Lassi Väisänen
toiminnanjohtaja ja yrittäjä, Suomen Riskienhallintayhdistys ry
Moderni riskienhallinta on tehokas johdon työkalu, jonka avulla muodostetaan tilannekuvaa muun muassa yrityksen tilasta vasten kilpailijoita, markkinakehitystä.
Tilannekuvan avulla voidaan osaltaan arvioida ja visualisoida miten yrityksen strategiat purevat, miten seuraavilla kvartaaleilla tulee käymään, mitä riskejä tulee ottaa ja mitä epävarmuuksia voidaan hyödyntää yrityksen tavoitteiden saavuttamisessa.
Usein kun puhumme riskienhallinnasta, keskitymme helposti pelkästään perinteisiin riskienhallinnan osa-alueisiin, kuten vahinkoriskeihin ja vakuuttamiseen. Riskienhallintaprosessi on kuitenkin laajempi. Tavoitteena on luoda malleja ja välineitä, joiden avulla arvioidaan koko yrityksen riskejä yrityksen operatiivisimmista toiminnoista aina kaikkien strategisimpiin toimintoihin. Modernissa riskienhallinnassa pääfokus on riskienhallintaprosessissa, ei pelkästään toiminnoissa.
ISO 31000 riskienhallintastandardi on saavuttanut maailmalla paljon suosiota. Yksi syy on ollut se, että se ei ole sertifioitava standardi, vaan siinä luodaan yhteinen terminologia ja metodologinen pohja sille, mitä riskienhallinnan tulee olla. ISO 31000 ei siis ota kantaa siihen, miten yksittäisiä riskejä arvioidaan. Sen sijaan se keskittyy siihen, miten yrityksen riskejä ja epävarmuuksia määritetään, arvioidaan ja seurataan kokonaisvaltaisesti ja tulevaisuuteen katsoen, samalla integroiden riskienhallinnan yhteenvetojen sisältö osaksi johdon raportointia.
Riskienhallintaan on tullut viime vuosien aikana uusia näkökulmia Governance – Risk Management – Compliance ajattelun myötä, joka korostaa kolmen puolustuslinjan ajattelumallia. GRC-pohjainen ajattelu jakaa muun muassa riskienhallinnan toteuttamisen ja ohjaamisen vastuita operatiivisen liiketoiminnan (1. puolustuslinja) ja konsernifunktioiden (2. puolustuslinja) välillä. Tässä toinen puolustuslinja aktiivisesti ohjeistaa ja seuraa riskienhallintaan liittyvää toimintaa omalla vastuualueellaan. Toimintamallit tukevat laaja-alaisten näkemysten muodostamista yrityksen epävarmuuksista ja riskeistä sekä niiden tasosta.
Organisaatioiden toiminnan verkottuminen lisää yritysten tarvetta arvioida myös yhteistyökumppaneihin ja toimintaympäristöön liittyviä riskejä. Esimerkiksi viime vuosina lisääntyneet kansainväliset pakotemääräykset vaativat yrityksiltä jatkuvaa vastapuolen arviointia. Lisäksi muun muassa kestävään kehitykseen liittyvien arvioiden rinnalle on luotava toimintamalleja, joissa arvioidaan vastapuoliin liittyviä riskejä esimerkiksi seuraavista Know Your Counterparty- näkökulmista:
- Mahdolliset muutokset kansainvälisillä pakotelistoilla – onko yhteistyökumppanimme listalla?
- Harmaan talouden torjunta – onko yhteistyökumppaneilla suoraan tai välillisesti kytköksiä muodossa tai toisessa?
- Oman henkilöstöön, johtoon tai hallitukseen mahdollisesti kohdistuneet erilaiset identiteettivarkaudet, joiden johdosta yrityksen maine ja toiminta vaarantuvat erilaisten sidosryhmien silmissä. Esimerkiksi rahoittajat toimivat voimakkaasti kansainvälisten pakotelistojen näkökulmasta.
Näitä toimintoja hoidetaan organisaatioissa usein eri osissa toista puolustuslinjaa, jolloin tarve keskinäiseen koordinointiin ja kykyyn tuottaa tarvittavia tilannekuvia yhteistyökumppaneista kasvaa.