Riskienhallinnan päämäärä tukea liiketoiminnan tavoitteiden saavuttamista niin, että organisaatio kykenee tunnistamaan toimintaansa liittyvät uhkat ja hyödyntämään mahdollisuudet tehokkaasti. Nykyaikaisessa, muuttuvassa liiketoimintaympäristössä riskienhallinnan merkitys osana päätöksentekoa onkin kasvanut viime vuosina huomattavasti.
State of Risk Management Finland on vuosittainen kyselytutkimus, joka mittaa suomalaisen riskienhallintakentän tilaa, kypsyyttä ja kynnyskysymyksiä. State of Risk Management -tutkimuksen tavoitteena on luoda kattava yleiskuva kotimaisen riskienhallintaosaamisen nykytilasta, kypsyydestä ja tärkeimmistä kynnyskysymyksistä.
State of Risk Management Finland 2023 -raportti avasi useita merkillepantavia näkökulmia kotimaisen riskienhallinnan tilanteeseen. Eräs tutkimuksen mielenkiintoisimmista tuloksista koski riskienhallinnan yleisiä käytänteitä ja erityisesti riskienhallinnan ohjautumisperiaatteita.
Oikeaoppiset riskienhallinnan ohjaamisperiaatteet
Systemaattinen riskienhallinta on prosessi, joka kattaa kaikki organisaation toiminnot ja pyrkii varmistamaan, että organisaatio pystyy tunnistamaan, arvioimaan, hallitsemaan ja raportoimaan riskeistä johdonmukaisesti ja tehokkaasti. Ideaalitilanteessa riskienhallintaa tulisi ohjata selkeiden ohjausperiaatteiden avulla, jotka määrittelevät organisaation riskienhallinnan tavoitteet, vastuut, menetelmät ja toimintatavat. Yleisimpiä periaatteita riskienhallinnan ohjaamiseen ovat ohjata riskienhallintaa “ylhäältä alas” tai “alhaalta ylös”.
Ylhäältä alas -lähestymistavassa organisaation ylin johto asettaa riskienhallinnan tavoitteet ja strategian sekä määrittelevät vastuut ja menetelmät, joita käytetään riskien tunnistamiseen, arviointiin, hallintaan ja raportointiin. Tämä lähestymistapa varmistaa, että riskienhallinta on koko organisaation kattavaa ja yhtenäistä.
Alhaalta ylös -lähestymistavassa organisaation yksittäiset työntekijät tai tiimit tunnistavat ja arvioivat riskejä oman toimintansa tasolla ja raportoivat niistä ylimmälle johdolle. Tämä lähestymistapa auttaa organisaatiota tunnistamaan riskejä, joita saattaa esiintyä yksittäisissä toiminnoissa, mutta se voi johtaa hajanaisiin riskienhallintamenetelmiin.
Riskienhallinnan ohjausperiaatteet 2023
State of Risk Management Finland -tutkimuksen mukaan riskienhallinnan ohjausperiaatteet “ylhäältä alas” tai “alhaalta ylös” ovat lähes yhtä yleisiä. 29% organisaatioista ohjaa riskienhallintaansa ylhäältä alas kun taas 24% organisaatioista on valinnut periaatteekseen ohjata riskienhallintaa alhaalta ylös.
Huomionarvoisinta, ja ehkä huolestuttavinta on, että State of Risk Management Finland -tutkimuksen mukaan peräti 47% organisaatioissa riskienhallinnan ohjautumiselle ei ole määriteltyjä periaatteita laisinkaan. Tulos on herättää huomiota erityisesti siksi, että valtaosa (67%) näistä organisaatiosta on arvioinut oman riskienhallintansa kypsyystason olevan riskienhallinnan kypsyysmallin kolmannella tasolla, jolle sijoittuvat organisaatiot, joissa riskienhallinnalle on löydetty vastuuhenkilöt ja riskienhallinnassa käytetään omalle organisaatiolle määriteltyjä malleja ja menetelmiä, mutta ne eivät ole osa organisaation käytännön liiketoimintaa. Käytännön riskienhallintatyötä tehdään kuitenkin vain projektiluonteisesti tai määrätyin väliajoin. Riskienhallinnan systemaattinen kehittäminen alkaa vaatia investointeja, osallistamista ja jalkauttamista.
Systemaattisen riskienhallinnan kannalta on erittäin tärkeää, että riskienhallinnan ohjaamiseen määritellään yhtenäiset periaatteet, jotta riskienhallintaprosessi olisi johdonmukainen ja tehokas. Yhtenäiset riskienhallintaperiaatteet auttavat organisaatiota tunnistamaan riskejä, hallitsemaan niitä paremmin ja tekemään päätöksiä riskien suhteen.
Yhtenäiset riskienhallintaperiaatteet auttavat organisaatiota varmistamaan, että riskienhallinta on integroitu kaikkiin organisaation toimintoihin ja päätöksentekoprosesseihin. Näin tehtäessä myös organisaation riskienhallintakypsyys kehittyy ja riskienhallinta kykenee tuottamaan liiketoimintaa edistäviä tuloksia, vähentää mahdollisuuksia riskien toteutumiseen ja siten minimoi vahinkojen ja tappioiden riskiä.
Ilman yhtenäisiä riskienhallintaperiaatteita organisaation riskienhallintaprosessi on hajanainen ja epäjohdonmukainen. Tämä johtaa epäyhtenäiseen riskienhallintatoimintaan eri osastoilla, mikä vaikeuttaa riskien koordinointia ja vähentää organisaation kykyä vastata päätöksenteon tietotarpeisiin.
Miten riskienhallinnan ohjausperiaatteet tulisi määritellä?
Riskienhallinnan ohjausperiaatteiden määrittely tulisi aloittaa organisaation liiketoiminnan tavoitteiden, strategioiden ja riskien tunnistamisella. Tärkeää on myös huomioida organisaation sisäiset ja ulkoiset sidosryhmät ja niiden odotukset riskienhallinnan suhteen.
Seuraavaksi tulisi määritellä vastuut ja roolit organisaatiossa riskienhallinnan suhteen ja varmistaa, että jokaisella vastuuhenkilöllä on selkeä ymmärrys omasta vastuualueestaan.
Tämän jälkeen on tärkeää määritellä käytettävät menetelmät ja työkalut riskien tunnistamiseen, arviointiin, hallintaan ja raportointiin. Tärkeää on myös varmistaa, että organisaatiolla on riittävät resurssit ja osaaminen riskienhallinnan toteuttamiseen.
Lopuksi tulisi määritellä riskienhallinnan raportointimenetelmät ja arvioida riskienhallinnan tehokkuutta säännöllisesti ja tarvittaessa tehdä korjaavia toimenpiteitä.
Riskienhallinnan kolme puolustuslinjaa?
Yksi tapa lähteä määrittelemään riskienhallinnan ohjausperiaatteita on niin kutsuttu kolmen puolustuslinjan malli.
Riskienhallinnan kolmen puolustuslinjan malli on lähestymistapa, jossa riskienhallinta on jaettu kolmeen tasoon. Ensimmäinen puolustuslinja on operatiivinen taso, jossa riskit tunnistetaan ja hallitaan osana päivittäistä toimintaa. Toisessa puolustuslinjassa riskienhallinta on keskitetty tietyille vastuuhenkilöille, jotka valvovat riskienhallintaa ja antavat ohjeita ensimmäiselle puolustuslinjalle. Kolmannessa puolustuslinjassa riippumattomat sisäiset tai ulkoiset tarkastajat arvioivat riskienhallinnan tehokkuutta ja antavat suosituksia parannuksista. Kolmen puolustuslinjan malli auttaa organisaatioita varmistamaan, että riskienhallinta on kokonaisvaltaista, tehokasta ja riippumatonta.
Jos haluat tutustu riskienhallinnan kolmen puolustuslinjan malliin tarkemmin, luo lisää täältä.