Riskien hallintaa, onnettomuuksia ja ennakointia - osa 1: Riskienhallinta on ennakointia

Mika Tynkkynen, Tapaturmavakuutuskeskuksen tutkimusjohtaja.

Riskienhallinta on systemaattinen prosessi organisaation toimintaan liittyvien riskien tunnistamisesta strategiseksi suunnitelmaksi niiden hallitsemiseksi. Kyse on siis organisaatioiden johtamisen alueesta, jolla tuetaan organisaatioiden tavoitteiden saavuttamista ja toimintaan liittyvien mahdollisuuksien ja uhkien tunnistamista. Ennakoinnin tehtävänä on tuottaa tietoa mahdollisista tulevaisuuksista ja niihin johtavista kehityskuluista strategisen päätöksenteon tueksi ja lisätä siten valmiuksia varautua erilaisiin tulevaisuuksiin. Riskienhallintaa ja laajemminkin strategista suunnittelua voidaan kehittää merkittävästi ymmärtämällä ennakoinnin lähtökohtia ja fundamentteja sekä systematisoimalla ennakointitoimintaa niiden mukaisesti.

Riskillä tarkoitetaan epävarmuutta

Kansainvälisesti tunnustetussa ja organisaatioiden laajalti käyttämässä riskienhallinnan standardissa (ISO 31000) riski määritellään tavoitteisiin liittyväksi epävarmuudeksi. Suoraan tästä lähtökohdasta johtaen riskienhallinta on siis toiminnan tavoitteisiin liittyvien epävarmuuksien hallintaa. Standardissa esitetään riskienhallinta järjestelmällisenä ja jatkuvana organisaation johtamisen osa-alueena, jonka tavoitteena on tunnistaa, arvioida ja hallita organisaation tavoitteiden saavuttamiseen vaikuttavia epävarmuustekijöitä. On tärkeää huomata, että tässä ei tarkoiteta pelkästään negatiivisia epävarmuuksia, eli uhkia, vaan prosessissa tulisi kiinnittää huomiota myös ”positiivisiin riskeihin”, eli mahdollisuuksiin. Riskienhallinnan perimmäinen tarkoitus on arvon luominen ja säilyttäminen. Tavoite ja määritelmät ovat universaaleja ja kattavat koko laajan riskilajien kirjon, mikä on myös mainitun standardin lähtökohta - siinä esitetään yleinen toimintamalli kaikentyyppisten riskien hallintaan.

Riskien arviointi riskienhallinnan keskiössä

Keskeinen osa riskienhallintaa on prosessi, joka käsittää riskienhallintaan liittyvät operatiiviset toiminnot toimintaympäristön määrittelystä prosessin ja sen tulosten seurantaan. Tämän prosessin keskiössä on riskien arvioinnin kokonaisvaltainen prosessi. Riskien tunnistamisen, analyysin ja merkitysten arvioinnin käsittävän arviointiprosessin tehtävänä on tukea organisaation johtamista tuottamalla tietoa ja toimintaan liittyvistä epävarmuuksista ja niihin liittyvästä dynamiikasta eli syistä, seurauksista ja merkityksistä. Tätä arviointiprosessia voikin pitää koko riskienhallintajärjestelmän moottorina, jolla jalostetaan riskeihin liittyvästä datasta niiden hallintaan liittyvässä päätöksenteossa välttämätöntä ymmärrystä. Siten riskien arvioinnin kokonaisuutta voi hyvällä syyllä pitää koko hallintajärjestelmän keskeisimpänä komponenttina. Arviointimenetelmiä käsitellään yksityiskohtaisemmin niitä koskevassa kansainvälisessä standardissa ISO/IEC 31010.

Vaikuttavan riskienhallintajärjestelmän rakentaminen perustuu tietoon

Vaikuttavan riskienhallintajärjestelmän rakentaminen ja jatkuva ylläpitäminen edellyttävät syvällistä ymmärrystä organisaation sisäisestä ja ulkoisesta toimintaympäristöstä. Kyse on vaikuttavan riskienhallinnan yleisiin periaatteisiin kuuluvista räätälöinnin, dynaamisuuden ja parhaan saatavilla olevan tiedon vaateista. Monipuolinen ja laadukas tieto on keskeinen elementti jo järjestelmän suunnittelu- ja rakentamisvaiheessa, sillä järjestelmä tulisi aina suunnitella ja räätälöidä organisaation tavoitteisiin liittyvään ulkoiseen ja sisäiseen toimintaympäristöön sopivaksi. Tästä kontekstiriippuvuudesta lisää myöhemmin riskien arvioinnissa käytettävien menetelmien valintaa käsittelevässä pohdinnassa.

Tieto on riskienhallintajärjestelmän moottorina toimivan riskien arviointiprosessin polttoainetta. Riskien arvioinnin tehtävä on monimutkainen ja kriittinen koko riskienhallinnan onnistumisen kannalta. Prosessin pitäisi kyetä tuottamaan ja jatkuvasti päivittämään mahdollisimman kattavasti ja luotettavasti tietämystä organisaation toimintaan liittyvistä uhkista ja mahdollisuuksista. Tämän tehtävän suorittaminen edellyttää laadukasta tietoa monipuolisesti organisaation toiminnasta ja toimintaympäristöstä sen kaikilta tasoilta. Raakadatan laatu määrittää pitkälti arviointimoottorin tuottaman tietämyksen ja siihen perustuvan ymmärryksen laatua. Vanha viisaus -Garbage in, garbage out- pätee tässäkin valitettavan hyvin.

Puutteellinen, väärä tai epäluotettava tieto voi johtaa vääriin johtopäätöksiin riskeistä usealla eri tavalla riippuen siitä, missä prosessiin vaiheessa epäkohtia esiintyy ja virheitä tehdään: riskeihin liittyviä ”ituja”, ts. vaaroja tai mahdollisuuksia ei tunnisteta lainkaan tai niihin liittyvä dynamiikka tunnistetaan vain osittain tai riskin toteutumisen todennäköisyys tai mahdolliset seuraukset arvioidaan väärin. Väärät johtopäätökset johtavat vääristyneeseen ymmärrykseen riskeistä ja niihin liittyvästä potentiaalista, ja tätä ymmärrystä käytetään riskien merkitysten arvioinnin perustana. Johtopäätökset ja niihin perustuvat riskienhallintaan liittyvät päätökset eivät voi onnistua tällöin kuin vahingossa. Epäonnistumisista voimme lukea pahimmillaan onnettomuuksista uutisoivista lööpeistä tai taloussivujen otsikoista, joissa uutisoidaan, miten yritys menetti vuosisadan mahdollisuutensa, kun ei ymmärtänyt hyödyntää potentiaaliaan hetken aikaa auki olleessa aikaikkunassa.

Mitä tietoa ja mistä lähteistä?

Riskien arvioinnin eri vaiheisiin on tarjolla todella laaja kirjo erilaisia menetelmiä, jotka voidaan jakaa niissä kerättävän ja käsiteltävän datan mukaan karkeasti laadullisiin ja määrällisiin. Käytännössä oleellisempi kriteeri menetelmien valinnassa on kuitenkin niiden soveltuvuus arviointiprosessin eri vaiheisiin ja toimintaympäristöstä johdettuihin vaatimuksiin ja edellytyksiin.

Käytännön tasolla tällaisella kontekstiriippuvuudella tarkoitetaan sitä, että menetelmien oikeellisuus määritellään aina suhteessa tilanteeseen ja tehtävään. Mikroyrityksen toimintaympäristö ei ole lähtökohtaisesti niin moniulotteinen ja kompleksinen kuin kansainvälisen konsernin, mutta silti olisi vaarallista keskittyä vain yrityksen omien ydintoimintojen ja prosessien ja välittömien asiakkaiden toimintojen pohdintaan näissäkään tapauksissa. Mikroyrityskin voi toimia ympäristössä, jossa sen eksistentiaaliset riskit liittyvät kansainvälisiin sopimuksiin tai lainsäädäntöön. Näitäkin riskejä varten olisi syytä olla hyvä suunnitelma, vaikka niiden lähteet eivät varsinaisesti olisikaan millään lailla pienen toimijan hallittavissa.

Monipuolisen tiedon merkitystä riskien arvioinnin onnistumisen edellytyksenä käsittelin jo aiemmin. Tässä kohtaa on kuitenkin vielä täsmentää, että tiedon monipuolisuudella ei tarkoiteta pelkästään tarkasteltavan kohteen toimintaympäristön eri ulottuvuuksia ja tiedon luonnetta. Erityisen tärkeää on ymmärtää se tosiasia, että riskienhallinnassa on kyse epävarmuuksissa navigoinnista eli vaihtoehtoisten tulevaisuuksien ja niihin johtavien polkujen hahmottamisesta. Kyse on siis itse asiassa ja kontekstista riippumatta ennakoinnin ja ennakointitiedon tuottamisen vaateesta. Tämä kuulostaa itsestäänselvyydeltä; kysehän on vielä toteutumattomaan tulevaisuuteen liittyvien riskien eikä historian hallinnasta.

Ennakoinnilla lisää laatua riskienhallintaan

Miksi sitten niin usein ”kenraalit valmistautuvat edellisiin sotiin”? Organisaatiot epäonnistuvat tai menettävät kilpailuetuaan markkinoilla pitkälti siksi, että ne eivät ole riittävästi varautuneet epäjatkuvuuksien määrittämiin kehityskulkuihin. Riskienhallinnassa voidaan epäonnistua monella eri tavalla: Kehitetäänkö järjestelmiä tulevaisuutta vai eilistä varten? Onko kyse tuleviin uhkiin varautumisesta ja tulevien mahdollisuuksien tunnistamisesta? Vai keskitytäänkö suunnittelussa yksittäisten ”tulipalojen sammutteluun” ja jo vahvasti vaikuttavien muutosvoimien listaamiseen?

Väitän, että kyse on pitkälti väärinymmärryksestä. Tarkastikaan rajattujen prosessien mahdollisten tulevien kehityskulkujen yleinen pohdiskelu ei ole vielä ennakointia tai tuota tulevaisuustietoa, yleisluonteisesta tulevaisuuden visioinnista puhumattakaan. Toki tällaisellekin keskustelulle on paikkansa, mutta riskienarvioinnin syötteenä tällaisen keskustelun ”tuloksia” tulisi käyttää korkeintaan erityisellä varauksella.

Riskienhallinta on siten pitkälti ennakointia. Tarkasteltaessa riskienhallinnan epäonnistumisia syvällisemmin juurisyyanalyysin perinteiden mukaisesti niin kuin muitakin prosesseja ja rakenteita tulisi kiinnittää huomiota erityisesti siihen, missä määrin riskienhallinnan analyysit ja päätökset perustuvat laadukkaaseen ennakointitietoon ja miten ennakointitoiminta on organisaatioissa järjestetty ja nivelletty riskienhallintatoimintoihin.

Riskienhallinnan tehtävänä on palvella strategista johtamista, jonka ytimessä on organisaation tulevaisuuden varmistaminen. Ennakointi luo perustan strategiselle suunnittelulle ja auttaa hallitsemaan muutoksia, jotka ovat väistämätön osa toimintaympäristöä. Häiriöt ja epäjatkuvuudet voivat olla uhkia tai mahdollisuuksia, pitkälti riippuen organisaation kyvystä ennakoida ja varautua niihin ketterästi ja kestävästi. Yllättävät muutokset haastavat yrityksiä toimialasta riippumatta usein siksi, että muutosvauhti on nopea ja toimintamallit jäykkiä. Siksi kysymys kuuluu: perustuuko toiminta koordinoituun ennakointiin ja ennakointitiedon hyödyntämiseen?

Mika Tynkkynen, Tapaturmavakuutuskeskuksen tutkimusjohtaja