Sisältöön

Menetelmäriippuvuus - SecMeter

Ohita valikko
Ohita valikko

Menetelmäriippuvuus

Yritysturvallisuus > Riskienhallinta
Ohita valikko
Riskienhallinnan menetelmäriippuvuus



Yhteinen riskienarviointimenetelmä luo väistämättä riippuvuuksia yrityksen eri osastojen arvioiden välille. Tämä riippuvuus voi merkittävästi lisätä virhearvioiden todennäköisyyttä ja paljastaa menetelmätason haavoittuvuuksia. Tilastollinen tarkastelu osoittaa, että jo kahdella osastolla tehtyjen virhearvioiden havaitseminen kymmenestä osastosta merkitsee noin 83 %:n todennäköisyyttä, että virheitä esiintyy myös muiden osastojen riskiarvioinneissa.

Riippuvuuden huomioiminen ei ole vain tilastollinen kysymys, vaan keskeinen osa yrityksen riskitietoista päätöksentekoa. Vasta, kun menetelmälliset ja rakenteelliset riippuvuudet ymmärretään, voidaan riskienhallintaa pitää aidosti kokonaisvaltaisena ja resilienttinä järjestelmänä.
Riippuvuuden vaikutus operatiivisten riskien arviointiin
Operatiivinen riskienhallinta on keskeinen osa yrityksen kokonaisvaltaista riskienhallintajärjestelmää. Sen tavoitteena on tunnistaa, arvioida ja hallita riskejä, jotka voivat heikentää yrityksen toiminnan jatkuvuutta, taloudellista vakautta tai mainetta.

Riskienarviointiprosessi perustuu tyypillisesti standardoituihin menetelmiin, joiden avulla eri osastot arvioivat omia riskejään yhtenäisesti.

Kysymys arviointien luotettavuudesta nousee esiin erityisesti silloin, kun havaitaan virheitä yksittäisten osastojen riskiarvioissa. Tarkastellaan tilannetta, jossa kymmenestä osastosta kaksi on tehnyt virhearvion, ja pohditaan, millä todennäköisyydellä myös muilla osastoilla on tehty virhearvioita. Erityinen painopiste on riippuvuuden vaikutuksessa arviointien luotettavuuteen ja riskienhallinnan kokonaisuuteen.

Yhteinen arviointimenetelmä riippuvuuden lähteenä
Riskienhallinnassa riippuvuudella tarkoitetaan ilmiötä, jossa riskitekijät tai arviointimenetelmät eivät ole toisistaan riippumattomia. Kun kaikki osastot käyttävät samaa arviointimenetelmää, ne jakavat yhteisen systemaattisen rakenteen, joka voi synnyttää positiivista korrelaatiota virheiden välillä.

Tätä ilmiötä kutsutaan yhteiseksi syyksi (common cause), joka voi johtua esimerkiksi arviointimenetelmän teoreettisista rajoitteista, ohjeistusten epäselvyydestä tai koulutuksen puutteista.

Yhteinen arviointimenetelmä luo väistämättä riippuvuuksia eri osastojen arvioiden välille. Tällöin virheet eivät ole satunnaisia, vaan noudattavat samaa kaavaa. Jos arviointimenetelmä on virheellinen, virheet toistuvat useilla osastoilla.

Tilastollinen mallinnus osoittaa, että jos kahdella kymmenestä osastosta havaitaan virhearvio, on noin 83 %:n todennäköisyys, että virheitä on myös muilla osastoilla. Tämä korostaa menetelmätasoisen riskienhallinnan merkitystä yksittäisten arviointien sijaan.

Tilastollinen mallinnus (Beta–binomiaalinen lähestymistapa)
Riippuvuuden vaikutusta voidaan tarkastella beta–binomijakauman avulla, joka soveltuu tilanteisiin, joissa useat havainnot jakavat yhteisen mutta tuntemattoman todennäköisyyden.

Oletetaan, että jokaisella osastolla on sama virhemahdollisuus p, mutta p on epävarma. Kun havaitaan, että 10 osastosta 2 on tehnyt virhearvion, posteriorijakauma on p∣data ∼ Beta(3,9).

Tällöin virhearvion odotettu todennäköisyys on E[p] = 0.25, eli keskimäärin 25 %. Tämän perusteella voidaan laskea todennäköisyys, että vähintään yhdellä jäljellä olevista kahdeksasta osastosta on virheellinen arvio: P(ainakin yksi virhe) ≈ 0.83.

Tulos tarkoittaa, että havaittujen virheiden perusteella on erittäin todennäköistä, että ongelma ei ole paikallinen, vaan systemaattinen.

Tilastollinen lähestymistapa antaa kvantitatiivisen tuen sille, että virheet voivat olla seurausta yhteisestä arviointimenetelmästä, ei yksittäisten arvioijien satunnaisuudesta.

Riippuvuuden merkitys riskienhallinnassa
Riippuvuuden olemassaolo muuttaa olennaisesti tapaa, jolla yrityksen riskitasoa tulisi tulkita. Jos osastojen virhearviot olisivat täysin riippumattomia, kahden virheen esiintyminen ei välttämättä indikoi laajempaa ongelmaa. Koska kuitenkin käytössä on yhteinen arviointimenetelmä, virheet heijastavat menetelmän systemaattisia puutteita, eivät yksittäisten osastojen työntekijöiden heikkoa suoriutumista.

Tilastollinen riippuvuus voidaan tulkita järjestelmäriskiksi, joka koskee koko yritystä. Tämä tarkoittaa, että riskienhallintaprosessin tehokkuutta ei tule arvioida vain osastokohtaisten tulosten perusteella, vaan tarkastelemalla koko menetelmän luotettavuutta ja soveltuvuutta.

Tämä ajattelutapa vastaa COSO:n (2017) ja ERM-viitekehyksen periaatteita, joissa korostetaan mm. riskien yhteisvaikutuksia ja kykyä tunnistaa myös menetelmällisiä heikkouksia.

Käytännön seuraukset ja johtopäätökset
Tulosten perusteella voidaan tehdä kolme keskeistä johtopäätöstä:

  1. Virheiden havaitseminen yksittäisillä osastoilla on varoitussignaali menetelmätason ongelmasta. Virheiden esiintyminen ei todennäköisesti ole satunnaista, vaan viittaa järjestelmätason puutteisiin arviointikehikossa.
  2. Riippuvuus edellyttää menetelmäauditointia ja koulutusta. Riskienhallinnan laatu voidaan varmistaa vain varmistamalla arviointimenetelmien pätevyys, arvioijien osaaminen ja jatkuva palautesykli.
  3. Riskienhallinnan tulee omaksua systeeminen näkökulma. Riippuvuudet ja yhteiset virhelähteet on tunnistettava ja hallittava osana yrityksen riskikulttuuria ja johtamisrakenteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön