Teesit onnistuneeseen riskienhallintaan - Riskiblogi on viettänyt hiljaiseloa viimeisen vuoden, lopullisesti blogia ei kuitenkaan ole vielä kuopattu! Tosin kirjoittajien kilpailevat kiinnostuksen kohteet tietokoneen ruudun ulkopuolella tulevat jatkossakin sääntelemään julkaisurytmiä. Päivityksiä tulee siis rennon letkeässä tahdissa, kun muut työt ja harrastukset sen sallivat ja saamme julkaisukelpoisia ideoita. Tähän kirjoitukseen tuli innoitus asiantuntijalausuntopyynnöstä. Saimme pyynnön pohtia, mitkä kolme konkreettista vinkkiä antaisimme…
Mikä riskilähtöisyys? - ”Tietoturvan johtamisen tulee olla riskilähtöistä.” ”Tietosuojaa tulee tarkastella riskilähtöisesti.” ”Sisäisen tarkastuksen tulisi kohdistaa resurssejaan riskilähtöisesti.” Tässä muutama omalle kohdallemme osunut konkreettinen esimerkki siitä, miten riskilähtöisyys tuntuu hiipineen osaksi kaikkea tekemistä. Teema toistuu niin standardeissa, hyvissä käytännöissä kuin lainsäädännössäkin. Se, mitä kukaan ei tunnu kertovan, on mitä riskilähtöisyys oikeastaan tarkoittaa ja edellyttää? Millaista toiminnan tulisi olla,…
Ilmoituskanavat - Näin kesän korvalla ajankohtaiseksi riskienhallinnan ja yritystoiminnan eettisyyden saralla ovat nousemassa ns. whistleblowing-kanavat. Riskienhallinnan näkökulmasta aihe liittyy moniin riskeihin kuten maineriskiin epäeettisen toiminnan kautta ja aikaisemmassa postauksessa käsittelemäämme korruptioriskiin. Huomionarvoista on myös, että sekä yksityisen- että julkisen puolen organisaatiot ovat viime aikoina heränneet eettisten arvojen merkitykseen kannattavassa ja kestävässä liiketoiminnassa. Ajankohtaisen aiheesta tekee mm EU:n Whistleblowing-lainsäädäntö, joka…
Riskienhallinta valtionhallinnossa – erilaista mutta samanlaista - Matkalla tuntemattomaan Emme olekaan Riskiblogissa aiemmin käsitelleet riskienhallintaa julkishallinnon näkökulmasta, puhtaasti siitä syystä, että se ei meille kummallekaan ole ollut tuttua ennestään. Nyt päätimme laajentaa näkökulmaamme ja selvittää miten riskienhallinta näkyy valtionhallinnosta. Tätä varten lähdimme tapaamaan Valtioneuvoston apulaiscontroller Esko Mustosta ja neuvottelevaa virkamiestä Mikko Saarista, jotka pyörittävät sisäisen valvonnan ja riskienhallinnan neuvottelukuntaa valtiovarainministeriössä ja ystävällisesti…
Lue lisää Riskienhallinta valtionhallinnossa – erilaista mutta samanlaista
Riskienhallintaa vapaalaskijan näkökulmasta - Lumisilla vuorilla liikkumiseen liittyy aina riskejä. Niin liittyy myös yrityksen liiketoimintaan. Vietin viikon Itävallan Alpeilla opiskelemassa vapaalaskijan perustaitoja turvalliseen retkeilyyn ja vuorilla liikkumiseen. En voinut välttyä vertaamasta opittuja riskinarvioinnin ja päätöksenteon taitoja yrityselämän vastaaviin toimintamalleihin, joihin palaan kirjoituksen lopussa. Toivottavasti postaus herättää myös teissä lukijoissa ajatuksia ja vertailua töissä tapahtuvien arviointien ja päätösten suhteen! Kurssin…
Tasapainoilua harmaalla alueella – korruptioriskin hallinta - Riskiblogissa käsittelemme riskienhallinnan kenttää laidasta laitaan ja tällä kertaa halusimme kirjoittaa erittäin mielenkiintoisesta, mutta hieman vaikeasti lähestyttävästä aiheesta, korruptioriskin hallinnasta. Tapasimme marraskuisena maanantaiaamuna hyvän kahvin ja runsaan aamupalalautasen äärellä korruptioriskin ehkäisemisen ja hallitsemisen asiantuntijan Anna Rombergin ja juttelimme hyvän tovin aiheesta, erityisesti kotimaisen, kansainvälisesti toimivan konsernin näkökulmasta. Suomi sijoittuu kansainvälisissä tutkimuksissa, kuten Transparency Internationalin CorruptionPerception…
Lue lisää Tasapainoilua harmaalla alueella – korruptioriskin hallinta
PK-yrityksen riskienhallinta – vallatonta menoa vai integroitua pohdintaa? - Kirjoituksissamme on tähän asti korostunut ajatus riskienhallinnan määrämuotoisuudesta. Olemme lähestyneet riskienhallinnan teemaa enimmäkseen korporaationäkökulmasta, jossa tehokas riskienhallinta on tiedostettua ja prosessimuotoista – eli sitä tehdään tietyn määritetyn raamin mukaan ja ohjataan vuosikellotyyppisellä ratkaisulla. Lähestymistapa on luonnollinen isommille organisaatioille, joissa oikeastaan kaikki tekeminen on ohjattu toimimaan tietyissä raameissa, jotta joukot saadaan tekemään yhdenmukaista ja keskenään vertailukelpoista…
Lue lisää PK-yrityksen riskienhallinta – vallatonta menoa vai integroitua pohdintaa?
Risk Managerin huolilista: Top3 privacy-riskiä - Tietosuoja-asetus astui voimaan toukokuun lopussa. Ennen tuota deadlinea moni organisaatio teki suuren työn tunnistaakseen oman toimintansa puutteet ja laittaaksen prosessit tietosuoja-asetuksen mukaiseksi 25.5.2018 mennessä. Kesän ajan ollaan siis huokaistu helpotuksesta, nostettu jalat pöydälle ja suunnattu levähdyksen jälkeen syksyn alkaessa kaikki energia uusiin haasteisiin? Valitettavasti ei (vaikkakin monen tietosuojaprojekteissa työskennelleen mielestä tämä ehkä kuulostaa varteenotettavalta vaihtoehdolta),…
ERM ja turvallisuus – järkiliitto vai valtataistelua? osa 2 - Kirjoituksella ERM ja turvallisuus – yksin vai yhdessä? aloitimme kahden kirjoituksen sarjan yritysturvallisuuden ja kokonaisvaltaisen riskienhallinnan suhteen pohdinnasta. Tässä toisessa osassa Postin riskienhallinta- ja turvallisuusjohtaja Markku Rajamäki jatkaa aiheen käsittelyä Riskiblogin vierailijakirjoittajana. Enterprise Risk Management ja Corporate Security Management ovat kaikille riskienhallinta-asioiden parissa työskenteleville tuttuja termejä, mutta entäpä Enterprise Security Risk Management (ESRM), jonka yritysturvallisuusalan globaali…
Lue lisää ERM ja turvallisuus – järkiliitto vai valtataistelua? osa 2
Toinen riskivlogin osa eetterissä! - Riskiblogi polkaiseen syksyn käyntiin Valta&Vastuu -lehden riskivloggarina. Toinen osa on nyt katsottavissa lehden verkkosivuilla, aiheena tällä kertaa onnistunut riskityöpaja. Käykää katsomassa – toivottavasti juttelumme on hyödyllistä ja saat uusia vinkkejä ja tsemppiä tulevien syksyn työpajojen vetämiseen!
ERM ja turvallisuus – yksin vai yhdessä, osa I - Tällä kertaa aloitamme kahden kirjoituksen sarjan aiheesta, josta olemme jo pitkään halunneet kirjoittaa: turvallisuusjohtamisen ja kokonaisvaltaisen riskienhallinnan suhde toisiinsa. Aihe, josta meillä on paljon mielipiteitä, mutta josta halusimme kuulla arkielämän kokemuksia. Niinpä kutsuimme Postin riskienhallinta- ja turvallisuusjohtaja Markku Rajamäen aamukahville kanssamme juttelemaan ja kertomaan aiheesta. Markulla on pitkä kokemus tasapainoilusta turvallisuuden ja riskienhallinnan välillä & niiden…
ISO 31000 uudistui – yksinkertaisuus ja strategisuus kunniaan - Kirjoitimme aiemmin uudesta COSO-ERM:stä ja lupasimme siinä yhteydessä palata riskienhallinnan standardeihin uusitun ISO 31000:n tiimoilta. Olimme muutama viikko sitten Suomen riskienhallintayhdistyksen ja SFS:n yhdessä järjestämässä tilaisuudessa, jossa ruodittiin juurikin tätä riskienhallinnan ISO-standardia (linkki seminaarin videotaltiointiin löytyy tämän kirjoituksen lähteistä). Seminaarista ja standardiin tutustumisesta innostuneena tässä se nyt tulee, katsaus uusittuun ISO 31000:n. Ensin lyhyesti itse…
Lue lisää ISO 31000 uudistui – yksinkertaisuus ja strategisuus kunniaan
Ensimmäinen Riskivlogi julki! - Riskiblogin laajennus, Riskivlogi on nyt julkaistu Valta&Vastuu -verkkolehden sivuilla. Sisältö on avoin kaikille, myös ei-tilaajille. Juttelemme vlogissa jo blogin puolelta tutuista teemoista: mitä riskienhallinta on, miksi se on tärkeää ja miten sen hahmotamme viitekehyksemme kautta. Vlogin löydät täältä. Seuraavaa vlogijaksoa suunnitellaan jo ja ilmoittelemme kun on eetterissä, sillä välin toivomme mukavia hetkiä vlogin parissa. Piakkoin tulossa…
Riskinottohalukkuuteni on…? – eli Risk appetite, osa II - Risk Appetite I:ssä avasimme riskinottohaluun ja -kantokykyyn liittyviä termejä ja päättelimme, että niiden määrittelystä saa irti monia hyviä pohdintoja esim. strategiaan liittyen. Risk appetite antaa selkärangan liiketoimintapohdiskeluihin ja keskeisintä on pitää ihmiset ajan tasalla siitä missä mennään – mitä riskejä ollaan ottamassa ja miten ne suhteutuvat organisaation kokonaistilanteeseen ja tavoitteisiin. Otamme tässä postauksessa esiin muutaman esimerkin, miten yritykset ovat…
Lue lisää Riskinottohalukkuuteni on…? – eli Risk appetite, osa II
Riskiblogi laajenee riskvlogiksi! - Riskiblogin ensimmäisiä julkaisuja työstettiin kuumeisesti noin vuosi sitten määrätietoisuuden ja kofeiinin voimalla Helsingin keskustan kahviloissa aamuvarhaisella. Tavoitteena oli luoda kanava, joka mahdollistaisi omien ammatillisten näkemysten esiin tuomisen ja keskustelun muiden Suomen riskienhallintayhteisön osaajien kanssa. Halusimme myös kehittää ammatillista osaamistamme ja verkostojamme. Tavoitteen tähänastiseen toteutumiseen olemme tyytyväisiä: blogi on herättänyt paljon mielenkiintoa, olemme saaneet lukijoita jotka…
Miten paljon ottaisin riskiä – eli Risk Appetite, osa I - Strateginen riskienhallinta perustuu parhaimmillaan selkeästi määriteltyyn ja strategiaan sidottuuun riskinottohalukkuuteen, sekä ymmärrykseen yrityksen kyvystä kantaa riskiä. Riskinottamisen rajat luovat puitteet, joissa riskinhallintapäätöksiä voidaan tehdä oikeilla tasoilla ja joissa riskinottohalukkuutta voidaan tarkastella myös riittävän riskinoton näkökulmasta. Lähdetään kuitenkin liikkeelle perusteista, eli termistöstä, sillä se pohjustaa aihetta mielestämme mainiosti. Osaa termeistä avasimmekin jo aikaisemmassa postuksessamme. Riskinottohalukkuus on kuitenkin…
Lue lisää Miten paljon ottaisin riskiä – eli Risk Appetite, osa I
Riskienhallinta ja kolme puolustuslinjaa - Sisäisen valvonnan, sisäisen tarkastuksen, compliancen ja riskienhallinnan parissa työskentelevät ovat todennäköisesti tuttuja termin ”kolme puolustuslinjaa – three lines of defence” kanssa. Kokemus on osoittanut, että tähän(kin) malliin liittyy kaikenlaista mielenkiintoista riskienhallinnan kannalta. Se ansaitsee siis oman postauksensa joulua odotellessa. Kolmen puolustuslinjan ajattelu, eli liiketoiminnan, liiketoiminnan tuen ja valvonnan eriyttäminen eri tahoille, voi hyvin ja paksusti…
Projektien riskienhallinta II – Schedule Quantitative Risk Analysis - Edellisessä riskiblogin kirjoituksessa haastattelimme Veli-Veikko Elomaata ja käsittelimme yleisellä tasolla projektin riskien arviointiin liittyviä näkökulmia: aika, raha, laatu sekä turvallisuus. Tässä kirjoituksessa Veli-Veikko ottaa näkökulmaksi ainoastaan aikatauluun vaikuttavien riskien analysointiin käytettävän menettelytavan, Schedule Quantitative Risk Analysis’n. Annamme puheenvuoron Veli-Veikolle: Projektien luonne Projekteille on luontaista alku, toteutus ja lopetus. Ne on yleensä jaettu tavoitteiden mukaisesti osatehtäviin,…
Lue lisää Projektien riskienhallinta II – Schedule Quantitative Risk Analysis
Projektien riskienhallinta - Onko projektiriskienhallinta yhtä kuin operatiivinen riskienhallinta? Voiko se olla strategista? Miten projektiriskit suhtautuvat liiketoimintariskeihin? Miten työkalut ja prosessit eroavat organisaation muusta riskienhallinnasta? Mitkä ovat ylipäätään projektiriskien tunnistamisen ja arvioinnin lainalaisuudet? Monia kysymyksiä, joihin lähdimme hakemaan vastauksia Veli-Veikko Elomaalta, joka on erikoistunut megaluokan projektien riskinhallintaan ja aikataulupohjaiseen riskimallinnukseen. Tämän projektien riskienhallintaan syventyvän kaksiosaisen kirjoitussarjan ensimmäisessä osassa avaamme hieman…
COSO ERM uudistui – eroon kuutioajattelusta - Totesimme aikaisemmassa postauksessa että riskienhallinnan viitekehykset ovat tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Kansainvälisiä, yleisesti käytettyjä viitekehyksiä on muutamia, joista meillä on kokemusta kahdesta. Tässä kirjoituksessa käsitellään COSO ERM-viitekehystä, josta julkaistiin juuri uusi versio ja myöhemmin tulemme kirjoittamaan toisesta, ISO31000:sta, josta on päivitystyö juuri meneillään. COSO (Committee of Sponsoring Organisations of the Treadway Commission) organisaationa on riippumaton…
Rusetti, tarina ja miksi? - Riskityöpaja – ehkä suosikkijuttumme riskienhallintatyössä. Tässä kirjoituksessa esittelemme kolme työkalua riskien tunnistamiseksi ja jäsentämiseksi työpajoissa. Suosittelemme lämpimästi kokeilemaan monenlaisia ryhmätyömenetelmiä (jopa niitä, joita ei alun perin ole tarkoitettu riskienhallintatyön tueksi – vaihtelu ja hienoinen leikillisyyskin virkistävät aina), ryhmän koon ja tavoitteen mukaan soveltaen ja muokaten. Tässä läpikäytävillä menetelmillä olemme saaneet hyviä tuloksia aikaan etenkin silloin,…
Riski, epävarmuus ja muutama muu termi - Kuten ihan ensimmäisessä postauksessamme mainitsimme, riskienhallinnassa vilisee termejä, joita käytetään välillä jokseenkin kirjavasti. Ja käytännössä pakkohan riskienhallintaa käsittelevän blogin on ottaa kantaa riskienhallinnan sanastoon, vaikka aihe saattaakin tuntua melko loppuunkalutulta. Yritämme seuraavassa kuitenkin lähestyä aihetta astetta freesimmällä otteella (laittakaa kommenttikenttään näkemyksiänne siitä, miten onnistuu!). Riski vs. epävarmuus: Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä,…
Käyttäisinkö Exceliä? Vai tietojärjestelmää? - Markkinoilla on tarjolla jos jonkinmoista riskienhallinnan tietojärjestelmää. On yksittäisiä ratkaisuja ja kattavia strategisen johtamisen ja toiminnan suunnittelun työkaluja, joissa riskienhallinta on osana. Lisäksi useimpiin ERP-järjestelmiin saa ainakin jonkinlaisen riskienhallinnan palikan. Valmiiden tuotteiden lisäksi yrityksellä on mahdollisuus luoda oma järjestelmä, esimerkiksi jonkin jo olemassa olevan järjestelmän osaksi. Nämä ovat mittavia hankkeita vaatimusmäärittelyineen, kehitysiteraatioineen ja käyttöönottoineen. Vaihtoehdoista…
Aina se prosessi. Ja onko pakko olla viitekehys? - Meistä kirjoittajista toinen on alun perin viitekehysihmisiä. Toinen taas puhuu prosesseista ja on aikanaan nähnyt melkein punaista kuullessaan sanan viitekehys. Ajan ja kokemuksen myötä molemmat ovat kuitenkin ottaneet kummatkin käsitteet aktiiviseen käyttöön, sillä ne ovat mielestämme tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Alla käsitteistä hieman tarkemmin. Riskienhallintaprosessin miellämme tavaksi, jolla riskienhallintaa organisaatiossa pyöritetään. Eli periaatteessa…
Viestintä riskikokonaisuudessa - Edellisissä kolmessa kirjoituksessa käytiin kerros kerrokselta läpi tapaa, jonka avulla tarkastelemme riskienhallintaa eri tasoista koostuvana kokonaisuutena. Totesimme, että strateginen ja kokonaisvaltainen riskienhallinta huomioi riittävässä laajuudessa kaikki kolme riskitasoa. Mutta siiloissa ei kannata elää – jotta riskienhallinta näin järjestettynä oikeasti toimisi, täytyy määritellä ja järjestää eri tasojen välinen keskustelu ja viestintä. Käytännössä tämä tarkoittaa sitä, että organisaatiossa määritellään,…
Riskienhallinta operatiivisella tasolla - Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä. Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella. Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu…
Riskienhallinta taktisella tasolla - Taktinen riskienhallinta -tasolla tarkastellaan ja hallitaan toiminnan suunnitteluun, organisointiin sekä toteutukseen liittyviä riskejä. Monesti puhutaan myös bisnesriskien hallinnasta. Riskienhallintainformaatio tukee liiketoiminta-alueita koskevaa päätöksentekoa. Kyseessä ovat strategisia riskejä astetta konkreettisemman tason riskit, jotka liittyvät strategian käytännön toteuttamiseen selkeiden tavoitteiden ja toimintasuunnitelmien mukaisesti. Hyvä taho arvioimaan riskejä tällä tasolla on liiketoimintajohto (yhdessä liiketoiminta-alueen johtoryhmän kanssa). Toimitusjohtajan rooli…
Riskienhallinta strategisella tasolla - Strateginen riskienhallinta –tasolla riskienhallinta nivotaan tukemaan strategiaa ja strategisia tavoitteita. Sen tarkoituksena on tukea ylimmän johdon toimintaa, merkittävien strategisten linjausten arviointia ja päätöksentekoa. Käsiteltävien riskien määrä pidetään rajallisena, huomio on merkittävimmissä riskikokonaisuuksissa. Strategisella tasolla riskit ovat suuria ja monitahoisia kokonaisuuksia, jotka ovat yritystasolla merkittäviä ja voivat uhata strategisten tavoitteiden saavuttamista. Käsiteltävät riskit eivät koostu yksinomaan…
Miten saada jotain tolkkua riskienhallinnasta? - Edellisessä postauksessa nostimme esiin ongelman, joka on nähtävissä riskienhallinnan termistön ja sitä koskevien keskustelujen ympärillä: riskienhallinta itsessään on hyvin laaja käsite ja eri puhujat monesti tarkoittavat sanoillaan hieman eri asioita. Todennäköisesti sinäkin miellät käsitteen ”riskienhallinta” hieman eri tavalla kuin me, vaikka olisimmekin lukeneet alan samat perusteokset ja viralliset määritelmät. Siihen miten näemme riskienhallinnan vaikuttaa oma…
Tervetuloa riskiblogi.fi:n! - Tämä blogi on olemassa kahden riskienhallinnan ammattilaisen jakaman kiinnostuksen, innostuksen ja yhteistyön tuloksena. Blogin perustamiselle on (ainakin) kaksi syytä: Riskienhallintaa koskeva keskustelu kaipaa selkeyttä. Riskienhallinnan ammattilaiset puhuvat yhdessä termeistä kuten riski ja sen suuruus, riski ja epävarmuus ja yksinkertaisesti ”riski”, usein kuitenkin tarkoittaen hieman eri asioita. Myös sisäiseen valvontaan, complianceen ja kontrolleihin liittyvät termit esiintyvät…