Riskienhallinta: lisäarvoa vai lisätyötä?

Organisaatioiden riskienhallinta muistuttaa ensivaiheessa yksilön arkipäiväistä riskienhallintaa: tähdätään tapauskohtaisesti vahinkojen ehkäisyyn ja niiden vaikutusten minimointiin. Kasvaessaan organisaation kannattaa kuitenkin panostaa systemaattiseen riskienhallintaan, jossa tavoitteena on tukea organisaation strategista ja operatiivista päätöksentekoa ja säilyttää organisaation toimintakyky tilanteessa kuin tilanteessa.

Lähes kaikkeen inhimilliseen toimintaan liittyy epävarmuutta. Olemme sekä yksityishenkilöinä että työyhteisöjen jäseninä niin tottuneita arvioimaan epävarmuuden vaikutuksia, että tuskin edes huomaamme tekevämme niin. Arvoimme riskien todennäköisyyttä ja vaikutusta tietojemme ja kokemuksemme pohjalta. Tähän arvioon perustamme päätöksen riskin ottamisen hyödyistä ja haitoista.

Suhtautumisemme riskinottoon kuitenkin vaihtelee. Useat meistä ehkä aika ajoin hämmästelevät ystävää tai tuttavaa, joka näyttää olevan valmis ottamaan huikeankin riskin, johon itse emme koskaan olisi valmiita. Toisaalta tunnistamme ihmistyypin, jonka mielestä kaikenlainen epävarmuus on epämukavaa ja sitä on syytä karttaa niin pitkään kuin mahdollista – silläkin kustannuksella, että joitain mahdollisuuksia jää hyödyntämättä.

Arkipäivän riskienhallinnalle on tyypillistä, että arvioimme riskejä tapauskohtaisesti silloin, kun tunnistamme hetkeen liittyvän epävarmuuden. Subjektiivinen arvio riskeistä ei välttämättä perustu harhattomaan käsitykseen epävarmuuden todennäköisyydestä ja sen vaikutuksesta, vaan useinkin aivomme painottavat viimeaikaisia tai muuten voimakkaasti mieleen jääneitä tapahtumia. Saatamme myös pitää tärkeämpänä tietoa, joka vahvistaa omaa ennakkokäsitystämme, tai muiden todelliset tai oletetut mielipiteet saattavat vaikuttaa arvioomme epävarmuuden merkityksestä.

Puutteineenkin tällainen epävarmuuteen liittyvä päätöksenteko on yksityiselle henkilölle useimmiten riittävää. Usein myös organisaatioiden riskienhallinta tähtää ensivaiheessa tapauskohtaisesti vahinkojen ehkäisyyn ja niistä seuraavien vaikutusten minimointiin. Organisaation koon kasvaessa on kuitenkin välttämätöntä kiinnittää huomiota myös siihen, kuinka kasvavaa ja mahdollisesti myös monimutkaistuvaa organisaatiota hallinnoidaan. Organisaatiossa tai sen osissa tarvitaan yhteisiä pelisääntöjä, kommunikaatiota ja erilaisten näkemysten yhteensovittamista.

Kehityslinjan alussa vaikuttavuus ja strategisuus sekä johdon rooli ovat pienimmillään. Ne kasvavat seuraavasti, 5 vaihetta:  1. Tapauskohtaista vahinkojen torjuntaa: yksilöiden arvio ratkaisevaa.  2. Siiloutunutta riskienhallintaa: kokonaisuuden tasolla riippuvuudet tunnistamatta, ei yhteistä lähestymistapaa:  3. Yhteisiä menettelytapoja ja dokumentaatiota: riskienhallintapolitiikka, riskiarviointi ja raportointi, yhteys päätöksentekoon epäselvä. 4. Siilojen välinen koordinaatio: riskinottohalukkuus määritelty, riskienhallintaprosessi implementoitu, kommunikaatio kaikille organisaatiossa.  5. Riskienhallinta kytketty johtamiseen, strategiseen suunnitteluun ja rahoitukseen: riskienkäsittelysuunnitelma ja seuranta, riskimallit ja indikaattorit käytössä, kannustinjärjestelmät tukevat riskienhallintaa.
Riskienhallinnan kehityslinja.

Riskienhallinta tukee tavoitteiden saavuttamista

Toisinaan yhteisön jäsen joutuu oman subjektiivisen tiedon, kokemuksen ja ammatillisen osaamisen pohjalta arvioimaan riskin vaikutuksia koko organisaatioon sekä ratkaisemaan, onko riski syytä ottaa vai jättää ottamatta. Tällainen tilanne on siihen joutuneelle yksilölle ja koko yhteisölle hankala, koska tiedämme, että riskin tunnistamiseen ja sen merkittävyyden arviointi riippuu tietoperustasta ja sen tulkintaan liittyvistä harhoista ja että henkilökohtainen suhtautuminen epävarmuuteen vaihtelee.

Systemaattinen riskienhallinta ja yhteinen käsitys organisaation riskinottohalukkuudesta yhtäältä tukee yhteisön jäsenten päätöksentekoa, ja toisaalta organisaatio kokonaisuutena pääsee niiden ansiosta johdonmukaisempiin tuloksiin kuin yksittäisten henkilöiden päätöksiin perustuvalla riskienhallinnalla.

Organisaatioiden kokonaisvaltaista riskienhallintaa on pitkään kehitetty suurissa yrityksissä, joissa riskienhallinta voi tuottaa merkittäviä kilpailuetuja ja joissa siitä saatavat hyödyt ovat rahamääräisinä mitattavissa. Tyypillisesti suuryrityksissä riskienhallinta on integroitu osaksi johtamista. Kun tavoitteiden saavuttaminen edellyttää käytännössä aina riskinottoa, on pyritty löytämään menettelyjä, joilla tavoitteiden saavuttamista voidaan tukea ja joilla voidaan parantaa yrityksen resilienssiä, kykyä reagoida toimintaympäristön muutoksiin.

Organisaation ja sen työntekijöiden kannalta on tärkeää, että riskienhallinnan tavoitteista ja sisällöstä saadaan luotua yhteinen käsitys, yhteinen tarina, siitä, kuinka epävarmuus voi vaikuttaa organisaation tavoitteiden saavuttamiseen ja kuinka erilaisiin riskeihin organisaatiotasolla suhtaudutaan.

Kohti strategisempaa riskienhallintaa

Kun riskienhallinta organisaatiossa muuttuu systemaattisemmaksi, muuttuu usein myös käsitys riskien merkittävyydestä. Tyypillisesti vahinkoriskien hallinnan suhteellinen merkitys pienenee ja painopiste siirtyy kohti strategisempaa riskienhallintaa.

Strategiset riskit ovat kehityskulkuja tai tapahtumia, jotka vaarantavat organisaation strategisten tavoitteiden saavuttamisen. Ne liittyvät esimerkiksi organisaation maineeseen, teknologiaan ja toimintaympäristöön. Organisaatioiden riskit luokitellaan usein strategisiin, operationaalisiin, rahoitus- ja vahinkoriskeihin. On arvioitu, että taloudellisen merkityksen näkökulmasta yritysten riskeistä yli puolet, jopa kaksi kolmasosaa, kuuluu strategisten riskien luokkaan. Noin viidesosa on toiminnallisia riskejä.

Taloudellisten riskien osuus on näitä selvästi pienempi, ja vahinkoriskien osuus vain muutamia prosentteja. Tästä huolimatta strategiakeskustelu tuntuu usein kulkevan omaa rataansa ja pohjautuvan ajatukseen staattisesta toimintaympäristöstä tai hyvin ennakoiduista toimenpiteistä, joiden vaikutukset ovat hyvin tunnettuja.

Strategisten riskien merkitys näkyy esimerkiksi Maailman talousfoorumin vuosittain julkaisemassa riskikatsauksessa. Se avaa mielenkiintoisella ja intuitiivisella tavalla näkymän maailmanlaajuisiin, yrityksiin ja julkisiin toimijoihin, kohdistuviin riskeihin ja niiden keskinäisiin riippuvuussuhteisiin.

Suomessa eduskunnan tulevaisuusvaliokunnan julkaisussa ”Suomen sata mahdollisuutta” on maalattu kuva siitä, kuinka erilaiset teknologiset innovaatiot muuttavat maailmaamme. Ne vaativat uudenlaista strategista ajattelua ja sääntelyä, jotta teknologian mahdollisuudet saadaan parhaalla tavalla hyödynnettyä ja kielteiset vaikutukset minimoitua.

Onkin vahinko, että riskienhallinta voi näyttäytyä tarkastelijan lähtökohdista riippuen joko teknisenä puuhasteluna, laatikkoleikkinä, jossa kehitellään organisaatiomalleja, tai joukkona toisiinsa liittymättömiä ohjeita – tai pahimmassa tapauksessa päättymättöminä palavereina. Riskienhallinnan tavoitteet ovat kuitenkin aivan jotain muuta. Sen kovana ytimenä on pyrkimys tuottaa organisaatiolle lisäarvoa. Tavoite on tunnistaa ja hallita organisaatioon vaikuttavia potentiaalisia tapahtumia, parantaa organisaation reagointikykyä ja pitää riskit sellaisissa rajoissa, ettei organisaation toiminta ole uhattuna.

 

Esko Mustonen

Kirjoittaja toimii valtioneuvoston apulaiscontrollerina valtiovarainministeriössä.