Julkaistu 2 kommenttia artikkeliin ERM ja turvallisuus – järkiliitto vai valtataistelua? osa 2

ERM ja turvallisuus – järkiliitto vai valtataistelua? osa 2

Kirjoituksella ERM ja turvallisuus – yksin vai yhdessä? aloitimme kahden kirjoituksen sarjan yritysturvallisuuden ja kokonaisvaltaisen riskienhallinnan suhteen pohdinnasta. Tässä toisessa osassa Postin riskienhallinta- ja turvallisuusjohtaja Markku Rajamäki jatkaa aiheen käsittelyä Riskiblogin vierailijakirjoittajana.

Enterprise Risk Management ja Corporate Security Management ovat kaikille riskienhallinta-asioiden parissa työskenteleville tuttuja termejä, mutta entäpä Enterprise Security Risk Management (ESRM), jonka yritysturvallisuusalan globaali järjestö ASIS International lanseerasi vuonna 2008? Tuon jälkeen termin käyttö on laajentunut ja aiheesta on kirjoitettu kirjojakin.

Meille kaikille alaan vähänkin perehtyneille on varmaan selvää, että yritysturvallisuuden ratkaisut perustuvat – tai ainakin niiden olisi aina pitänyt perustua – arvioituihin riskeihin. Miksi sitten painotus sanalle riski? Miksi nyt?

ASIS Internationalin hallitus hyväksyi vuonna 2016 ESRM:n organisaation strategiseksi hankkeeksi “to make ASIS members more effective security professionals and more valuable members of their organizations by enabling them to better identify and manage the various aspects of security risks they face… [leading to a] empowered membership, safer enterprises, a more strategic approach to risk, and a more cost-effective security function.”  (lähde)

Niinpä, maailma monimutkaistuu kaiken aikaa ja yrityselämää koskettavat moninaiset muutokset tuntuvat aina vain nopeutuvan. Pysyäkseen ajan tasalla niin yritysturvallisuuden kuin laajemminkin riskienhallinnan ammattilaisten on pidettävä tuntosarvensa ylhäällä ja analysoitava aiemmin tunnistettuja ja uusia riskejä kaiken aikaa. Lisäksi usein melko rajalliset voimavarat on kohdennettava mahdollisimman optimaalisesti kokonaiskustannukset ja saavutettavat hyödyt huomioiden.

Jos kerran ESRM on ERM:n komponentti, mitä tämä tarkoittaa yrityksen sisäisen yhteistyön kannalta – ovatko riskienhallintapäällikön ja turvallisuuspäällikön vastuut päällekkäiset tai hierarkkisessa suhteessa toisiinsa?

Yritykset ovat tietysti erilaisia, mutta yleisesti riskienhallintapäällikköä kiinnostaa riskienhallinnan kokonaisuus. Se tarkoittaa,  että kaikenlaiset riskit kaikessa toiminnassa on katettu, että työkalut ja tuki on tarpeisiin nähden riittävää. Hyvän riskienhallintatyön lisätuotoksena syntyy myös laadukas raportti, joka mahdollistaa ylimmälle johdolle hyvän käsityksen yrityksen tilanteesta ja sen kautta laadukkaamman päätöksenteon.  Riskienhallintapäällikölle turvallisuuspäällikkö on yksi tärkeistä sisäisistä asiakkaista, aivan samoin kuin vaikkapa talouspäällikkö, rahoituspäällikkö tai työturvallisuuspäällikkö, jotka kaikki vastaavat jostain sellaisesta prosessista, jossa riskien hallinta on tärkeää ja elimellinen osa prosessia.

Turvallisuuspäällikkö taas haluaa varmistaa, että yritysturvallisuusriskit, jotka tyypillisesti kattavat varsin suuren osan operatiivisten riskien ja vahinkoriskien alueesta, on hallittu kattavasti ja laadukkaasti. Hän haluaa myös tietää, että niiden hallintaan kiinnitetyt resurssit on kohdennettu ja mitoitettu oikein. Turvallisuuspäällikön tuskaa helpottaa, jos hän kykenee käyttämään työssään samaa metodologiaa, työkaluja ja prosesseja, joita riskienhallintaan yleisemminkin yrityksessä käytetään. Riskienhallinnan ja turvallisuuden suhde on siinä mielessä hierarkkinen, että ERM tarjoaa turvallisuuspäällikölle väylän ylemmäs organisaatiossa nostaa keskeisimpiä turvallisuusriskejä laajempaan ja muiden riskien kanssa vertailukelpoiseen tarkasteluun. Samalla voidaan kasvattaa tietoisuutta niistä – kunhan riskien arviointi on riittävän monipuolista. Jos riskin vakavuutta tarkastellaan vain euroja vasten, turvallisuusriskit eivät aina nouse kovin ylös. Jos fokukseen nostetaan lisäksi vaatimustenmukaisuus, maine ja luotettavuus, tilanne voi olla jo toinen. Näin ollen riskienhallinnan ja turvallisuuden yhteistyö on tärkeää riskien riittävän arvioinnin ja monipuolisen riskikuvan muodostamisessa.

Molemmat, riskienhallintapäällikkö ja turvallisuuspäällikkö lukeutuvat tyypillisessä organisaatiossa toiseen puolustuslinjaan, jos toiminta on organisoitu kolmen puolustuslinjan mallin mukaisesti. Suuri osa riskienhallinta- ja turvallisuustyöstä tapahtuu ensimmäisessä puolustuslinjassa – siellä työskentelevien riskienhallinta-ammattilaisten päätyö on liiketoiminnan pyörittäminen. Jotta yhteistyö johtaisi parhaaseen lopputulokseen, riskienhallinta- ja turvallisuuspäällikön on pyrittävä ymmärtämään liiketoimintaa yhä paremmin. Eikö näiden kahden työn tuottama lisäarvo ole juuri sitä, että heidän tuellaan liiketoiminta ymmärtää, millaisia riskejä tiettyyn toimintaan tai päätökseen liittyy? Laadukas riskinhallinnallinen tuki ei ole mahdollista, ellei ymmärrä liiketoiminnan lainalaisuuksia.

Paras lopputulos riskienhallinnan ja turvallisuuden kesken saavutetaan yhdessä. Myös liiketoiminnassa työskentelevien on hyvä muistaa, ettei ole liiketoimintaa ilman riskejä, joten miksi emme pyrkisi hallitsemaan niitä mahdollisimman hyvin – yhdessä!

Julkaistu 4 kommenttia artikkeliin Käyttäisinkö Exceliä? Vai tietojärjestelmää?

Käyttäisinkö Exceliä? Vai tietojärjestelmää?

Markkinoilla on tarjolla jos jonkinmoista riskienhallinnan tietojärjestelmää. On yksittäisiä ratkaisuja ja kattavia strategisen johtamisen ja toiminnan suunnittelun työkaluja, joissa riskienhallinta on osana. Lisäksi useimpiin ERP-järjestelmiin saa ainakin jonkinlaisen riskienhallinnan palikan. Valmiiden tuotteiden lisäksi yrityksellä on mahdollisuus luoda oma järjestelmä, esimerkiksi jonkin jo olemassa olevan järjestelmän osaksi. Nämä ovat mittavia hankkeita vaatimusmäärittelyineen, kehitysiteraatioineen ja käyttöönottoineen.

Vaihtoehdoista huolimatta moni suurikin yritys tyytyy edelleen käyttämään perinteistä Exceliä riskirekisterinään. Perustelut Excelin käytölle löytyvät usein kustannuksista tai siitä, että valmiiden järjestelmien ei koeta tarjoavan riittävän joustavaa työkaluvalikoimaa yrityksen muuttuviin tarpeisiin. Kasvava tarjonta lisää kuitenkin vaihtoehtoja eri hintaluokkiin, joten kustannusten ei tarvitse olla esteenä järjestelmän käyttöönotolle, jos on valmis tekemään kompromissejä toiminnallisuuksien osalta. Toisaalta, valmiitakin järjestelmiä on yleensä mahdollista räätälöidä pienellä lisäpanostuksella.

Perustuen kirjoittajien omaan kokemukseen riskienhallintajärjestelmien hankinnasta, valikoima painottuu vahinkoriskien hallintaan keskittyviin vakuutuslähtöisiin järjestelmiin ja ERM-näkökulmaa tukevat järjestelmät ovat vähemmistössä. Tämä saattaa olla yksi syy Excelin suosiolle organisaatioissa, joissa haetaan nimenomaan kokonaisvaltaisen riskienhallinnan järjestelmätukea.

Tiedämme, että moni riskienhallintapäällikkö pohtii tälläkin hetkellä, mitkä työkalut sopisivat parhaiten oman riskienhallintatyön tueksi. Listasimme oman näkemyksemme mukaisia plussia ja miinuksia eri vaihtoehdoille ja toivomme  sen auttavan myös lukijoita päätöksenteossa. Loppujen lopuksi kaikki vaihtoehdot ovat hyviä, kyse on siitä, mitkä ovat priorisoidut tarpeesi ja mikä vaihtoehto niitä parhaiten vastaa.

Excel-pohjaiset riskirekisterit:

– tiedon yhdistely raportointiin manuaalista

– muutos- ja historiatietojen seuranta käyttäjien omien merkintöjen varassa (rekisteristä tulee ajan mittaan sateenkaarenkirjava)

– vakiomuotoisiksi tarkoitetut riskirekisterit lähtevät elämään omaa elämäänsä ja muotoituvat käyttäjiensä näköisiksi

– tiedonhallinnan näkökulmasta riskeinä tiedon eheyden, saatavuuden ja luottamuksellisuuden vaarantuminen, jos (ja usein kun) tiedostoja lähetellään sähköpostin liitteinä ja tallennetaan henkilökohtaisiin kansioihin. Pääarkisto muodostuu riskienhallintapäällikön ”pöytälaatikkoon”.

+/- hyödyntämisessä rajana vain riskienhallintapäällikön mielikuvitus ja taidot

+ tietoturvaan pystyy vaikuttamaan toimintatapoja ohjeistamalla. Saatavuutta voi parantaa esimerkiksi luomalla arkiston osaksi dokumentinhallintajärjestelmää tai sharepointia, jolloin myös sähköpostiliitetiedostojen lähettely käy tarpeettomaksi.

+ ketterä ja edullinen

Erillinen tietojärjestelmä:

– harvoin  käytettäessä käyttökokemus jää usein huonoksi. Vaikuttaa organisaation asennoitumiseen koko prosessiin.

– kustomointi tuo lisää hintaa ja hankaloittaa versiopäivityksiä, joten riskienhallintaprosessia voidaan joutua optimoimaan järjestelmän tarpeisiin

– Monet järjestelmät ovat pilvipohjaisia, joka voi muodostua ongelmaksi suhteessa yrityksen luottamuksellisen tiedon käsittelyä ohjaavaan tietoturvapolitiikkaan

-/+ käyttöoikeuksien hallinta järjestelmän sisällä tulee vastata yrityksen politiikkaa luottamuksellisen tiedon käsittelystä.  Kokemuksemme mukaan tämä on ominaisuus, jossa on suuret erot  toiminnallisuuksissa ja käytettävyydessä eri järjestelmien välillä.

+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä

+automatisoitu raportointi ja tiedon analysointityökalut, vähemmän työtä ja virhenäppäilyn mahdollisuuksia

Muuhun toiminnan ohjaamiseen ja seurantaan integroitu järjestelmä:

– vakiototeutus voi olla kankea ja ominaisuudet puutteellisia riskienhallinnan prosessin näkökulmasta

– kehitystyössä muut  asiat ajavat ohi

-/+tietoturva vastaa yrityksen yleistä linjaa

+käyttökokemus yleensä hyvä, koska samaa järjestelmää käytetään muihinkin prosesseihin liittyen ja perustoiminnallisuudet tuttuja

+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä

+ voi mahdollistaa riskien konkreettisen linkittämisen toimintaan ja tavoitteisiin, jolloin niiden seuranta helpommin toteutuu osana normaalia toimintaa eikä jää erilliseksi vuosiharjoitukseksi

 

Julkaistu Ei kommentteja artikkeliin Miten saada jotain tolkkua riskienhallinnasta?

Miten saada jotain tolkkua riskienhallinnasta?

Edellisessä postauksessa nostimme esiin ongelman, joka on nähtävissä riskienhallinnan termistön ja sitä koskevien keskustelujen ympärillä: riskienhallinta itsessään on hyvin laaja käsite ja eri puhujat monesti tarkoittavat sanoillaan hieman eri asioita. Todennäköisesti sinäkin miellät käsitteen ”riskienhallinta” hieman eri tavalla kuin me, vaikka olisimmekin lukeneet alan samat perusteokset ja viralliset määritelmät. Siihen miten näemme riskienhallinnan vaikuttaa oma taustamme ja kokemuksemme eli se, mistä näkökulmasta olemme riskejä tottuneet tarkastelemaan. Toiselle riskienhallinta on perinteistä vahinkojen torjuntaa ja vakuuttamista, kun taas toiselle puhdasta matematiikka ja monte carlo -simulaatioita ja kolmannelle taas konsernitason strategisen riskikartan kokoamista.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan. Riskienhallinnan painopisteet heijastelevat usein myös toimialan tai toiminnan erityispiirteitä, esimerkiksi ydinenergian tuotannossa korostuvat turvallisuusriskien hallinta, konventionaalisissa energiantuotantomuodoissa vahinko- ja keskeytysriskit, elintarvikealalla keskitytään elintarviketurvallisuuteen, lääketeollisuudessa lopputuotteen vaatimustenmukaisuuteen ja laatuun, kun taas aloittelevissa yrityksissä saatetaan alkuvaiheessa keskittyä puhtaasti markkinaan ja kilpailijoihin ja suuren investointiohjelman juuri julkaissut organisaatio keskittyy lähivuodet intensiivisesti projektiriskien hallintaan. Listaa voisi jatkaa loputtomiin. Mutta mikä on näiden kaikkien erilaisten lähestymistapojen suhde toisiinsa? Ja mitä ihmettä tarkoittaa paljon käytössä oleva termi ”kokonaisvaltainen riskienhallinta”?

Kokonaisvaltaiselle riskienhallinnalle löytää nopeasti googlettamalla monia eri määrittelyjä; sanotaan sen käsittävän tavoitteita vastaan toteutettavan riskien tunnistamisen, käsityksen muodostamisen kaikista toimintaan liittyvistä riskeistä ja niiden merkittävyydestä, sen kuvaillaan olevan tiukasti integroitu strategiaprosessiin, operatiiviseen suunnitteluun, päivittäiseen päätöksentekoon ja toiminnan valvontaan. Mainitaan sen myös olevan osa sisäistä valvontaa ja painottavan riskien tarkastelua koko yrityksen tasolla, ei pelkästään yksittäisien toimintojen riskien tunnistamista. Sen tunnuspiirteenä kuvaillaan olevan kytkeminen strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin.

Nämä ovat kaikki ehdottoman hyviä linjauksia ja tavoitteita, mutta me kaipaamme jotain hieman konkreettisempaa, joka kertoo meille, miten suhteutamme, käsittelemme ja vastuutamme keskenään esim. organisaation tietojärjestelmiin kohdistuvat hyökkäykset, riskin siitä, että digitalisoituvassa maailmassa liiketoimintamme perusidea ei enää kanna, henkilöstömme työturvallisuudesta huolehtimisen ja riskin siitä, että rahoituksemme hinta nousee sietämättömälle tasolle.

Kokonaisuuden hahmottamiseksi ja jäsentämiseksi nojaamme kolmijakoon strategisen, taktisen ja operatiivisen toiminnan välillä. Mallimme jakaa riskienhallinnan osa-alueet eri tasoihin ja sitoo ne toisiinsa liittyväksi kokonaisuudeksi:

(lue mallista tarkemmin sivulta viitekehys):

Tämän mallin kaikkien osa-alueiden hallinta ja johtaminen, mukaan lukien eri tasojen välillä tapahtuvan viestinnän, on meille kokonaisvaltaista, tehokasta riskienhallintaa. Jokaisella tasolla on eri vastuuhenkilöt ja erilainen fokus mm. riskien tunnistamisessa ja niitä koskevassa keskustelussa ja raportoinnissa. Tehokkuus ja tarkoituksenmukaisuus riskienhallinnassa saavutetaan, kun eri riskit, tai samaan riskiin otettavat eri näkökulmat (esim. privacy-riski, jota käytämme esimerkkinä tulevissa kirjoituksissa) viedään käsiteltäväksi organisaatiossa oikeille tasoille. Eri tasoihin, niiden sisältöön ja niihin liittyvää viestintää tarkastelemme seuraavissa postauksissa tarkemmin.