Riskiperusteinen ajattelu on vuoden 2016 puheenaihe! Miksi? Yleinen epävarmuus ja ISO 9001:2015./1/

1. Elämme kasvavien riskien aikaa – on ympäristöriski ilmaston lämpenemisestä ja sen mukanaan tuomista luonnonilmiöistä, on arabikevään aiheuttama sotien ja ”kansainvaelluksen” riski, on talouden ja kasvun riski, on työpaikan menettämisen riski. Elämme yleistä epävarmuuden aikaa. Kaikki nämä heijastuvat tavalla tai toisella meihin jokaiseen. Elämme myös muutosten ja globalisaation vuosikymmeniä, jotka tuovat lisääntyvää riskiä.

Kysymys on laajemmasta kansainvälisestä ilmiöstä, jota kuvataan termillä VUCA = Epävakaus, Epävarmuus, Monimutkaisuus, Monimerkityksisyys. (Volatility, Unsertainity, Complexity, Ambiguity)/2/. Pitkä vakauden aika on päättymässä!?

Maailma on nyt ja tulevaisuudessa tämän kaltainen tai ainakin niin uskotaan. Epävakaa, epävarma, monimutkainen ja monimerkityksinen. Riskejä ja yllätyksiä täynnä. Kysymys on riskin merkittävästä kasvamisesta, johon yritysten ja yhteisöjen toivotaan vastaavan riskiperusteisella ajattelulla tarkastelemalla yhä systemaattisemmin niin negatiivista kuin positiivistakin puolta riskeistä.

2. Uusi ISO 9001:2015 ja sen riskianalyysivaatimus. ” Tälle eurooppalaiselle standardille on annettava kansallisen standardin asema joko julkaisemalla standardin kanssa yhtäpitävä teksti tai vahvistamalla tämä standardi kansalliseksi standardiksi viimeistään maaliskuun 2016 loppuun mennessä.” Suomen kansallinen standardi on siis ISO 9001:2015!

Mitä riskiperusteinen ajattelu on?

Riskiperusteinen ajattelu on jotain mitä toteutamme jatkuvasti enemmän tai vähemmän tietoisesti. Toivomme parasta ja pelkäämme pahinta! Miten toimimme näiden toiveiden ja pelkojemme ohjaamana?

Riskiperusteinen ajattelu on ollut sisään rakennettuna myös ISO 9001 -laadunhallintajärjestelmässä sen alusta lähtien (vuodesta 1987), mutta nyt RISKI on otettu keskeiseksi teemaksi yhdessä prosessiajattelun kanssa uusimmassa standardissa. Kuva 1.

Kuva 1. ISO 9001:n kehittyminen
 • 1987 standardi korosti tuotteiden tarkastusta, jolla pyrittiin minimoimaan viallisten tuotteiden asiakasriskiä (riski) ja samalla vähentämään takuu ja korjauskustannuksia (mahdollisuus).
 • 1994 korostettiin ISO:ssa ennaltaehkäiseviä toimia, jotta viallisia tuotteita ei syntyisi. Siirryttiin tarkastuksesta ennaltaehkäisyyn.
 • 2000 otettiin käyttöön prosessiajattelu ja prosessin ohjaus virheriskin minimoimiseksi itse prosessissa, ei vain lopputuotteissa. Tällä voidaan viallisten tuotteiden ja palvelujen todennäköisyysriskiä pienentää vaihtelua vähentämällä. SPC (tilastollinen prosessinohjaus), laatutaulut ja prosessin suorituskyky, Cp-indeksit muodostivat riskiä ehkäisevän rakenteen.
 • 2008 prosessiajattelu laajeni ja syveni ja ennakoi Six Sigman tuloa niin, että 2015 julkaistiin ISO 13053:1 ja 2 ”Prosessin kehittämisen kvantitatiiviset menetelmät. Six Sigma. Osa 1: DMAIC-menetelmä ja Osa 2: Työkalut ja tekniikat”. Six Sigma on nyt virallinen standardoitu kehitysmenetelmä.

Riskiajattelu on siis ollut lausumattomana koko ISO:n historian ajan, mutta nyt se on otettu täsmällisesti ilmaistuna ISO-rakenteeseen ennaltaehkäisevänä toimena. Itse asiassa ennaltaehkäisy on korvattu riskillä. Yrityksen on luotava riskirekisteri (risk register)!

Riskiajattelun kaksi puolta

Riskin ajatellaan usein olevan vain negatiivinen (downside risk), mutta riski käsite voi myös auttaa tunnistamaan mahdollisuuksia (upside risk). Tämä on riskin positiivinen puoli.

Kuva 2. Riskin kaksi puolta – mahdollisuus (upside risk) ja riski (downside risk)

Miten voisi riskiperusteisen ajattelun tiivistää? Kysymällä ja vastaamalla muutamiin kysymyksiin:

Riskien tunnistamiseksi, analysoimiseksi ja priorisoimiseksi (Plan):

 • Mikä on tulevaisuudessa hyväksyttävää?
 • Mikä ei ole tulevaisuudessa hyväksyttävää?

Tunnistettujen riskien toiminnan suunnittelemiseksi voit kysyä (Do)

 • Kuinka voin välttää tai eliminoida riskin?
 • Kuinka voin lievittää riskiä?

Kun näihin on vastannut, on tehtävä jotain, silloin (Check, Act)

 • Sovelletaan suunnitelma, tehdään toimenpide
 • Tarkistetaan sen tehokkuus – toimiiko ja
 • Opitaan kokemuksesta – jatkuva parantaminen

Miksi pitäisi omaksua riskiperusteinen ajattelu?

Riskiperusteinen ajattelu vahvistaa erityisesti

 • Asiakasluottamusta ja tyytyväisyyttä
 • Varmistaa palveluiden ja tuotteiden yhdenmukaisuuden, tasaisuuden ja niiden kyvyn täyttää lakien ja viranomaisten vaatimukset
 • Luo ennaltaehkäisevän ja parannuksia arvostavan kulttuurin
 • Mahdollistaa toimintaympäristöön ja tavoitteisiin liittyvien riskien ja mahdollisuuksien käsittelyn

Miten uusi ISO 9001:2015 käsittelee riskiperusteista ajattelua?

Riskiperusteinen ajattelu kulkee läpi koko 10-kohtaisen uuden ISO 9001 -standardin muodostaen PDCA (Plan, Do, Check, Act) -ympyrän

 • Kohdassa 4 organisaatiolta vaaditaan niiden riskien määrittämistä, jotka voivat vaikuttaa sen kykyyn täyttää systeemin tavoitteet. Riskiperusteinen ajattelu tarkoittaa riskin määrällisten kuin laadullisten seikkojen huomioimista siinä ympäristössä, jossa yritys tai yhteisö toimii.
 • Kohdassa 5 organisaation ylimmän johdon on osoitettava johtajuutta ja sitoutumista edistämällä prosessimaisen toimintamallin ja riskiperusteisen ajattelun käyttöä.
 • Kohdassa 6 organisaatiota vaaditaan tekemään toimenpiteitä tunnistaakseen riskit ja mahdollisuudet ja suunnittelemaan, kuinka käsitellä riskit ja mahdollisuudet ja näihin liittyvät toimenpiteet.
 • Kohdassa 8 käsitellään toiminnallista suunnittelua ja ohjausta. Organisaatiolta vaaditaan suunnitelma, soveltaminen ja ohjaus niihin prosesseihin, jotka kohdassa 6 tunnistettiin.
 • Kohdassa 9 organisaation on analysoitava ja arvioitava seurannasta ja mittauksista saatavaa tietoa riskien ja mahdollisten käsittelytoimenpiteiden vaikuttavuutta.
 • Kohdassa 10 organisaation on määritettävä ja valittava parannusmahdollisuudet ja toteutettava tarvittavat toimenpiteet ei-toivottujen vaikutusten korjaamiseksi, estämiseksi ja vähentämiseksi.

ISO 9001:2015 ei kuitenkaan vaadi mitään muodollista riskianalyysiä, kuten FMEA, HACCP, FTA, Luotettavuustekniikkaa jne. Menetelmät löytyvät tarkemmin ISO 31000, jossa on lueteltu 31 riskityökalua. Näiden ”pakollinen” aika tullee myöhemmin!?

Kokonaisuudessaan riskiajattelu noudattaa PDCA-ympyrää

Kuva 3. Prosessiajattelu PDCA ja riski

Miten pitäisi toimia riskien kanssa?

Organisaation ja johdon on sitouduttava riskiperusteiseen ajatteluun. On tunnistettava riskit, niiden vakavuus ja esiintymisen todennäköisyys ja priorisoitava nämä ja luotava riskeistä rekisteri (risk register) ja sen jälkeen päätettävä toimenpiteistä, kuinka riskiä käsitellään.

Riskien käsittelyn vaihtoehtoja voivat olla esimerkiksi 1. riskin torjuminen, 2. riskin ottaminen jonkin mahdollisuuden hyödyn takia, 3. riskin lähteen poistaminen, 4. todennäköisyyden tai seurausten muuttaminen, 5. riskin jakaminen tai 6. riskin tietoinen säilyttäminen.

Oleellista uudessa ISO:ssa on, että riskin käsitettä laajennetaan koko yritystoiminnan alueelle, ei vain lopputuotteeseen tai palveluun.

Rekisteri, dokumentti, data, voi olla yksinkertainen Excel-taulukko, worksheet tai vastaava, johon kerätään riskikohteet, niiden arviointi, toimenpiteet ja toteutuminen. Se voi olla myös FMEA-taulukko.

Jos yrityksessä on Lean Six Sigma -osaajia, kuuluu heidän osata riskiarviointi ja sen käsittely. Jokaisen Green Belt tai Black Belt -työn pitäisi sisältää FMEA-analyysi tai vastaava.

Paras muoto kuitenkin riskianalyysiin on FMEA-taulukko, jossa käsite Vikamuoto = Riski.

FMEA-analyysissä edetään riskin syiden ennaltaehkäisyyn ja lasketaan riskiprioriteettiluku (RPN, riski priority number, 1-1000). Jos riski ylittää sovitun luvun, esim. 90, on toimenpiteet tehtävä niin, että riski pienenee alle sovitun luvun. Kuvassa erään ruiskupuristusta tekevän yrityksen muovikappaleen valmistuksen riskianalyysi (osa).

Katso myös edellistä Jarno Kankaanrannan artikkelia 22.12.2015 ” Kuinka FMEA:ta sovelletaan palveluissa?/4/

Yhteenveto: Riskiperusteinen ajattelu on tervetullut uudistus ISO 9001:een. Ennaltaehkäisykonsepti ei koskaan ole lyönyt itseään läpi siinä määrin kuin olisi toivonut.

Riski ja sen ottaminen voiton toivossa (mahdollisuus, upside) ja toisaalta häviö (riski, downside) ovat jokaisen organisaatiota johtavan jatkuva huoli, jolle on aina tehtävä jotain. Nyt se on ISO 9001:2015:ssa oikein suoraan mainittu ja vaadittu.

Lähteet:

 1. SFS-EN ISO 9001:2015
 2. Greg Hutchins: ISO: Risk Based Thinking, 2015 edition
 3. SFS-EN ISO31000 (2009)
 4. Jarno Kankaanrannan artikkeli 22.12.2015 ” Kuinka FMEA:ta sovelletaan palveluissa?”

Kommentoi artikkelia

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Tilaa uutiskirje

Liity postituslistalle ja saat uusimmat artikkelit suoraan sähköpostiisi.