ISO 31000 uudistui – yksinkertaisuus ja strategisuus kunniaan

Kirjoitimme aiemmin uudesta COSO-ERM:stä ja lupasimme siinä yhteydessä palata riskienhallinnan standardeihin uusitun ISO 31000:n tiimoilta. Olimme muutama viikko sitten Suomen riskienhallintayhdistyksen ja SFS:n yhdessä järjestämässä tilaisuudessa, jossa ruodittiin juurikin tätä riskienhallinnan ISO-standardia (linkki seminaarin videotaltiointiin löytyy tämän kirjoituksen lähteistä). Seminaarista ja standardiin tutustumisesta innostuneena tässä se nyt tulee, katsaus uusittuun ISO 31000:n.

Ensin lyhyesti itse ISO:sta, joka on globaali, kansallisista keskusjärjestöistä muodostuva, standardointiverkosto. Suomen Standardisoimisliitto SFS ry on Suomen standardisoinnin keskusjärjestö, jonka jäseninä on elinkeinoelämän järjestöjä ja Suomen valtio. Paikalliset keskusjärjestöt osallistuvat aina ISO-standardien uudistustyöhön kansallisten työryhmien kautta. ISO31000 uudistukseen Suomesta osallistuttiin SFS/SR 213 riskienhallintaryhmän kautta.

ISO 31000 riskienhallinnan standardiperhe julkaistiin ensimmäisen kerran vuonna 2009 ja se koostuu kolmesta dokumentista, joista tunnetuin ja käytetyin lienee 31000 Riskienhallinta. Ohjeet, josta juuri julkaistiin uusi 2018 versio. Kahdesta muusta voimassa ovat edelleen alkuperäiset vuoden 2009 julkaisut; 31010 Riskienhallinta. Riskien arviointimenetelmät ja SFS-opas 73 Riskienhallinta, sanasto.

Mikä muuttui?

Kaiken kaikkiaan uusi ISO miellyttää meitä hyvin paljon, sillä se vie standardia meille mieleiseen suuntaan: kohti strategisten tavoitteiden saavuttamisen työkalua, jolle johdon ja hallituksen on hyvä allokoida riittävästi aikaa ja huomiota. Samalla se ajatusmaailmallisesti lähenee COSO-ERM:ä. Strategisuus näkyy uudessa ISO 31000:ssa mm. siten, että se:

– korostaa riskienhallinnan sisällyttämistä johtamisjärjestelmään

 – painottaa riskienhallinnan sisällyttämistä strategiseen suunnitteluun ja toiminnan operatiivisen ohjauksen järjestelmiin

 – painottaa aikaisempaa selkeämmin, että riskienhallinta on keskeisessä roolissa myös arvon luomisessa, ei pelkästään riskien välttämisessä

 – korostaa johdon sitoutumista ja tukea riskienhallinnan puitteiden luomisessa

 – edellyttää riittäviä riskienhallinnan resursseja joka puolella organisaatiota – ei vain itse riskienhallintatoiminnossa

Lisäksi standardissa  on tiivistetty tekstiä ja pyritty välttämään turhaa riskienhallinnan jargonia, mikä näkyy vähentyneenä sivumääränä. COSO ERM:n tapaan myös tässä uudistuksesa on päivitetty visualisointeja (kuva alla) ja näin tuotu vahvemmin esiin ajatus jatkuvasta dynaamisesta riskienhallinnan prosessista ja toisaalta kertaluonteisuuden tai -rupeaman välttämisestä.  

Miten  -muutokset vaikuttavat minuun?

ISO 31000 on ja on ollut yleisluontoinen kehikko, jonka sisässä on tilaa liikkua ja kohdistaa panokset yrityksen toiminnan kannalta keskeisiin riskilajeihin. Standardi säilytti uudistuksessa roolinsa ohjeena, jota ei tarvitse eikä voi sertifioida. Nämä tekijät yhdessä johtavat siihen, että standardin uudistus ei aiheuta suurta uudistusjumppaa organisaatiolle.

ISO-maailmassa suurempia muutoksia yrityksille on aiheuttanut se, että  sertifioitavat ISO standardit kehittyvät jatkuvasti riskilähtöisempään suuntaan. Hyvänä esimerkikkinä ISO 9000 Laadunhallinta standardin uudistus 2015, jossa riskilähtöisyys nostettiin päätöksenteon perustaksi. ISO 31000 standardin hengessä luotu kokonaisvaltainen riskienhallinnan malli tukee etenkin liiketoimintaa, jossa tietyillä erityisosa-alueilla noudatetaan sertifioitua ISO standardin mukaista johtamisjärjestelmää.

COSO-ERM vs. ISO 31000 lyhyesti:

Tässä vertailussa tukeudumme omiin havaintoihimme ja tekstissä aikaisemmin mainitun seminaarin esityksiin (kiitos Isse :)).

Kuten mainittu, standardit ovat lähenemässä toisiaan – ne molemmat korostavat yhä enemmän johdon panosta, tukea ja strategiakytkentää, sekä myös tietyllä tavalla riskinottohalukkuuden työstämistä. Myös uudistusten taustalla ovat samat syyt: ympäröivän maailman nopea muutos ja aikaisempaa monimutkaisempi toimintaympäristö, kuten myös siitä johtuvat uudet riskilajit. Mutta eroavaisuuksiakin vielä löytyy:

 – ISO on suunnattu kaikille, jotka ovat tekemisissä riskienhallinnan kanssa, kun taas COSO-ERM:n pääasiallinen kohderyhmä on edelleen organisaation (ylin) johto

 – COSO-ERM:ssä näkyy edelleen vahva yksityissektorin painotus, kun taas ISO on selkeästi pyritty koostamaan siten, että sen käytettävyys on mahdollisimman laaja.

 – Riskin määrittelyt poikkeavat toisistaan (ehkä olennaisestikin): COSO-ERM ”the possibility that events will occur and affect the achievement of strategy and business objectives” ja ISO 31000: ”effect of uncertainty on objectives”

 COSO-ERM: ”The possibility that events will occur and affect the achievement of strategy and business objectives”

ISO 31000: ”effect of uncertainty on objectives”

 

Ja sitten vielä viimeisenä huomiona teille, jotka aiotte uusittua standardia kahlata läpi: sitä lukiessa tulisi ISO 31010 standardi olla lähettyvillä tai tuoreessa muistissa, näin standardista saa kaikkein eniten irti.  Ja kuten olemme aiemminkin erilaisissa yhteyksissä todenneet: standardeista kannattaa aina poimia parhaat ja soveliaimmat palat itselleen ja välttää turhan orjallista noudattamista silloin, kun tuntuu ettei se tuo omalle tekemiselle tai organisaatiolle lisäarvoa.

 


 

Lisää tietoa aiheesta löydät esim. näistä linkeistä:

https://www.iso.org/news/ref2263.html

https://livestream.com/infocrea-fi/iso-31000-riskienhallinta

https://www.sfs.fi/files/8496/31000_riskienhallinta_esite_A4_pitkaselitys.pdf

Aina se prosessi. Ja onko pakko olla viitekehys?

Meistä kirjoittajista toinen on alun perin viitekehysihmisiä. Toinen taas puhuu prosesseista ja on aikanaan nähnyt melkein punaista kuullessaan sanan viitekehys. Ajan ja kokemuksen myötä molemmat ovat kuitenkin ottaneet kummatkin käsitteet aktiiviseen käyttöön, sillä ne ovat mielestämme tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Alla käsitteistä hieman tarkemmin.

Riskienhallintaprosessin miellämme tavaksi, jolla riskienhallintaa organisaatiossa pyöritetään. Eli periaatteessa prosessi antaa vastaukset kysymyksiin Mitä, Kuka, Milloin ja Miten.

Viitekehys taas on enemmänkin ylemmän tason työkalu, jonka avulla hahmotetaan oman organisaation riskienhallinnan kokonaisuuteen liittyvät asiat ja vastuut. Se on vähän niin kuin filosofia toteutuksen taustalla.

Viitekehys ja prosessi yhdessä antavat välineet, joiden avulla homma on perusteltua, sillä on tavoite, toteutus on vastuutettua ja helppoa seurata. Myös lopputuotos on helpommin perusteltavissa ulkopuolisille, jos esim. viranomaiset, asiakkaat tai auditoijat osoittavat kiinnostusta riskienhallintaa kohtaan. Eli vastauksena otsikon kysymykseen: kyllä, mielestämme käytössä kannattaa olla  toimiva viitekehys (jota sutjakka prosessi tukee).

Yleisimmät riskienhallinnan viitekehykset lienevät ISO 31000 ja COSO-ERM. Muitakin toki löytyy, esim. Federation of European Risk Managers -yhdistyksen oma viitekehys. ISO 31000 on osa ISO-standardiperhettä ja COSO-ERM perinteisesti enemmän sisäisen valvonnan ja compliancen kautta riskienhallintaa tarkasteleva (tosin malli on menossa melko perusteelliseksi uusiksi lähiaikoina). Syväluotaavasti tarkastelemme näitä molempia viitekehyksiä erillisissä blogikirjoituksissa lähitulevaisuudessa.

Mikä viitekehys sitten pitäisi valita? Riskienhallinnassa pyörää ei kannata keksiä uudelleen. Kannattaa aloittaa valmiilla, hyväksi koetelluilla parhailla käytännöillä ja suhtautua tulevaisuuteen ja mallin mahdolliseen muokkaamiseen joustavasti:

Jos ei ole jotain erityisetä syytä ottaa käyttöön räätälöityä mallia, kannattaa valita tunnettu, valmis malli. Jos johtamisjärjestelmä on luotu ISO-standardien mukaisesti, ISO31000 on todennäköisesti luontevin valinta myös riskienhallintaan. Jos taas COSO-ERM -lähestymistapa on tutumpi, kannattaa hyödyntää sitä.

Etukäteen voi olla vaikeaa tarkasti tietää, miten malli sopii organisaatioosi ja millaisia tilanteita käytännössä tulee liiketoiminnan kanssa eteen. Kannattaa siis suhtautua joustavasti ja muistaa, että oli valittu malli mikä tahansa, sitä luultavasti joudutaan joka tapauksessa muokkaamaan sen aikaa myöten.

Riskienhallinnasta saa helposti rakennettua  monimutkaisen, hienon mallin, joka ottaa huomioon kaiken mahdollisen. Liika monimutkaisuus ja hifistely kuitenkin toimivat itseään vastaan, sillä käytännössä liiketoiminta usein kaipaa yksinkertaista ja selkeää. Näin tuet myös sitä, että muu organisaatio todella ymmärtää riskienhallinnan idean ja tarkoituksen.