Haavoittuvuusanalyysi

Pk-yrityksen haavoittuvuusanalyysi (PK-HAAVA) on järjestelmällinen apuväline pk-yrityksen toimintaan liittyvien riskien tunnistamiseen ja arviointiin sekä kehittämistoimenpiteiden suunnitteluun. PK-HAAVA antaa nopeasti karkean kokonaiskuvan yrityksen haavoittuvuudesta eli yrityksen toiminnan jatkuvuuteen liittyvistä uhista.

 

Tutustu haavoittuvuusanalyysiin vasemmalla olevien linkkien kautta. Haavoittuvuusanalyysin versio perustuu pk-yrityksen riskikarttojen käyttöön.

 • Muista, että Haavoittuvuusanalyysi on vasta riskien tunnistamisen lähtökohta - sen paljastamien riskialueiden kimppuun on käytävä yksityiskohtaisemmin menetelmin, esimerkiksi riskilajikohtaisten tarkistuslistojen avulla.
Aiheeseen liittyvää materiaalia tulostettavassa muodossa:

Haavoittuvuusanalyysi avuksi riskienhallintaan

Riskienhallinta on työtä yrityksen kannattavuuden, kilpailukyvyn ja toiminnan jatkuvuuden sekä henkilöstön hyvinvoinnin turvaamiseksi. Riskien tunnistaminen on riskienhallinnan lähtökohta. Pk-yrityksessä on hyvä tuntea omaan toimintaan ja toimintaympäristöön liittyvät riskit, jotka saattavat aiheuttaa yllätyksiä. Toisaalta on hyvä tuntea myös ne mahdollisuudet, joihin tarttumalla menestymistä voidaan vauhdittaa. Tässä kaikessa auttaa Pk-yrityksen haavoittuvuusanalyysi (PK-HAAVA). Ks. linkit ylempänä.

Yrityksen toiminta jaetaan analyysissä kuuden pääluokan kautta yli 30 osaan, joihin liittyviä uhkia tarkastellaan esimerkkien avulla. PK-HAAVA ei ole jäykkä tarkistuslista, jossa kaikki uhat olisi pyritty ennakolta kuvaamaan.

Tarkoituksena on, että esimerkkien avulla pk-yrityksessä itse selvitetään omaan toimintaan liittyvät riskit. PK-HAAVA tarjoaa työhön järjestelmällisen lähestymistavan, ideoita ja vinkkejä ajatusten herättämiseksi sekä apuvälineet dokumentointiin: havaitut ongelmat ja keskeiset toimenpiteet niiden hallitsemiseksi on hyvä aina kirjata muistiin.

Tässä osiossa kuvataan yksityiskohtaisesti haavoittuvuusanalyysin vaiheet:

 • Riskien tunnistaminen,
 • Arviointi ja
 • Kehittämistoimenpiteiden suunnittelu

PK-HAAVA on kehitetty yhteistyössä pk-yritysten kanssa. Käytännössä on havaittu, että menetelmällä saadaan usein selville ongelmia, jotka voidaan helposti poistaa, kun asiaan tartutaan. Toimenpiteet ovat toteutettavissa nopeasti, eivätkä ne aiheuta suuria kustannuksia. Toisaalta osa ongelmista vaatii lisäselvityksiä, suunnittelua ja investointeja.

Mitä haavoittuvuusanalyysi on?

PK-HAAVA on järjestelmällinen dokumentoiva analyysimenetelmä, jonka avulla tunnistetaan yrityksen toimintaan ja toimintaympäristöön liittyviä riskejä ja suunnitellaan toimenpiteitä riskien hallitsemiseksi. PK-HAAVA:n avulla yritys saa selkeän kokonaiskuvan toimintaansa uhkaavista riskeistä.

Mitä haavoittuvuus on?

Kaikkia riskejä ei voida poistaa. Ne kannattaa kuitenkin tuntea ja hallita mahdollisimman hyvin. Haavoittuvuudella tarkoitetaan riskien hallintaan liittyvää epävarmuutta, joka uhkaa yrityksen toimintaa. Näkökulma on tulevaisuuspainotteinen: Miten pärjätä jatkossa? Myös kokemuksista kannattaa ottaa opiksi. Tarkastelemalla itselle ja muille sattuneita tilanteita ja vahinkoja saadaan vinkkejä omista vahvuuksista ja heikkouksista.

Haavoittuvuusanalyysissä tunnistetaan haavoittuvimmat yritystoiminnan osa-alueet

Tarkastelussa yrityksen toiminta on jaettu kuuteen osa-alueeseen:

 • Henkilöt
 • Omaisuus ja keskeytykset
 • Toimintaedellytykset
 • Toiminnan organisointi
 • Sidosryhmät
 • Talous

Jokainen näistä on edelleen tarkastelussa purettu keskeisiin osa-alueisiinsa. Haavoittuvuusanalyysillä tunnistetaan ne osa-alueet, joihin liittyvät suurimmat riskit ja siten suurimmat tarpeet tehdä tarkempaa riskeihin liittyvää selvittämistä ja riskejä vähentäviä toimenpiteitä.

Haavoittuvuusanalyysi säännöllisessä käytössä

Kerran opittua riskien tarkastelua ja arviointia tulee käyttää säännöllisesti yrityksen toiminnassa. Kun toimintaan kaavaillaan tai siinä tapahtuu muutoksia, tulisi niiden vaikutuksia arvioida myös riskienhallinnan kannalta.

Ilman selviä muutoksiakin kannattaa ainakin kerran vuodessa käydä asiat läpi PK-HAAVA:n työvälineiden avulla. Tällöin arvioidaan, onko jokin asia sittenkin muuttunut ja ovatko toteutetut riskienhallintatoimenpiteet olleet riittäviä. Tunnistetut riskit kirjataan yhteenvetolomakkeelle ja niitä käsitellään PK-HAAVA:n työskentelytapojen avulla.

PK-HAAVA on karkea riskienhallinnan työväline, jolla saa nopeasti kattavan kokonaiskuvan yrityksen ja sen henkilöstön hyvinvointia mahdollisesti uhkaavista tekijöistä. PK-HAAVA tarjoaa välineet myös jatkotoimenpiteiden suunnitteluun ja niiden toteutuksen seurantaan.

Haavoittuvuusanalyysin tekeminen

Riskienhallinta on liikkeenjohdollinen prosessi, jonka avulla yritys pyrkii minimoimaan riskeistä aiheutuvat menetykset. PK-HAAVA on karkea riskienhallinnan apuväline, joka sisältää erilaisia vaiheita riskien tunnistamisesta niiden arviointiin ja hallintaan.

Riskienhallinnan vaiheet

 
 1. Riskien tunnistaminen
 2. Riskien arviointi ja priorisointi
 3. Riskien hallinta: kehittämistoimenpiteiden suunnittelu, toteutus ja seuranta

Riskienhallinnan vaiheet

Riskien hallinta edellyttää yrityksen ja sen toimintaympäristön hyvää tuntemusta. Haavoittuvuuden tarkastelu on tehokkainta ryhmätyönä, jossa eri henkilöstöryhmien ja avainhenkilöiden kokemus yhdistyy.

Sujuva yhteistoiminta ja haavoittuvuusanalyysin läpivienti vaatii kunnolliset palaverikäytännöt ja vetäjän, joka on perehtynyt riskienhallinnan perusteisiin (ks. Mitä on riskienhallinta) ja haavoittuvuusanalyysin laadintaan. Hyviin palaverikäytäntöihin kuuluu myös se, että esimerkiksi kaikki tunnistetut riskit ja sovitut kehittämistoimenpiteet kirjataan muistiin seurantaa varten.

Kriittinen suhtautuminen omiin toimintatapoihin ja ennakkoluuloton asenne niiden kehittämistä kohtaan ovat myös hyviä lähtökohtia. Lisäksi tarvitaan apuvälineitä, joilla varmistetaan tarkastelun järjestelmällisyys ja kattavuus.

PK-HAAVA:n apuvälineet

 • Riskikartta ja riskien kuvailut
 • Ohjeet riskin suuruuden arviointiin ja toimenpiteistä päättämiseen
 • Yhteenvetolomake

Tilanteet muuttuvat ja niiden mukana riskitkin. Haavoittuvuusanalyysi tulisi laatia säännöllisesti ja aina tarvittaessa eli tilanteiden selvästi muuttuessa tai suunniteltaessa muutoksia omaan toimintaan. Suunnitelmat voivat liittyä esimerkiksi merkittäviin investointeihin, uusiin tuoteideoihin tai henkilömuutoksiin yrityksessä.

Käytännössä haavoittuvuusanalyysit kannattaa kytkeä tavalla tai toisella yrityksen normaaleihin työtapoihin, kuten kuukausipalavereihin, laatukatselmuksiin tai projektien suunnittelupalavereihin.

Riskien tunnistaminen

Riskien tunnistaminen on riskienhallinnan lähtökohta. Tunnistamattomia riskejä ei voi hallita. PK-HAAVA:ssa riskejä tarkastellaan riskikartan mukaisesti. Riskien tunnistamisen ja toimenpiteiden suunnittelun tueksi riskikartan jokaisesta alaluokasta on laadittu sivun pituinen kuvailu, joka esimerkkien avulla valottaa suomalaisille pk-yrityksille tyypillisiä riskejä. Tutustu näihin kuvailuihin Pk-haavan työvälineissä.

Tässä esimerkki kuvailusivusta:

Kuvailu esimerkki

 

Kuvaukset ovat yleisiä. Niiden tarkoituksena on herättää ajatuksia myös muista teemaan liittyvistä riskeistä, joita tekstissä ei mainita. Parhaaseen tulokseen päästään, kun keskitytään omalle toimialalle ja yritykselle ominaisiin tilanteisiin ja riskeihin.

Mieti, mitä yleisesti kuvatut riskit tarkoittavat omassa yrityksessäsi!

Kuvaukset on kirjoitettu lähinnä tuotannollista toimintaa harjoittavalle yritykselle. Sanojen "tuote" ja "tuotanto" tilalla voi kuitenkin usein käyttää sanaa "palvelu", jonka jälkeen kuvaus soveltuu tavallisesti myös kauppaan ja palvelualoille.

Ryhmän kokoaminen

PK-HAAVA:n vetäjän ensimmäisenä tehtävänä on koota yrityksestä ryhmä, jossa on osaamista kaikilta tarvittavilta aloilta ja eri henkilöstöryhmistä. Johto, tuotanto, kunnossapito, osto, myynti ja hallinto tulisi saada saman pöydän ääreen tarkastelemaan asioita yhdessä. Ryhmän koko ja henkilövalinnat on tietenkin mukautettava yrityksen kokoon.

Palaverin aloitus

Palaverin aluksi sovitaan tarkastelun laajuudesta ja palaverin kestosta sekä päätetään, kuka kirjaa palaverin tulokset. Kokemusten mukaan kaikkien riskikartan osa-alueiden läpikäynti kestää 2 - 3 tuntia.

Tarkastelun laajuuteen ja analyysin kestoon vaikuttaa se, tarkastellaanko palaverissa:

 • Koko yritystä ja kaikkia sen toimintoja, vai rajataanko tarkastelu esimerkiksi johonkin osastoon, toimintoon tai tehtävään
 • Kaikkia riskejä vai osaa niistä

Kuvaukset on laadittu siten, että tarpeiden mukaan voidaan tarkastella vain osa riskeistä. Tarkastelujärjestyskin voi olla vapaa. Riskikartassa ja kuvailuissa on riskejä ja riskiesimerkkejä, jotka eivät liity kaikkien yritysten toimintaan. Ne voidaan analyysissä ohittaa. Joskus on tarkoituksenmukaista perustaa omat työryhmänsä arvioimaan eri riskialueita tai pitää samalla ryhmällä useampi palaveri.

Jos palaveri toteutetaan välinesarjan paperiaineistolla, vetäjän tehtävänä on varmistaa, että kaikilla osallistujilla on työkirjanen tai kopiot riskien tunnistamiseen käytettävistä kuvailuista.

Tietokonetta käytettäessä on kuvaukset joko kopioitava kaikille tai käytettävä videotykkiä, jotta kaikki voivat itse tutustua kuvauksiin.

Hiljainen ideointi ja keskustelu

Vetäjä valitsee ensimmäiseksi tarkasteltavan teeman. Kaikki lukevat itsekseen tarkasteltavan riskin kuvauksen ja pohtivat tilannetta omalta kannaltaan. Mielessään voi ajatella esimerkiksi seuraavia kysymyksiä

 • Onko ongelmaa tai jotain muuta vastaavan kaltaista esiintynyt meillä tai muilla?
 • Onko meillä tai muualla sattunut riskiin liittyviä vahinkoja tai läheltä piti -tapauksia?
 • Millaisissa tilanteissa pikku vahinko tai ongelma voisi johtaa vakaviin seurauksiin?
 • Onko ongelmasta esiintynyt oireita, vaikka vahinkoa ei olekaan sattunut?
 • Onko toiminnassa ja välineissä puutteita, joiden kanssa on opittu elämään, eikä vahinkoja sen vuoksi ole sattunut?
 • Onko tästä ongelmasta tai riskistä keskusteltu joskus aikaisemmin?
 • Onko omassa toiminnassa tai toimintaympäristössä näköpiirissä muutoksia, jotka voisivat vaikuttaa ongelman tai riskin esiintymiseen?

Keskustelu

Vetäjä avaa keskustelun kuvauksen perusteella syntyneistä ajatuksista ja huolehtii, että kaikki saavat kertoa käsityksensä riskistä. Myös näkemyksiä riskin hallintatoimenpiteiksi voidaan esittää. Vetäjän vastuulla on se, että keskustelu ei pääse liiaksi rönsyilemään.

Syyttely, selittely ja puolustelu eivät kuulu tähän tarkasteluun.

Riskien arviointi

Tässä vaiheessa tarkasteltavaksi otetaan ne riskit tai ongelmat, joiden osalta riskien tunnistamisen yhteydessä on toimenpidetarpeeksi kirjattu Hoidettava kuntoon. Tarkastelu voidaan tehdä samalla ryhmällä, joka ongelmat on tunnistanut. Ryhmää voidaan tarvittaessa täydentää niillä henkilöillä, jotka tuntevat tarkasteltavat asiat parhaiten.

Tunnistettaessa riskejä järjestelmällisesti löydetään niitä tavallisesti niin runsaasti, että kaikkien asioiden kuntoon saattaminen ei ole ainakaan heti mahdollista. Riskienhallinnan jatkon kannalta on tärkeätä tunnistaa kiireisimmin toimenpiteitä vaativat ongelmat.

Riskien arvioinnin ja kehittämistoimenpiteiden suunnittelun ja toteutuksen tueksi on laadittu Riskienhallintatoimenpiteet: suunnittelu, toteutus ja seuranta yhteenvetolomake, jolle tunnistettu ongelma tai riski aluksi kirjataan Riski tai ongelma -sarakkeeseen.

Asiat kannattaa kirjata yhteenvetolomakkeelle mahdollisimman lyhyesti, kuitenkin niin, että ainakin kaikki yrityksessä työskentelevät ymmärtävät, mistä oikein on kysymys.

Riskin syiden täsmentäminen

Riskin suuruuden arvioimiseksi kannattaa sen syitä ja seurauksia tarkastella vielä yksityiskohtaisesti. Usein asioista on jo keskusteltu riskien tunnistamisen yhteydessä. Vetäjä kertaa kaikille riskien tunnnistamisen yhteydessä kirjatut muistiinpanot. Käsitykset ongelmasta ja sen syistä tai vaikutuksista voivat kuitenkin olla vielä tässä vaiheessa epäselviä. Nämä tilanteet vaativat lisää keskusteluja ja joskus myös ulkopuolisen asiantuntijan käyttöä.

Kirjaa koontilomakkeeseen, mistä ongelma tai riski johtuu tai mitkä tekijät voivat vaikuttaa sen syntyy tai seurausten laajuuteen tai vakavuuteen. Muista että sama tapahtuma voi johtua useammasta eri syystä.

Riskin seurausten täsmentäminen

Riskin suuruuden arvioimiseksi joudutaan miettimään seurausten laajuutta ja vakavuutta. Yleensä kannattaa tarkastella pahinta mahdollista tilannetta tai seurausten laajinta mahdollista toteutumista. Kirjaa seuraukset koontilomakkeelle.

Lomakkeessa on syille ja seurauksille omat sarakkeensa.

Tutustu myös näihin:

Päätös toimenpidetarpeesta

Ryhmä arvioi vetäjän johdolla toimenpidetarpeen seuraavan luokittelun perusteella:

 • Ei riskiä.

  Kyseessä ei ole merkittävä riski. Riski on niin pieni, että sillä ei ole merkitystä yritykselle tai kuvattu ongelma ei kuulu lainkaan yrityksen toimintaan ja toimialaan. "Tämä ei ole meidän toimintaamme kuuluva merkittävä riski."

 • Riski hallinnassa.

  Asia on ollut yritykselle merkittävä riski, mutta se on tällä hetkellä hallinnassa. Riskin seurauksia tai todennäköisyyttä on pienennetty. Yrityksellä on esimerkiksi varamiesjärjestelmä tai tapahtuman todennäköisyyttä on vähennetty niin pieneksi kuin mahdollista. "Riski on tiedostettu ja homma on hoidossa."

 • Hoidettava kuntoon.

  Kyseessä on merkittävä riski, joka vaatii lisäselvitystä tai välittömiä toimenpiteitä. Nämä riskit ovat joko aikaisemmin aiheuttaneet tai voivat tulevaisuudessa aiheuttaa yritykselle merkittäviä haittoja. On hyvä tarkastella myös sellaisia riskejä, joille yritys itse ei näytä voivan tehdä mitään kuten esimerkiksi lainsäädäntö tai verotus. Tällaisiinkin riskeihin voidaan aina varautua ja niiden muutoksia tulee seurata. "Tätä täytyy tarkastella lisää ja hoitaa asia kuntoon."

Tietokoneversiossa johtopäätös ruksataan tarkistuslistaan. Paperiversiossa se kirjataan kuvauksen alla olevaan vastausruudukkoon.

Tarkastelun yhteydessä voidaan lyhyesti kirjata tunnistetut ongelmakohdat yksityiskohtaisemmin, muita täsmentäviä tietoja ja mahdollisesti sovitut jatkotoimenpiteet. Esiin tulleita ongelman syitä ja seurauksia voidaan myös kirjata. Hallinnassa olevista riskeistä voidaan kirjata, millä perusteella riskin arvioidaan olevan hallinnassa.

Seuraavaan teemaan siirtyminen

Kun yksi teema on käsitelty, niin vetäjän johdolla siirrytään käsittelemään seuraavaa. Vastaavasti edeten käydään läpi kaikki tai sovitut kohdat.

Toimenpiteet seurantaan

Kaikki hoidettaviksi kirjatut ongelma-alueet kootaan ohjelmiston avulla jatkokäsittelyyn. Paperiversion kanssa toimittaessa ne siirretään Riskienhallintatoimenpiteet:suunnittelu, toteutus ja seuranta -yhteenvetolomakkeeseen.

Riskien hallinta: kehittämistoimenpiteet

Jo riskien tunnistamisen yhteydessä saattoi tulla toimenpide-ehdotuksia ongelman poistamiseksi. Sovitut toimenpiteet, vastuuhenkilöt ja aikataulut kirjataan yhteenvetolomakkeelle omiin sarakkeisiinsa.

Kaikkia riskejä ei voida poistaa. Toimenpiteiden kiireellisyysjärjestys riippuu riskin suuruudesta. Riskienhallintatoimenpiteet on syytä aloittaa suurimmiksi arvioiduista riskeistä ja ulottaa niin laajalle kuin mahdollista. Toisaalta pieniäkään riskejä ei pitäisi unohtaa, koska ne voidaan monesti hoitaa pienin kustannuksin.

Tunnistettuja riskejä voidaan hallita monilla keinoilla. Ensisijaisesti on pyrittävä estämään vahinkojen syntyminen tai vähentämään niiden seurauksia.

Riskien hallintakeinoja

Riskin välttäminen

Riskiä ei yleensä voida kokonaan välttää. Riskin välttäminen on usein mahdollista vain, jos kyseisistä toimista pidättäydytään kokonaan. Esimerkiksi vaarallisen kemikaalin käsittelyyn liittyvät riskit voidaan välttää siirtymällä turvalliseen kemikaaliin ja vientitoiminnan riskit voidaan välttää kokonaan toimimalla pelkästään kotimaassa.

Riskin pienentäminen

Riskin pienentäminen on olennainen osa riskien hallintaa. Riskiä voidaan pienentää vaikuttamalla tapahtuman todennäköisyyteen ja seurauksiin. Toisin sanoen on pyrittävä vaikuttamaan siihen, että riski toteutuisi mahdollisimman harvoin ja jos se toteutuu, seuraukset olisivat mahdollisimman pienet. Ensisijaisesti olisi pyrittävä vaikuttamaan riskin todennäköisyyteen.

Riskin siirtäminen ja jakaminen

Riskiä voidaan siirtää toiselle taholle sopimusteitse. Tyypillisiä sopimuksia ovat esimerkiksi kuljetus- ja alihankintasopimukset: luotettavan ja ammattitaitoisen yrityksen kanssa voidaan tehdä sopimus riskin sisältävän työn suorittamisesta. Toinen mahdollisuus on vakuuttaminen. Vakuutusyhtiöillä on runsaasti erilaisia vakuutusmuotoja pk-yritystenkin tarpeisiin. Vakuutusmaksujen suuruuteen voi vaikuttaa mm. omilla riskienhallintatoimenpiteillä, eli riskienhallinta on kannattavaa tälläkin tavalla. Liikeriskien kohdalla vakuuttaminen on harvoin mahdollista.

Riskin pitäminen omalla vastuulla

Riskit ovat osa yritystoimintaa. Osa riskeistä on sellaisia, että ne joudutaan tai kannattaa pitää omalla vastuulla. Niiden kanssa on osattava elää. Esimerkiksi sopimuksista ja vakuuttamisesta huolimatta osa riskistä jää aina omalle vastuulle.

Älä tyydy ensimmäiseen ideaan riskin hallitsemiseksi - mieti erilaisia vaihtoehtoja

Riskienhallintaa on myös varautuminen, jos kaikesta huolimatta jotakin sattuu. Usein on hyvä ennakolta rauhassa suunnitella, miten toimitaan vahingon sattuessa ja miten vahingosta toivutaan. Näin varmistetaan sujuva toiminta ongelmatilanteissa.

Tutustu myös tähän:

Jatkotoimenpiteet

Jotta asiat menisivät eteenpäin, on paras heti nimetä vastuuhenkilö tai henkilöt, jotka asiaa hoitavat. Kaikkea ei voida tehdä heti. Osa ongelmista vaatii tarkempaa selvittämistä, suunnittelua, tai jopa rahoituksen järjestämistä. Parasta on kuitenkin aina sopia myös toteutusaikataulusta.

Toimenpiteiden seuranta

Kun toimenpide-ehdotuksia laaditaan, on syytä päättää myös tilanteen seurannasta. Sopivin välein, esimerkiksi kerran kuukaudessa tai muutaman kerran vuodessa, kokoonnutaan tarkastelemaan toimenpide-ehdotusten toteutumista. Hallintaan saadut riskit kuitataan rastilla tai OK-merkinnällä yhteenvetolomakkeen viimeiseen Asia hoidettu -sarakkeeseen.

Uuden riskin käsittely

Kun riskin ja sen hallitsemiseksi päätettyjen toimenpiteiden käsittely on saatu kokonaisuudessaan kirjatuksi yhteenvetolomakkeelle, vetäjän on hyvä kerrata sovitut asiat. Tämän jälkeen siirrytään vetäjän johdolla käsittelemään seuraavaa ongelmia Pk-haavoittuvuusanalyysin mukaisessa järjestyksessä.

Palaverin päättäminen

Kun kaikki hoidettaviksi luokitellut ongelmat on käsitelty, sovitaan jatkotoimenpiteistä PK-HAAVA:n osalta, esimerkiksi seuraavan palaverin ajankohta ja koollekutsuja sekä miten analyysin tuloksista ja PK-HAAVAn etenemisestä tiedotetaan