Riskienhallintaa vapaalaskijan näkökulmasta

Lumisilla vuorilla liikkumiseen liittyy aina riskejä. Niin liittyy myös yrityksen liiketoimintaan. Vietin viikon Itävallan Alpeilla opiskelemassa vapaalaskijan perustaitoja turvalliseen retkeilyyn ja vuorilla liikkumiseen. En voinut välttyä vertaamasta opittuja riskinarvioinnin ja päätöksenteon taitoja yrityselämän vastaaviin toimintamalleihin, joihin palaan kirjoituksen lopussa. Toivottavasti postaus herättää myös teissä lukijoissa ajatuksia ja vertailua töissä tapahtuvien arviointien ja päätösten suhteen! 

Kurssin järjesti IFMGA-vuoristo-opas ja humanistisen ammattikorkeakoulun seikkailukasvatuksen lehtori Jussi Muittari (Mointainguide.fi) ja toisena oppaana toimi  IFMGA aspirantti (SBO) Fredrik Aspö (attmankan.fi). Keskustelimme viikon aikana lumiturvallisuuskoulutuksesta ja etenkin siitä, mitkä tekijät häiritsevät turvallisten valintojen tekemistä innokkaassa vapaalaskijaporukassa.

Suomessa on Jussin mukaan viime vuosina panostettu lumiturvallisuuskoulutuksen kehittämiseen ja vuonna 2017 valmistuneen hankkeen pohjalta syntyi FINLAV – Suomen Lumivyörykoulutus -koulutusjärjestelmä. (Lumivyöry.fi) Yhtenä hankkeen tuotoksena syntyi vyöry-kortti, joka ohjaa tarkastuslistanomaisesti arvioimaan retkeen liittyviä riskejä sen eri vaiheissa. Jussi on ollut mukana laatimassa korttia ja se toimi perustana myös meidän kurssillamme.

Ensimmäisessä kuvassa on esitetty vuorilla liikkujan perusvarustepaketti; lapio, sondi, ja piippari sekä nykyään usein lumivyöryreppu. Näistä puhutaan usein lumiturvallisuusvälineinä. Oikeasti kyseessä ovat lumivyöryn pelatusvälineet, joita käytetään vasta siinä äärimmäisessä tilanteessa, kun kaikki muut turvakontrollit ovat jo pettäneet. Tässä kirjoituksessa keskitytään siihen, miten tunnistaa ja ehkäistä riskejä, jotta näille varusteille ei tulisi käyttöä.

Lumivyöryn pelastussetti

Seuraavaksi pieni tosielämän tarina täydellisen puuterilumen metsästyksestä ja siihen liittyvästä jatkuvasta riskinarviointiprosessista vyöry-kortin opastamana. Kyseessä oli viikon odotetuin kokopäivän retki, jossa puolen päivän skinnauksen piti huipentua monen kilometrin puuteri-iloitteluun Kitzbühelin Alpeilla.

Ennen retkeä

Retkeä edeltävänä päivänä hankimme kohteesta mahdollisimman paljon tietoa, jotta pystyimme kartoittamaan tulevaa toimintaympäristöä ja siihen vaikuttavia tekijöitä. Tutuistuimme alueeseen paperikartalla ja Outdooractive appin vyörykartalla, jossa on värikoodein merkitty alueet, jotka ylittävät lumivyöryyn vaadittavan yli 30 asteen kaltevuuden. Näiden lisäksi luimme alueen lumivyöryennusteen lawine.at palvelusta ja bergfexin säätiedotteet alueelle. Luvassa oli aurinkoista hiihtoa pienessä tuulessa ja vyöryennusteestakaan emme löytäneet retkeä estäviä riskitekijöitä. Tunnistimme kuitenkin muutaman hankalamman paikan, joiden lopullinen riskinarviointi piti jättää paikan päällä tehtäväksi.

Aamulla ennen lähtöä tarkistimme vielä ennusteet ja päätimme lähteä vuorelle. Ennakkoon tehdyn analyysin perusteella tiesimme, että reittisuunnitelmassa oli muutama kohta, joissa saattaisimme joutua tekemään ikävän päätöksen kääntyä takaisin. 

Retken aikana

Retki alkoi bussikyydillä ja muutamalla hissinousulla ennen kuin asensimme nousukarvat suksien pohjaan ja poistuimme laskettelukeskusksen alueelta merkkaamattomille reiteille. Retken aikana tarkkailimme säätä; miten näkyvyys vaikuttaa ympäristön vaarojen tunnistamiseen, miten paljon vuorelle on kertynyt uutta lunta ja vaikuttavatko tuuli ja lämpötila lumen stabiliteettiin? Tarkkailimme myös lunta, näkyykö ympäristössä merkkejä epävakaudesta esimerkiksi tuoreita vyöryjä, halkeamia tai epäilyttäviä ääniä lumipeitteessä. 

Kuva Antti Lammela

Kartalla tehty maastoanalyysi oli auttanut tunnistamaan korkean riskin alueet mutta lopullinen reitin valinta näissä kohteissa tehtiin paikan päällä. Keskustelua käytiin siitä, vastaako todellisuus suunniteltua ja onko retkeä mahdollista jatkaa turvallista reittiä pitkin. Ensimmäiset neljä tuntia sääolosuhteet vastasivat ennustetta.  Kun viimein saavutimme paikan, josta  näki reitin viimeisen nousuosuuden ja piti tehdä lopullinen päätös jatkaako retki suunnitelman mukaan loppuun vai kääntyäkö takaisin, tuuli oli yltynyt ja puhalsi puuskissa huomattavasti ennustetta kovemmin. 

Rinteen analysointi

Ennen päätöksentekoa analysoimme myös sitä, mitä meitä odottaisi harjanteen takana. Millaiset laskuolosuhteet olisivat ja oliko päivän aikana tehty havaintoja, jotka vaikuttaisivat ennen retkeä tehtyyn riskinarviointiin. Tulevan laskun alku tulisi olemaan jyrkkä ja voimakas tuuli olisi todennäköisesti puhaltanut pehmeän lumen pois jättäen paikalle kovan kerroksen. Vyöryvaara tällä jyrkällä alueella olisi pieni mutta koppuraisen jyrkänteen laskeminen tulisi olemaan ainakin osalle ryhmästä todella haastavaa ja loukkaantumisriski kaatumisen seurauksena olisi huomattava. Puuskainen voimakas tuuli hankaloittaisi myös pelastamista ja tekisi hypotermiasta konkreettisen uhan, joten pienikin loukkaantuminen saattaisi eskaloitua nopeasti. 

Toisaalta alempana vuoren takana tuuli tuskin olisi vaikuttanut olosuhteisiin ja meillä oli edelleen mahdollisuus päästä laskemaan some-kuvauskelpoista puuteririnnettä (kamerat tätä varten oli tietysti jo asetettu kypäriin kiinni). Laskun lopussa odotti myös tunnelmallinen after-ski ravintola, jos olisimme tarpeeksi nopeita matkanteossa ehtisimme sinne vielä nauttimaan palkinto-oluet ennen illan viimeistä laaksoon palaavaa bussiyhteyttä.

Mitä teet – päätöksenteko

Kuvassa ryhmämme tekee viimeisen nousuosuuden riskinarviota. Seuraavalla osuudella pitäisi ottaa sukset pois ja kiivetä monot jalassa harjannetta, joka johtaa kahden kuvassa näkyvän vuorenhuipun välistä suunnitellulle laskupaikalle. Lumiturvallisuuden näkökulmasta reitti olisi turvallinen, harjanteen päällä ei olisi vaaraa vyöryyn joutumisesta. Vapaalaskuun liittyy kuitenkin muitakin riskejä, kuin lumiturvallisuus, jotka täytyy aina ottaa huomioon. Harjanne oli hyvin kapea ja tuulen voimakkuus puuskissa olisi hyvin voinut kaataa kulkijan, jolloin seurauksena olisi ollut pitkä pudotus hyvin jyrkkää rinnettä alas. Riski loukkaantua siirtymällä oli niin suuri, että ryhmämme päätti kääntyä takaisin. 

Kuva Laura Noukka

Päätös ei todellakaan ollut itsestäänselvyys. Sen tekemistä puolsi moni ympäristöön liittyvä seikka mutta ehkä suurimpana ryhmän päätöksentekoon vaikuttavana tekijänä oli, että meillä oli voimakas yhteinen turvallisuuskulttuurin käsitys. Olimme lähteneet vuorelle oppimaan lumiturvallisuudesta ja odotukset kohdistuivat huikeiden laskujen lisäksi siihen, että saamme käytännön kokemuksia turvallisesta vuoristossa liikkumisesta. Vaikeiden päätöksien tekeminen ja omien mielihalujen ja päivälle asetettujen tavoitteiden kyseenalaistaminen on osa turvallista tekemistä. 

Ryhmäpaineen ja puuterikuumeen aiheuttama halu toteuttaa suunnitelma olisi varmasti ollut suurempi, jos lumiturvallisuuskurssin sijaan olisimme liikkuneet vuorella normaalina opastettuna vapaalaskijaryhmänä. Ryhmän odotukset ja niiden vaikutus yksittäisen laskijan riskinottohaluun olisi ollut aivan toinen. Tosin Jussi ja Fredrik eivät olisi meitä silloinkaan sinne päästäneet, ryhmästä vain olisi kuulunut merkittävästi enemmän soraääniä päätöksen johdosta.

Ja mitä tästä opimme…

Kielteisestä päätöksestä huolimatta päivä ei mennyt pilalle. Palasimme samaa reittiä kuin olimme tulleet, tällä kertaa tosin pääsimme pöllyttämään aamupäivän aikana kiivettyjen kumpujen puuteria. Päivän päätteksi mittariin oli kertynyt 2085m laskua ja kameroiden muistikortit olivat täynnä aurinkoisia laskupätkiä.

Kuva Fredrik Aspö

Tämä oli kertomus vapaalaskijan päivästä vuorella mutta täysin samat päätöksenteon ansat on tunnistettavissa liiketoimintariskienhallinnassa. Tekemisessä lukkiudutaan tiettyyn tavoitteeseen ja viedään projekti läpi maksoi mitä maksoi tai tehdään asioita, koska tekemisen vauhti ja jännitys hämärtävät analyyttisen päätöksenteon. Monesti päätöksiä perustellaan menneillä saavutuksilla tai perinteisellä lausahduksella ”näin on ennenkin tehty”. Laadukkaassa riskinarvioinnissa huomioidaan myös päätöksentekoon liittyvät haasteet ja pyritään ehkäisemään näihin ansoihin lankeaminen.


Kiitos Jussi ja Fredrik ajatuksia herättäneestä viikosta ja mahtavasti fasilitoidusta riskinarviointityöskentelystä!


Linkkejä

Mountain Guide Finland – Jussi Muittari

AttManKan – Fredrik Aspö

Suomen lumivyörykoulutus

Retken suunnittelun tueksi:

Itävallan säätiedot Bergfex.at (Appstoressa Bergfex Wetter)

Lumivyörykartat Outdooractive.com (Appstoressa Outdooractive)

Lumivyöryennuste Itävaltaan

Mountain rescue Tirol

Rusetti, tarina ja miksi?

Riskityöpaja – ehkä suosikkijuttumme riskienhallintatyössä. Tässä kirjoituksessa esittelemme kolme työkalua riskien tunnistamiseksi ja jäsentämiseksi työpajoissa. Suosittelemme lämpimästi kokeilemaan monenlaisia ryhmätyömenetelmiä (jopa niitä, joita ei alun perin ole tarkoitettu riskienhallintatyön tueksi – vaihtelu ja hienoinen leikillisyyskin virkistävät aina), ryhmän koon ja tavoitteen mukaan soveltaen ja muokaten. Tässä läpikäytävillä menetelmillä olemme saaneet hyviä tuloksia aikaan etenkin silloin, kun on nimenomaan haluttu saada riskin aiheuttajat ja riskin eri elementtien väliset kausaliteetit näkyviin.

Edelliseen kirjoitukseen viitataen,  työpajoissa käytävä keskustelu auttaa selkeyttämään organisaation sisäistä riskienhallinnan sanastoa. Kaikki menetelmät ovat myös sovellettavissa kokonaisvaltaisen riskienhallinnan kaikilla tasoilla, vaikkakin tehokkainta käyttö on operatiivisella tasolla. Liiketoiminta- tai ylimmän johdon tasolla liikuttaessa kannattaa huomioida, että huolellinen toteutus vaatii todennäköisesti useamman työpajan, lähtien alustavasta ja melko laajasta brainstormingistä ja päätyen strukturoituun lopputulemaan. Tämä asettaa monesti haasteita ajankäytön suhteen.

Bow-Tie:

Ensimmäinen ja yksinkertaisin työkalu on Bow-Tie. Metodi lienee kehitetty alun perin öljyteollisuuden tarpeisiin konkreettisten vahinkoriskien kuvaamiseen mutta työssämme olemme soveltaneet sitä vapaasti jäsentämään niin turvallisuus-, projekti- kuin strategisiakin riskejä. Menetelmässä kuvataan riski selkeästi neljän elementin

– aiheuttaja

– tapahtuma

– seuraukset

– kontrollit

kautta kuvana, joka muistuttaa rusettia (bowtie). Kuvaamiseen on muuten olemassa oma tietojärjestelmänsäkin, mutta itse tykkäämme käyttää post-it lappuja ja fläppitaulua.

Esimerkki BowTie-kuvan rakenteesta

Työpaja kannattaa aloittaa vapaalla keskustelulla, jossa on tarkoituksena tunnistaa ja heitellä ilmaan ajatuksia etukäteen käsiteltäväksi päätettyyn aihealueeseen liittyen. Ajatukset kirjataan lapuille ja käydään keskustelu siitä, miten ne suhteutuvat käsiteltävänä olevaan aihealueeseen. Usein on käynyt niin, että ryhmän yksi jäsen on mieltänyt riskiksi asian, joka onkin toisen tunnistaman riskitapahtuman aiheuttaja ja näistä taas seuraa kolmannen tunnistama vaikutus liiketoiminnalle. Ilman analyysia kaikki nämä kolme tekijää todennäköisesti päätyisivät riskirekisteriin yksittäisinä riskeinä, joille olisi hyvin vaikea tehdä jatkoanalyysia. Bow-tie harjoituksen seurauksena ne pystytään kuitenkin kirjaamaan loogisena riskitarinana.

Tarinallistaminen:

Toinen hieman pidemmälle viety riskinmallintamistapa, jota sovelletaan tietoturvariskienhallinnan maailmassa, kuvaa riskin tarinana.  Menetelmän on toinen meistä omaksunut tietoturvakonsulttina työskentelevältä mahtavalta kollegaltaan. Tarina aloitetaan yksilöimällä suojattavat kohteet, joihin kohdistuvia riskejä halutaan tunnistaa, esimerkiksi yrityksen maine, tulevan vuosineljänneksen tulos tai tärkeä tietovaranto. Sitten siirrytään kartoittamaan uhkatekijät, eli kerrotaan kuka tai mikä voi uhata kohdetta. Tämän jälkeen tunnistetaan toiminnan haavoittuvuuksia ja maalataan sanallisesti (tai miksei kuvallisestikin) niiden hyödyntämisestä seuraavat uhkaskenaariot. Skenaariot voivat oikeissa olosuhteissa konkretisoituvat tapahtumiksi, joiden seurauksena jokin suojattavista kohteista vahingoittuu.

Riskin mallinnustyöpajan lopputuotos (Lähde Marko Buuri, F-Secure)

Tarinallistaminen on oikeastaan tyyppiesimerkki siitä, miten strategista riskienhallintaa toteutetaan käytännön riskien tunnistamistyössä: tietoturvariskien tarina alkaa suojattavista kohteista, jotka voidaan helposti määrittää myös organisaation strategisiksi tavoitteiksi – ja tunnistaa asioita, jotka voivat uhata näiden tavoitteiden saavuttamista. Jos organisaation tavoitteet on määritelty tarpeeksi visuaalisesti ja ytimekkäästi, voidaan riskityöpajassa käyttää pohjamateriaalina suoraan strategiatyön materiaaleja. Jos tavoitteet on vielä kuvattu samaan tapaan sekä strategisella, taktisella ja jopa operatiivisella tasolla (tällöin puhutaan monesti jo toimintasuunnitelmasta tai vastaavasta materiaalista), materiaali toimii lähtökohtana riskienhallintakolmion jokaisella tasolla järjestettävissä työpajoissa.

5XMIKSI:

Kolmas menetelmä on 5XMIKSI. Ideana on työskennellä pareittain tai pienessä ryhmässä niin, että liikkeelle lähdetään tunnistetusta riskistä. Ryhmän jäsenet esittävät vähintään viisi kertaa kysymyksen MIKSI ja kirjaavat vastauksen ylös. Esimerkiksi: tavoite on toiminnan tehostaminen.  Alatavoite on tiedon jakamiseen ja viestintään käytetyn ajankäytön tehostaminen, ja yksi keino tavoitteen saavuttamiseksi on nykyaikaisen kollaboraatiotyökalun käyttöönotto koko organisaatiossa. Riskiksi on määritelty se, etteivät kaikki ota järjestelmää omakseen, vaan jatkavat tiedon tallentamista omissa tiedostoissan ja jakamista sähköposteissa jne.

Esimerkki 5xMIKSI ketjusta

→ ja tätä jatketaan vähintään viisi kertaa.

Menetelmä itsessään on hyvin yksinkertainen ja kokemuksemme mukaan myös saattaa aiheuttaa aluksi hieman hilpeyttä työpajan osallistujissa. Mutta sitkeästi läpi vietynä se palkitsee, sillä jäljelle ei jää vähempää kuin riskin todellinen aiheuttaja (usein aiheuttajat). Ja vain aiheuttajiin on mahdollista kohdistaa tehokkaat, ennakoivat riskienhallintatoimenpiteet.

Yllä esitetyt työtavat ohjaavat keskustelemaan siitä, mistä kaikista elementeistä riski oikeasti muodostuu, mitkä ovat aiheuttajat ja mitkä seuraukset. Samalla riskikuvasta muodostuu yhtenäinen ja saman tasoinen käsitys kaikille osallistujille. Juuri tämä on monesti työpajojen aikaa vievin, mutta toisaalta antoisin vaihe. Kuvien piirtäminen ja kysymysten ja vastausten ylös kirjaaminen auttaa myös konkretisoimaan hallintatoimenpiteiden suunnittelua ja keskustelua siitä, mihin hallintatoimenpiteet kohdistetaan. 

Tässä kirjoituksessa päästiin nyt vasta puoleen väliin riskianalyysia, sillä riskin kvantifiointiin liittyvä keskustelu ei luontevasti tule osana näiden työmenetelmien keskustelua. Palataan tähän jossain myöhemmässä kirjoituksessa, tai useammassakin…


Ps. jos olet riskityöpajojen osalta kiinnostunut erityisesti tietoturvanäkökulmasta, niin suosittelemme tutustumaan CORAS-menetelmään tai Intelin TARA-metodiin

 

 

Riskienhallinta operatiivisella tasolla

Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä.

Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella.

Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisiä kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selkeästi kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksissä usein käytössä operatiivisten riskien tietojärjestelmä, joka tukee suuremman tietomassan käsittelyä. Riskien tunnistaminen ja luokittelu johdonmukaisesti on tärkeää erityisesti suuremmissa organisaatioissa, suuren tietomäärän analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.

Operatiivisella tasolla riskit ovat yksittäisiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyviä, riskinä tunnistetaan esimerkiksi tekijä, joka voi estää tietyn yksittäisen vuositavoitteen saavuttamisen. Tyypillisiä esimerkkejä ovat myös tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.

Riskeistä keskustellaan käytännönläheisesti, samalla tukeutuen yksikön omiin tavoitteisiin sekä koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan pääsääntöisesti yksikön oman budjetin sallimissa rajoissa. Riskienhallinnalle määritellään yksityiskohtaisesti yksittäiset toimenpiteet, vastuuhenkilö(t), aikataulu ja seurantaprosessi.

Pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvvarret” ruuhkauta ylemmän johdon agendaa.

Riskeistä raportoidaan kootusti bisnesriskienhallinnan tasolle mutta pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvarret” ruuhkauta ylemmän johdon agendaa. Raportointi ylemmälle tasolle on kuitenkin tärkeää siksi, että operatiivisella tasolla saatetaan tunnistaa riskejä, jotka ovat esim. osatekijöitä organisaatiota laajemmin koskettavissa riskeissä. Joskus on myös aiheellista arvioida hallintatoimenpiteiden riittävyys ylemmällä tasolla.

Tämä ja edeltävät kaksi postausta ovat käsitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riittävässä laajuudessa kaikki riskitasot. Tämä ei kuitenkaan tarkoita sitä, että kaikki riskit käsiteltäisiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja työkalut. Eri tasojen välinen viestintä on edellytys sille, että jako toimii tarkoituksenmukaisesti.  Tähän palaamme seuraavassa kirjoituksessa.


Esimerkki operatiivisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaa kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja käsitys uhkista ja kontrollien heikkouksista täsmentyy.

Etenkin ennen asetuksen voimaan astumista operatiivisen tason riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin järjestelmiin ja IT:n käytäntöihin tietojärjestelmien valvonnassa ja hallinnassa. Työtä priorisoidaan liiketoiminnan näkökulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyvät järjestelmät ovat etusijalla.  Viimeistään toukokuun 2018 jälkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.

On pohdittava:

Mitä henkilötietoja käsittelemme?

Missä prosesseissa ja tietojärjestelmissä käsittelemme kutakin henkilötietoa?

Missä henkilötietoja säilytetään? Onko ratkaisu teknisesti vaatimukset täyttävä ja kestävä?

Millä käytännön toimenpiteillä varmistamme (ja parannamme) tietojen suojausta?

Onko tunnistetuille prosesseille ja järjestelmille tehty tietosuojan vaikutusarviointi?

Millä käytännön toimenpiteillä tunnistamme tietovuodon?

Miten käytännössä reagoimme tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?