Tehokkaan ja toimivan riskienhallinnan perusedellytyksenä on selkeä ja systemaattinen malli riskien arviointiin. Riskiarviointi on prosessi, jossa organisaatio tunnistaa, analysoi ja arvioi siihen kohdistuvia riskejä. Kun riskiarviointi on osa organisaation kulttuuria ja päätöksentekoprosessia, se edistää pitkän aikavälin menestystä sekä auttaa organisaatiota olemaan valmiina kohtaamaan epävarmuutta, johon liittyy sekä uhkia että mahdollisuuksia.
Onnistunut riskiarviointi tukee päätöksenteossa
Riskiarviointi on keskeinen osa organisaation riskienhallintaa. Strategiaan kytkeytyvä riskiajattelu on tehokkaimmillaan sitä, että organisaatiossa aktiivisesti arvioidaan, mitä muutoksia ympäristössä nähdään nyt ja tulevaisuudessa, mitä palveluita tai tuotteita ympäristöön halutaan tarjota ja millaista liiketoimintaa organisaatio haluaa tehdä. Riskiarvioinnin kautta organisaatio tunnistaa, analysoi ja arvioi erilaisia riskejä sekä niiden todennäköisyyksiä ja vaikutuksia organisaation toimintaan. Realistinen ja ajantasainen kuva riskeistä sekä optimaalisesta tavasta hallita niitä tukevat organisaatiota päätöksenteossa ja esimerkiksi kasvumahdollisuuksien löytämisessä.
Riskiarviointi mahdollistaa organisaation resurssien tehokkaamman kohdentamisen ja paremman reagoinnin kriiseihin ja odottamattomiin tapahtumiin. On tärkeä huomata, että riskienhallinnan ja siihen liittyvän riskiarvioinnin ei ole tarkoitus olla vain hallinnollinen lisä, vaan sillä on oleellinen merkitys resurssien ja kehitystoiminnan kohdentamisessa tärkeimmille alueille. Kun riskejä tunnistetaan ja hallitaan tehokkaasti, organisaatio voi lisätä mahdollisuuksiaan menestyä niin haastavina kuin mahdollisuuksia täynnä olevina aikoina.
Riskienhallinnassa ensimmäinen askel väärään suuntaan on sitoutua siihen pelkästään byrokratian ja ulkoisten vaatimusten vuoksi. Todellinen motivaatio tunnistaa riskejä tulisi juontaa organisaation tavoitteista, sillä riskienhallinnalla on keskeinen rooli niiden saavuttamisen tukemisessa.
Kun riskienhallinta on osa organisaation kulttuuria ja arkea, se voi edistää toimintavarmuutta ja vastuullista päätöksentekoa kaikilla tasoilla tavoitteisiin peilaten.
Riskiarviointi kasvattaa organisaation riskitietoisuutta: enemmän tietoa, parempia päätöksiä
Riskiarviointi auttaa organisaatiota löytämään oikean suhtautumisen eri riskeihin ja ymmärtämään niiden vaikutuksia syvemmin. Tämä helpottaa hahmottamaan, mitä riskejä organisaation toiminnassa voidaan hallitusti ottaa, mikä puolestaan tukee strategista päätöksentekoa ja liiketoiminnan kasvua. Riskiarvioinnin ydin on organisaation tunnistettavien riskien erittelyssä sekä analysoinnissa, jotta voidaan määrittää, kuinka tehokkaasti nykyiset riskienhallintaprosessit toimivat sekä tunnistaa tarvittaessa niille kehittämismahdollisuuksia.
Syvemmissä riskiarvioinneissa korostuu kattava datan hyödyntäminen, kun taas kevyemmin toteutettuna ja niin kutsutussa laadullisessa arvioinnissa painottuu arviointiprosessiin osallistuneiden näkemys tilanteesta. Laadullisen riskiarvioinnin kritiikkinä esitetään huoli siitä, että arviointi voi yksinkertaistaa ja yksipuolistaa riskien ymmärtämistä, kun se perustuu enemmän henkilökohtaisiin näkemyksiin kuin objektiiviseen dataan. Kuitenkin laadullisenkin riskiarvioinnin käyttö voi tuoda arvokasta näkemystä organisaatiolle, mutta sen rajoitukset on hyvä tiedostaa.
Suosittelemme, että riskiarviointi tehdään mieluummin kevyenä kuin ei ollenkaan. Riskiarvioinnin lisäarvo – tekotavasta riippumatta – tulee organisaation riskitietoisuuden kasvattamisesta. Riskitietoisuus mahdollistaa paremman varautumisen sekä nopeamman reagoinnin silloin, kun riski realisoituu. Loppukädessä riskiarvioinnissa on nimenomaan kyse perustellun päätöksenteon tukemisesta. Kun riskienhallinta on osa organisaation kulttuuria ja arkea, se voi edistää toimintavarmuutta ja vastuullista päätöksentekoa kaikilla tasoilla tavoitteisiin peilaten.
Riskien tunnistamisessa ei etsitä ja kirjata olemassa olevia ongelmia, vaan tärkeämpää on keskittyä epävarmuuksiin – eli mahdollisiin riskitapahtumiin.
Syy ja seuraus: riskiarvioinnin vaiheet ja menetelmät
Riskiarviointi on looginen käsittelyketju, jonka tarkoituksena on kehittää organisaation ymmärrystä riskeistä ja määrittää perusteltu suhtautumistapa riskeihin. Alle on nostettu muutama oleellinen huomio kuhunkin arvioinnin vaiheeseen:
1) Riskien tunnistaminen
Ensivaiheessa riskien tunnistamisen edellytyksenä on riskin käsitteen selkeyttäminen. Riskien tunnistamisessa ei etsitä ja kirjata olemassa olevia ongelmia, vaan tärkeämpää on keskittyä epävarmuuksiin – eli mahdollisiin riskitapahtumiin. Näin analyysi on jo lähtökohtaisesti ennakoivaa ja tulevaisuuteen katsovaa.
Riskien tunnistamisessa voidaan hyödyntää organisaation omaa tai ulkoista riskikäsitteistöä, joka jakaa mahdollisen riskijoukon eri osa-alueisiin. Riskikäsitteistö tukee kattavaa tunnistamista, koska mallin osa-alueet ohjaavat ajattelemaan laajasti eri riskikategorioita. Kuitenkaan mikään kategorisointimalli ei ole täydellinen, vaan riskejä voi toteutua myös listan ulkopuolelta. Tunnistaminen edellyttääkin muutosten ymmärtämistä ja mallien jatkuvaa kehittämistä.
2) Riskien analysointi ja merkityksen arviointi
Kun organisaatio on tunnistanut oleellisimmat riskit, ajatteluprosessi jatkuu riskien tarkempaan analysointiin ja oleellisuuden määrittämiseen. Analyysitapoja on monia, kuten on myös perusteita eri tapojen hyödyntämiselle. Tärkeintä on, että käytetty analysointitapa on käytännönläheinen ja soveltuva, ja että sen rajoitteet myös ymmärretään.
Hyvin tyypillinen analysointitapa nojaa riskin vaikutuksen ja toteutumistodennäköisyyden arviointiin määritellyllä asteikolla. Tämän kaltainen merkityksen arviointi on hyvä lähtökohta riskien priorisoinnille. Usein vaikutusarvioinnissa korostuu perustellusti taloudellinen näkökulma ja suorat euromääräiset vaikutukset. Vaikutuksen arvioinnissa on kuitenkin oleellista huomioida myös muita yhtiölle tärkeitä näkökulmia, jotka eivät kytkeydy välittömään taloudelliseen vaikutukseen.
On kuitenkin syytä huomioida, että kahden kriteerin avulla toteutettu arviointi ei tarjoa kattavaa kuvaa riskistä. Siksi tarkempi analysointi riskien toteutumisen syistä ja seurauksista on usein tarpeellinen.
3) Hallinnan lähestymistavan määritys ja riskien seuranta
Riskien merkityksen tarkastelun jälkeen organisaation tulee varmistua siitä, että riskit on huomioitu riittävällä ja oikeasuhtaisella tavalla. Osaa riskeistä, kuten vahinkoriskejä, pyritään useimmiten välttämään eri keinoin ja niiden mahdollista vaikutusta halutaan myös selkeästi rajata. Toisaalta osassa riskeistä organisaatiolla on kyky ja halu ottaa hallittuja riskejä tavoitteidensa saavuttamiseksi. Organisaation on siis tärkeää selvittää riskikohtaisesti seuraavat näkökulmat:
- Miten riskiä halutaan lähtökohtaisesti hallita?
- Mitä riskin hallitsemiseksi tehdään jo nyt?
- Onko riski hallittu riittävällä tasolla vai tarvitaanko lisätoimia?
- Ovatko hallintatoimet kokonaisuutena kustannustehokkaita ja perusteltuja?
Riskit myös kehittyvät toimintaympäristön muutoksen ja organisaation oman toiminnan kautta. Tästä syystä on tärkeää ylläpitää ajantasaista kuvaa riskeistä sekä arvioida kriittisesti myös valittua lähestymistapaa riskien hallintaan.
Kattava ratkaisu riskianalyysien tekemiseen
Deloitten Risk Force -palvelu tarjoaa teknologia-alustan, joka mahdollistaa kattavan kvalitatiivisen riskitiedon analysoinnin osallistavalla lähestymistavalla sekä ammattimaista tukea analyysien tekemiseen. Tämä tarkoittaa, että organisaation eri osapuolet osallistuvat aktiivisesti riskien arviointiin ja analysointiin, mikä rikastuttaa riskitietoa ja parantaa riskiarvioiden tarkkuutta. Osallistava lähestymistapa edistää myös riskitietoisuuden kasvattamista organisaatiossa, koska riskit käsitellään yhdessä ja sidosryhmien ymmärrys riskeistä syvenee.
Kuinka hyvin organisaationne riskienhallinta on tällä hetkellä järjestetty? Olisiko nyt oikea hetki harkita riskiarvioinnin käynnistämistä?
Ota yhteyttä
Tuomo Salmi
Tuomolla on yli 30 v kansainvälinen kokemus riskienhallinnan ja sisäisen valvonnan arvioinnista ja kehittämisestä suuryrityksissä. Hänen erikoisalaansa ovat corporate governance, kokonaisvaltainen riskienhallinta, strategiset riskit ja sisäiset tarkastukset. Tuomo myös johtaa Suomessa Deloitten Boardroom -ohjelmaa. Briefly in English: Tuomo has more than 30 years of international experience in risk management and internal controls from large companies. He is experienced in corporate governance, comprehensive risk management, strategic risks and internal audits. Additionally, Tuomo leads Deloitte's Boardroom program in Finland.
Tomi Seppä
Toimi toimii Deloittella riskienhallinnan ja sisäisen tarkastuksen palveluissa. Tomilla on yli 10 vuoden kokemus Deloittella, sisältäen useita kokonaisvaltaisen riskienhallinnan ja sisäisten kontrollien kehityshankkeita sekä sisäisen tarkastuksen projekteja. Tomi vastaa myös Deloitten Risk Force -riskienhallintateknologiaan liittyvistä palveluista. Briefly in English: Tomi work at Deloitte Finland providing services related to Risk Management and Internal Audit. He has over 10 years of experience at Deloitte, including many ERM and Internal Control development projects as well as outsourced and co-sourced internal audit projects. Tomi is also responsible for Deloitte’s Risk Force risk management technology solutions and services.