Riskienhallintapolitiikka linjaa ja määrittelee organisaatiossa harjoitettavaa riskienhallinnan tavoitteita, menettelytapoja ja organisointia. Se on yleensä hallituksen tai vastaavan elimen hyväksymä periaatedokumentti, jonka tulee olla osa organisaation johtamista ja ohjausta.
Riskienhallintapolitiikan on tarkoitus tukea strategian toteutumista ja siten sen tuleekin olla linjassa organisaation vision, toiminta-ajatuksen ja arvojen kanssa. Politiikassa määritellään, mitä riskillä tarkoitetaan sekä keskeiset riskienhallinnan päämäärät ja tavoitteet, riskienhallinnan organisointi sekä vastuut.
Riskienhallintapolitiikassa määritellään usein myös raportointikäytännöt organisaation eri tasoilla ja miten kokonaiskuva riskeistä raportoidaan. Samoin politiikassa voidaan kuvata organisaation merkittävimmät riskialueet sekä miten riskienhallinnassa onnistumista mitataan.
Organisaation ympäristö ja siten myös riskit ovat jatkuvan muutoksen alla. Tästä johtuen riskienhallintapolitiikka tulee arvioida säännöllisesti ja se tulee tarvittaessa sopeuttaa muuttuneeseen toimintaympäristöön/riskeihin.
Riskienhallintapolitiikan lisäksi yleensä laaditaan myös toiminnallisemmat käytännön periaatteet siitä, mitkä ovat riskienhallinnan tavoitteet samoin kun kuvataan myös riskienhallinnan strategiat ja prosessit.
RISKIENHALLINTAPOLITIIKAN TIIVISTELMÄ
Johdanto
Politiikassa kuvataan organisaation riskienhallinnan päämäärät ja periaatteet, organisointi ja vastuut sekä toimintatavat. Lisäksi voidaan mainita mihin viitekehykseen/viitekehyksiin riskienhallintapolitiikka pohjautuu.
Riskienhallinnan periaatteet
Kuvataan/todetaan toiminnan systemaattisuus, kattavuus ja tarkoituksenmukaisuus sekä mitä riskienhallintaprosessiin kuuluu (esim. riskien tunnistaminen, arviointi, hallinta sekä valvonta). Todetaan sen olennaisuus osana suunnittelu- ja johtamisprosessia, päätöksentekoa, päivittäistä johtamista ja toimintaa sekä valvonta- ja raportointimenettelyjä.
Riskienhallinnan toteutuksen periaatteita (esimerkkejä):
- Tavoitteiden asettaminen liiketoimintamahdollisuudet ja riskit huomioiden.
- Strategiavalinnoissa päätetyissä rajoissa otetaan tietoisia ja arvioituja riskejä.
- Riskejä arvioitaessa huomioidaan taloudelliset näkökohdat, vaikutukset ihmisiin, ympäristöön ja maineeseen.
- Operatiivisia ja vahinkoriskejä vältetään tai minimoidaan.
- Työntekijöille varmistetaan turvallinen työympäristö.
- Jatkuvuuden turvaamiseksi varmistetaan kriittiset toiminnot ja niiden tarvitsemat resurssit.
- Olennaisten riskien toteutumisten varalta on olemassa kriisi-, jatkuvuus- ja toipumissuunnitelmat.
- Huolehditaan riittävästä vakuutusturvasta.
Riskin määrittely ja riskien luokittelu
Kuvataan, mitä riskillä tarkoitetaan ja miten riskit luokitellaan (esim. strategisiin, taloudellisiin, operatiivisiin ja vahinkoriskeihin). Luokittelussa voidaan huomioida myös aikajänne – lähiajan riskit, pitemmän ajan riskit, strategiajakson riskit.
Kuvataan, mitä erilaisilla riskiluokilla tarkoitetaan esim. strategisella riskillä voidaan tarkoittaa epävarmuutta strategisten tavoitteiden saavuttamisesta, tällöin on usein kyse toimintaympäristön muutoksista (yleinen taloustilanne, asiakkaiden ostokäyttäytyminen, kilpailijoiden toiminta jne).
Muista organisaation päättämistä riskiluokista voidaan antaa vastaavat kuvaukset.
Jokin erityisen oleellinen riskialue voidaan kuvata erikseen hallintamenettelyineen.
Riskinottohalu ja riskinkantokyky
Riskinottohalu voidaan märitellä esim. riskin kokonaismääräksi, jonka organisaatio tiettynä aikana on valmis ottamaan tavoitteisiin pyrkiessään. Riskinottohalu ei kuitenkaan tarkoita, että se olisi yksi luku. IRM:n Risk appetite and tolerance -sivulla asiaa on valotettu enemmän. Tästä voi lisäksi ladata ilmaisen tiivistelmän IRM’s Executive Summary on Risk Appetite and Tolerance
Riskinkantokyky voidaan puolestaan kuvata resurssien määrinä (esim. tulos, kassavirta, omavaraisuusaste), jota vastaan riskiä ollaan valmiita ottamaan.
Vastuut riskienhallinnassa
Kuvataan, kenellä on ensisijainen vastuu riskienhallinnan toteuttamisesta ja valvonnasta. Lisäksi kuvataan mahdollisen riskienhallinnan asiantuntijaorganisaation vastuut, valtuudet ja tavoitteet.
Riskienhallintaprosessi
Riskien tunnistaminen, arviointi ja hallintatoimenpiteet
Kuvataan, miten tavoitteita uhkaavat riskit tunnistetaan, arvioidaan, priorisoidaan ja hallintaan esim:
- Mitä työkaluja ja mittareita riskiarvioinneissa käytetään.
- Mihin riskienhallintatoimenpiteet kohdistetaan.
- Mitä keinoja milloinkin käytetään.
- Miten hallintatoimenpiteet vastuutetaan ja aikataulutetaan.
Hallintatoimenpiteiden seuranta
Kuvataan, miten vastuujohto seuraa riskienhallinnan onnistumista ja raportoi riskeistä sekä hallintatoimenpiteiden edistymisestä.
Riskienhallinnan ohjaus ja tuki
Kuvataan, miten riskienhallintaa ohjataan, kehitetään ja valvotaan koko organisaatiossa.
Jos organisaatiossa on erillinen riskienhallintatoiminto, kuvataan sen vastuut ohjeistuksesta, työkalujen kehittämisestä riskienhallintaprosessin valvonnasta ja riskiraportoinnista.
Riskiraportointi
Kuvataan raportointiperiaatteet, toiminnat ja vastuut. Voidaan myös kuvata, miten esim. organisaatiotasoinen riskikartta tuotetaan, miten olennaiset muutokset merkittävimmissä riskeissä ja epävarmuustekijöissä raportoidaan jne.