Risk Appetite I:ssä avasimme riskinottohaluun ja -kantokykyyn liittyviä termejä ja päättelimme, että niiden määrittelystä saa irti monia hyviä pohdintoja esim. strategiaan liittyen. Risk appetite antaa selkärangan liiketoimintapohdiskeluihin ja keskeisintä on pitää ihmiset ajan tasalla siitä missä mennään – mitä riskejä ollaan ottamassa ja miten ne suhteutuvat organisaation kokonaistilanteeseen ja tavoitteisiin.
Otamme tässä postauksessa esiin muutaman esimerkin, miten yritykset ovat oman kokemuksemme mukaan asiaa lähestyneet. Aiheen haastavuudesta ja käsitteeen häilyvyydestä kertoo se, että emme ole kumpikaan vielä uramme aikana törmänneet selkeään, hyvin määriteltyyn ja ennen kaikkea koko organisaation tasolla toimivaan (l. tekemistä ohjaavaan) risk appetiteen. Ympäristön, tilanteiden ja organisaatioiden nopeat muutokset tuskin edesauttavat asiaa.
Hyvin määriteltyjen riskinottohalukkuuksien harvalukuisuus kertoo aiheen haastavuudesta
Ei-aivan-tavaton tilanne risk appetiten kanssa on se, että sitä ei ole määritelty. Ei euroissa, sanallisesti tai mitenkään muutenkaan. Ei koko organisaation tasolla eikä toimintoja koskien. Monesti vedotaan siihen, että ”kyllähän sisäisiin politiikkoihin on tavallaan implisiittisesti kirjattu nämä asiat jo”. Tällöin johto saattaa todeta, että ”kyllä me sitten vaan tiedetään, kun riskitilanne on liian korkea”. Tätä lähestymistapaa emme lähtökohtaisesti suosittele – oikein kenellekään.
Yksinkertaisimmillaan risk appetiten määrittely on sitä, että riskien sijoittuminen riskimatriisiin laukaisee tiettyjä odotuksia niiden hallinnan suhteen. Esimerkiksi näin:
riski matriisin vihreällä alueella = riskin tilannetta seurataan, ei tarvetta aktiiviselle/kohdennetuille toimenpiteille
riski matriisin keltaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa vihreän alueen xx kuukauden kuluessa
riski matriisin punaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa keltaisen alueen xx kuukauden kuluessa
Tätä metodia voi soveltaa kaikilla riskienhallinnan tasoilla operatiivisista riskeistä strategisiin ja koko organisaation laajuudessa. Olette kuitenkin ehkä samaa mieltä siitä, ettei lähestymistapa ole paras mahdollinen, se on mm. melko ylimalkainen, korostaa todennäköisesti liikaa riskin välttämistä (kun muistetaan riskin ottamisen tarpeellisuus liiketoiminnalle) ja saattaa sitäpaitsi altistaa kikkailulle riskien siirtämiseksi ”sopivan” värisille alueille. (Ja tässä tosiaan on mielestämme kyse risk appetiten määrittelystä – kun puhutaan kaikkein yksinkertaisimmasta versiosta.)
Monipuolisempi, mutta myös hieman työläämmin ylläpidettävä tapa on määrittää risk appetite erikseen keskeisimmille riskilähteille tai eri riskienhallinnan tasoille ja linjata nämä yhteen konsernitason risk appetiten kanssa. Monissa yrityksissä risk appetite määritellään erikseen kaikille ns. Principle riskeille, eli yrityksen liiketoimintaympäristöön kiinteästi kuuluville riskeille, kuten raaka-aine- tai lopputuotemarkkinoiden erityispiirteet, liiketoiminnassa painottuvat laatu- ja turvallisuusnäkökulmat tai compliance-riskit.
Tällä tyylillä tehtävän risk appetiten määrittelyn kanssa ei kannata olla liian tiukka ja esimerkiksi tavoitella euromääräisen rajan asettamista kaikille riskilajeille. On mieluummin hyvä miettiä mitkä riskilajit omassa liiketoiminnassa ovat sellaisia, joiden kohdalla voidaan antaa on/off tyylisiä lausuntoja, ja minkä kohdalla taas euromääräisten rajojen määrittäminen on mielekästä. Hyvä esimerkki on/off lähetymistavasta on työturvallisuudessa omaksuttu 0-tapaturmaa periaate, jolla viestitään, että henkilöstön turvallisuus on tärkeää ja siihen liittyen ei hyväksytä poikkeamia.
Toisaalta euromääräisten rajojen määrittelystä hyvä esimerkki on raaka-aineiden hankintariskiin liitetty risk appetite. Se voidaan esittää euroissa asettamalla hankintahintaan liittyvä vaihteluväli, jonka puitteissa tuotanto voi tehdä raaka-ainehankintaa hyvin vapaasti ilman raskasta päätöksentekokoneistoa. Hintahaitarin ala- tai ylärajan rikkoutuessa hankintapäätöksille on prosessi, jossa alarajan alittuessa voidaan tehdä päätös hyödyntää tunnistettu mahdollisuus ja ostaa raaka-ainetta varastoon edullisemmin. Toisaalta ylärajan ylittyessä päättää pienemmästä hankintaerästä, jos hinnannousun oletetaan olevan hetkellistä.
Risk appetite on aiheena kokonaisuudessaan melko haastava, emmekä tässä ole kuin raapaisseet pintaa. Yhteenvetona voimme kuitenkin todeta, että sen määrittäminen kannattaa yksinkertaisuudessa aloittaa siitä, että tiedostetaan tarve. Sen jälkeen sitä voi lähteä kehittämään pieninkin askelin eteenpäin. Kuulisimme mielellään ajatuksianne aiheeseen liittyen – miten olette lähteneet itse asiaa ratkomaan?
2 kommenttia artikkeliin ”Riskinottohalukkuuteni on…? – eli Risk appetite, osa II”
Kiitos mielenkiintoisista postauksista ja näkökulmista.
Eksyin sivullenne ja blogeihinne etsiessäni jotain ymmärrettävää määritelmää riskinottohalukkuudelle (appetite) ja/tai riskinsietokyvylle (tolerance), ja apua näiden määrittämiseen.
Oman kokemukseni on juuri tuo ei-avain-tavaton tilanne, appetite on kokonaan määrittelemättä tai se on määritetty sellaisille riskityypeille/lähteille, joissa voidaan asettaa euromääräisiä raja-arvoja tietyille liiketoiminnan tappiotapahtumille tai menetyksille, esim. luottotappiot, luottokorttipetokset, hävikki, jne.
Osassa näistä ei kai oikeastaan ole kyse riskinottohalukkuudesta vaan hyväksytystä tappiotasoista osana liiketoimintaa?
Olisi mielenkiintoista ”kuulla” jos teillä on kokemusta/näkemystä sellaisten operatiivisten riskien (esim. IT, tietoturva), joissa eurojen käyttö mittarina ei onnistu, riskinottohalukkuuden määrittämisestä.
PS. Vieläkö otatte vastaan kommentteja/kysymyksiä vanhempiin postauksiin?
Kommentoin vain tätä viimeisintä postausta, mutta olen lukenut koko sarjan läpi ja joitain kysymyksiä heräsi noissa viime vuoden postauksissakin.
Matti Santaniemi
Kiitos palautteesta ja ehdottomasti kommentit myös vanhoihin kirjoituksiin ovat edelleen tervetulleita! Vastauksena kysymykseesi näkisin, että IT riskien kohdalla asiaa lähestytään usein riskinsietokyvyn kautta. Yritykset pohtivat ja analysoivat, miten pitkään voimme olla ilman järjestelmää a tai miten järjestelmän b tuotantokatko vaikuttaa liiketoimintaan ja tätä kautta lähdetään hakemaan hyväksyttävää riskitasoa. Näin saa johdettua jopa euromääräisiä riskirajoja mutta ehkä itse lähtisin ensin tunnistamaan järjestelmät, joiden kohdalla riskin sietokyky on kaikista alhaisin ja määrittäisin niihin kohdistuville riskeille riskinottohalukkuuden esimerkiksi, miten monta tuntia järjestelmä saa olla riskin seurauksena alhaalla ja se on vielä liiketoiminnan näkökulmasta hyväksyttävää.
Tietoturvariskien (ja väittäisin myös tietosuojariskien) kohdalla taas on tapahtunut selkeä muutos, aikaisemmin haettiin 100% turvallisuutta, jolloin riskinottohalukkuuden määrittely ei ole kovin relevanttia. Nyt moni hyväksyy jo tunnetun lausahduksen ”There are only two types of companies: Those that have been hacked and those that will be hacked.” Tämän hyväksymisen myötä keskustelu riskinottohalusta ja -sietokyvystä nousee tärkeämpään rooliin ja keskeistä on tasapainottelu riskin ehkäisemiseen ja siitä toipumiseen käytettävien resurssien välillä. Esimerkiksi tietynlainen riskialtistus on hyväksyttävää, jos yrityksen havainnointi- ja reagointikyky ovat halutulla tasolla.
lauranoukka