Tiedolla johtaminen on yksi tämän päivän polttavimmista keskustelunaiheista, eikä mikään ihme. Nykyaikainen liiketoimintaympäristö asettaa yritysten ja organisaatioiden johtohenkilöille ja päätöksentekijöille aivan uudenlaisia haasteita kuin mihin ollaan totuttu vastaamaan. Tiedolla johtamista, tai tietojohtamista on kuitenkin jokseenkin hankalaa määritellä täysin yksiselitteisesti. Eräs yksinkertainen määritelmä saattaisi olla, että tiedolla johtaminen johtamis- ja toimintamalli, jossa hyödynnetään analysoitua dataa osana päätöksentekoprosessia.

Tiedolla johtaminen pyrkii siis vastaamaan juuri niihin haasteisiin, joita kehittyvä markkinatilanne synnyttää. Tästä näkökulmasta tarkasteltuna on siis hyvinkin ymmärrettävää, että jatkuvasti aina vain tietokeskeisemmäksi kehittyvällä markkinatilanteella on taipumus ohjata toimintaa suuntaan, jossa vanhat työkalut eivät enää riitä.

Riskienhallinta työkaluna nykymarkkinoilla

Riskienhallinta on epäilemättä yksi tehokkaimmista tietojohtamisen työkaluista. Riskienhallinnan avulla on mahdollista tuottaa kriittistä tietoa strategisen päätöksenteon tueksi ja arvioida liiketoimintaympäristön ilmiöitä kokonaisvaltaisesti.

Riskienhallintaa on monenlaista. Yhtä ainoaa ja oikeaa riskienhallintatapaa ei ole olemassa, vaan riskienhallinnan keinot sovitetaan aina osaksi liiketoimintaa. Tämän vuoksi myös riskienhallintamalleja yhtä monia kuin riskienhallintaa tekeviä organisaatioitakin.

Riskienhallinnan kannalta on kuitenkin erittäin tärkeää, että riskienhallinta mielletään nimenomaan tavoitteiden saavuttamiseen tähtääväksi toimintamalliksi.

Luonnollisesti tämä luo tiettyjä paineita muun muassa riskienhallinnan tavoitteiden asettamiselle, mutta ylitsepääsemättömistä asioista ei kuitenkaan ole.

Kiistattomista eduistaan huolimatta riskienhallinta kärsii kohtalaisen heikosta maineesta. Yksi yleisimmistä riskienhallintaa koskevista harhakäsityksistä on väärinymmärrys, jonka mukaan riskienhallintaa pidetään monimutkaisena ja työn luovuutta rajoittavana pakkopullana.

Näin asia ei kuitenkaan todellisuudessa ole, mutta tästä syystä riskienhallinnassa jäädään usein aloituspisteeseen. Riskienhallintaa ei saada vietyä käytännön teoksi ja jos riskienhallintaa tehdään, sitä tehdään vain pakon edessä ja aikarajat paukkuen. Ketään ei siis yllätä, että tällainen riskienhallinta ei tuota toivottua tulosta riittävän nopeasti.

Riskienhallinnan tehottomuuden ja tuottamattomuuden syyt ovat yllättävän yleisiä:

1. Riskienhallintatyökalut eivät vastaa riskienhallinnan tarpeisiin

Lähtökohtaisesti riskienhallinta ei ole välineurheilua. Onnistuneen riskienhallinnan alku ja juuri ovat organisaation kulttuurissa ja vastuuhenkilöiden halukkuudessa kehittää toimintaa entistä riskienhallintakeskeisempään suuntaan.

Excel on toimistotyöskentelyn tutuimpia tukityökaluja, joka soveltuu erittäin hyvin erilaisten laskutoimitusten tekemiseen. Koska myös riskienhallinnan ytimeen kytkeytyy tietty määrä laskennallisia totuuksia, tuntuu Excel luonnolliselta työkalulta myös riskienhallinnan aloittamiseen.

Arvioitujen riskien tallentamiseen erilaiset Excel-pohjaiset riskirekisterit sopivatkin vähintään kohtalaisesti, varsinkin jos riskienhallinnan perusperiaatteisiin haetaan vasta tuntumaa, eikä riskienhallinnan tuloksien tarvitse olla merkittäviä.

Pitkäjänteisemmän ja tavoitteisiin systemaattisesti pyrkivän riskienhallinnan kannalta tarkasteltuna Excel näyttää kuitenkin riskitiedon hautausmaalta, ja riskitiedon hilloaminen Excelin loputtomiin riveihin ja sarakkeisiin ei edistä liiketoiminnan tavoitteiden saavuttamista kuin sattumanvaraisesti.

Erityisesti tiedon saatavuus päätöksenteon tueksi on riskienhallintaan käytettävien Excel-pohjaisten ratkaisujen suurimpia kompastuskiviä

Tuloksia tuottava riskienhallinta vaatii ajantasaisien tilannekuvan, jota edestakaisin läheteltävät riskiexceleiden versiot eivät pysty tuottamaan.

Kun riskienhallintaan käytetään Exceliä, kerätty riskitieto joudutaan yhdistelmään toisiin riskiraportteihin aikaa vievällä käsipelillä, mikä ei ole ainoastaan hidasta ja tehotonta, mutta se johtaa nopeasti tilanteeseen jossa riskirekisterien vakiomuotoisuudelle voidaan heittää hyvästit. Pitkässä juoksussa tämä syö merkittävästi riskienhallinnan ja erityisesti riskien korjaamiseksi tehtävien toimenpiteiden tehoa.

Excelpohjaisen riskirekisterin ylläpitäminen tuo toimintaan itse asiassa oman tiedonhallinnallisen riskinsä. Tiedon eheys, saatavuus ja luottamuksellisuus vaarantuvat Excel-tiedostojen liikkuessa sähköpostin liitteenä, mutta sitäkin ongelmallisempaa on tämänkaltaisen toiminnan seurauksena syntyvä useiden eri versioiden ongelma. Kaikkein viimeisimpien riskien arviointien metsästäminen ei palvele yhdenkään organisaation tavoitteiden toteutumista.

2. Riskiä ei ole määritelty oikein

Riskienhallinta ei ole pohjimmiltaan ole rakettitiedettä, mutta pohjatyön tekeminen on merkittävässä osassa myös riskienhallinnan onnistumisen kannalta. Yksi kokonaisvaltaisesti tuloksia tuottavan riskienhallinnan tärkeimpiä lähtökohtia on riskin määritteleminen oikein. Vaikka käytännön riskienhallintatyö on varsin yksiselitteistä ja käytännönläheistä, riskin määrittelemisessä tulee ottaa huomioon tietyt seikat.

Riski on mahdollista määritellä monella tavalla. Esimerkiksi ISO31000-standardin mukaan riski määritellään ”epävarmuuden vaikutukseksi tavoitteisiin”. Tämä riskin määritelmä pitää sisällään niin positiiviset kuin negatiiviset poikkeamat olettamuksiin nähden, mutta kyseinenkin oppikirjamääritelmä on vain lähtökohta tuloksiin tähtäävälle riskienhallinnalle. Jokaisen organisaation tulee määritellä mitä riski tarkoittaa heidän toiminnassaan.

Kun riskiä ryhdytään määrittelemään, on erittäin tärkeää pitää mielessä, että vain tietty osa riskeistä on yleisiä ja kaikille organisaatioille ja yrityksille yhteisiä. Riskienhallinnan kannalta oleelliset riskit ovat aina tavalla tai toisella suhteessa toiminalle asetettuihin tavoitteisiin. Hyvin yksinkertaistettu määritelmä riskille voi olla esimerkiksi, että riski on jotain mikä uhkaa organisaation tavoitteiden saavuttamista, mutta tästä yksinkertaistuksesta on kyettävä laajentamaan muitakin määritelmiä tarpeen vaatiessa.

Riskienhallinnan tulosten kannalta on kuitenkin hyvin tärkeää, että riski määritellään mahdollisimman täsmällisesti, yksinkertaisesti ja yksiselitteisesti. Loppujen lopuksi riskienhallintaa tehdään organisaatiota itseään varten, eikä kukaan muu voi tietää mitä riski heille tarkoittaa.

3. Riskejä ei ole luokiteltu

Yleensä kun riskienhallinta aloitetaan aivan ensimmäistä kertaa, esimerkiksi riskityöpajassa, on tuloksena organisaation liiketoiminnasta tunnistettu joukko erilaisia riskejä. Yleensä näitä riskejä on onnistuttu tunnistamaan siinä määrin, että siitä seurauksena on erilainen riskisokeus. Ihminen kykenee muistamaan kerrallaan vain tietyn määrän asioita. Tämä tuottaa helposti sellaisen tilanteen, jossa tiettyjä riskejä ja niiden käsittelyä laiminlyödään, sillä ne eivät ole juuri sillä hetkellä mielen päällä.

Riskienhallinnan onnistumisen kannalta on kuitenkin ehdottoman tärkeää, että riskit myös luokitellaan. Riskien luokittelu on oleellinen osa riskienhallintaa, sillä se helpottaa riskien jatkuvaa tunnistamista ja hallintaa.

Erilaisia riskejä on mahdollista luokitella monella eri tavalla ja menetelmällä. Riskien luokittelulla on hyvin selkä tarkoitus, eli kuvata riskien synnyn syyt ja ilmenemismuodot. Syitä riskien toteutumiseen usein monia syitä. Yhtenäisillä luokitteluperiaatteilla luokitellut riskit edesauttavat riskin realisoituessa riskitietoisuuden kehittymistä ja kehittävät riskin luonteen ymmärtämistä. Riskien luokittelu lisää ymmärrystä myös erilaisten riskien välisistä suhteista.

Arkisen riskienhallintatyön keskellä on aina hyvä muistaa, että riskit esiintyvät vain harvoin täysin ”puhtaina”. Systemaattisesta riskien luokittelemisesta huolimatta eri riskilajit esiintyvät joissakin tapauksissa myös limittäisinä. Riskien luokittelussa onkin suositeltavaa toimia soveltaen. Toimialariippumaton ja hyvin yleisesti käytetty luokitteluperiaate on jakaa riskit neljään eri ryhmään riskin lähteen ja riskin tyypin mukaan. Nämä ryhmät ovat strategiset, operatiiviset ja taloudelliset riskit, sekä vahinkoriskit.

Strategiset riskit ovat riskejä, jotka potentiaalisesti uhkaavat yrityksen strategisten tavoitteiden toteutumista. Operatiivisiksi riskeiksi luokitellaan tavallisesti toimimattomat prosessit, käytössä olevat järjestelmät tai ihmiset. Taloudellisilla riskeillä tarkoitetaan organisaation vakavaraisuuteen, pääomien riittävyyteen ja rahaprosessien toimivuuteen liittyviä epävarmuuksia, joilla voi olla positiivisia tai negatiivisia vaikutuksia pääomien riittävyyteen, maksuvalmiuteen sekä kannattavuuteen. Vahinkoriskeillä tarkoitetaan odottamattomien ulkoisten tekijöiden aiheuttamaa uhkaa tapahtumasta, joka toteutuessaan aiheuttaa negatiivisia seurauksia.

Riskien luokittelu auttaa hahmottamaan liiketoimintaympäristön ominaispiirteitä, mutta samalla se myös opettaa tunnistamaan riskejä aiempaa täsmällisemmin.

4. Riskejä ei ole arvioitu yhteismitallisesti

Riskienhallinnan perusprinsiippeihin kuuluu riskien tunnistamisen ohella myös riskien arvioiminen. Toisinaan riskit realisoituvat, eikä asialle voi mitään. Itse asiassa, osa toimintaa uhkaavista riskeistä on sellaisia, että niiden voikin antaa realisoitua ilman, että se vaikuttaa merkittävästi toimintamahdollisuuksiin. Kaikki riskit eivät siis ole lähtökohtaisesti saman arvoisia.

Tulevaisuuden ennustaminen ei ole helppoa. Etukäteen on vaikea arvata, mitkä riskit realisoituvat, mutta riskien arviointi on siitä huolimatta hyvä tehdä. Riskien hallintatoimia joudutaan käytännössä aina priorisoimaan ja riskien arviointi auttaa keskittämään resurssit merkityksellisimpiin riskeihin.

Mutta miten niiden välille on sitten mahdollista tehdä eroja? Arkisen työn lomassa tehty satunnainen riskityö saattaa helposti johtaa tilanteeseen, että riskeihin vain reagoidaan ilman sen suurempia valmiuksia vaikuttaa tilanteeseen. Kaiken arkisen toiminnan keskellä kaikki riskit vaikuttavat helposti enemmän tai vähemmän samanarvoisilta.

Riskienhallinnan toimenpiteiden priorisoinnin kannalta on tärkeää, että yksittäisten riskien vaikutukset ovat yhteismitallisesti verrannollisia keskenään. Kun arviointeja tehdään eri näkökulmista ja vaikkapa eri osastojen toimesta, voi vaikutuksen skaala helposti vääristyä.

Riskien todennäköisyyden ja vaikutuksen arvioinnin pitää myös korreloida toisiaan. Vaikutus on hyvä arvioida ensin, käytännössä arvioimalla suurimmat realistiset vaikutukset. Todennäköisyys tulee arvioida nyt juuri tuohon skenaarioon liittyen eli mikä on todennäköisyys että ko. vaikutukset toteutuvat. Muuten organisaatiolle saattaa epähuomiossa muodostua todellisuudesta irrallaan oleva kriittisten riskien joukko, joka vesittää koko arvioinnin lähtökohtia.