Julkaistu 1 kommentti artikkeliin Miten paljon ottaisin riskiä – eli Risk Appetite, osa I

Miten paljon ottaisin riskiä – eli Risk Appetite, osa I

Strateginen riskienhallinta perustuu parhaimmillaan selkeästi määriteltyyn ja strategiaan sidottuuun riskinottohalukkuuteen, sekä ymmärrykseen yrityksen kyvystä kantaa riskiä. Riskinottamisen rajat luovat puitteet, joissa riskinhallintapäätöksiä voidaan tehdä oikeilla tasoilla ja joissa riskinottohalukkuutta voidaan tarkastella myös riittävän riskinoton näkökulmasta.  Lähdetään kuitenkin liikkeelle perusteista, eli termistöstä, sillä se pohjustaa aihetta mielestämme mainiosti. Osaa termeistä avasimmekin jo aikaisemmassa postuksessamme.  Riskinottohalukkuus on kuitenkin aiheena paljon enemmän kuin sanasto, joten jatkamme aiheen käsittelyä hieman syvemmin vielä toisessa, tulevassa postauksessa.

Riskinottohalukkuuden aihepiiristä puhuttaessa käytetään ainakin termejä ”risk appetite”, ”risk tolerance”, ”risk target ” ja ”risk capacity”. Kaikki termit kuvaavat organisaation asennetta riskiin tietystä näkökulmasta ja niiden ymmärtäminen on tarpeen ennen kuin lähtee liikkeelle oman organisaationsa konkreettisten määritelmien kanssa. Käytämme tässä postauksessa lähinnä termien englanninkielisiä versioita – ne tuntuvat jotenkin kuvaavammilta kuin suomalaiset. Silloin, kun tiedossamme on mielestämme selkeä suomenkielinen termi, on sekin toki mainittu. (Jos muuten jollain  on takataskussa aiheen englanti-suomi -sanasto, laittakaa ihmeessä taas kommentteihin!)

Miten paljon uskallan ottaa riskiä?

Risk appetite (Riskinottohalukkuus): se riskin määrä, jonka organisaatio on valmis sietämään pyrkiessään tavoitteisiinsa, eli matkallaan kohti odotettuja ”palkkioitaan”. Määritelmä voi olla euromääräinen tai sanallinen kuvaus. Käytännössä kuvaus on havaintojemme mukaan usein implisiittinen, haarukoitavissa erilaisista politiikoista, arvoihin liittyvistä julkilausumista ja muista hallintomateriaaleista.   Lähestymistapana tämä ei kuitenkaan ole optimaalinen, koska lopputuloksena on helposti jokaisen yksilöllinen tulkinta riskinottohalukkuudesta. Kuten alussa mainittu, strategisen riskienhallinnan on suositeltavaa perustua selvästi määriteltyyn ja ymmärrettävään riskinottohalukkuuteen. Esim. euromääräiset raja-arvot täydennettynä sanallisilla kuvauksilla, (mm. nollatoleranssi tiettyihin riskilajeihin) toiminevat hyvin.

Risk tolerance: se riskin määrä, jonka organisaatio sietää tavoitteisiin päästäkseen,  per tavoite. Tolerancekin voidaan määritellä esim. euromääräisesti, suhteessa tunnuslukuihin. Määrittelyssä voidaan (ja ehkä kannattaa) ottaa huomioon myös ”pehmeämpiä” mittareita, kuten henkilökunnan osaaminen, pysyvyys jne.

Risk appetiten ja Risk tolerancen ero on, että appetite on yleinen määritelmä organisaation kokonaistasolla, eli kuinka paljon riskiä ollaan halukkaita sietämään mission toteuttamiseksi. Tolerance taas määrittää riskinottohalukkuuden per tietty, yksittäinen tavoite ja antaa sille raamit, joiden sisällä pysyessään riskitaso on hyväksyttävissä. Esim., jos tavoitteena on markkinaosuuden säilyttäminen 85 %:ssa, risk tolerance voi tämän tavoitteen ympärillä olla 82 – 88%. Alarajan rikkoutuessa on syytä ryhtyä toimenpiteisiin, mutta 83 % markkinaosuus on vielä ok, eivätkä hälytyskellot ala soimaan.

(Miksi muuten sitten ylärajaa edes on – mitä suurempi markkinaosuus, sitä parempi, eikö niin? Voi kuitenkin olla että yläraja määritellään  vaikka siksi, että sen rikkoutuessa tarkastellaan esim. kustannus-hyöty -suhdetta, eli ollaanko käytetty markkinointiin niin paljon rahaa, että markkinaosuuden kasvaminen käytännössä vähentää tulosta, tms.).

Miten paljon minun täytyy ottaa riskiä ja missä kulkee kestävän riskinoton raja?

Risk appetite ja risk tolerance siis kertovat siitä, kuinka paljon haluamme ottaa riskiä. Liiketoiminnassa ehkä tärkeintä riskienhallintaan liittyen on kuitenkin varmistaa, että riskiä ei oteta liika, eikä myöskään liian vähän. Kunnianhimoiset strategiset tavoitteet eivät voi toteutua, jos vältämme riskiä liikaa. Senkin takia risk appetiten aihepiiristä puhuminen on tärkeää: ei ainoastaan rajoittamaan otettavan riskin määrää, vaan varmistamaan, että otamme sitä riittävästi suhteessa tavoitteisiin. Tähän liittyy käsite Risk Target, joka kuvaa sitä optimaalista riskin määrää, joka mahdollistaa tietyn tavoitteen saavuttamisen ja on tavoitteelle ’sopiva’ riskin määrä.

Risk capacity (Riskinkantokyky) puolestaan on se riskin määrä, jonka organisaatio sietää menettämättä mahdollisuutta jatkaa toimintaansa haluamallaan tavalla. Capacity riippuu monesta eri tekijästä (ja on tietysti aina organisaatiokohtainen), eikä sille siten ole olemassa mitään yleispätevää laskentakaavaa. Se voi olla linkitetty käyttöpääomaan tai lainanottokykyyn, mutta voi sisältää myös kvalitatiivisia elementtejä.

Muutos on hyvästä?

Kaiken termi- ja niihin pohjautuvan rajamäärittelyn keskellä kannattaa kuitenkin muistaa, että kerran asetettu risk appetite ja todettu tolerance eivät ole pysyviä käsitteitä – itse asiassa, jos risk appetite pysyy aina samana, kannattaa olla huolissaan. Risk appetite muuttuu organisaation tilanteen mukaan, sillä strategian muutokset heijastuvat (tai niiden ainakin pitäisi heijastua) yrityksen riskinottohalukkuuteen. Muutosta voi tapahtua myös niin, että havaitaan etteivät valittu strategia ja siihen liitetty risk appetite olekaan linjassa organisaatiolle määritetyn taloudellisen risk capacityn kanssa. Tällöin kannattaa tarkistaa molemmat ulottuvuudet – sekä strategia ja sen risk appetite, että varmistaa  risk capacityn tilanne.

Tämä  muuten tuo uuden ulottuvuuden strategiatyöhön, perinteisen eri strategiavaihtoehtojen riskien tunnistamisen ja hallintaskenaarioiden vertailun lisäksi.  Johdon tulisi arvioida eri skenaarioiden vaikutusta risk capacityyn – ylittääkö houkuttelevan kuuloisen strategiavaihtoehdon riski yrityksen kantokyvyn ja voidaanko riskin ottaminen yhdellä markkina-alueella mahdollistaa ottamalla vähemmän riskiä muilla, eli asettamalla risk tolerance eri tasoille toiminnan eri alueilla.

Mitä tekemistä on kulttuurilla ja riskin ottamisella?

Riskirajoista puhuttaessa täytyy mainita myös Risk culture, joka kuvaa organisaation yleistä suhtautumista riskeihin ja ohjaa riskinottoa, jopa yksilöiden sitä tiedostamatta. Esim. start up-maailmassa riskin ottamisen kulttuuri on tyypillisesti hyvin rohkea (ne tavallaan ”elävät” riskistä), kun taas korkean turvallisuuden teollisuusaloilla varovaisuus saattaa dominoida kaikkea riskinottamista.

Riskinottohaluukkuutta kuvaavat julkilausumat tuovat näkyväksi yrityksen johdon odotukset riskin ottamiseen liittyvälle kulttuurille. Jos nämä julkilausumat ovat vahvasti ristiriidassa organisaation aidon kulttuurin kanssa, ei niiden voi odottaa toteutuvan kovin tehokkaasti käytännössä. Niiden avulla voidaan kuitenkin pyrkiä vaikuttamaan organisaation kulttuuriin ja muokkaamaan sitä haluttuun suuntaan.

Mitä lisäarvoa saan määrittelytyöstä?

Yksi keskeinen kysymys, johon riskienhallinnan tulisi tarjota vastaus on:

Pitääkö olla huolissaan?

Kysymystä analysoidaan miettimällä riskin merkittävyyttä, joka hyvin usein kulminoituu riskimatriisin tuijotteluun. Todellisen vaikutuksen ja strategiakytköksen ymmärtämisen sijaan puhutaan punaisista, keltaisista ja vihreistä riskeistä. Tässä keskustelussa lähtökohtana on, että punaiset riskit ovat liian suuria ja niihin tulee kohdistaa merkittävimmät hallintatoimenpiteet ja vihreät riskit taas voidaan hyväksyä. Mutta entä jos lähestyisimme asiaa strategian ja sen toteuttamiseen liittyvän riskinoton näkökulmasta? Mitä jos ”punainen riski” onkin täysin linjassa päätetyn, rohkean strategian kanssa?  Ja vihreä riski taas liittyy tavoitteeseen, jonka kohdalla yrityksen kyky kantaa riskiä on alentunut? Tai sijoittuminen vihreälle alueelle tarkoittaa, että riskiin liityvää tavoitetta ei ole niin matalalla riskitasolla todennäköistä saavuttaa?

Näin ajatellessa riskimatriisi ei yksin vastaa johdon tiedontarpeeseen ja todennäköisesti johtaa vääränlaiseen tulkintaan yhtiön riskiprofiilista ja -tilanteesta. Tämä taas luo riskienhallintapäällikölle herkullisen tilanteen yhdistää riskit ja strategia arvoa tuottavalla tavalla, vai mitä mieltä olette?

Lisää aiheesta löydät ainakin näistä käyttämistämme lähteistä:

Risk Appetite, EY, http://www.ey.com/gl/en/services/advisory/risk-appetite–the-strategic-balancing-act

Risk Appetite, IRM, https://www.theirm.org/media/3296897/0926-IRM-Risk-Appetite-12-10-17-v2.pdf ja https://www.theirm.org/knowledge-and-resources/thought-leadership/risk-appetite-and-tolerance.aspx

COSO Enterprise Risk Management – Integrating with Strategy and Performance, COSO, 2017, AICPA, e-book

Ilmonen, Kallio, Koskinen, Rajamäki: Johda riskejä  – käytännön opas yrityksen riskienhallintaan (FINVA 2016)

Julkaistu Ei kommentteja artikkeliin Rusetti, tarina ja miksi?

Rusetti, tarina ja miksi?

Riskityöpaja – ehkä suosikkijuttumme riskienhallintatyössä. Tässä kirjoituksessa esittelemme kolme työkalua riskien tunnistamiseksi ja jäsentämiseksi työpajoissa. Suosittelemme lämpimästi kokeilemaan monenlaisia ryhmätyömenetelmiä (jopa niitä, joita ei alun perin ole tarkoitettu riskienhallintatyön tueksi – vaihtelu ja hienoinen leikillisyyskin virkistävät aina), ryhmän koon ja tavoitteen mukaan soveltaen ja muokaten. Tässä läpikäytävillä menetelmillä olemme saaneet hyviä tuloksia aikaan etenkin silloin, kun on nimenomaan haluttu saada riskin aiheuttajat ja riskin eri elementtien väliset kausaliteetit näkyviin.

Edelliseen kirjoitukseen viitataen,  työpajoissa käytävä keskustelu auttaa selkeyttämään organisaation sisäistä riskienhallinnan sanastoa. Kaikki menetelmät ovat myös sovellettavissa kokonaisvaltaisen riskienhallinnan kaikilla tasoilla, vaikkakin tehokkainta käyttö on operatiivisella tasolla. Liiketoiminta- tai ylimmän johdon tasolla liikuttaessa kannattaa huomioida, että huolellinen toteutus vaatii todennäköisesti useamman työpajan, lähtien alustavasta ja melko laajasta brainstormingistä ja päätyen strukturoituun lopputulemaan. Tämä asettaa monesti haasteita ajankäytön suhteen.

Bow-Tie:

Ensimmäinen ja yksinkertaisin työkalu on Bow-Tie. Metodi lienee kehitetty alun perin öljyteollisuuden tarpeisiin konkreettisten vahinkoriskien kuvaamiseen mutta työssämme olemme soveltaneet sitä vapaasti jäsentämään niin turvallisuus-, projekti- kuin strategisiakin riskejä. Menetelmässä kuvataan riski selkeästi neljän elementin

– aiheuttaja

– tapahtuma

– seuraukset

– kontrollit

kautta kuvana, joka muistuttaa rusettia (bowtie). Kuvaamiseen on muuten olemassa oma tietojärjestelmänsäkin, mutta itse tykkäämme käyttää post-it lappuja ja fläppitaulua.

Esimerkki BowTie-kuvan rakenteesta

Työpaja kannattaa aloittaa vapaalla keskustelulla, jossa on tarkoituksena tunnistaa ja heitellä ilmaan ajatuksia etukäteen käsiteltäväksi päätettyyn aihealueeseen liittyen. Ajatukset kirjataan lapuille ja käydään keskustelu siitä, miten ne suhteutuvat käsiteltävänä olevaan aihealueeseen. Usein on käynyt niin, että ryhmän yksi jäsen on mieltänyt riskiksi asian, joka onkin toisen tunnistaman riskitapahtuman aiheuttaja ja näistä taas seuraa kolmannen tunnistama vaikutus liiketoiminnalle. Ilman analyysia kaikki nämä kolme tekijää todennäköisesti päätyisivät riskirekisteriin yksittäisinä riskeinä, joille olisi hyvin vaikea tehdä jatkoanalyysia. Bow-tie harjoituksen seurauksena ne pystytään kuitenkin kirjaamaan loogisena riskitarinana.

Tarinallistaminen:

Toinen hieman pidemmälle viety riskinmallintamistapa, jota sovelletaan tietoturvariskienhallinnan maailmassa, kuvaa riskin tarinana.  Menetelmän on toinen meistä omaksunut tietoturvakonsulttina työskentelevältä mahtavalta kollegaltaan. Tarina aloitetaan yksilöimällä suojattavat kohteet, joihin kohdistuvia riskejä halutaan tunnistaa, esimerkiksi yrityksen maine, tulevan vuosineljänneksen tulos tai tärkeä tietovaranto. Sitten siirrytään kartoittamaan uhkatekijät, eli kerrotaan kuka tai mikä voi uhata kohdetta. Tämän jälkeen tunnistetaan toiminnan haavoittuvuuksia ja maalataan sanallisesti (tai miksei kuvallisestikin) niiden hyödyntämisestä seuraavat uhkaskenaariot. Skenaariot voivat oikeissa olosuhteissa konkretisoituvat tapahtumiksi, joiden seurauksena jokin suojattavista kohteista vahingoittuu.

Riskin mallinnustyöpajan lopputuotos (Lähde Marko Buuri, F-Secure)

Tarinallistaminen on oikeastaan tyyppiesimerkki siitä, miten strategista riskienhallintaa toteutetaan käytännön riskien tunnistamistyössä: tietoturvariskien tarina alkaa suojattavista kohteista, jotka voidaan helposti määrittää myös organisaation strategisiksi tavoitteiksi – ja tunnistaa asioita, jotka voivat uhata näiden tavoitteiden saavuttamista. Jos organisaation tavoitteet on määritelty tarpeeksi visuaalisesti ja ytimekkäästi, voidaan riskityöpajassa käyttää pohjamateriaalina suoraan strategiatyön materiaaleja. Jos tavoitteet on vielä kuvattu samaan tapaan sekä strategisella, taktisella ja jopa operatiivisella tasolla (tällöin puhutaan monesti jo toimintasuunnitelmasta tai vastaavasta materiaalista), materiaali toimii lähtökohtana riskienhallintakolmion jokaisella tasolla järjestettävissä työpajoissa.

5XMIKSI:

Kolmas menetelmä on 5XMIKSI. Ideana on työskennellä pareittain tai pienessä ryhmässä niin, että liikkeelle lähdetään tunnistetusta riskistä. Ryhmän jäsenet esittävät vähintään viisi kertaa kysymyksen MIKSI ja kirjaavat vastauksen ylös. Esimerkiksi: tavoite on toiminnan tehostaminen.  Alatavoite on tiedon jakamiseen ja viestintään käytetyn ajankäytön tehostaminen, ja yksi keino tavoitteen saavuttamiseksi on nykyaikaisen kollaboraatiotyökalun käyttöönotto koko organisaatiossa. Riskiksi on määritelty se, etteivät kaikki ota järjestelmää omakseen, vaan jatkavat tiedon tallentamista omissa tiedostoissan ja jakamista sähköposteissa jne.

Esimerkki 5xMIKSI ketjusta

→ ja tätä jatketaan vähintään viisi kertaa.

Menetelmä itsessään on hyvin yksinkertainen ja kokemuksemme mukaan myös saattaa aiheuttaa aluksi hieman hilpeyttä työpajan osallistujissa. Mutta sitkeästi läpi vietynä se palkitsee, sillä jäljelle ei jää vähempää kuin riskin todellinen aiheuttaja (usein aiheuttajat). Ja vain aiheuttajiin on mahdollista kohdistaa tehokkaat, ennakoivat riskienhallintatoimenpiteet.

Yllä esitetyt työtavat ohjaavat keskustelemaan siitä, mistä kaikista elementeistä riski oikeasti muodostuu, mitkä ovat aiheuttajat ja mitkä seuraukset. Samalla riskikuvasta muodostuu yhtenäinen ja saman tasoinen käsitys kaikille osallistujille. Juuri tämä on monesti työpajojen aikaa vievin, mutta toisaalta antoisin vaihe. Kuvien piirtäminen ja kysymysten ja vastausten ylös kirjaaminen auttaa myös konkretisoimaan hallintatoimenpiteiden suunnittelua ja keskustelua siitä, mihin hallintatoimenpiteet kohdistetaan. 

Tässä kirjoituksessa päästiin nyt vasta puoleen väliin riskianalyysia, sillä riskin kvantifiointiin liittyvä keskustelu ei luontevasti tule osana näiden työmenetelmien keskustelua. Palataan tähän jossain myöhemmässä kirjoituksessa, tai useammassakin…

Ps. jos olet riskityöpajojen osalta kiinnostunut erityisesti tietoturvanäkökulmasta, niin suosittelemme tutustumaan CORAS-menetelmään tai Intelin TARA-metodiin

 

 

Julkaistu 4 kommenttia artikkeliin Riski, epävarmuus ja muutama muu termi

Riski, epävarmuus ja muutama muu termi

Kuten ihan ensimmäisessä postauksessamme mainitsimme, riskienhallinnassa vilisee termejä, joita käytetään välillä jokseenkin kirjavasti. Ja käytännössä pakkohan riskienhallintaa käsittelevän blogin on ottaa kantaa riskienhallinnan sanastoon, vaikka aihe saattaakin tuntua melko loppuunkalutulta. Yritämme seuraavassa kuitenkin lähestyä aihetta astetta freesimmällä otteella (laittakaa kommenttikenttään näkemyksiänne siitä, miten onnistuu!).

Riski vs. epävarmuus:

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen. Riskit ovat ”tunnettuja epävarmuuksia” eli käytännössä et tiedä, mitä seuraavaksi tapahtuu, mutta tiedät miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen.

Esimerkki tunnetusta epävarmuudesta (l. riskistä) on pankin myöntämä luotto. Pankin riski on se, että asiakas ei maksa lainaansa takaisin, mutta etukäteen ei voida tietää tapahtuuko näin. Kuitenkin todennäköisyys tälle pystytään historiallisen tiedon perusteella määrittelemään. Epävarmuus puolestaan viittaa ”tuntemattomiin epävarmuuksiin”, eli et tiedä mitä seuraavaksi tapahtuu, etkä myöskään tiedä miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.  Tällöin tapahtumiin liittyvää riskiä on vaikea määrittää.

Mietitään vaikka organisaatiota, jossa ollaan lähdössä toteuttamaan täysin uudenlaista projektia. Visiovaiheessa, kun tiedetään tavoiteltava lopputulos, mutta ei vielä keinoja tai resursseja sen saavuttamiseen, on varmasti luontevaa puhua enemmän projektiin liittyvästä epävarmuudesta kuin riskistä, koska meillä ei ole käytössämme aikaisempaa tietoa projektin kulun ja lopputuloksen, ja niihin liittyvien riskiskenarioiden riittävään ennustamiseen. Projektin edetessä ja suunnitelmien täsmentyessä epävarmuus tarkentuu vähitellen riskiksi.

Strategiatyön ja strategisen riskienhallinnan tason kannalta epävarmuus on mielenkiintoinen termi: lähihistoria on täynnä realisoituneita tuntemattomia epävarmuuksia, jotka ovat mullistaneet toimialoja ja vieneet pohjan aikaisemmalta liiketoimintalogiikalta. Näissä yhteyksissä viitataan monesti ”mustiin joutseniin” eli tapahtumiin, joita on hyvin vaikea tai mahdoton ennustaa historiallisen tiedon perusteella, ja joiden vaikutukset ovat toteutuessaan suuria. Strateginenkaan riskienhallinta ei pysty tarjoamaan täydellistä vastausta tuntemattomien epävarmuuksien tunnistamiseen ja mittaamiseen ja sen vuoksi yritysjohdon on elintärkeää olla hereillä, skannailla ja tarkkailla ns. hiljaisia signaaleja markkinoilta, kilpailijoilta ja muilta yhteiskunnan aloilta ollakseen valmiina, kun maailma muuttuu.

Vaara ja riski:

Vaara on tekijä, joka voi aiheuttaa vaaratilanteen, kuten tapaturman, onnettomuuden, vahingon tai muun vastaavan. Vaara on olemassa, mikäli jollakin asialla on luontainen ominaisuus aiheuttaa haittavaikutus – esimerkiksi jäinen tie tai viallinen sähkölaite. Vaaroista aiheutuu riskejä, tai jos tekijällä voi olla positiivisia vaikutuksia, vaaran sijaan puhutaan mahdollisuudesta. Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Riski ei välttämättä realisoidu, vaikka vaaratekijä olisi olemassa, vaan sana riski kuvaa vaarasta mahdollisesti aiheutuvaa haittaa (tai mahdollisuutta) ja sen suuruutta yhdistämällä toteutumisen arvioidun todennäköisyyden ja vaikutuksen.  Jotta riski olisi olemassa, eli vaara tapahtuisi, vaaralle tulee altistua. Postauksen lähteistä löytyy hyvä esimerkki vaaran ja riskin suhteesta: myrkkykäärme eläintarhan terraariossa on vaarallinen, mutta se ei terraariossa ollessaan ole kävijöille todellinen riski. Jos käärme pääsisi kohtuullisen todennäköisesti karkaamaan terraariosta, se muuttuisi kävijöille riskiksi.

Riskinottohalukkuus ja riskinkantokyky:

Riskinottohalukkuus (risk appetite) on se riskin määrä, jonka organisaatio hyväksyy kokonaistasolla tavoitellessaan päämääriään. Riskinottohalu on aina sidottu organisaation kokonaisstrategiaan. Sitä ei välttämättä ole ilmaistu yhtenä lukuna, vaan se voi olla moniulotteisemmin ja laveamminkin määritelty, liialliseen yksinkertaistamiseen ei välttämättä kannatakaan pyrkiä. Kannattaa kuitenkin huolehtia, että riskinottohalukkuus on mitattavissa, jotta määritelmästä ei tule merkityksetöntä. Riskinottohalukkuus on organisaatiokohtainen ja voi vaihdella paljonkin mm. eri toimialojen, organisaatiokulttuureiden välillä. Riskinottohalukkuus voi (ja ehkä sen pitääkin) myös muuttua ajan kuluessa.

Riskinkantokyky (risk tolerance) on se riskin taso, jonka organisaatio hyväksyy per jokainen riski (toisin kuin riskinottohalukkuus, joka ilmaisee riskinsiedon kokonaisuudessaan). Riskinkantokyky määrittelee sen, onko organisaatio valmis kantamaan yksittäisen riskin vaikutukset sen toteutuessa .

Riski, Inherent Risk & Residual risk:

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata.

Käytännössä riskienhallinnassa usein puhutaan vain ”riskistä”, vaikka riskienhallinnan teoriassa riski jaotellaan inherent ja residual riskiin. Inherent-riskille on hieman vaikeaa löytää sopivaa suomennosta, kyse on ”alkuperäisestä” riskistä ilman mitään riskienhallinnan toimenpiteitä – voidaan puhua myös ”worst case” -skenaariosta riskiin liittyen. Residual risk -termille taas löytyy hyvä suomennos: jäännösriski, eli riski sen jälkeen, kun kaikki päätetyt riskin hallintatoimenpiteet ovat käytössä. Arkikielessä sanalla riski viitataan usein nimenomaan jäännösriskiin.

Otetaan esimerkki: toimit rahoitusalalla ja myönnät asiakkaallesi 2 Meuron lainan. Arvioit inherent-riskiksi luotonannossa historiallisen datan perusteella sen, että 10% todennäköisyydellä asiakas ei maksa lainaansa ollenkaan takaisin (ensimmäiseen sanapariin viitaten: tapahtumien todennäköisyysjakauma on sinulla siis tiedossa ja näin ollen puhutaan riskistä, eikä epävarmuudesta). Riski on melko korkea ja sen taloudellinen vaikutus liiketoiminnallesi suuri, joten päätät implementoida riskienhallintatoimenpiteitä pienentääksesi riskin toteutumisen todennäköisyyttä ja vaikutusta. Toimenpiteenä voivat olla esim. asiakkaan luottotietojen tarkistus ja vakuuksien tai takauksien vaatiminen jne. Näiden toimenpiteiden tehokkaan implementoinnin jälkeen arvioit, että todennäköisyys koko lainan maksamatta jättämiselle on pudonnut 5%:n ja vakuuksien vuoksi on todennäköistä, että saat joka tapauksessa takaisin ainakin 50% lainasummasta. Näin voit laskea jäännösriskisi taloudellisen arvon.

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata, sillä korkea inherent-riski antaa viitteitä siitä, kuinka huolissaan (ja kääntäen, kuinka varmoja) meidän tulisi olla riskienhallintatoimenpiteidemme tehokkuudesta ja riittävyydestä. Inherent- ja jäännösriskin välinen suuri epäsuhta antaa aina siis aihetta tarkastella riskienhallinnan toimenpiteiden tilannetta ja tehokkuutta tarkemmin.

ps. Tässä kirjoituksessa kuvatut tilanteet ja termit ovat käytössä kaikilla kolmella riskienhallinnan tasolla.

Lähteitä:

ISO 31000 – Risk Managment Standard Vocabulary

COSO: ”Strengthening Enterprise Risk Management for Strategic Advantage

http://riskikompassi.fi/uploads/files/riskienhallintapolitiikka-esimerkki.pdf

https://www.theirm.org/media/464806/IRMRiskAppetiteExecSummaryweb.pdf

http://www.bwise.com/blog/assessing-risks-inherent-or-residual/obj5382859

http://www.teknokemia.fi/fin/kosmetiikka/kosmetiikan_puheenaiheita/riskin_ja_vaaran_ero/