Prosessin kuvaus

Tässä on erittäin tärkeä huomata, että riskienhallintaprosessissa ei ole kyse organisaation muusta toiminnasta erillisestä prosessista, vaan että riskien hallinnan näkökulmat ja menettelyt on syytä nivoa kiinteästi organisaation olemassa oleviin, normaaleihin liiketoiminnan prosesseihin. Toisin sanoen liiketoiminnassa päätöksiä tehtäessä/valmistellessa aina ovat esillä riskit ja riskienhallinta. Riskienhallintaprosessi kuvaa pikemminkin niitä toimenpiteitä ja askelia, joita tarvitaan eri tasoisten päätöksenteon tukena. Tarkoitus ei ole pystyttää liiketoiminnasta erillään olevaa riskienhallintaprosessia.

Alla olevasta linkistä aukeavassa kuvassa on hahmoteltu liiketoimintaprosessien ja riskienhallinnan kytkentää yleisellä tasolla.

Liiketoimintaprosessien ja riskienhallinnan kytkentä

Riskienhallintaprosessin perustana ovat ulkoisten ja sisäisten taustatietojen määrittely.

Taustatiedoissa määritellään sellaiset organisaatioon kohdistuvat/vaikuttavat tiedot ja olosuhteet, jotka vaikuttavat riskienhallintaprosessin toteuttamiseen.

Taustatietojen tulee olla sellaisessa muodossa, että niistä voidaan saada ymmärrys organisaation toimintaympäristöstä sekä perusta riskienhallintaprosessin tarkoituksemukaiselle ja oikein suunnatulle toteutukselle. Riskienhallintaprosessin tarkoituksena on siten auttaa tunnistamaan yrityksen tavoitteita uhkaavia riskejä, edesauttaa yrityksen johtoa analysoimaan tunnistettuja riskejä ja niiden vaikutuksia sekä päättämään arvioinnin perusteella kullekin riskille parhaiten sopivista hallintakeinoista.

Oleellista on arvioida ja ymmärtää sekä organisaation ulkoista että sisäistä toimintaympäristöä. Toimintaympäristönsä määrittelemällä organisaatio ilmaisee selkeästi omat tavoitteensa, kuvaa ne oleelliset ulkoiset ja sisäiset muuttujat, jotka tulee huomioida riskien hallinnassa.

Ulkoinen toimintaympäristö

Ulkoisen toimintaympäristön tunteminen on välttämätöntä, jotta voidaan varmistaa ulkoisten sidosryhmien tavoitteiden huomioon ottaminen.

Ulkoiseen toimintaympäristöön kuuluu esimerkiksi seuraavia tekijöitä: kansainvälinen, kansallinen, alueellinen tai paikallinen yhteiskunta, kulttuuri, politiikka, lainsäädäntö, viranomaismääräykset, rahoitus, teknologia, talous, luonto tai kilpailukyky.

Sisäinen toimintaympäristö

Sisäinen toimintaympäristö kattaa kaikki organisaation sisäiset tekijät, jotka voivat vaikuttaa tapaan, jolla organisaatio hallitsee riskejä. Tehokkaan riskienhallintaprosessin tulee olla samansuuntainen organisaation kulttuurin, prosessien, rakenteen ja strategian kanssa.

Riskienhallinnan toimintaympäristö määräytyy koko organisaation tavoitteiden mukaan ja organisaation erilaisia osia (projektit, toimintaprosessit, tavoitteet) tulee sen vuoksi tarkastella organisaation yhteisten tavoitteiden pohjalta.

Sisäisen toimintaympäristöön kuuluu esimerkiksi seuraavia asioita:

  • hallintotapa ja organisaatiorakenne
  • tavoitteet ja niiden saavuttamiseen tarvittavat strategiat
  • resurssit (esim. pääoma, henkilöt, järjestelmät ja teknologia)
  • organisaatiokulttuuri
  • tietojärjestelmät, tiedonkulku ja päätöksentekoprosessit
  • organisaation sisäiset ohjeet

Organisaation ja oleellisten organisaation osien (toiminnot, tukifunktiot jne.) tavoitteet, strategiat ja näihin vaikuttavat oleelliset muuttujat tulee tunnistaa ja arvioida. Riskien hallinnassa tarvittavat resurssit tulee arvioida sekä määritellä mandaatti, vastuut ja valtuudet.

Riskienhallintaprosessin toimintaympäristön määrittelyyn voi sisältyä esimerkiksi seuraavia kohtia:

  • riskienhallintatoimintojen tavoitteet lyhyellä ja pitkällä aikavälillä
  • riskinarviointimenetelmät
  • kriteerit ja menettelyt, joilla riskienhallinnan suorituskykyä ja vaikuttavuutta arvioidaan

Riskikriteerien määritteleminen

Ennen kuin mennään syvemmälle riskien arviointiin, organisaatiossa tulee määritellä riskien arvioinnissa käytettävä kriteeristö. Lähtökohtana voidaan pitää sitä, että kriteerit ovat saman suuntaisia organisaation tavoitteiden ja suoritusten arvioinnissa käytettävien kriteerien kanssa. Kriteereissä on myös huomioitava lait ja viranomaisvaatimukset sekä muut mahdolliset organisaatiota sitovat velvoitteet. Kriteereiden tarkoituksenmukaisuutta on arvioita säännöllisesti.

Riskikriteereihin vaikuttavat mm. seuraavat tekijät:

  • kuinka riskejä mitataan
  • miten syy- ja seuraussuhteet huomioidaan
  • kuinka todennäköisyyksiä määritellään
  • mitkä ovat aikavälit, joissa riskien vaikutuksia arvioidaan
  • kuinka kokonaisriskitaso määritetään
  • minkä tasoiset riskit ovat hyväksyttävä tai siedettävä ja mitkä riskit vältetään
  • miten useiden riskien yhdistelmät otetaan huomioon

Riskien tunnistaminen

Organisaation tulee tunnistaa kattavasti kaikki oleelliset strategisia ja muita tavoitteita uhkaavat riskit. Olennainen ja ajantasainen tieto on välttämätöntä riskien tunnistamiseksi. Riskien tunnistaminen kattaa riskin lähteet, vaikutukset, mitä tapahtumia riskien toteutumisesta seuraa ja niiden syyt sekä seuraukset.

Tässä vaiheessa syntyy kattava luettelo niistä riskeistä, jotka voivat mahdollistaa tai estää tavoitteiden saavuttamisen. Riskien tunnistamisen tulee kattaa myös sellaiset riskit, joiden lähde/syy ei ole organisaation hallinnassa. Riskien tunnistamisessa on huomioitava myös riskien seurannais- ja kumulatiiviset vaikutukset. Tunnistamisessa olisi huomioitava myös seuraukset, joissa riskin lähde tai syy ei olisi jostain syystä selvillä.

Organisaation olisi käytettävä sellaisia riskien tunnistamisen työkaluja ja menetelmiä, jotka soveltuvat sen tavoitteisiin ja kykyihin sekä siihen millaisia riskejä todennäköisesti esiintyy organisaation toimintaympäristössä. Sen olisi soveltuvin osin sisällettävä myös taustatiedot, jos niitä on saatavilla. Riskien tunnistamisessa olisi oltava mukana henkilöitä, joilla on tarvittava tietämys.

Riskianalyysi

Riskianalyysissä arvioidaan tunnistettujen riskien merkitykset ja analyysi toimii lähtökohtana päätöksille siitä, miten riskeihin suhtaudutaan ja millaisia toimenpiteitä tarvitaan, ja mitkä ovat tarkoituksenmukaisimmat menetelmät riskien hallitsemiseksi. Riskianalyysi tuottaa informaatiota päätöksentekoon, kun on tehtävä valintoja eri erityyppisten ja eritasoisten vaihtoehtojen kesken.

Riskianalyysiin sisältyy

  • Riskin perussyiden ja positiivisten sekä negatiivisten seurausten analyysi samoin kuin tapahtumien toteutumisen todennäköisyyden arviointi.
  • Yhdellä tapahtumalla voi olla monenlaisia seurauksia, ja se voi vaikuttaa useisiin eritasoisiinkin tavoitteisiin.
  • Oleellista on myös huomioida eri riskien ja niiden perussyiden keskinäiset riippuvuudet
  • Analyysissä on oleellista myös tunnistaa käytössä olevat hallintakeinot sekä huomioitava niiden vaikuttavuus.
  • Seuraukset ja todennäköisyydet tulee ilmaista asianyhteyden mukaisella tavalla sekä huolehdittava, että ne ovat linjassa päätettyjen riskikriteerien kanssa.
  • Taustaoletusten muutosten vaikutukset riskitasoon tulee huomioida ja niistä on raportoitava vaikutuksesta riippuen esim. välittömästi tai määräaikaisraporteissa.

Riskianalyysin yksityiskohtaisuus

  • Riippuu siitä, minkä tasoisia tavoitteita uhkaavia riskejä analysoidaan.
  • Käytettävissä olevan informaation luotettavuudesta ja ajantasaisuudesta.
  • Käytettävissä olevista resursseista.
  • Analyysi voi olla laadullinen tai määrällinen taikka yhdistelmä molemmista riippuen analyysin tavoitteista ja käytettävän informaatiosta.
  • Seurauksien ja niiden todennäköisyyksien määrittäminen voidaan toteuttaa mallintamalla, jos käytettävissä on esim. tapahtumista riittävä määrä tietoaineistoa.
  • Seurausten vaikutukset voidaan ilmaista aineellisina (euroa, aikaa jne.) tai aineettomina (työilmapiiri, kulttuuri jne.) määreinä.
  • Saatetaan myös tarvita useampia määreitä kuvaamaan seurauksia ja niiden todennäköisyyksiä erilaisissa tilanteissa (aika, paikka jne.).

Riskien merkityksen arviointi

  • Tarkoitus on auttaa tekemään päätöksiä siitä,
    • mitkä riskit ovat oleellisia ja merkityksellisiä organisaation tavoitteiden näkökulmasta.
    • sekä mikä on riskien tärkeysjärjestys hallintatoimenpiteiden toteuttamiseksi
  • Riskin merkittävyyden (riskitaso) vertaaminen määriteltyihin riskikriteereihin auttaa myös päättämään tarkoituksenmukaisista toimenpiteistä riskiin suhtautumisessa.
  • Riskin merkittävyyden arvioinnissa voidaan päätyä myös syvällisemmän/laajemman lisäanalyysin tekemiseen.
  • Organisaation suhtautuminen riskeihin sekä niiden riskitasoihin ja huomioimalla päätetyt riskikriteerit voi johtaa myös siihen, että riskin hallitsemiseksi nykyiset toimenpiteet ja keinot ovat riittävät.

COSO:n ajatukset Riskien arvioinnista (2012)

Riskien käsittelyyn sisältyy yhden tai useamman riskinkäsittelytavan valitseminen. Riskin käsittelytapa tarkoittaa sitä, minkälaisia hallintakeinoja otetaan käyttöön riskin pitämiseksi päätetyllä riskitasolla taikka miten voimassaolevia hallintakeinoja mahdollisesti muutetaan.

Riskien käsittelyyn kuuluu oleellisesti riskien käsittelyn vaikuttavuuden arvioiminen. Siihen kuuluvat näin ollen päätökset siitä, onko hallintakeinoista päättämisen jälkeinen riskitaso (jäännösriski) hyväksyttävissä. Mikäli näin ei ole otetaan ko. riskit uuteen käsittelyyn.

Riskien käsittelyn vaihtoehtoja voivat olla esimerkiksi:

  • Riskin välttäminen, jos päätetään olla jatkamatta liian riskipitoista toimintaa (tai ei edes aloiteta).
  • Päätetään ottaa riskiä taikka lisätä jo olemassa olevaa riskiä mahdollisuuden hyödyntämiseksi.
  • Toimenpiteillä kyetään poistamaan riskin syy/lähde.
  • Toimenpiteillä pyritään muuttamaan tapahtumisen todennäköisyyttä.
  • Valituilla hallintatoimenpiteillä voidaan vaikuttaan seurauksien toteutumiseen tai niiden vaikutuksiin.
  • Jaetaan riskiä yhden tai useamman osapuolen/kumppanin esim. sopimusteitse tai rahoitusjärjestelyin.
  • Riskin toteutumisen taloudellista menetystä voidaan vähentää vakuutusteknisin ratkaisuin.
  • Päätetään riittävään tietoon ja huolelliseen analyysiin perustuen säilyttää olemassa oleva riskitaso valituilla toimenpiteillä.

Riskinkäsittelytavan valinta

Sopivimmista riskinkäsittelytavoista päätettäessä tehdään kustannus- ja hyötyanalyysit sekä huomioidaan luonnollisesti lakien, viranomaisten ja muut vaatimukset.

Päätöksenteossa olisi myös otettava huomioon esimerkiksi vakavat mutta harvinaiset riskit (eli riskit, joilla toteutuessaan on hyvinkin vakavia seurauksia mutta joiden todennäköisyys on arvioitu pieneksi).

Riskikäsittelyssä on huomioitava organisaatio kokonaisuutena, ja jos riskinkäsittelyn toimenpiteet voivat vaikuttaa organisaation muihin osiin tai sidosryhmiin, nämä tahot tulee saada mukaan päätöksentekoon.

Kun päätetään tai toteutetaan riskinhallintatoimenpiteitä, näistä saattaa aiheuttaa uusia riskejä. Esimerkiksi toimenpiteissä epäonnistuminen voi olla merkittäväkin riski.

Seurausriskit tulee ottaa mukaan normaaliin riskihallintaprosessiin. Seurausriskit on käsiteltävä yhdessä alkuperäisen riskin kanssa, jotta säilytetään näiden riskien väliset yhteydet.

Seurannan täytyy olla olennainen osa riskikäsittelyä, jotta toimenpiteet varmasti pysyisivät vaikuttavina.

Riskienkäsittelysuunnitelma

Riskienkäsittely päättyy riskien hallintasuunnitelmaan, joka voidaan sisällyttää riskien tunnistamisessa ja arvioinnissa syntyvään dokumentaatioon. Joissakin tapauksissa riskien hallintasuunnitelma voidaan laatia myös omana dokumenttinaan.

Riskinkäsittelysuunnitelmassa (riskienhallinnan toimenpidesuunnitelma) tulee:

  • selkeästi ilmaista, missä järjestyksessä yksittäiset toimenpiteet toteutetaan.
  • perustella riskinkäsittelytapojen valinnat (esim. kustannukset/hyödyt)
  • dokumentoida suunnitelman hyväksymisestä ja toteuttamisesta vastuussa olevat sekä ajoitus aikatauluineen
  • päätetyt riskienhallinnan toimenpiteet resursseineen
  • toimenpiteiden ja niissä onnistumisen seuraamiseksi mittarit
  • kirjata organisaatiorakenteen huomioon ottavat raportointi- ja seurantamenettelyt.

Seurantaa kuuluu välttämättömänä osana riskienhallintaprosessiin. Seurannan on oltava systemaattista ja siinä on huomioitava organisaation toimintaympäristö ja sen muutokset riittävän tehokkaasti. Säännöllinen valvonta kuuluu oleellisena osana seurantaan ja se voi olla määrävälein tapahtuvaa ja/tai tilannekohtaista.

Organisaatiossa seurannan tulee kattaa koko riskienhallintaprosessi, jotta

  • Seurantavastuut tulee määritellä selvästi organisaation eri tasoille.
  • Voidaan varmistua hallintakeinojen ovat vaikuttavuudesta ja tehokkuudesta. Eli että riittävät hallintakeinot ovat olemassa, ja että ne toteutetaan kuten on päätetty.
  • Voidaan parantaa ja kehittää riskien tunnistamista (tunnistetaan uudet riskit) sekä arviointia (löydetään uusia arviointimenetelmiä).
  • Voidaan tunnistaa ja analysoida tapahtumia (esim. läheltä piti -tilanteet), muutoksia ja kehityssuuntia sekä otetaan oppia onnistumisista ja epäonnistumisista.
  • Havaitaan ulkoisen ja sisäisen toimintaympäristön sellaiset muutokset, jotka vaikuttavat riskien merkittävyyteen tai toimenpiteiden vaikuttavuuteen.
  • Toteutetaan riittävän uudelleen arvioinnit, jotka mahdollisesti johtavat riskien tärkeysjärjestyksen muuttumiseen.
  • Riskikriteerien muuttuessa myös suoritetaan mahdollinen riskien tärkeysjärjestyksen uudelleen arviointi.

Riskien käsittelysuunnitelmien toteuttamisen edistyminen toimii myös yhtenä suorituskyvyn mittarina. Riskienhallinnan mittarit olisi yhdenmukaistettava mahdollisimman sujuvasti organisaation toimintamittariston kanssa. Tuloksia voidaan hyödyntää organisaation yleisen suorituskyvyn hallinnassa, mittauksissa ja ulkoisessa ja sisäisessä raportoinnissa.

Seurannan tulokset olisi dokumentoitava ja niistä tulee raportoida sisäisesti sovituin menettelyin sekä soveltuvin osin myös ulkoisesti.