyysit eivät ole pikamatka, vaan kestävyyslaji.
  7. Dokumentointi.Tuntuu naivilta, että vaatimus analyysitulosten dokumentoinnista oli tarpeen edes kirjata. Niin itsestään selvä ja jokaiseen riskianalyysiin liittyvä laatukriteeri se on. Vaikka riskitietojen kirjaamiseen, raportointiin ja seurantaan on nyt paljon uusia sovelluksia saatavilla, vieläkin tulee vastaan epämääräisiä riskianalyysiraportteja, joita edes osallistujat eivät enää osaa tulkita. Hyväkään dokumentointijärjestelmä ei siis pelasta analyysin huonoa sisältöä.
  8. Tulosten ja toteutuksen tavoitteenmukaisuus. Laadukas riskianalyysi tuottaa vastauksia niihin kysymyksiin, joihin vastaaminen on asetettu riskianalyysin tavoitteeksi. Mikään riskianalyysi ei vastaa kaikkiin kysymyksiin. On siis osattava valita oikein ne kysymykset, joihin juuri tällä analyysillä etsitään vastauksia. Usein kuulee nurinaa esimerkiksi siitä, että riskianalyysi ei ole johtanut toimenpiteisiin. Onko niitä silloin osattu edes vaatia? Ovatko toimenpiteiden tunnistaminen ja niiden toteutusmahdollisuuksien miettiminen edes olleet analyysin tavoitteena? Onko toimenpiteiden tunnistamiseen ja kirjaamiseen panostettu riittävästi? Suunnitelmalliseen riskianalyysityöhön kuuluu myös se, että tekemistä ja tuloksia arvioidaan lopussa kriittisesti ja peilataan niitä alussa asetettuja tavoitteita vasten. Valitettavasti tämä jää usein tekemättä.
  9. Tulosten viestintä. Riskianalyysit tuottavat usein rikasta aineistoa paitsi päätöksenteon tueksi, myös sisällöksi koulutuksiin ja ohjeisiin. Yhä useammin myös yritysten johto on kiinnostunut riskitiedosta, ja analyysin tuloksia voidaankin nyt raportoida monin eri tavoin moneen eri suuntaan. Viestintä riskianalyysin pohjalta tehdyistä päätöksistä ja toteutetuista toimenpiteistä toimii myös oman henkilökunnan motivaattorina riskianalyysityöhön.

Alkuperäinen Riskianalyysien laatu –raportti oli aikanaan hyvin suosittu ja paljon luettu. Vuonna 2008 se oli yksi luetuimmista raporteista VTT:n julkaisuportaalissa (8656 lukukertaa), mutta vielä viimeisen 14 kuukauden aikanakin sitä on luettu noin 700 kertaa. Sekä raportin hyvin säilynyt suosio että edellä kuvattu katsauksemme riskianalyysien laatukriteereihin osoittavat, että määrittelemämme hyvä riskianalyysi pätee edelleen.

Kuulisimme mielellämme kommenttejanne näihin kriteereihin! Millainen on mielestäsi laadukas riskianalyysi? Kerro kokemuksistasi joko ottamalla meihin yhteyttä tai kirjoittamalla viestisi alla olevaan kommenttikenttään!

Mervi Murtonen, Minna Nissilä, Anna-Mari Heikkilä ja Päivi Hämäläinen (STM)

[1] http://www.vtt.fi/inf/julkaisut/muut/2007/Tutkimusraportti_VTT_R_03718_07.pdf

Riskikartan uhmaajat

Ne tulevat ohi rcloudyiskikartan eikä me osata sanoa, miten hallita niitä.

Suunnilleen näillä sanoilla yrityksissä kuvataan tilanteita, joita nykyinen riskienhallinta kohtaa. Tuttujen riskien lisäksi ympärillämme leijailee epävarmuuden, ulkoa tulevien uhkien, globaalien ilmiöiden, jatkuvan muutoksen sekä valtavien mahdollisuuksien keitos. Maailmantalouden tilanne ja poliittisen päätöksenteon ennustamattomuus luovat ympäristöä, jossa yritysten ketteryys palkitaan ja varmuus vähenee.

Sitä sumua ei saa pois horisontista…

Vaan eteenpäinhän on puskettava ja riskien kanssa pärjättävä. Miten tässä tukevat perinteiset riskien arvioinnin menetelmät?  Entä miten menetelmiä voisi kehittää kohtaamaan paremmin nykytarpeita? Näiden kysymysten ympärillä venyttelemme ajatuksiamme asiantuntijoiden ja yritysten kanssa hankkeessa ReRISK1. Tarkastelua rajaamme etenkin työturvallisuuteen vaikuttaviin riskeihin, nouseviin sellaisiin (Kts. Heikkilä 2015).

Perinteisesti riskien arviointi on vaarojen tunnistamista, riskin suuruuden määritystä riskimatriisilla, hyväksyttävyyden tarkastelua sekä tarvittavien toimenpiteiden määritystä ja toteutusta. Parhaina piirteinä prosessissa pidetään systemaattisuutta ja riskien tiedostamista läpi organisaation, mutta ongelmiakin kohdataan – tarkastelutasoja on vaikea määrittää, aikaa tuhraantuu riskiluvun pohdintaan, luokitukset eivät tunnu vertailukelpoisilta tai toimenpiteiden ideointi ja toteutuksen tarkastelu jäävät välillä puolitiehen. Rivejä kertyy rivien perään, mutta mitä ne lopulta kertovat? Riskiluku tuntuu vielä jotenkin sopivan tunnettuihin riskeihin, mutta epävarmuushan on täynnä tuntemattomia riskejä, joita ei voi mitata katsoen taaksepäin todennäköisyyksiä ja seurauksia. Miten epävarmuuden lisääntyminen ja systeemisyys – kaiken vaikuttaminen kaikkeen – voitaisiin huomioida? Pitäisikö arviointiin kehittää entistä monimutkaisempi algoritmi, hyödyntää big dataa vai heittää koko matriisi romukoppaan? Tästä voi olla montaa mieltä.

Gerd Gigerenzerin (2015) kirjassa Riskitietoisuus makustellaan ajatusta, että epävarmuuden kasvaessa intuitiolla on entistä vahvempi rooli päätöksiä tehtäessä. Logiikka ja tilastot auttavat siis lähinnä tuttujen riskien hallinnassa. Kirjoittaja näkee tällaiset päätöksentekoa ohjaavat intuitiot tiedostamattomina nyrkkisääntöinä, jotka eivät ole lähtökohtaisesti vääriä eivätkä oikeita, vaan ennemminkin tiedostamatonta tiedettyä, joka toki pitää aina suhteuttaa olosuhteisiin. Epävarmuuden ympäröidessä yksinkertaisuudessa pitäytyminen on siis lopulta kaunista. Monimutkaiset laskukaavat ja loputon tiedon lisääminen lähinnä peittävät alleen ymmärryksen ja johtavat harhaantuneisiin johtopäätöksiin. Tällaisia kokemuksia on ainakin pankkimaailmasta. Toisaalta myös olosuhteiden ollessa muutoksessa, ainakin itselleni jää vain haparoiva tunne siitä, voivatko vanhat nyrkkisäännötkään enää toimia – nehän piti muistaa suhteuttaa juuri olosuhteisiin. Intuitiokin voi uusilla vesillä johtaa harhaan. Jos epävarmuudessa toimiminen ahdistaa, niin asiaa ei helpota se, että myös tuttuina pidettyjen riskien kanssa saa olla tarkkana. Gigerenzer muistuttaa lukuarvon synnyttämästä varmuuden harhasta. Asioiden tilastointihan ei sinällään kerro tulevasta. Riskiä tai sen mitättömyyttä tilastojen valossa ei siis pitäisi koskaan pitää absoluuttisena varmuutena. Yritysten osalta luvuksi puettu riski voi kuitenkin auttaa tarkastelemaan ja vertaamaan asioita sekä muutossuuntia etenkin ylimmän johdon tasolla, varmuusharha tiedostaen.

Merkittävä viesti Gigerenzerin kirjassa on mielestäni riskien viestiminen mahdollisimman selkeästi absoluuttisina riskeinä tai frekvensseinä suhteellisten osuuksien sijaan. Riskin ymmärtämistä pitäisi opettaa enemmän eri ammattikunnissa sekä ihan koulun penkillä, jotta ihmiset pystyvät irrottautumaan varmuusharhoista ja tekemään itseään koskevia päätöksiä niin pankissa kuin lääkärin vastaanotolla. On siis ymmärrettävä, kuinka huonosti riskiä oikeasti ymmärretään. Työn turvallisen toteuttamisen osalta käytännön haasteet eivät tosin rajoitu vain ihmisten riskitietoisuuteen. Oma vaikutuksensa on myös erilaisten ohjaavien arvoviestien ristipaineella, organisaation jokapäiväisissä piiloviesteissä ja viestien erilaisissa tulkinnoissa. Tämänkin kirjoituksen jokainen lukee ja tulkitsee omista lähtökohdistaan, omalla taustallaan. Myös ihmisen toiminnan ymmärrystä kaivattaisiin monessa yhteydessä enemmän.

Kaikki tulevat historiansa kanssa työmaalle ja ymmärtävät asiat omista lähtökohdistaan, olemme kasvaneet erilaisiin vaatimuksiin.

Vaikka riskienhallintatyön jäykkyyttä voi arvostella, on toimiviakin toteutustapoja löydettävissä. Hieno esimerkki yrityksen oman toiminnan tuntemuksesta ja tuttujen riskien hallinnasta löytyy projektitalosta, jossa erityyppisten projektien toteutumista analysoidaan tarkasti ja omasta toiminnasta rakennetut tunnusluvut on valittu ohjaamaan ennakoivaa päätöksentekoa. Vuosien aikana kerätty tieto ohjaa puuttumaan asioihin ajoissa, tiedostamaan ja päättämään riskeistä mahdollisimman pitkälle ennen ”kolahdusta”. Ei niin kovin vaikealla laskukaavalla, mutta valitsemalla tietyt ohjaavat indikaattorit kokemusperäisesti, tuntemalla omat projektit erittäin hyvin. Näin myös turvallisuustason indikaattorit linkitetään vahvasti taloudelliseen menestykseen. Tästä voi olla apua myös turvallisuustyön arvostukselle. Liiketoimintaympäristön, arvojen ja vaatimusten muutokset tuovat toki tällaisellekin yritykselle epävarmuutta. Uusiin mahdollisuuksin tartuttaessa on elettävä ilman aiempaa tietoa vastaavista tilanteista.

…jotain pitäisi tehdä, mutta selkeää visiota ei ole siitä, miten päästä seuraavalle tasolle.

Marinka Lanne

  1. VTT:n koordinoima ja Työsuojelurahaston rahoittama hanke ReRISK – Revising industrial risk assessment practice to better capture emergent risks, 1.9.2015-30.9.2016.

Heikkilä J. 2015. Leijonat ja muut nousevat riskit.

Gigerenzer, G. 2015. Riskitietoisuus. Miten hyviä päätöksiä tehdään. Helsinki: Terra Gognita. 325 s.