Riskien arvioiminen
Tässä artikkelissa käsittelemme riskienhallintaprosessin kriittisintä vaihetta — riskien arvioimista. Liiketoimintaa rasittavat riskit tulee tunnistaa, luokitella ja arvioida, että niille voidaan määritellä asianmukaisia ja tehokkaita riskienhallintakeinoja ja riskienhallintamenetelmiä. Tässä artikkelissa käymme läpi riskien arvioinnin perusperiaatteita ja toimintamalleja. Sivuamme myös keinoja siihen miten riskejä voidaan arvioida yhteismitallisesti organisaation eri liiketoiminta-alueilla.
Riskien arvioiminen on riskienhallintaa
Tosiasia on, että toisinaan riskit realisoituvat, eikä asialle voi mitään. Itse asiassa, osa toimintaa uhkaavista riskeistä on sellaisia, että niiden voikin antaa realisoitua ilman, että se vaikuttaa merkittävästi toimintamahdollisuuksiin. Kaikki riskit eivät siis ole lähtökohtaisesti saman arvoisia.
Mutta miten eri riskien välille on sitten mahdollista tehdä eroja? Arkisen työn lomassa tehty satunnainen riskityö saattaa helposti johtaa tilanteeseen, että riskeihin vain reagoidaan ilman sen suurempia valmiuksia vaikuttaa tilanteeseen. Kaiken arkisen toiminnan keskellä kaikki riskit vaikuttavat helposti enemmän tai vähemmän samanarvoisilta.
Arvioi riskit oikein
Riskienhallinnalla saadaan parhaat tulokset aikaiseksi kun systemaattisesti tunnistetut ja talteen kirjatut riskit myös arvioidaan oikein.
Riskienhallintaprosessin osana riskien arviointiin kuuluu riskien tunnistamisen lisäksi riskianalyysin tekeminen, eli riskien todennäköisyyden ja vaikutusten arviointi, mutta riskien merkityksen arviointi. Riskien tunnistamisen tarkoitus on tunnistaa kaikkein tärkeimmät merkittävimmät riskit, jotka uhkaavat tai mahdollistavat tavoitteiden toteutumisen. Osana riskien arviointia tunnistetaan myös riskien lähteet, eli riskitekijät, vaikutusalueet sekä mahdolliset seuraukset.
Jotta riskienhallintaan varatut resurssit saadaan täsmällisesti hyödynnettyä, on riskienhallintatoimia kyettävä jollain tavalla priorisoimaan. Yleisimmin riskin arvo muodostuu yksinkertaisella laskentatoimenpiteellä, jos riski todennäköisyyden arvo kerrotaan riskin vaikuttavuuden arvolla. Näin syntyvä riskin taso auttaa erottelemaan riskit toisistaan ja priorisoimaan riskeihin kohdennettuja riskienhallintatoimenpiteitä. Koska riskejä esiintyy poikkeuksetta kaikilla liiketoiminnan osa-alueilla voi riskien priorisointi hankaloitua jos riskejä ei kyetä arvioimaan yhteismitallisesti, eli toisiinsa verrannollisina.
Riskien arvioiminen yhteismitallisesti
Riskien arvioinnissa on aina otettava huomioon eri näkökulmat, liiketoiminnan osa-alueet ja osastotkin, mikä tuo riskien vaikutusten mitattavuuteen ja vertailtavuuteen omia haasteitaan, mutta mahdotonta se ei missään nimessä ole. Yksi tapa erotella riskejä on pyrkiä kvantifioimaan ne, eli asettaa kaikille riskeille esimerkiksi euromääräinen arvo, joka kertoo kuinka suuret taloudelliset vaikutukset riskeillä toteutuessaan on.
Tunnistettuja riskejä arvioitaessa on kuitenkin syytä aina muistaa, että riskien vaikutukset tulee aina sovittaa omaan organisaatioon. Kaikkien riskien kääntäminen rahaksi voi olla vaikeaa, ellei jopa mahdotonta. Riskien todennäköisyyden ja vaikutuksen arvioinnin tulee olla suorassa suhteessa.
Vaikutuksen arvioiminen on hyvä aloituskohta, mikä tarkoittaa käytännössä suurimpien realististen vaikutusten arviointia. Todennäköisyys tulee arvioida juuri tuohon tilanteeseen liittyen, että vältetään todellisuudesta irrallaan olevan kriittisten riskien joukko, joka vesittäisi koko arvioinnin lähtökohdat.
Riskien hteismitallisten vaikutusten arviointi on mahdollista tehdä tuloksellisesti viiden eri näkökulman kautta: strategian toteutuminen, operatiivinen toiminta, taloudellinen vaikutus, maine ja johdon toimenpiteet.
Vaikutusasteikko, jolla riskien vaikutuksia yleisimmin arvotetaan, on viisiportainen, jossa alimmalle portaalle sijoittuvat riskit eivät välttämättä edes vaadi minkäänlaisia toimenpiteitä, kun taas ylimmällä asteella riskien seuraamukset saattavat toteutuessaan vaarantaa liiketoiminnan jatkumisen.
Alla oleva taulukko on kätevä työkalu riskien yhteismitalliseen arviointiin, jossa riskien seurauksia arvioidaan asteikolla 1 – 5. Alimmalle portaalle sijoittuvat riskit eivät välttämättä edes vaadi minkäänlaisia toimenpiteitä, kun taas ylimmälle asteelle sijoittuvien riskien seuraukset saattavat toteutuessaan vaarantaa liiketoiminnan jatkumisen.
