Edellisessä postauksessa nostimme esiin ongelman, joka on nähtävissä riskienhallinnan termistön ja sitä koskevien keskustelujen ympärillä: riskienhallinta itsessään on hyvin laaja käsite ja eri puhujat monesti tarkoittavat sanoillaan hieman eri asioita. Todennäköisesti sinäkin miellät käsitteen ”riskienhallinta” hieman eri tavalla kuin me, vaikka olisimmekin lukeneet alan samat perusteokset ja viralliset määritelmät. Siihen miten näemme riskienhallinnan vaikuttaa oma taustamme ja kokemuksemme eli se, mistä näkökulmasta olemme riskejä tottuneet tarkastelemaan. Toiselle riskienhallinta on perinteistä vahinkojen torjuntaa ja vakuuttamista, kun taas toiselle puhdasta matematiikka ja monte carlo -simulaatioita ja kolmannelle taas konsernitason strategisen riskikartan kokoamista.
Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan.
Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan. Riskienhallinnan painopisteet heijastelevat usein myös toimialan tai toiminnan erityispiirteitä, esimerkiksi ydinenergian tuotannossa korostuvat turvallisuusriskien hallinta, konventionaalisissa energiantuotantomuodoissa vahinko- ja keskeytysriskit, elintarvikealalla keskitytään elintarviketurvallisuuteen, lääketeollisuudessa lopputuotteen vaatimustenmukaisuuteen ja laatuun, kun taas aloittelevissa yrityksissä saatetaan alkuvaiheessa keskittyä puhtaasti markkinaan ja kilpailijoihin ja suuren investointiohjelman juuri julkaissut organisaatio keskittyy lähivuodet intensiivisesti projektiriskien hallintaan. Listaa voisi jatkaa loputtomiin. Mutta mikä on näiden kaikkien erilaisten lähestymistapojen suhde toisiinsa? Ja mitä ihmettä tarkoittaa paljon käytössä oleva termi ”kokonaisvaltainen riskienhallinta”?
Kokonaisvaltaiselle riskienhallinnalle löytää nopeasti googlettamalla monia eri määrittelyjä; sanotaan sen käsittävän tavoitteita vastaan toteutettavan riskien tunnistamisen, käsityksen muodostamisen kaikista toimintaan liittyvistä riskeistä ja niiden merkittävyydestä, sen kuvaillaan olevan tiukasti integroitu strategiaprosessiin, operatiiviseen suunnitteluun, päivittäiseen päätöksentekoon ja toiminnan valvontaan. Mainitaan sen myös olevan osa sisäistä valvontaa ja painottavan riskien tarkastelua koko yrityksen tasolla, ei pelkästään yksittäisien toimintojen riskien tunnistamista. Sen tunnuspiirteenä kuvaillaan olevan kytkeminen strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin.
Nämä ovat kaikki ehdottoman hyviä linjauksia ja tavoitteita, mutta me kaipaamme jotain hieman konkreettisempaa, joka kertoo meille, miten suhteutamme, käsittelemme ja vastuutamme keskenään esim. organisaation tietojärjestelmiin kohdistuvat hyökkäykset, riskin siitä, että digitalisoituvassa maailmassa liiketoimintamme perusidea ei enää kanna, henkilöstömme työturvallisuudesta huolehtimisen ja riskin siitä, että rahoituksemme hinta nousee sietämättömälle tasolle.
Kokonaisuuden hahmottamiseksi ja jäsentämiseksi nojaamme kolmijakoon strategisen, taktisen ja operatiivisen toiminnan välillä. Mallimme jakaa riskienhallinnan osa-alueet eri tasoihin ja sitoo ne toisiinsa liittyväksi kokonaisuudeksi:
(lue mallista tarkemmin sivulta viitekehys):
Tämän mallin kaikkien osa-alueiden hallinta ja johtaminen, mukaan lukien eri tasojen välillä tapahtuvan viestinnän, on meille kokonaisvaltaista, tehokasta riskienhallintaa. Jokaisella tasolla on eri vastuuhenkilöt ja erilainen fokus mm. riskien tunnistamisessa ja niitä koskevassa keskustelussa ja raportoinnissa. Tehokkuus ja tarkoituksenmukaisuus riskienhallinnassa saavutetaan, kun eri riskit, tai samaan riskiin otettavat eri näkökulmat (esim. privacy-riski, jota käytämme esimerkkinä tulevissa kirjoituksissa) viedään käsiteltäväksi organisaatiossa oikeille tasoille. Eri tasoihin, niiden sisältöön ja niihin liittyvää viestintää tarkastelemme seuraavissa postauksissa tarkemmin.
Jätä kommentti