Ajankohtaista

Riskienhallinta johtamisen välineeksi

insight featured image
Riskienhallinta on aina ajankohtaista, mutta viime vuosien tapahtumat ovat nostaneet sitä ihan uudella lailla yritysten fokukseen. Ihan jokaisessa organisaatiossa sekä epätodennäköisiin että lähes varmuudella toteutuviin tulevaisuuskuviin voidaan varautua toimivalla riskienhallinalla. Tässä tekstissä kerrotaan miten tehdä riskienhallinnasta tehokas väline johtamisen tueksi.
Riskienhallinta johtamisen välineeksi

Verkkorikollisuus ja tietoturvauhat lisääntyvät koko ajan. Ukrainan sota ja pandemiasta johtuva komponenttipula ovat nousseet monessa yrityksessä aidoiksi uhiksi organisaation toiminnalle. Osasta näistä riskeistä ei vielä viisi vuotta sitten ollut minkäänlaista näkymää, mutta niin vain ne ovat realisoituneet asioiksi, joihin yritysten on omalla toiminnallaan pitänyt vastata. 

Mitä riskienhallinta on?

Mitä riskienhallinta oikeastaan edes on? Tai mitä sanalla riski tarkoitetaan? Tähän on monta koulukuntaa, mutta virallisen SFS-ISO 31000-standardin mukaan ”Riski on epävarmuuden vaikutus tavoitteeseen.”

Riskienhallinnan perusedellytyksenä on siis, että yritys on määritellyt itselleen tavoitteet, joihin liittyy epävarmuutta. Näiden tavoitteiden ja riskien välillä on usein riippuvuussuhde: Mitä korkeammat tavoitteet, sitä suurempia riskejä yrityksen tulee olla valmiina ottamaan niihin päästäkseen. High risk – high reward.

ISO-standardeissa korostetaan nykyään, että riski voi olla joko organisaatiolle negatiiviinen uhka tai sille positiivinen mahdollisuus. Eli riski voidaan nähdä myös positiivisena asiana. Tällä kertaa keskitytään kuitenkin niihin negatiivisiin riskivaikutuksiin, joihin yritysten tulisi osata varautua.

Riskienhallinta on juuri tätä varautumista eli niitä toimenpiteitä ja prosesseja, joilla tunnistetaan ja tehdään varautumismalleja mahdollisesti toteutuvien riskien varalta. Se tukee omalta osaltaan strategian toteuttamista ja liiketoiminnan tavoitteiden saavuttamista.

Riskienhallinta osana yrityksen johtamista ja hallinnointia

Riskienhallinta_corporate governance_hyvä hallinointitapa.png

Riippumatta yrityksen koosta tai yhtiömuodosta, niin riskienhallinta on aina osa hyvää hallinnointitapaa, corporate governance. Sen kanssa käsi kädessä kulkee termi sisäinen valvonta. Sisäisellä valvonnalla varmistetaan, että toimitaan oikein niin kuin halutaan ja riskienhallinnalla varmistetaan, että toimenpiteet kohdistetaan, niin että varmistetaan oikea toiminta. Riskienhallinnan tehtävänä on siis hallinnollisesti varmistaa, että keskitytään oikeisiin asioihin.

Kuka sitten vastaa riskienhallinnasta?

Osakeyhtiölaki vastaa kysymykseen näin:

OYL 6:12.1 ”Hallitus huolehtii yhtiön hallinnosta ja sen toiminnan asianmukaisesta järjestämisestä (yleistoimivalta). Hallitus vastaa siitä, että yhtiön kirjanpito ja varainhoidon valvonta on asianmukaisesti järjestetty.” OYL 6:17.1 ”Toimitusjohtaja hoitaa yhtiön juoksevaa hallintoa hallituksen antamien ohjeiden ja määräysten mukaisesti (yleistoimivalta). Toimitusjohtaja vastaa siitä, että yhtiön kirjanpito on lain mukainen ja varainhoito luotettavalla tavalla järjestetty.”

Sama toistuu myös säätiölaissa: Hallituksella on lopulta päävastuu riskienhallinnasta ja sisäisestä valvonnasta, koska ne ovat osa toiminnan asianmukaista järjestämistä. Hallitus ja ylin johto vastaavat siitä, että nämä asiat ovat olemassa ja oikeilla periaatteilla hoidettu.

Lopullinen vastuu riskienhallinnasta on siis aina ylimmällä johdolla. Se määrittelee periaatteet ja hyväksyy riskienhallintapolitiikan. Ylin johto on lopulta myös se, joka hyväksyy riskit hallintakeinoineen. Ne ovat liiketoiminnan aivan ydinkysymyksiä. Mitä riskejä olemme valmiita ottamaan saavuttaaksemme tavoitteemme? Myöhemmin tässä tekstissä esitellään riskikategoriat, jotka avaavat vähän paremmin millaisia riskejä johto voi päättää hyväksyä ja miten niihin on mahdollista vastata.

Toki myös riskienhallinnalle voi olla aivan oma toimintonsa. Varsinkin suuremmissa yrityksissä ja ulkoisille riskeille alttiissa organisaatiossa tämä onkin melko yleistä. Ei ole silti tarkoituksenmukaista, että vastuu kaikesta organisaation riskienhallinnasta olisi tämän pienen porukan harteilla, vaan sitä pitää ja kannattaa hajauttaa.

Esihenkilöt ovat vastuussa riskienhallinnasta ja sen käytännöntoteutuksesta omassa liiketoiminnossaan ylimmän johdon linjausten mukaisesti. Tällä tasolla on itsenäinen vastuu oman toiminnon riksien nostamisesta ylemmän johdon tai riskienhallintayksikön tietoisuuteen.

 

Riskienhallinta on koko yrityksen asia

Riskienhallinta on lopulta kuitenkin aivan koko yrityksen asia. Käytännön toteutus ja ylimmän johdon määrittelemien periaatteiden noudattaminen on jokaisen työntekijän oikeus ja velvollisuus. Yrityskulttuuri ja riskikulttuuri nousevat tässä kohtaa esiin. Onko meillä kulttuuri, jossa epäkohtia halutaan ja uskalletaan nostaa esiin? Onko tästä tehty positiivinen asia, johon ihmisiä kannustetaan? Jos ei niin, hälytyskellojen pitäisi soida.

Terveessä riskikulttuurissa arvostetaan sitä, että asioita uskalletaan nostaa pöydälle. Riskien arvokkuus ei riipu siitä kuka sen nostaa esiin, vaan sen liiketoiminnallisista vaikutuksista.

 

Riskikategoriat

Organisaatiota koskevia riskejä voidaan jakaa kolmeen eri kategoriaan niiden vaikutusten mukaan (Harward business rewiev, On Strategy vol 2): ehkäistävissä oleviin riskeihin, strategisiin riskeihin ja ulkoisiin riskeihin.

  • Ehkäistävissä olevat riskit – Näihin voidaan vaikuttaa niiden vaikutus kokonaan poistaa yhtiön sisäisillä toimenpiteillä.
  • Strategiset riskit – Riskejä, joita voidaan pyrkiä hallitsemaan. Niiden olemassaolo saatetaan tiedostaa, mutta niiden hyväksymisestä voidaan myös tehdä tietoinen päätös.
  • Ulkoiset riskit – Organisaation toiminnasta riippumattomat riskit. Näiden realisoitumiseen ei voida itse vaikuttaa, mutta niiden mahdollisiin seurauksiin voidaan vaikuttaa varautumalla erilaisiin skenaarioihin.

Alla olevassa taulukossa (lähde: Harward business rewiev, On Strategy vol 2 ) on listattuna yrityksen näkökulmasta näiden eri riskikategorioihin kuuluvien riskien tavoitteita, ohjausmalleja, riskienhallintahenkilöstön roolia sekä riskienhallintatoiminnan suhdetta liiketoimintayksikköön.

Riskikategoriat.png

Monesti kun mahdollisia riskejä aletaan listamaan, niin yllättävää kyllä, huomio on usein kategorian kolme eli ulkoisissa riskeissä. Sitä kyllä mietitään, että toimisto voi syttyä tuleen ilkivallan takia, mutta ei välttämättä sitä, että yhtiön avainhenkilöt voivat riitaantua.

 

Riskienhallinnan järjestäminen – Mistä liikkeelle?

Jos riskienhallinta on organisaatiossa alkutekijöissään, kannattaa lähteä liikkeelle näistä asioista:

  • Määrittele selkeät tavoitteet ja vastuut

Kuten alussa määriteltiin, niin riski on epävarmuuden vaikutus tavoitteeseen. Kaikkien pitää ymmärtää olennaisilta osin, mitä yrityksessä tavoitellaan ja kuka näiden toteutumisesta vastaa, jotta riskejä voidaan ymmärtää ja hallita. Haasteena voivat olla ristiriitaiset tai liian moniselitteiset tavoitteet.

 

  • Valitse sopiva menetelmä riskien tunnistamiseen

Menetelmiä on monia, joista voi valita omalle yritykselleen sopivan.

  • Riskien vapaamuotoinen tunnistaminen
  • Erilaiset valmiit ”riskilistat”
  • Riskianalyysin kohteen pilkkominen
  • Riskilähteiden analysointi
  • Riskianalyysin kohteen toiminnan analysointi
  • Vika- ja vaikutusanalyysi FMEA (failure mode and effects analysis)
  • HAZOP
  • Vikapuu, tapahtumapuu ja muut puumenetelmät
  • Monte Carlo -menetelmät
  • Skenarointi
  • SWOT

Tärkeintä ei ole se minkä menetelmän valitsee, vaan se, että riskejä tunnistetaan systemaattisesti. Kaikkia piileviä riskejä ei voida millään saada esiin listaamalla ne kertaalleen, vaan uusia riskejä tulee olla valmiina ottamaan osaksi riskilistausta sitä mukaan kun niitä nousee esiin. Myös riskeihin varautumista ja niiden hallintakeinoja pitää päivittää jatkuvasti.

 

  • Tunnista ja kirjaa ylös merkittävät riskit

Riskejä kannattaa ehdottomasti kategorisoida niiden vaikuttavuuden mukaan. Kaikkia riskejä on kyllä hyvä listata ylös, mutta tärkeintä on selvittää yritykselle aidosti tärkeät riskit ja hallintakeinot niille. Riskit kannattaakin käyttää ikään kuin suppilon kautta läpi, jotta saadaan erityiseen tarkkailuun ne, jotka pulpahtavat suppilosta ulos liiketoiminnan kannalta merkittävinä.  

 

  • Suunnittele, aikatauluta ja vastuuta hallintatoimet

Usein yrityksissä päästään tällä listalla hienosti etenemään kohtaan kolme asti. Seuranta ja valvonta ovat kuitenkin myös hyvin keskeisessä roolissa onnistuneessa riskienhallinnassa. Kun riskit on tunnistettu, pitää niiden mahdollista toteutumista seurata aktiivisesti. Tähän pitää myös varata resursseja: vastuuhenkilöt hallintatoimille ja heille riittävästi aikaa niiden toteuttamiseen.

 

  • Seuraa ja valvo hallintatoimien edistymistä

 

  • Kehitä yleisesti organisaatiosi sietokykyä

Resilienssi eli valmius vastata yllättäviin tilainteisiin on myös tärkeä osa yleistä riskienhallintaa. Kaikkeen ei voi varautua, mutta koronapandemia ja muut globaalit shokit ovat opettaneet, että yleinen yrityksen sietokyvyn kehittäminen ja vahvistaminen on koko ajan tärkeämpää. Sietokykyä tai resilienssiä edesauttavat muun muassa:

  • Taseen optimointi, vahva maksuvalmius
  • Monipuoliset tuote- ja palvelurakenteet
  • Asiakas- ja markkinasegmenttien laajuus
  • Yleisesti hyvä kilpailukyky
  • Henkilöstön monipuolinen ja laaja-alainen osaaminen
  • Hyvä viestintä
  • Selkeä ja tehokas päätöksenteko

 

  • Opi riskeistä, joita et ole kyennyt tunnistamaan

Muista, että riskienhallinta on jatkuvaa oppimista. Aloita ja iteroi. Tee uudestaan ja paremmin seuraavalla kerralla.

 

Näillä eväillä voit aloittaa matkasi kohti laadukkaampaa riskienhallintaa. Muista vielä, että organisaatio ei voi välttyä riskien kohtaamiselta. Ilman riskinottoa ei voi menestyä, mutta riskejä voi kohdata hallitusti.

 

 

Tutustu aiheeseen syvemmin Roni Kyrkön ja Joonas Pekkisen 5.5. isännöimän webinaarin tallenteen kautta. Webinaarissa käsiteltiin myös laajasti esimerkkejä erilaisten riskikategorioiden mukaisista riskeistä ja toimenpiteistä, joilla näihin voidaan varautua.  

Katso webinaaritallenne

Voit myös ladata myös koostamamme riskienhallinnan tarkistuslista käyttöösi ja tutustua asiantuntijoidemme kirjaamiin yleisimpiin kipukohtiin riskienhallinnan saralla.

Lataa riskienhallinnan tarkistuslista