6 Riskien suuruuden arvionti

Riskin suuruuteen vaikuttavat mahdollisten seurausten vakavuus ja todennäköisyys. Uhkia löytyy usein niin paljon, että kaikkia ongelmia on mahdoton hoitaa yhdellä kertaa. Tärkeää onkin tunnistaa ne isoimmat riskit, jotka kiireisemmin vaativat ratkaisua. Tämän vuoksi määritellään ensin riskin suuruus arvioimalla uhkan seurauksena mahdollisesti syntyvien vahinkojen suuruus ja vahingon todennäköisyys. Riskin suuruuden arviointi antaa perusteet toimenpiteiden suunnittelulle ja suuntaamiselle.

Tässä luvussa esitetään yksi malli riskin suuruuden arviointiin. Myös muita tapoja riskin suuruuden arviointiin on olemassa.

6.1 Uhkan todennäköisyyden arviointi

Kaikkiin vaarojen ja uhkien tunnistamismenetelmiin voidaan liittää myös riskin määrittely karkealla tasolla. Kun uhkan syyt on tunnistettu ja seuraukset arvioitu, voidaan kyseisen riskin suuruus määritellä. Riskin suuruuteen vaikuttavat tapahtuman todennäköisyys ja seurausten vakavuus. Yksinkertainen karkea luokittelu on usein helpompi laatia ja antaa hyvän kuvan eri riskien keskinäisistä eroista. Uhkien luokitteluun voidaan käyttää esimerkiksi taulukossa 1 esitettyä asteikkoa. Asteikon soveltamisessa pitää käyttää harkintaa ja soveltaa sitä oman organisaation tilanteen mukaisesti.

Taulukko 2. Esimerkki uhkan todennäköisyyden arvioinnin asteikosta.

 

Korkea

3 Toiminto tai järjestelmä on heikosti valvottua

  • Toimintoon tai järjestelmään pääsy on helppoa

  • Toimintoa tai järjestelmää kohtaan on suurta mielenkiintoa

  • Toiminnon ohjeistusta ei ole

  • Tapahtuma ilmenee kerran kuukaudessa

  • Uhkan toteuttaminen on mahdollista suurelle määrälle käyttäjiä (oma henkilöstö, yhteistyökumppanit, ulkopuoliset)

 

Keskimääräinen

2

  • Toiminto on osittain valvottua

  • Toiminnon ohjeistus on puutteellista

  • Tapahtuma ilmenee 1–2 kertaa vuodessa

  • Uhkan toteuttaminen on mahdollista tietyille käyttäjäryhmille (atk-tuki)

Alhainen

1

  • Toiminto on hyvin valvottua ja siihen pääsy on hallittua.

 

 

  • Toiminto on hyvin ohjeistettu

 

 

  • Toimintoa kohtaan ei ole mielenkiintoa

 

 

  • Tapahtuma ilmenee kerran vuodessa

 

 

  • Uhkan toteuttaminen on mahdollista vain yksittäisille työntekijöille

 

 

(asiantuntijat)

Ei merkitystä

0

  • Todennäköisyys on tasan nolla. Tämä uhka ei voi toteutua missään olosuhteissa

6.2 Seurausten vakavuuden arviointi

Seurausten vakavuuden arviointi kattaa mahdollisesti esiintyvän haitallisen tapahtuman vaikutusten analysoinnin. Taulukossa 2 on esitetty esimerkki seurausten vakavuuden luokittelusta. Asteikon soveltamisessa pitää käyttää harkintaa ja soveltaa sitä oman organisaation tilanteen mukaisesti.

Taulukko 3. Esimerkki seurausten vakavuuden luokittelusta

 

Erittäin vakavat

3

  • Seuraukset koskevat kaikkia tietojen tai palveluiden käyttäjiä

 

 

  • Uhkan toteutuminen aiheuttaa välittömiä toimenpiteitä

 

 

  • Uhkan toteutuminen aiheuttaa raportoinnin ministeriölle ja tiedotusvälineille

 

 

  • Uhkan toteutuminen aiheuttaa toiminnan keskeytymisen tunneista useisiin päiviin

 

 

  • Uhkan toteutuminen aiheuttaa suuria taloudellisia kustannuksia

 

 

  • Uhkan toteutuminen aiheuttaa vakavan häiriön organisaation toiminnassa (useiden avainhenkilöiden menetys)

 

 

  • Uhkan toteutuminen aiheuttaa luottamuksellisuuden menetyksen

 

 

  • Toiminta on lainsäädännön velvoitteiden vastaista.

Vakavat

2

  • Seurauksilla on vaikutuksia organisaation sisällä, esimerkiksi yksittäisten työntekijöiden työmäärät kasvavat (avainhenkilön menetys)

 

 

  • Seuraukset koskevat useita tietojen tai palveluiden käyttäjiä

 

 

  • Seurauksilla on vaikutus organisaation toimintaan (saatava kuntoon tunneissa)

 

 

  • Uhkan toteutuminen aiheuttaa tiedotteen tekemisen

 

 

  • Uhkan toteutuminen aiheuttaa merkittäviä taloudellisia kustannuksia

 

Vähäiset

1

  • Seuraukset koskevat muutamia tietojen tai palveluiden käyttäjiä

  • Uhkan toteutuminen ei aiheuta välittömästi toimenpiteitä

  • Uhkan toteutuminen aiheuttaa sisäisen raportoinnin

  • Uhkan toteutuminen aiheuttaa vähäisiä taloudellisia kustannuksia

  • Toiminnan keskeytyminen on muutaman minuutin pituinen

Seurausten vakavuutta mietittäessä kannattaa pohtia seuraavia kysymyksiä.

• Mitä vahingosta voi pahimmassa tapauksessa aiheutua? Mitä vahingosta normaalisti aiheutuu?
• Mihin kaikkeen vahinko vaikuttaa? Miten monia ihmisiä, töitä, koneita, asiakkaita tai esimerkiksi yhteistyötahoja vahinko ja sen seuraukset koskevat? Mihin kaikkeen vahinko voi vaikuttaa?
• Mitkä ovat vahingon välilliset seuraukset? Välilliset seuraukset voivat
olla paljon suuremmat kuin välittömästi seuraava vahinko.

6.3 Riskin suuruus

Käytännöllinen apuväline arviointiin on esimerkiksi alla oleva riskitaulukko. Riskitaulukossa seurausten vakavuudelle ja uhkan todennäköisyydelle on kolme eri tasoa. Tehtyjen selvitysten perusteella valitaan ensiksi seurausten vakavuus taulukon ylimmältä riviltä ja sen jälkeen tapahtuman todennäköisyys ensimmäisestä sarakkeesta. Riski on valittujen kohtien leikkauspisteessä olevan arvon suuruinen. Riskin suuruus saa pienimmillään arvon 1 (merkityksetön riski) ja suurimmillaan arvon 5 (sietämätön riski). Myös muunlaisia asteikkoja on mahdollista käyttää.

Taulukko 4. Esimerkki riskitaulukosta

 

Kriittisyys

Seurausten vakavuus

Vähäinen (1)

Vakava (2)

Erittäin vakava (3)

Uhkan toden- näköi­syys

Korkea (3)

3. Kohtalainen riski

4. Merkittävä riski

5. Sietämätön riski

Keskimääräinen (2)

2. Vähäinen riski

3. Kohtalainen riski

4. Merkittävä riski

Alhainen (1)

1.Merkityksetön riski

2. Vähäinen riski

3. Kohtalainen riski

6.4 Kvantitatiivinen ja kvalitatiivinen riskien suuruuden arviointi

Riskianalyysin alkaa aina ensin kvalitatiivisella uhkien ja vaaratekijöiden tutkimisella. Tämän jälkeen voidaan uhkien seurauksia ja niiden todennäköisyyttä luokitella subjektiivisiin arvioihin perustuen. Tässä luokittelussa voidaan käyttää apuna edellä esitettyjä taulukkoja tai muita vastaavia apuvälineitä. Usein tällainen analyysi on riittävän tarkka riskienhallinnan kannalta.

Analyysia voidaan jatkaa merkittävimpien uhkien seurausten ja tapahtumistaajuuden kvantitatiivisella arvioinnilla, mikäli tarvitaan tarkempia arvioita päätöksenteon pohjaksi. Uhkien todennäköisyyden arviointi perustuu tällöin komponenttien vioittumistietoihin ja ihmisen toiminnan virhetietoihin. Seurausten kuvaamiseen voidaan käyttää laskentamenetelmiä, jotka kuvaavat järjestelmän käyttäytymistä häiriötilanteessa.

Courtneyn riskianalyysimenetelmä on hyväksytty Yhdysvaltain valtion virastojen viralliseksi riskianalyysistandardiksi, ja sen pohjalta on toteutettu lukuisia riskianalyysiohjelmistoja. Menetelmän kehitti Robert Courtney Jr IBM:n palveluksessa 1970-luvulla.

Menetelmä perustuu ei-toivottujen tapahtumien odotetun esiintymistaajuuden sekä rahallisten vahinkojen suuruuden avulla laskettavaan vahingon odotusarvoon. Laskennan lopputuloksena saadaan tarkka numeerinen arvo (odotetun vahingon suuruus euroina). Tämä mahdollistaa tarvittavien suojausten priorisoinnin ja hyöty- / kustannusarviot suojauksia suunniteltaessa. Courtneyn menetelmän ongelmana on tilastollisen tiedon puute. Lähtötiedot ovat arvioita.

Vahti- ylläpito08.10.2009 / 14:01:26
Tulosta