Riskienhallinta yrityksessä – varmista hyvät prosessit, työkalut ja asenteet

Riskienhallinta yrityksessä on ennen kaikkea johdonmukaisten prosessien, toimivien työkalujen ja hyvien asenteiden yhteistulosta. Se on osa organisaation kokonaisvaltaista johtamista, ja se koskettaa kaikkia toimintoja. Riskienhallinta on jatkuvaa työtä, jota parhaimmillaan kehitetään myös jatkuvasti eteenpäin.

Tietoa riskienhallinnan hyvistä käytänteistä kannattaa hankkia ja hyödyntää muilta oman toimialan organisaatioilta, ja niitä voi lainata myös muilta sektoreilta. Hyvää tukea omaan työhön saa tutustumalla esimerkiksi riskienhallinnan standardeihin sekä julkishallinnon, alan yhdistysten ja järjestöjen sekä vakuutusyhtiöiden ja pankkien tietolähteisiin.

Mitä on organisaation riskienhallinta?

Riskienhallinta on luonteeltaan sekä uhkien ja vaaratapahtumien välttämistä että epätoivottujen tapahtumien seurausten minimointia. Lisäksi riskienhallinta yrityksessä on potentiaalisten mahdollisuuksien tunnistamista, analysointia ja hyödyntämistä. Kaikilla riskienhallinnan toimilla tähdätään yrityksen tavoitteiden saavuttamiseen, toiminnan jatkuvuuden varmistamiseen sekä toimintaedellytysten säilyttämiseen ja parantamiseen.

Riskienhallinta on tärkeä osa organisaatioiden tehokasta toimintaa ja johtamista. Riskienhallinnassa on olennaista tunnistaa ja käsitellä kaikki omalle organisaatiolle olennaiset, sekä sisäiset että ulkoiset riskiä tuovat tekijät. Tunnistettuja tekijöitä ja osa-alueita on tärkeää myös päivittää ja mukauttaa organisaation kulloisenkin toimintaympäristön ja käytäntöjen mukaisiksi, jotta ne tukevat päätöksentekoa parhaalla mahdollisella tavalla kaikkina aikoina.

Monelle organisaatiolle hyvän pohjan riskienhallintatyölle luo ISO 31000 Riskienhallinta -standardi, joka auttaa organisaatiota tunnistamaan, arvioimaan ja käsittelemään riskien vaikutuksia organisaation tavoitteiden saavuttamiseen. Standardi sitouttaa riskienhallintaan kaikki organisaation toimijat ja painottaa myös ylimmän johdon roolia. Riskienhallinta on myös välttämätön osa laatujärjestelmää: laadunhallintaa ohjaavassa Laadunhallinnan ISO 9000 -standardisarjassa edellytetään organisaatiolta toimivaa riskienhallintamenettelyä.

Kuten standardikin suosittaa, riskienhallintaan kannattaa kehittää toimintamalli, jossa organisaatioon määritetään vastuut ja valtuudet sekä varmistetaan, että riskienhallintaan ja siihen liittyvään päätöksentekoon on varattu tarvittavat resurssit. Parhaimmillaan riskienhallinta on kiinteä osa organisaation kaikkia toimintoja, prosesseja, rakennetta, strategiaa ja tavoitteita.

Mikä on riskienhallintasuunnitelma?

Riskienhallintasuunnitelma on dokumentti, jossa kuvataan organisaation toimintaan liittyvät riskit ja niiden toteutumisen estämiseen tähtäävät toimet, vastuut ja toimivallat. Riskienhallintasuunnitelman laatimisen vaiheita ovat

• riskien tunnistaminen
• riskianalyysi
• riskien merkityksen arviointi sekä
• riskien käsittely.

Riskienhallintasuunnitelma sisältää parhaimmillaan kaikki organisaation toiminnan kannalta oleelliset, sekä sisäiset että ulkoiset riskit. Riskienhallintasuunnitelma vaatii jatkuvaa päivittämistä, sillä toimintaympäristö ja sitä myöten riskitkin muuttuvat sekä lyhyellä että pitkällä aikavälillä. Riskienhallintasuunnitelma kannattaa tarkistaa ja päivittää vähintään kerran vuodessa, ja myös aina kun toiminnassa tai toimintaympäristössä tapahtuu merkittäviä muutoksia.

Riskienhallintaprosessi luo vankan pohjan jatkuvalle työlle

Riskienhallintaprosessin tehtävänä on auttaa organisaatiota tunnistamaan, analysoimaan ja hallitsemaan toimintaansa liittyviä riskejä ja kehittämiskohteita. Prosessin perimmäisenä tavoitteena on varmistaa organisaation toiminnan jatkuvuus.

Riskienhallintaprosessin luominen vaatii alkuun ulkoisten ja sisäisten riskitekijöiden tunnistamisen ja määrittelyn. Määrittelyvaiheessa pyritään tunnistamaan organisaatioon kohdistuvat ja vaikuttavat toimintaympäristön tekijät, joilla on merkitystä organisaation tavoitteiden ja toiminnan kannalta. Näin voidaan analysoida tunnistettuja riskejä ja niiden vaikutuksia sekä päättää tämän arvioinnin perusteella, millä tavoin kutakin riskiä pyritään torjumaan ja hallitsemaan.

Tunnistettuja riskejä kannattaa arvioida sekä todennäköisyyden että mahdollisten vaikutusten perusteella.

Riskienhallintaprosessin vaiheet ovat pähkinänkuoressa seuraavat:

1. Tunnista omalle organisaatiolle olennaiset riskit (sisäiset + ulkoiset).
2. Analysoi tunnistetut riskit (todennäköisyys ja vaikutukset).
3. Päätä riskienhallinnan toimet.
4. Jaa vastuut ja valtuutukset.
5. Toteuta, päivitä ja kehitä.

Riskienhallinta on jatkuvaa työtä ja kehittämistä.

Osa organisaation toimintaan liittyvistä riskeistä on toimiala- tai organisaatiokohtaisia, ja osaan vaikuttavat myös lakisääteiset vaatimukset koskien sekä riskienhallinnan toteutusta että sen raportointia.

Parhaimmillaan riskienhallinta on systemaattista ja jatkuvaa työtä, jota myös kehitetään jatkuvasti eteenpäin. Hyvä riskienhallintaprosessi on selkeä, henkilöriippumaton sekä koko toiminnan ja organisaation kattava.

IT-järjestelmäratkaisu mahdollistaa aina ajantasaisen tilannekuvan

Riskienhallintaprosessia voidaan tukea riskienhallintaan erikoistuneella tietojärjestelmällä, joka opastaa ja muistuttaa järjestelmän käyttäjää riskienhallintatyön vaiheista, tehtävistä ja aikatauluista. Hyvä riskienhallintajärjestelmä toimii keskitettynä tietokantana, johon ja josta riskienhallintaan liittyvät tiedot kulkevat eri käyttötarkoituksiin ja joka tarjoaa organisaatiolle aina ajantasaisen tilannekuvan.

Riskienhallinta on jatkuvaa ja systemaattista työtä, ja se koskettaa kaikkia henkilöstöryhmiä eri organisaatiotasoilla ja eri rooleissa. Siksi hyvä järjestelmä tukee sekä riskienhallinnan johtamista että jokapäiväistä käytännön työtä. Esimerkiksi riskienhallintajohtajalla, työsuojelupäälliköllä ja yksiköiden vetäjillä on riskienhallintaan usein erilaiset näkökulmat ja painotukset.

Moniulotteisten vaatimusten vuoksi erikoistunut järjestelmäratkaisu on hyödyllinen työkalu riskienhallinnan jatkuvaan, systemaattiseen ja keskitetysti johdettuun toteutukseen ja seurantaan. Järjestelmän toiminnallisuuksia ja työkaluja voivat olla esimerkiksi riskiarviointimallit, riskirekisterit, turvallisuushavainto- sekä vaaratilanne- ja tapaturmailmoitukset, muistutustoiminnot sekä seurantaraportit.

Monilla toimialoilla riskienhallintaa ohjaa osaltaan myös lainsäädäntö, kuten työturvallisuuslaki, lääke- ja potilasturvallisuuslait sekä rahoitus- ja vakuutustoimintaa säätelevät lait. Laajemmin organisaatioita koskevat myös tietosuojalaki ja EU:n yleinen tietosuoja-asetus (GDPR) , osakeyhtiölaki sekä tilintarkastuslaki. Näihin vaatimuksiin liittyen järjestelmäratkaisu voi tarjota tukea myös työn dokumentointiin ja raportointivaatimusten täyttämiseen.

Useimmiten organisaation riskienhallinta lähtee liikkeelle prosessin, työvaiheiden ja vastuiden määrittämisestä, ja järjestelmätyökalu otetaan käyttöön vasta myöhemmin. Työtä on kuitenkin mahdollista lähteä edistämään myös toisinpäin, rakentamalla prosessia järjestelmän tarjoamien rakenteiden pohjalta. Tässä työssä kannattaa hyödyntää myös kokeneen järjestelmäkumppanin osaamista ja suosituksia – kumppani voi auttaa osaltaan soveltamaan riskienhallinnan tavoitteita ja prosesseja käytäntöön.

Riskienhallinta yrityksessä on yhteistyötä

Vaikka riskienhallinnan prosessit ja järjestelmät olisi hiottu organisaatiossa kuinka timanttisiksi, ratkaisevan tärkeän elementin onnistumisessa muodostavat ihmiset. Riskienhallinta yrityksessä toimii tehokkaimmin silloin, kun henkilöstö on motivoitunut ja näkee riskienhallintatyön tuottamat hyödyt. Ihannetilanteessa jokaisen asenne tukee riskien välttämistä ja koko henkilöstö on sitoutunut yhteisiin tavoitteisiin.

Riskienhallinta yrityksessä tai muussa organisaatiossa onkin ennen kaikkea yhteistyötä. Palkinto yhteistyöstä tulee muun muassa vähempinä työtapaturmina ja taloudellisina menetyksinä sekä lisääntyneenä työviihtyvyytenä ja turvallisuudentunteena. Organisaation johdon kannalta riskienhallinnalla on tärkeä rooli toiminnan jatkuvuuden varmistamisessa. Toimintaa voidaan johtaa mahdollisimman hallitusti, kun riskit on kartoitettu ja niihin  on varauduttu jo ennalta.