Riskienhallinta - SecMeter

Sisältöön

Riskienhallinta

Yritysturvallisuus > Riskienhallinta
Riskienhallintaa voidaan luonnehtia navigoinniksi, jossa edetään kohti satamaa (määränpäätä) karikoita vältellen. Keskeisintä on pitää vauhti hallinnassa ja katse riittävän kaukana horisontissa, jotta eteen tulevat karikot voidaan havaita ja väistää ajoissa. Aina tämä ei onnistu. Konkurssi on yritystoiminnan merkittävin karikko. Tilastokeskuksen mukaan tammi–lokakuussa 2018 tuli vireille 2 217 konkurssia.

Konkurssit eivät johdu muodollisten riskienhallintaprosessien laiminlyönneistä, vaan yritysjohtajien liiallisesta liiketaloudellisesta riskinottohalukkuudesta, vääriksi osoittautuneista strategisista näkemyksistä ja niihin perustuneista päätöksistä.

Muodollisen riskienhallintaprosessin avulla pyritään saavuttamaan varmuus riskitasosta, joka ei olennaisesti vaaranna yrityksen tavoitteiden saavuttamista, eikä ylitä yrityksen riskinottohalukkuutta.

Riskienhallintaprosessin avulla pyritään tunnistamaan riskit ja niiden todennäköisyys. Tähän sisältyy kuitenkin merkittäviä ongelmia, jotka on tiedostettava.

Tunnistetuilla riskeillä ei ole välttämättä syy-yhteyttä yrityksen tavoitteisiin, kilpailukykyyn tai menestykseen, eikä niiden todennäköisyyksillä ole totuuspohjaa. Näiden tosiseikkojen johdosta muodollisen riskienhallintaprosessin keskeisin merkitys on osoittaa yrityksen sidosryhmille, että yritystä johdetaan hyvän hallintotavan periaatteiden mukaisesti.

Riskienhallinnan merkitystä yrityksen kilpailukyvylle on myös useissa yhteyksissä ylikorostettu. Esimerkiksi väittämä, että riskienhallinta on avain menestykseen ja välttämätön osa yrityksen toimintaa on harhaanjohtava. Mikään yksittäinen prosessi, ei edes riskienhallintaprosessi voi taata yrityksen kilpailukykyä ja menestystä tai pelastaa sitä konkurssilta.

Case "Pandemia"
Vuonna 2020 pandemia yllätti useimmat yritykset ja organisaatiot. Yritysten riskienhallintaprosessit eivät tarjonneet ratkaisua riskin tunnistamisen. Pandemian riskejä eri skenaarioineen on kuitenkin dokumentoitu maailmanlaajuisesti, mutta riskiiin ei suhtauduttu riittävällä vakavuudella, eikä riskin nopeaan konkretisoitumiseen ja seurannaisvaikutuksiin oltu varauduttu. Talouslaman ja konkurssien lisäksi lukuisat muut haitalliset seurannaisvaikutukset yllättivät kaikki päättäjät ja organisaatiot. Esimerkiksi Kelan pääjohtaja Outi Antila totesi koronavirusepidemian aiheuttaman työttömyysetuushakemusten ruuhkan johdosta seuraavaa: ”Ei tällaiseen sairauteen kukaan osannut varautua” Lähde: (MTV3 Uutisextra 2.5.2020 klo 19.10)

TEHTÄVÄLISTA

  1. Selvitä, onko yrityksellä johdon hyväksymä riskienhallintapolitiikka?
  2. Selvitä, onko toiminnoissa tehty toimintokohtaiset riskianalyysit?
  3. Selvitä, onko riskien raportointikäytäntö toimiva?

Riskienhallinta ei poista yllätyksellisyyttä
Elämän epävarmuutta kuvastavat niin myönteiset kuin kielteisetkin yllätykset. Yllättävää kylläkin joillekin yritysjohtajille on yllätys, että liiketoiminnassa tapahtuu yllätyksiä. Ei ole olemassa mitään prosessia, keinoa tai menettelyä, joilla yllätykset olisi mahdollista identifioida ja varautia niihin.

Mahdollisuuksilla on rajansa
Riskienhallinta ei tue ajatusta, että kaikki on mahdollista. Riskienhallinta voi tarjota ratkaisuja ainoastaan olemassa olevaan tietoon perustuvan uhkapotentiaalin hallintaan. Riskienhallinnan heikkous on, ettei kaikista mahdollisista epäsuotuisia kehityskuluista ole olemassa näkemystä, eivätkä ne nain ollen tule tunnistetuiksi.

Keskeisimmät riskienhallintastandardit

  • Riskienhallinnan kansainvälinen standardi ISO 31000:2009
  • Tietoturvallisuuden kansainvälinen riskinhallintastandardi ISO/IEC 27005:2008

Mikä on riskienhallintatyön tehtävä?
Riskienhallintatyön tehtävänä on tunnistaa ja analysoida yrityksen tavoitteita vaarantavat epäsuotuisat kehityssuunnat ja tehdä päätökset riskienhallintatoimenpiteistä. Konkreettisten hallintatoimenpiteiden osalta keskitytään avainriskialueelle sijoittuvien riskien hallintaan. Jokaisen tunnistetun riskiskenaarion osalta on tehtävä riskienhallintapäätös. Avainriskin osalta on tehtävä riskienhallintapäätös ja suunnitelma riskin hallintamenettelyksi.

Mitä riskeillä tarkoitetaan?
Riski on vaikuttavuus (vaara menettää kokonaan tai osittain päämääräksi asetettu tavoite), joka syntyy tunnistetun riskiskenaarion toteutuessa. Riskit arvioidaan vuotuisina riskeinä.

Miten riskit kehittyvät?
Ajantasaisen ja realistisen tilannekuvan ylläpito on parasta riskitietoisuutta. Riskejä voi kehittyä, jos yritys ei ole selvillä yleisistä tavoitteita vaarantavista riskeistä, joita aiheuttavat esim.

  • epärealistiset aikatauluvaatimukset
  • huomiotta jääneitä asiakastarpeet
  • koordinaation puutteet
  • laillisuuspuutteet
  • osaamiseen liittyvät puutteet
  • resurssipula
  • toiminnan tehottomuus
  • kustannustehottomuus
  • toimintaympäristön epävakaus
  • turvallisuuspuutteet.

Miten riskit tunnistetaan?
Riskienhallintyön keskeisin prosessi on riskianalyysi. Riskianalyysissä tunnistetaan riskit ja kuvataan riskiskenaario (vaikutusmekanismin kuvaus). Tämän jälkeen arvioidaan kunkin riskiskenaarion todennäköisyys ja vaikuttavuus asetettuun tavoitteeseen. Riskin vaikuttavuudella tarkoitetaan kvalitatiivisessa riskianalyysissä esimerkiksi toiminnallista (operatiivista) haittaa.

Riskiarvion on liityttävä tulevaisuuteen. Riskianalyysissä arvioidaan tulevaa kalenterivuotta tai strategisten riskien osalta strategiakautta, jolloin johtoryhmän vastuulla on tarkastella strategista riskiarvioita vuosittain. Meneillään olevasta kaudesta ei riskianalyysiä yleensä tehdä.

Riskiskenaarion eskaloituminen
Riskiskenaario voi toteutuessaan eskaloitua katastrofitilanteeksi, jos tilanteen kehittymiseen ei puututa ajoissa.

uhkatilanne > häiriötilanne > keskeytystilanne > kriisitilanne > katastrofitilanne

Mitkä ovat riskienhallinnan keskeiset kysymykset?

  • Mikä on riskienhallinnan tehtävä?
  • Miten riskienhallinta on organisoitu?
  • Millainen riskienhallintaprosessi on?
  • Miten riskienhallintaprosessi on jalkautettu?
  • Mitä riskejä riskienhallintaprosessiin on sisällytetty?
  • Mitä riskillä tarkoitetaan?
  • Mitä avainriskeillä tarkoitetaan?
  • Mikä on yrityksen riskinkantokyky?
  • Mikä on yrityksen riskinottohalu?
  • Miten riskiraportointi on järjestetty?
  • Miten poikkeamat raportoidaan?

Mitkä ovat riskianalyysin keskeiset kysymykset?

  • Mitkä ovat yrityksen ja sen toimintojen tavoitteet?
  • Mitkä riskiskenaariot voivat vaarantaa tavoitteiden toteutumisen?
  • Kuinka todennäköisiä riskiskenaariot ovat?
  • Mikä on yksittäisten riskin vaikuttavuus asetettuun tavoitteeseen?
  • Miten tavoitteita vaarantavat riskit voidaan estää tai niiden vaikuttavuutta vähentää?

Risk Management by the Natural Method (RMNM)
Muodollisena prosessina riskienhallinta ei ole välttämätön osa yritysjohtamista. Yrityksen johto tekee pääsääntöisesti hyviä liiketoiminnan tavoitteita tukevia päätöksiä ilman muodollista riskienhallintaprosessiakin

Yritysjohtajien päätöksiä arvostelevien henkilöiden tulee tiedostaa, että inhimillinen toiminta ja riskit kuuluvat yhteen. Riskejä on ääretön määrä. Jokaiseen valintaan ja päätökseen sisältyy riski. Käytännössä on mahdotonta tunnistaa kaikki riskit ja varautua kaikkien mahdollisten riskiskenaarioiden varalle.

Useissa yrityksissä riskienhallintatyö palvelee ainoastaan muodollisten velvoitteiden täyttämistä ja ilmenee toiminnoille ylimääräisenä hyödyttömänä työtaakkana. Kriisitilanteista on opittu, ettei monimutkaisista riskienhallintamenettelyistä ja niihin liittyvistä apuvälineistä ole ollut hyötyä, vaan kriisitilanteet olisivat olleet ehkäistävissä reagoimalla ajoissa organisaation ruohonjuuritasolla havaittuihin ongelmiin.

RMNM on menettely, joka perustuu ajatukseen, että vastuuseen sisältyy luonnollisena osana riskienhallinta. RMNM ei näin ollen edusta muodollista riskien kuvantamismetodia. RMNM-menettelyä voidaan luonnehtia päätöksenä tehostaa riskienhallintatyötä hajauttamalla vastuu organisaation kaikille tasoille ja poistamalla riskienhallinnan ympäriltä tarpeeton metodiikan tuoma painolasti.

Ihmiselle on ominaista ymmärtää ja huomioida riskejä luonnollisella järkiperäisellä tavalla erilaisten vaikutteiden, kuten yrityskokemuksen, henkilökohtaisen näkemyksen ja aiemmin koettujen epäsuotuisten tilanteiden kautta. Riskien tunnistaminen perustuu tiedon ja järkiperäisen ajattelun vuorovaikutukseen. Erityisiä muodollisia tai teknisiä riskienhallintamenetelmiä ei tarvita.

RMNM-menettely tarjoaa vaihtoehdon erityisesti pienille yrityksille, jotka eivät halua sitoutua raskaisiin riskienhallintastandardeihin tai käyttää muodollisia riskienhallintamenetelmiä niihin liittyvien haasteiden johdosta. RMNM-päätös vapauttaa yritysjohdon ulkoisista muodollisuuksista ja tarjoaa mahdollisuuden hallita riskejä tärkeiden päätösten yhteydessä ilman rajoitteita.

Kvalitatiivinen (laadullinen) riskianalyysi
Kvalitatiivisessa riskianalyysissä riskin vaikuttavuudella tarkoitetaan yleensä tavoitteen vaarantaa operatiivista haittaa, jonka riskiskenaarion konkretisoituminen aiheuttaa. Kvalitatiivisessa riskianalyysissä luvuilla ei suoriteta (ei saa suorittaa) matemaattisia operaatioita.

Mitä informaatiota kvalitatiivisen riskiskenaarion tulee sisältää?
Riskiskenaario on subjektiivinen käsitys epäsuotuisasta tapahtumienkulusta ja sen vaikuttavuudesta tavoitteeseen. Riskiskenaario kuvaa seuraavat kolme asiaa:

  • Päämääräksi asetetun tavoitteen, jonka toteutumisen riskiskenaario vaarantaa.
  • Epäsuotuisan vaikutusmekanismin kuvauksen, joka kohdistuu tavoitteeseen. Riskianalyysissä riskiskenaarion todennäköisyys ilmaistaan asteikolla 1-5.
  • Vaikuttavuuden ankaruuden kuvauksen, joka aiheutuu riskiskenaarion toteutuessa. Riskianalyysissä riskin vaikuttavuus tavoitteeseen ilmaistaan asteikolla 1-5.

Miten kvalitatiivinen riskianalyysi linkitetään yrityksen tulossuunnitteluprosessin osaksi?
Tavoitteita vaarantavat riskiskenaariot ja niiden hallintatoimenpiteet on pohdittava siinä yhteydessä, jossa toimintojen tavoitteet asetetaan. Tulossuunnitelman käsittelyissä on käytävä läpi myös toimintojen havaitsemat avainriskit. Riskiskenaarioiden päivitys tehdään vuosittain toimintojen riskianalyysin yhteydessä.

Kvantitatiivinen (määrällinen) riskianalyysi
Kvantitatiivisessa riskianalyysissä riskin vaikuttavuudella tarkoitetaan yksinomaan taloudellista kustannusvaikutusta eli riskin vaikuttavuutta arvioidaan aina vuotuisena taloudellisena riskinä. Kvantitatiivisen riskienhallinnan ongelmana on hatusta vedetyt syötearvot todennäköisyys ja vahinko, koska matemaattisten operaatioiden syötteiden tarkkuus määrää lopputuloksen tarkkuuden. Ongelma ei synny siitä, että ajattelemme asioita, vaan siitä että kuvittelemme asioita. Virhearviot kertaantuvat potenssiin. Tapahtuu tietojenkäsittelystä tuttu GIGO-ilmiö (garbage in, garbage out) eli roskaa sisään, roskaa ulos.

Peruskaava:
Riski = (vuotuinen tapahtumafrekvenssi x vuotuinen kustannusvaikutus)
R = (0,4 x 100)

Edellä olevassa esimerkissä oletetaan, että riskiskenaario toteutuu neljä (4) kertaa kymmenessä vuodessa ja sen vuotuinen kustannusvaikutus on 100 000 euroa. Kvantitatiivisessa riskianalyysissä riskin vaikuttavuuden arviointiin voidaan ottaa mukaan esimerkiksi seuraavia kustannuseriä:

  • sisäinen henkilötyö
  • ulkoinen henkilötyö
  • hankinnat
  • kassavirtamenetykset.

Kustannusvaikutuksen suuruutta on syytä tarkentaa huomioimalla nykyisten kontrollien riskiä vähentävät vaikutukset, jolloin vuotuista riskiä voidaan arvioida seuraavalla kaavalla:

Riski = (vuotuinen tapahtumafrekvenssi x vuotuinen kustannusvaikutus x nykyiset kontrollit)
R = (0,4 x 100 000 x 0,8)

Edellä olevassa esimerkissä oletetaan, että nykyisten kontrollien tehokkuus (kattavuus) on vain 20 % (1,00-0,2 = 0,8) täydellisestä kontrollista (kontrollikorista), jonka kerroin olisi 0,00. Mikäli nykyistä riskiä halutaan pienentää, on kaavaan lisättävä uusi muuttuja, joka kuvaa suunniteltujen kontrollien tehokkuutta:

Riski = (vuotuinen tapahtumafrekvenssi x vuotuinen kustannusvaikutus x nykyiset kontrollit x suunnitellut kontrollit)
R = (0,4 x 100 000 x 0,8 x 0,4)

Edellä olevassa esimerkissä oletetaan, että suunniteltujen kontrollien tehokkuus (kattavuus) on 60 % täydellisestä kontrollikorista (0,00). Esimerkissä yrityksen jäännösriskin osuudeksi jää 12 800 euroa. Jäännösriskin tulee sopeutua yrityksen riskinkantokykyyn.

Riskienhallintatyön tehokkuuden mittaaminen
Riskienhallintatyön tehokkuutta voidaan mitata esimerkiksi seuraavalla kaavalla:

tehokkuus = havaittujen avainriskien määrä / hallittujen avainriskien määrä * 100

Case ”Tapahtuiko Y2k-riskien osalta ylilyöntejä”
Vuosituhannen vaihde sujui ilman merkittäviä tietokoneongelmia. Kansainvälisen arvion mukaan Y2k-ongelman korjauksiin käytettiin ennen vuosituhannen vaihdetta noin 3600 miljardia markkaa.

Suomessa arvioitiin Y2k-ongelman ratkaisuun käytetyn noin 10 miljardia markkaa. Suurin osa summasta kului konsulttien palkkoihin. Yksittäisen konsultin kuukausivelotus saattoi nousta jopa 200.000 markkaan.

Asiantuntijat uskoivat, että mitään turhaa ei tullut tehtyä. Vuosia kestäneiden tarkistusten ja korjaustoimenpiteiden ansiosta vuosituhannen vaihteessa vältyttiin vakavilta Y2k-ongelmilta. Kaikki globaalit ja merkittävät järjestelmät toimivat moitteettomasti, kuten esimerkiksi

  • asejärjestelmät
  • energiahuolto
  • vesi- ja jätehuolto
  • terveydenhuolto
  • tietoliikenne
  • lentoliikenne
  • liikenteenohjaus
  • ydinvoimalat
  • rahalaitokset.

Säteilyturvakeskuksen Internet -sivut kertoivat kahdessa japanilaisessa ydinvoimalassa havaitusta valvonta- ja tiedonsiirtojärjestelmän häiriöstä sekä kahdessa espanjalaisessa voimalassa ilmenneestä vuosituhannen vaihteeseen liittyneestä ongelmasta.

Molemmissa tapauksissa viat korjattiin nopeasti. Häiriöillä ei ollut merkitystä voimaloiden käyttö- tai säteilyturvallisuuteen. Suomen lähialueilla toiminta jatkui häiriöittä. Seitsemässä USA:ssa toimivassa ydinvoimalaitoksessa havaittiin kulunvalvontajärjestelmiin liittyviä häiriöitä.

USA:n vakoilusatelliittien valvontajärjestelmän maa-asemalla ilmeni myös toimintahäiriö. Maa-asema ei kyennyt käsittelemään viiteen tuntiin satelliittien lähettämää informaatiota.

Yhdysvaltalaisessa ydinasetehtaassa ilmeni vähäinen Y2k-häiriö. Vika korjattiin nopeasti, eikä häiriö aiheuttanut vaaraa työntekijöille. Muita sotilasteknologiaan kohdistuvia ongelmia ei ilmennyt.

Gambiassa ilmeni laajempia häiriöitä mm. sähkönjakelussa, lento- ja laivaliikenteessä sekä tulli- ja verojärjestelmissä. Ongelmien vuoksi maanantai 3.1.2000 määrättiin yleiseksi vapaapäiväksi.

Ruotsista raportoitiin sairaalalaitteissa ilmenneistä ongelmista. Upsalan Akateemisen sairaalan ja Lundin yliopistosairaalan EKG-laitteet pysähtelivät. Ongelmia ilmeni erityisesti tietyssä USA:ssa valmistetussa EKG -laitemerkissä.

Ruotsalaisissa Internet -pankeissa ja Internet -pörssipalveluissa ilmeni Y2k-ongelmia. Tuhansien ihmisten tilitiedot ja osakekaupat joutuivat hukkaan. Ongelmat aiheutuivat asiakkaiden vanhentuneista selainohjelmista.

Suomalaisten pankkien palvelut ja SWIFT-järjestelmä toimivat häiriöittä. Järjestelmät kestivät Y2k-uhkien lisäksi maksuliikenneruuhkan aiheuttaman kuormituksen.

Britanniassa tunteet lämpenivät
Britanniassa Y2k-valmiusryhmää johtanut arvostettu atk-asiantuntija Peter de Jager sai vuodenvaihteen jälkeen liikemiehiltä tappouhkauksia ja vihaisia puhelinsoittoja.

Useat brittiyritykset kokivat tuleensa huijatuksi, koska vuosituhannen vaihteen tietokoneongelmat näyttivät olleen vain joidenkin tietokoneyritysten luomia harhakuvia ja keino kerätä rahat pois yrityksiltä. Jager kertoi suhtautuneensa erääseen tappouhkaukseen hyvin vakavasti.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön