Riskienhallinta on epäilemättä yksi tehokkaimmista tietojohtamisen työkaluista. Riskienhallinnan avulla on mahdollista tuottaa kriittistä tietoa strategisen päätöksenteon tueksi ja arvioida liiketoimintaympäristön ilmiöitä kokonaisvaltaisesti. Yhtä ainoaa ja oikeaa riskienhallintatapaa ei ole olemassa, vaan riskienhallinnan keinot sovitetaan aina osaksi liiketoimintaa. Tämän vuoksi myös riskienhallintamalleja yhtä monia kuin riskienhallintaa tekeviä organisaatioitakin.
Riskienhallinnan kannalta on kuitenkin erittäin tärkeää, että se mielletään nimenomaan tavoitteiden saavuttamiseen tähtääväksi toimintamalliksi. Luonnollisesti tämä luo tiettyjä paineita muun muassa riskienhallinnan tavoitteiden asettamiselle. Yksi yleisimmistä riskienhallintaa koskevista harhakäsityksistä on väärinymmärrys, jonka mukaan riskienhallintaa pidetään monimutkaisena ja työn luovuutta rajoittavana pakkopullana.
Näin asia ei kuitenkaan todellisuudessa ole, mutta tästä syystä riskienhallinnassa jäädään usein aloituspisteeseen. Riskienhallintaa ei saada vietyä käytännön teoksi ja jos riskienhallintaa tehdään vain pakon edessä ja aikarajat paukkuen. Ketään ei siis yllätä, että tällainen riskienhallinta ei tuota toivottua tulosta riittävän nopeasti.
Riskienhallinnan tehottomuuden ja tuottamattomuuden syyt ovat yllättävän yleisiä:
1. Riskienhallintatyökalut eivät vastaa riskienhallinnan tarpeisiin
Lähtökohtaisesti riskienhallinta ei ole välineurheilua. Onnistuneen riskienhallinnan ydin on organisaation kulttuurissa ja vastuuhenkilöiden halukkuudessa kehittää toimintaa entistä riskienhallintakeskeisempään suuntaan.
Excel on toimistotyöskentelyn tutuimpia tukityökaluja, ja se soveltuu erittäin hyvin erilaisten laskutoimitusten tekemiseen. Koska myös riskienhallinnan ytimeen kytkeytyy tietty määrä laskennallisia totuuksia, tuntuu Excel luonnolliselta työkalulta riskienhallinnan aloittamiseen. Arvioitujen riskien tallentamiseen erilaiset Excel-pohjaiset riskirekisterit sopivatkin kohtalaisesti, varsinkin jos riskienhallinnan perusperiaatteisiin haetaan vasta tuntumaa, eikä riskienhallinnan tuloksien tarvitse olla merkittäviä. Pitkäjänteisemmän ja tavoitteisiin systemaattisesti pyrkivän riskienhallinnan kannalta tarkasteltuna Excel näyttää kuitenkin riskitiedon hautausmaalta, ja riskitiedon hilloaminen Excelin loputtomiin riveihin ja sarakkeisiin ei edistä liiketoiminnan tavoitteiden saavuttamista.
Erityisesti tiedon saatavuus päätöksenteon tueksi on riskienhallintaan käytettävien Excel-pohjaisten ratkaisujen suurimpia kompastuskiviä. Tuloksia tuottava riskienhallinta vaatii ajantasaisien tilannekuvan, jota edestakaisin läheteltävät riskiexceleiden versiot eivät pysty tuottamaan.
Kun riskienhallintaan käytetään Exceliä, kerätty riskitieto joudutaan yhdistelmään toisiin riskiraportteihin aikaa vievällä käsipelillä, mikä ei ole ainoastaan hidasta ja tehotonta, mutta se johtaa nopeasti tilanteeseen, jossa riskirekisterien vakiomuotoisuudelle voidaan heittää hyvästit. Tämä syö merkittävästi riskienhallinnan ja erityisesti riskien korjaamiseksi tehtävien toimenpiteiden tehoa.
Excelpohjaisen riskirekisterin ylläpitäminen tuo toimintaan itse asiassa oman tiedonhallinnallisen riskinsä. Tiedon eheys, saatavuus ja luottamuksellisuus vaarantuvat Excel-tiedostojen liikkuessa sähköpostin liitteenä, mutta sitäkin ongelmallisempaa on tämänkaltaisen toiminnan seurauksena syntyvä useiden eri versioiden ongelma. Kaikkein viimeisimpien riskien arviointien metsästäminen ei palvele yhdenkään organisaation tavoitteiden toteutumista.
2. Riskiä ei ole määritelty oikein
Riskienhallinta ei ole pohjimmiltaan ole rakettitiedettä, mutta pohjatyön tekeminen on merkittävässä osassa myös riskienhallinnan onnistumisen kannalta. Yksi kokonaisvaltaisesti tuloksia tuottavan riskienhallinnan tärkeimpiä lähtökohtia on riskin määritteleminen oikein. Vaikka käytännön riskienhallintatyö on varsin yksiselitteistä ja käytännönläheistä, riskin määrittelemisessä tulee ottaa huomioon tietyt seikat.
Riski on mahdollista määritellä monella tavalla. Esimerkiksi ISO31000-standardin mukaan riski määritellään ”epävarmuuden vaikutukseksi tavoitteisiin”. Tämä riskin määritelmä pitää sisällään niin positiiviset kuin negatiiviset poikkeamat olettamuksiin nähden, mutta kyseinenkin oppikirjamääritelmä on vain lähtökohta tuloksiin tähtäävälle riskienhallinnalle. Jokaisen organisaation tulee määritellä mitä riski tarkoittaa heidän toiminnassaan.
Vain tietty osa riskeistä on yleisiä ja kaikille organisaatioille ja yrityksille yhteisiä. Riskienhallinnan kannalta oleelliset riskit ovat aina tavalla tai toisella suhteessa toiminalle asetettuihin tavoitteisiin. Hyvin yksinkertaistettu määritelmä riskille voi olla esimerkiksi, että riski on jotain mikä uhkaa organisaation tavoitteiden saavuttamista, mutta tästä yksinkertaistuksesta on kyettävä laajentamaan muitakin määritelmiä tarpeen vaatiessa.
Riskienhallinnan tulosten kannalta on kuitenkin hyvin tärkeää, että riski määritellään mahdollisimman täsmällisesti, yksinkertaisesti ja yksiselitteisesti. Loppujen lopuksi riskienhallintaa tehdään organisaatiota itseään varten, eikä kukaan muu voi tietää, mitä riski heille tarkoittaa.
3. Riskejä ei ole luokiteltu
Kun riskienhallinta aloitetaan aivan ensimmäistä kertaa esimerkiksi riskityöpajassa, on tuloksena organisaation liiketoiminnasta tunnistettu joukko erilaisia riskejä. Yleensä näitä riskejä on onnistuttu tunnistamaan siinä määrin, että siitä seurauksena on erilainen riskisokeus. Ihminen kykenee muistamaan kerrallaan vain tietyn määrän asioita. Tämä tuottaa helposti tilanteen, jossa tiettyjä riskejä ja niiden käsittelyä laiminlyödään, sillä ne eivät ole juuri sillä hetkellä ajankohtaisia. Riskien luokittelu on oleellinen osa riskienhallintaa, sillä se helpottaa riskien jatkuvaa tunnistamista ja hallintaa.
Erilaisia riskejä on mahdollista luokitella monella eri tavalla ja menetelmällä. Riskien luokittelulla on hyvin selkä tarkoitus, eli kuvata riskien synnyn syyt ja ilmenemismuodot. Yhtenäisillä luokitteluperiaatteilla luokitellut riskit edesauttavat riskin realisoituessa riskitietoisuuden kehittymistä ja kehittävät riskin luonteen ymmärtämistä. Riskien luokittelu lisää ymmärrystä myös erilaisten riskien välisistä suhteista.
Toimialariippumaton ja hyvin yleisesti käytetty luokitteluperiaate on jakaa riskit neljään eri ryhmään riskin lähteen ja riskin tyypin mukaan. Nämä ryhmät ovat strategiset, operatiiviset ja taloudelliset riskit, sekä vahinkoriskit. Arkisen riskienhallintatyön keskellä on kuitenkin hyvä muistaa, että riskit esiintyvät vain harvoin täysin ”puhtaina”. Systemaattisesta riskien luokittelemisesta huolimatta eri riskilajit esiintyvät joissakin tapauksissa myös limittäisinä.
Strategiset riskit ovat riskejä, jotka potentiaalisesti uhkaavat yrityksen strategisten tavoitteiden toteutumista. Operatiivisiksi riskeiksi luokitellaan tavallisesti toimimattomat prosessit, käytössä olevat järjestelmät tai ihmiset. Taloudellisilla riskeillä tarkoitetaan organisaation vakavaraisuuteen, pääomien riittävyyteen ja rahaprosessien toimivuuteen liittyviä epävarmuuksia, joilla voi olla positiivisia tai negatiivisia vaikutuksia pääomien riittävyyteen, maksuvalmiuteen sekä kannattavuuteen. Vahinkoriskeillä tarkoitetaan odottamattomien ulkoisten tekijöiden aiheuttamaa uhkaa tapahtumasta, joka toteutuessaan aiheuttaa negatiivisia seurauksia.
4. Riskejä ei ole arvioitu yhteismitallisesti
Toisinaan riskit realisoituvat, eikä asialle voi mitään. Itse asiassa osa toimintaa uhkaavista riskeistä on sellaisia, että niiden voikin antaa realisoitua ilman, että se vaikuttaa merkittävästi toimintaedellytyksiin. Kaikki riskit eivät siis ole lähtökohtaisesti saman arvoisia.
Tulevaisuuden ennustaminen ei ole helppoa. Etukäteen on vaikea arvata, mitkä riskit realisoituvat, mutta riskien arviointi on siitä huolimatta hyvä tehdä. Riskien hallintatoimia joudutaan käytännössä aina priorisoimaan ja riskien arviointi auttaa keskittämään resurssit merkityksellisimpiin riskeihin.
Arkisen työn lomassa tehty satunnainen riskityö johtaa helposti tilanteeseen, että riskeihin vain reagoidaan ilman sen suurempia valmiuksia vaikuttaa. Kaiken arkisen toiminnan keskellä kaikki riskit vaikuttavat helposti enemmän tai vähemmän samanarvoisilta. Riskienhallinnan toimenpiteiden priorisoinnin kannalta on tärkeää, että yksittäisten riskien vaikutukset ovat yhteismitallisesti verrannollisia keskenään. Kun arviointeja tehdään eri näkökulmista ja vaikkapa eri osastojen toimesta, voi vaikutuksen skaala helposti vääristyä.
Riskien todennäköisyyden ja vaikutuksen arvioinnin pitää myös korreloida toisiaan. Vaikutus on hyvä arvioida ensin, käytännössä arvioimalla suurimmat realistiset vaikutukset. Todennäköisyys tulee arvioida nyt juuri tuohon skenaarioon liittyen eli mikä on todennäköisyys, että vaikutukset toteutuvat. Muuten organisaatiolle saattaa muodostua todellisuudesta irrallaan oleva kriittisten riskien joukko, joka vesittää koko arvioinnin lähtökohtia.
Tuloksia käytännön riskienhallinnasta
Kun haluat tietää, miten riskienhallinta tuodaan osaksi liiketoiminnan strategiaa ja tulosohjausta käytännön tasolla, osallistu Graniten veloituksettomaan riskienhallintawebinaarin. Varaa paikkasi täällä!
Julkaistu 22.3.2019