riskienhallinnan tasot | Riskiblogi.fi

21 maaliskuun, 2018lauranoukka 2 kommenttia

Riskinottohalukkuuteni on…? – eli Risk appetite, osa II

Risk Appetite I:ssä avasimme riskinottohaluun ja -kantokykyyn liittyviä termejä ja päättelimme, että niiden määrittelystä saa irti monia hyviä pohdintoja esim. strategiaan liittyen. Risk appetite antaa selkärangan liiketoimintapohdiskeluihin ja keskeisintä on pitää ihmiset ajan tasalla siitä missä mennään – mitä riskejä ollaan ottamassa ja miten ne suhteutuvat organisaation kokonaistilanteeseen ja tavoitteisiin.

Otamme tässä postauksessa esiin muutaman esimerkin, miten yritykset ovat oman kokemuksemme mukaan asiaa lähestyneet. Aiheen haastavuudesta ja käsitteeen häilyvyydestä kertoo se, että emme ole kumpikaan vielä uramme aikana törmänneet selkeään, hyvin määriteltyyn ja ennen kaikkea koko organisaation tasolla toimivaan (l. tekemistä ohjaavaan) risk appetiteen. Ympäristön, tilanteiden ja organisaatioiden nopeat muutokset tuskin edesauttavat asiaa.

Hyvin määriteltyjen riskinottohalukkuuksien harvalukuisuus kertoo aiheen haastavuudesta

Ei-aivan-tavaton tilanne risk appetiten kanssa on se, että sitä ei ole määritelty. Ei euroissa, sanallisesti tai mitenkään muutenkaan. Ei koko organisaation tasolla eikä toimintoja koskien. Monesti vedotaan siihen, että ”kyllähän sisäisiin politiikkoihin on tavallaan implisiittisesti kirjattu nämä asiat jo”. Tällöin johto saattaa todeta, että ”kyllä me sitten vaan tiedetään, kun riskitilanne on liian korkea”. Tätä lähestymistapaa emme lähtökohtaisesti suosittele – oikein kenellekään.

Yksinkertaisimmillaan risk appetiten määrittely on sitä, että riskien sijoittuminen riskimatriisiin laukaisee tiettyjä odotuksia niiden hallinnan suhteen. Esimerkiksi näin:

riski matriisin vihreällä alueella = riskin tilannetta seurataan, ei tarvetta aktiiviselle/kohdennetuille toimenpiteille

riski matriisin keltaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa vihreän alueen xx kuukauden kuluessa

riski matriisin punaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa keltaisen alueen xx kuukauden kuluessa

Tätä metodia voi soveltaa kaikilla riskienhallinnan tasoilla operatiivisista riskeistä strategisiin ja koko organisaation laajuudessa. Olette kuitenkin ehkä samaa mieltä siitä, ettei lähestymistapa ole paras mahdollinen, se on mm. melko ylimalkainen, korostaa todennäköisesti liikaa riskin välttämistä (kun muistetaan riskin ottamisen tarpeellisuus liiketoiminnalle) ja saattaa sitäpaitsi altistaa kikkailulle riskien siirtämiseksi ”sopivan” värisille alueille. (Ja tässä tosiaan on mielestämme kyse risk appetiten määrittelystä – kun puhutaan kaikkein yksinkertaisimmasta versiosta.)

Monipuolisempi, mutta myös hieman työläämmin ylläpidettävä tapa on määrittää risk appetite erikseen keskeisimmille riskilähteille tai eri riskienhallinnan tasoille ja linjata nämä yhteen konsernitason risk appetiten kanssa. Monissa yrityksissä risk appetite määritellään erikseen kaikille ns. Principle riskeille, eli yrityksen liiketoimintaympäristöön kiinteästi kuuluville riskeille, kuten raaka-aine- tai lopputuotemarkkinoiden erityispiirteet, liiketoiminnassa painottuvat laatu- ja turvallisuusnäkökulmat tai compliance-riskit.

Tällä tyylillä tehtävän risk appetiten määrittelyn kanssa ei kannata olla liian tiukka ja esimerkiksi tavoitella euromääräisen rajan asettamista kaikille riskilajeille. On mieluummin hyvä miettiä mitkä riskilajit omassa liiketoiminnassa ovat sellaisia, joiden kohdalla voidaan antaa on/off tyylisiä lausuntoja, ja minkä kohdalla taas euromääräisten rajojen määrittäminen on mielekästä. Hyvä esimerkki on/off lähetymistavasta on työturvallisuudessa omaksuttu 0-tapaturmaa periaate, jolla viestitään, että henkilöstön turvallisuus on tärkeää ja siihen liittyen ei hyväksytä poikkeamia.

Toisaalta euromääräisten rajojen määrittelystä hyvä esimerkki on raaka-aineiden hankintariskiin liitetty risk appetite. Se voidaan esittää euroissa asettamalla hankintahintaan liittyvä vaihteluväli, jonka puitteissa tuotanto voi tehdä raaka-ainehankintaa hyvin vapaasti ilman raskasta päätöksentekokoneistoa. Hintahaitarin ala- tai ylärajan rikkoutuessa hankintapäätöksille on prosessi, jossa alarajan alittuessa voidaan tehdä päätös hyödyntää tunnistettu mahdollisuus ja ostaa raaka-ainetta varastoon edullisemmin. Toisaalta ylärajan ylittyessä päättää pienemmästä hankintaerästä, jos hinnannousun oletetaan olevan hetkellistä.

Risk appetite on aiheena kokonaisuudessaan melko haastava, emmekä tässä ole kuin raapaisseet pintaa. Yhteenvetona voimme kuitenkin todeta, että sen määrittäminen kannattaa yksinkertaisuudessa aloittaa siitä, että tiedostetaan tarve. Sen jälkeen sitä voi lähteä kehittämään pieninkin askelin eteenpäin. Kuulisimme mielellään ajatuksianne aiheeseen liittyen – miten olette lähteneet itse asiaa ratkomaan?

11 kesäkuun, 2017Outi Nieminen Ei kommentteja

Viestintä riskikokonaisuudessa

Edellisissä kolmessa kirjoituksessa käytiin kerros kerrokselta läpi tapaa, jonka avulla tarkastelemme riskienhallintaa eri tasoista koostuvana kokonaisuutena. Totesimme, että strateginen ja kokonaisvaltainen riskienhallinta huomioi riittävässä laajuudessa kaikki kolme riskitasoa. Mutta siiloissa ei kannata elää – jotta riskienhallinta näin järjestettynä oikeasti toimisi, täytyy määritellä ja järjestää eri tasojen välinen keskustelu ja viestintä. Käytännössä tämä tarkoittaa sitä, että organisaatiossa määritellään, millä kriteereillä yhdellä tasolla tunnistetusta riskistä raportoidaan ylös- tai alaspäin kolmiossa:

Kolmion kärkipäästä ”ylhäältä” tuleva viestintä on tärkeää, jotta koko organisaatio on tietoinen sen toimintaan kohdistuvista merkittävimmistä riskeistä. Strateginen riskinäkemys tukee myös strategiaa ja sen viestintää, ja kertoo, mitä riskien minimoimiseksi tehdään & oletetaan organisaatiossa tehtävän.

Strategisen tason riskikokonaisuudessa on yleensä aina joitain elementtejä, joita ei voida jakaa kovin laajalle piirille. Kuitenkin lähtökohtaisesti tieto, jota ei ole jostain erityisestä syystä aihetta salata, tulisi viestiä avoimesti. Tieto ylimmän johdon huolenaiheista auttaa taktisella ja operatiivisella tasolla riskienhallinnan parissa työskenteleviä kokonaiskuvan muodostamisessa. Se helpottaa myös oman riskienhallinnan roolin ja siihen kohdistuvien odotusten ymmärtämistä.

Taktisella tasolla ollaan vuorovaikutuksessa kaikkiin suuntiin. Strategiselta tasolta saadaan viitekehys, jossa riskejä tarkastellaan ja takaisin syötetään tieto liiketoimintayksikön lähitulevaisuuden merkittävistä mahdollisuuksista ja haasteista. Taktinen taso antaa myös raamit operatiivisen riskienhallinnan toteuttamiselle. Operatiiviselta tasolta taktiselle nostettavat asiat puolestaan auttavat hahmottamaan, missä riskienhallinnan kokonaisuuden käytännön toteuttamisessa mennään.

Millä kriteereillä operatiivisen tason riskejä sitten nostetaan tarkasteluun ylemmälle tasolle? Riskin suuruuteen sitominen on todennäköisesti helpointa. Se ei kuitenkaan välttämättä aina ole paras tapa, etenkin jos riskit arvotetaan taloudellisen merkittävyytensä mukaan. Tällöin jokin yrityksen arvojen tai vaikka toiminnan turvallisuuden kannalta tärkeä asia saattaa jäädä ilman käsittelyä. Ratkaisuna ongelmaan voi todennäköisesti hyödyntää riskien kategorisointia, jolloin tietyistä teemoista, esim. arvoihin liittyvistä asioista voidaan koostaa yhteenvetoja riskiviestintää ja -raportointia varten.

”Alhaalta ylös” -tapahtuva viestintä (opertaviiselta taktiselle tasolle) on toimivalle riskienhallintajärjestelmälle tärkeää etenkin siksi, että riskikolmion alemmilla tasoilla saatetaan tunnistaa asioita tai huolenaiheita, joihin ylemmillä tasolla ei ole suoraa näkymää. Nämä saattavat kokonaisuuteen liitettynä tai useassa eri yksikössä samantapaisina toistuessaan olla merkityksellisiä kokonaisriskikuvan kannalta. Ne voivat tuoda esiin myös näkökulmia tai asioita, joihin täytyy ottaa kantaa riskienhallintajohdon tasolla. Riskienhallinnan prosessia käytetään tällöin tavallaan tunnistettujen huolien keskusteluun nostamisen työkaluna.

26 toukokuun, 2017lauranoukka Ei kommentteja

Riskienhallinta operatiivisella tasolla

Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä.

Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella.

Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisiä kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selkeästi kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksissä usein käytössä operatiivisten riskien tietojärjestelmä, joka tukee suuremman tietomassan käsittelyä. Riskien tunnistaminen ja luokittelu johdonmukaisesti on tärkeää erityisesti suuremmissa organisaatioissa, suuren tietomäärän analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.

Operatiivisella tasolla riskit ovat yksittäisiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyviä, riskinä tunnistetaan esimerkiksi tekijä, joka voi estää tietyn yksittäisen vuositavoitteen saavuttamisen. Tyypillisiä esimerkkejä ovat myös tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.

Riskeistä keskustellaan käytännönläheisesti, samalla tukeutuen yksikön omiin tavoitteisiin sekä koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan pääsääntöisesti yksikön oman budjetin sallimissa rajoissa. Riskienhallinnalle määritellään yksityiskohtaisesti yksittäiset toimenpiteet, vastuuhenkilö(t), aikataulu ja seurantaprosessi.

Pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvvarret” ruuhkauta ylemmän johdon agendaa.

Riskeistä raportoidaan kootusti bisnesriskienhallinnan tasolle mutta pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvarret” ruuhkauta ylemmän johdon agendaa. Raportointi ylemmälle tasolle on kuitenkin tärkeää siksi, että operatiivisella tasolla saatetaan tunnistaa riskejä, jotka ovat esim. osatekijöitä organisaatiota laajemmin koskettavissa riskeissä. Joskus on myös aiheellista arvioida hallintatoimenpiteiden riittävyys ylemmällä tasolla.

Tämä ja edeltävät kaksi postausta ovat käsitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riittävässä laajuudessa kaikki riskitasot. Tämä ei kuitenkaan tarkoita sitä, että kaikki riskit käsiteltäisiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja työkalut. Eri tasojen välinen viestintä on edellytys sille, että jako toimii tarkoituksenmukaisesti. Tähän palaamme seuraavassa kirjoituksessa.

Esimerkki operatiivisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaa kaikilla riskienhallinnan tasoilla. Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja käsitys uhkista ja kontrollien heikkouksista täsmentyy.

Etenkin ennen asetuksen voimaan astumista operatiivisen tason riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin järjestelmiin ja IT:n käytäntöihin tietojärjestelmien valvonnassa ja hallinnassa. Työtä priorisoidaan liiketoiminnan näkökulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyvät järjestelmät ovat etusijalla. Viimeistään toukokuun 2018 jälkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.

On pohdittava:

Mitä henkilötietoja käsittelemme?

Missä prosesseissa ja tietojärjestelmissä käsittelemme kutakin henkilötietoa?

Missä henkilötietoja säilytetään? Onko ratkaisu teknisesti vaatimukset täyttävä ja kestävä?

Millä käytännön toimenpiteillä varmistamme (ja parannamme) tietojen suojausta?

Onko tunnistetuille prosesseille ja järjestelmille tehty tietosuojan vaikutusarviointi?

Millä käytännön toimenpiteillä tunnistamme tietovuodon?

Miten käytännössä reagoimme tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?

9 toukokuun, 2017lauranoukka Ei kommentteja

Riskienhallinta taktisella tasolla

Taktinen riskienhallinta -tasolla tarkastellaan ja hallitaan toiminnan suunnitteluun, organisointiin sekä toteutukseen liittyviä riskejä. Monesti puhutaan myös bisnesriskien hallinnasta. Riskienhallintainformaatio tukee liiketoiminta-alueita koskevaa päätöksentekoa.

Kyseessä ovat strategisia riskejä astetta konkreettisemman tason riskit, jotka liittyvät strategian käytännön toteuttamiseen selkeiden tavoitteiden ja toimintasuunnitelmien mukaisesti. Hyvä taho arvioimaan riskejä tällä tasolla on liiketoimintajohto (yhdessä liiketoiminta-alueen johtoryhmän kanssa). Toimitusjohtajan rooli on tukea ja haastaa liiketoimintajohdon riskienhallintatyötä.

Keskustelu käydään strategista tasoa yksityiskohtaisemmin. Silti on erittäin tärkeää säilyttää kokonaiskäsitys oman liiketoiminta-alueen riskikokonaisuudesta ja yhtymäkohdista, sekä vaikutuksista muihin liiketoiminta-alueisiin. Riskien tunnistamisen lähtökohtana on sekä oman liiketoiminta-alueen strategia ja tavoitteet, että organisaation kokonaisstrategia. Tukena riskien käsittelyssä on sekä strategisen tason riskiraportointi, että operatiiviselta tasolta tuleva riskienhallinnan tieto ja erityisesti operatiivisella tasolla tunnistetut riskit, joita toivotaan arvioitavan ylemmällä tasolla suhteessa kokonaisuuteen. Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan.

Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan

Käsiteltävien riskien lukumäärä on edelleen rajallinen, mutta kuitenkin suurempi kuin strategisella riskienhallinnan tasolla; käsittelyssä on tyypillisesti 10-20 liiketoimintajohdolle olennaisinta riskiä per liiketoiminta-alue. Riskejä voidaan tunnistaa mihin tahansa perinteisistä riskiluokista, strategisiin, taloudellisiin, operatiivisiin… Olennaista on, että käsitellään liiketoiminnan kannalta merkittäviä aiheita.

Tehokkaiden riskienhallintasuunnitelmien laatimiseksi riskien juurisyistä tulee muodostaa riittävä käsitys. Kaikkiin riskienhallinnan toimenpiteiden yksityiskohtiin ei puututa, mutta suunnitelma konkretisoidaan toimenpiteiksi, joille määritetään vastuuhenkilöt, toteutusaikataulu ja seuranta. Toimenpiteiden vaikuttavuutta tulee arvioida suhteessa niiden vaatimiin resursseihin ja toimenpiteet tulee viedä toimintasuunnitelmiin ja liiketoiminta-alueen budjettiin.

Esimerkki taktisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla. Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta?

Strategisella tasolla luotiin käsitys siitä, onko tietosuoja merkittävä riski yrityksen toiminnalle ja miten siihen tulisi suhtautua. Taktisella tasolla tietosuojaan liittyvää riskiä tarkastellaan yrityksen tuottamien palveluiden ja tuotteiden näkökulmasta. Jos tietovuoto on strategisella tasolla nostettu merkittäväksi riskiksi, niin tällä tasolla tarkastelua konkretisoidaan tunnistamalla palvelut, toimintaprosessit ja liiketoimintatavoitteet joissa riski on suurin.

On pohdittava:

Minkä palveluiden tai tuotteiden tuottaminen edellyttää henkilötietojen käsittelyä?

Olemmeko kartoittaneet missä tietoja tallennetaan ja miten niitä hyödynnetään?

Käsittelemmekö tietoja kumppaniemme kanssa ja onko vastuut kirjattu selkeästi sopimuksiin?

Tiedämmekö, että tiedot on suojattu asianmukaisesti?

Onko meillä kyvykkyys tunnistaa tietovuoto?

Pystymmeko reagoimaan tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?

26 huhtikuun, 2017Outi Nieminen Ei kommentteja

Riskienhallinta strategisella tasolla

Strateginen riskienhallinta –tasolla riskienhallinta nivotaan tukemaan strategiaa ja strategisia tavoitteita. Sen tarkoituksena on tukea ylimmän johdon toimintaa, merkittävien strategisten linjausten arviointia ja päätöksentekoa. Käsiteltävien riskien määrä pidetään rajallisena, huomio on merkittävimmissä riskikokonaisuuksissa.

Strategisella tasolla riskit ovat suuria ja monitahoisia kokonaisuuksia, jotka ovat yritystasolla merkittäviä ja voivat uhata strategisten tavoitteiden saavuttamista. Käsiteltävät riskit eivät koostu yksinomaan yrityksen riskiluokituksessa lokeroon ”strategiset riskit” koostetuista asioista. Myös operatiivinen tai taktinen riski voi olla strategisesti merkittävä. Tämän vuoksi riskiraportoinnin tulee saada syötteitä sekä taktiselta, että operatiiviselta tasolta (yleensä taktisen tason kautta).

Merkittävänä haasteena strategisen riskienhallinnan toteuttamisessa on, että perinteiset strategiaopit eivät nosta riskienhallintaa osaksi strategiatyötä. On toimintaympäristöanalyysia ja SWOT-analyysia kaikkine laajennuksineen mutta riskit eivät kuulu prosessiin ja piste. Haastaisimme yritysjohtoa ja riskienhallinnan ammattilaisia miettimään, miten on mahdollista tehdä pitkälle tulevaisuuteen ulottuvia strategisia linjauksia, jos ei ole ymmärrystä nykytilan riskeistä ja niiden kehittymisestä eri strategiavaihtoehdoissa? Strategiset linjaukset kuten esimerkiksi laajentuminen uudelle palvelu- tai maantieteelliselle alueelle ovat mahdollisuuksia liiketoiminnalle, mutta niiden mukana syntyy uusia, tuntemattomia riskejä. Nämä riskit ja suhtautuminen niihin tulisi tunnistaa osana strategian valmistelutyötä, ei vasta päätöksenteon jälkeen.

Paras taho arvioimaan riskejä ja määrittämään ylätason hallintastrategiat on organisaation ylin johto: hallitus (ja suuremmassa yrityksessä hallituksen tarkastusvaliokunta) toimitusjohtajan tukemana (suuremmissa yrityksissä toimitusjohtajaa puolestaan tukee hänen johtoryhmänsä). Ylin johto varmistaa, että riskienhallinnan taso ja prosessi ovat riittäviä, haastaa toimitusjohtajaa riskikokonaisuudesta ja evästää riskienhallinnan toimenpiteiden priorisoinnista, tasosta ja luonteesta.

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää, yksityiskohtaisiin toimenpiteisiin ei ole tarkoituksenmukaista mennä. Tämä edellyttää keskustelun pohjana käytettävältä riskiraportoinnilta paljon – strategisten riskien raportoinnissa ei saa jäädä kiinni lillukanvarsiin. Toisaalta saattaa olla tarkoituksenmukaista tehdä ns. Deep Dive -tyyppisiä sukelluksia yksittäisiin riskeihin tai riskiluokkiin, jotta varmistetaan yhteinen ymmärrys ja näkemys riskin merkityksestä, tilasta, kehitysnäkymistä ja vaadittavien toimenpiteiden tasosta.

Esimerkki strategisen tason riskipohdinnoista – tietosuoja

On pohdittava:

Mitä henkilötietoja liiketoiminnassa tarvitaan?

Miten henkilötietoja liiketoiminnassa hyödynnetään?

Olemmeko mukana sellaisessa bisneksessä, jossa henkilötieto on liiketoiminnalle strategista tietoa?

Vaikuttaisiko tietovuoto merkittävästi liiketoimintaedellytyksiin, eli millainen vaikutus tapahtumalla olisi maineeseen ja uskottavuuteen & olisiko riski kustannusmielessä merkittävä?

Strategisella tasolla kannattaa pitää mielessä myös riskin upside. Voisiko hyvin hoidettu tietosuoja luoda jopa kilpailuetua markkinoilla asiakkaiden silmissä tai onko henkilötieto omaisuuserä, jonka avulla liiketoimintaa voidaan kehittää tai laajentaa?

31 maaliskuun, 2017Outi Nieminen Ei kommentteja

Miten saada jotain tolkkua riskienhallinnasta?

Edellisessä postauksessa nostimme esiin ongelman, joka on nähtävissä riskienhallinnan termistön ja sitä koskevien keskustelujen ympärillä: riskienhallinta itsessään on hyvin laaja käsite ja eri puhujat monesti tarkoittavat sanoillaan hieman eri asioita. Todennäköisesti sinäkin miellät käsitteen ”riskienhallinta” hieman eri tavalla kuin me, vaikka olisimmekin lukeneet alan samat perusteokset ja viralliset määritelmät. Siihen miten näemme riskienhallinnan vaikuttaa oma taustamme ja kokemuksemme eli se, mistä näkökulmasta olemme riskejä tottuneet tarkastelemaan. Toiselle riskienhallinta on perinteistä vahinkojen torjuntaa ja vakuuttamista, kun taas toiselle puhdasta matematiikka ja monte carlo -simulaatioita ja kolmannelle taas konsernitason strategisen riskikartan kokoamista.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan.

Käytännössä eri organisaatioiden riskienhallinta ja sen sisältö määräytyvät liiketoiminnan tarpeiden, valittujen riskienhallinnan viitekehysten, sekä riskienhallintatoiminnossa työskentelevien ihmisten vahvuuksien ja mielenkiinnon kohteiden mukaan. Riskienhallinnan painopisteet heijastelevat usein myös toimialan tai toiminnan erityispiirteitä, esimerkiksi ydinenergian tuotannossa korostuvat turvallisuusriskien hallinta, konventionaalisissa energiantuotantomuodoissa vahinko- ja keskeytysriskit, elintarvikealalla keskitytään elintarviketurvallisuuteen, lääketeollisuudessa lopputuotteen vaatimustenmukaisuuteen ja laatuun, kun taas aloittelevissa yrityksissä saatetaan alkuvaiheessa keskittyä puhtaasti markkinaan ja kilpailijoihin ja suuren investointiohjelman juuri julkaissut organisaatio keskittyy lähivuodet intensiivisesti projektiriskien hallintaan. Listaa voisi jatkaa loputtomiin. Mutta mikä on näiden kaikkien erilaisten lähestymistapojen suhde toisiinsa? Ja mitä ihmettä tarkoittaa paljon käytössä oleva termi ”kokonaisvaltainen riskienhallinta”?

Kokonaisvaltaiselle riskienhallinnalle löytää nopeasti googlettamalla monia eri määrittelyjä; sanotaan sen käsittävän tavoitteita vastaan toteutettavan riskien tunnistamisen, käsityksen muodostamisen kaikista toimintaan liittyvistä riskeistä ja niiden merkittävyydestä, sen kuvaillaan olevan tiukasti integroitu strategiaprosessiin, operatiiviseen suunnitteluun, päivittäiseen päätöksentekoon ja toiminnan valvontaan. Mainitaan sen myös olevan osa sisäistä valvontaa ja painottavan riskien tarkastelua koko yrityksen tasolla, ei pelkästään yksittäisien toimintojen riskien tunnistamista. Sen tunnuspiirteenä kuvaillaan olevan kytkeminen strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin.

Nämä ovat kaikki ehdottoman hyviä linjauksia ja tavoitteita, mutta me kaipaamme jotain hieman konkreettisempaa, joka kertoo meille, miten suhteutamme, käsittelemme ja vastuutamme keskenään esim. organisaation tietojärjestelmiin kohdistuvat hyökkäykset, riskin siitä, että digitalisoituvassa maailmassa liiketoimintamme perusidea ei enää kanna, henkilöstömme työturvallisuudesta huolehtimisen ja riskin siitä, että rahoituksemme hinta nousee sietämättömälle tasolle.

Kokonaisuuden hahmottamiseksi ja jäsentämiseksi nojaamme kolmijakoon strategisen, taktisen ja operatiivisen toiminnan välillä. Mallimme jakaa riskienhallinnan osa-alueet eri tasoihin ja sitoo ne toisiinsa liittyväksi kokonaisuudeksi:

(lue mallista tarkemmin sivulta viitekehys):

Tämän mallin kaikkien osa-alueiden hallinta ja johtaminen, mukaan lukien eri tasojen välillä tapahtuvan viestinnän, on meille kokonaisvaltaista, tehokasta riskienhallintaa. Jokaisella tasolla on eri vastuuhenkilöt ja erilainen fokus mm. riskien tunnistamisessa ja niitä koskevassa keskustelussa ja raportoinnissa. Tehokkuus ja tarkoituksenmukaisuus riskienhallinnassa saavutetaan, kun eri riskit, tai samaan riskiin otettavat eri näkökulmat (esim. privacy-riski, jota käytämme esimerkkinä tulevissa kirjoituksissa) viedään käsiteltäväksi organisaatiossa oikeille tasoille. Eri tasoihin, niiden sisältöön ja niihin liittyvää viestintää tarkastelemme seuraavissa postauksissa tarkemmin.