Julkaistu 4 kommenttia artikkeliin Riski, epävarmuus ja muutama muu termi

Riski, epävarmuus ja muutama muu termi

Kuten ihan ensimmäisessä postauksessamme mainitsimme, riskienhallinnassa vilisee termejä, joita käytetään välillä jokseenkin kirjavasti. Ja käytännössä pakkohan riskienhallintaa käsittelevän blogin on ottaa kantaa riskienhallinnan sanastoon, vaikka aihe saattaakin tuntua melko loppuunkalutulta. Yritämme seuraavassa kuitenkin lähestyä aihetta astetta freesimmällä otteella (laittakaa kommenttikenttään näkemyksiänne siitä, miten onnistuu!).

Riski vs. epävarmuus:

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen. Riskit ovat ”tunnettuja epävarmuuksia” eli käytännössä et tiedä, mitä seuraavaksi tapahtuu, mutta tiedät miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen.

Esimerkki tunnetusta epävarmuudesta (l. riskistä) on pankin myöntämä luotto. Pankin riski on se, että asiakas ei maksa lainaansa takaisin, mutta etukäteen ei voida tietää tapahtuuko näin. Kuitenkin todennäköisyys tälle pystytään historiallisen tiedon perusteella määrittelemään. Epävarmuus puolestaan viittaa ”tuntemattomiin epävarmuuksiin”, eli et tiedä mitä seuraavaksi tapahtuu, etkä myöskään tiedä miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.  Tällöin tapahtumiin liittyvää riskiä on vaikea määrittää.

Mietitään vaikka organisaatiota, jossa ollaan lähdössä toteuttamaan täysin uudenlaista projektia. Visiovaiheessa, kun tiedetään tavoiteltava lopputulos, mutta ei vielä keinoja tai resursseja sen saavuttamiseen, on varmasti luontevaa puhua enemmän projektiin liittyvästä epävarmuudesta kuin riskistä, koska meillä ei ole käytössämme aikaisempaa tietoa projektin kulun ja lopputuloksen, ja niihin liittyvien riskiskenarioiden riittävään ennustamiseen. Projektin edetessä ja suunnitelmien täsmentyessä epävarmuus tarkentuu vähitellen riskiksi.

Strategiatyön ja strategisen riskienhallinnan tason kannalta epävarmuus on mielenkiintoinen termi: lähihistoria on täynnä realisoituneita tuntemattomia epävarmuuksia, jotka ovat mullistaneet toimialoja ja vieneet pohjan aikaisemmalta liiketoimintalogiikalta. Näissä yhteyksissä viitataan monesti ”mustiin joutseniin” eli tapahtumiin, joita on hyvin vaikea tai mahdoton ennustaa historiallisen tiedon perusteella, ja joiden vaikutukset ovat toteutuessaan suuria. Strateginenkaan riskienhallinta ei pysty tarjoamaan täydellistä vastausta tuntemattomien epävarmuuksien tunnistamiseen ja mittaamiseen ja sen vuoksi yritysjohdon on elintärkeää olla hereillä, skannailla ja tarkkailla ns. hiljaisia signaaleja markkinoilta, kilpailijoilta ja muilta yhteiskunnan aloilta ollakseen valmiina, kun maailma muuttuu.

Vaara ja riski:

Vaara on tekijä, joka voi aiheuttaa vaaratilanteen, kuten tapaturman, onnettomuuden, vahingon tai muun vastaavan. Vaara on olemassa, mikäli jollakin asialla on luontainen ominaisuus aiheuttaa haittavaikutus – esimerkiksi jäinen tie tai viallinen sähkölaite. Vaaroista aiheutuu riskejä, tai jos tekijällä voi olla positiivisia vaikutuksia, vaaran sijaan puhutaan mahdollisuudesta. Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Riski ei välttämättä realisoidu, vaikka vaaratekijä olisi olemassa, vaan sana riski kuvaa vaarasta mahdollisesti aiheutuvaa haittaa (tai mahdollisuutta) ja sen suuruutta yhdistämällä toteutumisen arvioidun todennäköisyyden ja vaikutuksen.  Jotta riski olisi olemassa, eli vaara tapahtuisi, vaaralle tulee altistua. Postauksen lähteistä löytyy hyvä esimerkki vaaran ja riskin suhteesta: myrkkykäärme eläintarhan terraariossa on vaarallinen, mutta se ei terraariossa ollessaan ole kävijöille todellinen riski. Jos käärme pääsisi kohtuullisen todennäköisesti karkaamaan terraariosta, se muuttuisi kävijöille riskiksi.

Riskinottohalukkuus ja riskinkantokyky:

Riskinottohalukkuus (risk appetite) on se riskin määrä, jonka organisaatio hyväksyy kokonaistasolla tavoitellessaan päämääriään. Riskinottohalu on aina sidottu organisaation kokonaisstrategiaan. Sitä ei välttämättä ole ilmaistu yhtenä lukuna, vaan se voi olla moniulotteisemmin ja laveamminkin määritelty, liialliseen yksinkertaistamiseen ei välttämättä kannatakaan pyrkiä. Kannattaa kuitenkin huolehtia, että riskinottohalukkuus on mitattavissa, jotta määritelmästä ei tule merkityksetöntä. Riskinottohalukkuus on organisaatiokohtainen ja voi vaihdella paljonkin mm. eri toimialojen, organisaatiokulttuureiden välillä. Riskinottohalukkuus voi (ja ehkä sen pitääkin) myös muuttua ajan kuluessa.

Riskinkantokyky (risk tolerance) on se riskin taso, jonka organisaatio hyväksyy per jokainen riski (toisin kuin riskinottohalukkuus, joka ilmaisee riskinsiedon kokonaisuudessaan). Riskinkantokyky määrittelee sen, onko organisaatio valmis kantamaan yksittäisen riskin vaikutukset sen toteutuessa .

Riski, Inherent Risk & Residual risk:

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata.

Käytännössä riskienhallinnassa usein puhutaan vain ”riskistä”, vaikka riskienhallinnan teoriassa riski jaotellaan inherent ja residual riskiin. Inherent-riskille on hieman vaikeaa löytää sopivaa suomennosta, kyse on ”alkuperäisestä” riskistä ilman mitään riskienhallinnan toimenpiteitä – voidaan puhua myös ”worst case” -skenaariosta riskiin liittyen. Residual risk -termille taas löytyy hyvä suomennos: jäännösriski, eli riski sen jälkeen, kun kaikki päätetyt riskin hallintatoimenpiteet ovat käytössä. Arkikielessä sanalla riski viitataan usein nimenomaan jäännösriskiin.

Otetaan esimerkki: toimit rahoitusalalla ja myönnät asiakkaallesi 2 Meuron lainan. Arvioit inherent-riskiksi luotonannossa historiallisen datan perusteella sen, että 10% todennäköisyydellä asiakas ei maksa lainaansa ollenkaan takaisin (ensimmäiseen sanapariin viitaten: tapahtumien todennäköisyysjakauma on sinulla siis tiedossa ja näin ollen puhutaan riskistä, eikä epävarmuudesta). Riski on melko korkea ja sen taloudellinen vaikutus liiketoiminnallesi suuri, joten päätät implementoida riskienhallintatoimenpiteitä pienentääksesi riskin toteutumisen todennäköisyyttä ja vaikutusta. Toimenpiteenä voivat olla esim. asiakkaan luottotietojen tarkistus ja vakuuksien tai takauksien vaatiminen jne. Näiden toimenpiteiden tehokkaan implementoinnin jälkeen arvioit, että todennäköisyys koko lainan maksamatta jättämiselle on pudonnut 5%:n ja vakuuksien vuoksi on todennäköistä, että saat joka tapauksessa takaisin ainakin 50% lainasummasta. Näin voit laskea jäännösriskisi taloudellisen arvon.

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata, sillä korkea inherent-riski antaa viitteitä siitä, kuinka huolissaan (ja kääntäen, kuinka varmoja) meidän tulisi olla riskienhallintatoimenpiteidemme tehokkuudesta ja riittävyydestä. Inherent- ja jäännösriskin välinen suuri epäsuhta antaa aina siis aihetta tarkastella riskienhallinnan toimenpiteiden tilannetta ja tehokkuutta tarkemmin.

ps. Tässä kirjoituksessa kuvatut tilanteet ja termit ovat käytössä kaikilla kolmella riskienhallinnan tasolla.

Lähteitä:

ISO 31000 – Risk Managment Standard Vocabulary

COSO: ”Strengthening Enterprise Risk Management for Strategic Advantage

http://riskikompassi.fi/uploads/files/riskienhallintapolitiikka-esimerkki.pdf

https://www.theirm.org/media/464806/IRMRiskAppetiteExecSummaryweb.pdf

http://www.bwise.com/blog/assessing-risks-inherent-or-residual/obj5382859

http://www.teknokemia.fi/fin/kosmetiikka/kosmetiikan_puheenaiheita/riskin_ja_vaaran_ero/

 

Julkaistu 2 kommenttia artikkeliin Aina se prosessi. Ja onko pakko olla viitekehys?

Aina se prosessi. Ja onko pakko olla viitekehys?

Meistä kirjoittajista toinen on alun perin viitekehysihmisiä. Toinen taas puhuu prosesseista ja on aikanaan nähnyt melkein punaista kuullessaan sanan viitekehys. Ajan ja kokemuksen myötä molemmat ovat kuitenkin ottaneet kummatkin käsitteet aktiiviseen käyttöön, sillä ne ovat mielestämme tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Alla käsitteistä hieman tarkemmin.

Riskienhallintaprosessin miellämme tavaksi, jolla riskienhallintaa organisaatiossa pyöritetään. Eli periaatteessa prosessi antaa vastaukset kysymyksiin Mitä, Kuka, Milloin ja Miten.

Viitekehys taas on enemmänkin ylemmän tason työkalu, jonka avulla hahmotetaan oman organisaation riskienhallinnan kokonaisuuteen liittyvät asiat ja vastuut. Se on vähän niin kuin filosofia toteutuksen taustalla.

Viitekehys ja prosessi yhdessä antavat välineet, joiden avulla homma on perusteltua, sillä on tavoite, toteutus on vastuutettua ja helppoa seurata. Myös lopputuotos on helpommin perusteltavissa ulkopuolisille, jos esim. viranomaiset, asiakkaat tai auditoijat osoittavat kiinnostusta riskienhallintaa kohtaan. Eli vastauksena otsikon kysymykseen: kyllä, mielestämme käytössä kannattaa olla  toimiva viitekehys (jota sutjakka prosessi tukee).

Yleisimmät riskienhallinnan viitekehykset lienevät ISO 31000 ja COSO-ERM. Muitakin toki löytyy, esim. Federation of European Risk Managers -yhdistyksen oma viitekehys. ISO 31000 on osa ISO-standardiperhettä ja COSO-ERM perinteisesti enemmän sisäisen valvonnan ja compliancen kautta riskienhallintaa tarkasteleva (tosin malli on menossa melko perusteelliseksi uusiksi lähiaikoina). Syväluotaavasti tarkastelemme näitä molempia viitekehyksiä erillisissä blogikirjoituksissa lähitulevaisuudessa.

Mikä viitekehys sitten pitäisi valita? Riskienhallinnassa pyörää ei kannata keksiä uudelleen. Kannattaa aloittaa valmiilla, hyväksi koetelluilla parhailla käytännöillä ja suhtautua tulevaisuuteen ja mallin mahdolliseen muokkaamiseen joustavasti:

Jos ei ole jotain erityisetä syytä ottaa käyttöön räätälöityä mallia, kannattaa valita tunnettu, valmis malli. Jos johtamisjärjestelmä on luotu ISO-standardien mukaisesti, ISO31000 on todennäköisesti luontevin valinta myös riskienhallintaan. Jos taas COSO-ERM -lähestymistapa on tutumpi, kannattaa hyödyntää sitä.

Etukäteen voi olla vaikeaa tarkasti tietää, miten malli sopii organisaatioosi ja millaisia tilanteita käytännössä tulee liiketoiminnan kanssa eteen. Kannattaa siis suhtautua joustavasti ja muistaa, että oli valittu malli mikä tahansa, sitä luultavasti joudutaan joka tapauksessa muokkaamaan sen aikaa myöten.

Riskienhallinnasta saa helposti rakennettua  monimutkaisen, hienon mallin, joka ottaa huomioon kaiken mahdollisen. Liika monimutkaisuus ja hifistely kuitenkin toimivat itseään vastaan, sillä käytännössä liiketoiminta usein kaipaa yksinkertaista ja selkeää. Näin tuet myös sitä, että muu organisaatio todella ymmärtää riskienhallinnan idean ja tarkoituksen.

Julkaistu Ei kommentteja artikkeliin Viestintä riskikokonaisuudessa

Viestintä riskikokonaisuudessa

Edellisissä kolmessa kirjoituksessa käytiin kerros kerrokselta läpi tapaa, jonka avulla tarkastelemme riskienhallintaa eri tasoista koostuvana kokonaisuutena. Totesimme, että strateginen ja kokonaisvaltainen riskienhallinta huomioi riittävässä laajuudessa kaikki kolme riskitasoa. Mutta siiloissa ei kannata elää – jotta riskienhallinta näin järjestettynä oikeasti toimisi, täytyy määritellä ja järjestää eri tasojen välinen keskustelu ja viestintä. Käytännössä tämä tarkoittaa sitä, että organisaatiossa määritellään, millä kriteereillä yhdellä tasolla tunnistetusta riskistä raportoidaan ylös- tai alaspäin kolmiossa:

 

Kolmion kärkipäästä ”ylhäältä” tuleva viestintä on tärkeää, jotta koko organisaatio on tietoinen sen toimintaan kohdistuvista merkittävimmistä riskeistä. Strateginen riskinäkemys tukee myös strategiaa ja sen viestintää, ja kertoo, mitä riskien minimoimiseksi tehdään & oletetaan organisaatiossa tehtävän.

Strategisen tason riskikokonaisuudessa on yleensä aina joitain elementtejä, joita ei voida jakaa kovin laajalle piirille. Kuitenkin lähtökohtaisesti tieto, jota ei ole jostain erityisestä syystä aihetta salata, tulisi viestiä avoimesti. Tieto ylimmän johdon huolenaiheista auttaa taktisella ja operatiivisella tasolla riskienhallinnan parissa työskenteleviä kokonaiskuvan muodostamisessa. Se helpottaa myös oman riskienhallinnan roolin ja siihen kohdistuvien odotusten ymmärtämistä.

Taktisella tasolla ollaan vuorovaikutuksessa kaikkiin suuntiin. Strategiselta tasolta saadaan viitekehys, jossa riskejä tarkastellaan ja takaisin syötetään tieto liiketoimintayksikön lähitulevaisuuden merkittävistä mahdollisuuksista ja haasteista. Taktinen taso antaa myös raamit operatiivisen riskienhallinnan toteuttamiselle. Operatiiviselta tasolta taktiselle nostettavat asiat puolestaan auttavat hahmottamaan, missä riskienhallinnan kokonaisuuden käytännön toteuttamisessa mennään.

Millä kriteereillä operatiivisen tason riskejä sitten nostetaan tarkasteluun ylemmälle tasolle? Riskin suuruuteen sitominen on todennäköisesti helpointa. Se ei kuitenkaan välttämättä aina ole paras tapa,  etenkin jos riskit arvotetaan taloudellisen merkittävyytensä mukaan. Tällöin jokin yrityksen arvojen tai vaikka toiminnan turvallisuuden kannalta tärkeä asia saattaa jäädä ilman käsittelyä. Ratkaisuna ongelmaan voi todennäköisesti hyödyntää riskien kategorisointia, jolloin  tietyistä teemoista, esim. arvoihin liittyvistä asioista voidaan koostaa yhteenvetoja riskiviestintää ja -raportointia varten.

”Alhaalta ylös” -tapahtuva viestintä (opertaviiselta taktiselle tasolle) on toimivalle riskienhallintajärjestelmälle tärkeää etenkin siksi, että riskikolmion alemmilla tasoilla saatetaan tunnistaa asioita tai huolenaiheita, joihin ylemmillä tasolla ei ole suoraa näkymää. Nämä saattavat kokonaisuuteen liitettynä tai useassa eri yksikössä samantapaisina toistuessaan olla merkityksellisiä kokonaisriskikuvan kannalta. Ne voivat tuoda esiin myös näkökulmia tai asioita, joihin täytyy ottaa kantaa riskienhallintajohdon tasolla. Riskienhallinnan prosessia käytetään tällöin tavallaan tunnistettujen huolien keskusteluun nostamisen työkaluna.

 

Julkaistu Ei kommentteja artikkeliin Riskienhallinta strategisella tasolla

Riskienhallinta strategisella tasolla

Strateginen riskienhallinta –tasolla riskienhallinta nivotaan tukemaan strategiaa ja strategisia tavoitteita. Sen tarkoituksena on tukea ylimmän johdon toimintaa, merkittävien strategisten linjausten arviointia ja päätöksentekoa. Käsiteltävien riskien määrä pidetään rajallisena, huomio on merkittävimmissä riskikokonaisuuksissa.

Strategisella tasolla riskit ovat suuria ja monitahoisia kokonaisuuksia, jotka ovat yritystasolla merkittäviä ja voivat uhata strategisten tavoitteiden saavuttamista. Käsiteltävät riskit eivät koostu yksinomaan yrityksen riskiluokituksessa lokeroon ”strategiset riskit” koostetuista asioista. Myös operatiivinen tai taktinen riski voi olla strategisesti merkittävä. Tämän vuoksi riskiraportoinnin tulee saada syötteitä sekä taktiselta, että operatiiviselta tasolta (yleensä taktisen tason kautta).

Merkittävänä haasteena strategisen riskienhallinnan toteuttamisessa on, että perinteiset strategiaopit eivät nosta riskienhallintaa osaksi strategiatyötä. On toimintaympäristöanalyysia ja SWOT-analyysia kaikkine laajennuksineen mutta riskit eivät kuulu prosessiin ja piste. Haastaisimme yritysjohtoa ja riskienhallinnan ammattilaisia miettimään, miten on mahdollista tehdä pitkälle tulevaisuuteen ulottuvia strategisia linjauksia, jos ei ole ymmärrystä nykytilan riskeistä ja niiden kehittymisestä eri strategiavaihtoehdoissa? Strategiset linjaukset kuten esimerkiksi laajentuminen uudelle palvelu- tai maantieteelliselle alueelle ovat mahdollisuuksia liiketoiminnalle, mutta niiden mukana syntyy uusia, tuntemattomia riskejä. Nämä riskit ja suhtautuminen niihin tulisi tunnistaa osana strategian valmistelutyötä, ei vasta päätöksenteon jälkeen.

Paras taho arvioimaan riskejä ja määrittämään ylätason hallintastrategiat on organisaation ylin johto: hallitus (ja suuremmassa yrityksessä hallituksen tarkastusvaliokunta) toimitusjohtajan tukemana (suuremmissa yrityksissä toimitusjohtajaa puolestaan tukee hänen johtoryhmänsä). Ylin johto varmistaa, että riskienhallinnan taso ja prosessi ovat riittäviä, haastaa toimitusjohtajaa riskikokonaisuudesta ja evästää riskienhallinnan toimenpiteiden priorisoinnista, tasosta ja luonteesta.

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää, yksityiskohtaisiin toimenpiteisiin ei ole tarkoituksenmukaista mennä. Tämä edellyttää keskustelun pohjana käytettävältä riskiraportoinnilta paljon – strategisten riskien raportoinnissa ei saa jäädä kiinni lillukanvarsiin. Toisaalta saattaa olla tarkoituksenmukaista tehdä ns. Deep Dive -tyyppisiä sukelluksia yksittäisiin riskeihin tai riskiluokkiin, jotta varmistetaan yhteinen ymmärrys ja näkemys riskin merkityksestä, tilasta, kehitysnäkymistä ja vaadittavien toimenpiteiden tasosta.

Esimerkki strategisen tason riskipohdinnoista – tietosuoja

 

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Strategisella tasolla luodaan käsitys siitä, onko aihe merkittävä yrityksen liiketoiminnan kannalta, ja ohjataan riskin käsittelyä muilla tasoilla.

On pohdittava:

Mitä henkilötietoja liiketoiminnassa tarvitaan?

Miten henkilötietoja liiketoiminnassa hyödynnetään?

Olemmeko mukana sellaisessa bisneksessä, jossa henkilötieto on liiketoiminnalle strategista tietoa?

Vaikuttaisiko tietovuoto merkittävästi liiketoimintaedellytyksiin, eli millainen vaikutus tapahtumalla olisi maineeseen ja uskottavuuteen & olisiko riski kustannusmielessä merkittävä?

Strategisella tasolla kannattaa pitää mielessä myös riskin upside. Voisiko hyvin hoidettu tietosuoja luoda jopa kilpailuetua markkinoilla asiakkaiden silmissä tai onko henkilötieto omaisuuserä, jonka avulla liiketoimintaa voidaan kehittää tai laajentaa?

Julkaistu Ei kommentteja artikkeliin Miten saada jotain tolkkua riskienhallinnasta?

Miten saada jotain tolkkua riskienhallinnasta?

Edellisessä postauksessa nostimme esiin ongelman, joka on nähtävissä riskienhallinnan termistön ja sitä koskevien keskustelujen ympärillä: riskienhallinta itsessään on hyvin laaja käsite ja eri puhujat monesti tarkoittavat sanoillaan hieman eri asioita. Todennäköisesti sinäkin miellät käsitteen ”riskienhallinta” hieman eri tavalla kuin me, vaikka olisimmekin lukeneet alan samat perusteokset ja viralliset määritelmät. Siihen miten näemme riskienhallinnan vaikuttaa oma taustamme ja kokemuksemme eli se, mistä näkökulmasta olemme riskejä tottuneet tarkastelemaan. Toiselle riskienhallinta on perinteistä vahinkojen torjuntaa ja vakuuttamista, kun taas toiselle puhdasta matematiikka ja monte carlo -simulaatioita ja kolmannelle taas konsernitason strategisen riskikartan kokoamista.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan. Riskienhallinnan painopisteet heijastelevat usein myös toimialan tai toiminnan erityispiirteitä, esimerkiksi ydinenergian tuotannossa korostuvat turvallisuusriskien hallinta, konventionaalisissa energiantuotantomuodoissa vahinko- ja keskeytysriskit, elintarvikealalla keskitytään elintarviketurvallisuuteen, lääketeollisuudessa lopputuotteen vaatimustenmukaisuuteen ja laatuun, kun taas aloittelevissa yrityksissä saatetaan alkuvaiheessa keskittyä puhtaasti markkinaan ja kilpailijoihin ja suuren investointiohjelman juuri julkaissut organisaatio keskittyy lähivuodet intensiivisesti projektiriskien hallintaan. Listaa voisi jatkaa loputtomiin. Mutta mikä on näiden kaikkien erilaisten lähestymistapojen suhde toisiinsa? Ja mitä ihmettä tarkoittaa paljon käytössä oleva termi ”kokonaisvaltainen riskienhallinta”?

Kokonaisvaltaiselle riskienhallinnalle löytää nopeasti googlettamalla monia eri määrittelyjä; sanotaan sen käsittävän tavoitteita vastaan toteutettavan riskien tunnistamisen, käsityksen muodostamisen kaikista toimintaan liittyvistä riskeistä ja niiden merkittävyydestä, sen kuvaillaan olevan tiukasti integroitu strategiaprosessiin, operatiiviseen suunnitteluun, päivittäiseen päätöksentekoon ja toiminnan valvontaan. Mainitaan sen myös olevan osa sisäistä valvontaa ja painottavan riskien tarkastelua koko yrityksen tasolla, ei pelkästään yksittäisien toimintojen riskien tunnistamista. Sen tunnuspiirteenä kuvaillaan olevan kytkeminen strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin.

Nämä ovat kaikki ehdottoman hyviä linjauksia ja tavoitteita, mutta me kaipaamme jotain hieman konkreettisempaa, joka kertoo meille, miten suhteutamme, käsittelemme ja vastuutamme keskenään esim. organisaation tietojärjestelmiin kohdistuvat hyökkäykset, riskin siitä, että digitalisoituvassa maailmassa liiketoimintamme perusidea ei enää kanna, henkilöstömme työturvallisuudesta huolehtimisen ja riskin siitä, että rahoituksemme hinta nousee sietämättömälle tasolle.

Kokonaisuuden hahmottamiseksi ja jäsentämiseksi nojaamme kolmijakoon strategisen, taktisen ja operatiivisen toiminnan välillä. Mallimme jakaa riskienhallinnan osa-alueet eri tasoihin ja sitoo ne toisiinsa liittyväksi kokonaisuudeksi:

(lue mallista tarkemmin sivulta viitekehys):

Tämän mallin kaikkien osa-alueiden hallinta ja johtaminen, mukaan lukien eri tasojen välillä tapahtuvan viestinnän, on meille kokonaisvaltaista, tehokasta riskienhallintaa. Jokaisella tasolla on eri vastuuhenkilöt ja erilainen fokus mm. riskien tunnistamisessa ja niitä koskevassa keskustelussa ja raportoinnissa. Tehokkuus ja tarkoituksenmukaisuus riskienhallinnassa saavutetaan, kun eri riskit, tai samaan riskiin otettavat eri näkökulmat (esim. privacy-riski, jota käytämme esimerkkinä tulevissa kirjoituksissa) viedään käsiteltäväksi organisaatiossa oikeille tasoille. Eri tasoihin, niiden sisältöön ja niihin liittyvää viestintää tarkastelemme seuraavissa postauksissa tarkemmin.

Julkaistu 1 kommentti artikkeliin Tervetuloa riskiblogi.fi:n!

Tervetuloa riskiblogi.fi:n!

Tämä blogi on olemassa kahden riskienhallinnan ammattilaisen jakaman kiinnostuksen, innostuksen ja yhteistyön tuloksena. Blogin perustamiselle on (ainakin) kaksi syytä:

  1. Riskienhallintaa koskeva keskustelu kaipaa selkeyttä. Riskienhallinnan ammattilaiset puhuvat yhdessä termeistä kuten riski ja sen suuruus, riski ja epävarmuus ja yksinkertaisesti ”riski”, usein kuitenkin tarkoittaen hieman eri asioita. Myös sisäiseen valvontaan, complianceen ja kontrolleihin liittyvät termit esiintyvät keskusteluissa. On kuitenkin hankala hahmottaa, miten nämä kaikki suhteutuvat riskienhallinnan kokonaisuuteen. Järjestelmällisyyteen taipuvina ihmisinä päätimme katsella aihetta systemaattisen ja helposti ymmärrettävän ajatuskehikon kautta, jossa riskienhallinta on jaettu kolmeen eri tasoon (esittelemme kehikon tarkemmin seuraavassa postauksessa). Tämän blogin kautta pääsemme jakamaan ajatusmallimme, toivoen sen hyödyttävän myös muita alalla työskenteleviä, tai siitä kiinnostuneita.
  1. Meillä on tavoite: tehdä riskienhallinnasta kokonaisvaltaista ja nostaa se ylimmän johdon agendalle niin, että se huomioi strategisen näkökulman ja on olennainen ja integroitu osa menestyvän liiketoiminnan pyörittämistä. Näemme kokonaisvaltaisen riskienhallinnan ensisijaisesti yrityksen liiketoiminnan mahdollistajana ja strategian tukijana tavoitteiden saavuttamiseksi. Sellainen riskienhallinta, johon me suhtaudumme suurella intohimolla, tukee tavoitteiden saavuttamista ja toteutumista, jopa mahdollistaa ne. Se on aktiivista ja vuorovaikutteista, ja vaatii niin riskienhallinnan teorian kuin oman organisaation liiketoiminnan ja ansaintamallin ymmärtämistä. Se käyttää erilaisia viitekehyksiä apunaan, muttei jää niiden vangiksi. Se on toimitusjohtajan, hallituksen, linjajohdon ja riskin omistajien paras kaveri ja apu muuttuvassa maailmassa.

Käytämme hyväksi kokemustamme, kirjallisuutta sekä keskusteluja kollegojen ja muiden asiantuntijoiden kanssa. Tarkoitus on antaa ideoita miettimisen aihetta niin riskienhallintapäälliköille, toimitusjohtajille, hallituksille, tarkastusvaliokunnille ja riskin omistajille, kuin kenelle tahansa aiheesta kiinnostuneelle.