Totesimme aikaisemmassa postauksessa että riskienhallinnan viitekehykset ovat tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Kansainvälisiä, yleisesti käytettyjä viitekehyksiä on muutamia, joista meillä on kokemusta kahdesta. Tässä kirjoituksessa käsitellään COSO ERM-viitekehystä, josta julkaistiin juuri uusi versio ja myöhemmin tulemme kirjoittamaan toisesta, ISO31000:sta, josta on päivitystyö juuri meneillään.
COSO (Committee of Sponsoring Organisations of the Treadway Commission) organisaationa on riippumaton yksityisen sektorin toimija, joka perustettiin vuonna 1985 alunperin tukemaan väärän/vilpillisen taloudellisen raportoinnin tutkimusta. Lisää COSO:n tarkoituksesta, historiasta ja kehityksestä voit lukea täältä.
COSO-ERM (ERM= Enterprise Risk Management) -viitekehys julkaistiin alunperin vuonna 2004 ja kuten mainittu, se on ollut pitkään yksi vallitsevista viitekehyksistä hyvin monenlaisten organisaatioiden riskienhallintaprosessien pohjalla. COSO aloitti viitekehyksen päivittäminen vuonna 2015 ja julkisen kommentointikierroksen jälkeen uusi lopullinen versio julkaistiin lopulta tänä syksynä. Kävimme uudistetun viitekehyksen läpi ja tässä nostamme esiin mielestämme merkittävimmät muutokset.
Mikä muuttui?
Viitekehyksen ensimmäisessä versiossa korostui riskienhallinnan ja sisäisen valvonnan välinen suhde ja riskienhallinta nähtiin vahvasti compliance-työkaluna. Tämä oli tietysti luontevaa ottaen huomioon COSO:n toiminnan juuret sisäisessä valvonnassa ja ”fraud deterrence”-ajattelussa. Merkittävin muutos uudessa päivitetyssä mallissa onkin se, että riskienhallinta kuvataan yrityksen liiketoimintaa tukevana integroituna toimintana, joka auttaa ja ohjaa strategian laadinnassa ja toteutuksessa, pikemmin kuin compliance- tai sisäisen valvonnan työkaluna. Sisäistä valvontaa ja kolmea puolustuslinjaa ei ole täysin unohdettu uudessakaan mallissa mutta se jää taka-alalle ja lopputuloksena on modernia, strategista riskienhallinta-ajattelua tukeva viitekehys.
– kaikki lähtee strategiasta
Uusi COSO-ERM lähtee liikkeelle strategian valinnasta riskienhallinnan tuella. Moni strategiaprosessi ottaa tälläkin hetkellä jo huomioon riskit, mutta COSO-ERM kritisoi näitä prosesseja siitä, että riskiä arvioidaan yleensä vain suhteessa jo valittuun strategiaan: ”mitkä seikat voivat vaikuttaa strategiamme toteutumiseen ja menestyksekkyyteen?”. Viitekehys tuo tähän keskusteluun mukaan kaksi lisänäkökulmaa, joilla voi olla merkittävä vaikutus organisaation arvonkehitykseen: riski siitä, ettei valittu strategia ole linjassa organisaation vision ja mission kanssa, sekä riski strategioiden riskiprofiileista ja valitun strategian mukanaan tuomista seurauksista.
Valitun strategian tulee olla linjassa mission ja vision kanssa ja tässä viitekehys näkee riskienhallinnan roolin keskeisenä. Riski valitun strategian mukanaan tuomasta riskiprofiilista vs. organisaation riskinottohalukkuus on mielestämme myös erinomainen nosto. Riskienhallinnan tulisi COSO-ERM:n mukaan toimia tahona, joka arvioi jokaista strategiavaihtoehtoa sekä mission &vision näkökulmasta, että riskiprofiilien sopimisesta omaan riskinottohalukkuuteen jo hyvin aikaisessa vaiheessa strategiaprosessia. Strategiavaihtoehdon valinnan jälkeen riskienhallinta toteuttaa ”perinteisempää” rooliaan tunnistamalla asioita, jotka voivat tulla strategian toteuttamisen tielle. Viitekehys kuvaa tätä strategian ja riskienhallinnan yhteyttä ja kokonaisuutta erillisellä visualisoinnilla:
– ja tiivistyy yhteen kuvaan
Vanha malli tiivistyi moniväriseen ja -ulotteiseen kuutioon. Nyt kun kuutio on korvattu uudella graafisella ilmeellä, uskallamme jo tunnustaa ettemme koskaan oikein saaneet kiinni sen monista sivuista, väreistä ja yhteyksistä. Ajatus kokonaisvaltaisesta riskienhallinnasta, siitä että riskienhallinta ei ole yksittäinen toiminto, vaan osa yrityksen liiketoiminnan ohjausta, toteutusta ja tätä kautta myös tietyssä määrin kontrollin väline, on tosin aina käynyt järkeen meillekin.
Uusi COSO-ERM -malli koostuu 20 periaatteesta, jotka on järjestetty viiden toisiinsa kytkeytyvän komponentin alle (ks. kuva). Uusi esitystapa helpottaa tämän viiitekehyksen ja ”kilpailevan” ISO31000 standardin yhtäläisyyksien tunnistamisessa. Yksityiskohdat komponenteista ja periaatteista voit lukea tämän tekstin lopussa olevien lähdelinkkien kautta, mutta käytännössä itse komponentit vanhassa kuutiossa ja uudessa ”DNA-kuviossa” ovat pohjimmiltaan saman tyyppisiä. Toki uusissa komponenteissa näkyy kokonaisvaltaisuuden, integroitumisen, kulttuurin ja termin ”performance” vahva painottaminen vanhaan viitekehykseen verrattuna.
Uusi COSO ERM nostaa siis riskienhallinnan entistä strategisempaan rooliin ja muutos näkyy vahvasti visuaalisessa esitystavassa, joka on mielestämme moderni ja yksinkertainen. Selkeä esitystapa mille tahansa viitekehykselle on yllättävän tärkeää, sillä esim. uuden COSO-ERM:n sielunelämä on varmasti helpompi selittää ja myydä omalle organisaatiolle kuin aikaisempi ”rubikin kuutio”.
Miten COSO-ERM -muutokset vaikuttavat minuun?
Uskaltaisimme väittää, että päivitetty versio ei sinällään tuo alalle mitään täysin uutta ja ihmeellistä. Se antaa kuitenkin varmasti kaivattua tukea riskienhallintafunktion vetäjälle, joka haluaa uudistaa oman yrityksensä riskienhallintaa ja tarvitsee perusteita ylimmän johdon suuntaan siitä, miksi nykyinen tekeminen ei enää riitä. Uusi viitekehys saattaa avata riskienhallinta-, compliance- ja tarkastusihmisille ovet organisaation sisäpiiriin, missä strategiset linjaukset tehdään; sen avulla pystyt ehkä vieläkin paremmin perustelemaan, miksi riskienhallinnan pitää olla mukana strategisessa suunnittelussa heti alusta alkaen.
Strategisuuspainotuksen lisäksi ehkä mielenkiintoisin yksityiskohta liittyy mielestämme riskien arvioimiseen. Uusi COSO-ERM painottaa riskien arvioimista eri näkökulmista kvantitatiivisilla menetelmillä, puhuen muun muassa riskiprofiilista, riskikäyristä ja siitä, miten riskin määrittely yhtenä arvona voi olla harhaanjohtavaa – mielenkiintoista ja linjassa oman kokemuksemme kanssa. Palaamme tähän ehdottomasti erikseen tulevaisuuden postauksessa, jossa käsittelemme riskien arviointia hieman laajemminkin.
Miten sitten lähteä uudistamisessa liikeelle? Koska viitekehyksen muutokset eivät olleet täysin mullistavia, ei ole tarvetta suin päin rynnätä uudistamaan riskienhallintaprosessia ja dokumentaatiota. Itse lähtisimme todennäköisesti liikeelle järjestelmällisesti, periaate periaatteelta kartoittamaan suurimmat eroavaisuudet oman toiminnan ja uuden viikehehyksen välillä. Tämän blogin lukijoille ei varmasti ole epäselvää, että kannatamme riskienhallinnan viemistä integroituun ja strategiseen suuntaan ja riskienhallinnan roolin uudistamista ja vahvistamista. Uudistetty COSO-ERM antaa tälle työlle hyvän pohjan.
Lähteet:
COSO Enterprise Risk Management – Integrating with Strategy and Performance, COSO, 2017, AICPA, e-book