Yleistä prosessista

Riskienhallinnan onnistumisen kannalta on oleellista, että riskienhallintaprosessi ja sen osa-alueet ovat selkeästi vastuutettu osaksi normaalia johtamiskäytäntöä esim. liitettynä organisaation tai sen osien kannalta merkittävään päätöksentekoon, toiminnan arviointiin, johtopäätösten tekoon ja korjaavista toimenpiteistä päättämiseen. Organisaatio voi myös selkeästi määritellä, että eritasoisissa päätöstilanteissa sovelletaan erilaisia riskienhallinnan prosesseja.

Riskienhallintaan kuvataan englanninkielisissä teksteissä ilmaisuilla risk management ja managing risk.

Risk management tarkoittaa yleensä riskien hallintaan tarvittavia rakenteita ja käytäntöjä esim:

  • periaatteita,
  • politiikkoja,
  • työnjakoa (kuka tekee ja mitä tekee) sekä
  • ohjeita ja toimintamalleja

Eli miten riskejä tunnistetaan, analysoidaan ja arvotetaan sekä miten niistä raportoidaan. Edellä mainittuja asioita voidaan hallita ja kehittää keskitetysti organisaation johdon nimeämän tahon toimesta. Pienemmissä organisaatioissa vastuu on usein avainhenkilön muuhun toimeen liitettynä. Avainhenkilöllä tarkoitetaan tässä organisaation johtoryhmätasoista tai vastaavaa henkilöä.

Managing risk tarkoittaa miten ko. rakenteita sovelletaan käytännössä tunnistettuihin ja havaittuihin epävarmuuksiin (= riskeihin) eli, miten organisaatio eri tasoilla käytännössä tunnistaa, hallinnoi tavoitteisiin vaikuttavia epävarmuuksia sekä raportoin niistä osana arkipäivän johtamista, päätöksen tekoon liittyvien arviontien tekoa jne.

Riskienhallinta on osana johtamisessa ja päätöksenteossa

  • kun organisaatiossa arvioidaa epävarmuuksia (= riskejä)
  • ydintoiminnan suunnittelussa, kun arvioidaan esim. miksi organisaation lyhyen tai pitkäaikavälin suunnitelmia taikka linjauksia on muutettava
    • uusien uhkien ja/tai mahdollisuuksien johdosta taikka
    • tunnistetuissa uhkissa ja/tai mahdollisuuksissa tapahtuneiden oleellisten muutosten johdosta
  • johdon systemaattisessa ja säännöllisessa seurannassa, kun arvioioidaan esim. tavoitteiden saavuttamista taikka muissa organisaation toimintaa ohjaavissa ja – arvioivissa prosesseissa
  • varmistamassa, että päätöksiin liittyvät epävarmuudet sekä niistä johtuvat oleelliset uhat ja mahdollisuudet ovat päätöksen tekijöiden arvioitavissa ja huomioitavissa päätöstä tehtäessä
  • hyödyntämällä markkina- yms. analyysejä, ja että nämä mielletään osaksi aineistoa, joiden pohjalta arvioidaan organisaatioon ja sen tavoitteisiin liittyviä mahdollisuuksia ja/tai uhkakuvia
  • auttamalla yhdistämään eri lähteistä tulevaa riskipohjaista tietoa johtopäätösten tekemiseen siitä, miten tilanne otetaan haltuun
  • varmistamalla, että läheltäpiti –tilanteet tunnistetaan, raportoidaan ja huomioidaan riskiarvioinneissa
  • jne.

Riskienhallinnan avulla parannetaan näin ollen ylimmän johdon näkemystä, miten organisaation strategisten ja muiden tavoitteiden saavuttamista edesautetaan sekä mitkä tekijät, ja minkälaisin vaikutuksin uhkaavat tavoitteisiin pääsyä.


Tässä riskienhallintaprosessia avaavia huomautuksia.

Prosessi

Riskienhallintaprosessin perustana ovat ulkoisten ja sisäisten taustatietojen määrittely.

Taustatiedoissa määritellään sellaiset organisaatioon kohdistuvat/vaikuttavat tiedot ja olosuhteet, jotka vaikuttavat riskienhallintaprosessin toteuttamiseen.

Taustatietojen tulee olla sellaisessa muodossa, että niistä voidaan saada ymmärrys organisaation toimintaympäristöstä sekä perusta riskienhallintaprosessin tarkoituksemukaiselle ja oikein suunnatulle toteutukselle. Riskienhallintaprosessin tarkoituksena on siten auttaa tunnistamaan yrityksen tavoitteita uhkaavia riskejä, edesauttaa yrityksen johtoa analysoimaan tunnistettuja riskejä ja niiden vaikutuksia sekä päättämään arvioinnin perusteella kullekin riskille parhaiten sopivista hallintakeinoista.

© Suomen Stardardisoimisliitto SFS ry

Vaiheet

Riskienhallintaprosessilla on selkeät päävaiheet. Ensin riskit on tunnistettava ja arvioitava. Sen jälkeen suunnitellaan riskien hallitsemiseksi tarvittavat toimenpiteet. Kolmannessa vaiheessa suunnitellaan miten vahingon sattuessa toimitaan ja miten vahingoista toivutaan.

Viimeisessä vaiheessa tilannetta ja toimenpiteiden vaikutusta seurataan sekä tarvittaessa raportoidaan yrityksen ylimmälle johdolle yrityksen riskitilanteesta (merkittävimmät riskit ja niiden kehitys). Parhaassa tapauksessa toteutuneista riskitapahtumista myös opitaan.

Reagoiminen muuttuneisiin olosuhteisiin

Tilanteet, olosuhteet ja toiminnan suunnittelun perustana olleet oletukset ja ennusteet muuttuvat. Näin ollen ja niiden mukana uhat sekä mahdollisuudet tavoitteiden saavuttamiseksi.

ISO 31000:n määritelmä:
Riski = epävarmuuden vaikutus tavoitteisiin.

  • Vaikutus on poikkeama odotetusta. Se voi olla myönteinen, kielteinen tai molempia, ja se voi käsitellä, luoda tai saada aikaan mahdollisuuksia ja uhkia.
  • Tavoitteilla voi olla eri näkökohtia ja luokkia, ja niitä voidaan soveltaa eri tasoihin.
  • Riski ilmaistaan tavallisesti riskin lähteiden (3.4), mahdollisten tapahtumien (3.5), niiden seurausten (3.6) ja niiden todennäköisyyden (3.7) yhdistelmänä.

Lähde: © Suomen Standardisoimisliitto SFS: SFS-ISO 31000:2018