RISKIEN HALLINTA Timo Malin VAMK 1
Sisällys 1. MITÄ RISKIEN HALLINTA ON?... 3 2. MILLAINEN ON RISKIEN HALLINTA PROSESSI?... 3 3. MITEN RISKEJÄ VOIDAAN TUNNISTAA?... 3 4. MITEN RISKIEN MERKITYSTÄ VOIDAAN ARVIOIDA?... 5 5. MITKÄ OVAT RISKIEN HALLINNAN KEINOT (=TOIMENPITEET?)... 6 5.1 RISKIEN HALLINTAKEINOJA... 6 5.1.1 Riskin välttäminen... 6 5.1.2 Riskin pienentäminen... 6 5.1.3 Riskin siirtäminen ja jakaminen... 7 5.1.4 Riskin pitäminen omalla vastuulla... 7 Tämä materiaali perustuu PK-RH riskienhallinta sivustoon http://www.pk-rh.fi/, viitattu 26.8.2016 2
1. Mitä riskien hallinta on? Riskienhallinnalla tarkoitetaan kaikkea yrityksessä tehtävää toimintaa riskien ja niistä aiheutuvien vahinkojen vähentämiseksi. Se on työtä yrityksen toiminnan jatkuvuuden ja henkilöstön hyvinvoinnin turvaamiseksi. Riskienhallinta on tilanteiden arviointia, suunnittelua ja käytännön tekoja, johon osallistuu kukin henkilöstön jäsen omassa roolissaan. Hyvä riskienhallinta on luonteeltaan ennakoivaa, tietoista, suunnitelmallista ja järjestelmällistä. Riskien hallinta koostuu kolmesta eri päävaiheesta riskienhallintaprosessista, riskien tunnistamisesta ja yhteistyöstä tunnistamisen tukemisesta. 2. Millainen on riskien hallintaprosessi? Riskien hallintaprosessissa on neljä eri vaihetta. Ensin riskit ovat tunnistettava sekä arvioitava. Riskien tunnistamisen tulee kattaa kaikki toiminta yrityksessä, joten se edellyttää yleensä yhteistyötä. Käytännössä tarkasteltavaksi otetaan osa yrityksen toiminnasta tai jokin ajankohtainen riskilaji. Kerralla tunnistetaan esimerkiksi tuotekehitystoiminnan riskejä tai kuljetusriskejä. Sen jälkeen on riskienhallintakeinot, jossa suunnitellaan riskien torjunta sekä toimenpiteet. Tuttu keino tässä varautua vahinkoon on vakuuttaminen: tulipalon sattuessa vakuutus korvaa suuren osan taloudellisista vahingoista. Kolmas vaihe on vahinkoihin varautuminen, jossa suunnitellaan miten vahingon sattuessa toimitaan ja miten vahingoista selvitään. Esimerkiksi tuotevikojen varalta on hyvä olla suunnitelma ja käytännön valmiudet viallisten tuotteiden saamiseksi pois markkinoilta. Viimeisessä vaiheessa seurataan tilannetta ja mahdollisista vahingoista opitaan. Tilanteet muuttuvat ja niiden mukana riskitkin. Yrityksissä seurataan usein esimerkiksi tuotteissa olevien virheiden tai työstä poissaolojen määriä ja syitä. Myös läheltä piti tilanteita kannattaa seurata ja selvitellä. Vain seuraukset jäivät sillä kertaa puuttumaan. Kuva 1. Riskien hallintaprosessi
3. Miten riskejä voidaan tunnistaa? Yrityksessä on selvitettävä kaikki mahdolliset riskit, mitä yrityksessä voi esiintyä. Tunnistamattomia riskejä ei voi hallita. Riskien tunnistaminen on riskienhallinnan lähtökohta. Se edellyttää yrityksen henkilökunnan osaamisen ja kokemuksen hyödyntämistä eli yhteistyötä. Riskien tunnistamisessa apuna on hyvä käyttää erilaisia tarkistuslistoja ja riskianalyysimenetelmiä. Näillä saadaan kokonaiskuva yrityksen tilanteesta ja löydetään riskialueet. Tarkistuslista on hyvä väline karkeaan riskien tunnistamiseen ja ongelmakohtien paikallistamiseen. Tarkistuslistoja voi käyttää muistilistojen tapaan ja mietittävä mitä asiat tarkoittavat omassa yrityksessä. Listat eivät ole koskaan täydellisiä. Erilaisia tarkistuslistoja löytyy vakuutusyhtiöiden julkaisuista, konsulteilta, viranomaisilta, tutkimuslaitoksista ja ammattilehdistä. Riskianalyysin tekemisessä on yleensä tarpeen käyttää myös asiantuntijapalveluja, etenkin silloin kuin riskit eivät ole yritykselle tuttuja, kuten esim. ympäristöriskit. Asiantuntija osaa analysointimenetelmän ja riskienhallinta periaatteet sekä tuntee oman erityisalan riskit. Asiantuntija ei kuitenkaan tunne yrityksen toimintaa ja sen erityispiirteitä, joten hyvän analyysin tekemiseen tarvitaan aina myös yrityksen omaa panosta. Yrityksen on kerättävä omaan tietopankkiin yrityksen kokemukset eli toteutuneet riskit sekä läheltä piti tilanteet. Viranomaisilla, konsulteilla ja vakuutusyhtiöillä on riskeistä jo paljon valmista tietoa, joka kannattaa käyttää hyväksi. Näiden perusteella on mietittävä, mitä olisi voinut tehdä toisin. Riskien tunnistaminen siis edellyttää yhteistyötä. Ihmisillä on yrityksessä erilaisia rooleja. Joku johtaa ja koordinoi, joku tekee enemmän käytännön töitä. Riskejä tunnistettaessa tarvitaan kaikkiin näihin tehtäviin liittyvää osaamista ja kokemusta. Vaikka tekijä onkin oman työnsä paras asiantuntija, niin kokemuksesta voi olla myös haittaa tunnistettaessa oman työn riskejä. Ihmiset tottuvat riskeihin ja ne alkavat tuntumaan arkipäiväisiltä. Tilanteen arviointi yhdessä muiden kanssa auttaa usein näkemään asioiden todellisen luonteen selkeämmin. Riskeistä keskusteleminen ja yrityksen haavoittuvuuden tarkasteleminen eri näkökulmista - eri henkilöiden kertomana - helpottaa yhteisymmärryksen löytämistä tulevien päätösten ja toimenpiteiden tueksi. Yhteistyö edellyttää kunnollisia palaverikäytäntöjä. Palaverin vetäjän tulisi olla perehtynyt riskienhallintaan ja käytettäviin apuvälineisiin. Riskien tunnistaminen aloitetaan yleensä karkeilla kartoitusmenetelmillä, esimerkiksi Haavoittuvuusanalyysillä. Haavoittuvuusanalyysi on riskien tunnistamisen lähtökohta. Pk-yrityksen haavoittuvuusanalyysi antaa nopeasti karkean kokonaiskuvan yrityksen haavoittuvuudesta eli yrityksen toiminnan jatkuvuuteen liittyvistä uhista. Tarkoituksena on selvittää esimerkkien avulla itse pk-yrityksessä omaan toimintaan liittyvät riskit. Yrityksen näkökulmasta riskejä on kahdenlaisia: liikeriskit ja vahinkoriskit. Liikeriskit liittyvät voiton saannin mahdollisuuteen ja voidaan puhua myös yrittäjäriskistä. Tähän liittyy kaikki yleensä vaikutukseltaan ennalta arvaamattomat liiketoiminnan kannattavuuteen ja taloudelliseen menestymiseen vaikuttavat yrityksen ulkoiset tekijät kuten asiakkaat, taloudellinen tilanne, suhdanteet, kilpailu, teknologian kehittyminen, viranomaistoiminta jne. Näitä ei yleensä voida siirtää vakuutusyhtiön kannettavaksi. Sen sijaan vahinkoriskit liittyvät konkreettiseen ja usein 4
ennalta mitattavaan vahinkovaaraan kuten tapaturmat, sairastuminen, kuolema, rikkoutuminen, varkaus, tulipalo, vesivahinko jne. Nämä voidaan siirtää vakuutusyhtiön kannettavaksi. TOIMINTAEDELLYTYKSET - tuotteiden ja palvelun laatu - toimitilat - kuljetukset - jätteet ja päästöt HENKILÖT - työkyky - henkilövalinnat - asiantuntijoiden käyttö - sairastuminen OMAISUUS JA KESKEYTYKSET - tulipalo - vuotovahingot - rikollinen toiminta SIDOSRYHMÄT - asiakkaat - pankki ja muut rahoittajat - yhteistyökumppanit - viranomaiset - kilpailu HAAVOITTTUVUUS TOIMINNAN ORGANISOINTI - sopimus ja vastuuasiat - toiminnan kehittäminen - riippuvuus yhteistyökumppaneista TALOUS - kannattavuus - korko - maksuvalmius - vakavaraisuus Kuva 2. Haavoittuvuusanalyysi 4. Miten riskien merkitystä voidaan arvioida? Tunnistettaessa riskejä järjestelmällisesti löydetään niitä tavallisesti niin runsaasti, että kaikkien asioiden kuntoon saattaminen ei ole ainakaan heti mahdollista. Riskienhallinnan kannalta on tärkeätä tunnistaa kiireisimmin toimenpiteitä vaativat ongelmat. Riskin merkityksen arvioimiseksi kannattaa sen syitä ja seurauksia tarkastella yksityiskohtaisesti. Usein näitä asioita on jo käsitelty riskien tunnistamisen yhteydessä. Käsitykset riskejä aiheuttavista ongelmatilanteista ja niiden syistä tai vaikutuksista voivat kuitenkin olla vielä tässä vaiheessa epäselviä. Nämä ongelmatilanteet vaativat lisää keskusteluja ja joskus myös ulkopuolisen asiantuntijan käyttöä. Riskin merkityksen arvioimiseksi joudutaan miettimään riskin toteutumisen todennäköisyyttä ja riskin toteutumisen vahinkoseuraamusta. Yleensä kannattaa tarkastella pahinta mahdollista tilannetta tai seurausten laajinta mahdollista toteutumista. Käytännöllinen apuväline arviointiin on alla oleva riskien merkityksen arviointi- taulukko. Taulukossa riskitapahtuman seurausten vakavuudelle ja todennäköisyydelle on kolme eri tasoa. Selvitysten perusteella valitaan riskitapahtuman seurausten vakavuus taulukon ylimmältä riviltä ja sen jälkeen riskitapahtuman todennäköisyys ensimmäisestä sarakkeesta. Riskin merkitys on valittujen kohtien leikkauspisteessä olevan arvon suuruinen. Riskin merkitys saa pienimmillään 5
arvon 1 (Merkityksetön riski) ja suurimmillaan arvon 5 (Sietämätön riski). Esimerkki: Suomenlahdella purjehtii lukuisia Öljytankkereita, joiden todennäköisyys ajaa karille on melko epätodennäköinen. Näin kuitenkin tapahtuessa mahdollisella öljyvahingolla olisi hyvin vakavat vaikutukset Suomenlahden kala- ja lintukannoille. Näin öljyvahinkoriski on vähintään kohtalainen riski. Kuva 3. Riskien merkityksen arviointi - taulukko 5. Mitkä ovat riskien hallinnan keinot ja toimenpiteet? Riskit kuuluvat liiketoimintaan, joten riskejä ei useinkaan voida välttää (vrt. liikeriskit). Toimenpiteiden kiireellisyysjärjestys riippuu riskin merkityksestä. Riskienhallinnan toimenpiteet on syytä aloittaa vähintään kohtalaisiksi arvioiduista riskeistä ja ulottaa niin laajalle kuin mahdollista. Toisaalta vähäisiäkään riskejä ei pitäisi unohtaa, koska ne voidaan monesti hallita pienin kustannuksin. Riskienhallinnan toimenpiteitä suunniteltaessa ja aikataulutettaessa kannattaa miettiä, miten niitä voidaan hallita osana yrityksen muuta kehittämistoimintaa, esimerkiksi tulevien kunnossapitotöiden, investointien, koulutustilaisuuksien tai henkilöjärjestelyiden yhteydessä. Tunnistettuja riskejä voidaan hallita monilla keinoilla. Ensisijaisesti on pyrittävä estämään riskitapahtuman vahingot tai vähentämään sen seurauksia. Seuraavassa esitellään riskienhallinnan keskeisiä keinoja. 5.1 Riskien hallintakeinot 5.1.1 Riskin välttäminen Riskiä ei yleensä voida kokonaan välttää. Riskin välttäminen on usein mahdollista vain, jos kyseisistä toimista pidättäydytään kokonaan. Esimerkiksi vaarallisen kemikaalin käsittelyyn liittyvät riskit voidaan välttää siirtymällä turvalliseen kemikaaliin ja vientitoiminnan riskit voidaan välttää kokonaan toimimalla pelkästään kotimaassa. 5.1.2 Riskin pienentäminen Riskin pienentäminen on olennainen osa riskien hallintaa. Riskiä voidaan pienentää vaikuttamalla riskitapahtuman todennäköisyyteen ja seurauksiin. Toisin sanoen on pyrittävä vaikuttamaan siihen, että riski toteutuisi mahdollisimman harvoin ja jos se toteutuu, seuraukset olisivat mahdollisimman pienet. Ensisijaisesti olisi pyrittävä vaikuttamaan riskin todennäköisyyteen. Monet ennaltaehkäisevät toimet mm. tapaturmien estämiseksi ovat tyypillistä riskin pienentämistä. Ennaltaehkäiseviä toimia ovat mm. koulutus ja turvalaitteiden hankinta. 6
5.1.3 Riskin siirtäminen ja jakaminen Riskiä voidaan siirtää toiselle taholle sopimusteitse. Tyypillisiä sopimuksia ovat esimerkiksi kuljetus- ja alihankintasopimukset; luotettavan ja ammattitaitoisen yrityksen kanssa voidaan tehdä sopimus riskin sisältävän työn suorittamisesta. Toinen mahdollisuus on vakuuttaminen. Vakuutusyhtiöillä on runsaasti erilaisia vakuutusmuotoja pk-yritystenkin tarpeisiin. Vakuutusmaksujen suuruuteen voi vaikuttaa mm. omilla riskienhallintatoimenpiteillä, eli riskienhallinta on kannattavaa tälläkin tavalla. Liikeriskien kohdalla vakuuttaminen on harvoin mahdollista. 5.1.4 Riskin pitäminen omalla vastuulla Riskit ovat osa yritystoimintaa. Osa riskeistä on sellaisia, että ne joudutaan tai kannattaa pitää omalla vastuulla - Riskien merkityksen arviointi- taulukon merkityksettömät riskit! Niiden kanssa on osattava elää. Esimerkiksi sopimuksista ja vakuuttamisesta huolimatta osa riskistä jää aina omalle vastuulle - mm. vakuutuskorvauksissa on usein oma vastuuosuus. Älä tyydy ensimmäiseen ideaan riskin hallitsemiseksi - mieti erilaisia vaihtoehtoja. Riskienhallintaa on myös varautuminen, jos kaikesta huolimatta jotakin sattuu. Usein on hyvä ennakolta rauhassa suunnitella, miten toimitaan vahingon sattuessa ja miten vahingosta toivutaan. Näin varmistetaan sujuva toiminta ongelmatilanteissa. Kuva 4. Esimerkkejä riskinhallintakeinoista 7