Julkaistu Ei kommentteja artikkeliin Teesit onnistuneeseen riskienhallintaan

Teesit onnistuneeseen riskienhallintaan

Riskiblogi on viettänyt hiljaiseloa viimeisen vuoden, lopullisesti blogia ei kuitenkaan ole vielä kuopattu! Tosin kirjoittajien kilpailevat kiinnostuksen kohteet tietokoneen ruudun ulkopuolella tulevat jatkossakin sääntelemään julkaisurytmiä. Päivityksiä tulee siis rennon letkeässä tahdissa, kun muut työt ja harrastukset sen sallivat ja saamme julkaisukelpoisia ideoita.

Tähän kirjoitukseen tuli innoitus asiantuntijalausuntopyynnöstä. Saimme pyynnön pohtia, mitkä kolme konkreettista vinkkiä antaisimme organisaatiolle, joka ei ole systemaattisesti tehnyt riskienhallintaa, mutta haluaa lähteä jostain liikkeelle? Haastavan kysymyksestä teki adjektiivi ”konkreettinen”. On todella vaikea antaa yleispäteviä vinkkejä, joihin mikä tahansa organisaatio voi tarttua ja lähteä toteuttamaan. Tällaisissa usein sortuu lopulta ympäripyöreään viisasteluun tai asiat on jo kertaalleen kirjoitettu standardien teksteihin.

Pohdiskelun lopputuloksena syntyi kolme pointtia, joita voisimme vaikka nimittää riskiblogin teeseiksi onnistuneelle riskienhallinnalle.

Rajaus ja tavoite

Ensimmäinen askel riskienhallinnassa on tavoitteen asettaminen ja kohteen rajaaminen. Tai kuten ISO-31000 standardin mukaisessa riskienhallintaprosessissa, ensimmäisenä tulee ”scope, context and criteria”. Riskienhallintaa ei tulisi tehdä, ”koska täytyy”, vaan koska tarvitsee. Jokaisella riskinarvioinnilla tulee olla liiketoiminnallinen tarve. Jos arvioinnin lopputuloksia ei hyödynnetä missään liiketoiminnan prosessissa, ei arviointia myöskään lievästi yksinkertaistaen tarvitse tehdä.

Rajauksen ja tavoitteen voi asettaa esimerkiksi riskiblogin viitekehyksen mukaisesti tietylle tasolle, yksittäisen liiketoimintaprosessin tukemiseen tai riskilajiin, kuten ympäristöturvallisuus, kyberturvallisuus, compliance… Sen lisäksi, että organisaatiolla tulisi olla selkeä tavoite, riskienhallinnalle isossa kuvassa on yhtä tärkeää, että yksittäisen riskinarvioinnin tavoite ja rajaus ovat selkeät työhön osallistuville. Keskustelu työskentelyn tarkoituksesta tulisi käydä jokaisen riskityöpajan alussa.

Laatu, ei määrä

Keskity riskinarvioinnissa laatuun, ei määrään – kattavinkaan lista yritystä koskevista riskeistä ei takaa riskienhallinnan vaikuttavuutta – päinvastoin, pitkä lista itsestäänselvyyksiä johtaa kokemuksemme mukaan paperinmakuiseen byrokratiaan.

Riskienhallinta on epävarmuuden hallintaa ja osa tätä epävarmuutta on sietää käsittelyyn nostettavien riskien priorisointiin liittyvä epävarmuus. Kaikkea ei voi hallita, joten nostetaan käsittelyyn tunnistetuista riskeistä ne, joiden hallinnalla uskotaan olevan suurin vaikutus.

Riskien lisäksi laadun tulisi ulottua hallintatoimenpiteiden suunnitteluun. Tehokkaimmat toimenpiteet kohdistuvat riskin juurisyyhyn. Niiden selvittämiseen kannattaa panostaa vaadittava aika ja vaiva.

Tarpeen mukainen dokumentointi

Dokumentoi huolella (kuitenkin vain ne priorisoidusti valitut riskit). Ota käyttöön järjestelmällinen ja toistettava tapa dokumentoida riskit. Tämä ei aina tarkoita riskitaulukkoa Excelissä tai tietojärjestelmän käyttöä – dokumentaation sisältö ja muoto tulee valita arvioinnin tavoitetta tukevaksi. Jos kyseessä on säännöllisesti seurattava ja päivitettävä riskilista, varmista että riskit on dokumentoitu kattavasti. Hyvä kirjaus tuo selkeästi esiin itse riskin, sen aiheuttajat ja seuraukset perustellen riskille tehdyn merkittävyyden arvioinnin.

Dokumentoinnin yhteydessä kannattaa tarkistaa, että tehtyjä kirjauksia on helppo päivittää myös jatkossa.  Näin vältetään tilanne, jossa jokainen riskikeskustelu alkaa lauseella ”Mitä tässä riskissä numero X tarkoitettiin, kun…” (been there, on muuten melkoisen hankalaa perustella johdon ajankäyttö riskienhallintaan, jos jokainen keskustelu alkaa tällaisella pohdinnalla).

Jossain yhteydessä voi olla tarpeen dokumentoida kaikki vaaratekijät, jotka arvioinnin yhteydessä on käsitelty. Esimerkiksi kun tavoitteena on täyttää jonkin asetuksen vaatimukset, tällöin dokumentointi kannattaa tehdä kevyesti ison massan osalta ja nostaa erilliseen käsittelyyn merkittävimmät riskit.

Julkaistu Ei kommentteja artikkeliin Riskienhallinta valtionhallinnossa – erilaista mutta samanlaista

Riskienhallinta valtionhallinnossa – erilaista mutta samanlaista

Matkalla tuntemattomaan

 Emme olekaan Riskiblogissa aiemmin käsitelleet riskienhallintaa julkishallinnon näkökulmasta, puhtaasti siitä syystä, että se ei meille kummallekaan ole ollut tuttua ennestään. Nyt päätimme laajentaa näkökulmaamme ja selvittää miten riskienhallinta näkyy valtionhallinnosta. Tätä varten lähdimme tapaamaan  Valtioneuvoston apulaiscontroller Esko Mustosta ja neuvottelevaa virkamiestä  Mikko Saarista, jotka pyörittävät sisäisen valvonnan ja riskienhallinnan neuvottelukuntaa valtiovarainministeriössä ja ystävällisesti lupautuivat avaamaan aihetta meille ja blogin lukijoille.  Valtioneuvoston asettaman neuvottelukunnan vastuualueena on valtionhallinnon sisäinen valvonta ja riskienhallinta. Sen fokus on ministeriöissä ja niiden suorassa ohjauksessa olevissa virastoissa, mutta esim. liikelaitoksiakin vastuualueelle kuuluu. Näitä itsenäisesti riskienhallintansa organisoinnista vastuullisia virastoja (yksikköjä) on yhteensä noin 70.

Laki ja asetus, luonnollisesti

Koska puhutaan julkisesta sektorista, taustalla on tietenkin laki – tässä tapauksessa talousarviolaki. Lainsäädäntö velvoittaa sisäisen valvonnan järjestämiseen.  Suoranaisesti yksikköjen riskienhallintaa ei mainita, mutta halu noudattaa hyvää hallintotapaa käytännössä vaatii riskienhallinnan järjestämistä.  Sisäisen valvonnan ja riskienhallinnan neuvottelukunta on perustettu toimimaan informaatiokanavana ja keskustelufoorumina eri ministeriöiden ja muiden yksikköjen välillä – toiminnan koordinoinnin ja parhaiden käytäntöjen välineenä siis. Tarkoitus on myös antaa suosituksia riskienhallinnan järjestämiseen eri yksiköissä. Varsinaisen riskienhallintaprosessin tuottaman riskitiedon käsittely tapahtuu itse yksiköissä.

Neuvottelukunta on perustettu vuonna 2002 ja se on aloittanut tänä vuonna neljännen toimikautensa, joista jokainen kestää kolme vuotta. Se on jakautunut kahteen ”osastoon”: riskienhallintaan ja sisäiseen tarkastukseen. Jäseninä neuvottelukunnassa on edustajia yksiköistä, jotka kaikki toimivat riskienhallinnan tehtävissä oman toimintansa ohessa.  Sillä on valtion talousarviosta annetun asetuksen mukaisesti seuraavat tehtävät tiivistettynä:

1) seurata ja arvioida sisäisen valvonnan ja riskienhallinnan järjestämisen tilaa ja menettelyitä valtionhallinnossa

2) tehdä aloitteita sisäisen valvonnan ja sen osana olevan riskienhallinnan kehittämiseksi;

3) sovittaa yhteen eri viranomaisten, virastojen ja laitosten menettelyitä sisäisessä valvonnassa ja  sekä valmistella tässä tarvittavia toimenpiteitä;

4) seurata ja arvioida sisäisen tarkastuksen järjestämisen tilaa, toiminnan laatua ja tuloksellisuutta ja kehittämistä

5) järjestää eri virastojen ja laitosten sisäisen tarkastuksen yhteistyötä

6) seurata ja arvioida valtion virastojen ja laitosten toiminnassa tehtyjen tai valtion tai sen vastuulla oleviin varoihin tai omaisuuteen kohdistuneiden väärinkäytösten ja rikosten tilannetta

7) koota yhteen ja levittää hyviä käytäntöjä samoin kuin valmistella ehdotuksia suosituksiksi ja antaa lausuntoja toimialansa asioissa

Raamit tekemiselle

Neuvottelukunnan toimintaa ohjaa toimintasuunnitelma, jossa uusimmalle toimikaudelle on pääteemoiksi nostettu esiin mm.:

  • Selvitys tarpeesta laajentaa riskien- ja jatkuvuudenhallinta valtioneuvostotasoiseksi
  • Hallinnonalojen ja virastojen sisäisen riskienhallinnan tilannekuvan tuottaminen
  • Riskienhallinnan hyvien käytäntöjen yhteen kokoaminen ja levittäminen mm. ajankohtaisilla teemaesityksillä

Neuvottelukunta on valinnut riskienhallinnan viitekehykseksi ISO31000 standardin, jonka perittaatteita noudatetaan soveltuvin osin. Valitsemalla yleisesti tunnustetun viitekehyksen toiminnan pohjaksi, on tavoiteltu yhtenäisyyttä ja tehokkuutta eri yksiköiden toimintaan, vaikkakin viitekehystä on muokattu valtionhallintoon hieman paremmin istuvaksi.

Ja mitä havaitsimmekaan

Odotuksemme oli, että valtionhallinnossa riskienhallintaan olisi kehitetty täysin oma toimintamalli ja haasteet eroaisivat merkittävästi kaupallisten toimijoiden riskienhallinnan kompastuskivistä. Näin ei kuitenkaan (yllätykseksemme) ole, vaan riskienhallinnan järjestämisen ja toteuttamisen haasteet kuulostivat hyvin samanlaisilta kuin esim. ne, joihin olemme itse törmänneet. Suurin haaste liittyi – yllätys, yllätys – yhdenmukaisen käsitteistön ja käsityksen koostaminen siitä mistä puhutaan silloin,kun puhutaan riskienhallinnasta.  Myös vaikutussuhteet Esko ja Mikko näkivät hyvin monimutkaisina, samoin sen, miten kukin ministeriö pystyy käsiteltäviin asioihin vaikuttamaan.

Tuttuja aiheita, joita on käsitelty tässäkin blogissa monesti ja monesta näkökulmasta. Valtionhallinnossa muuten tämä riskienhallinnan sisällön määrittäminen on erityisen mielenkiintoista, kun miettii, millaisia asioita virastoissa ja ministeriöissä käsitellään: esim. kansakunnan turvallisuus tai veronmaksajiin kohdistuvat taloudelliset riskit – hui! Tai vaikka hyvin yleinen esimerkki työturvallisuus – valtionhallinnossa tätä mietitään monesta eri näkökulmasta: onko kyseessä yksiköiden työntekijöiden turvallisuus jokapäiväisessä työnteossa, vai puhutaanko työturvallisuudesta työturvallisuuslainsäädännön säätämisen kannalta?

Toki valtionhallinnolla on omat erityispiirteensäkin, kuten hyvin hajautunut rakenne, joka heijastuu väistämättä riskienhallinnan koordinointityöhön.  Mikko ja Esko käyttivät havainnollistavana esimerkkinä mm. toimitusjohtajan  vs. pääministerin aseman vertailua: konsernin ylin johto vastaa aina viime kädessä riskeistä, mutta pääministerillä ei ole tässä suhteessa samanlaista asemaa. Hajautunut rakenne myös hankaloittaa jonkin verran tähtäimessä olevaa riskien peilausta tavoitteita vastaan, nimittäin ylätason kokoaminen riskeistä – se strategisten riskien taso – on haastavaa, sillä yksiköt fokusoituvat vahvasti pienempiin asiakokonaisuuksiin ja strategisen riskienhallinnan kokoava taso tavallaan puuttuu. Tämä näkyy myös juuri hyväksytyssä toimintasuunnitelmassa: tavoiteet ovat melko ylätasoisia ja yksi keskeinen tavoite on ensimmäisen tilannekuvan tuottaminen riskienhallinnan ja sisäisen valvonnan  järjestämisestä.

Vaikka haasteita on ja lähtökohtana on kohtalaisen hajautunut tilanne, Esko ja Mikko olivat tosi innostuneita riskienhallinnan kehittämisestä, sillä neuvottelukunnan kautta he pääsevät käytännössä luomaan yksiköille yhteinäiset riskienhallinnan raamit ja jättämään kädenjälkensä historiaan – sitähän me kaikki alalla taidamme tavoitella 🙂 Lähdimme valtiovarainministeriöstä tyytyväisinä: yleisesti tietävämpinä ja iloisina siitä, että siellä on asialle omistautuneita ja innostuneita riskienhallinnan kehittäjiä. Ja tietenkin ilahtuneina siitä, että erilaisuudesta huolimatta taidamme suurimmaksi osaksi kaikki painia samantyyppisten  haasteiden kanssa.

 

Sisäisen valvonna ja riskienhallinnan neuvottelukunnan nettisivut

Julkaistu 2 kommenttia artikkeliin Aina se prosessi. Ja onko pakko olla viitekehys?

Aina se prosessi. Ja onko pakko olla viitekehys?

Meistä kirjoittajista toinen on alun perin viitekehysihmisiä. Toinen taas puhuu prosesseista ja on aikanaan nähnyt melkein punaista kuullessaan sanan viitekehys. Ajan ja kokemuksen myötä molemmat ovat kuitenkin ottaneet kummatkin käsitteet aktiiviseen käyttöön, sillä ne ovat mielestämme tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Alla käsitteistä hieman tarkemmin.

Riskienhallintaprosessin miellämme tavaksi, jolla riskienhallintaa organisaatiossa pyöritetään. Eli periaatteessa prosessi antaa vastaukset kysymyksiin Mitä, Kuka, Milloin ja Miten.

Viitekehys taas on enemmänkin ylemmän tason työkalu, jonka avulla hahmotetaan oman organisaation riskienhallinnan kokonaisuuteen liittyvät asiat ja vastuut. Se on vähän niin kuin filosofia toteutuksen taustalla.

Viitekehys ja prosessi yhdessä antavat välineet, joiden avulla homma on perusteltua, sillä on tavoite, toteutus on vastuutettua ja helppoa seurata. Myös lopputuotos on helpommin perusteltavissa ulkopuolisille, jos esim. viranomaiset, asiakkaat tai auditoijat osoittavat kiinnostusta riskienhallintaa kohtaan. Eli vastauksena otsikon kysymykseen: kyllä, mielestämme käytössä kannattaa olla  toimiva viitekehys (jota sutjakka prosessi tukee).

Yleisimmät riskienhallinnan viitekehykset lienevät ISO 31000 ja COSO-ERM. Muitakin toki löytyy, esim. Federation of European Risk Managers -yhdistyksen oma viitekehys. ISO 31000 on osa ISO-standardiperhettä ja COSO-ERM perinteisesti enemmän sisäisen valvonnan ja compliancen kautta riskienhallintaa tarkasteleva (tosin malli on menossa melko perusteelliseksi uusiksi lähiaikoina). Syväluotaavasti tarkastelemme näitä molempia viitekehyksiä erillisissä blogikirjoituksissa lähitulevaisuudessa.

Mikä viitekehys sitten pitäisi valita? Riskienhallinnassa pyörää ei kannata keksiä uudelleen. Kannattaa aloittaa valmiilla, hyväksi koetelluilla parhailla käytännöillä ja suhtautua tulevaisuuteen ja mallin mahdolliseen muokkaamiseen joustavasti:

Jos ei ole jotain erityisetä syytä ottaa käyttöön räätälöityä mallia, kannattaa valita tunnettu, valmis malli. Jos johtamisjärjestelmä on luotu ISO-standardien mukaisesti, ISO31000 on todennäköisesti luontevin valinta myös riskienhallintaan. Jos taas COSO-ERM -lähestymistapa on tutumpi, kannattaa hyödyntää sitä.

Etukäteen voi olla vaikeaa tarkasti tietää, miten malli sopii organisaatioosi ja millaisia tilanteita käytännössä tulee liiketoiminnan kanssa eteen. Kannattaa siis suhtautua joustavasti ja muistaa, että oli valittu malli mikä tahansa, sitä luultavasti joudutaan joka tapauksessa muokkaamaan sen aikaa myöten.

Riskienhallinnasta saa helposti rakennettua  monimutkaisen, hienon mallin, joka ottaa huomioon kaiken mahdollisen. Liika monimutkaisuus ja hifistely kuitenkin toimivat itseään vastaan, sillä käytännössä liiketoiminta usein kaipaa yksinkertaista ja selkeää. Näin tuet myös sitä, että muu organisaatio todella ymmärtää riskienhallinnan idean ja tarkoituksen.