RiskiHelppi - Johda yrityksesi riskejä
Kaikkeen toimintaan liittyy riskejä. Järjestelmällisellä riskienhallinnalla niihin voidaan kuitenkin varautua ja auttaa organisaatiota sen tavoitteiden saavuttamisessa. Tähän osioon on koottu tiivis yhteenveto siitä, mitä riskienhallinta on ja miten riskienhallintaprosessi toimii.
Mitä on riskienhallinta
Kaikkeen toimintaan liittyy riskejä. Yleensä riskejä pyritään välttämään tai ainakin vähentämään haitallisia seurauksia riskin toteutuessa.
Toiminnan tavoitteiden saavuttaminen voi kuitenkin edellyttää riskin ottamista, sillä varsinkaan yritysmaailmassa liiketoimintamahdollisuuksien hyödyntäminen ei ole riskitöntä.
Riskienhallinta on järjestelmällistä toimintaa organisaation riskien tunnistamiseksi, analysoimiseksi ja arvioimiseksi sekä riskien käsittelyä, jotta ne vastaavat organisaation riskinottokykyä ja -halua. Parhaimmillaan riskienhallinta on luonnollinen osa päivittäistä toimintaa ja johtamista. Riskienhallinta auttaa organisaatiota päätöksenteossa asettamalla toimenpiteet tärkeysjärjestykseen ja erottamalla vaihtoehtoiset toimintatavat.
Yritysten merkittävimmät riskit
Kaikki toimialat 2023 (Suomi) |
|---|
- Avainhenkilöriskit (LähiTapiolan riskikartoitukset pk-yrityksille) |
Riski on epävarmuuden vaikutus tavoitteisiin
Yritykset ja organisaatiot pyrkivät yleensä saavuttamaan tavoitteensa ja täyttämään omistajiensa ja muiden sidosryhmiensä odotukset mahdollisimman hyvin. Tavoitteiden ja päämäärien saavuttamiseen vaikuttavat monet sisäiset ja ulkoiset tekijät, joiden vuoksi on epävarmaa kuinka hyvin organisaatio tässä onnistuu. Epävarmuuden vaikutusta organisaation tavoitteisiin kutsutaan riskiksi. Epävarmuus ei kuitenkaan aina ole uhka vaan se voi olla myös mahdollisuus.
Riskienhallinnan tavoitteet ja periaatteet
Riskienhallinnan tavoite on tukea organisaation johtamista ja päätöksentekoa, jotta sen tavoitteisiin mahdollisesti vaikuttavat riskit ja riskien seuraukset tunnistetaan. Organisaation johto saa riskienhallinnan avulla kokonaiskuvan toimintansa merkittävimmistä riskeistä ja pystyy siten sovittamaan päätöksensä ja riskejä rajoittavat toimenpiteet riskinkantokykynsä ja riskinottohalunsa puitteisiin. Riskienhallintaa voidaan toteuttaa organisaatiossa eri alueilla ja tasoilla, myös yksittäisissä tehtävissä ja hankkeissa. Parhaimmillaan riskienhallinta kattaa koko organisaation ja on osa toiminnan ja strategian suunnittelua, johtamista, prosesseja ja raportointia. Riskienhallinnan vastuut tulee määrittää ja ne ulottuvat organisaation johdosta aina yksittäiseen työntekijään.
Riskienhallinta
Riskienhallinnan tarkoitus on arvon luominen ja säilyttäminen. Se parantaa suorituskykyä ja tukee innovointia ja tavoitteiden saavuttamista.
- Organisaation johtamisjärjestelmään sisälletty
- Jäsennelty ja kattava
- Räätälöity
- Sidosryhmät mukaan ottava
- Dynaaminen
- Paras saatavilla oleva tieto
- Inhimilliset ja kulttuuriset tekijät
- Jatkuva kehittäminen
Riskienhallinnan periaatteet (SFS-ISO 31000:2018 Riskienhallinta. Ohjeet)
Riskienhallinnan menestystekijöitä
1. Ylimmän johdon johtajuus, sitoutuminen, vastuut ja velvollisuudet
2. Tavoitteiden saavuttaminen sekä arvon luominen ja säilyttäminen
3. Organisaatiota koskevien vaatimusten noudattaminen ja sidosryhmien huomioiminen
4. Inhimillisten ja kulttuuristen tekijöiden huomioiminen, työntekijöiden osallistaminen
5. Paras saatavilla oleva, oikea-aikainen ja kattava tieto
6. Yritykselle soveltuvat prosessit riskien tunnistamiseen, -hallintaan ja mahdollisuuksien hyödyntämiseen
7. Tarvittavat resurssit, työkalut, roolit ja vastuut
8. Riskienhallintapolitiikan ja toimintamallin yhdistäminen organisaation liiketoimintaprosesseihin ja johtamiseen
9. Viestintä, tallenteet ja raportointi
10. Riskienhallinnan suorituskyvyn jatkuva arviointi, parantaminen ja seuranta
SFS-ISO 31000:2018 Riskienhallinta. Ohjeet
ISO 45001:2018 Työterveyden ja työturvallisuuden johtaminen
Sovita riskienhallinta organisaatioosi
Riskienhallinnan toteuttaminen vaihtelee kunkin organisaation tarpeiden mukaan. Parhaimmillaan se alkaa toimintaympäristön ymmärtämisestä, toiminnan tavoitteista ja strategioista, kattaa koko organisaation ja on luonteva osa normaalia toimintaa ja johtamista. Riskienhallinnan käyttöönotto edellyttääkin yrityksen johdon vahvaa tukea ja sitoutumista.
Kokonaisvaltaista riskienhallintaa tulisi toteuttaa jatkuvana prosessina, eikä suinkaan yhtenä erillisenä projektina. Hyvät käytännöt ovat osoittaneet, että kokonaisvaltaisen riskienhallinnan toimintamalli voidaan integroida osaksi yrityksen liiketoiminnan suunnitteluprosesseja tai vuosisuunnittelua. Tällä tavoin kokonaisvaltaisesta riskienhallinnasta saadaan myös merkittäviä hyötyjä.
Riskienhallinnan prosessi
Yrityksen strategian ja toiminnan suunnittelua varten on tärkeää ymmärtää ja arvioida organisaation ulkoista ja sisäistä toimintaympäristöä. Tämä palvelee myös riskienhallinnan järjestämistä.
Ulkoisen toimintaympäristön arviointi voi kattaa esimerkiksi yhteiskunnan, teknologian, talouden sekä ympäristön tilan ja kehityksen tunnistamisen. Useat eri lait ja viranomaismääräykset ohjaavat yrityksen toimintaa. Yrityksen toimialan avaintekijät ja kehityssuunnat tulee myös huomioida samoin kuin eri ulkoisten sidosryhmien odotukset.
Yrityksen sisäisestä toimintaympäristöstä arvioitavia asioita ovat esimerkiksi organisointi, toimintaperiaatteet, resurssit, osaaminen, tietojärjestelmät ja organisaation kulttuuri.
Riskienhallinta on olennainen osa yrityksen johtamista ja strategiatyötä. Toimintasuunnitelmia ja strategiaa valmisteltaessa on syytä arvioida yrityksen merkittävimpien riskien ja riskienhallinnan tila. Parhaiten tämä hahmotetaan järjestelmällisellä ja säännöllisesti päivitettävällä riskien kartoituksella. Uusien ja muuttuneiden riskien vaikutukset voidaan siten huomioida strategiaa laadittaessa.
Riskien kartoitus on järjestelmällistä toimintaa, jonka avulla tunnistetaan, arvioidaan ja priorisoidaan yrityksen riskit sekä valitaan näille sopivimmat hallintakeinot. Tämä prosessi on on kuvattu tarkemmin Riskien kartoitus -osiossa.
Riskienhallintapolitiikan tavoitteena on taata riskitekijöiden ja niiden edellyttämien korjaavien toimenpiteiden huomioon ottaminen kaikilla yrityksen liiketoiminnan osa-alueilla. Parhaimmillaan se on lyhyt ja ytimekäs johdon tahdonilmaisu yrityksen riskienhallinnan tilasta ja kehittämisestä.
Riskienhallintapolitiikka antaa yrityksen vastuuhenkilöille ylätason toimintamallin, jonka toteuttamiseen koko yrityksen henkilökunta johdon lisäksi sitoutuu. Siinä määritellään riskienhallintaan liittyvät vastuut ja velvoitteet, varataan tarvittaviin resurssit ja määritetään mittaus- ja raportointikeinot.
Riskienhallintapolitiikasta ja riskienhallinnan toimintamallista tulee viestittää koko henkilöstölle, mutta myös monet ulkopuoliset sidosryhmät, kuten asiakkaat, alihankkijat ja tavarantoimittajat ovat kiinnostuneita yrityksen riskienhallinnan järjestämisestä.
Riskien käsitelyllä pyritään saattamaan yrityksen toimintaa uhkaavat riskit halutulle tasolle käyttäen valittuja riskien hallintakeinoja. Kullakin riskillä tulee olla omistaja, joka vastaa siitä, että toimenpiteet toteutetaan ja että riskin tilaa mitataan ja seurataan. Usein se on liiketoiminnasta vastuussa oleva yksikkö.
Riskienhallinnan toimenpiteiden käytännön toteuttamisesta voi vastata jokin muukin taho kuin riskin omistaja. Se voi olla esimerkiksi talous- tai tietohallinto tai vaikkapa kunnossapitotoiminto. Käytännössä tämä tarkoittaa sitä, että riskien käsittelysuunnitelmat liitetään osaksi yrityksen johtamis- ja toimintaprosesseja.
Riskienhallinnan toteuttaminen ja kehittäminen edellyttää prosessin jatkuvaa parantamista. Jatkuva parantaminen taas edellyttää johdon sitoutumista, resursseja, joustavaa yrityskulttuuria, virheistä oppimista ja omalle yritykselle sopivien työkalujen ja mittareiden käyttöä.
Riskien mittaaminen ja seuranta on systemaattista toimintaa, jonka tavoitteena on varmistaa että riskien hallintakeinot ovat vaikuttavia ja tehokkaita. Seurannalla saadaan lisätietoa riskeistä ja voidaan analysoida tapahtumia sekä muita turvallisuushavaintoja. Lisäksi säännöllisen seurannan avulla havaitaan ulkoisen ja sisäisen toimintaympäristön muutokset ja tunnistetaan uudet tai muuttuneet riskit.
Tietoa riskienhallinnasta muualla
Riskienhallinnan toteuttamisessa huomioitavista periaatteista löytyy lisätietoa esimerkiksi kansainvälisestä standardissa: SFS-ISO 31000. Riskienhallinta. Periaatteet ja ohjeet.
Muita lähteitä:
- Suomen Riskienhallintayhdistys:
- Suomen Riskienhallintayhdistys / PK-RH-riskienhallinta:
- Elinkeinoelämän keskusliitto:
Tunnista ja arvioi yrityksesi riskit
Riskien kartoituksella tunnistetaan ja arvioidaan organisaation toimintaa uhkaavat tekijät. Kartoitus antaa johdolle yleiskuvan yrityksen riskitilanteesta toiminnan ja strategian suunnittelun tueksi. Myös muun kartoituksiin osallistuvan henkilöstön tietoisuus riskeistä ja yrityksen toiminnasta paranee.
Arvioimalla tunnistettujen riskien todennäköisyyden ja seurausten merkityksen, yritys voi valita ja kohdentaa riskienhallintatoimenpiteet sopivimmalla tavalla.
Kartoituksen yhteydessä löytyykin usein toimenpide-ehdotuksia toiminnan häiriöttömyyden ja keskeytymättömyyden varmistamiseksi. Riskikartoitukset tulee säännöllisesti päivittää ja tarvittaessa kokonaan uusia aina oman toiminnan tai toimintaympäristön merkittävästi muuttuessa.
Riskikartoituksia on hyvä tehdä kaikilla organisaation tasoilla. Johdon tarkastelussa korostuvat merkittävimmät yrityksen strategiaan, talouteen ja toiminnan johtamiseen liittyvät uhkat ja mahdollisuudet.
Organisaatioyksiköiden kartoituksissa painopiste on taas enemmän toiminnallisissa ja vahinkoriskeissä. Varsinaisten liiketoimintayksiköiden lisäksi tulee muistaa kartoittaa myös tukitoimintojen riskit. Työn riskien arvioiminen sisältyy osaltaan yrityksen riskikartoitusten kokonaisuuteen.
Riskien kartoitus
Yrityksen riskejä voidaan luokitella eri tavoin. Usein käytetty jako on strategisiin, taloudellisiin, operatiivisiin ja vahinkoriskeihin. Riskien tarkastelu ja arviointi näistä eri näkökulmista antaa kattavan kuvan yrityksen uhkien ja mahdollisuuksien koko laajuudesta sekä riskien riippuvuuksista ja vaikutuksista toisiinsa. Yksittäinen riski ei useinkaan ole selkeästi vain esimerkiksi vahinkoriski, vaan sillä voi toteutuessaan olla myös toiminnallisia, taloudellisia ja strategisia vaikutuksia.
Riskien tunnistaminen voi tapahtua käyttäen apuna erilaisia tarkistuslistoja tai käsiteltävän aihepiirin asiantuntijoiden ryhmätyöskentelynä. Riskien arvioimiseksi on kehitetty myös erityisiä päättelymenetelmiä, kuten HAZOP prosessien ja HACCP elintarviketurvallisuuden vaarojen arviointiin sekä juurisyyanalyysi, RCA.
Riskeistä pyritään tunnistamaan niiden syyt ja seuraukset. Syyt tai riskin lähteet voivat usein olla myös yrityksen oman toiminnan ulkopuolella. Riskin toteutumisen seuraukset vaihtelevat esimerkiksi taloudellisista vaikutuksista ja toiminnan häiriintymisestä henkilövahinkoihin ja yrityksen maineen vahingoittumiseen.
Riskin suuruus tulee arvioida, jotta eri riskien merkitys organisaatiolle voidaan tunnistaa. Riskin suuruus koostuu yleensä kahdesta tekijästä - vahingon seurausten vakavuudesta ja vahingollisen tapahtuman todennäköisyydestä. Riskin suuruutta kuvataan riskiluvulla, joka saadaan seurausten vakavuuden ja tapahtuman todennäköisyyden tulona. Luokittelussa käytetään usein kolmi- tai viisiportaista asteikkoa.
Riskin suuruus = Vahingon seuraukset * Tapahtuman todennäköisyys
Kun kaikkien tunnistettujen riskien suuruudet on arvioitu, voidaan riskit asettaa suuruusjärjestykseen ja alkaa miettiä niiden vähentämiseksi tarvittavia toimenpiteitä ja hallintakeinoja.
Kokonaisvaltaisessa riskienhallinnassa eri hallintakeinoilla tulee pyrkiä poistamaan liiketoimintaa uhkaavat riskit ja käyttämään hyödyksi kaikki mahdollisuudet, joilla yritys saavuttaa liiketoimintansa tavoitteet.
Karkeasti määritellen riskien hallintakeinoja ovat välttäminen, pienentäminen, siirtäminen tai pitäminen. Näitä keinoja voidaan käyttää erillisinä, mutta yleensä riskin hallitseminen on eriasteinen yhdistelmä edellä mainittuja toimia. Näiden toimien lisäksi riskien hallintakeinoihin liittyy myös olennaisesti yrityksen liiketoiminnan jatkuvuussuunnittelu.
Riskien hallintakeinojen valintaan vaikuttaa yrityksen riskinottokyky ja -halu. Kaikkia riskien hallintatoimenpiteitä ei myöskään yleensä voida toteuttaa heti, vaan yrityksen johdon tulee priorisoida niiden toteutus riskin merkittävyyden, organisaation resurssien ja strategisten tavoitteidensa mukaisesti.
Yrityksen riskejä
Strategiset riskit vaikuttavat yrityksen pitkän aikavälin strategisten tavoitteiden toteutumiseen.
Taloudelliset riskit ovat yrityksen taloudelliseen tilanteeseen, kuten kannattavuuteen, maksuvalmiuteen ja kustannuksiin vaikuttavia riskejä.
Operatiiviset riskit ovat yrityksen sisäisistä tai ulkoisista prosesseista, järjestelmistä tai henkilöstöstä johtuvia riskejä.
Vahinkoriskejä ovat esimerkiksi henkilöturvallisuuteen, omaisuuteen tai ympäristöön kohdistuvat riskit.
Strategiset riskit
- Liikestrategia
- Yrityskulttuuri, johtaminen
- Kilpailijat ja markkinat
- Asiakkuudet
- Verkostot ja kumppanit
- Sääntely ja lainsäädäntö
Operatiiviset riskit
- Raportointi ja mittarit
- Tietojärjestelmät ja –turva
- Digitalisaatio, teknologia
- Palvelut, tuotteet, prosessit
- Henkilöstö
- Vastuut ja sopimukset
- Viestintä
Talouden riskit
- Pääoma ja rahoitus
- Maksuvalmius
- Hinta- ja valuuttariskit
- Tuottavuus
- Luottotappiot
- Väärinkäytökset
Vahinkoriskit
- Kiinteistöt (palo, vuoto)
- Rikollinen toiminta
- Kuljetukset ja liikenne
- Työtapaturmat
- Koneet ja laitteet
- Tuotannontekijät
- Ympäristö
Riskien hallintakeinoja
Riskien toteutumista tulisi ensisijaisesti yrittää välttää, koska ne aiheuttavat joko välittömiä fyysisiä tai taloudellisia menetyksiä ja usein myös välillisiä epäedullisia seurauksia. Näin ei kuitenkaan ole kaikkien liikeriskien osalta, koska riskin ottamisella tavoitellaan sen toteutumista myönteisenä. Näissäkin tapauksissa on kuitenkin varauduttava riskin toteutumisen kielteisiin seurauksiin. Vain harvat riskit ovat kokonaan poistettavissa.
Riskin pienentäminen tähtää vahinkotapahtuman todennäköisyyden tai seurausten pienentämiseen. Riskin pienentäminen voi olla riskin jakamista tai vahingontorjuntaa.
Riskin siirtäminen merkitsee riskialttiin toiminnan siirtämistä sopimuksen perusteella jollekin toiselle osapuolelle. Yleisin tapa on siirtää riskin taloudelliset seuraamukset vakuutusyhtiön kannettavaksi vakuutussopimuksella. Yritys voi myös siirtää riskejä sisältävää omaisuuttaan tai riskipitoisia toimintojaan sopimusteitse toisen yrityksen kannettavaksi esimerkiksi kuljetus- tai alihankintasopimuksilla.
Riskin pitäminen yrityksen omalla vastuulla voi olla johdon tietoinen valinta, sillä riski voi olla myös mahdollisuus tai sen merkitys on vähäinen. Jokaiseen liiketoimintaan liittyy riskejä ja sietokyky riippuu organisaation tahtotilasta. Yritys voi myös olla tiedostamatta riskin olemassaoloa tai on arvioinut sen liian alhaiseksi.
Liiketoiminnan jatkuvuussuunnittelu tarkoittaa kaikkien niiden toimenpiteiden muodostamaa kokonaisuutta, jonka avulla yritys pyrkii varmistamaan päivittäisen liiketoimintansa jatkumisen myös vakavien häiriöiden jälkeen.
Jatkuvuussuunnittelu sisältää mm. vahingontorjuntatoimenpiteiden sekä vakavassa häiriötilanteessa sovellettavien vastuiden ja toimenpiteiden määrittelyn. Tyypillisiä vakavia liiketoimintaan kohdistuvia häiriötilanteita ovat esim. yrityksen toimitiloihin kohdistunut suuri tulipalo, laaja vesivahinko, vakava tietovuoto sekä laajamittaisen yrityksen tietoverkon tai tietojärjestelmän käyttöhäiriö.