Riskien arviointi -opas 2026: tunnista, arvioi ja hallitse riskit

1. Mikä on riskien arviointi?

Riskien arviointi on systemaattinen prosessi, jossa tunnistetaan organisaation tai projektin toimintaan kohdistuvat vaarat ja uhat, arvioidaan niiden todennäköisyys ja vaikutus sekä määritellään tarvittavat hallintakeinot. Se on keskeinen osa riskienhallintaa ja turvallisen toimintaympäristön ylläpitoa.

Riskien arvioinnin tavoitteena on muuttaa epämääräinen huoli konkreettisiksi toimenpiteiksi. Sen sijaan, että organisaatio toimii reaktiivisesti ongelmatilanteiden sattuessa, riskien arviointi mahdollistaa ennakoivan toimintatavan: riskit tunnistetaan, priorisoidaan ja niihin varaudutaan ennen kuin ne toteutuvat.

Riskien arviointi voi kohdistua monenlaisiin riskeihin: työturvallisuusriskit, tietoturvariskit, liiketoimintariskit, ympäristöriskit, projektiriskit ja oikeudelliset riskit. Menetelmä on periaatteessa sama — vain riskiluokat ja hallintakeinot vaihtelevat.

Kansainvälisesti tunnetuin riskienhallinnan viitekehys on ISO 31000 -standardi, joka tarjoaa periaatteet ja prosessikehyksen kaikenlaiseen riskienhallintaan. Suomessa erityisesti työturvallisuuslaki asettaa työnantajalle velvoitteen arvioida työn vaarat järjestelmällisesti.

Riskien arviointi ei ole kertaluonteinen projekti vaan jatkuva prosessi. Arviointi on päivitettävä aina, kun toimintaympäristö muuttuu: uusia laitteita otetaan käyttöön, henkilöstö vaihtuu, uusia palveluja otetaan käyttöön tai lainsäädäntö muuttuu.

2. Kenelle riskien arviointi on pakollinen?

Riskien arviointi on lakisääteinen velvoite useissa konteksteissa. Erityisesti työturvallisuuslaki (738/2002) asettaa työnantajalle velvoitteen tunnistaa ja arvioida työpaikan vaarat. Mutta tarve riskien arviointiin ulottuu paljon laajemmalle:

• Työnantajat — Työturvallisuuslain 10 § edellyttää työnantajaa selvittämään ja arvioimaan työn vaarat riittävän järjestelmällisesti. Tämä koskee kaikkia työnantajia koosta riippumatta — myös yhden henkilön yritystä, joka palkkaa ensimmäisen työntekijänsä.
• Kiinteistönomistajat ja taloyhtiöt — Pelastuslain mukainen pelastussuunnitelma edellyttää riskien arviointia rakennuksen turvallisuuteen liittyen: paloriskit, tapaturmariskit, vesivahinkoriskit ja muut kiinteistökohtaiset vaarat.
• Tietosuoja ja tietoturva — GDPR edellyttää tietosuojan vaikutustenarviointia (DPIA) silloin, kun henkilötietojen käsittely aiheuttaa korkean riskin rekisteröityjen oikeuksille. Lisäksi tietoturvan riskien arviointi on ISO 27001 -standardin perusedellytys.
• Projektipäälliköt — Projektisuunnittelun olennainen osa on projektin riskien tunnistaminen: aikataulu-, budjetti-, resurssi- ja tekniset riskit.
• Teollisuus ja tuotanto — Kemikaalilaki, painelaitelaki ja konedirektiivi edellyttävät kukin omia riskien arviointejaan.
• Hallituksen jäsenet — Osakeyhtiölain huolellisuusvelvoite (OYL 1:8) edellyttää, että yhtiön hallitus tunnistaa ja hallitsee merkittävät liiketoimintariskit.

Käytännössä jokainen organisaatio hyötyy riskien arvioinnista, vaikkei mikään erityislaki sitä suoraan edellyttäisi. Hyvin tehty riskien arviointi pienentää vahinkoja, alentaa vakuutusmaksuja ja osoittaa sidosryhmille vastuullista toimintaa.

3. Mitä riskien arviointi sisältää?

Hyvä riskien arviointi kattaa koko riskienhallintaprosessin tunnistamisesta seurantaan. Seuraavat osiot muodostavat tyypillisen rakenteen:

3.1 Riskien tunnistaminen

Ensimmäinen vaihe on tunnistaa, mitä riskejä organisaation toimintaan liittyy. Tunnistaminen voidaan tehdä esimerkiksi aivoriihellä, tarkistuslistoilla, haastatteluilla, onnettomuusraporttien analyysillä tai työpaikkakierroksella. Tärkeintä on, ettei riskejä arvioida vielä tässä vaiheessa — tavoitteena on mahdollisimman kattava lista.

Tyypillisiä riskiluokkia ovat: fyysiset vaarat (melu, kemikaalit, liukkaus), ergonomiset riskit (toistuvat liikkeet, huono työasento), psykososiaaliset riskit (stressi, häirintä, ylikuormitus), taloudelliset riskit (kassavirta, luottotappiot), teknologiset riskit (tietomurto, järjestelmävika) ja oikeudelliset riskit (sopimusrikkomukset, regulaatiomuutokset).

3.2 Riskien analysointi: todennäköisyys ja vaikutus

Jokainen tunnistettu riski arvioidaan kahdella ulottuvuudella: kuinka todennäköistä riskin toteutuminen on ja kuinka vakava sen vaikutus olisi. Tyypillisesti käytetään 3- tai 5-portaista asteikkoa molemmille:

• Todennäköisyys: Epätodennäköinen — Mahdollinen — Todennäköinen — Hyvin todennäköinen — Lähes varma
• Vaikutus: Merkityksetön — Vähäinen — Kohtalainen — Merkittävä — Katastrofaalinen

Riskimatriisi (todennäköisyys × vaikutus) tuottaa riskitason, joka ohjaa priorisoinnin: punaiset riskit vaativat välittömiä toimenpiteitä, keltaiset suunnitelmallista hallintaa ja vihreät seurantaa.

3.3 Hallintakeinot ja toimenpiteet

Jokaiselle merkittävälle riskille määritellään hallintakeino. Riskienhallintakeinot noudattavat yleensä seuraavaa hierarkiaa:

1. Poistaminen — Riskin aiheuttaja eliminoidaan kokonaan
2. Korvaaminen — Vaarallinen tekijä korvataan vähemmän vaarallisella
3. Tekniset toimenpiteet — Suojalaitteet, automaatio, eristäminen
4. Hallinnolliset toimenpiteet — Ohjeistus, koulutus, vuorojärjestelyt
5. Henkilönsuojaimet — Viimeinen keino, kun muut eivät riitä

3.4 Vastuuhenkilöt ja aikataulut

Jokaiselle toimenpiteelle nimetään vastuuhenkilö ja määritellään aikataulu. Ilman vastuutusta toimenpiteet jäävät helposti toteuttamatta. Aikataulun tulee olla realistinen ja seurattavissa.

3.5 Seuranta ja päivitys

Riskien arviointi ei ole valmis, kun dokumentti on kirjoitettu. Toteutuneista toimenpiteistä seurataan vaikuttavuutta, jäännösriskejä arvioidaan uudelleen ja uusia riskejä tunnistetaan säännöllisesti. Hyvä käytäntö on tarkistaa riskien arviointi vähintään kerran vuodessa.

4. Miten riskien arviointi laaditaan?

Riskien arvioinnin laatiminen noudattaa tyypillisesti seuraavaa prosessia:

1. Määritä arvioinnin laajuus — Mikä on kohde (koko organisaatio, yksikkö, projekti, prosessi)? Mitkä riskiluokat käsitellään? Keitä arviointi koskee?
2. Kokoa arviointiryhmä — Riskien arviointi onnistuu parhaiten ryhmätyönä. Mukaan tarvitaan henkilöitä, jotka tuntevat kohteen käytännön toiminnan: työntekijöitä, esihenkilöitä, työsuojeluvaltuutettu ja tarvittaessa ulkopuolinen asiantuntija.
3. Tunnista riskit — Käy läpi toiminta, tilat, laitteet ja prosessit järjestelmällisesti. Käytä apuna tarkistuslistoja, onnettomuustilastoja ja aiempien arviointien havaintoja.
4. Arvioi todennäköisyys ja vaikutus — Jokaiselle riskille arvioidaan numeerinen todennäköisyys- ja vaikutusarvo. Käytä riskimatriisia visualisoimaan tulokset.
5. Määritä hallintakeinot — Priorisoi riskit matriisiarvon perusteella ja määritä kullekin konkreettinen toimenpide, vastuuhenkilö ja aikataulu.
6. Dokumentoi tulokset — Kirjaa arviointi selkeään muotoon: riskilista, riskimatriisi, toimenpidesuunnitelma ja seurantasuunnitelma.
7. Hyväksytä ja jaa — Riskien arvioinnin hyväksyy tyypillisesti johto tai hallitus. Sen jälkeen tulokset jaetaan kaikille, joita ne koskevat.
8. Seuraa ja päivitä — Aseta tarkistuspisteet: ovatko toimenpiteet toteutuneet? Onko riskitaso muuttunut? Onko uusia riskejä ilmaantunut?

Prosessin laajuus skaalautuu kohteen mukaan: pienen toimiston riskien arviointi voi valmistua päivässä, kun taas suuren teollisuuslaitoksen arviointi voi kestää viikkoja ja vaatia ulkopuolista asiantuntemusta.

5. Viralliset vaatimukset ja lainsäädäntö

Riskien arvioinnin velvoite perustuu useaan eri lakiin ja standardiin kohteen mukaan:

• Työturvallisuuslaki 738/2002, 10 § — Työnantajan on selvitettävä ja tunnistettava työstä, työtilasta, muusta työympäristöstä ja työolosuhteista aiheutuvat haitta- ja vaaratekijät. Jos niitä ei voida poistaa, on arvioitava niiden merkitys työntekijöiden turvallisuudelle ja terveydelle.
• Pelastuslaki 379/2011, 14–15 § — Pelastussuunnitelmaan sisältyy rakennuksen ja toiminnan riskien arviointi.
• GDPR Art. 35 — Tietosuojan vaikutustenarviointi (DPIA) on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille.
• ISO 31000:2018 — Kansainvälinen riskienhallinnan standardi, joka tarjoaa periaatteet, viitekehyksen ja prosessin riskienhallintaan. Ei ole sertifioitava standardi vaan ohjeistus.
• ISO 45001:2018 — Työterveys- ja työturvallisuusjärjestelmän standardi, joka edellyttää järjestelmällistä riskien arviointia.

Viralliset lähteet

• Työturvallisuuslaki 738/2002 — Finlex
• Vaarojen arviointi — Työsuojeluhallinto
• Työterveyslaitos — ttl.fi

6. Käytännön vinkit

• Käytä riskimatriisia — Todennäköisyys × vaikutus -matriisi on yksinkertainen mutta tehokas tapa priorisoida riskit. Se tekee arvioinnista visuaalisen ja helposti ymmärrettävän myös johdolle.
• Aloita suurimmista riskeistä — Kaikkia riskejä ei tarvitse hallita kerralla. Keskity ensin punaisiin (kriittisiin) riskeihin ja etene sitten keltaisiin.
• Osallista työntekijät — Parhaiten riskit tunnistavat ne, jotka työskentelevät kohteen parissa päivittäin. Johdon näkemys ei yksin riitä.
• Dokumentoi myös hyväksytyt riskit — Jos riski on tietoisesti päätetty hyväksyä (esim. liian kallis poistaa), dokumentoi päätös ja perustelu.
• Päivitä säännöllisesti — Suositeltava tarkistusväli on vähintään kerran vuodessa. Päivitä myös aina, kun toimintaympäristö muuttuu merkittävästi: uudet tilat, laitteet, prosessit tai henkilöstömuutokset.
• Käytä vakioitua pohjaa — Yhtenäinen pohja helpottaa vertailua eri vuosien ja yksiköiden välillä ja varmistaa, ettei mitään jää arvioimatta.
• Linkitä toimenpiteet vastuuhenkilöön ja deadlineen — Riski ilman toimenpidettä on havainto, ei hallintaa. Toimenpide ilman vastuuhenkilöä jää toteuttamatta.
• Arvioi jäännösriski — Kun toimenpide on toteutettu, arvioi riski uudelleen: onko riskitaso laskenut hyväksyttävälle tasolle?