Julkaistu 2 kommenttia artikkeliin Riskinottohalukkuuteni on…? – eli Risk appetite, osa II

Riskinottohalukkuuteni on…? – eli Risk appetite, osa II

Risk Appetite I:ssä avasimme riskinottohaluun ja -kantokykyyn liittyviä termejä ja päättelimme,  että niiden määrittelystä saa irti monia hyviä pohdintoja esim. strategiaan liittyen. Risk appetite antaa selkärangan liiketoimintapohdiskeluihin ja keskeisintä on pitää  ihmiset ajan tasalla siitä missä mennään – mitä riskejä ollaan ottamassa ja miten ne suhteutuvat organisaation kokonaistilanteeseen ja tavoitteisiin.

Otamme tässä postauksessa esiin muutaman esimerkin, miten yritykset ovat oman kokemuksemme mukaan asiaa lähestyneet. Aiheen haastavuudesta ja käsitteeen häilyvyydestä  kertoo se, että emme ole kumpikaan vielä  uramme aikana törmänneet selkeään, hyvin määriteltyyn ja ennen kaikkea koko organisaation tasolla toimivaan (l. tekemistä ohjaavaan) risk appetiteen. Ympäristön, tilanteiden ja organisaatioiden nopeat muutokset tuskin edesauttavat asiaa.

 

Hyvin määriteltyjen riskinottohalukkuuksien harvalukuisuus  kertoo aiheen haastavuudesta

 

Ei-aivan-tavaton tilanne risk appetiten kanssa on se, että sitä ei ole määritelty. Ei euroissa, sanallisesti tai mitenkään muutenkaan.  Ei  koko organisaation tasolla eikä toimintoja koskien. Monesti vedotaan siihen, että ”kyllähän sisäisiin politiikkoihin on tavallaan implisiittisesti kirjattu nämä asiat jo”. Tällöin johto saattaa todeta, että ”kyllä me sitten vaan tiedetään, kun riskitilanne on liian korkea”. Tätä lähestymistapaa emme lähtökohtaisesti suosittele – oikein kenellekään.

 Yksinkertaisimmillaan risk appetiten määrittely on sitä, että riskien sijoittuminen riskimatriisiin laukaisee tiettyjä odotuksia niiden hallinnan suhteen. Esimerkiksi näin:

riski matriisin vihreällä alueella = riskin tilannetta seurataan, ei tarvetta aktiiviselle/kohdennetuille toimenpiteille

riski matriisin keltaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa vihreän alueen xx kuukauden kuluessa

riski matriisin punaisella alueella = kohdistettuja hallintatoimenpiteitä niin, että saavuttaa keltaisen alueen xx kuukauden kuluessa

Tätä metodia voi soveltaa kaikilla riskienhallinnan tasoilla operatiivisista riskeistä strategisiin ja koko organisaation laajuudessa. Olette kuitenkin ehkä samaa mieltä siitä, ettei lähestymistapa ole paras mahdollinen, se on mm. melko ylimalkainen, korostaa todennäköisesti liikaa riskin välttämistä (kun muistetaan riskin ottamisen tarpeellisuus liiketoiminnalle) ja saattaa sitäpaitsi altistaa kikkailulle riskien siirtämiseksi ”sopivan” värisille alueille. (Ja tässä tosiaan on mielestämme kyse risk appetiten määrittelystä – kun puhutaan kaikkein yksinkertaisimmasta versiosta.)

Monipuolisempi, mutta myös hieman työläämmin ylläpidettävä tapa on määrittää risk appetite erikseen keskeisimmille riskilähteille tai eri riskienhallinnan tasoille ja linjata nämä yhteen konsernitason risk appetiten kanssa. Monissa yrityksissä risk appetite määritellään erikseen kaikille ns. Principle riskeille, eli yrityksen liiketoimintaympäristöön kiinteästi kuuluville riskeille, kuten raaka-aine- tai lopputuotemarkkinoiden erityispiirteet, liiketoiminnassa painottuvat laatu- ja turvallisuusnäkökulmat tai compliance-riskit.

Tällä tyylillä tehtävän risk appetiten määrittelyn kanssa ei kannata olla liian tiukka ja esimerkiksi tavoitella euromääräisen rajan asettamista kaikille riskilajeille. On mieluummin hyvä miettiä mitkä riskilajit omassa liiketoiminnassa ovat sellaisia, joiden kohdalla voidaan antaa on/off tyylisiä lausuntoja, ja minkä kohdalla taas euromääräisten rajojen määrittäminen on mielekästä. Hyvä esimerkki on/off lähetymistavasta on työturvallisuudessa omaksuttu 0-tapaturmaa periaate, jolla viestitään, että henkilöstön turvallisuus on tärkeää ja siihen liittyen ei hyväksytä poikkeamia.

Toisaalta euromääräisten rajojen määrittelystä hyvä esimerkki on raaka-aineiden hankintariskiin liitetty risk appetite. Se voidaan esittää euroissa asettamalla hankintahintaan liittyvä vaihteluväli, jonka puitteissa tuotanto voi tehdä raaka-ainehankintaa hyvin vapaasti ilman raskasta päätöksentekokoneistoa. Hintahaitarin ala- tai ylärajan rikkoutuessa hankintapäätöksille on prosessi, jossa alarajan alittuessa voidaan tehdä päätös hyödyntää  tunnistettu mahdollisuus  ja ostaa raaka-ainetta varastoon edullisemmin. Toisaalta ylärajan ylittyessä päättää  pienemmästä hankintaerästä, jos hinnannousun oletetaan olevan hetkellistä.

 Risk appetite on aiheena kokonaisuudessaan melko haastava, emmekä tässä ole kuin raapaisseet pintaa. Yhteenvetona voimme kuitenkin todeta, että sen määrittäminen kannattaa yksinkertaisuudessa aloittaa siitä, että tiedostetaan tarve. Sen jälkeen sitä voi lähteä kehittämään pieninkin askelin eteenpäin. Kuulisimme mielellään ajatuksianne aiheeseen liittyen – miten olette lähteneet itse asiaa ratkomaan?

Julkaistu 1 kommentti artikkeliin Miten paljon ottaisin riskiä – eli Risk Appetite, osa I

Miten paljon ottaisin riskiä – eli Risk Appetite, osa I

Strateginen riskienhallinta perustuu parhaimmillaan selkeästi määriteltyyn ja strategiaan sidottuuun riskinottohalukkuuteen, sekä ymmärrykseen yrityksen kyvystä kantaa riskiä. Riskinottamisen rajat luovat puitteet, joissa riskinhallintapäätöksiä voidaan tehdä oikeilla tasoilla ja joissa riskinottohalukkuutta voidaan tarkastella myös riittävän riskinoton näkökulmasta.  Lähdetään kuitenkin liikkeelle perusteista, eli termistöstä, sillä se pohjustaa aihetta mielestämme mainiosti. Osaa termeistä avasimmekin jo aikaisemmassa postuksessamme.  Riskinottohalukkuus on kuitenkin aiheena paljon enemmän kuin sanasto, joten jatkamme aiheen käsittelyä hieman syvemmin vielä toisessa, tulevassa postauksessa.

Riskinottohalukkuuden aihepiiristä puhuttaessa käytetään ainakin termejä ”risk appetite”, ”risk tolerance”, ”risk target ” ja ”risk capacity”. Kaikki termit kuvaavat organisaation asennetta riskiin tietystä näkökulmasta ja niiden ymmärtäminen on tarpeen ennen kuin lähtee liikkeelle oman organisaationsa konkreettisten määritelmien kanssa. Käytämme tässä postauksessa lähinnä termien englanninkielisiä versioita – ne tuntuvat jotenkin kuvaavammilta kuin suomalaiset. Silloin, kun tiedossamme on mielestämme selkeä suomenkielinen termi, on sekin toki mainittu. (Jos muuten jollain  on takataskussa aiheen englanti-suomi -sanasto, laittakaa ihmeessä taas kommentteihin!)

Miten paljon uskallan ottaa riskiä?

Risk appetite (Riskinottohalukkuus): se riskin määrä, jonka organisaatio on valmis sietämään pyrkiessään tavoitteisiinsa, eli matkallaan kohti odotettuja ”palkkioitaan”. Määritelmä voi olla euromääräinen tai sanallinen kuvaus. Käytännössä kuvaus on havaintojemme mukaan usein implisiittinen, haarukoitavissa erilaisista politiikoista, arvoihin liittyvistä julkilausumista ja muista hallintomateriaaleista.   Lähestymistapana tämä ei kuitenkaan ole optimaalinen, koska lopputuloksena on helposti jokaisen yksilöllinen tulkinta riskinottohalukkuudesta. Kuten alussa mainittu, strategisen riskienhallinnan on suositeltavaa perustua selvästi määriteltyyn ja ymmärrettävään riskinottohalukkuuteen. Esim. euromääräiset raja-arvot täydennettynä sanallisilla kuvauksilla, (mm. nollatoleranssi tiettyihin riskilajeihin) toiminevat hyvin.

Risk tolerance: se riskin määrä, jonka organisaatio sietää tavoitteisiin päästäkseen,  per tavoite. Tolerancekin voidaan määritellä esim. euromääräisesti, suhteessa tunnuslukuihin. Määrittelyssä voidaan (ja ehkä kannattaa) ottaa huomioon myös ”pehmeämpiä” mittareita, kuten henkilökunnan osaaminen, pysyvyys jne.

Risk appetiten ja Risk tolerancen ero on, että appetite on yleinen määritelmä organisaation kokonaistasolla, eli kuinka paljon riskiä ollaan halukkaita sietämään mission toteuttamiseksi. Tolerance taas määrittää riskinottohalukkuuden per tietty, yksittäinen tavoite ja antaa sille raamit, joiden sisällä pysyessään riskitaso on hyväksyttävissä. Esim., jos tavoitteena on markkinaosuuden säilyttäminen 85 %:ssa, risk tolerance voi tämän tavoitteen ympärillä olla 82 – 88%. Alarajan rikkoutuessa on syytä ryhtyä toimenpiteisiin, mutta 83 % markkinaosuus on vielä ok, eivätkä hälytyskellot ala soimaan.

(Miksi muuten sitten ylärajaa edes on – mitä suurempi markkinaosuus, sitä parempi, eikö niin? Voi kuitenkin olla että yläraja määritellään  vaikka siksi, että sen rikkoutuessa tarkastellaan esim. kustannus-hyöty -suhdetta, eli ollaanko käytetty markkinointiin niin paljon rahaa, että markkinaosuuden kasvaminen käytännössä vähentää tulosta, tms.).

Miten paljon minun täytyy ottaa riskiä ja missä kulkee kestävän riskinoton raja?

Risk appetite ja risk tolerance siis kertovat siitä, kuinka paljon haluamme ottaa riskiä. Liiketoiminnassa ehkä tärkeintä riskienhallintaan liittyen on kuitenkin varmistaa, että riskiä ei oteta liika, eikä myöskään liian vähän. Kunnianhimoiset strategiset tavoitteet eivät voi toteutua, jos vältämme riskiä liikaa. Senkin takia risk appetiten aihepiiristä puhuminen on tärkeää: ei ainoastaan rajoittamaan otettavan riskin määrää, vaan varmistamaan, että otamme sitä riittävästi suhteessa tavoitteisiin. Tähän liittyy käsite Risk Target, joka kuvaa sitä optimaalista riskin määrää, joka mahdollistaa tietyn tavoitteen saavuttamisen ja on tavoitteelle ’sopiva’ riskin määrä.

Risk capacity (Riskinkantokyky) puolestaan on se riskin määrä, jonka organisaatio sietää menettämättä mahdollisuutta jatkaa toimintaansa haluamallaan tavalla. Capacity riippuu monesta eri tekijästä (ja on tietysti aina organisaatiokohtainen), eikä sille siten ole olemassa mitään yleispätevää laskentakaavaa. Se voi olla linkitetty käyttöpääomaan tai lainanottokykyyn, mutta voi sisältää myös kvalitatiivisia elementtejä.

Muutos on hyvästä?

Kaiken termi- ja niihin pohjautuvan rajamäärittelyn keskellä kannattaa kuitenkin muistaa, että kerran asetettu risk appetite ja todettu tolerance eivät ole pysyviä käsitteitä – itse asiassa, jos risk appetite pysyy aina samana, kannattaa olla huolissaan. Risk appetite muuttuu organisaation tilanteen mukaan, sillä strategian muutokset heijastuvat (tai niiden ainakin pitäisi heijastua) yrityksen riskinottohalukkuuteen. Muutosta voi tapahtua myös niin, että havaitaan etteivät valittu strategia ja siihen liitetty risk appetite olekaan linjassa organisaatiolle määritetyn taloudellisen risk capacityn kanssa. Tällöin kannattaa tarkistaa molemmat ulottuvuudet – sekä strategia ja sen risk appetite, että varmistaa  risk capacityn tilanne.

Tämä  muuten tuo uuden ulottuvuuden strategiatyöhön, perinteisen eri strategiavaihtoehtojen riskien tunnistamisen ja hallintaskenaarioiden vertailun lisäksi.  Johdon tulisi arvioida eri skenaarioiden vaikutusta risk capacityyn – ylittääkö houkuttelevan kuuloisen strategiavaihtoehdon riski yrityksen kantokyvyn ja voidaanko riskin ottaminen yhdellä markkina-alueella mahdollistaa ottamalla vähemmän riskiä muilla, eli asettamalla risk tolerance eri tasoille toiminnan eri alueilla.

Mitä tekemistä on kulttuurilla ja riskin ottamisella?

Riskirajoista puhuttaessa täytyy mainita myös Risk culture, joka kuvaa organisaation yleistä suhtautumista riskeihin ja ohjaa riskinottoa, jopa yksilöiden sitä tiedostamatta. Esim. start up-maailmassa riskin ottamisen kulttuuri on tyypillisesti hyvin rohkea (ne tavallaan ”elävät” riskistä), kun taas korkean turvallisuuden teollisuusaloilla varovaisuus saattaa dominoida kaikkea riskinottamista.

Riskinottohaluukkuutta kuvaavat julkilausumat tuovat näkyväksi yrityksen johdon odotukset riskin ottamiseen liittyvälle kulttuurille. Jos nämä julkilausumat ovat vahvasti ristiriidassa organisaation aidon kulttuurin kanssa, ei niiden voi odottaa toteutuvan kovin tehokkaasti käytännössä. Niiden avulla voidaan kuitenkin pyrkiä vaikuttamaan organisaation kulttuuriin ja muokkaamaan sitä haluttuun suuntaan.

Mitä lisäarvoa saan määrittelytyöstä?

Yksi keskeinen kysymys, johon riskienhallinnan tulisi tarjota vastaus on:

Pitääkö olla huolissaan?

Kysymystä analysoidaan miettimällä riskin merkittävyyttä, joka hyvin usein kulminoituu riskimatriisin tuijotteluun. Todellisen vaikutuksen ja strategiakytköksen ymmärtämisen sijaan puhutaan punaisista, keltaisista ja vihreistä riskeistä. Tässä keskustelussa lähtökohtana on, että punaiset riskit ovat liian suuria ja niihin tulee kohdistaa merkittävimmät hallintatoimenpiteet ja vihreät riskit taas voidaan hyväksyä. Mutta entä jos lähestyisimme asiaa strategian ja sen toteuttamiseen liittyvän riskinoton näkökulmasta? Mitä jos ”punainen riski” onkin täysin linjassa päätetyn, rohkean strategian kanssa?  Ja vihreä riski taas liittyy tavoitteeseen, jonka kohdalla yrityksen kyky kantaa riskiä on alentunut? Tai sijoittuminen vihreälle alueelle tarkoittaa, että riskiin liityvää tavoitetta ei ole niin matalalla riskitasolla todennäköistä saavuttaa?

Näin ajatellessa riskimatriisi ei yksin vastaa johdon tiedontarpeeseen ja todennäköisesti johtaa vääränlaiseen tulkintaan yhtiön riskiprofiilista ja -tilanteesta. Tämä taas luo riskienhallintapäällikölle herkullisen tilanteen yhdistää riskit ja strategia arvoa tuottavalla tavalla, vai mitä mieltä olette?

Lisää aiheesta löydät ainakin näistä käyttämistämme lähteistä:

Risk Appetite, EY, http://www.ey.com/gl/en/services/advisory/risk-appetite–the-strategic-balancing-act

Risk Appetite, IRM, https://www.theirm.org/media/3296897/0926-IRM-Risk-Appetite-12-10-17-v2.pdf ja https://www.theirm.org/knowledge-and-resources/thought-leadership/risk-appetite-and-tolerance.aspx

COSO Enterprise Risk Management – Integrating with Strategy and Performance, COSO, 2017, AICPA, e-book

Ilmonen, Kallio, Koskinen, Rajamäki: Johda riskejä  – käytännön opas yrityksen riskienhallintaan (FINVA 2016)

Julkaistu 4 kommenttia artikkeliin Riski, epävarmuus ja muutama muu termi

Riski, epävarmuus ja muutama muu termi

Kuten ihan ensimmäisessä postauksessamme mainitsimme, riskienhallinnassa vilisee termejä, joita käytetään välillä jokseenkin kirjavasti. Ja käytännössä pakkohan riskienhallintaa käsittelevän blogin on ottaa kantaa riskienhallinnan sanastoon, vaikka aihe saattaakin tuntua melko loppuunkalutulta. Yritämme seuraavassa kuitenkin lähestyä aihetta astetta freesimmällä otteella (laittakaa kommenttikenttään näkemyksiänne siitä, miten onnistuu!).

Riski vs. epävarmuus:

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen. Riskit ovat ”tunnettuja epävarmuuksia” eli käytännössä et tiedä, mitä seuraavaksi tapahtuu, mutta tiedät miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.

Termejä riski ja epävarmuus käytetään välillä toistensa synonyymeinä, mutta tarkasti ottaen ne viittaavat kahteen erilaiseen tilanteeseen.

Esimerkki tunnetusta epävarmuudesta (l. riskistä) on pankin myöntämä luotto. Pankin riski on se, että asiakas ei maksa lainaansa takaisin, mutta etukäteen ei voida tietää tapahtuuko näin. Kuitenkin todennäköisyys tälle pystytään historiallisen tiedon perusteella määrittelemään. Epävarmuus puolestaan viittaa ”tuntemattomiin epävarmuuksiin”, eli et tiedä mitä seuraavaksi tapahtuu, etkä myöskään tiedä miltä tapahtumaan liittyvä todennäköisyysjakauma näyttää.  Tällöin tapahtumiin liittyvää riskiä on vaikea määrittää.

Mietitään vaikka organisaatiota, jossa ollaan lähdössä toteuttamaan täysin uudenlaista projektia. Visiovaiheessa, kun tiedetään tavoiteltava lopputulos, mutta ei vielä keinoja tai resursseja sen saavuttamiseen, on varmasti luontevaa puhua enemmän projektiin liittyvästä epävarmuudesta kuin riskistä, koska meillä ei ole käytössämme aikaisempaa tietoa projektin kulun ja lopputuloksen, ja niihin liittyvien riskiskenarioiden riittävään ennustamiseen. Projektin edetessä ja suunnitelmien täsmentyessä epävarmuus tarkentuu vähitellen riskiksi.

Strategiatyön ja strategisen riskienhallinnan tason kannalta epävarmuus on mielenkiintoinen termi: lähihistoria on täynnä realisoituneita tuntemattomia epävarmuuksia, jotka ovat mullistaneet toimialoja ja vieneet pohjan aikaisemmalta liiketoimintalogiikalta. Näissä yhteyksissä viitataan monesti ”mustiin joutseniin” eli tapahtumiin, joita on hyvin vaikea tai mahdoton ennustaa historiallisen tiedon perusteella, ja joiden vaikutukset ovat toteutuessaan suuria. Strateginenkaan riskienhallinta ei pysty tarjoamaan täydellistä vastausta tuntemattomien epävarmuuksien tunnistamiseen ja mittaamiseen ja sen vuoksi yritysjohdon on elintärkeää olla hereillä, skannailla ja tarkkailla ns. hiljaisia signaaleja markkinoilta, kilpailijoilta ja muilta yhteiskunnan aloilta ollakseen valmiina, kun maailma muuttuu.

Vaara ja riski:

Vaara on tekijä, joka voi aiheuttaa vaaratilanteen, kuten tapaturman, onnettomuuden, vahingon tai muun vastaavan. Vaara on olemassa, mikäli jollakin asialla on luontainen ominaisuus aiheuttaa haittavaikutus – esimerkiksi jäinen tie tai viallinen sähkölaite. Vaaroista aiheutuu riskejä, tai jos tekijällä voi olla positiivisia vaikutuksia, vaaran sijaan puhutaan mahdollisuudesta. Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Vaara-termi vilahtelee kokemuksemme mukaan käytössä useimmiten silloin, kun puhutaan työ- tai toimitilaturvallisuuteen liittyvistä asioista ja kartoituksista.

Riski ei välttämättä realisoidu, vaikka vaaratekijä olisi olemassa, vaan sana riski kuvaa vaarasta mahdollisesti aiheutuvaa haittaa (tai mahdollisuutta) ja sen suuruutta yhdistämällä toteutumisen arvioidun todennäköisyyden ja vaikutuksen.  Jotta riski olisi olemassa, eli vaara tapahtuisi, vaaralle tulee altistua. Postauksen lähteistä löytyy hyvä esimerkki vaaran ja riskin suhteesta: myrkkykäärme eläintarhan terraariossa on vaarallinen, mutta se ei terraariossa ollessaan ole kävijöille todellinen riski. Jos käärme pääsisi kohtuullisen todennäköisesti karkaamaan terraariosta, se muuttuisi kävijöille riskiksi.

Riskinottohalukkuus ja riskinkantokyky:

Riskinottohalukkuus (risk appetite) on se riskin määrä, jonka organisaatio hyväksyy kokonaistasolla tavoitellessaan päämääriään. Riskinottohalu on aina sidottu organisaation kokonaisstrategiaan. Sitä ei välttämättä ole ilmaistu yhtenä lukuna, vaan se voi olla moniulotteisemmin ja laveamminkin määritelty, liialliseen yksinkertaistamiseen ei välttämättä kannatakaan pyrkiä. Kannattaa kuitenkin huolehtia, että riskinottohalukkuus on mitattavissa, jotta määritelmästä ei tule merkityksetöntä. Riskinottohalukkuus on organisaatiokohtainen ja voi vaihdella paljonkin mm. eri toimialojen, organisaatiokulttuureiden välillä. Riskinottohalukkuus voi (ja ehkä sen pitääkin) myös muuttua ajan kuluessa.

Riskinkantokyky (risk tolerance) on se riskin taso, jonka organisaatio hyväksyy per jokainen riski (toisin kuin riskinottohalukkuus, joka ilmaisee riskinsiedon kokonaisuudessaan). Riskinkantokyky määrittelee sen, onko organisaatio valmis kantamaan yksittäisen riskin vaikutukset sen toteutuessa .

Riski, Inherent Risk & Residual risk:

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata.

Käytännössä riskienhallinnassa usein puhutaan vain ”riskistä”, vaikka riskienhallinnan teoriassa riski jaotellaan inherent ja residual riskiin. Inherent-riskille on hieman vaikeaa löytää sopivaa suomennosta, kyse on ”alkuperäisestä” riskistä ilman mitään riskienhallinnan toimenpiteitä – voidaan puhua myös ”worst case” -skenaariosta riskiin liittyen. Residual risk -termille taas löytyy hyvä suomennos: jäännösriski, eli riski sen jälkeen, kun kaikki päätetyt riskin hallintatoimenpiteet ovat käytössä. Arkikielessä sanalla riski viitataan usein nimenomaan jäännösriskiin.

Otetaan esimerkki: toimit rahoitusalalla ja myönnät asiakkaallesi 2 Meuron lainan. Arvioit inherent-riskiksi luotonannossa historiallisen datan perusteella sen, että 10% todennäköisyydellä asiakas ei maksa lainaansa ollenkaan takaisin (ensimmäiseen sanapariin viitaten: tapahtumien todennäköisyysjakauma on sinulla siis tiedossa ja näin ollen puhutaan riskistä, eikä epävarmuudesta). Riski on melko korkea ja sen taloudellinen vaikutus liiketoiminnallesi suuri, joten päätät implementoida riskienhallintatoimenpiteitä pienentääksesi riskin toteutumisen todennäköisyyttä ja vaikutusta. Toimenpiteenä voivat olla esim. asiakkaan luottotietojen tarkistus ja vakuuksien tai takauksien vaatiminen jne. Näiden toimenpiteiden tehokkaan implementoinnin jälkeen arvioit, että todennäköisyys koko lainan maksamatta jättämiselle on pudonnut 5%:n ja vakuuksien vuoksi on todennäköistä, että saat joka tapauksessa takaisin ainakin 50% lainasummasta. Näin voit laskea jäännösriskisi taloudellisen arvon.

Se, miksi niin usein keskitymme ainoastaan jäännösriskiin johtunee siitä, että jäännösriski kertoo meille kuinka huolissaan meidän tulisi olla nykytilanteen osalta. Mutta myös inherent-riskin tasoa tulisi jossain määrin seurata, sillä korkea inherent-riski antaa viitteitä siitä, kuinka huolissaan (ja kääntäen, kuinka varmoja) meidän tulisi olla riskienhallintatoimenpiteidemme tehokkuudesta ja riittävyydestä. Inherent- ja jäännösriskin välinen suuri epäsuhta antaa aina siis aihetta tarkastella riskienhallinnan toimenpiteiden tilannetta ja tehokkuutta tarkemmin.

ps. Tässä kirjoituksessa kuvatut tilanteet ja termit ovat käytössä kaikilla kolmella riskienhallinnan tasolla.

Lähteitä:

ISO 31000 – Risk Managment Standard Vocabulary

COSO: ”Strengthening Enterprise Risk Management for Strategic Advantage

http://riskikompassi.fi/uploads/files/riskienhallintapolitiikka-esimerkki.pdf

https://www.theirm.org/media/464806/IRMRiskAppetiteExecSummaryweb.pdf

http://www.bwise.com/blog/assessing-risks-inherent-or-residual/obj5382859

http://www.teknokemia.fi/fin/kosmetiikka/kosmetiikan_puheenaiheita/riskin_ja_vaaran_ero/