Julkaistu Ei kommentteja artikkeliin Riskienhallinta strategisella tasolla

Riskienhallinta strategisella tasolla

Strateginen riskienhallinta –tasolla riskienhallinta nivotaan tukemaan strategiaa ja strategisia tavoitteita. Sen tarkoituksena on tukea ylimmän johdon toimintaa, merkittävien strategisten linjausten arviointia ja päätöksentekoa. Käsiteltävien riskien määrä pidetään rajallisena, huomio on merkittävimmissä riskikokonaisuuksissa.

Strategisella tasolla riskit ovat suuria ja monitahoisia kokonaisuuksia, jotka ovat yritystasolla merkittäviä ja voivat uhata strategisten tavoitteiden saavuttamista. Käsiteltävät riskit eivät koostu yksinomaan yrityksen riskiluokituksessa lokeroon ”strategiset riskit” koostetuista asioista. Myös operatiivinen tai taktinen riski voi olla strategisesti merkittävä. Tämän vuoksi riskiraportoinnin tulee saada syötteitä sekä taktiselta, että operatiiviselta tasolta (yleensä taktisen tason kautta).

Merkittävänä haasteena strategisen riskienhallinnan toteuttamisessa on, että perinteiset strategiaopit eivät nosta riskienhallintaa osaksi strategiatyötä. On toimintaympäristöanalyysia ja SWOT-analyysia kaikkine laajennuksineen mutta riskit eivät kuulu prosessiin ja piste. Haastaisimme yritysjohtoa ja riskienhallinnan ammattilaisia miettimään, miten on mahdollista tehdä pitkälle tulevaisuuteen ulottuvia strategisia linjauksia, jos ei ole ymmärrystä nykytilan riskeistä ja niiden kehittymisestä eri strategiavaihtoehdoissa? Strategiset linjaukset kuten esimerkiksi laajentuminen uudelle palvelu- tai maantieteelliselle alueelle ovat mahdollisuuksia liiketoiminnalle, mutta niiden mukana syntyy uusia, tuntemattomia riskejä. Nämä riskit ja suhtautuminen niihin tulisi tunnistaa osana strategian valmistelutyötä, ei vasta päätöksenteon jälkeen.

Paras taho arvioimaan riskejä ja määrittämään ylätason hallintastrategiat on organisaation ylin johto: hallitus (ja suuremmassa yrityksessä hallituksen tarkastusvaliokunta) toimitusjohtajan tukemana (suuremmissa yrityksissä toimitusjohtajaa puolestaan tukee hänen johtoryhmänsä). Ylin johto varmistaa, että riskienhallinnan taso ja prosessi ovat riittäviä, haastaa toimitusjohtajaa riskikokonaisuudesta ja evästää riskienhallinnan toimenpiteiden priorisoinnista, tasosta ja luonteesta.

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää, yksityiskohtaisiin toimenpiteisiin ei ole tarkoituksenmukaista mennä. Tämä edellyttää keskustelun pohjana käytettävältä riskiraportoinnilta paljon – strategisten riskien raportoinnissa ei saa jäädä kiinni lillukanvarsiin. Toisaalta saattaa olla tarkoituksenmukaista tehdä ns. Deep Dive -tyyppisiä sukelluksia yksittäisiin riskeihin tai riskiluokkiin, jotta varmistetaan yhteinen ymmärrys ja näkemys riskin merkityksestä, tilasta, kehitysnäkymistä ja vaadittavien toimenpiteiden tasosta.

Esimerkki strategisen tason riskipohdinnoista – tietosuoja

 

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Strategisella tasolla luodaan käsitys siitä, onko aihe merkittävä yrityksen liiketoiminnan kannalta, ja ohjataan riskin käsittelyä muilla tasoilla.

On pohdittava:

Mitä henkilötietoja liiketoiminnassa tarvitaan?

Miten henkilötietoja liiketoiminnassa hyödynnetään?

Olemmeko mukana sellaisessa bisneksessä, jossa henkilötieto on liiketoiminnalle strategista tietoa?

Vaikuttaisiko tietovuoto merkittävästi liiketoimintaedellytyksiin, eli millainen vaikutus tapahtumalla olisi maineeseen ja uskottavuuteen & olisiko riski kustannusmielessä merkittävä?

Strategisella tasolla kannattaa pitää mielessä myös riskin upside. Voisiko hyvin hoidettu tietosuoja luoda jopa kilpailuetua markkinoilla asiakkaiden silmissä tai onko henkilötieto omaisuuserä, jonka avulla liiketoimintaa voidaan kehittää tai laajentaa?

Julkaistu Ei kommentteja artikkeliin Miten saada jotain tolkkua riskienhallinnasta?

Miten saada jotain tolkkua riskienhallinnasta?

Edellisessä postauksessa nostimme esiin ongelman, joka on nähtävissä riskienhallinnan termistön ja sitä koskevien keskustelujen ympärillä: riskienhallinta itsessään on hyvin laaja käsite ja eri puhujat monesti tarkoittavat sanoillaan hieman eri asioita. Todennäköisesti sinäkin miellät käsitteen ”riskienhallinta” hieman eri tavalla kuin me, vaikka olisimmekin lukeneet alan samat perusteokset ja viralliset määritelmät. Siihen miten näemme riskienhallinnan vaikuttaa oma taustamme ja kokemuksemme eli se, mistä näkökulmasta olemme riskejä tottuneet tarkastelemaan. Toiselle riskienhallinta on perinteistä vahinkojen torjuntaa ja vakuuttamista, kun taas toiselle puhdasta matematiikka ja monte carlo -simulaatioita ja kolmannelle taas konsernitason strategisen riskikartan kokoamista.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan. Riskienhallinnan painopisteet heijastelevat usein myös toimialan tai toiminnan erityispiirteitä, esimerkiksi ydinenergian tuotannossa korostuvat turvallisuusriskien hallinta, konventionaalisissa energiantuotantomuodoissa vahinko- ja keskeytysriskit, elintarvikealalla keskitytään elintarviketurvallisuuteen, lääketeollisuudessa lopputuotteen vaatimustenmukaisuuteen ja laatuun, kun taas aloittelevissa yrityksissä saatetaan alkuvaiheessa keskittyä puhtaasti markkinaan ja kilpailijoihin ja suuren investointiohjelman juuri julkaissut organisaatio keskittyy lähivuodet intensiivisesti projektiriskien hallintaan. Listaa voisi jatkaa loputtomiin. Mutta mikä on näiden kaikkien erilaisten lähestymistapojen suhde toisiinsa? Ja mitä ihmettä tarkoittaa paljon käytössä oleva termi ”kokonaisvaltainen riskienhallinta”?

Kokonaisvaltaiselle riskienhallinnalle löytää nopeasti googlettamalla monia eri määrittelyjä; sanotaan sen käsittävän tavoitteita vastaan toteutettavan riskien tunnistamisen, käsityksen muodostamisen kaikista toimintaan liittyvistä riskeistä ja niiden merkittävyydestä, sen kuvaillaan olevan tiukasti integroitu strategiaprosessiin, operatiiviseen suunnitteluun, päivittäiseen päätöksentekoon ja toiminnan valvontaan. Mainitaan sen myös olevan osa sisäistä valvontaa ja painottavan riskien tarkastelua koko yrityksen tasolla, ei pelkästään yksittäisien toimintojen riskien tunnistamista. Sen tunnuspiirteenä kuvaillaan olevan kytkeminen strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin.

Nämä ovat kaikki ehdottoman hyviä linjauksia ja tavoitteita, mutta me kaipaamme jotain hieman konkreettisempaa, joka kertoo meille, miten suhteutamme, käsittelemme ja vastuutamme keskenään esim. organisaation tietojärjestelmiin kohdistuvat hyökkäykset, riskin siitä, että digitalisoituvassa maailmassa liiketoimintamme perusidea ei enää kanna, henkilöstömme työturvallisuudesta huolehtimisen ja riskin siitä, että rahoituksemme hinta nousee sietämättömälle tasolle.

Kokonaisuuden hahmottamiseksi ja jäsentämiseksi nojaamme kolmijakoon strategisen, taktisen ja operatiivisen toiminnan välillä. Mallimme jakaa riskienhallinnan osa-alueet eri tasoihin ja sitoo ne toisiinsa liittyväksi kokonaisuudeksi:

(lue mallista tarkemmin sivulta viitekehys):

Tämän mallin kaikkien osa-alueiden hallinta ja johtaminen, mukaan lukien eri tasojen välillä tapahtuvan viestinnän, on meille kokonaisvaltaista, tehokasta riskienhallintaa. Jokaisella tasolla on eri vastuuhenkilöt ja erilainen fokus mm. riskien tunnistamisessa ja niitä koskevassa keskustelussa ja raportoinnissa. Tehokkuus ja tarkoituksenmukaisuus riskienhallinnassa saavutetaan, kun eri riskit, tai samaan riskiin otettavat eri näkökulmat (esim. privacy-riski, jota käytämme esimerkkinä tulevissa kirjoituksissa) viedään käsiteltäväksi organisaatiossa oikeille tasoille. Eri tasoihin, niiden sisältöön ja niihin liittyvää viestintää tarkastelemme seuraavissa postauksissa tarkemmin.