Markkinoilla on tarjolla jos jonkinmoista riskienhallinnan tietojärjestelmää. On yksittäisiä ratkaisuja ja kattavia strategisen johtamisen ja toiminnan suunnittelun työkaluja, joissa riskienhallinta on osana. Lisäksi useimpiin ERP-järjestelmiin saa ainakin jonkinlaisen riskienhallinnan palikan. Valmiiden tuotteiden lisäksi yrityksellä on mahdollisuus luoda oma järjestelmä, esimerkiksi jonkin jo olemassa olevan järjestelmän osaksi. Nämä ovat mittavia hankkeita vaatimusmäärittelyineen, kehitysiteraatioineen ja käyttöönottoineen.
Vaihtoehdoista huolimatta moni suurikin yritys tyytyy edelleen käyttämään perinteistä Exceliä riskirekisterinään. Perustelut Excelin käytölle löytyvät usein kustannuksista tai siitä, että valmiiden järjestelmien ei koeta tarjoavan riittävän joustavaa työkaluvalikoimaa yrityksen muuttuviin tarpeisiin. Kasvava tarjonta lisää kuitenkin vaihtoehtoja eri hintaluokkiin, joten kustannusten ei tarvitse olla esteenä järjestelmän käyttöönotolle, jos on valmis tekemään kompromissejä toiminnallisuuksien osalta. Toisaalta, valmiitakin järjestelmiä on yleensä mahdollista räätälöidä pienellä lisäpanostuksella.
Perustuen kirjoittajien omaan kokemukseen riskienhallintajärjestelmien hankinnasta, valikoima painottuu vahinkoriskien hallintaan keskittyviin vakuutuslähtöisiin järjestelmiin ja ERM-näkökulmaa tukevat järjestelmät ovat vähemmistössä. Tämä saattaa olla yksi syy Excelin suosiolle organisaatioissa, joissa haetaan nimenomaan kokonaisvaltaisen riskienhallinnan järjestelmätukea.
Tiedämme, että moni riskienhallintapäällikkö pohtii tälläkin hetkellä, mitkä työkalut sopisivat parhaiten oman riskienhallintatyön tueksi. Listasimme oman näkemyksemme mukaisia plussia ja miinuksia eri vaihtoehdoille ja toivomme sen auttavan myös lukijoita päätöksenteossa. Loppujen lopuksi kaikki vaihtoehdot ovat hyviä, kyse on siitä, mitkä ovat priorisoidut tarpeesi ja mikä vaihtoehto niitä parhaiten vastaa.
Excel-pohjaiset riskirekisterit:
– tiedon yhdistely raportointiin manuaalista
– muutos- ja historiatietojen seuranta käyttäjien omien merkintöjen varassa (rekisteristä tulee ajan mittaan sateenkaarenkirjava)
– vakiomuotoisiksi tarkoitetut riskirekisterit lähtevät elämään omaa elämäänsä ja muotoituvat käyttäjiensä näköisiksi
– tiedonhallinnan näkökulmasta riskeinä tiedon eheyden, saatavuuden ja luottamuksellisuuden vaarantuminen, jos (ja usein kun) tiedostoja lähetellään sähköpostin liitteinä ja tallennetaan henkilökohtaisiin kansioihin. Pääarkisto muodostuu riskienhallintapäällikön ”pöytälaatikkoon”.
+/- hyödyntämisessä rajana vain riskienhallintapäällikön mielikuvitus ja taidot
+ tietoturvaan pystyy vaikuttamaan toimintatapoja ohjeistamalla. Saatavuutta voi parantaa esimerkiksi luomalla arkiston osaksi dokumentinhallintajärjestelmää tai sharepointia, jolloin myös sähköpostiliitetiedostojen lähettely käy tarpeettomaksi.
+ ketterä ja edullinen
Erillinen tietojärjestelmä:
– harvoin käytettäessä käyttökokemus jää usein huonoksi. Vaikuttaa organisaation asennoitumiseen koko prosessiin.
– kustomointi tuo lisää hintaa ja hankaloittaa versiopäivityksiä, joten riskienhallintaprosessia voidaan joutua optimoimaan järjestelmän tarpeisiin
– Monet järjestelmät ovat pilvipohjaisia, joka voi muodostua ongelmaksi suhteessa yrityksen luottamuksellisen tiedon käsittelyä ohjaavaan tietoturvapolitiikkaan
-/+ käyttöoikeuksien hallinta järjestelmän sisällä tulee vastata yrityksen politiikkaa luottamuksellisen tiedon käsittelystä. Kokemuksemme mukaan tämä on ominaisuus, jossa on suuret erot toiminnallisuuksissa ja käytettävyydessä eri järjestelmien välillä.
+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä
+automatisoitu raportointi ja tiedon analysointityökalut, vähemmän työtä ja virhenäppäilyn mahdollisuuksia
Muuhun toiminnan ohjaamiseen ja seurantaan integroitu järjestelmä:
– vakiototeutus voi olla kankea ja ominaisuudet puutteellisia riskienhallinnan prosessin näkökulmasta
– kehitystyössä muut asiat ajavat ohi
-/+tietoturva vastaa yrityksen yleistä linjaa
+käyttökokemus yleensä hyvä, koska samaa järjestelmää käytetään muihinkin prosesseihin liittyen ja perustoiminnallisuudet tuttuja
+ muutos- ja historiatietojen seuranta sekä automaattiset muistutukset tehtävistä
+ voi mahdollistaa riskien konkreettisen linkittämisen toimintaan ja tavoitteisiin, jolloin niiden seuranta helpommin toteutuu osana normaalia toimintaa eikä jää erilliseksi vuosiharjoitukseksi