Miten paljon ottaisin riskiä – eli Risk Appetite, osa I

Strateginen riskienhallinta perustuu parhaimmillaan selkeästi määriteltyyn ja strategiaan sidottuuun riskinottohalukkuuteen, sekä ymmärrykseen yrityksen kyvystä kantaa riskiä. Riskinottamisen rajat luovat puitteet, joissa riskinhallintapäätöksiä voidaan tehdä oikeilla tasoilla ja joissa riskinottohalukkuutta voidaan tarkastella myös riittävän riskinoton näkökulmasta.  Lähdetään kuitenkin liikkeelle perusteista, eli termistöstä, sillä se pohjustaa aihetta mielestämme mainiosti. Osaa termeistä avasimmekin jo aikaisemmassa postuksessamme.  Riskinottohalukkuus on kuitenkin aiheena paljon enemmän kuin sanasto, joten jatkamme aiheen käsittelyä hieman syvemmin vielä toisessa, tulevassa postauksessa.

Riskinottohalukkuuden aihepiiristä puhuttaessa käytetään ainakin termejä ”risk appetite”, ”risk tolerance”, ”risk target ” ja ”risk capacity”. Kaikki termit kuvaavat organisaation asennetta riskiin tietystä näkökulmasta ja niiden ymmärtäminen on tarpeen ennen kuin lähtee liikkeelle oman organisaationsa konkreettisten määritelmien kanssa. Käytämme tässä postauksessa lähinnä termien englanninkielisiä versioita – ne tuntuvat jotenkin kuvaavammilta kuin suomalaiset. Silloin, kun tiedossamme on mielestämme selkeä suomenkielinen termi, on sekin toki mainittu. (Jos muuten jollain  on takataskussa aiheen englanti-suomi -sanasto, laittakaa ihmeessä taas kommentteihin!)

Miten paljon uskallan ottaa riskiä?

Risk appetite (Riskinottohalukkuus): se riskin määrä, jonka organisaatio on valmis sietämään pyrkiessään tavoitteisiinsa, eli matkallaan kohti odotettuja ”palkkioitaan”. Määritelmä voi olla euromääräinen tai sanallinen kuvaus. Käytännössä kuvaus on havaintojemme mukaan usein implisiittinen, haarukoitavissa erilaisista politiikoista, arvoihin liittyvistä julkilausumista ja muista hallintomateriaaleista.   Lähestymistapana tämä ei kuitenkaan ole optimaalinen, koska lopputuloksena on helposti jokaisen yksilöllinen tulkinta riskinottohalukkuudesta. Kuten alussa mainittu, strategisen riskienhallinnan on suositeltavaa perustua selvästi määriteltyyn ja ymmärrettävään riskinottohalukkuuteen. Esim. euromääräiset raja-arvot täydennettynä sanallisilla kuvauksilla, (mm. nollatoleranssi tiettyihin riskilajeihin) toiminevat hyvin.

Risk tolerance: se riskin määrä, jonka organisaatio sietää tavoitteisiin päästäkseen,  per tavoite. Tolerancekin voidaan määritellä esim. euromääräisesti, suhteessa tunnuslukuihin. Määrittelyssä voidaan (ja ehkä kannattaa) ottaa huomioon myös ”pehmeämpiä” mittareita, kuten henkilökunnan osaaminen, pysyvyys jne.

Risk appetiten ja Risk tolerancen ero on, että appetite on yleinen määritelmä organisaation kokonaistasolla, eli kuinka paljon riskiä ollaan halukkaita sietämään mission toteuttamiseksi. Tolerance taas määrittää riskinottohalukkuuden per tietty, yksittäinen tavoite ja antaa sille raamit, joiden sisällä pysyessään riskitaso on hyväksyttävissä. Esim., jos tavoitteena on markkinaosuuden säilyttäminen 85 %:ssa, risk tolerance voi tämän tavoitteen ympärillä olla 82 – 88%. Alarajan rikkoutuessa on syytä ryhtyä toimenpiteisiin, mutta 83 % markkinaosuus on vielä ok, eivätkä hälytyskellot ala soimaan.

(Miksi muuten sitten ylärajaa edes on – mitä suurempi markkinaosuus, sitä parempi, eikö niin? Voi kuitenkin olla että yläraja määritellään  vaikka siksi, että sen rikkoutuessa tarkastellaan esim. kustannus-hyöty -suhdetta, eli ollaanko käytetty markkinointiin niin paljon rahaa, että markkinaosuuden kasvaminen käytännössä vähentää tulosta, tms.).

Miten paljon minun täytyy ottaa riskiä ja missä kulkee kestävän riskinoton raja?

Risk appetite ja risk tolerance siis kertovat siitä, kuinka paljon haluamme ottaa riskiä. Liiketoiminnassa ehkä tärkeintä riskienhallintaan liittyen on kuitenkin varmistaa, että riskiä ei oteta liika, eikä myöskään liian vähän. Kunnianhimoiset strategiset tavoitteet eivät voi toteutua, jos vältämme riskiä liikaa. Senkin takia risk appetiten aihepiiristä puhuminen on tärkeää: ei ainoastaan rajoittamaan otettavan riskin määrää, vaan varmistamaan, että otamme sitä riittävästi suhteessa tavoitteisiin. Tähän liittyy käsite Risk Target, joka kuvaa sitä optimaalista riskin määrää, joka mahdollistaa tietyn tavoitteen saavuttamisen ja on tavoitteelle ’sopiva’ riskin määrä.

Risk capacity (Riskinkantokyky) puolestaan on se riskin määrä, jonka organisaatio sietää menettämättä mahdollisuutta jatkaa toimintaansa haluamallaan tavalla. Capacity riippuu monesta eri tekijästä (ja on tietysti aina organisaatiokohtainen), eikä sille siten ole olemassa mitään yleispätevää laskentakaavaa. Se voi olla linkitetty käyttöpääomaan tai lainanottokykyyn, mutta voi sisältää myös kvalitatiivisia elementtejä.

Muutos on hyvästä?

Kaiken termi- ja niihin pohjautuvan rajamäärittelyn keskellä kannattaa kuitenkin muistaa, että kerran asetettu risk appetite ja todettu tolerance eivät ole pysyviä käsitteitä – itse asiassa, jos risk appetite pysyy aina samana, kannattaa olla huolissaan. Risk appetite muuttuu organisaation tilanteen mukaan, sillä strategian muutokset heijastuvat (tai niiden ainakin pitäisi heijastua) yrityksen riskinottohalukkuuteen. Muutosta voi tapahtua myös niin, että havaitaan etteivät valittu strategia ja siihen liitetty risk appetite olekaan linjassa organisaatiolle määritetyn taloudellisen risk capacityn kanssa. Tällöin kannattaa tarkistaa molemmat ulottuvuudet – sekä strategia ja sen risk appetite, että varmistaa  risk capacityn tilanne.

Tämä  muuten tuo uuden ulottuvuuden strategiatyöhön, perinteisen eri strategiavaihtoehtojen riskien tunnistamisen ja hallintaskenaarioiden vertailun lisäksi.  Johdon tulisi arvioida eri skenaarioiden vaikutusta risk capacityyn – ylittääkö houkuttelevan kuuloisen strategiavaihtoehdon riski yrityksen kantokyvyn ja voidaanko riskin ottaminen yhdellä markkina-alueella mahdollistaa ottamalla vähemmän riskiä muilla, eli asettamalla risk tolerance eri tasoille toiminnan eri alueilla.

Mitä tekemistä on kulttuurilla ja riskin ottamisella?

Riskirajoista puhuttaessa täytyy mainita myös Risk culture, joka kuvaa organisaation yleistä suhtautumista riskeihin ja ohjaa riskinottoa, jopa yksilöiden sitä tiedostamatta. Esim. start up-maailmassa riskin ottamisen kulttuuri on tyypillisesti hyvin rohkea (ne tavallaan ”elävät” riskistä), kun taas korkean turvallisuuden teollisuusaloilla varovaisuus saattaa dominoida kaikkea riskinottamista.

Riskinottohaluukkuutta kuvaavat julkilausumat tuovat näkyväksi yrityksen johdon odotukset riskin ottamiseen liittyvälle kulttuurille. Jos nämä julkilausumat ovat vahvasti ristiriidassa organisaation aidon kulttuurin kanssa, ei niiden voi odottaa toteutuvan kovin tehokkaasti käytännössä. Niiden avulla voidaan kuitenkin pyrkiä vaikuttamaan organisaation kulttuuriin ja muokkaamaan sitä haluttuun suuntaan.

Mitä lisäarvoa saan määrittelytyöstä?

Yksi keskeinen kysymys, johon riskienhallinnan tulisi tarjota vastaus on:

Pitääkö olla huolissaan?

Kysymystä analysoidaan miettimällä riskin merkittävyyttä, joka hyvin usein kulminoituu riskimatriisin tuijotteluun. Todellisen vaikutuksen ja strategiakytköksen ymmärtämisen sijaan puhutaan punaisista, keltaisista ja vihreistä riskeistä. Tässä keskustelussa lähtökohtana on, että punaiset riskit ovat liian suuria ja niihin tulee kohdistaa merkittävimmät hallintatoimenpiteet ja vihreät riskit taas voidaan hyväksyä. Mutta entä jos lähestyisimme asiaa strategian ja sen toteuttamiseen liittyvän riskinoton näkökulmasta? Mitä jos ”punainen riski” onkin täysin linjassa päätetyn, rohkean strategian kanssa?  Ja vihreä riski taas liittyy tavoitteeseen, jonka kohdalla yrityksen kyky kantaa riskiä on alentunut? Tai sijoittuminen vihreälle alueelle tarkoittaa, että riskiin liityvää tavoitetta ei ole niin matalalla riskitasolla todennäköistä saavuttaa?

Näin ajatellessa riskimatriisi ei yksin vastaa johdon tiedontarpeeseen ja todennäköisesti johtaa vääränlaiseen tulkintaan yhtiön riskiprofiilista ja -tilanteesta. Tämä taas luo riskienhallintapäällikölle herkullisen tilanteen yhdistää riskit ja strategia arvoa tuottavalla tavalla, vai mitä mieltä olette?


Lisää aiheesta löydät ainakin näistä käyttämistämme lähteistä:

Risk Appetite, EY, http://www.ey.com/gl/en/services/advisory/risk-appetite–the-strategic-balancing-act

Risk Appetite, IRM, https://www.theirm.org/media/3296897/0926-IRM-Risk-Appetite-12-10-17-v2.pdf ja https://www.theirm.org/knowledge-and-resources/thought-leadership/risk-appetite-and-tolerance.aspx

COSO Enterprise Risk Management – Integrating with Strategy and Performance, COSO, 2017, AICPA, e-book

Ilmonen, Kallio, Koskinen, Rajamäki: Johda riskejä  – käytännön opas yrityksen riskienhallintaan (FINVA 2016)

Riskienhallinta strategisella tasolla

Strateginen riskienhallinta –tasolla riskienhallinta nivotaan tukemaan strategiaa ja strategisia tavoitteita. Sen tarkoituksena on tukea ylimmän johdon toimintaa, merkittävien strategisten linjausten arviointia ja päätöksentekoa. Käsiteltävien riskien määrä pidetään rajallisena, huomio on merkittävimmissä riskikokonaisuuksissa.

Strategisella tasolla riskit ovat suuria ja monitahoisia kokonaisuuksia, jotka ovat yritystasolla merkittäviä ja voivat uhata strategisten tavoitteiden saavuttamista. Käsiteltävät riskit eivät koostu yksinomaan yrityksen riskiluokituksessa lokeroon ”strategiset riskit” koostetuista asioista. Myös operatiivinen tai taktinen riski voi olla strategisesti merkittävä. Tämän vuoksi riskiraportoinnin tulee saada syötteitä sekä taktiselta, että operatiiviselta tasolta (yleensä taktisen tason kautta).

Merkittävänä haasteena strategisen riskienhallinnan toteuttamisessa on, että perinteiset strategiaopit eivät nosta riskienhallintaa osaksi strategiatyötä. On toimintaympäristöanalyysia ja SWOT-analyysia kaikkine laajennuksineen mutta riskit eivät kuulu prosessiin ja piste. Haastaisimme yritysjohtoa ja riskienhallinnan ammattilaisia miettimään, miten on mahdollista tehdä pitkälle tulevaisuuteen ulottuvia strategisia linjauksia, jos ei ole ymmärrystä nykytilan riskeistä ja niiden kehittymisestä eri strategiavaihtoehdoissa? Strategiset linjaukset kuten esimerkiksi laajentuminen uudelle palvelu- tai maantieteelliselle alueelle ovat mahdollisuuksia liiketoiminnalle, mutta niiden mukana syntyy uusia, tuntemattomia riskejä. Nämä riskit ja suhtautuminen niihin tulisi tunnistaa osana strategian valmistelutyötä, ei vasta päätöksenteon jälkeen.

Paras taho arvioimaan riskejä ja määrittämään ylätason hallintastrategiat on organisaation ylin johto: hallitus (ja suuremmassa yrityksessä hallituksen tarkastusvaliokunta) toimitusjohtajan tukemana (suuremmissa yrityksissä toimitusjohtajaa puolestaan tukee hänen johtoryhmänsä). Ylin johto varmistaa, että riskienhallinnan taso ja prosessi ovat riittäviä, haastaa toimitusjohtajaa riskikokonaisuudesta ja evästää riskienhallinnan toimenpiteiden priorisoinnista, tasosta ja luonteesta.

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää, yksityiskohtaisiin toimenpiteisiin ei ole tarkoituksenmukaista mennä. Tämä edellyttää keskustelun pohjana käytettävältä riskiraportoinnilta paljon – strategisten riskien raportoinnissa ei saa jäädä kiinni lillukanvarsiin. Toisaalta saattaa olla tarkoituksenmukaista tehdä ns. Deep Dive -tyyppisiä sukelluksia yksittäisiin riskeihin tai riskiluokkiin, jotta varmistetaan yhteinen ymmärrys ja näkemys riskin merkityksestä, tilasta, kehitysnäkymistä ja vaadittavien toimenpiteiden tasosta.


Esimerkki strategisen tason riskipohdinnoista – tietosuoja

 

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Strategisella tasolla luodaan käsitys siitä, onko aihe merkittävä yrityksen liiketoiminnan kannalta, ja ohjataan riskin käsittelyä muilla tasoilla.

On pohdittava:

Mitä henkilötietoja liiketoiminnassa tarvitaan?

Miten henkilötietoja liiketoiminnassa hyödynnetään?

Olemmeko mukana sellaisessa bisneksessä, jossa henkilötieto on liiketoiminnalle strategista tietoa?

Vaikuttaisiko tietovuoto merkittävästi liiketoimintaedellytyksiin, eli millainen vaikutus tapahtumalla olisi maineeseen ja uskottavuuteen & olisiko riski kustannusmielessä merkittävä?

Strategisella tasolla kannattaa pitää mielessä myös riskin upside. Voisiko hyvin hoidettu tietosuoja luoda jopa kilpailuetua markkinoilla asiakkaiden silmissä tai onko henkilötieto omaisuuserä, jonka avulla liiketoimintaa voidaan kehittää tai laajentaa?