6.2 Tutkimushaastattelujen tulokset
6.2.10 Haasteet, vaikeudet, karikot ERM:n jalkauttamisessa ja keinot niiden selvittämiseen . 104
Kokonaisvaltaisen riskienhallinnan jalkauttamisen haasteet voidaan haastattelujen perusteella jakaa neljään ryhmään: 1) ERM-konseptin yleinen haasteellisuus ja vaikeus, 2) lisäarvon tuottaminen, 3) riskienhallinnan ja sen merkityksen ymmärrys ja 4) organisaation ylimmän johdon tuen, mielenkiinnon ja luottamuksen voittaminen.
Haastateltujen mukaan ERM-konseptin jalkauttaminen on yleisesti ottaen haasteellista ja vaikeaa.
On haasteellista kehittää organisaatiolle sopiva riskienhallintamalli, joka on oletusarvoisesti sekä
toimiva että yksinkertainen ja selkeä. Kansainvälisessä organisaatiossa haasteellisuus korostuu;
haluttaessa jalkauttaa riskienhallinta kansainväliseen organisaatioon kauttaaltaan, tulee riskienhallinnan periaatteista ja muista sisällöistä laatia versiot jokaiselle kielelle ja erilaisiin koulutus- ja tiedotustarpeisiin. Näin ollen pelkästään kulttuurierojen huomioiminen jalkauttamisen käytännössä on haasteellista.
Riskienhallinta koetaan yleisesti vaikeaksi kokonaisuudeksi, joka voi tukahduttaa henkilöstön luovuuden. Riskienhallinta nähdään edelleen organisaation muusta toiminnasta irrallisena prosessina, jota hallitus tai ylin johto on vaatinut ulkoisten kriteerien täyttämiseksi. Yleisesti ottaen organisaatioissa tai niiden ulkopuolella ei ymmärretä, että riskienhallinnalla voidaan tuottaa arvoa.
Monesti myönnytellään, että riskienhallinta on tärkeä toiminto, mutta riskienhallintaa ei toteuteta käytännössä161, ellei riskienhallintaa arvioida ja tarkastella säännöllisesti ja ellei organisaation johto aktiivisesti aja riskienhallinnan kehitystyötä. Vanhoja käsityksiä ja mielikuvia on erittäin haasteellista muuttaa. Muutosvastarinta on siis myös riskienhallinta-alan kohtaama haaste.
Riskienhallintaymmärryksen ja -tietouden parantamisessa sekä vanhojen käsitysten muuttamisessa johtamistyö, motivointi ja sitouttaminen ovat tärkeitä tekijöitä. Toisaalta johtaminen ja motivointi on haastavaa, mikäli riskienhallinnalla ei ole ylimmän johdon varauksetonta tukea ja riskienhallinta joutuu kilpailemaan resursseista organisaation muiden toimintojen, investointien ja projektien kanssa. Eräs haastatelluista ilmaisi riskienhallinnan ”kilpailuaseman” seuraavasti:
”Riskienhallinta kilpailee ihmisten sieluista ja resursseista muiden toimintojen kanssa.”
Haastatteluissa todettiin useaan otteeseen, että ERM:n jalkauttaminen lisäarvoa tuottavaksi toiminnoksi on haasteellista. Eräs haastateltu kuvasi riskienhallinnan arvontuottamisen haasteellisuutta seuraavasti:
”Riskienhallintaa ei voi harjoittaa riskienhallintana, riskienhallinnalla pitää kyetä tuottamaan yhtiölle lisäarvoa.”
Arvon määritelmä on organisaatiokohtainen. Usein ylin johto haluaa määritellä riskienhallinnan arvon rahallisesti. Riskienhallinnan ”euroistaminen” ja dokumentointi voi kuitenkin olla vaikeaa, koska riskienhallinnan tuloksia ei aina ole mahdollista mitata rahallisesti. Lisäarvon tuottaminen
161 Nk. ”silent killers”
liikeyrityksen konsernihallinnon toimintaan on helpompaa kuin pienempiin toimintayksiköihin.
Toisaalta erityisesti tuotannollisissa yksiköissä esimerkiksi työturvallisuusasiat helpottavat jalkauttamista ja lisäarvon tuottamista. Riskienhallinnan jalkauttamiseen on myös haasteellista hankkia tai kehittää joustavia tietoteknisiä työkaluja. Tilintarkastusala on kehittänyt riskienhallintaa varten suunniteltuja ohjelmia162, mutta ne on tarkoitettu niin sanottuun SOX-ympäristöön, eivätkä ne näin ollen sovellu hyvin suomalaisten yritysten toimintaan.
Keskusteltaessa ERM:n jalkauttamisen pahimmista karikoista seuraavat ilmaisut olivat yleisimpiä; ”liika teoreettisuus ja monimutkaisuus”, ”tarve tehdä tiedettä”, ”omaan hienouteen kuoleminen”. Riskienhallinta-alan asiantuntijoilla on haastateltujen mukaan usein olemassa tarve tieteellistää käytännön riskienhallintaa. Liika tieteellistäminen ja ”jargonin” käyttö tekevät riskienhallinnasta ja erityisesti sen ymmärtämisestä merkityksetöntä. Riskienhallinnan tulee olla käytännön järjellä ymmärrettävää ja se tulee olla sidottuna käytännön liiketoimintaan. Jos organisaatioon perustetaan erillinen riskienhallintatoiminto, tulee varmistaa, että toiminnolla on suora yhteys organisaation muihin toimintayksiköihin.
On haasteellista laatia organisaation sopiva riskienhallintasisältö kullekin johtamis- ja hierarkiatasolle. Konsernitasolla riskienhallinnan sisältö voi olla teoreettista ja tieteellistä, mutta mitä pienempi yksikkö on kyseessä ja mitä lähempänä ”suorittavaa tasoa” ollaan, sitä yksinkertaisempia riskienhallinnan sisältöjen tulee olla.
Huolimatta siitä, että ERM koetaan yleisesti haasteelliseksi ja vaikeaksi konseptiksi, ”suorittavalla tasolla” riskienhallinnan käytänteet ovat haastateltujen mukaan varsin yksinkertaisia 163 . Kokonaisvaltaisen riskienhallinnan viitekehystä luotaessa tulee varmistaa, ettei ERM ole abstrakti tai muuten vaikea käsittää ja omaksua. Riskienhallinnan tulee mukautua myös organisaation toimialaan ja organisaatiokulttuurin ominaispiirteisiin. Mukautuminen tukee riskienhallinnan ymmärrettävyyttä.
Toinen huomattava karikko ERM:n jalkauttamisessa on haastateltujen mukaan ylimmän johdon tuen ja osaamisen puute tai johdon ymmärtämättömyys liittyen ERM:n tarjoamiin mahdollisuuksiin.
Ymmärryksen puute johtuu yleisimmin ylimmän johdon vanhentuneesta tai puutteellisesta riskienhallintatietämyksestä tai sisäisen viestinnän puutteista.
162 Esim. B-Wise, QPR
163 Esim. työohjeet
Jalkauttamisen karikoita ei haastateltujen mukaan ole helppo välttää. Yksi haastatelluista kuvasi riskienhallinnan haasteellisuutta seuraavasti:
”Yksinkertaistetusti voisi todeta, että hoitamalla pahimpiin karikoihin liittyvät kriittiset tekijät kuntoon voidaan karikot välttää. Käytännössä tämä toimii kuitenkin harvoin. Riskienhallinta ei ole ihan niin yksinkertaista.”
Kokonaisvaltaisen riskienhallinnan jalkauttaminen tapahtuu osittain erehdysten kautta.
Kokonaisvaltaisen riskienhallinnan viitekehyksen luominen sekä itse jalkauttamisprosessi on tärkeä aloittaa yksinkertaisesti; luomalla selkeät ja pelkistetyt suuntaviivat ja tavoitteet jalkauttamiselle.
Organisaation johdon ja eri toimintayksiköiden osallistuminen jalkauttamisen suunnitteluun on tärkeää. On tärkeää pohtia jalkauttamisen hyötyjä ja sitä, miten jalkauttaminen tulisi eri tahojen mielestä toteuttaa. Ymmärtämällä riskienhallinnan viitekehyksiä ja standardeja voidaan karikoiden välttämistä osittain helpottaa. Toisaalta esimerkiksi COSO ERM:ssä korostuvat tilintarkastusalalle tyypilliset riskienhallinnan ”kontrollityökalut” saattavat vaikeuttaa jalkauttamista. Viitekehyksiä ja standardeja ei tule noudattaa orjallisesti. Riskienhallinta on ensisijaisesti johtamisen proaktiivinen tukifunktio, ei osa organisaation sisäistä tarkastustoimintaa.
Riskienhallinnan viitekehyksen luomisessa ja riskienhallintamallin jalkauttamista suunniteltaessa sopivan vaatimustason määritteleminen on tärkeää. On myös tärkeää muodostaa kokonaiskuva kokonaisvaltaisen riskienhallinnan kentästä. Kokonaisvaltaisen riskienhallinnan kenttä on laaja – tietoa ja käytänteitä on olemassa valtavasti. On tarpeen muodostaa kokonaiskuva siitä, mitä tietoa ja käytänteitä on järkevää käyttää ja mitkä sopisivat parhaiten organisaation tarpeisiin. Toisaalta valtavan tietomäärän pinnallista ja summittaista hyödyntämistä seuraa usein käytännön riskienhallinnan epäonnistuminen. Näin ollen riskienhallinnassa käytettävä tieto on hallittava perusteellisesti toimivien riskienhallintakäytäntöjen luomiseksi. ”Tietämyksen priorisointi”
helpottaa riskienhallinnan fokusointia. Eräs haastatelluista kuvasi riskienhallintaosaamisen ja riskienhallinnan käytännön suhdetta seuraavasti:
”Kun riskienhallintaa tekee, niin tässä on vähän sama haaste kuin peruskoulun opettajalla eli peruskoulun opettajaksi ei kannata ruveta peruskoulun oppimäärällä.”
Kokonaisvaltaisen riskienhallinnan jalkauttaminen ja harjoittaminen edellyttää osaamista ja tietoutta.
Verkostoituminen ja kansainvälisyys ovat merkittäviä väyliä riskienhallintaosaamisen
kehittämisessä. Myös riskienhallinta-alan ammattilaisten yhteistyö on keino lisätä riskienhallintatietoutta ja siten osaltaan helpottaa riskienhallinnan jalkauttamista ja kehittämistä.
Suomessa tilanne yhteistyön osalta on hyvä. Esimerkiksi Suomen riskienhallintayhdistys164 toimii foorumina riskienhallinta-alan ammattilaisten keskuudessa. SRHY on FERMA:n jäsen.
6.2.11 Haastateltujen näkemyksiä riskienhallinnan tulevaisuudesta
Riskienhallinnan tulevaisuuden haasteina ja kehityskohteina haastatellut näkivät riskienhallinnan jalkauttamisen kehittämisen, riskienhallinnan roolin kehittämisen johtamisen tukifunktiona, riskien ja riskienhallinnan kvantifioinnin kehittämisen, riskienhallinnan kehityksen tieteenalana sekä riskitietoisuuden ja riskienhallintaosaamisen lisäämisen.
Riskienhallinta toimintana etsii vielä paikkaansa liikeyritysten sekä muiden organisaatioiden ja yhteisöjen rakenteissa ja prosesseissa. Eräs haastatelluista kuvasi liiketoiminnan ja riskienhallinnan suhteen problematiikkaa seuraavasti:
”Liiketoimintahan on jatkuvaa riskienottoa. Eli sijoitetaan tietty panos johonkin ja odotetaan tiettyä tuottoa. Joskus on vaikeaa erottaa, mikä on normaalia liiketoimintaa ja mikä riskienhallintaa.”
Riskienhallinnan kehitys on intensiivistä ja jatkuvaa. Haastateltujen mukaan riskienhallintaa tulee kehittää maltillisesti. Riskienhallintaa kehitettäessä on oltava tietoisia riskienhallinnan viimeisimmistä muutoksista ja uusista käytänteistä sekä pohtia niiden soveltuvuutta organisaation toimintaan. Syklien merkitys riskienhallinnan kehittämisessä on suuri; riskienhallinnan suuntaviivoja ja kehitystä tulee näin ollen seurata säännöllisesti. Haastatellut näkevät riskienhallinnassa paljon kehityskohteita ja -mahdollisuuksia. Kokonaisvaltainen riskienhallinta on edelleen uusi ilmiö ja työ erityisesti jalkauttamisen osalta on vielä kesken.
164 SRHY