Riski
Riski on tuttu käsite sijoittajille, yrityksen- ja projektinjohtajille ja kaikille päättäjille. Riski on mahdollisuus, että tapahtuu jotain, jolla on haitallisia seurauksia. Määritelmään sisältyvät siten sekä todennäköisyys että seuraukset.
Organisaatiolle riski on mahdollisuus, että tapahtuu jotain, joka vaikuttaa strategian ja toiminnallisten tavoitteiden toteutumiseen.
Joidenkin mielestä riski voi olla myös positiivisen tapahtuman mahdollisuus. Tällä kurssilla rajaudumme kuitenkin ei-toivottuihin riskeihin ja niiden hallintaan.
Strategiset ja operatiiviset riskit
Organisaatiolla on sekä strategisia että operatiivisia riskejä.
Strategiset riskit voivat vaarantaa strategisten tavoitteiden saavuttamista. Ne ovat vääriä valintoja tai hukattuja mahdollisuuksia. Esimerkiksi yritys voi pyrkiä markkinoille, joilla sillä ei ole mahdollista menestyä tai se voi jättää panostamatta teknologiaan, joka synnyttäisi sille kilpailuetua. Pahimmassa tapauksessa strategiset riskit uhkaavat koko yrityksen olemassaoloa.
Operatiiviset riskit ovat taas päivittäiseen toimintaan liittyviä ja yleensä ihmisten aiheuttamia. Niitä ovat esimerkiksi projektitoiminnan tai IT:n riskit.
Operatiiviset riskit voivat joskus olla myös ulkopuolisia tapahtumia, joihin itse ei voi vaikuttaa. Sodat, talouspakotteet ja ilmastonmuutoksen seuraukset ovat esimerkkejä niistä.
Riskienhallinta
Riskienhallinta pyrkii turvaamaan organisaation toiminnan jatkuvuuden ja henkilöstön hyvinvoinnin tunnistamalla riskejä ja varautumalla niihin.
Suositun COSO ERM -mallin mukaan yrityksen tai muun organisaation riskienhallinta, Enterprise Risk Management (ERM), koostuu seuraavista osista:
- Johtaminen ja kulttuuri (Governance & Culture)
- Strategia ja tavoitteiden asettaminen (Strategy & Objective-Setting)
- Riskien käsittely (Performance)
- Katsaukset ja ajan tasalla pitäminen (Review & Revision)
- Informaatio, viestintä ja raportointi (Information, Communication & Reporting)
Johtaminen, kulttuuri ja strategia
ERM on ylimmän johdon vastuulla. Se määrittelee, miten yritys organisoi ja toteuttaa riskienhallintaa ja edistää suotuisan riskikulttuurin kehittymistä.
Suurten yritysten ja julkisten organisaatioiden johdon on pohdittava, miten se järjestää toimiala-, yksikkö- ja toimintotason riskienhallinnan. Pienempien yritystenkin on määriteltävä koko organisaation ja eri toimintojen riskienhallintamalli.
Johto asettaa riskienhallinnalle tavoitteet ja tekee strategisia valintoja. Tärkeä lähtökohta on organisaation riskinottokyky ja -halu. Miten organisaatio varautuu riskeihin, on myös strateginen valinta. Joillekin varautuminen voi tarkoittaa esimerkiksi vakuuttamista, toisille investointien tai toimintojen hajauttamista.
Riskien käsittely, ylläpito ja viestintä
Riskien käsittely koostuu tunnistamisesta, analysoinnista ja hallinnasta. Tarkastelemme näitä tarkemmin kurssin toisessa osassa.
Päivittäiseen riskienhallintaan ja viestintään organisaatiot käyttävät erilaisia työkaluja. Johto haluaa kokonaisnäkymän, kun taas erilaiset toiminnot, kuten projektinhallinta, kaipaavat tarkempaa tietoa yksittäisistä riskeistä.
Tyypillinen hallinta- ja viestintätyökalu ovat riskirekisterit. Ne ovat joko taulukoita tai ohjelmistoja, jotka luetteloivat riskejä, niiden todennäköisyyttä, vaikutuksia ja hallintakeinoja. Rekisteri voi olla koko organisaation kattava tai toimintokohtainen. Esimerkiksi rahoitus- ja projektiriskeille voi olla omat rekisterinsä.
Riskisalkku on eri toimintojen yhteinen strategisten ja operatiivisten riskien hallintatapa ja -väline. Se sisältää riskirekisterin tietojen lisäksi johtamiseen liittyvää informaatiota ja automatisoi tiettyjä hallintatoimia. Riskisalkku voi kytkeytyä muihin johtamisen salkkuihin, kuten strategia-, projekti- ja investointisalkkuihin.