Riskienhallinta on toiminnan kehittämistä, ja se kuuluu kaikille

Moni organisaatioiden johtamisen ja kehittämisen parissa työskentelevä tunnistaa seuraavat usein vastaan tulevat ongelmat:

Ongelma 1: Sisäinen valvonta ja riskienhallinta nähdään johtamisesta ja muusta kehittämistyöstä erillisenä

Joskus on vaikea ymmärtää, miksi näin on, sillä johtamisen ja sisäisen valvonnan tavoitteet ovat yhtenevät. Sisäisen valvonnan ja riskienhallinnan tavoitteena on saavuttaa kohtuullinen varmuus siitä, että organisaatio toimii tehokkaasti ja vaikuttavasti, noudattaa lakeja ja sääntöjä ja sen toiminta perustuu oikeaan tietoon. Johdon tavoitteet eivät voi olla kovin kaukana tästä.

Ongelma 2. Organisaatiossa putkahtelee uusia kehittämisideoita ja -projekteja, mutta kokonaisuus ei ole kenenkään hallinnassa

Kehittämisprojektien yhteyttä strategian tavoitteisiin ei aina tunnisteta, eikä johdolla ole käsitystä meneillään olevasta kehittämistyöstä tai -tarpeista. Kehittämiseen käytetään paljon aikaa, mutta toimeenpanoa ei organisoida oikein, eikä kehittämistyön aikaansaannoksia seurata suunnitelmallisesti.

Tässä kirjoituksessa keskitytään siihen, miten nämä kaksi haastetta ratkaistaan luomalla kokonaisvaltaisesta ja järjestelmällisestä riskienhallinnasta organisaation kehittämishankkeiden sateenvarjo. Kokonaisvaltainen riskienhallinta on osa sisäistä valvontaa, jonka tavoitteena on varmistaa asetettujen tavoitteiden saavuttaminen.

Riskianalyysin laatiminen auttaa tunnistamaan oikeat kehittämistoimenpiteet

On tärkeää, että riskienhallinta kytketään organisaation strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin. Riskianalyysit ovat osa sisäisen valvonnan ja riskienhallinnan kokonaisuutta. Analyysit ovat yksittäisiä – mutta säännöllisesti toistuvia – arviointeja, jotka tukevat sisäisen valvonnan onnistumista. Riskianalyysin voi tehdä organisaation monella tasolla ja tunnistamisessa voi käyttää apuna erilaisia riskikarttoja tai luokitteluja.

Organisaation johto voi tunnistaa muun muassa strategisia riskejä, jolloin niiden tunnistamisen apuna käytetään toimintaympäristöanalyysiin ja pitkän aikavälin valintoihin perustuvia strategisia tavoitteita. Johdon riskityöpajassa pohditaan tällöin, millaiset riskit uhkaavat strategisten tavoitteiden saavuttamista. Strategisten riskien lisäksi johto tai henkilöstö voi tunnistaa muun muassa operatiivisen toiminnan tehokkuuteen, raportoinnin luotettavuuteen ja lakien, periaatteiden ja sääntöjen noudattamiseen liittyviä riskejä perustuen organisaatiolle tai sen osille asetettuihin tavoitteisiin.

Organisaation johdon ja riskienhallinnan käytännön suunnittelutyöstä vastaavien on osattava soveltaa ja muotoilla tunnistamisen avuksi sopiva viitekehys, joka ottaa huomioon sekä strategiset että muut toiminnalle asetetut tavoitteet. Lisäksi analyysejä tulee tehdä suunnitelmallisesti, säännöllisesti ja niin, että ne kattavat kaikki organisaation toiminnot.

Riskienhallinta on perusteltua ja koko organisaatiolle tärkeää kehittämistyötä

Joskus organisaatiot keskittyvät usein liiaksi riskien tunnistamiseen ja arviointiin, vaikka riskienhallinnan ydin on nimenomaan siinä, mitä tapahtuu riskien tunnistamisen ja arvioinnin jälkeen. Riskitaulukoiden laatiminen on vain pieni osa työstä, jota riskienhallinnan nimissä tehdään. Riskienhallinnan suunnittelusta vastaavien ei kannata liikaa jäädä pohtimaan, millaiset arviointiasteikot tai riskien kirjausmuodot ovat parhaimpia. Käytäntö ja kokemus osoittavat, millaiset arviointimenetelmät palvelevat parhaiten. Koska riskienhallinta on jatkuvaa toimintaa, siihen sopii erinomaisesti kokeileva ote ja jatkuvan parantamisen periaate.

Riskitaulukon laatiminen auttaa organisaatiota tunnistamaan olennaiset riskit, mutta vasta merkittävimpien riskien hallinnalla on lisäarvoa. Tärkeintä on, että ainakin merkittävimmät riskit otetaan haltuun ja päätetään, miten niitä käsitellään. Riskianalyysi on siis vain väline, jonka tavoitteena on valita kaikkein tärkeimmät kehittämistoimenpiteet. Kun tavoitteiden toteuttamista suunnitellaan arvioimalla niitä uhkaavia riskejä, valittavat kehittämistoimenpiteet ovat todennäköisesti konkreettisia ja vaikuttavia. Riskien arviointi auttaa tunnistamaan erilaisia tapahtumakulkuja ja havainnollistamaan erilaisten toimintavaihtoehtojen vaikutusta tavoitteiden saavuttamiseen. Riskianalyysi toimii siis apuna tärkeimpien, toteutettavissa olevien toimenpiteiden tunnistamisessa.

Kun organisaatio käyttää kehittämistoimintaan varattuja resursseja näiden toimenpiteiden edistämiseen tähtääviin projekteihin, se voi sanoa tekevänsä töitä tavoitteidensa saavuttamiseksi. Luonnollisesti riskienhallinnan tulee olla jatkuvaa ja järjestelmällistä: sisäisen valvonnan periaatteet, vastuut ja roolit on määritelty ja riskikartoitusten laatiminen ja raportointi on ohjeistettu organisaation eri osissa. Koordinoinnista vastaavalla taholla tulee olla johdon horjumaton tuki.

Tärkeintä on johdon tuki ja ymmärrys

Vaikka sisäinen valvonta ja riskienhallinta ovat monelle organisaatiolle lakisääteisiä, niihin liittyvät käytännöt voivat olla kypsymättömiä. Kaikkein ratkaisevin asia on johdon suhtautuminen sisäisen valvonnan ja riskienhallinnan hyötyihin. Onnistunut sisäisen valvonnan ja riskienhallinnan toimintamalli on kytketty osaksi organisaation johtamista. Se ei ole erillinen toiminto, vaan tärkeä osa johdon vastuualuetta ja kaikkia organisaation prosesseja. Se on erinomainen johtamisen, kehittämisen ja päätöksenteon väline, jonka hyödyn ymmärtää usein vain kokeilemalla.