Meistä kirjoittajista toinen on alun perin viitekehysihmisiä. Toinen taas puhuu prosesseista ja on aikanaan nähnyt melkein punaista kuullessaan sanan viitekehys. Ajan ja kokemuksen myötä molemmat ovat kuitenkin ottaneet kummatkin käsitteet aktiiviseen käyttöön, sillä ne ovat mielestämme tarpeellisia työkaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Alla käsitteistä hieman tarkemmin.
Riskienhallintaprosessin miellämme tavaksi, jolla riskienhallintaa organisaatiossa pyöritetään. Eli periaatteessa prosessi antaa vastaukset kysymyksiin Mitä, Kuka, Milloin ja Miten.
Viitekehys taas on enemmänkin ylemmän tason työkalu, jonka avulla hahmotetaan oman organisaation riskienhallinnan kokonaisuuteen liittyvät asiat ja vastuut. Se on vähän niin kuin filosofia toteutuksen taustalla.
Viitekehys ja prosessi yhdessä antavat välineet, joiden avulla homma on perusteltua, sillä on tavoite, toteutus on vastuutettua ja helppoa seurata. Myös lopputuotos on helpommin perusteltavissa ulkopuolisille, jos esim. viranomaiset, asiakkaat tai auditoijat osoittavat kiinnostusta riskienhallintaa kohtaan. Eli vastauksena otsikon kysymykseen: kyllä, mielestämme käytössä kannattaa olla toimiva viitekehys (jota sutjakka prosessi tukee).
Yleisimmät riskienhallinnan viitekehykset lienevät ISO 31000 ja COSO-ERM. Muitakin toki löytyy, esim. Federation of European Risk Managers -yhdistyksen oma viitekehys. ISO 31000 on osa ISO-standardiperhettä ja COSO-ERM perinteisesti enemmän sisäisen valvonnan ja compliancen kautta riskienhallintaa tarkasteleva (tosin malli on menossa melko perusteelliseksi uusiksi lähiaikoina). Syväluotaavasti tarkastelemme näitä molempia viitekehyksiä erillisissä blogikirjoituksissa lähitulevaisuudessa.
Mikä viitekehys sitten pitäisi valita? Riskienhallinnassa pyörää ei kannata keksiä uudelleen. Kannattaa aloittaa valmiilla, hyväksi koetelluilla parhailla käytännöillä ja suhtautua tulevaisuuteen ja mallin mahdolliseen muokkaamiseen joustavasti:
Jos ei ole jotain erityisetä syytä ottaa käyttöön räätälöityä mallia, kannattaa valita tunnettu, valmis malli. Jos johtamisjärjestelmä on luotu ISO-standardien mukaisesti, ISO31000 on todennäköisesti luontevin valinta myös riskienhallintaan. Jos taas COSO-ERM -lähestymistapa on tutumpi, kannattaa hyödyntää sitä.
Etukäteen voi olla vaikeaa tarkasti tietää, miten malli sopii organisaatioosi ja millaisia tilanteita käytännössä tulee liiketoiminnan kanssa eteen. Kannattaa siis suhtautua joustavasti ja muistaa, että oli valittu malli mikä tahansa, sitä luultavasti joudutaan joka tapauksessa muokkaamaan sen aikaa myöten.
Riskienhallinnasta saa helposti rakennettua monimutkaisen, hienon mallin, joka ottaa huomioon kaiken mahdollisen. Liika monimutkaisuus ja hifistely kuitenkin toimivat itseään vastaan, sillä käytännössä liiketoiminta usein kaipaa yksinkertaista ja selkeää. Näin tuet myös sitä, että muu organisaatio todella ymmärtää riskienhallinnan idean ja tarkoituksen.