Riskienhallintajohtajan tehtäväkenttä

Risk Advisory Services Ernst & Young Oy ja Suomen Riskienhallintayhdistys Riskienhallintajohtajan tehtäväkenttä Tutkimuksen tulokset, 12.4.2007 Fredrik Åström 1

Esityksen aiheet 1. Tausta ja demografia 2. Riskienhallinnan päämäärät 3. Riskienhallinnan organisointi 4. Riskienhallintajohtajien tehtäväkenttään kuuluvat riskilajit 5. Riskienhallintajohtajien tehtäväkenttään kuuluvat tehtävät 6. Riskienhallintajohtajien kokemat haasteet 2

Esityksen aiheet 1. Tausta ja demografia 2. Riskienhallinnan päämäärät 3. Riskienhallinnan organisointi 4. Riskienhallintajohtajien tehtäväkenttään kuuluvat riskilajit 5. Riskienhallintajohtajien tehtäväkenttään kuuluvat tehtävät 6. Riskienhallintajohtajien kokemat haasteet 3

Ernst & Youngin ja Suomen Riskienhallintayhdistyksen tutkimus riskienhallintajohtajan tehtäväkentästä 2007 Ernst & Young toteutti maaliskuussa 2007 kyselyn suomalaisten riskienhallintajohtajien tehtäväkentästä yhteistyössä Suomen riskienhallintayhdistyksen kanssa. Kyselyn päämääränä oli selvittää riskienhallinnan kehittämisestä ja koordinoinnista vastaavien johtajien taustat, tehtävänkuvat, prioriteetit sekä koetut haasteet. Kyselyn ensisijaisena kohderyhmänä oli oman organisaationsa riskienhallinnasta vastaavat riskienhallinnan ammattilaiset. Kysely lähetettiin kaikille SRHY:n jäsenille sekä myös eräille SRHY:een kuulumattomille riskienhallintajohtajille. Kysely lähetettiin kaiken kaikkiaan 116 yritykseen ja yhteisöön. Vastaajien lukumäärä oli 46, joista 74% olivat SRHY:n yhteisö- tai henkilöjäseniä. 4

Vastaajat edustavat enimmäkseen yrityssektoria, eniten edustettuna toimialaryhmänä teollisuus K: Millaisessa organisaatiossa toimitte? Muu (4 %) K: Mikä on organisaationne pääasiallinen toimiala? Muu (9 %) Julkishallinto (9 %) Yritys, tytäryhtiötasolla (11 %) Riskienhallinnan palveluntarjoaja (15 %) Teollinen toiminta (37 %) Kauppa ja palvelut (17 %) Yritys, konsernitasolla (76 %) Rahoitus ja vakuutus (22 %) 5

Valtaosa vastaajista ovat riskienhallintatoiminnosta vastaavia johtajia K: Mikä on oma toimenkuvanne? Riskienhallintatoiminnosta vastaava johtaja 57 % Riskienhallinnan toimihenkilö 15 % Riskienhallinnan palveluntarjoaja Muu riskienhallintatyö, mikä? Muu 7 % 9 % 11 % Sisäinen tarkastaja Sisäisestä tarkastuksesta vastaava johtaja 0 % 0 % 6

Riskienhallinnan ammattikunnassa on monta erilaista taustaa edustettuna K: Mikä on pääasiallinen koulutus- ja kokemustaustanne? Vakuutus Riskienhallinta Laskenta Yritysturvallisuus Rahoitus Muu Tuotanto ja logistiikka Liikkeenjohdon konsultointi Lakiasiat Laatu Liiketoiminnan kehitys Myynti ja markkinointi Tietohallinto Ympäristöasiat 0 % 2 % 2 % 2 % 2 % 2 % 2 % 7 % 7 % 9 % 13 % 15 % 17 % 17 % 7

Esityksen aiheet 1. Tausta ja demografia 2. Riskienhallinnan päämäärät 3. Riskienhallinnan organisointi 4. Riskienhallintajohtajien tehtäväkenttään kuuluvat riskilajit 5. Riskienhallintajohtajien tehtäväkenttään kuuluvat tehtävät 6. Riskienhallintajohtajien kokemat haasteet 8

Riskienhallinnan yleisimmät päämäärät liittyvät tavoitteiden saavuttamisen varmistamiseen sekä tietoisuuden ja johtamisen parantamiseen organisaatiossa K: Mitkä ovat riskienhallinnan keskeisimmät päämäärät organisaatiossanne? Tavoitteiden saavuttamisen varmistaminen 74 % Riskitietoisuuden kasvattaminen organisaatiossa 52 % Hyvän hallintotavan tehostaminen (corporate governance) Johdon päätöksenteon parantaminen Vahinkojen ennaltaehkäisy Hallituksen ajan tasalla pitäminen yrityksen riskeistä ja niiden hallinnasta Vakuutussuojan optimointi Yrityksen maineen/brändin varjeleminen Lakien ja vaatimusten noudattamisen varmistaminen 15 % 15 % 15 % 24 % 35 % 33 % 33 % 9

Talouteen ja rahoitukseen liittyviä päämääriä on asetettu vain vähäisissä määrin K: Mitkä ovat riskienhallinnan keskeisimmät päämäärät organisaatiossanne? Sijoittajien ajan tasalla pitäminen yrityksen riskeistä ja niiden hallinnasta Tuloksen tai kassavirran vaihtelun vähentäminen Talousvaikeuksiin joutumisen ehkäiseminen Tulosennusteiden saavuttamisen varmistaminen 4 % 4 % 2 % 2 % 10

Vapaissa kommenteissa riskienhallinnan päämääristä korostuu tavoitteiden saavuttamisen lisäksi liiketoiminnan jatkuvuuden turvaaminen 11 Liiketoiminnan ja kilpailukyvyn varmistaminen. Kokonaisvaltaisen riskienhallinnan päämääränä on tunnistaa, mitata ja hallita käytettävissä olevin keinoin ne riskit, jotka mahdollisesti uhkaavat yhtiön toimintaa, mainetta sekä asetettujen tavoitteiden saavuttamista. Riskien hallinta on merkittävä osa yrityksen hallinnointija ohjausjärjestelmäkokonaisuutta (Corporate Governance) Riskienhallinta ei saa olla irrallinen ja erillinen toiminto, vaan se on luonnollinen osa jokapäiväistä liiketoimintaa ja päätöksentekoa. Tavoitteena on ymmärtää paremmin toiminnan riskiympäristö jotta pystytään ottamaan harkittuja riskejä. Pyritään varmistamaan että liiketoiminnan ottamat riskit ovat suhteessa yrityksen riskinkantokykyyn ja asetetut tavoitteet saavutetaan. Riskienhallinnan tavoitteena on tukea strategioiden ja tavoitteiden saavuttamista sekä turvata liiketoiminnan jatkuvuus. Tunnistamalla riskit ja kuvaamalla niiden merkittävyys, syyt ja seuraukset yhtenäisellä ja vertailtavalla tavalla mahdollistetaan tehokkaat riskienhallintatoimenpiteet ja hyvän hallintotavan edellyttämä läpinäkyvyys. Turvata osakkeenomistajien ja sidosryhmien edut ja toiminnan jatkuvuus Saavuttaa yhtiön strategiset ja taloudelliset tavoitteet kestävällä ja hallitulla tavalla. Riskienhallinnan tavoitteena on tukea organisaatiota strategian toteuttamisessa ja asetettuihin tavoitteisiin pääsemisessä sekä varmistaa liiketoiminnan jatkuvuus ja turvata omaisuus.

Esityksen aiheet 1. Tausta ja demografia 2. Riskienhallinnan päämäärät 3. Riskienhallinnan organisointi 4. Riskienhallintajohtajien tehtäväkenttään kuuluvat riskilajit 5. Riskienhallintajohtajien tehtäväkenttään kuuluvat tehtävät 6. Riskienhallintajohtajien kokemat haasteet 12

Valtaosassa vastaajien organisaatioista on riskienhallintatoiminto joko erillinen tai yhdistettynä toiseen K: Onko organisaatiossanne riskienhallintatoiminto, joka vastaa riskienhallinnan kehittämisestä ja koordinoinnista? Ei ole (7 %) Nämä ovat kaikki riskienhallinnan palveluntarjoajia On, yhdistettynä toiseen (38 %) Rahoitus Talous ja hallinto Turvallisuus Hankintatoimi BCM Laatu Yrityssuunnittelu Aktuaari On, erillinen (56 %) 13

Erillinen riskienhallintatoiminto löytyy useimmin rahoitus- ja vakuutussektorin yrityksistä K: Onko organisaatiossanne riskienhallintatoiminto, joka vastaa riskienhallinnan kehittämisestä ja koordinoinnista? 80 % 60 % 40 % Rahoitus ja vakuutus Kauppa ja palvelut Teollinen toiminta 20 % 0 % On, erillinen Kaikilla vastanneilla oli yllä olevilla toimialoilla joko erillinen tai johonkin muuhun toimintoon yhdistetty riskienhallintatoiminto 14

Tavallisin nimike on Riskienhallintajohtaja CRO K: Mikä on riskienhallintatoiminnon johtajan titteli? 15 Nimike Lkm Riskienhallintajohtaja / Chief Risk Officer (CRO) 15 Riskienhallintapäällikkö / Risk Manager 8 Chief Officer, Risk and Compliance 2 Talousjohtaja 2 Turvallisuusjohtaja 2 BCM Leader 1 Director, Group Financial Development 1 Financial Controller 1 Johtaja 1 Kehitysjohtaja 1 Laatujohtaja 1 Materiaalijohtaja 1 Rahoitus-ja riskienhallintajohtaja 1 SVP Risk Management 1 Nimikettä ei ole, osasto-päällikkö 1 Ei voida ilmoittaa yhtenä tittelinä 1

Riskienhallintajohtaja raportoi tyypillisesti talousjohtajalle K: Kenelle riskienhallintajohtaja raportoi? Talousjohtaja 52 % Toimitusjohtaja 24 % Muu johtoryhmän jäsen 14 % Muu johtaja 10 % 16

Esityksen aiheet 1. Tausta ja demografia 2. Riskienhallinnan päämäärät 3. Riskienhallinnan organisointi 4. Riskienhallintajohtajien tehtäväkenttään kuuluvat riskilajit 5. Riskienhallintajohtajien tehtäväkenttään kuuluvat tehtävät 6. Riskienhallintajohtajien kokemat haasteet 17

Riskienhallintajohtajat ovat kaikista eniten tekemisissä vahinko- ja yritysturvallisuusriskien kanssa K: Mitkä seuraavista riskilajeista kuuluvat riskienhallintajohtajan tehtäväkenttään? Vahinkoriskit Yritysturvallisuusriskit Toimitusketjuun liittyvät riskit Kumppanuuksiin ja verkostoihin liittyvät riskit Poliittiset ja lainsäädännölliset riskit Tietoturvallisuusriskit Projektiriskit Markkinoihin, asiakkaisiin ja kilpailijoihin liittyvät riskit Sopimus- ja vastuuriskit Henkilöstöriskit Ympäristöriskit Yritysjärjestelyihin liittyvät riskit Taloudelliseen raportointiin liittyvät riskit Kehittyvien markkinoiden riskit Rahoitusriskit Veroriskit Riskienhallintajohtaja vastaa riskin hallinnan kehittämisestä ja koordinoinnista Riskienhallintajohtaja osallistuu riskin hallinnan kehittämiseen ja koordinointiin Kokonaan muu taho hoitaa riskin hallinnan kehittämisen ja koordinoinnin Ei ajankohtaista organisaatiossamme 0 % 20 % 40 % 60 % 80 % 100 % 18

Vahinkoriskit koetaan tärkeimmäksi riskilajiksi tällä hetkellä K: Mitkä seuraavista riskilajeista ovat tärkeimmät tällä hetkellä? Vahinkoriskit Tietoturvallisuusriskit Toimitusketjuun liittyvät riskit Markkinoihin, asiakkaisiin ja kilpailijoihin liittyvät riskit Yritysturvallisuusriskit Projektiriskit Kehittyvien markkinoiden riskit Poliittiset ja lainsäädännölliset riskit Yritysjärjestelyihin liittyvät riskit Kumppanuuksiin ja verkostoihin liittyvät riskit Taloudelliseen raportointiin liittyvät riskit Sopimus- ja vastuuriskit Rahoitusriskit Henkilöstöriskit Muu riskilaji Veroriskit Ympäristöriskit 21 % 21 % 21 % 19 % 19 % 14 % 14 % 12 % 12 % 9 % 7 % 5 % 26 % 33 % 33 % 33 % 40 % 19

Riskilajien tärkeydessä on tiettyjä eroja toimialojen välillä K: Mitkä seuraavista riskilajeista ovat tärkeimmät tällä hetkellä? 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % Vahinkoriskit Tietoturvallisuusriskit Toimitusketjuun liittyvät riskit Markkinoihin, asiakkaisiin ja kilpailijoihin... Yritysturvallisuusriskit Projektiriskit Kehittyvien markkinoiden riskit Poliittiset ja lainsäädännölliset riskit Yritysjärjestelyihin liittyvät riskit Kumppanuuksiin ja verkostoihin liittyvät... Taloudelliseen raportointiin liittyvät riskit Sopimus- ja vastuuriskit Rahoitusriskit Henkilöstöriskit Muu riskilaji Veroriskit Ympäristöriskit Rahoitus ja vakuutus Teollinen toiminta Kauppa ja palvelut 20

Liiketoimintariskien sekä kumppanuuksiin ja verkostoihin liittyvien riskien merkitys arvioidaan kasvavan tulevaisuudessa, kun taas vahinkoriskien merkitys arvioidaan laskevan K: Mitkä seuraavista riskilajeista ovat tärkeimmät tällä hetkellä vs tulevaisuudessa? Vahinkoriskit Tietoturvallisuusriskit Toimitusketjuun liittyvät riskit Liiketoimintariskit (Markkinoihin, asiakkaisiin ja kilpailijoihin liittyvät riskit) Yritysturvallisuusriskit Projektiriskit Kehittyvien markkinoiden riskit Poliittiset ja lainsäädännölliset riskit Yritysjärjestelyihin liittyvät riskit Kumppanuuksiin ja verkostoihin liittyvät riskit Taloudelliseen raportointiin liittyvät riskit Sopimus- ja vastuuriskit Rahoitusriskit Henkilöstöriskit Muu riskilaji Veroriskit Ympäristöriskit 21 0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % Nyt Tulevaisuudessa

Onko tulevaisuus huolettomampi? Ainoastaan viiden riskilajin merkitys arvioidaan kasvavan tulevaisuudessa Merkitys pienenee tulevaisuudessa Merkitys kasvaa tulevaisuudessa Kumppanuuksiin ja verkostoihin liittyvät riskit Liiketoimintariskit Sopimus- ja vastuuriskit Kehittyvien markkinoiden riskit Henkilöstöriskit Toimitusketjuun liittyvät riskit Ympäristöriskit Projektiriskit Rahoitusriskit Veroriskit Muu riskilaji Poliittiset ja lainsäädännölliset riskit Yritysjärjestelyihin liittyvät riskit Taloudelliseen raportointiin liittyvät riskit Yritysturvallisuusriskit Tietoturvallisuusriskit Vahinkoriskit -40 % -30 % -20 % -10 % 0 % 10 % 20 % 30 % 40 % 22

Esityksen aiheet 1. Tausta ja demografia 2. Riskienhallinnan päämäärät 3. Riskienhallinnan organisointi 4. Riskienhallintajohtajien tehtäväkenttään kuuluvat riskilajit 5. Riskienhallintajohtajien tehtäväkenttään kuuluvat tehtävät 6. Riskienhallintajohtajien kokemat haasteet 23

Riskienhallintajohtajat vastaavat ennen kaikkea riskienhallinnan periaatteiden, raportointikäytäntöjen ja työkalujen määrittelemisestä sekä vakuutuksista K: Mitkä seuraavista tehtävistä kuuluvat riskienhallintajohtajan tehtäväkenttään? Riskienhallinnan periaatteiden määritteleminen Sisäisen riskiraportoinnin kehittäminen (johdolle, hallitukselle) Riskienhallinnan kehittäminen johtamisjärjestelmän osaksi Riskienhallinnan käytäntöjen jalkauttaminen organisaatiossa Avainriskien hallintakeinojen kehittäminen Riskienhallinnan työkalujen ja tietojärjestelmien kehittäminen Ulkoisen riskiraportoinnin kehittäminen Riskien tunnistaminen ja arviointi Jatkuvuussuunnittelu Kriisienhallinta Vakuutussuojan optimointi Riippuvuuskartoitukset Yritysjärjestelyiden riskiarvioinnit Auditoinnit Muu ART-toiminta (Alternative Risk Transfer) Sisäisen valvonnan kehittäminen Investointien riskiarvioinnit Captive-yhtiön kehittäminen Riskienhallintajohtaja vastaa riskin hallinnan kehittämisestä ja koordinoinnista Riskienhallintajohtaja osallistuu riskin hallinnan kehittämiseen ja koordinointiin Kokonaan muu taho hoitaa riskin hallinnan kehittämisen ja koordinoinnin Ei ajankohtaista organisaatiossamme 0 % 20 % 40 % 60 % 80 % 100 % 24

Tämän päivän tärkein tehtävä on riskienhallinnan kehittäminen johtamisjärjestelmän osaksi K: Mitkä näistä tehtävistä ovat tärkeimmät tällä hetkellä? Riskienhallinnan kehittäminen johtamisjärjestelmän osaksi 63 % Riskienhallinnan käytäntöjen jalkauttaminen organisaatiossa 39 % Riskien tunnistaminen ja arviointi Jatkuvuussuunnittelu Riskienhallinnan työkalujen ja tietojärjestelmien kehittäminen Sisäisen riskiraportoinnin kehittäminen (johdolle, hallitukselle) Riskienhallinnan periaatteiden määritteleminen Riippuvuuskartoitukset Avainriskien hallintakeinojen kehittäminen 32 % 29 % 27 % 22 % 20 % 20 % 17 % Sisäisen valvonnan kehittäminen Ulkoisen riskiraportoinnin kehittäminen (sijoittajille, vakuutusyhtiöille, viranomaisille) Auditoinnit Vakuutussuojan optimointi Captive-yhtiön kehittäminen Yritysjärjestelyiden riskiarvioinnit Investointien riskiarvioinnit 7 % 7 % 7 % 5 % 2 % 2 % 2 % 25

Tulevaisuuden prioriteeteiksi nousevat myös riskienhallinnan jalkauttaminen, jatkuvuussuunnittelu sekä tunnistettujen avainriskien hallinnan kehittäminen K: Mitkä näistä tehtävistä ovat tärkeimmät tällä hetkellä vs tulevaisuudessa? Riskienhallinnan kehittäminen johtamisjärjestelmän osaksi Riskienhallinnan käytäntöjen jalkauttaminen organisaatiossa Riskien tunnistaminen ja arviointi Jatkuvuussuunnittelu Riskienhallinnan työkalujen ja tietojärjestelmien kehittäminen Sisäisen riskiraportoinnin kehittäminen (johdolle, hallitukselle) Riskienhallinnan periaatteiden määritteleminen Riippuvuuskartoitukset Avainriskien hallintakeinojen kehittäminen Sisäisen valvonnan kehittäminen Ulkoisen riskiraportoinnin kehittäminen (sijoittajille, vakuutusyhtiöille, viranomaisille) Auditoinnit Vakuutussuojan optimointi Captive-yhtiön kehittäminen Yritysjärjestelyiden riskiarvioinnit Investointien riskiarvioinnit Kriisienhallinta Nyt Tulevaisuudessa 0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 26

Esityksen aiheet 1. Tausta ja demografia 2. Riskienhallinnan päämäärät 3. Riskienhallinnan organisointi 4. Riskienhallintajohtajien tehtäväkenttään kuuluvat riskilajit 5. Riskienhallintajohtajien tehtäväkenttään kuuluvat tehtävät 6. Riskienhallintajohtajien kokemat haasteet 27

Riskienhallintajohtajan suurimmat haasteet ovat riskienhallinnan integrointi johtamiseen ja prosesseihin sekä hyödyn osoittaminen linjajohdolle K: Mitkä ovat riskienhallintajohtajan suurimmat haasteet? Riskienhallinnan integrointi osaksi johtamisjärjestelmää ja liiketoimintaprosesseja Riskienhallinnan myyminen ja hyödyn osoittaminen linjajohdolle ja liiketoimintayksiköille 51 % 86 % Määriteltyjen toimintatapojen ylläpito organisaatiossa Riskienhallinnan toimivuuden osoittaminen johdolle ja hallitukselle Johdon odotusten ymmärtäminen ja tavoitteiden tarkentaminen Riskienhallintaan liittyvän tiedon hallinta Riskienhallinnan myyminen ja hyödyn osoittaminen ylimmälle johdolle Työn vaatimien resurssien hankinta 33 % 28 % 28 % 26 % 23 % 16 % Muu 5 % Oman funktion johtaminen Riskienhallinnan toimivuuden osoittaminen ulkoisille tahoille 5 % 2 % 28

Kommentteja riskienhallintajohtajan haasteista Toimintaympäristö muuttuu ja kehittyy vauhdilla. Toiminnot hajautuvat ja laajan ymmärryksen määrä paikallisella tasolla vähenee. Tämä tarkoittaa katsantakannan kapenemista ja sitä, että eri funktiot keskittyvät vain oman osa-alueensa asioihin eikä kokonaisuutta tarkastella oikein missään. Voimakkaasti muuttuva toimintaympäristö. Operatiivinen riskien käsittely vie paljon aikaa, jolloin riskienhallinnan strategiselle suunnittelulle jää liian vähälle. Ylin johto alkaa jo ymmärtää riskienhallinnan merkityksen, mutta kuinka vielä saa seuraavien tasojen ymmärryksen kasvamaan. Saada organisaatio ymmärtämään, että toiminnalle asetettujen tavoitteiden seuranta, niiden raportointi ja mahdollisten ongelmien käsittely on riskien toteutumista ehkäisevää riskienhallintaa. Riskienhallinnan selkeämpi määrittely, terminologian yhdenmukaistaminen ja positiointi HSEQ-/sisäinen tarkastus/- tilintarkastus-kentässä. Puuttuu suomalaiseen käytäntöön istuvat säädökset ja standardit (jotka luovat sisäistä uskottavuutta asialla). 29

Yhteystiedot Ernst & Young Oy Risk Advisory Services Fredrik Åström, Manager Tel. +358 (9) 1727 7254 Mobile: +358 40 503 0629 Fredrik.Astrom@fi.ey.com 30

31 Risk Advisory Services