Markkinoilla on tarjolla jos jonkinmoista riskienhallinnan tietojärjestelmää. On yksittäisiä ratkaisuja ja kattavia strategisen johtamisen ja toiminnan suunnittelun työkaluja, joissa riskienhallinta on osana. Lisäksi useimpiin ERP-järjestelmiin saa ainakin jonkinlaisen riskienhallinnan palikan. Valmiiden tuotteiden lisäksi yrityksellä on mahdollisuus luoda oma järjestelmä, esimerkiksi jonkin jo olemassa olevan järjestelmän osaksi. Nämä ovat mittavia hankkeita vaatimusmäärittelyineen, kehitysiteraatioineen ja käyttöönottoineen.
Vaihtoehdoista huolimatta moni suurikin yritys tyytyy edelleen käyttämään perinteistä Exceliä riskirekisterinään. Perustelut Excelin käytölle löytyvät usein kustannuksista tai siitä, että valmiiden järjestelmien ei koeta tarjoavan riittävän joustavaa työkaluvalikoimaa yrityksen muuttuviin tarpeisiin. Kasvava tarjonta lisää kuitenkin vaihtoehtoja eri hintaluokkiin, joten kustannusten ei tarvitse olla esteenä järjestelmän käyttöönotolle, jos on valmis tekemään kompromissejä toiminnallisuuksien osalta. Toisaalta, valmiitakin järjestelmiä on yleensä mahdollista räätälöidä pienellä lisäpanostuksella.
Perustuen kirjoittajien omaan kokemukseen riskienhallintajärjestelmien hankinnasta, valikoima painottuu vahinkoriskien hallintaan keskittyviin vakuutuslähtöisiin järjestelmiin ja ERM-näkökulmaa tukevat järjestelmät ovat vähemmistössä. Tämä saattaa olla yksi syy Excelin suosiolle organisaatioissa, joissa haetaan nimenomaan kokonaisvaltaisen riskienhallinnan järjestelmätukea.
Tiedämme, että moni riskienhallintapäällikkö pohtii tälläkin hetkellä, mitkä työkalut sopisivat parhaiten oman riskienhallintatyön tueksi. Listasimme oman näkemyksemme mukaisia plussia ja miinuksia eri vaihtoehdoille ja toivomme sen auttavan myös lukijoita päätöksenteossa. Loppujen lopuksi kaikki vaihtoehdot ovat hyviä, kyse on siitä, mitkä ovat priorisoidut tarpeesi ja mikä vaihtoehto niitä parhaiten vastaa.
Excel-pohjaiset riskirekisterit:
– tiedon yhdistely raportointiin manuaalista
– muutos- ja historiatietojen seuranta käyttäjien omien merkintöjen varassa (rekisteristä tulee ajan mittaan sateenkaarenkirjava)
– vakiomuotoisiksi tarkoitetut riskirekisterit lähtevät elämään omaa elämäänsä ja muotoituvat käyttäjiensä näköisiksi
– tiedonhallinnan näkökulmasta riskeinä tiedon eheyden, saatavuuden ja luottamuksellisuuden vaarantuminen, jos (ja usein kun) tiedostoja lähetellään sähköpostin liitteinä ja tallennetaan henkilökohtaisiin kansioihin. Pääarkisto muodostuu riskienhallintapäällikön ”pöytälaatikkoon”.
+/- hyödyntämisessä rajana vain riskienhallintapäällikön mielikuvitus ja taidot
+ tietoturvaan pystyy vaikuttamaan toimintatapoja ohjeistamalla. Saatavuutta voi parantaa esimerkiksi luomalla arkiston osaksi dokumentinhallintajärjestelmää tai sharepointia, jolloin myös sähköpostiliitetiedostojen lähettely käy tarpeettomaksi.
+ ketterä ja edullinen
Erillinen tietojärjestelmä:
– harvoin käytettäessä käyttökokemus jää usein huonoksi. Vaikuttaa organisaation asennoitumiseen koko prosessiin.
– kustomointi tuo lisää hintaa ja hankaloittaa versiopäivityksiä, joten riskienhallintaprosessia voidaan joutua optimoimaan järjestelmän tarpeisiin
– Monet järjestelmät ovat pilvipohjaisia, joka voi muodostua ongelmaksi suhteessa yrityksen luottamuksellisen tiedon käsittelyä ohjaavaan tietoturvapolitiikkaan
-/+ käyttöoikeuksien hallinta järjestelmän sisällä tulee vastata yrityksen politiikkaa luottamuksellisen tiedon käsittelystä. Kokemuksemme mukaan tämä on ominaisuus, jossa on suuret erot toiminnallisuuksissa ja käytettävyydessä eri järjestelmien välillä.
+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä
+automatisoitu raportointi ja tiedon analysointityökalut, vähemmän työtä ja virhenäppäilyn mahdollisuuksia
Muuhun toiminnan ohjaamiseen ja seurantaan integroitu järjestelmä:
– vakiototeutus voi olla kankea ja ominaisuudet puutteellisia riskienhallinnan prosessin näkökulmasta
– kehitystyössä muut asiat ajavat ohi
-/+tietoturva vastaa yrityksen yleistä linjaa
+käyttökokemus yleensä hyvä, koska samaa järjestelmää käytetään muihinkin prosesseihin liittyen ja perustoiminnallisuudet tuttuja
+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä
+ voi mahdollistaa riskien konkreettisen linkittämisen toimintaan ja tavoitteisiin, jolloin niiden seuranta helpommin toteutuu osana normaalia toimintaa eikä jää erilliseksi vuosiharjoitukseksi
4 kommenttia artikkeliin ”Käyttäisinkö Exceliä? Vai tietojärjestelmää?”
Kiitos jakamisesta! Teknologian kehitys menee nopeasti siihen suuntaan, että yhä pienempään kokonaisuuteen löytyy erikoistuneita sovelluksia, jotka integroidaan kokonaisuuteen entistä helpommin. Esim. analytiikkaa varten kerätään lukuisista eri järjestelmistä data, jota voidaan yhdistellä isompaa kuvaa varten erityisesti analytiikkaan erikoituneissa sovelluksissa. Myös käyttäjä- ja toimialuehallinta on keskitetty ja erilliset sovellukset integroidaan yhteen. Kenttäkäytössä ERP-ratkaisut ja monet isot möhkäleet alkavat olla niin kankeita, että kukaan normaali ihminen ei niitä pysty/suostu työssään käyttämään. Myös järjestelmäkehitys on nykyisin niin nopeatempoista, ettei vanhat on-premise-ratkaisut pärjää millään pilvipohjaisille, mobiilikäyttöisille SaaS-ratkaisuille.
Riskienhallinnassa erityisesti mainitsemasi vahinkoriskit ja niiden hallinta on jokapäiväistä ja aktiivista tekemistä kaikilla tasoilla, joten siinä korostuu käytettävyys kentällä. Excelin voi unohtaa heti kättelyssä. Edullisuus ei ole kovin validi peruste, jos homma ei toimi käytännössä – se vasta kallista onkin. Itse toimimme EHSQ-kokonaisuudessa, jossa johtamis- ja raportointimallit ovat hyvin samankaltaisia ja toimii monessa organisaatiossa hieman irrallaan riskienhallinnasta ja ERM-maailmasta, joka on monesti edelleen hieman hitaampitempoista.
Timo Kronlöf
Kiitos kommentista! Lisääntyvä data ja sen yhdistely & analytiikka ovat erittäin mielenkiintoisia näkökulmia tähän(kin) aiheeseen. Onko niin, että ne jossain vaiheessa vievät pohjan koko ERM-tietojärjestelmien markkinalta? Vai tukeeko lisääntyvä data järjestelmien käyttöä ja sitä kautta raportointia?
ERM-järjestelmiä hyödynnetään erityisesti strategisella riskienhallinnan tasolla, mutta on totta, että operatiivisella “kenttätasolla”, jota EHSQ-kokonaisuuskin edustaa, Saas-ratkaisut ovat vallanneet alaa – eikä ihme, ne ovat ketteriä, käytettäviä ja tehokkaita. Mutta ne nähdään tosiaan monesti hieman irrallisina itse ERM-kokonaisuudesta ja haaste riskitiedon näkökulmasta tällöin on mielestäni se, miten organisaation kaikki riskitieto saataisiin yhteen paikkaan, josta sitä voidaan eri tasoilla hyödyntää tarkoituksenmukaisesti.
Outi Nieminen
Hyviä pointteja blogissa sekä Timolla kommenteissa.
Tärkeätä on myös muistaa, ettei mikään järjestelmä tai palvelu tee yrityksen turvallisuutta tai riskienhallintaa yksinään. Aina vaaditaan ihminen syöttämään tietoa ja tekemään johtopäätöksiä. Sähköiset järjestelmät ovat hyviä apukeinoja ihmisten aktivointiin ja ymmärryksen lisäämiseen mutta turvallisuus ja riskienhallinta lähtee aina ihmisestä itsestään. Muista siis motivoida ihmisiä aina ja jatkuvasti.
Ja kun puhutaan sähköisistä apuvälineistä, niin tänä päivänä ei enää kukaan voi pitää exceliä realistisena vaihtoehtona riskienhallinnan työkaluksi. Excelin aika tämän asian suhteen on ohi. Turvallisuus ja riskienhallinta pitää saada osaksi kaikkien työntekijöiden arkea. Ja siinä onnistutaan vain jos käytössä olevat työkalut tukevat reaaliaikaista riskien hallintaa.
Kaikkein tärkeintä sähköisen työkalun ”myymisessä” omalle organisaatiolle on loppukäyttäjän fiilis. Jos järjestelmän käyttäminen on sekavaa tai vaikeaa, ei sitä saada riittävän laaja-alaisesti käyttöön. Vinkkini on, että kokeile tarjolla olevia eri järjestelmiä/palveluita ja pyydä käyttäjäkohderyhmältä palaute. Valitse siis se jota ihmiset suostuvat käyttämään (ei välttämättä halvin) ja sitouta käyttäjät jo valintaprosessissa. Liian moni yritys on epäonnistunut valinnassa ja päätynyt ostamaan järjestelmän jota ei huonon käyttöliittymän takia hyödynnetä tehokkaasti.
Miko Kortesalo
Totta, oli järjestelmä teknisesti miten hienoa tahansa mutta jos käytettävyys jää huonolle tasolle, ei se vastaa tarpeeseen. Järjstelmän tarkoitushan kuitenkin on tukea organisaation riskienhallintatyötä, ei tehdä sitä.
lauranoukka