Riskienhallinta osana strategia- ja budjetointiprosesseja Suomen Riskienhallintayhdistyksen Miniseminaari 19.9.2013 Outi Kettunen, Senior Manager, Advisory ADVISORY
Agenda Johdanto strategiseen riskienhallintaan Riskientunnistuksen ja arvioinnin integrointi strategia- ja budjetointiprosessiin ja esimerkkejä työkaluista Eri osapuolten odotukset riskiprosessille ja johtopäätökset 1
Johdanto strategiseen riskienhallintaan At some point your products will become obsolete, your customers tastes will change, or technology will render your business model uncompetitive. Today s successes will be tomorrow s old news. The question is not if, but when. Robert Simons, Stress Test Your Strategy Strategiset riskit = 1) Riski että liiketoimintamalli ei tue valittua strategiaa 2) Riski että strategian perustana olevat oletukset osoittautuvat vääriksi 2
Strategisten riskien luonne Yritykset suhtautuvat strategisiin riskeihin usein kuin ne Binäärinen riski olisivat binäärisiä riski joko toteutuu tai ei toteudu, tai Toteutuu kuin tulema voisi olla mikä tahansa eli todellisuus on kaaos, jota ei voi mitenkään hallita tai ennustaa. Todellisuudessa strategisissa riskeissä on usein joukko potentiaalisia tulemia, esim. öljyn hintakehitys. Yritykset ennustavat tällaisia tulemia usein lineaarisesti esim. kolmen vaihtoehdon kautta paras tulema, huonoin tulema, ja oletettu / keskiarvoinen tulema. Tämä ei kuitenkaan vastaa todellisuutta, jossa tulemat eivät määräydy lineaarisesti keskiarvoisen / oletetun tuleman poikkeamina. Parempi tapa analysoida tällaisia i riskejä on skenaarioanalyysi, jossa valitaan muutama mahdollinen skenaario ja ratkaistaan lopputulema skenaarion oletusten perusteella. Esim. uusi regulaatio? Ei toteudu Riskinhallintatoimenpide: varaudu molempiin lopputulemiin (todennäköisyysarvion perusteella painottaen) Riski jossa rajallinen joukko mahdollisia lopputulemia Riskinhallintatoimenpide: rakenna skenaarioita joiden perusteella ennustat mahdollisia lopputulemia; varaudu todennäköisimpiin tulemiin sekä määrittele indikaattoreita skenaarioiden toteutumisen seuraamiseksi 3
Kokonaisvaltainen riskienhallinta strategiaprosessissa Strategy Post-Strategy Pre-Strategy Strategisten projektien sekä riskinhallintatoimen- piteiden määrittely, budjetointi ja toteutus Projektien ja toimenpiteiden seuranta Strategian ja riskiarvioinnin valmistelu Riskinottohalukkuuden kk määrittely Ympäristöanalyysi trendien, uhkien ja mahdollisuuksien arviointi Strategian määrittely ja riskiarviointi Strategisten tavoitteiden määrittely ja vastaavien oletusten tunnistaminen Oletuksia vastaavien riskien tunnistaminen ja arviointi ( what can go wrong ) Skenaarioanalyysi i Strategian ja riskienhallinnan toteutus Suoritusmittarit ja -palkkiot 4
Kokonaisvaltainen riskienhallinta strategiaprosessissa 1) Strategian ja riskiarvioinnin valmistelu Kuinka riskienhallinta toteutuu osana strategiaprosessia: 1. Riskinottohalukkuuden (risk appetite) määrittely kuinka paljon riskiä yritys on valmis ottamaan suhteessa esim. kassavirtaan, taseeseen, maineeseen ja turvallisuuteen. 2. Uhkien ja mahdollisuuksien tunnistus osana ympäristön skannausta ja trendien arviointia. 3. Edellisvuoden riskikartoituksen tulosten arviointi suhteessa päivitettyyn ympäristöanalyysiin, uhkiin ja mahdollisuuksiin, sekä mahdollisiin vuoden aikana toteutuneisiin riskeihin. 4. Myös yrityksen sisäisen toimintaympäristön muutosten (esim. muutokset liiketoimintamallissa tai johdossa) vaikutusten arviointi suhteessa edelliseen riskikartoitukseen. 5. Riskienhallintaprosessin, -työkalujen sekä -raporttipohjien päivitys tarpeen mukaan. 5
Esimerkki riskinottohalukkuuden määrittelystä Lähde: Edinburghin yliopisto 6
Kokonaisvaltainen riskienhallinta strategiaprosessissa 2) Strategian määrittely ja riskiarviointi Kuinka riskienhallinta toteutuu osana strategiaprosessia: 1. Strategisten tavoitteiden määrittely sekä vastaavien oletusten tunnistaminen mitä tämän tavoitteen toteutuminen edellyttää? 2. Oletusten priorisointi niiden kriittisyyden perusteella. 3. Keskeisimpiä oletuksia vastaavien riskien tunnistaminen ja arviointi mitkä asiat voivat johtaa siihen, ettei strategiamme taustalla oleva oletus pidäkään paikkaansa? 4. Eri riskien merkittävyyden arviointi ja priorisointi mitkä ovat ne keskeiset riskit jotka voisivat johtaa strategiamme epäonnistumiseen? Vastaavien riskien taustatekijöiden tunnistus ja indikaattoreiden määrittely. 5. Skenaarioiden rakentaminen riskien yhteisvaikutusten arviointiin sekä mahdollisten uusien ja epätodennäköisten riskien tunnistamiseen. 6. Strategisten tavoitteiden viimeistely riskiarvioinnin perusteella ovatko jotkut riskit niin suuria ettei niitä kannata ata ottaa? Tai onko o mahdollisuuksia s a joita ei ole aiemmin tunnistettu? 7
Kokonaisvaltainen riskienhallinta strategiaprosessissa 3) Strategian ja riskienhallinnan toteutus Kuinka riskienhallinta toteutuu osana strategiaprosessia: 1. Strategisten projektien sekä riskinhallintatoimenpiteiden määrittely ja kustannusarviointi. Hankkeiden priorisointi vaikuttavuuden sekä käytettävissä olevan budjetin perusteella. 2. Tarkempien projektisuunnitelmien määrittely aktiviteetit, välitavoitteet, aikataulut, vastuut sekä seurantamekanismit. Suoritusmittarien ja -palkkioiden määrittely ja kommunikointi asianosaisille. 3. Riskiprojektien linkitys vuosisuunnitelmaan sekä eri riskinhalllintahankkeiden integrointi / päällekkäisyyksien poistaminen (esim. prosessi- ja projektiriskihankkeet). 4. Strategian sekä riskienhallintasuunnitelman sisäinen ja ulkoinen viestintä. 5. Strategisten sekä riskienhallintaprojektien juokseva toteutus ja seuranta. Tavoitteiden ja riskien välitarkastelu säännöllisesti sekä silloin kun yrityksen tilanne muuttuu esim. toimintaympäristöstä tehdyt oletukset osoittautuvat vääriksi. 8
Riskienhallinta osana strategiaprosessia tyypilliset kompastuskivet Oletuksia ei tarkisteta tai kyseenalaisteta vaan niitä pidetään faktoina. Esimerkiksi oletetaan, ettei teknologiassa tai liiketoimintamallissa tapahdu olennaisia muutoksia tarkastelukaudella. t k ll Strategiset tavoitteet määritellään ensin ja riskit tunnistetaan jälkikäteen, jolloin riski-informaatio ei voi enää vaikuttaa asetettaviin tavoitteisiin ja liiketoimintasuunnitelmiin. Riskit ovat tavoitteiden kääntöpuolia esim. jos tavoitteena on kasvaa Kiinan markkinalla 10% vuodessa, riskiksi määritellään ettei kasvu toteudu. Vastaavat riskienhallintatoimenpiteet jäävät epämääräisiksi. Ei nähdä että (yleensä) jokainen strateginen riski pitää sisällään myös mahdollisuuden, ja päinvastoin. Reaalioptiot jäävät usein huomioimatta esim. investointien arvonmäärityksessä. Ajatukset ovat liikaa tutuissa riskeissä sen sijaan, että mietittäisiin mahdollisia uusia ja yllättäviä riskejä ( emerging risks ja black swans ). Riskirekisterin sisältö pysyy jokseenkin samana vuodesta toiseen. Ei ymmärretä riskien yhteisvaikutuksia. 9
Eri näkökulmat / odotukset riskiprosessille? Hallitus Hallitukselle raportoitava riski-informaatio on konsolidoitua it ja keskittyy kitt olennaiseen Avoin kommunikaatio Riskifunktio Riskifunktio pääsee mukaan keskusteluihin kun päätetään uusista strategisista linjauksista tai liiketoimintasuunnitelmista Linjajohto Riskienhallintaprosessi tuottaa lisäarvoa liiketoiminnalle ei pelkkää kuponkien täyttämistä Strategia- / kehitysfunktio Riskiprosessi ei ole erillinen harjoitus vaan se on integroitu strategiaprosessiin ja ko. yksiköt toimivat yhteistyössä 10
Johtopäätökset kuinka olla kadottamatta metsää puilta 11 11 11
Kiitos! Outi Kettunen Senior Manager, Advisory outi.kettunen@kpmg.fi 020 760 3836