Julkaistu Ei kommentteja artikkeliin Mikä riskilähtöisyys?

Mikä riskilähtöisyys?

”Tietoturvan johtamisen tulee olla riskilähtöistä.” ”Tietosuojaa tulee tarkastella riskilähtöisesti.” ”Sisäisen tarkastuksen tulisi kohdistaa resurssejaan riskilähtöisesti.” Tässä muutama omalle kohdallemme osunut konkreettinen esimerkki siitä, miten riskilähtöisyys tuntuu hiipineen osaksi kaikkea tekemistä. Teema toistuu niin standardeissa, hyvissä käytännöissä kuin lainsäädännössäkin.

Se, mitä kukaan ei tunnu kertovan, on mitä riskilähtöisyys oikeastaan tarkoittaa ja edellyttää? Millaista toiminnan tulisi olla, jotta pystyttäisiin osoittamaan riskilähtöinen toimintatapa? Riittääkö, että riskit on tunnistettu ja dokumentoitu? Että ne voidaan tarvittaessa näyttää auditoijalle? Tai että joku tunnistetuista riskeistä on aidosti johtanut johonkin päätökseen toiminnan suhteen?

Meillähän mielipiteitä riittää ja siksi esitämmekin tässä aatoksiamme siitä, miten riskilöhtöisyys tiivistyy mielestämme kolmeen teemaan, joiden tulisi näkyä organisaation tavassa toimia. Tämä jäsentämisen malli on syntynyt tietoturvan johtamiseen liittyvien pohdiskeluiden kautta mutta soveltunee muihinkin yhteyksiin – tai jos olette eri mieltä, laittakaa se näkyviin tekstin kommentteihin!

1 Tunne riskit

Itsestäänselvyys – vai onko? Käytännössä pelkkä riskilista ei nimittäin riitä, vaan kaiken perusta on ymmärtää, mikä on liiketoiminnalle tai turvallisuustavoitteelle kriittisintä. Tämä vaatii eri tahojen yhteistyötä ja vuoropuhelua.

Riskien johdonmukainen dokumentointi on tärkeää viestinnän ja riskienhallinnan tason arvioinnin toistettavuuden kannalta. Dokumentaatio ei kuitenkaan ole itseisarvo. Riskien käsittelyssä merkittävä osa työn hyödyistä muodostuu sen yhteydessä käydyistä keskusteluista, etenkin, kun niitä käydään organisaatiorajat ylittävällä tiimillä. Tekniikan, liiketoiminnan ja compliancen näkemysten yhdistäminen auttaa ymmärtämään riskejä suhteessa yrityksen liiketoimintaan.

2 Ymmärrä tehdyt (ja tekemättömät) päätökset

Etenkin tietoturvan kehittäminen riskilähtöisesti on jatkuvaa investoinneilla tasapainoilua. Ymmärrys siitä, mitä kontrolleja ja prosesseja on käytössä ja mihin riskeihin ne vaikuttavat, luo pohjan uusien ratkaisuiden priorisoinnille ja vaikuttavuuden arvioinnille. Ilman tätä tietoa ei voida myöskään arvioida riskin todellista merkittävyyttä.

Tekemättömillä päätöksillä on usein turvallisuutta heikentävä vaikutus. Ne voivat kohdistua jo olemassa oleviin turvallisuuskontrolleihin, kuten ohjelmistojen päivittämiseen tai riskinkantokyvyn näkökulmasta tarpeellisten, uusien investointien lykkäämiseen. Näiden ymmärtäminen täydentää realistista kuvaa omasta riskitasosta.

3 Haasta käsityksesi nykytilasta

Riskienhallinta työssä, kuten kaikessa mitä ihmiset tekevät yhdessä, muodostuu vakiintuneita käsityksiä, omia totuuksia. Vuodesta toiseen tiettyjen riskien katselmointi on saman tiimin vastuulla. Vaikka alan kehitystä seurattaisiin aktiivisesti, jää olemassa olevien totuuksien kyseenalaistaminen usein vähiin.

Tunnistetun riskin hallitsemiseksi on kehitetty prosessi, ja ongelmia ei ole ilmennyt. Tarkoittaako tämä sitä, että toimenpide on riittävä, vai onko tiimillä ollut vain hyvä tuuri? Usein näissä kallistutaan ajattelemaan ensin mainittua, mikä etenkin tietoturvan maailmassa on hyvin vaarallinen oletus. Tästä johtuen oman käsityksen haastaminen on keskeinen osa riskilähtöistä toimintatapaa.

Oman käsityksen haastaminen on keskeinen osa riskilähtöistä toimintatapaa

Haastamisen voi tehdä monella tapaa. Eniten julkisuutta saavat metodit lienevät tällä hetkellä ’red teaming’-harjoitukset kyberturvallisuuden puolella. Toisaalta oman tiimin riskikäsitystä voi haastaa niinkin yksikertaisesti, kuin kutsumalla naapuritiimistä ulkopuolinen asiantuntija mukaan. Hänen ei tarvitse olla edes juuri arvioitavan aiheen asiantuntija, sillä monesti tietämättömyydestä kumpuavat selventävät kysymykset haastavat meitä ”asiantuntijoita” eniten.

Laajemmassa mittakaavassa perinteiset kypsyystason mittaamiseen tarkoitetut työkalut voivat myös antaa kuvaa omien prosessien riittävyydestä. Eri näkökulmia on lukemattomia, eikä arviointi todennäköisesti kaadu ainakaan viitekehysten puutteeseen.

Julkaistu Ei kommentteja artikkeliin ERM ja turvallisuus – yksin vai yhdessä, osa I

ERM ja turvallisuus – yksin vai yhdessä, osa I

Tällä kertaa aloitamme kahden kirjoituksen sarjan aiheesta, josta olemme jo pitkään halunneet kirjoittaa: turvallisuusjohtamisen ja kokonaisvaltaisen riskienhallinnan suhde toisiinsa. Aihe, josta meillä on paljon mielipiteitä, mutta josta halusimme kuulla arkielämän kokemuksia. Niinpä kutsuimme Postin riskienhallinta- ja turvallisuusjohtaja Markku Rajamäen aamukahville kanssamme juttelemaan ja kertomaan aiheesta. Markulla on pitkä kokemus tasapainoilusta turvallisuuden ja riskienhallinnan välillä & niiden suhteen kehittämisestä ja kävikin ilmi, että kahvittelukutsumme oli tosiaankin löytänyt oikean vastaanottajan.

Tässä kirjoitussarjan ensimmäisessä osassa perehdymme aiheeseen kohtuullisen käytännönläheisesti haastattelukahvittelumme pohjalta ja toisessa osassa Markku pohtii vielä syvemmin yhteistyön teemoja riskienhallinnassa ja turvallisuudessa.

Siispä asiaan: tällaisen yhdistelmäroolin ollessa kyseessä olimme aluksi kiinnostuneita konkretiasta. Nimittäin laajan asiakokonaisuussalkun yhdistäminen suuressa yrityksessä ei ole ainakaan ajankäytöllisesti ihan yksinkertainen juttu, vaikka käytössä on tiimi asiantuntijoita. Markku kertoikin, että noin puolet hänen työajastaan menee yritysturvallisuusasioihin ja loppu jakaantuu ERM:n, erilaisten riskienhallinnan projektien ja vakuuttamisasioiden välillä. Työturvallisuus ei kuulu Markun organisaatioon ja hän on tilanteeseen tyytyväinen. Ei siksi, ettei olisi aiheesta kiinnostunut, vaan koska se on aihepiiri, joka vaatii hyvin paljon erikoisosaamista ja olisi ajankäytöllisesti hyvin hallitseva kuuluessaan yritysturvallisuuden alle. Yhteistyötä tosin tehdään tiivisti työturvallisuusorganisaation kanssa aina missä voidaan.

Organisatorisesti Markun tiimi sijoittuu lakiasiainjohtajan alle, sillä yritysturvallisuuteen liittyy alalla hyvin paljon regulaatiota. Sijoittuminen on riskienhallintajohtajaroolille hieman yllättävä, mutta taustalla on myös Postin vanha yritysturvallisuus-yksikkö ja turvallisuusjohtajan rooli, jonka päälle Markun kenttä on rakentunut. Sijoittumisen aiheuttamat haasteet on käytännössä ratkaistu raportointisuhteella talous- ja rahoitusjohtajan organisaatioon ERM:n ja vakuuttamisen osalta. Markku totesi, että tietyllä tapaa sijoittumisesta on ollut etuakin: pohjalla on turvallisuusjohtamisen konkretiaa ja siten on ehkä pystytty tekemään hieman tavallista konkreettisempaa ERM-riskienhallintaakin, joka miellyttää sidosryhmiä. Joka tapauksessa organisoituminen on Postilla evoluution tulos ja erilaisten näkemysten synteesi. Kaiken kaikkiaan Markulla oli hyvä pointti siitä, ettei organisatorinen sijoittuminen paperilla ole niin tärkeää – monenlaiset mallit saadaan toimimaan, jos yhteistyöhalua on.

Markku kertoi, että turvallisuusjohtamisen ja riskienhallinnan suhde on muuttunut voimakkaasti viimeisen kymmenen vuoden aikana. Konkreettinen esimerkki muutoksesta on ehkä monelle tuttu EK:n turvallisuusjohtamisen kaaviokuva – sen aiemmassa versiossa riskienhallinta oli ”leivottuna” sisään kuvaan, eikä erikseen noussut esiin turvallisuuden tukielementtien joukosta. Uusimmassa versiossa riskienhallinta on siirtynyt merkittävään rooliin (joka on yhdenmukainen myös erilaisten kansainvälisten viitekehysten kanssa): se on nostettu kaikkea  yritysturvallisuustoimintaa ympäröiväksi kokoavaksi voimaksi.

Kuva 1. Elinkeinoelämän keskusliiton turvallisuusjohtamisen vanha kuvaus

 

Kuva 2. Elinkeinoelämän keskusliiton turvallisuusjohtamisen uusi kuvaus

Postilla tämä muutos alkoi siinä vaiheessa, kun Markku tuli taloon 2008 ja pääsi kehittämään ERM:ä ja siihen liittyvää tekemistä alusta alkaen näköisekseen. ERM-riskienhallinta onkin noussut turvallisuuden varjosta yhdeksi keskeiseksi elementiksi niin turvallisuus kuin muidenkin yrityksen kohtaamien uhkien hallinnassa. Raportoinnissa merkittävimmät turvallisuusriskit käsitellään ERM-prosessissa, mutta täysin operatiivisen tason turvallisuusteemat saavat lisää konkretiaa omissa prosesseissaan, joissa on paljon päivittäistä raportointia ja oma seurantansa yritysjohdolle ja muille relevanteille sidosryhmille.

Yritysturvallisuuden ja ERM-riskienhallinnan välisestä suhteesta ja yhteistyöstä Markku totesi, että se riippuu melko pitkälti asioiden parissa työskentelevien ihmisten taustoista, sekä myös organisaation tilanteesta, kypsyysasteesta jne. Joka tapauksessa tavoitteen näillä kahdella eri näkökulmalla tulisi olla yhteinen, riippumatta siitä nähdäänkö turvallisuus osana riskienhallintaa, vai päin vastoin. Tästä tematiikasta siis seuraava postaus by Markku – jäämme jälleen innolla odottamaan!

Kuvien lähteet:

Elinkeinoelämän yritysturvallisuuden malli 2010

Elinkeinoelämän yritysturvallisuuden malli 2016

 

 

Julkaistu 2 kommenttia artikkeliin Riskinottohalukkuuteni on…? – eli Risk appetite, osa II

Riskinottohalukkuuteni on…? – eli Risk appetite, osa II

Risk Appetite I:ssä avasimme riskinottohaluun ja -kantokykyyn liittyviä termejä ja päättelimme,  että niiden määrittelystä saa irti monia hyviä pohdintoja esim. strategiaan liittyen. Risk appetite antaa selkärangan liiketoimintapohdiskeluihin ja keskeisintä on pitää  ihmiset ajan tasalla siitä missä mennään – mitä riskejä ollaan ottamassa ja miten ne suhteutuvat organisaation kokonaistilanteeseen ja tavoitteisiin.

Otamme tässä postauksessa esiin muutaman esimerkin, miten yritykset ovat oman kokemuksemme mukaan asiaa lähestyneet. Aiheen haastavuudesta ja käsitteeen häilyvyydestä  kertoo se, että emme ole kumpikaan vielä  uramme aikana törmänneet selkeään, hyvin määriteltyyn ja ennen kaikkea koko organisaation tasolla toimivaan (l. tekemistä ohjaavaan) risk appetiteen. Ympäristön, tilanteiden ja organisaatioiden nopeat muutokset tuskin edesauttavat asiaa.

 

Hyvin määriteltyjen riskinottohalukkuuksien harvalukuisuus  kertoo aiheen haastavuudesta

 

Ei-aivan-tavaton tilanne risk appetiten kanssa on se, että sitä ei ole määritelty. Ei euroissa, sanallisesti tai mitenkään muutenkaan.  Ei  koko organisaation tasolla eikä toimintoja koskien. Monesti vedotaan siihen, että ”kyllähän sisäisiin politiikkoihin on tavallaan implisiittisesti kirjattu nämä asiat jo”. Tällöin johto saattaa todeta, että ”kyllä me sitten vaan tiedetään, kun riskitilanne on liian korkea”. Tätä lähestymistapaa emme lähtökohtaisesti suosittele – oikein kenellekään.

 Yksinkertaisimmillaan risk appetiten määrittely on sitä, että riskien sijoittuminen riskimatriisiin laukaisee tiettyjä odotuksia niiden hallinnan suhteen. Esimerkiksi näin:

riski matriisin vihreällä alueella = riskin tilannetta seurataan, ei tarvetta aktiiviselle/kohdennetuille toimenpiteille

riski matriisin keltaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa vihreän alueen xx kuukauden kuluessa

riski matriisin punaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa keltaisen alueen xx kuukauden kuluessa

Tätä metodia voi soveltaa kaikilla riskienhallinnan tasoilla operatiivisista riskeistä strategisiin ja koko organisaation laajuudessa. Olette kuitenkin ehkä samaa mieltä siitä, ettei lähestymistapa ole paras mahdollinen, se on mm. melko ylimalkainen, korostaa todennäköisesti liikaa riskin välttämistä (kun muistetaan riskin ottamisen tarpeellisuus liiketoiminnalle) ja saattaa sitäpaitsi altistaa kikkailulle riskien siirtämiseksi ”sopivan” värisille alueille. (Ja tässä tosiaan on mielestämme kyse risk appetiten määrittelystä – kun puhutaan kaikkein yksinkertaisimmasta versiosta.)

Monipuolisempi, mutta myös hieman työläämmin ylläpidettävä tapa on määrittää risk appetite erikseen keskeisimmille riskilähteille tai eri riskienhallinnan tasoille ja linjata nämä yhteen konsernitason risk appetiten kanssa. Monissa yrityksissä risk appetite määritellään erikseen kaikille ns. Principle riskeille, eli yrityksen liiketoimintaympäristöön kiinteästi kuuluville riskeille, kuten raaka-aine- tai lopputuotemarkkinoiden erityispiirteet, liiketoiminnassa painottuvat laatu- ja turvallisuusnäkökulmat tai compliance-riskit.

Tällä tyylillä tehtävän risk appetiten määrittelyn kanssa ei kannata olla liian tiukka ja esimerkiksi tavoitella euromääräisen rajan asettamista kaikille riskilajeille. On mieluummin hyvä miettiä mitkä riskilajit omassa liiketoiminnassa ovat sellaisia, joiden kohdalla voidaan antaa on/off tyylisiä lausuntoja, ja minkä kohdalla taas euromääräisten rajojen määrittäminen on mielekästä. Hyvä esimerkki on/off lähetymistavasta on työturvallisuudessa omaksuttu 0-tapaturmaa periaate, jolla viestitään, että henkilöstön turvallisuus on tärkeää ja siihen liittyen ei hyväksytä poikkeamia.

Toisaalta euromääräisten rajojen määrittelystä hyvä esimerkki on raaka-aineiden hankintariskiin liitetty risk appetite. Se voidaan esittää euroissa asettamalla hankintahintaan liittyvä vaihteluväli, jonka puitteissa tuotanto voi tehdä raaka-ainehankintaa hyvin vapaasti ilman raskasta päätöksentekokoneistoa. Hintahaitarin ala- tai ylärajan rikkoutuessa hankintapäätöksille on prosessi, jossa alarajan alittuessa voidaan tehdä päätös hyödyntää  tunnistettu mahdollisuus  ja ostaa raaka-ainetta varastoon edullisemmin. Toisaalta ylärajan ylittyessä päättää  pienemmästä hankintaerästä, jos hinnannousun oletetaan olevan hetkellistä.

 Risk appetite on aiheena kokonaisuudessaan melko haastava, emmekä tässä ole kuin raapaisseet pintaa. Yhteenvetona voimme kuitenkin todeta, että sen määrittäminen kannattaa yksinkertaisuudessa aloittaa siitä, että tiedostetaan tarve. Sen jälkeen sitä voi lähteä kehittämään pieninkin askelin eteenpäin. Kuulisimme mielellään ajatuksianne aiheeseen liittyen – miten olette lähteneet itse asiaa ratkomaan?

Julkaistu Ei kommentteja artikkeliin Riskienhallinta ja kolme puolustuslinjaa

Riskienhallinta ja kolme puolustuslinjaa

Sisäisen valvonnan, sisäisen tarkastuksen, compliancen ja riskienhallinnan parissa työskentelevät ovat todennäköisesti tuttuja termin ”kolme puolustuslinjaa – three lines of defence” kanssa. Kokemus on osoittanut, että tähän(kin) malliin liittyy kaikenlaista mielenkiintoista riskienhallinnan kannalta. Se ansaitsee siis oman postauksensa joulua odotellessa.

Kolmen puolustuslinjan ajattelu, eli liiketoiminnan, liiketoiminnan tuen ja valvonnan eriyttäminen eri tahoille, voi hyvin ja paksusti erityisesti finanssisektorilla.  Mallia promoavat myös erilaiset sisäisen valvonnan ja riskienhallinnan kansainväliset järjestöt, jotka määrittelevät kolme puolustuslinjaa tehokkaan sisäisen valvonnan toteutumisen perusedellytykseksi. Myös konsultit puhuvat power point -kalvoissaan usein ja mielellään puolustuslinjoista, eivätkä ihan syyttä, sillä  mallin tehokkuus eri toimintojen roolituksessa tuntuu kiistämättömältä.

Toisaalta, jotkut alan ihmiset ovat myös esittäneet ajatuksia siitä, että kolmen puolustuslinjan malli pitäisi heittää roskakoriin ja korvata esim. RACI-ajattelulla, sillä linjamalli voi luoda mielikuvan riskienhallinnasta pelkkänä hallinnollisena, sääntelyviranomaisen vaatimana ”rasti ruutuun” -harjoituksena (ks. tästä).

Kokemuksemme riskienhallinnan saralta on, että suurin osa vähänkään suuremmista organisaatioista noudattaa kuitenkin pääosin kolmen puolustuslinjan jaottelua. Toimialasta kyllä riippuu, miten mallista puhutaan: finanssialalla mainitaan linjat jatkuvasti, toisaalta esim. valmistavassa teollisuudessa sitä toteutetaan mutta toiminnan yhteydessä ei erityisesti korosteta kolmen linjan ajattelua.

Mitä ne linjat tekevät?

Kolmen puolustuslinjan mallin mukaan ylimmän johdon valvonnan alla toimivat kolme linjaa ovat tarpeen takaamaan tehokkaan riskienhallinnan ja sisäisen valvonnan. Ylintä johtoa ei sisällytetä mihinkään puolustuslinjaan, mutta sillä on äärimmäisen tärkeä rooli mallin toiminnan kannalta.  Se on kaikkien linjojen merkittävä, jollei merkittävin, stakeholder ja sen vastuulla on valvoa, että malli toteutuu kaikissa riski- ja kontrolliprosesseissa.

Ensimmäinen puolustuslinja pyörittää liiketoimintaa, ”omistaa” liiketoiminnan riskit ja on vastuussa siitä, että riskienhallintaprosessia toteutetaan niin kuin on tarkoitettu.

Toinen puolustuslinja on tukitoiminto.  Tyypillisesti toisessa linjassa suuntaviitoitetaan koko organisaation riskienhallinnan periaatteet ja toimintaohjeet, määritetään käytännön tasolla riskienhallinnan tavoite, noudatettava viitekehys ja prosessi, sekä tuetaan liiketoimintaa riskienhallinnan implementoinnissa ja pyörittämisessä mm. fasilitoimalla workshoppeja, koordinoimalla itsearviointeja ja ohjaamalla riskien dokumentointia. Toisen puolustuslinjan osaaminen, kiinnostus ja palveluasenne liiketoimintaa kohtaan on avainasemassa, kun riskienhallinta sidotaan strategiaan ja normaaliin liiketoiminnan pyörittämiseen.

Monesti toisesta linjasta puhuttaessa mainitaan ainoastaan, että se tukee liiketoimintaa.  Mutta entä ylin johto – toimitusjohtaja ja hallitus? Mielestämme tätä kannattaisi tuoda hieman enemmän esiin, sillä riskienhallinnasta on vaikea tehdä organisaatiossaan aidosti strategista, jos työ suuntautuu ainoastaan ns. divisioonatasolle.

Kolmas puolustuslinja on kaikista muista linjoista ja organisaation toiminnoista erillään ja sen tehtävänä on  tuottaa riippumatonta tietoa ja varmennusta ylimmälle johdolle. Se raportoi riskienhallinnan järjestämisen ja toteuttamisen tilasta ja riittävyydestä, sekä siitä että ensimmäisen ja toisen puolustuslinjan tekemiset ovat tehokkaita ja linjassa ylimmän johdon odotusten ja tavoitteiden kanssa. Käytännössä tämä taho on organisaation sisäinen tarkastaja / tarkastus. Kolmannen linjan tulisi puhtaimmillaan raportoida suoraan ylimmälle operatiiviselle johdolle ja hallitukselle (yleensä tarkastusvaliokunnalle, jos sellainen erikseen on). Oikeassa elämässä organisatorisesta sijoittumisesta on erilaisia käytännön toteutuksia – esim. sisäinen tarkastus on sijoitettu talousjohtajan tai lakiasiainjohtajan alaisuuteen. Lähtökohtaisesti täydellisen riippumattomuuden takaa kuitenkin vain suora suhde ylimpään johtoon.

Joissain organisaatioissa yllä esitettyä työnjakoa on muokattu niin, että toinen puolustuslinja vastaa sekä liiketoiminnan tuesta, että tarkastus- ja valvontaroolista. Riskienhallinnan osalta tällaisen vastuunjaon ongelmaksi muodostuu mielestämme se, että toinen puolustuslinja joutuu liiaksi taiteilemaan neuvonta- ja valvontarooliensa välillä, kykenemättä tarjoamaan liiketoiminnalle riittävää tukea ja konsultointia.  Vaarana on, että liiketoiminta näkee tällöin toisen linjan lähinnä hallinnollisena rasitteena, jonka jälkeen päästään taas keskittymään itse bisneksen tekemiseen. Toisaalta kolmas puolustuslinja jää yksin ”norsunluutorniinsa” lähinnä valvomaan toista puolustuslinjaa, jolloin sen oikeutusta ja järkevyyttä tullaan organisaatiossa todennäköisesti ajan myötä kyseenalaistamaan.

Mitä ne voisivat tehdä paremmin?

Kuten sanottu, mallin tehokkuus eri toimintojen roolituksessa tuntuu kiistämättömältä. Mutta olemme havainneet, että parennettavaa ja haasteitakin löytyy, erityisesti yhteistyöhön liittyen ja riskienhallinnan roolin integroituneisuuden / irralllisuuden suhteen.

Kaikkien kolmen linjan tulisi pelata hyvin yhteen, jotta saavutetaan optimaalinen tuki sille, minkä takia ne ovat olemassa: organisaation tavoitteiden saavuttamiselle. Käytännön kokemus on kuitenkin osoittanut meille, että niiden välillä on kohtuullisen paljonkin siiloutumista, jopa kinastelua ja kyräilyä.  Vahvimmillaan siilot näkyvät usein suhteessa kolmanteen puolustuslinjaan. Allekirjoittaneilla on toki myös positiivisia kokemuksia erityisesti ensimmäisen ja toisen linjan yhteistyöstä, mutta tämä edellyttää sitä, että kaikki kokevat työskentelevänsä saman tavoitteen eteen, eivätkä vetäydy liiaksi linjarooliensa taakse.  Tavoitteena tulisi olla, että yhteistyö pelaa, on liiketoiminnan näkökulmasta yhtenäistä, eikä mikään “putoa tuolien väliin”.

Kokonaisvaltaisen riskienhallinnan näkökulmasta linja-ajattelun haasteena on, että riskienhallinta eriytyy liiketoiminnasta omaksi  irralliseksi harjoituksekseen. Tämä onkin itse asiassa se kaikkein pahin skenaario, sillä riskienhallinnan suurin hyöty organisaatiolle ei synny vuosittaisten pakollisten päivitysharjoitusten toistamisesta vaan kyseenalaistavasta ja oikea-aikaisesta keskustelusta merkittävien suunnittelu ja päätöksentekoprosessien yhteydessä.

Lähteet:

https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf

https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/The-Three-Lines-of-Defence-Related-to-Risk-Governance.aspx

https://www.coso.org/Documents/COSO-2015-3LOD.pdf

https://riskikompassi.fi/johtaminen-riskienhallinta/kolme-puolustuslinjaa

Julkaistu Ei kommentteja artikkeliin COSO ERM uudistui – eroon kuutioajattelusta

COSO ERM uudistui – eroon kuutioajattelusta

Totesimme aikaisemmassa postauksessa että riskienhallinnan viitekehykset ovat tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Kansainvälisiä, yleisesti käytettyjä  viitekehyksiä on muutamia, joista meillä on kokemusta kahdesta. Tässä kirjoituksessa käsitellään COSO ERM-viitekehystä, josta julkaistiin juuri uusi versio ja myöhemmin tulemme kirjoittamaan toisesta, ISO31000:sta, josta on  päivitystyö juuri meneillään.

COSO (Committee of Sponsoring Organisations of the Treadway Commission) organisaationa on riippumaton yksityisen sektorin toimija, joka perustettiin vuonna 1985 alunperin tukemaan väärän/vilpillisen taloudellisen raportoinnin tutkimusta.  Lisää COSO:n tarkoituksesta, historiasta ja kehityksestä voit lukea täältä.

COSO-ERM (ERM= Enterprise Risk Management) -viitekehys julkaistiin alunperin vuonna 2004 ja kuten mainittu, se on ollut pitkään yksi vallitsevista viitekehyksistä hyvin monenlaisten organisaatioiden riskienhallintaprosessien pohjalla.  COSO aloitti viitekehyksen päivittäminen vuonna 2015 ja julkisen kommentointikierroksen jälkeen uusi lopullinen versio julkaistiin lopulta tänä syksynä.  Kävimme uudistetun viitekehyksen läpi ja tässä nostamme esiin mielestämme merkittävimmät muutokset.

Mikä muuttui?

Viitekehyksen ensimmäisessä versiossa korostui riskienhallinnan ja sisäisen valvonnan välinen suhde ja riskienhallinta nähtiin vahvasti compliance-työkaluna.  Tämä oli tietysti luontevaa ottaen huomioon COSO:n toiminnan juuret sisäisessä valvonnassa ja ”fraud deterrence”-ajattelussa. Merkittävin muutos uudessa päivitetyssä mallissa onkin se, että riskienhallinta kuvataan yrityksen liiketoimintaa tukevana integroituna toimintana, joka auttaa ja ohjaa strategian laadinnassa ja toteutuksessa, pikemmin kuin compliance- tai sisäisen valvonnan työkaluna. Sisäistä valvontaa ja kolmea puolustuslinjaa ei ole täysin unohdettu uudessakaan mallissa mutta se jää taka-alalle ja lopputuloksena on modernia, strategista riskienhallinta-ajattelua tukeva viitekehys.

– kaikki lähtee strategiasta

Uusi COSO-ERM lähtee liikkeelle strategian valinnasta riskienhallinnan tuella. Moni strategiaprosessi ottaa tälläkin hetkellä jo huomioon riskit, mutta COSO-ERM kritisoi näitä prosesseja siitä, että riskiä arvioidaan yleensä vain suhteessa jo valittuun strategiaan: ”mitkä seikat voivat vaikuttaa strategiamme toteutumiseen ja menestyksekkyyteen?”. Viitekehys tuo tähän keskusteluun mukaan kaksi lisänäkökulmaa, joilla voi olla merkittävä vaikutus organisaation arvonkehitykseen: riski siitä, ettei valittu strategia ole linjassa organisaation vision ja mission kanssa, sekä riski strategioiden riskiprofiileista ja valitun strategian mukanaan tuomista seurauksista.

Valitun strategian tulee olla linjassa mission ja vision kanssa ja tässä viitekehys näkee riskienhallinnan roolin keskeisenä. Riski valitun strategian mukanaan tuomasta riskiprofiilista vs. organisaation riskinottohalukkuus on mielestämme myös erinomainen nosto. Riskienhallinnan tulisi COSO-ERM:n mukaan toimia tahona, joka arvioi jokaista strategiavaihtoehtoa sekä mission &vision näkökulmasta, että riskiprofiilien sopimisesta omaan riskinottohalukkuuteen jo hyvin aikaisessa vaiheessa strategiaprosessia. Strategiavaihtoehdon valinnan jälkeen riskienhallinta toteuttaa ”perinteisempää” rooliaan tunnistamalla asioita, jotka voivat tulla strategian toteuttamisen tielle. Viitekehys kuvaa tätä strategian ja riskienhallinnan yhteyttä ja kokonaisuutta erillisellä visualisoinnilla:

COSO-ERM ja strategia (lähde: coso.org)
– ja tiivistyy yhteen kuvaan

Vanha malli tiivistyi moniväriseen ja -ulotteiseen kuutioon. Nyt kun kuutio on  korvattu uudella graafisella ilmeellä, uskallamme jo tunnustaa ettemme koskaan oikein saaneet kiinni sen monista sivuista, väreistä ja yhteyksistä. Ajatus kokonaisvaltaisesta riskienhallinnasta, siitä että riskienhallinta ei ole yksittäinen toiminto, vaan osa yrityksen liiketoiminnan ohjausta, toteutusta ja tätä kautta myös tietyssä määrin kontrollin väline, on tosin aina käynyt järkeen meillekin.

Kuva 1.Vanha COSO-ERM -kuutio (lähde www. riskikompassi.fi/)

Uusi COSO-ERM -malli koostuu 20 periaatteesta, jotka on järjestetty viiden toisiinsa kytkeytyvän komponentin alle (ks. kuva). Uusi esitystapa helpottaa tämän viiitekehyksen ja ”kilpailevan” ISO31000 standardin yhtäläisyyksien tunnistamisessa. Yksityiskohdat komponenteista ja periaatteista voit lukea tämän tekstin lopussa olevien lähdelinkkien kautta, mutta käytännössä itse komponentit vanhassa kuutiossa ja uudessa ”DNA-kuviossa” ovat pohjimmiltaan saman tyyppisiä. Toki uusissa komponenteissa näkyy kokonaisvaltaisuuden, integroitumisen, kulttuurin ja termin ”performance”  vahva painottaminen vanhaan viitekehykseen verrattuna.

Uudistettu COSO-ERM -viitekehys (lähde: coso.org)

 Uusi COSO ERM nostaa siis riskienhallinnan entistä strategisempaan rooliin ja muutos näkyy vahvasti visuaalisessa esitystavassa, joka on mielestämme moderni ja yksinkertainen. Selkeä esitystapa mille tahansa viitekehykselle on yllättävän tärkeää, sillä esim. uuden COSO-ERM:n sielunelämä on varmasti helpompi selittää ja myydä omalle organisaatiolle kuin aikaisempi  ”rubikin kuutio”.

Miten COSO-ERM -muutokset vaikuttavat minuun?

Uskaltaisimme väittää, että päivitetty versio ei sinällään tuo alalle mitään täysin uutta ja ihmeellistä. Se antaa kuitenkin varmasti kaivattua tukea  riskienhallintafunktion vetäjälle, joka haluaa uudistaa oman yrityksensä riskienhallintaa ja tarvitsee perusteita ylimmän johdon suuntaan siitä, miksi nykyinen tekeminen ei enää riitä. Uusi viitekehys saattaa avata riskienhallinta-, compliance- ja tarkastusihmisille ovet organisaation sisäpiiriin, missä strategiset linjaukset tehdään; sen avulla pystyt ehkä vieläkin paremmin perustelemaan, miksi riskienhallinnan pitää olla mukana strategisessa suunnittelussa heti alusta alkaen.

Strategisuuspainotuksen lisäksi ehkä mielenkiintoisin yksityiskohta liittyy mielestämme riskien arvioimiseen. Uusi COSO-ERM painottaa riskien arvioimista eri näkökulmista kvantitatiivisilla menetelmillä, puhuen muun muassa riskiprofiilista, riskikäyristä ja siitä, miten riskin määrittely yhtenä arvona voi olla harhaanjohtavaa – mielenkiintoista ja linjassa oman kokemuksemme kanssa. Palaamme tähän ehdottomasti erikseen tulevaisuuden postauksessa, jossa käsittelemme riskien arviointia hieman laajemminkin.

Miten sitten lähteä uudistamisessa liikeelle? Koska viitekehyksen muutokset eivät olleet  täysin mullistavia, ei ole tarvetta suin päin rynnätä uudistamaan riskienhallintaprosessia ja dokumentaatiota. Itse lähtisimme todennäköisesti liikeelle järjestelmällisesti, periaate periaatteelta  kartoittamaan suurimmat eroavaisuudet oman toiminnan ja uuden viikehehyksen välillä. Tämän blogin lukijoille ei varmasti ole epäselvää, että kannatamme riskienhallinnan viemistä integroituun ja strategiseen suuntaan ja riskienhallinnan roolin uudistamista ja vahvistamista. Uudistetty COSO-ERM antaa tälle työlle hyvän pohjan.

Lähteet:

COSO Enterprise Risk Management – Integrating with Strategy and Performance, COSO, 2017, AICPA, e-book

Uusi COSO-ERM, Executive Summary

Uusi COSO-ERM & Frequently Asked Questions

Julkaistu 4 kommenttia artikkeliin Riski, epävarmuus ja muutama muu termi

Riski, epävarmuus ja muutama muu termi

Kuten ihan ensimmäisessä postauksessamme mainitsimme, riskienhallinnassa vilisee termejä, joita käytetään välillä jokseenkin kirjavasti. Ja käytännössä pakkohan riskienhallintaa käsittelevän blogin on ottaa kantaa riskienhallinnan sanastoon, vaikka aihe saattaakin tuntua melko loppuunkalutulta. Yritämme seuraavassa kuitenkin lähestyä aihetta astetta freesimmällä otteella (laittakaa kommenttikenttään näkemyksiänne siitä, miten onnistuu!).

Riski vs. epävarmuus:

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen. Riskit ovat ”tunnettuja epävarmuuksia” eli käytännössä et tiedä, mitä seuraavaksi tapahtuu, mutta tiedät miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen.

Esimerkki tunnetusta epävarmuudesta (l. riskistä) on pankin myöntämä luotto. Pankin riski on se, että asiakas ei maksa lainaansa takaisin, mutta etukäteen ei voida tietää tapahtuuko näin. Kuitenkin todennäköisyys tälle pystytään historiallisen tiedon perusteella määrittelemään. Epävarmuus puolestaan viittaa ”tuntemattomiin epävarmuuksiin”, eli et tiedä mitä seuraavaksi tapahtuu, etkä myöskään tiedä miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.  Tällöin tapahtumiin liittyvää riskiä on vaikea määrittää.

Mietitään vaikka organisaatiota, jossa ollaan lähdössä toteuttamaan täysin uudenlaista projektia. Visiovaiheessa, kun tiedetään tavoiteltava lopputulos, mutta ei vielä keinoja tai resursseja sen saavuttamiseen, on varmasti luontevaa puhua enemmän projektiin liittyvästä epävarmuudesta kuin riskistä, koska meillä ei ole käytössämme aikaisempaa tietoa projektin kulun ja lopputuloksen, ja niihin liittyvien riskiskenarioiden riittävään ennustamiseen. Projektin edetessä ja suunnitelmien täsmentyessä epävarmuus tarkentuu vähitellen riskiksi.

Strategiatyön ja strategisen riskienhallinnan tason kannalta epävarmuus on mielenkiintoinen termi: lähihistoria on täynnä realisoituneita tuntemattomia epävarmuuksia, jotka ovat mullistaneet toimialoja ja vieneet pohjan aikaisemmalta liiketoimintalogiikalta. Näissä yhteyksissä viitataan monesti ”mustiin joutseniin” eli tapahtumiin, joita on hyvin vaikea tai mahdoton ennustaa historiallisen tiedon perusteella, ja joiden vaikutukset ovat toteutuessaan suuria. Strateginenkaan riskienhallinta ei pysty tarjoamaan täydellistä vastausta tuntemattomien epävarmuuksien tunnistamiseen ja mittaamiseen ja sen vuoksi yritysjohdon on elintärkeää olla hereillä, skannailla ja tarkkailla ns. hiljaisia signaaleja markkinoilta, kilpailijoilta ja muilta yhteiskunnan aloilta ollakseen valmiina, kun maailma muuttuu.

Vaara ja riski:

Vaara on tekijä, joka voi aiheuttaa vaaratilanteen, kuten tapaturman, onnettomuuden, vahingon tai muun vastaavan. Vaara on olemassa, mikäli jollakin asialla on luontainen ominaisuus aiheuttaa haittavaikutus – esimerkiksi jäinen tie tai viallinen sähkölaite. Vaaroista aiheutuu riskejä, tai jos tekijällä voi olla positiivisia vaikutuksia, vaaran sijaan puhutaan mahdollisuudesta. Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Riski ei välttämättä realisoidu, vaikka vaaratekijä olisi olemassa, vaan sana riski kuvaa vaarasta mahdollisesti aiheutuvaa haittaa (tai mahdollisuutta) ja sen suuruutta yhdistämällä toteutumisen arvioidun todennäköisyyden ja vaikutuksen.  Jotta riski olisi olemassa, eli vaara tapahtuisi, vaaralle tulee altistua. Postauksen lähteistä löytyy hyvä esimerkki vaaran ja riskin suhteesta: myrkkykäärme eläintarhan terraariossa on vaarallinen, mutta se ei terraariossa ollessaan ole kävijöille todellinen riski. Jos käärme pääsisi kohtuullisen todennäköisesti karkaamaan terraariosta, se muuttuisi kävijöille riskiksi.

Riskinottohalukkuus ja riskinkantokyky:

Riskinottohalukkuus (risk appetite) on se riskin määrä, jonka organisaatio hyväksyy kokonaistasolla tavoitellessaan päämääriään. Riskinottohalu on aina sidottu organisaation kokonaisstrategiaan. Sitä ei välttämättä ole ilmaistu yhtenä lukuna, vaan se voi olla moniulotteisemmin ja laveamminkin määritelty, liialliseen yksinkertaistamiseen ei välttämättä kannatakaan pyrkiä. Kannattaa kuitenkin huolehtia, että riskinottohalukkuus on mitattavissa, jotta määritelmästä ei tule merkityksetöntä. Riskinottohalukkuus on organisaatiokohtainen ja voi vaihdella paljonkin mm. eri toimialojen, organisaatiokulttuureiden välillä. Riskinottohalukkuus voi (ja ehkä sen pitääkin) myös muuttua ajan kuluessa.

Riskinkantokyky (risk tolerance) on se riskin taso, jonka organisaatio hyväksyy per jokainen riski (toisin kuin riskinottohalukkuus, joka ilmaisee riskinsiedon kokonaisuudessaan). Riskinkantokyky määrittelee sen, onko organisaatio valmis kantamaan yksittäisen riskin vaikutukset sen toteutuessa .

Riski, Inherent Risk & Residual risk:

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata.

Käytännössä riskienhallinnassa usein puhutaan vain ”riskistä”, vaikka riskienhallinnan teoriassa riski jaotellaan inherent ja residual riskiin. Inherent-riskille on hieman vaikeaa löytää sopivaa suomennosta, kyse on ”alkuperäisestä” riskistä ilman mitään riskienhallinnan toimenpiteitä – voidaan puhua myös ”worst case” -skenaariosta riskiin liittyen. Residual risk -termille taas löytyy hyvä suomennos: jäännösriski, eli riski sen jälkeen, kun kaikki päätetyt riskin hallintatoimenpiteet ovat käytössä. Arkikielessä sanalla riski viitataan usein nimenomaan jäännösriskiin.

Otetaan esimerkki: toimit rahoitusalalla ja myönnät asiakkaallesi 2 Meuron lainan. Arvioit inherent-riskiksi luotonannossa historiallisen datan perusteella sen, että 10% todennäköisyydellä asiakas ei maksa lainaansa ollenkaan takaisin (ensimmäiseen sanapariin viitaten: tapahtumien todennäköisyysjakauma on sinulla siis tiedossa ja näin ollen puhutaan riskistä, eikä epävarmuudesta). Riski on melko korkea ja sen taloudellinen vaikutus liiketoiminnallesi suuri, joten päätät implementoida riskienhallintatoimenpiteitä pienentääksesi riskin toteutumisen todennäköisyyttä ja vaikutusta. Toimenpiteenä voivat olla esim. asiakkaan luottotietojen tarkistus ja vakuuksien tai takauksien vaatiminen jne. Näiden toimenpiteiden tehokkaan implementoinnin jälkeen arvioit, että todennäköisyys koko lainan maksamatta jättämiselle on pudonnut 5%:n ja vakuuksien vuoksi on todennäköistä, että saat joka tapauksessa takaisin ainakin 50% lainasummasta. Näin voit laskea jäännösriskisi taloudellisen arvon.

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata, sillä korkea inherent-riski antaa viitteitä siitä, kuinka huolissaan (ja kääntäen, kuinka varmoja) meidän tulisi olla riskienhallintatoimenpiteidemme tehokkuudesta ja riittävyydestä. Inherent- ja jäännösriskin välinen suuri epäsuhta antaa aina siis aihetta tarkastella riskienhallinnan toimenpiteiden tilannetta ja tehokkuutta tarkemmin.

ps. Tässä kirjoituksessa kuvatut tilanteet ja termit ovat käytössä kaikilla kolmella riskienhallinnan tasolla.

Lähteitä:

ISO 31000 – Risk Managment Standard Vocabulary

COSO: ”Strengthening Enterprise Risk Management for Strategic Advantage

http://riskikompassi.fi/uploads/files/riskienhallintapolitiikka-esimerkki.pdf

https://www.theirm.org/media/464806/IRMRiskAppetiteExecSummaryweb.pdf

http://www.bwise.com/blog/assessing-risks-inherent-or-residual/obj5382859

http://www.teknokemia.fi/fin/kosmetiikka/kosmetiikan_puheenaiheita/riskin_ja_vaaran_ero/

 

Julkaistu 4 kommenttia artikkeliin Käyttäisinkö Exceliä? Vai tietojärjestelmää?

Käyttäisinkö Exceliä? Vai tietojärjestelmää?

Markkinoilla on tarjolla jos jonkinmoista riskienhallinnan tietojärjestelmää. On yksittäisiä ratkaisuja ja kattavia strategisen johtamisen ja toiminnan suunnittelun työkaluja, joissa riskienhallinta on osana. Lisäksi useimpiin ERP-järjestelmiin saa ainakin jonkinlaisen riskienhallinnan palikan. Valmiiden tuotteiden lisäksi yrityksellä on mahdollisuus luoda oma järjestelmä, esimerkiksi jonkin jo olemassa olevan järjestelmän osaksi. Nämä ovat mittavia hankkeita vaatimusmäärittelyineen, kehitysiteraatioineen ja käyttöönottoineen.

Vaihtoehdoista huolimatta moni suurikin yritys tyytyy edelleen käyttämään perinteistä Exceliä riskirekisterinään. Perustelut Excelin käytölle löytyvät usein kustannuksista tai siitä, että valmiiden järjestelmien ei koeta tarjoavan riittävän joustavaa työkaluvalikoimaa yrityksen muuttuviin tarpeisiin. Kasvava tarjonta lisää kuitenkin vaihtoehtoja eri hintaluokkiin, joten kustannusten ei tarvitse olla esteenä järjestelmän käyttöönotolle, jos on valmis tekemään kompromissejä toiminnallisuuksien osalta. Toisaalta, valmiitakin järjestelmiä on yleensä mahdollista räätälöidä pienellä lisäpanostuksella.

Perustuen kirjoittajien omaan kokemukseen riskienhallintajärjestelmien hankinnasta, valikoima painottuu vahinkoriskien hallintaan keskittyviin vakuutuslähtöisiin järjestelmiin ja ERM-näkökulmaa tukevat järjestelmät ovat vähemmistössä. Tämä saattaa olla yksi syy Excelin suosiolle organisaatioissa, joissa haetaan nimenomaan kokonaisvaltaisen riskienhallinnan järjestelmätukea.

Tiedämme, että moni riskienhallintapäällikkö pohtii tälläkin hetkellä, mitkä työkalut sopisivat parhaiten oman riskienhallintatyön tueksi. Listasimme oman näkemyksemme mukaisia plussia ja miinuksia eri vaihtoehdoille ja toivomme  sen auttavan myös lukijoita päätöksenteossa. Loppujen lopuksi kaikki vaihtoehdot ovat hyviä, kyse on siitä, mitkä ovat priorisoidut tarpeesi ja mikä vaihtoehto niitä parhaiten vastaa.

Excel-pohjaiset riskirekisterit:

– tiedon yhdistely raportointiin manuaalista

– muutos- ja historiatietojen seuranta käyttäjien omien merkintöjen varassa (rekisteristä tulee ajan mittaan sateenkaarenkirjava)

– vakiomuotoisiksi tarkoitetut riskirekisterit lähtevät elämään omaa elämäänsä ja muotoituvat käyttäjiensä näköisiksi

– tiedonhallinnan näkökulmasta riskeinä tiedon eheyden, saatavuuden ja luottamuksellisuuden vaarantuminen, jos (ja usein kun) tiedostoja lähetellään sähköpostin liitteinä ja tallennetaan henkilökohtaisiin kansioihin. Pääarkisto muodostuu riskienhallintapäällikön ”pöytälaatikkoon”.

+/- hyödyntämisessä rajana vain riskienhallintapäällikön mielikuvitus ja taidot

+ tietoturvaan pystyy vaikuttamaan toimintatapoja ohjeistamalla. Saatavuutta voi parantaa esimerkiksi luomalla arkiston osaksi dokumentinhallintajärjestelmää tai sharepointia, jolloin myös sähköpostiliitetiedostojen lähettely käy tarpeettomaksi.

+ ketterä ja edullinen

Erillinen tietojärjestelmä:

– harvoin  käytettäessä käyttökokemus jää usein huonoksi. Vaikuttaa organisaation asennoitumiseen koko prosessiin.

– kustomointi tuo lisää hintaa ja hankaloittaa versiopäivityksiä, joten riskienhallintaprosessia voidaan joutua optimoimaan järjestelmän tarpeisiin

– Monet järjestelmät ovat pilvipohjaisia, joka voi muodostua ongelmaksi suhteessa yrityksen luottamuksellisen tiedon käsittelyä ohjaavaan tietoturvapolitiikkaan

-/+ käyttöoikeuksien hallinta järjestelmän sisällä tulee vastata yrityksen politiikkaa luottamuksellisen tiedon käsittelystä.  Kokemuksemme mukaan tämä on ominaisuus, jossa on suuret erot  toiminnallisuuksissa ja käytettävyydessä eri järjestelmien välillä.

+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä

+automatisoitu raportointi ja tiedon analysointityökalut, vähemmän työtä ja virhenäppäilyn mahdollisuuksia

Muuhun toiminnan ohjaamiseen ja seurantaan integroitu järjestelmä:

– vakiototeutus voi olla kankea ja ominaisuudet puutteellisia riskienhallinnan prosessin näkökulmasta

– kehitystyössä muut  asiat ajavat ohi

-/+tietoturva vastaa yrityksen yleistä linjaa

+käyttökokemus yleensä hyvä, koska samaa järjestelmää käytetään muihinkin prosesseihin liittyen ja perustoiminnallisuudet tuttuja

+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä

+ voi mahdollistaa riskien konkreettisen linkittämisen toimintaan ja tavoitteisiin, jolloin niiden seuranta helpommin toteutuu osana normaalia toimintaa eikä jää erilliseksi vuosiharjoitukseksi

 

Julkaistu Ei kommentteja artikkeliin Viestintä riskikokonaisuudessa

Viestintä riskikokonaisuudessa

Edellisissä kolmessa kirjoituksessa käytiin kerros kerrokselta läpi tapaa, jonka avulla tarkastelemme riskienhallintaa eri tasoista koostuvana kokonaisuutena. Totesimme, että strateginen ja kokonaisvaltainen riskienhallinta huomioi riittävässä laajuudessa kaikki kolme riskitasoa. Mutta siiloissa ei kannata elää – jotta riskienhallinta näin järjestettynä oikeasti toimisi, täytyy määritellä ja järjestää eri tasojen välinen keskustelu ja viestintä. Käytännössä tämä tarkoittaa sitä, että organisaatiossa määritellään, millä kriteereillä yhdellä tasolla tunnistetusta riskistä raportoidaan ylös- tai alaspäin kolmiossa:

 

Kolmion kärkipäästä ”ylhäältä” tuleva viestintä on tärkeää, jotta koko organisaatio on tietoinen sen toimintaan kohdistuvista merkittävimmistä riskeistä. Strateginen riskinäkemys tukee myös strategiaa ja sen viestintää, ja kertoo, mitä riskien minimoimiseksi tehdään & oletetaan organisaatiossa tehtävän.

Strategisen tason riskikokonaisuudessa on yleensä aina joitain elementtejä, joita ei voida jakaa kovin laajalle piirille. Kuitenkin lähtökohtaisesti tieto, jota ei ole jostain erityisestä syystä aihetta salata, tulisi viestiä avoimesti. Tieto ylimmän johdon huolenaiheista auttaa taktisella ja operatiivisella tasolla riskienhallinnan parissa työskenteleviä kokonaiskuvan muodostamisessa. Se helpottaa myös oman riskienhallinnan roolin ja siihen kohdistuvien odotusten ymmärtämistä.

Taktisella tasolla ollaan vuorovaikutuksessa kaikkiin suuntiin. Strategiselta tasolta saadaan viitekehys, jossa riskejä tarkastellaan ja takaisin syötetään tieto liiketoimintayksikön lähitulevaisuuden merkittävistä mahdollisuuksista ja haasteista. Taktinen taso antaa myös raamit operatiivisen riskienhallinnan toteuttamiselle. Operatiiviselta tasolta taktiselle nostettavat asiat puolestaan auttavat hahmottamaan, missä riskienhallinnan kokonaisuuden käytännön toteuttamisessa mennään.

Millä kriteereillä operatiivisen tason riskejä sitten nostetaan tarkasteluun ylemmälle tasolle? Riskin suuruuteen sitominen on todennäköisesti helpointa. Se ei kuitenkaan välttämättä aina ole paras tapa,  etenkin jos riskit arvotetaan taloudellisen merkittävyytensä mukaan. Tällöin jokin yrityksen arvojen tai vaikka toiminnan turvallisuuden kannalta tärkeä asia saattaa jäädä ilman käsittelyä. Ratkaisuna ongelmaan voi todennäköisesti hyödyntää riskien kategorisointia, jolloin  tietyistä teemoista, esim. arvoihin liittyvistä asioista voidaan koostaa yhteenvetoja riskiviestintää ja -raportointia varten.

”Alhaalta ylös” -tapahtuva viestintä (opertaviiselta taktiselle tasolle) on toimivalle riskienhallintajärjestelmälle tärkeää etenkin siksi, että riskikolmion alemmilla tasoilla saatetaan tunnistaa asioita tai huolenaiheita, joihin ylemmillä tasolla ei ole suoraa näkymää. Nämä saattavat kokonaisuuteen liitettynä tai useassa eri yksikössä samantapaisina toistuessaan olla merkityksellisiä kokonaisriskikuvan kannalta. Ne voivat tuoda esiin myös näkökulmia tai asioita, joihin täytyy ottaa kantaa riskienhallintajohdon tasolla. Riskienhallinnan prosessia käytetään tällöin tavallaan tunnistettujen huolien keskusteluun nostamisen työkaluna.

 

Julkaistu Ei kommentteja artikkeliin Riskienhallinta operatiivisella tasolla

Riskienhallinta operatiivisella tasolla

Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä.

Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella.

Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisiä kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selkeästi kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksissä usein käytössä operatiivisten riskien tietojärjestelmä, joka tukee suuremman tietomassan käsittelyä. Riskien tunnistaminen ja luokittelu johdonmukaisesti on tärkeää erityisesti suuremmissa organisaatioissa, suuren tietomäärän analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.

Operatiivisella tasolla riskit ovat yksittäisiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyviä, riskinä tunnistetaan esimerkiksi tekijä, joka voi estää tietyn yksittäisen vuositavoitteen saavuttamisen. Tyypillisiä esimerkkejä ovat myös tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.

Riskeistä keskustellaan käytännönläheisesti, samalla tukeutuen yksikön omiin tavoitteisiin sekä koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan pääsääntöisesti yksikön oman budjetin sallimissa rajoissa. Riskienhallinnalle määritellään yksityiskohtaisesti yksittäiset toimenpiteet, vastuuhenkilö(t), aikataulu ja seurantaprosessi.

Pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvvarret” ruuhkauta ylemmän johdon agendaa.

Riskeistä raportoidaan kootusti bisnesriskienhallinnan tasolle mutta pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvarret” ruuhkauta ylemmän johdon agendaa. Raportointi ylemmälle tasolle on kuitenkin tärkeää siksi, että operatiivisella tasolla saatetaan tunnistaa riskejä, jotka ovat esim. osatekijöitä organisaatiota laajemmin koskettavissa riskeissä. Joskus on myös aiheellista arvioida hallintatoimenpiteiden riittävyys ylemmällä tasolla.

Tämä ja edeltävät kaksi postausta ovat käsitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riittävässä laajuudessa kaikki riskitasot. Tämä ei kuitenkaan tarkoita sitä, että kaikki riskit käsiteltäisiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja työkalut. Eri tasojen välinen viestintä on edellytys sille, että jako toimii tarkoituksenmukaisesti.  Tähän palaamme seuraavassa kirjoituksessa.

Esimerkki operatiivisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaa kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja käsitys uhkista ja kontrollien heikkouksista täsmentyy.

Etenkin ennen asetuksen voimaan astumista operatiivisen tason riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin järjestelmiin ja IT:n käytäntöihin tietojärjestelmien valvonnassa ja hallinnassa. Työtä priorisoidaan liiketoiminnan näkökulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyvät järjestelmät ovat etusijalla.  Viimeistään toukokuun 2018 jälkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.

On pohdittava:

Mitä henkilötietoja käsittelemme?

Missä prosesseissa ja tietojärjestelmissä käsittelemme kutakin henkilötietoa?

Missä henkilötietoja säilytetään? Onko ratkaisu teknisesti vaatimukset täyttävä ja kestävä?

Millä käytännön toimenpiteillä varmistamme (ja parannamme) tietojen suojausta?

Onko tunnistetuille prosesseille ja järjestelmille tehty tietosuojan vaikutusarviointi?

Millä käytännön toimenpiteillä tunnistamme tietovuodon?

Miten käytännössä reagoimme tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?

 

Julkaistu Ei kommentteja artikkeliin Riskienhallinta taktisella tasolla

Riskienhallinta taktisella tasolla

Taktinen riskienhallinta -tasolla tarkastellaan ja hallitaan toiminnan suunnitteluun, organisointiin sekä toteutukseen liittyviä riskejä. Monesti puhutaan myös bisnesriskien hallinnasta. Riskienhallintainformaatio tukee liiketoiminta-alueita koskevaa päätöksentekoa.

Kyseessä ovat strategisia riskejä astetta konkreettisemman tason riskit, jotka liittyvät strategian käytännön toteuttamiseen selkeiden tavoitteiden ja toimintasuunnitelmien mukaisesti. Hyvä taho arvioimaan riskejä tällä tasolla on liiketoimintajohto (yhdessä liiketoiminta-alueen johtoryhmän kanssa). Toimitusjohtajan rooli on tukea ja haastaa liiketoimintajohdon riskienhallintatyötä.

Keskustelu käydään strategista tasoa yksityiskohtaisemmin. Silti on erittäin tärkeää säilyttää kokonaiskäsitys oman liiketoiminta-alueen riskikokonaisuudesta ja yhtymäkohdista, sekä vaikutuksista muihin liiketoiminta-alueisiin. Riskien tunnistamisen lähtökohtana on sekä oman liiketoiminta-alueen strategia ja tavoitteet, että organisaation kokonaisstrategia. Tukena riskien käsittelyssä on sekä strategisen tason riskiraportointi, että operatiiviselta tasolta tuleva riskienhallinnan tieto ja erityisesti operatiivisella tasolla tunnistetut riskit, joita toivotaan arvioitavan ylemmällä tasolla suhteessa kokonaisuuteen.  Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan.

 Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan

Käsiteltävien riskien lukumäärä on edelleen rajallinen, mutta kuitenkin suurempi kuin strategisella riskienhallinnan tasolla; käsittelyssä on tyypillisesti 10-20 liiketoimintajohdolle olennaisinta riskiä per liiketoiminta-alue. Riskejä voidaan tunnistaa mihin tahansa perinteisistä riskiluokista, strategisiin, taloudellisiin, operatiivisiin… Olennaista on, että käsitellään liiketoiminnan kannalta merkittäviä aiheita.

Tehokkaiden riskienhallintasuunnitelmien laatimiseksi riskien juurisyistä tulee muodostaa riittävä käsitys.  Kaikkiin riskienhallinnan toimenpiteiden yksityiskohtiin ei puututa, mutta suunnitelma konkretisoidaan toimenpiteiksi, joille määritetään vastuuhenkilöt, toteutusaikataulu ja seuranta. Toimenpiteiden vaikuttavuutta tulee arvioida suhteessa niiden vaatimiin resursseihin ja toimenpiteet tulee viedä toimintasuunnitelmiin ja liiketoiminta-alueen budjettiin.

Esimerkki taktisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta?

Strategisella tasolla luotiin käsitys siitä, onko tietosuoja merkittävä riski yrityksen toiminnalle ja miten siihen tulisi suhtautua. Taktisella tasolla tietosuojaan liittyvää riskiä tarkastellaan yrityksen tuottamien palveluiden ja tuotteiden näkökulmasta. Jos tietovuoto on strategisella tasolla nostettu merkittäväksi riskiksi, niin tällä tasolla tarkastelua konkretisoidaan tunnistamalla palvelut, toimintaprosessit ja liiketoimintatavoitteet joissa riski on suurin.

On pohdittava:

Minkä palveluiden tai tuotteiden tuottaminen edellyttää henkilötietojen käsittelyä?

Olemmeko kartoittaneet missä tietoja tallennetaan ja miten niitä hyödynnetään?

Käsittelemmekö tietoja kumppaniemme kanssa ja onko vastuut kirjattu selkeästi sopimuksiin?

Tiedämmekö, että tiedot on suojattu asianmukaisesti?

Onko meillä kyvykkyys tunnistaa tietovuoto?

Pystymmeko reagoimaan tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?