Julkaistu Ei kommentteja artikkeliin Ilmoituskanavat

Ilmoituskanavat

Näin kesän korvalla ajankohtaiseksi riskienhallinnan ja yritystoiminnan eettisyyden saralla ovat nousemassa ns. whistleblowing-kanavat. Riskienhallinnan näkökulmasta aihe liittyy moniin riskeihin kuten maineriskiin epäeettisen toiminnan kautta ja aikaisemmassa postauksessa käsittelemäämme korruptioriskiin.  Huomionarvoista on myös, että sekä yksityisen- että julkisen puolen organisaatiot ovat viime aikoina heränneet eettisten arvojen merkitykseen kannattavassa ja kestävässä liiketoiminnassa. Ajankohtaisen aiheesta tekee mm EU:n Whistleblowing-lainsäädäntö, joka koskee kaikkia yli 50 henkeä työllistäviä organisaatioita. (Lue lisää täältä ja täältä 

Whistleblowingista monesti käytetty termi ”ilmianto” aiheuttanee useimmissa meissä hieman negatiivisa konnotaatioita, mutta mistään kantelukanavasta ei ole kyse. Oikein toteutettuna ja käytettynä kanava tukee vastuullista liiketoimintaa. Itse tykkäämme neutraalimmasta ilmaisusta ”ilmoituskanava” ja ”ilmoittaja” (näitä termejä käyttää myös EU). Suomessa aihetta on selvitetty jo vuonna 2016 oikeusministeriön toimesta – työryhmän loppuraportin löydät täältä: oikeusministeriön työryhmä, joka selvitti korruptioepäilyistä ilmoittavien henkilöiden suojelua vuonna 2016).

EU:n Whistleblowing-lainsäädäntö koskee kaikkia yli 50 henkeä työllistäviä organisaatioita.

Mutta, mutta – päästäksemme taas hieman syvemmälle aiheen  nykyiseen sielunelämään haastattelimme Vera Nilssonia WhistleB:stä – kovaa vauhtia kasvavasta yrityksestä, joka on erikoistunut nimenomaan ilmoituskanavajärjestelmän kehittämiseen ja käyttöönottoon.  Vera kertoi meille  miten käytännössä toteuttaa hyvä ilmoituskanava.

Vaatimukset ja mietittävät asiat suunnitteluvaiheessa

Veran mukaan ”best practice” -kanavan ehdottomina perusvaatimuksina ovat anonyymius ja luotettavuus, vaikka itse EU-lainsäädäntö ei edellytä anonyymiutta, ainoastaan luottamuksellisuutta. Erilaisia käytännön toteutuksia kanavalle voi olla monenlaisia, mutta luotettavuudelle perustuvasta järjestelmästä ei kannata tinkiä.

Ilmoituskanavan voi toteuttaa organisaation sisäisenä ratkaisuna. Vera kertoi, että organisaation itse toteutetun kanavan haasteena on erityisesti sen tekninen toteutus ja ylläpito sekä ilmoittajan anonyymiyden suojeleminen kahdestakin näkökulmasta:

Haaste on toisaalta tekninen, eli miten aidosti toteutetaan ratkaisu, jossa ei ole mahdollisuutta jäljittää ilmoituksen tekijää organisaation käytössä olevalla tiedolla. Ihan ensimmäisenä ei ehkä tule mieleen, että täysin anonyymi järjestelmä voi edellyttää sitä, ettei ilmoittamiseen käytetä ollenkaan työpaikan omia laitteita (edes esim. gmail-tiliä työkoneella tai -kännykällä) – työnantajalla kun on loppukädessä organisaation sisäisen viestiliikenteen tarkastamisoikeus.

Toinen sisäisen järjestelmän haaste on sen tarjoaman anonyymiyden uskottavuus organisaation sisällä. Miten osoittaa ratkaisun luotettavuus niin, että sitä uskalletaan käyttää arkaluontoisimpienkin asioiden raportointiin?

Yrityksillä on vaihtoehtoina luoda oma sisäinen järjestelmä tai ottaa käyttöön ulkopuolisen palveluntuottajan tarjoama järjestelmä

Yrityksille on vaihtoehtona ottaa käyttöön ulkopuolisen palveluntuottajan kehittämä ja ylläpitämä järjestelmä. Kolmannen osapuolen tuominen mukaan voi mm. parantaa kanavan uskottavuutta ja luotettavuutta sen käyttäjien silmissä. Järjestelmässä ilmoituksia käsittelee vähintään kaksi henkilöä yleensä joko laki-, compliance- tai sisäisen tarkastuksen tiimistä, ja jotkut organisaatiot valitsevat ulkoisen palveluntarjoajan tähän rooliin.

Järjestelmän toteutustavan lisäksi yrityksen tulee ratkaista viestien käsittelyyn liittyvät prosessit. Yksi mahdollisuus on  ulkoistaa myös viestien vastaanottaminen ja niiden käsittely. Toisaalta ulkopuolinen taho ei välttämättä ole samalla tavalla perillä organisaation erityispiirteistä kuin sen sisällä työskentelevät – seikka, jolla voi olla vaikutusta ilmoitusten tutkintaan. Kummassakin ratkaisussa on puolensa ja päätöksenteko riippunee tapauskohtaisesti mm. vaaditusta vs. omasta osaamisesta, työmäärästä ja -tilanteesta sekä vaihtoehtojen välisistä kustannuksista.

Mielenkiintoista on nähdä, miten pk-yritykset tulevat asian järjestämään EU-lainsäädännön myötä, sillä erillisiä, hyvin resursoituja laki-, compliance- tai IA-toimintoja on tyypillisesti vain suuremmilla organisaatioilla.

Yksi pelko, joka ilmoituskanavan käyttöönottoon monesti liittyy, on sen käyttäminen vääriin tarkoituksiin, kuten perättömien ilmoitusten tekoon. Tai se, että järjestelmää kuormitetaan sinne kuulumattomilla valituksilla, esim. valitetaan työpaikkaruokalan huonosta laadusta tai nostetaan esiin tyytymättömyys omaan palkkaan.  Vera kuitenkin kertoi meille, että käytännössä perättömät ilmoitukset ovat harvinaisia eikä kanavaa lähtökohtaisesti käytetä yleensä ”pahantahtoisesti”. Kanavaan kuulumattomat valitukset ja ilmoitukset pystytään melko tehokkaasti välttämään sillä, että käyttöönottovaiheessa panostetaan riittävästi viestintään ja kanavan käyttötarkoituksesta kertomiseen mm. konkreettisin esimerkein.

Kanavan käyttöönotto

Jutustelumme perusteella tiivistäisimme ilmoituskanavan käyttöönottoon johtavat askeleet neljään pääkohtaan:

1. Tavoitteen määrittely: Määrittele huolellisesti miksi organisaatiosi aikoo ottaa kanavan käyttöön; onko tarkoituksena ainoastaan väärinkäytösten paljastaminen, vai tavoitellaanko kokonaisvaltaisesti eettisempää yrityskulttuuria ja esim. työnantajamielikuvan kehittämistä?

2. Valitse järjestelmä perustuen tavoitteisiisi ja tee päätös sisäisen järjestelmän tai ulkoisen palveluntarjoajan välillä

3. Pistä prosessit ja ohjeet kuntoon kanavaa koskevaa raportointia varten, huomioi myös tietosuojavaatimukset laatimalla vaikutustenarviointi whistleblowing järjestelmän käyttöönoton yhteydessä

4. Panosta erityisen paljon sisäiseen tiedottamiseen ja luottamuksen rakentamiseen käyttöönottovaiheessa. Kommunikoi selkeästi, mihin tarkoitukseen ilmoituskanava on tarkoitettu.

WhistleB: https://whistleb.com/fi/

Vaikutusten arvioinnista: https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista

Julkaistu 1 kommentti artikkeliin PK-yrityksen riskienhallinta – vallatonta menoa vai integroitua pohdintaa?

PK-yrityksen riskienhallinta – vallatonta menoa vai integroitua pohdintaa?

Kirjoituksissamme on tähän asti korostunut ajatus riskienhallinnan määrämuotoisuudesta. Olemme lähestyneet riskienhallinnan teemaa enimmäkseen korporaationäkökulmasta, jossa tehokas riskienhallinta on tiedostettua ja prosessimuotoista –  eli sitä tehdään tietyn määritetyn raamin mukaan ja ohjataan vuosikellotyyppisellä ratkaisulla. Lähestymistapa on luonnollinen isommille organisaatioille, joissa oikeastaan kaikki tekeminen on ohjattu toimimaan tietyissä raameissa, jotta joukot saadaan tekemään yhdenmukaista ja keskenään vertailukelpoista työtä raportoinnin syötteeksi. Tämä postaus esittelee kuitenkin hieman toisenlaisen näkökulman riskienhallinnan tekemiseen ja integroitumiseen liiketoimintaan, nimittäin luupin alla on nyt riskienhallinta pk-yrityksessä.

Totuttua suuren organisaation näkökulmaa haastaaksemme kutsuimme aamukahville vuoden 2018 parhaaksi työpaikaksikin valitun Integratan toimitusjohtajan ja perustajaosakkaan Riku Heinosen. Integratan liiketoiminta-ajatus on tuottaa humaania HR-alan prosessimuotoilua kokonaispalveluna asiakkaiden tarpeisiin. Juttelimme Rikun kanssa siitä miten riskienhallinta on näkynyt heidän tekemisessään yrityksen 10 vuoden historian aikana. Yritys on tässä ajassa kasvanut kolmen hengen start-upista lähes 60 henkeä työllistäväksi, kasvuhakuiseksi pk-yritykseksi.

Haastattelussa kävi heti ilmi, että pienessä yrityksessä ei ole määrämuotoista riskienhallintaa tai  tiukkaa määritelmää sille, mitä riskienhallinta on. Integratan maailmassa riskienhallintaa ei ole kategorisoitu ja tiivistetty omaksi prosessikseen, vaan se näyttäytyy orgaanisena osana yrityksen tekemistä ja kulttuuria.  Vaikka määrämuotoista prosessia ei ole, kaikessa tekemisessä – ja erityisesti strategiaa käsiteltäessä – käsitellään kuitenkin myös riskinäkökulmaa. Kasvuyritykselle tyypillisesti keskustelussa  korostetaan enemmänkin mahdollisuuksia ja niiden hyödyntämistä. Mahdollisuuksien korostaminen olikin mielestämme virkistävää, sillä todella useinhan riskienhallinnassa keskitytään siihen, mikä voi mennä pieleen, vaikka kokonaisvaltaisen riskienhallinan määritelmään mahdollisuudet kuuluvatkin.

Integratan tarina heijastelee mielestämme hyvin yrityksen riskikuvan muutosta elinkaaren eri vaiheissa. Riku erotteleekin riskien mietinnän jakautuneen perustamisvaiheeseen, varovaisen kasvun vaiheeseen ja liiketoiminnan vakiintumiseen.

Yrityksen perustamisvaiheessa  riskejä mietittiin lähinnä itse yrittäjyyteen liittyen: mitä yrittäjyyteen liittyvät riskit merkitsisivät toteutuessaan omalle uralle tai koko muulle elämälle.

Kun liiketoiminta lähti rullaamaan varovaisella kasvulla, tärkeimmät riskit olivat kahdentyyppisiä. Ensimmäinen, tiukasti liiketoimintaan liittyvä riski, oli yksittäisten asiakkuuksien ja tarjouskilpailujen merkitys. Suuren yrityksen iso tarjouspyyntö saattoi olla houkutteleva mahdollisuus, mutta kääntöpuolena olivat omaan kokoon suhteutettuna mahdollisesti liian suuret vaatimukset ja sopimussakot. Toinen pienen yrityksen ensimmäisiin askeliin liittyvä riski olivat henkilöstön rekrytointiin liittyvät kysymykset. Rikun mukaan suurimmat huolenaiheet voi tiivistää kysymyksiin : ”jos nyt palkkaamme, pystymmekö kolmen kuukauden kuluttua maksamaan palkkaa ja toisaalta, miten onnistua rekryissä niin, että pieneen tiimiin löytyy kulttuuriin sopivia yksilöitä”.

Yrityksen kasvu ja toiminnan vakiintuminen ovat muuttaneet riskikuvaa ja nykyisellään yksittäisen huonosti valitun projektin riskit eivät enää kaada koko liiketoimintaa. Riskiteema, johon kasvu ja toiminnan vakiintuminen ei yrityskulttuuristaan ja johtamisestaan tarkkana olevalle yritykselle ole tuonut helpotusta (ja jonka Riku edelleen nimeää yrityksen yhdeksi suurimmista riskeistä) on henkilöstöön liittyvä:  sopiiko uusi työntekijä joukkoon?  Tätä henkilöstöön liittyvää riskiä pyritään hallitsemaan mm. niin, että töitä yrityksestä hakisivat vain lähtökohtaisesti yrityskulttuuriin sopivat osaajat – konkreettisena osoituksena tästä keinosta Integratan persoonalliset rekrytointi-ilmoitukset, joiden huumori on miltei yhtä kieroa kuin yrityksen toimitusjohtajan.

Integrata on kasvanut nyt kokoon, jossa yrityksen omistajat eivät enää pysty olemaan mukana kaikessa operatiivisessa päätöksenteossa. Tässä vaiheessa usein alkaa hallinnollisen kerroksen rakentaminen, kun omistajien vastuita delegoidaan eteenpäin. Tarvittaisiinko nyt siis jo muodollisempaa riskiprosessia? Vai voiko riskienhallinta toteutua itsestään olemalla orgaaninen osa yrityskulttuuria ja tapaa tehdä päätöksiä, kuten tähänkin asti? Riku itse ei näe määrämuotoista prosessia tarpeellisena (ainakaan vielä), vaan luottaa yhteisiin strategia- ja mahdollisuus/uhka -pohdintoihin sekä itseohjautuvaan työskentelyyn. Tämä keskustelukahvittelumme jättikin meidät miettimään, että jos riskienhallinta on liiketoiminnalle elintärkeää, eikö sen kuuluisi silloin olla osa kaikkien yksilöiden ja tiimien työkaluvalikoimaa ilman, että joku ylhäältä sen sinne määrää?

Julkaistu Ei kommentteja artikkeliin ISO 31000 uudistui – yksinkertaisuus ja strategisuus kunniaan

ISO 31000 uudistui – yksinkertaisuus ja strategisuus kunniaan

Kirjoitimme aiemmin uudesta COSO-ERM:stä ja lupasimme siinä yhteydessä palata riskienhallinnan standardeihin uusitun ISO 31000:n tiimoilta. Olimme muutama viikko sitten Suomen riskienhallintayhdistyksen ja SFS:n yhdessä järjestämässä tilaisuudessa, jossa ruodittiin juurikin tätä riskienhallinnan ISO-standardia (linkki seminaarin videotaltiointiin löytyy tämän kirjoituksen lähteistä). Seminaarista ja standardiin tutustumisesta innostuneena tässä se nyt tulee, katsaus uusittuun ISO 31000:n.

Ensin lyhyesti itse ISO:sta, joka on globaali, kansallisista keskusjärjestöistä muodostuva, standardointiverkosto. Suomen Standardisoimisliitto SFS ry on Suomen standardisoinnin keskusjärjestö, jonka jäseninä on elinkeinoelämän järjestöjä ja Suomen valtio. Paikalliset keskusjärjestöt osallistuvat aina ISO-standardien uudistustyöhön kansallisten työryhmien kautta. ISO31000 uudistukseen Suomesta osallistuttiin SFS/SR 213 riskienhallintaryhmän kautta.

ISO 31000 riskienhallinnan standardiperhe julkaistiin ensimmäisen kerran vuonna 2009 ja se koostuu kolmesta dokumentista, joista tunnetuin ja käytetyin lienee 31000 Riskienhallinta. Ohjeet, josta juuri julkaistiin uusi 2018 versio. Kahdesta muusta voimassa ovat edelleen alkuperäiset vuoden 2009 julkaisut; 31010 Riskienhallinta. Riskien arviointimenetelmät ja SFS-opas 73 Riskienhallinta, sanasto.

Mikä muuttui?

Kaiken kaikkiaan uusi ISO miellyttää meitä hyvin paljon, sillä se vie standardia meille mieleiseen suuntaan: kohti strategisten tavoitteiden saavuttamisen työkalua, jolle johdon ja hallituksen on hyvä allokoida riittävästi aikaa ja huomiota. Samalla se ajatusmaailmallisesti lähenee COSO-ERM:ä. Strategisuus näkyy uudessa ISO 31000:ssa mm. siten, että se:

– korostaa riskienhallinnan sisällyttämistä johtamisjärjestelmään

 – painottaa riskienhallinnan sisällyttämistä strategiseen suunnitteluun ja toiminnan operatiivisen ohjauksen järjestelmiin

 – painottaa aikaisempaa selkeämmin, että riskienhallinta on keskeisessä roolissa myös arvon luomisessa, ei pelkästään riskien välttämisessä

 – korostaa johdon sitoutumista ja tukea riskienhallinnan puitteiden luomisessa

 – edellyttää riittäviä riskienhallinnan resursseja joka puolella organisaatiota – ei vain itse riskienhallintatoiminnossa

Lisäksi standardissa  on tiivistetty tekstiä ja pyritty välttämään turhaa riskienhallinnan jargonia, mikä näkyy vähentyneenä sivumääränä. COSO ERM:n tapaan myös tässä uudistuksesa on päivitetty visualisointeja (kuva alla) ja näin tuotu vahvemmin esiin ajatus jatkuvasta dynaamisesta riskienhallinnan prosessista ja toisaalta kertaluonteisuuden tai -rupeaman välttämisestä.  

Miten  -muutokset vaikuttavat minuun?

ISO 31000 on ja on ollut yleisluontoinen kehikko, jonka sisässä on tilaa liikkua ja kohdistaa panokset yrityksen toiminnan kannalta keskeisiin riskilajeihin. Standardi säilytti uudistuksessa roolinsa ohjeena, jota ei tarvitse eikä voi sertifioida. Nämä tekijät yhdessä johtavat siihen, että standardin uudistus ei aiheuta suurta uudistusjumppaa organisaatiolle.

ISO-maailmassa suurempia muutoksia yrityksille on aiheuttanut se, että  sertifioitavat ISO standardit kehittyvät jatkuvasti riskilähtöisempään suuntaan. Hyvänä esimerkikkinä ISO 9000 Laadunhallinta standardin uudistus 2015, jossa riskilähtöisyys nostettiin päätöksenteon perustaksi. ISO 31000 standardin hengessä luotu kokonaisvaltainen riskienhallinnan malli tukee etenkin liiketoimintaa, jossa tietyillä erityisosa-alueilla noudatetaan sertifioitua ISO standardin mukaista johtamisjärjestelmää.

COSO-ERM vs. ISO 31000 lyhyesti:

Tässä vertailussa tukeudumme omiin havaintoihimme ja tekstissä aikaisemmin mainitun seminaarin esityksiin (kiitos Isse :)).

Kuten mainittu, standardit ovat lähenemässä toisiaan – ne molemmat korostavat yhä enemmän johdon panosta, tukea ja strategiakytkentää, sekä myös tietyllä tavalla riskinottohalukkuuden työstämistä. Myös uudistusten taustalla ovat samat syyt: ympäröivän maailman nopea muutos ja aikaisempaa monimutkaisempi toimintaympäristö, kuten myös siitä johtuvat uudet riskilajit. Mutta eroavaisuuksiakin vielä löytyy:

 – ISO on suunnattu kaikille, jotka ovat tekemisissä riskienhallinnan kanssa, kun taas COSO-ERM:n pääasiallinen kohderyhmä on edelleen organisaation (ylin) johto

 – COSO-ERM:ssä näkyy edelleen vahva yksityissektorin painotus, kun taas ISO on selkeästi pyritty koostamaan siten, että sen käytettävyys on mahdollisimman laaja.

 – Riskin määrittelyt poikkeavat toisistaan (ehkä olennaisestikin): COSO-ERM ”the possibility that events will occur and affect the achievement of strategy and business objectives” ja ISO 31000: ”effect of uncertainty on objectives”

 COSO-ERM: ”The possibility that events will occur and affect the achievement of strategy and business objectives”

ISO 31000: ”effect of uncertainty on objectives”

 

Ja sitten vielä viimeisenä huomiona teille, jotka aiotte uusittua standardia kahlata läpi: sitä lukiessa tulisi ISO 31010 standardi olla lähettyvillä tai tuoreessa muistissa, näin standardista saa kaikkein eniten irti.  Ja kuten olemme aiemminkin erilaisissa yhteyksissä todenneet: standardeista kannattaa aina poimia parhaat ja soveliaimmat palat itselleen ja välttää turhan orjallista noudattamista silloin, kun tuntuu ettei se tuo omalle tekemiselle tai organisaatiolle lisäarvoa.

 

 

Lisää tietoa aiheesta löydät esim. näistä linkeistä:

https://www.iso.org/news/ref2263.html

https://livestream.com/infocrea-fi/iso-31000-riskienhallinta

https://www.sfs.fi/files/8496/31000_riskienhallinta_esite_A4_pitkaselitys.pdf

Julkaistu Ei kommentteja artikkeliin Riskienhallinta ja kolme puolustuslinjaa

Riskienhallinta ja kolme puolustuslinjaa

Sisäisen valvonnan, sisäisen tarkastuksen, compliancen ja riskienhallinnan parissa työskentelevät ovat todennäköisesti tuttuja termin ”kolme puolustuslinjaa – three lines of defence” kanssa. Kokemus on osoittanut, että tähän(kin) malliin liittyy kaikenlaista mielenkiintoista riskienhallinnan kannalta. Se ansaitsee siis oman postauksensa joulua odotellessa.

Kolmen puolustuslinjan ajattelu, eli liiketoiminnan, liiketoiminnan tuen ja valvonnan eriyttäminen eri tahoille, voi hyvin ja paksusti erityisesti finanssisektorilla.  Mallia promoavat myös erilaiset sisäisen valvonnan ja riskienhallinnan kansainväliset järjestöt, jotka määrittelevät kolme puolustuslinjaa tehokkaan sisäisen valvonnan toteutumisen perusedellytykseksi. Myös konsultit puhuvat power point -kalvoissaan usein ja mielellään puolustuslinjoista, eivätkä ihan syyttä, sillä  mallin tehokkuus eri toimintojen roolituksessa tuntuu kiistämättömältä.

Toisaalta, jotkut alan ihmiset ovat myös esittäneet ajatuksia siitä, että kolmen puolustuslinjan malli pitäisi heittää roskakoriin ja korvata esim. RACI-ajattelulla, sillä linjamalli voi luoda mielikuvan riskienhallinnasta pelkkänä hallinnollisena, sääntelyviranomaisen vaatimana ”rasti ruutuun” -harjoituksena (ks. tästä).

Kokemuksemme riskienhallinnan saralta on, että suurin osa vähänkään suuremmista organisaatioista noudattaa kuitenkin pääosin kolmen puolustuslinjan jaottelua. Toimialasta kyllä riippuu, miten mallista puhutaan: finanssialalla mainitaan linjat jatkuvasti, toisaalta esim. valmistavassa teollisuudessa sitä toteutetaan mutta toiminnan yhteydessä ei erityisesti korosteta kolmen linjan ajattelua.

Mitä ne linjat tekevät?

Kolmen puolustuslinjan mallin mukaan ylimmän johdon valvonnan alla toimivat kolme linjaa ovat tarpeen takaamaan tehokkaan riskienhallinnan ja sisäisen valvonnan. Ylintä johtoa ei sisällytetä mihinkään puolustuslinjaan, mutta sillä on äärimmäisen tärkeä rooli mallin toiminnan kannalta.  Se on kaikkien linjojen merkittävä, jollei merkittävin, stakeholder ja sen vastuulla on valvoa, että malli toteutuu kaikissa riski- ja kontrolliprosesseissa.

Ensimmäinen puolustuslinja pyörittää liiketoimintaa, ”omistaa” liiketoiminnan riskit ja on vastuussa siitä, että riskienhallintaprosessia toteutetaan niin kuin on tarkoitettu.

Toinen puolustuslinja on tukitoiminto.  Tyypillisesti toisessa linjassa suuntaviitoitetaan koko organisaation riskienhallinnan periaatteet ja toimintaohjeet, määritetään käytännön tasolla riskienhallinnan tavoite, noudatettava viitekehys ja prosessi, sekä tuetaan liiketoimintaa riskienhallinnan implementoinnissa ja pyörittämisessä mm. fasilitoimalla workshoppeja, koordinoimalla itsearviointeja ja ohjaamalla riskien dokumentointia. Toisen puolustuslinjan osaaminen, kiinnostus ja palveluasenne liiketoimintaa kohtaan on avainasemassa, kun riskienhallinta sidotaan strategiaan ja normaaliin liiketoiminnan pyörittämiseen.

Monesti toisesta linjasta puhuttaessa mainitaan ainoastaan, että se tukee liiketoimintaa.  Mutta entä ylin johto – toimitusjohtaja ja hallitus? Mielestämme tätä kannattaisi tuoda hieman enemmän esiin, sillä riskienhallinnasta on vaikea tehdä organisaatiossaan aidosti strategista, jos työ suuntautuu ainoastaan ns. divisioonatasolle.

Kolmas puolustuslinja on kaikista muista linjoista ja organisaation toiminnoista erillään ja sen tehtävänä on  tuottaa riippumatonta tietoa ja varmennusta ylimmälle johdolle. Se raportoi riskienhallinnan järjestämisen ja toteuttamisen tilasta ja riittävyydestä, sekä siitä että ensimmäisen ja toisen puolustuslinjan tekemiset ovat tehokkaita ja linjassa ylimmän johdon odotusten ja tavoitteiden kanssa. Käytännössä tämä taho on organisaation sisäinen tarkastaja / tarkastus. Kolmannen linjan tulisi puhtaimmillaan raportoida suoraan ylimmälle operatiiviselle johdolle ja hallitukselle (yleensä tarkastusvaliokunnalle, jos sellainen erikseen on). Oikeassa elämässä organisatorisesta sijoittumisesta on erilaisia käytännön toteutuksia – esim. sisäinen tarkastus on sijoitettu talousjohtajan tai lakiasiainjohtajan alaisuuteen. Lähtökohtaisesti täydellisen riippumattomuuden takaa kuitenkin vain suora suhde ylimpään johtoon.

Joissain organisaatioissa yllä esitettyä työnjakoa on muokattu niin, että toinen puolustuslinja vastaa sekä liiketoiminnan tuesta, että tarkastus- ja valvontaroolista. Riskienhallinnan osalta tällaisen vastuunjaon ongelmaksi muodostuu mielestämme se, että toinen puolustuslinja joutuu liiaksi taiteilemaan neuvonta- ja valvontarooliensa välillä, kykenemättä tarjoamaan liiketoiminnalle riittävää tukea ja konsultointia.  Vaarana on, että liiketoiminta näkee tällöin toisen linjan lähinnä hallinnollisena rasitteena, jonka jälkeen päästään taas keskittymään itse bisneksen tekemiseen. Toisaalta kolmas puolustuslinja jää yksin ”norsunluutorniinsa” lähinnä valvomaan toista puolustuslinjaa, jolloin sen oikeutusta ja järkevyyttä tullaan organisaatiossa todennäköisesti ajan myötä kyseenalaistamaan.

Mitä ne voisivat tehdä paremmin?

Kuten sanottu, mallin tehokkuus eri toimintojen roolituksessa tuntuu kiistämättömältä. Mutta olemme havainneet, että parennettavaa ja haasteitakin löytyy, erityisesti yhteistyöhön liittyen ja riskienhallinnan roolin integroituneisuuden / irralllisuuden suhteen.

Kaikkien kolmen linjan tulisi pelata hyvin yhteen, jotta saavutetaan optimaalinen tuki sille, minkä takia ne ovat olemassa: organisaation tavoitteiden saavuttamiselle. Käytännön kokemus on kuitenkin osoittanut meille, että niiden välillä on kohtuullisen paljonkin siiloutumista, jopa kinastelua ja kyräilyä.  Vahvimmillaan siilot näkyvät usein suhteessa kolmanteen puolustuslinjaan. Allekirjoittaneilla on toki myös positiivisia kokemuksia erityisesti ensimmäisen ja toisen linjan yhteistyöstä, mutta tämä edellyttää sitä, että kaikki kokevat työskentelevänsä saman tavoitteen eteen, eivätkä vetäydy liiaksi linjarooliensa taakse.  Tavoitteena tulisi olla, että yhteistyö pelaa, on liiketoiminnan näkökulmasta yhtenäistä, eikä mikään “putoa tuolien väliin”.

Kokonaisvaltaisen riskienhallinnan näkökulmasta linja-ajattelun haasteena on, että riskienhallinta eriytyy liiketoiminnasta omaksi  irralliseksi harjoituksekseen. Tämä onkin itse asiassa se kaikkein pahin skenaario, sillä riskienhallinnan suurin hyöty organisaatiolle ei synny vuosittaisten pakollisten päivitysharjoitusten toistamisesta vaan kyseenalaistavasta ja oikea-aikaisesta keskustelusta merkittävien suunnittelu ja päätöksentekoprosessien yhteydessä.

Lähteet:

https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf

https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/The-Three-Lines-of-Defence-Related-to-Risk-Governance.aspx

https://www.coso.org/Documents/COSO-2015-3LOD.pdf

https://riskikompassi.fi/johtaminen-riskienhallinta/kolme-puolustuslinjaa

Julkaistu 4 kommenttia artikkeliin Riski, epävarmuus ja muutama muu termi

Riski, epävarmuus ja muutama muu termi

Kuten ihan ensimmäisessä postauksessamme mainitsimme, riskienhallinnassa vilisee termejä, joita käytetään välillä jokseenkin kirjavasti. Ja käytännössä pakkohan riskienhallintaa käsittelevän blogin on ottaa kantaa riskienhallinnan sanastoon, vaikka aihe saattaakin tuntua melko loppuunkalutulta. Yritämme seuraavassa kuitenkin lähestyä aihetta astetta freesimmällä otteella (laittakaa kommenttikenttään näkemyksiänne siitä, miten onnistuu!).

Riski vs. epävarmuus:

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen. Riskit ovat ”tunnettuja epävarmuuksia” eli käytännössä et tiedä, mitä seuraavaksi tapahtuu, mutta tiedät miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen.

Esimerkki tunnetusta epävarmuudesta (l. riskistä) on pankin myöntämä luotto. Pankin riski on se, että asiakas ei maksa lainaansa takaisin, mutta etukäteen ei voida tietää tapahtuuko näin. Kuitenkin todennäköisyys tälle pystytään historiallisen tiedon perusteella määrittelemään. Epävarmuus puolestaan viittaa ”tuntemattomiin epävarmuuksiin”, eli et tiedä mitä seuraavaksi tapahtuu, etkä myöskään tiedä miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.  Tällöin tapahtumiin liittyvää riskiä on vaikea määrittää.

Mietitään vaikka organisaatiota, jossa ollaan lähdössä toteuttamaan täysin uudenlaista projektia. Visiovaiheessa, kun tiedetään tavoiteltava lopputulos, mutta ei vielä keinoja tai resursseja sen saavuttamiseen, on varmasti luontevaa puhua enemmän projektiin liittyvästä epävarmuudesta kuin riskistä, koska meillä ei ole käytössämme aikaisempaa tietoa projektin kulun ja lopputuloksen, ja niihin liittyvien riskiskenarioiden riittävään ennustamiseen. Projektin edetessä ja suunnitelmien täsmentyessä epävarmuus tarkentuu vähitellen riskiksi.

Strategiatyön ja strategisen riskienhallinnan tason kannalta epävarmuus on mielenkiintoinen termi: lähihistoria on täynnä realisoituneita tuntemattomia epävarmuuksia, jotka ovat mullistaneet toimialoja ja vieneet pohjan aikaisemmalta liiketoimintalogiikalta. Näissä yhteyksissä viitataan monesti ”mustiin joutseniin” eli tapahtumiin, joita on hyvin vaikea tai mahdoton ennustaa historiallisen tiedon perusteella, ja joiden vaikutukset ovat toteutuessaan suuria. Strateginenkaan riskienhallinta ei pysty tarjoamaan täydellistä vastausta tuntemattomien epävarmuuksien tunnistamiseen ja mittaamiseen ja sen vuoksi yritysjohdon on elintärkeää olla hereillä, skannailla ja tarkkailla ns. hiljaisia signaaleja markkinoilta, kilpailijoilta ja muilta yhteiskunnan aloilta ollakseen valmiina, kun maailma muuttuu.

Vaara ja riski:

Vaara on tekijä, joka voi aiheuttaa vaaratilanteen, kuten tapaturman, onnettomuuden, vahingon tai muun vastaavan. Vaara on olemassa, mikäli jollakin asialla on luontainen ominaisuus aiheuttaa haittavaikutus – esimerkiksi jäinen tie tai viallinen sähkölaite. Vaaroista aiheutuu riskejä, tai jos tekijällä voi olla positiivisia vaikutuksia, vaaran sijaan puhutaan mahdollisuudesta. Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Riski ei välttämättä realisoidu, vaikka vaaratekijä olisi olemassa, vaan sana riski kuvaa vaarasta mahdollisesti aiheutuvaa haittaa (tai mahdollisuutta) ja sen suuruutta yhdistämällä toteutumisen arvioidun todennäköisyyden ja vaikutuksen.  Jotta riski olisi olemassa, eli vaara tapahtuisi, vaaralle tulee altistua. Postauksen lähteistä löytyy hyvä esimerkki vaaran ja riskin suhteesta: myrkkykäärme eläintarhan terraariossa on vaarallinen, mutta se ei terraariossa ollessaan ole kävijöille todellinen riski. Jos käärme pääsisi kohtuullisen todennäköisesti karkaamaan terraariosta, se muuttuisi kävijöille riskiksi.

Riskinottohalukkuus ja riskinkantokyky:

Riskinottohalukkuus (risk appetite) on se riskin määrä, jonka organisaatio hyväksyy kokonaistasolla tavoitellessaan päämääriään. Riskinottohalu on aina sidottu organisaation kokonaisstrategiaan. Sitä ei välttämättä ole ilmaistu yhtenä lukuna, vaan se voi olla moniulotteisemmin ja laveamminkin määritelty, liialliseen yksinkertaistamiseen ei välttämättä kannatakaan pyrkiä. Kannattaa kuitenkin huolehtia, että riskinottohalukkuus on mitattavissa, jotta määritelmästä ei tule merkityksetöntä. Riskinottohalukkuus on organisaatiokohtainen ja voi vaihdella paljonkin mm. eri toimialojen, organisaatiokulttuureiden välillä. Riskinottohalukkuus voi (ja ehkä sen pitääkin) myös muuttua ajan kuluessa.

Riskinkantokyky (risk tolerance) on se riskin taso, jonka organisaatio hyväksyy per jokainen riski (toisin kuin riskinottohalukkuus, joka ilmaisee riskinsiedon kokonaisuudessaan). Riskinkantokyky määrittelee sen, onko organisaatio valmis kantamaan yksittäisen riskin vaikutukset sen toteutuessa .

Riski, Inherent Risk & Residual risk:

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata.

Käytännössä riskienhallinnassa usein puhutaan vain ”riskistä”, vaikka riskienhallinnan teoriassa riski jaotellaan inherent ja residual riskiin. Inherent-riskille on hieman vaikeaa löytää sopivaa suomennosta, kyse on ”alkuperäisestä” riskistä ilman mitään riskienhallinnan toimenpiteitä – voidaan puhua myös ”worst case” -skenaariosta riskiin liittyen. Residual risk -termille taas löytyy hyvä suomennos: jäännösriski, eli riski sen jälkeen, kun kaikki päätetyt riskin hallintatoimenpiteet ovat käytössä. Arkikielessä sanalla riski viitataan usein nimenomaan jäännösriskiin.

Otetaan esimerkki: toimit rahoitusalalla ja myönnät asiakkaallesi 2 Meuron lainan. Arvioit inherent-riskiksi luotonannossa historiallisen datan perusteella sen, että 10% todennäköisyydellä asiakas ei maksa lainaansa ollenkaan takaisin (ensimmäiseen sanapariin viitaten: tapahtumien todennäköisyysjakauma on sinulla siis tiedossa ja näin ollen puhutaan riskistä, eikä epävarmuudesta). Riski on melko korkea ja sen taloudellinen vaikutus liiketoiminnallesi suuri, joten päätät implementoida riskienhallintatoimenpiteitä pienentääksesi riskin toteutumisen todennäköisyyttä ja vaikutusta. Toimenpiteenä voivat olla esim. asiakkaan luottotietojen tarkistus ja vakuuksien tai takauksien vaatiminen jne. Näiden toimenpiteiden tehokkaan implementoinnin jälkeen arvioit, että todennäköisyys koko lainan maksamatta jättämiselle on pudonnut 5%:n ja vakuuksien vuoksi on todennäköistä, että saat joka tapauksessa takaisin ainakin 50% lainasummasta. Näin voit laskea jäännösriskisi taloudellisen arvon.

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata, sillä korkea inherent-riski antaa viitteitä siitä, kuinka huolissaan (ja kääntäen, kuinka varmoja) meidän tulisi olla riskienhallintatoimenpiteidemme tehokkuudesta ja riittävyydestä. Inherent- ja jäännösriskin välinen suuri epäsuhta antaa aina siis aihetta tarkastella riskienhallinnan toimenpiteiden tilannetta ja tehokkuutta tarkemmin.

ps. Tässä kirjoituksessa kuvatut tilanteet ja termit ovat käytössä kaikilla kolmella riskienhallinnan tasolla.

Lähteitä:

ISO 31000 – Risk Managment Standard Vocabulary

COSO: ”Strengthening Enterprise Risk Management for Strategic Advantage

http://riskikompassi.fi/uploads/files/riskienhallintapolitiikka-esimerkki.pdf

https://www.theirm.org/media/464806/IRMRiskAppetiteExecSummaryweb.pdf

http://www.bwise.com/blog/assessing-risks-inherent-or-residual/obj5382859

http://www.teknokemia.fi/fin/kosmetiikka/kosmetiikan_puheenaiheita/riskin_ja_vaaran_ero/