VAASAN YLIOPISTO FILOSOFINEN TIEDEKUNTA Matleena Ylitalo OVATKO KUNTAORGANISAATIOIDEN RISKIT HALLINNASSA? Tarkastelussa riskienhallinnan johtaminen, keinot ja kehittäminen Julkisjohtamisen pro gradu -tutkielma VAASA 2015 1 SISÄLLYSLUETTELO sivu KUVIO- JA TAULUKKOLUETTELO 3 TIIVISTELMÄ 5 1. JOHDANTO 7 1.1. Tutkimuksen lähtökohta ja tavoitteet 7 1.2. Tutkimuskysymykset ja tutkimuksen rakenne 13 2. RISKIENHALLINTA 15 2.1. Määritelmä ja tausta 15 2.2. Riskienhallinnan johtaminen 19 2.3. Riskienhallinta ja päätöksenteko 24 2.4. Kokonaisvaltainen riskienhallinta 26 2.4.1. Perinteinen ja portfolio näkökulma 28 2.4.2. Kokonaisvaltaisen riskienhallinnan vaikutukset 30 2.4.3. Kokonaisvaltainen riskienhallintamalli 33 2.4.4. Riskienhallinan ISO31000 -standardi 34 3. RISKIENHALLINNAN KEINOT 39 3.1. Riskien tunnistaminen 39 3.1.1. Riskien luokittelu 40 3.1.2. Riskiprofiili julkisessa organisaatiossa 44 3.2. Riskien arviointi ja analysointi 46 3.2.1. Riskimatriisi 48 3.3. Riskien hallintakeinot 49 3.3.1. Pienentäminen 52 3.3.2. Välttäminen ja poistaminen 52 3.3.3. Siirtäminen 53 3.3.4. Hyväksyminen 54 3.4. Sisäinen tarkastus ja valvonta 54 4. TUTKIMUSMENETELMÄ 58 4.1. Tutkimuskohteena kuntaorganisaatio 58 2 4.2. Laadullinen menetelmä 60 4.2.1. Tutkimushaastattelu 62 4.3. Tutkimusaineisto ja analyysi 64 4.4. Tutkimuksen luotettavuus 65 5. RISKIENHALLINTA KUNTAORGANISAATIOISSA 68 5.1. Riskienhallinnan johtaminen 68 5.1.1. Johdon sitoutuminen 72 5.1.2. Vastuuttaminen 74 5.1.3. Riskienhallinnan hyötynä ennakoitavuus 76 5.1.4. Vaikutukset kommunikaatioon 78 5.2. Riskienhallinnan keinot 81 5.2.1. Riskienhallintalomake 81 5.2.2. Riskianalyysin tekeminen riskimatriisilla 83 5.2.3. Tapauskohtainen hallintakeinon valinta 85 5.2.4. Sisäinen tarkastus ja valvonta riskienhallinnan tukena 87 5.3. Riskienhallinnan erityispiirteet kuntaorganisaatiossa 89 5.3.1. Sisäiset riskit 89 5.3.2. Toimintaympäristöriskit 92 5.3.3. Poliittinen päätöksenteko 94 5.3.4. Lainsäädäntö 95 5.3.5. Virkamies- ja luottamushenkilöjohto 96 5.4. Riskienhallinnan kehittäminen 97 5.4.1. Riskienhallintakulttuuri 98 5.4.2. Riskienhallintaosaamisen vahvistaminen 100 5.4.3. Poliittisen päätöksenteon mukaan ottaminen 101 6. JOHTOPÄÄTÖKSET 103 LÄHDELUETTELO 108 3 LIITTEET LIITE 1. Haastattelukysymykset 115 KUVIO- JA TAULUKKOLUETTELO Kuvio 1. Tutkimuksen rakenne 14 Kuvio 2. Riskienhallinnan sykli 17 Kuvio 3. Riskienhallinta johdon näkökulmasta 24 Kuvio 4. Kokonaisvaltainen riskienhallintamalli 33 Kuvio 5. Riskienhallinnan viitekehys 36 Kuvio 6. Riskienhallinnan menetelmä 37 Kuvio 7. Riskien hallintakeinot 50 Taulukko 1. Kunta hallinto-organisaationa ja paikallisyhdyskuntana 59 Taulukko 2. Kuntien tunnisteet 65 4 5 ______________________________________________________________________ VAASAN YLIOPISTO Filosofinen tiedekunta Tekijä: Matleena Ylitalo Pro gradu -tutkielma: Ovatko kuntaorganisaatioiden riskit hallin- nassa? Tarkastelussa riskienhallinnan johtami- nen, keinot ja kehittäminen Tutkinto: Hallintotieteiden maisteri Oppiaine: Julkisjohtaminen Työn ohjaaja: Olli-Pekka Viinamäki Valmistumisvuosi: 2015 Sivumäärä: 116 TIIVISTELMÄ: Vuonna 2015 voimaan tulleen kuntalain 14 §:n mukaan valtuuston tehtäviin kuuluu päättää sisäisen val- vonnan ja riskienhallinnan perusteista. Kuntalakiin tulleet lisäykset sisäisestä valvonnasta ja riskienhallin- nasta edellyttävät kunnilta järjestelmällisempää riskienhallintaa. Riskienhallinnan tärkeyttä alleviivaa ta- loudellisen tilanteen tiukentuminen, joka edellyttää kunnilta omien vahvuuksien ja ympärillä olevien mah- dollisuuksien hyödyntämistä, jotta elinvoimaisuus säilyisi ennallaan tai paranisi. Riskienhallinta voidaan määritellä ennakoivaksi johtamistyöksi. Se on suunnittelua, ennakointia ja toimi- mista ennen kuin riski on edes toteutunut. Tarkoituksena ei ole odottaa, että organisaatio kohtaisi jonkin riskin, vaan tarkoituksena on työskennellä sen eteen, että riskit ja niiden vaikutukset olisivat tiedossa hy- vissä ajoin. Tyypillisesti riskienhallinnan menetelmä etenee niin, että riskit tunnistetaan, arvioidaan ja ana- lysoidaan. Lopuksi riskille valitaan sopiva hallintakeino ja niistä pidetään jatkuvaa seurantaa. Tässä tutkimuksessa tarkastellaan kuntaorganisaatioiden riskienhallinnan johtamista. Tutkimuksessa vas- tataan siihen, mitä riskienhallinnalla tarkoitetaan julkisen johtamisen yhteydessä. Lisäksi tarkastellaan ris- kienhallinnan keinoja kuntien johtamisessa, mitä mahdollisuuksia ja haasteita näihin keinoihin liittyy sekä mitä kehittämistarpeita kuntakentässä esiintyy riskienhallinnan parantamiseksi. Tutkimukseen haastateltiin yhdeksän kunnan hallinto-, ja talousjohtajia sekä controlleria. Riskienhallinta on vasta viime vuosina noussut esille kunnissa johtuen pääosin kuntalain muutoksesta. Ris- kienhallinnan tarkoituksena on olla osa päivittäistä toimintaa. Jotta tämä saavutettaisiin, siihen tarvitaan johdon täysipainoinen sitoutuminen, riskienhallintastrategia sekä toimiva riskienhallintakulttuuri. Näihin osa-alueisiin vaikutetaan nimenomaan hyvällä johtamisella. Kunnilla on mahdollisuus käyttää samoja riskienhallinnan keinoja kuin muillakin organisaatioilla. Teorian mukaan hallintakeinojen valitseminen perustuu ennalta päätettyyn strategiaan. Tilanne kunnissa on kuiten- kin päinvastainen, kun tuloksien perusteella hallintakeinot valitaan aina tilannekohtaisesti. Strategista ajat- telua ei ilmennyt hallintakeinoja valittaessa. Tuloksien perusteella keskeinen kehittämistarve on luoda riskienhallintakulttuuri kuntaorganisaatioihin. Kulttuurin luominen aloitetaan yksinkertaisista asioista, kuten riskin ymmärtämisestä ja riskien tunnista- misesta. Siinä on edelleen työstettävää, että riskienhallinta mielletään hyödylliseksi kuntaorganisaatiolle ja päätöksentekijöille, eikä pakolliseksi pahaksi. Kunnissa halutaan kehittää riskienhallinnan johtamista siten, että poliittinen päätöksenteko saadaan mu- kaan riskienhallintaan täysipainoisesti. Riskien pohtiminen päätöksenteon ja esittelyn yhteydessä tehosta- vat kuntien toimintaa. ______________________________________________________________________ AVAINSANAT: riski, riskienhallinta, kokonaisvaltainen riskienhallinta, enterprise risk management, kuntaorganisaatio 6 7 1. JOHDANTO 1.1. Tutkimuksen lähtökohta ja tavoitteet Tämän tutkimuksen aiheena on riskienhallinnan johtaminen julkisen hallinnon näkökul- masta. Tutkimuksen tavoitteena on selvittää, miten riskienhallinta on järjestetty julkisessa organisaatiossa, tarkemmin ottaen kuntaorganisaatiossa. Tässä luvussa avataan riskin ja hallinan käsitteet sekä perustellaan, miksi riskienhallintaa kannattaa tutkia. Riskienhallinnan kehitykseen vaikuttavia tekijöitä voidaan tarkastella ihmisen olemassa- olon varhaisista vaiheista lähtien. Ihmisen elämän lähtökohtiin on aina liittynyt hyvien päätöksien tekeminen välttyäkseen epävarmuudelta ja riskeiltä. Ihmisellä on luonnollinen taipumus vaistomaiseen puolustautumiseen sitä uhkaavia riskejä vastaan. (Kloman 2010: 19—20.) Riskien välttäminen on ollut aina osana ihmisen toimintaympäristöä. Tältä poh- jalta on luonnollista, että riskien välttäminen on myös osana organisaation toimintaym- päristöä, ovathan ihmiset osa myös sitä kokonaisuutta. 2010-luvulla organisaatioiden toi- mintaympäristö on monimutkainen ja ympärillä oleviin epävarmuustekijöihin tulisi va- rautua. Riskien välttäminen ei enää yksistään riitä, vaan on pyrittävä systemaattiseen ris- kienhallintaan. Riskienhallinta –sanasta voidaan johtaa kaksi eri käsitettä, riski sekä hallinta. Tarkastele- malla näitä sanoja erillisinä käsitteinä voidaan ymmärtää sanojen merkitys perusteelli- sesti. Riski sanan määrittely riippuu siitä, minkälaisesta näkökulmasta sitä tarkastelee. Sitä voi- daan tarkastella arkisesta näkökulmasta tai ammatillisesta näkökulmasta. Joka tapauk- sessa riskin kovana ytimenä, riippumatta tarkastelukulmasta, on ajatus haitan mahdolli- suudesta. (Kamppinen & Raivola 1995: 15.) Ympärillä oleva maailma muuttuu kokoajan ja niin muuttuvat myös riskit. Emme voi tietää varmuudella, millaisina riskit toteutuvat. Riskille tyypillistä on sen luonne sattumanvaraisena ja satunnaisena. (Nygren 2002: 216.) 8 Riski määritellään ei-toivotuksi, epävarmaksi tapahtumaksi tai tekijäksi, joka vaikeuttaa olennaisesti tavoitteiden saavuttamista. Riskit ovat ongelmia, jotka realisoituessaan ai- heuttavat ongelmatilanteita organisaatiolle, kuten esimerkiksi taloudellisia vahinkoja ja henkilövahinkoja. (Raudasoja & Johansson 2009: 147.) Riski on siitä mielenkiintoinen käsite, että sillä voi olla positiivisia ja negatiivisia vaiku- tuksia. Riskianalyysillä voidaan esimerkiksi löytää tärkeä, ennakoiva ja yllätyksistä va- roittava tekijä. Onnistuneella riskianalyysillä voidaan kääntää huono riski hyväksi ris- kiksi. (Ahponen toim. 1997: 70—71.) 1980-luvulta lähtien on riskitutkimuksen sisällä puhuttu riskiyhteiskunta käsitteestä sekä sen liittymisestä teknologiaan, hyvinvointiin ja tulevaisuuteen. Riskiyhteiskunta on seu- rausta globalisaatiosta, verkottumisesta, tiedonkulun nopeutumisesta ja teknologian mo- nimutkaistumisesta. Tosiasia on, että ympärillämme on erilaisia, aiemmin tunnistamatto- mia riskejä, jotka etenevät nopeasti ja niiden ennakoiminen on haastavaa. Riskien kasva- minen on vaikeuttanut ennakoimista huomattavasti ja riskien toteutuminen on tullut erit- täin kalliiksi. (Laesterä 2010: 15.) Sanana hallinta (engl. Governance) on monimerkityksinen ja sen vuoksi kiistelty sana. Sanakirjoissa se kääntyy myös hallitsemiseksi ja hallinnoksi. Hallinnalla voidaan tarkoit- taa muun muassa valtion hallitsemista ja hallitsemisen prosessia tai valtaa. Se voi tarkoit- taa myös poliittisen järjestelmän hallitsemiseen liittyvää erityistä järjestelmää tai ihmis- ryhmää, jolla on hallintovaltaa. (Vartola 2009: 35.) Hallintaa voidaan tarkastella meta- ja mikrotasosta. Metatasolla se tarkoittaa tapahtuma- ketjua, joka tapahtuu joidenkin rajojen sisällä sekä niin, että tapahtumalla on oma lo- giikka. Konkreettisena esimerkkinä voi olla esimerkiksi sään vaihtelu, jossa on oma lo- giikka sekä rajat, joiden sisällä sää vaihtelee. Lisäksi se on järjestäytynyt, joskin siihen liittyy ennakoitumattomuus. Mikrotason tarkastelussa hallinta järjestäytyy ikään kuin it- sestään. Mikrotason tarkastelussa hallinta näyttäytyy kamppailuna, ohjauksena, johtami- sena ja järjestyksen luomisena. (Pekonen 1995: 86.) 9 Hallinta sanan alkuperä, kubernao, tulee kreikankielestä ja tarkoittaa perämiestä ja perä- miehentaitoa. Kun hallinta sanaa tarkastellaan kybernetiikan kautta, jossa tutkitaan ni- menomaan ohjausjärjestelmiä, ymmärretään sana niin, että organisaation hallinnassa toi- mii samat lainalaisuudet kuin purjealuksen ohjaamisessa vaihtuvissa sääoloissa. Kunnan näkökulmasta ydintarkoitus pysyy samana kuin kybernetiikassa; vaihtelevassa ympäris- tössä on pärjättävä ja kehityttävä. (Vartola 2009: 35.) Hallinta voidaan nähdä myös osana toimintaa, jossa ovat osallisina hallintokoneistot ja yhteiskunnat. Hallinnalla pyritään saamaan muutoksia monimutkaisissa sosiaalisissa ja poliittisissa järjestelmissä. Hallintaa ei pidä nähdä ainoastaan hallintakoneistojen toimin- tana vaan ennemminkin vuorovaikutussuhteesta ryhmien, julkisten instituutioiden ja auk- toriteettien välillä. (Pekonen 1995: 87.) Julkinen toiminta ja siihen sisältyvät julkisen vastuunoton kentät ovat laajentuneet siten, että siihen liittyvät tehtävät on yhä enemmissä määrin eriytyneempiä, ja tehtävien hoita- minen edellyttää monipuolisempaa asiantuntemusta. Näihin uusiin haasteisiin pyritään vastaamaan erilaisilla menettelytapojen kokonaisuuksilla, joista käytetään nimitystä hal- linta. (Karppi & Sinervo toim. 2009: 7.) Riskin ja hallinta -käsitteiden merkityksen ymmärtämisen jälkeen on syytä perustella, miksi riskienhallintaa tulee tutkia. Yleisesti ottaen riskienhallinnan taso on heikko julki- sella sektorilla, erityisesti kunnissa. Kuntaliiton vuonna 2012—2013 tehdyn kyselyn pe- rusteella kuntien riskienhallinnan taso on luvattoman heikko. Kyselyn keskeinen johto- päätös on se, että kuntien riskienhallinta tulee saada riittävälle tasolle. Kuntasektorin nä- kökulmasta riskienhallinnan ongelmakohdat ovat hälyttävän laajat. Ongelmia on kyselyn perusteella riskienhallinnan perusteissa, kuten riskienhallinnan tehtävien, vastuiden ja ra- portoinnin järjestämisessä. Riskienhallinnan toimintamallia ei koeta kunnissa riittävän järjestelmällisenä ja menetelmän vaiheita ei kyetä toteuttamaan asianmukaisesti. Lisäksi riskienhallinnan raportointi hallitukselle sekä seuranta olivat kyselyn perusteella puut- teellisia. (Kiviaho, Oulasvirta & Paananen 2014: 5.) 10 Riskienhallinnan heikon tason seurauksena kuntalakiin on tullut lisäyksiä vuonna 2012 koskien sisäistä valvontaa ja riskienhallintaa. (Harjula & Prättälä 2012: 211; finlex.fi) Vuonna 2015 voimaan tulleessa kuntalaissa (410/2015) säädetään seuraavasti: Valtuuston tulee päättää kunnan ja kuntakonsernin sisäisen valvonnan ja riskienhallinnan perus- teista. (14§) Hallintosäännössä annetaan tarpeelliset määräykset sisäisestä valvonnasta ja riskienhallinnasta. (90§) Kuntalakiin tulleet lisäykset sisäisestä valvonnasta ja riskienhallinnasta edellyttävät kun- nilta järjestelmällisempää riskienhallintaa. Erikseen ei ole määritelty siitä, miten se teh- dään ja mitä riskienhallinnan mallia tulisi käyttää. Kuitenkin, uudet vaatimukset toteutu- vat parhaiten esimerkiksi ISO 31000 -standardin ja COSO-ERM – viitekehyksen poh- jalta. (Kiviaho ym. 2014: 13.) Riskienhallinnan tutkimisen merkitystä voidaan perustella osittain organisaatioihin koh- distuvien tehokkuusvaatimuksien kautta. Nykyaikana organisaatioon kohdistuu painavat kilpailuodotukset ja tehokkuusvaatimukset. Nämä nykyaikaisen talousjärjestelmän te- hokkuus- ja läpinäkyvyysvaatimukset edellyttävät organisaatioilta taloudellista tehok- kuutta. Päämääränä on saavuttaa mahdollisimman vähillä resursseilla organisaation ta- voitteet. Tehokkuusvaatimukset eivät kohdistu ainoastaan yksityisen sektorin organisaa- tioihin vaan myös esimerkiksi valtionhallintoon. (Ilmonen, Kallio, Koskinen & Rajamäki 2010: 38.) Riskienhallintaa on keskeinen teema, kun halutaan kehittää tehokkaampia julkisia orga- nisaatioita ja hallintoa. Yleisesti ottaen yksimielisiä ollaan siitä, että riskienottaminen ja niiden johtaminen ovat suoraan yhteydessä tehokkaaseen resurssien käyttämiseen. (Vin- cent 1996: 58). Riskienhallinnan keskeinen tavoite on löytää optimaalinen suhde resurs- sien käyttämisessä, pääomassa ja kustannuksissa suhteessa tavoiteltavaan hyötyyn. Ris- kienhallinnasta muodostuu kilpailuetu silloin, kun organisaatio onnistuu löytämään tä- män niin kutsutun optimitason. Riskienhallinta on tehotonta, jos siihen panostetaan liian paljon tai vähän suhteessa omiin riskeihin. (Ilmonen ym. 2010: 19.) 11 Julkisen hallinnon on jatkuvasti mukauduttava resurssien vähäisyyteen. Esimerkiksi jul- kisen sektorin supistaminen tuo mukanaan uudenlaisia riskejä. Budjettien epävarmuus ja leikkaukset tuovat odottamattomia riskejä julkisille virastoille. Aikaisempien kokemuk- sien perusteella se tarkoittaa muun muassa henkilöstön vähentämistä, infrastruktuurin ja järjestelmien investointien vähentämistä. Supistamisen seurauksena virastojen pitää to- teuttaa aktiivista riskienhallintaa suojautuakseen riskeiltä, jotka voisivat toteutua organi- saation mukautuessa uusiin olosuhteisiin. Erityisesti aikana jolloin budjetti on tiukalla, riskienhallinnan avulla voidaan välttyä suorituskykyyn vaikuttavilta uhkilta ja vaikutta päättäjien kykyyn eliminoida tehottomia ohjelmia. (Stanton 2013: 219.) Kuntaorganisaation riskienhallinnan järjestämistä ja kehittämistarvetta voidaan perustella muun muassa Kiviahon ym. (2014: 5,7) mukaan sillä, että kuntien toiminnot hajautuvat ulkopuolisille palvelun tuottajille ja tämä aiheuttaa entistä monimutkaisemman kuntaor- ganisaation rakenteen. Kuntien näkökulmasta riskienhallinnan merkitys on vain kasva- nut, koska kuntien tehtäviä on siirretty peruskunnan ulkopuolisille toimijoille hoidetta- vaksi, ja osin tästäkin syystä kunnan tehtävien organisointi on vuosien saatossa monimut- kaistunut. Riskienhallinnan tärkeyttä alleviivaa taloudellisen tilanteen tiukentuminen, joka edellyttää kunnilta omien vahvuuksien ja ympärillä olevien mahdollisuuksien hyö- dyntämistä, jotta elinvoimaisuus säilyisi ennallaan tai jopa paranisi. Erityisesti yksityisellä sektorilla toimiva riskienhallinta voi olla jopa organisaation kil- pailuetu. (Leino ym. 2005:127; Kupi ym. 2009: 49.) Yhtälailla, se voi olla kilpailuetu myös julkisessa organisaatiossa. Kilpailuetu julkisessa organisaatiossa voidaan käsittää muun muassa tehokkaana ja laadukkaana palvelujen tuottajana. Julkishallinnollinen tu- loksellisuus voidaan nimenomaan käsittää pidempikestoisena yhteiskunnallisena aikaan- saannoksena, jota voidaan tarkastella esimerkiksi vaikutusten, tavoitteiden ja tarpeiden välisellä suhteella. (Oulasvirta, Kihn, Mänttäri & Wacker 2013:40) ”Riskienhallinta on olennainen osa hyvää johtamistapaa” (Nygren 2002: 216). Johtami- nen on suoraan vaikutuksessa siihen, miten organisaatio suoriutuu. Sen vuoksi riskien- 12 hallintaa tulee tutkia ja tarkastella nimenomaan johtamisen näkökulmasta. Toimivalla ris- kienhallinnalla vaikutetaan myös organisaation keskeisiin toimintoihin, kuten päätöksen- tekokykyyn ja vuorovaikutukseen. Riskienhallinta on merkittävässä osassa organisaation toimintaa muun muassa kehityksen nopean rytmin vuoksi. Jos organisaation toimintaa tarkastellaan ainoastaan johdon näkö- kulmasta, ei tarkastelussa voida mitenkään huomioida kaikkia osatekijöitä. Riskienhal- linnan kautta organisaation johto saa systemaattisesti analysoitua informaatiota organi- saation eri osista ja toiminnoista. Näin ollen päätöksentekotilanteisiin saadaan kattavaa informaatiota. (Erola & Louto 2000: 54.) Riskienhallinnan tarkoitus on olla toistuva me- netelmä, jota tehdään ennalta määriteltyjen toimenpiteiden kautta. Riskienhallinnan avulla riskeistä ja niiden vaikutuksista saadaan tietoa, joka tukee päätöksentekoa. (Ny- gren 2002: 217.) Riskienhallinnan kautta saadaan organisaatiosta yhtenäisempi kokonaisuus. Toimivan riskienhallinnan avulla saadaan muun muassa tehostettua vuorovaikutusta organisaation eri toimijoiden ja tasojen välillä. (Ks. Kleffner, Lee & McGannon 2003: 65) Riskienhal- linta voi joidenkin organisaatioiden osalta näyttäytyä erillisenä toimintana, jolloin sen hyödyntäminen on tehotonta. Sen vuoksi, on tärkeä tutkia riskienhallintaa ja pyrkiä saa- maan se osaksi organisaation toimintatapoja. Hyvin toteutettu riskienhallinta antaa organisaatiosta luotettavan ja läpinäkyvän kuvan. Julkisen organisaation näkökulmasta julkisuuskuva on esillä kokoajan. Riskienhallinnan avulla voidaan myös ylläpitää organisaation mainetta. 13 1.2. Tutkimuskysymykset ja tutkimuksen rakenne Tutkimusaiheena on riskienhallinnan johtaminen ja tavoitteena on vastata seuraaviin tut- kimuskysymyksiin: 1. Mitä riskienhallinnalla tarkoitetaan julkisen johtamisen yhteydessä? 2. Mitkä ovat riskienhallinnan keinot kuntien johtamisessa sekä mitä mahdollisuuksia ja haasteita näihin keinoihin liittyy? 3. Mitä kehittämistarpeita kuntakentässä esiintyy riskienhallinnan parantamiseksi? Näihin kolmeen kysymykseen etsitään vastausta sekä teorian että empirian avulla. Tutki- muksen teoriaosuus koostuu kahdesta eri pääluvusta, riskienhallinnasta sekä riskienhal- linnan keinoista. Ensimmäinen pääluku sisältää riskienhallinnan määritelmän sekä ris- kienhallinnan tarkastelun johtamisen ja päätöksenteon näkökulmista. Tutkimuksen en- simmäisessä pääluvussa syvennytään niin ikään kokonaisvaltaiseen riskienhallintaan, jota tarkastellaan muun muassa perinteisestä ja portfolio näkökulmasta. Kokonaisval- taista riskienhallintaa tarkastellaan myös ISO31000 -standardin kautta. Tutkimuksen toi- nen pääluku käsittelee riskienhallinnan keinoja, jossa perehdytään riskien tunnistamiseen, arvioimiseen ja riskien hallintakeinoihin. Lopuksi riskienhallinnan keinona tarkastellaan sisäisen tarkastuksen ja valvonnan roolia. Tutkimuksen empiriaosuudessa tarkastelussa on kuntaorganisaatioiden riskienhallinta. Tutkimuksen aineisto on kerätty haastattelemalla 9 eri kuntaorganisaation hallinto- tai talousjohtajia sekä controlleria. Teemahaastatattelu koostuu neljästä eri teemasta, yh- teensä 13 erilaisesta kysymyksestä. Tutkimustulokset analysoidaan viidennessä luvussa näiden eri teemojen mukaan. Teemat ovat riskienhallinnan johtaminen, riskienhallinnan keinot, kuntaorganisaatioiden erityispiirteet riskienhallinnassa sekä riskienhallinnan ke- hittäminen. 14 Kuudennessa luvussa on esitetty tutkimuksen johtopäätökset ja vastaukset tutkimuskysy- myksiin sekä pohdittu jatkotutkimuksen aiheita. Kuvio 1. Tutkimuksen rakenne 15 2. RISKIENHALLINTA Jokaisella organisaatiolla on jonkinlainen suunnitelma, miten riskeihin varaudutaan ja miten niitä hallitaan. Yleensä tämä tarkoittaa sitä, että riskejä arvioidaan joko tilannekoh- taisesti tai järjestelmällisen riskienhallintamenetelmän kautta. Organisaatioiden riskien- hallinta näyttäytyy hyvin erilaisena, riippuen esimerkiksi organisaation koosta, tavoit- teista ja toimintaympäristöstä. Tässä luvussa tarkastellaan riskienhallinnan määritelmää ja taustaa. Riskienhallinnan määrittelemisen jälkeen syvennytään tarkemmin riskienhal- lintaan johtamisen ja päätöksenteon näkökulmasta. Luvun lopussa riskienhallintaa lähes- tytään kokonaisvaltaisen näkökulman kautta. 2.1. Määritelmä ja tausta Organisaatiota johdetaan aina siten, että sitä uhkaaviin epävarmuustekijöihin pyritään vaikuttamaan niin, että ne eivät uhkaa toimintaa ja ylipäätään organisaation olemassa- oloa. Epävarmuutta ei pystytä koskaan poistamaan kokonaan, mutta suunnitelmallisuu- della sitä voidaan ennakoida. Riskienhallinta on keino kohdata epävarmuutta. Se voidaan nähdä riskien kartoittamisen ja poistamisen työkaluna. (Rautanen 2011: 10.) Riskienhal- lintaa voidaan pitää myös yhtenä johtamisen keskeisenä osa-alueena. Sen tarkoituksena on ensisijaisesti vähentää kustannuksia ja haittavaikutuksia, joita riskit aiheuttavat orga- nisaatiolle. Lisäksi tarkoituksena on ennen kaikkea varmistaa organisaation toiminnan jatkuvuus, vaikka riskit toteutuisivatkin. (Enberg 2002: 11) Riskienhallinta voidaan nähdä myös johtamistyönä, jolla varmistetaan organisaation hyvinvointi ja henkilöstön turvallisuus. (Viitala 2013: 340) Anderson (2014: 3.) jatkaa riskienhallinnan määrittelemistä ennakoivaksi johtamistyöksi. Riskienhallinta on nimenomaan suunnittelua, ennakointia ja toimimista ennen kuin riski on edes toteutunut. Tarkoituksena ei ole vain odottaa, että organisaatio kohtaisi jonkin riskin, vaan tarkoituksena on työskennellä sen eteen, että riskit ja niiden seurannaisvai- kutukset olisivat tiedossa hyvissä ajoin. 16 Riskienhallinnan tarkoituksena on lähestyä tulevaisuuden epävarmuustekijöitä loogisesti, johdonmukaisesti ja kurinalaisesti. Se mahdollistaa elämään viisaammin, tuotteliaammin ja välttäen resurssien turhaa käyttöä. Riskienhallinnan perusolemuksena on maksimoida alueet, joiden tulosta voidaan kontrolloida ja puolestaan minimoida alueet, joiden tulosta ei voida kontrolloida ja joiden syy-seuraus suhteita ei voida hahmottaa. (Kloman 2010: 21.) Riskienhallinta voidaan Banksin (2012: 9) mukaan määritellä yksinkertaistettuna si- ten, että sen tarkoituksena on maksimoida organisaation rahallinen arvo ja minimoida kustannukset. Lähtökohtana riskienhallintaan voidaan pitää sitä, että toisinaan riskitapahtumia voidaan kontrolloida ja toisinaan ei. Organisaatio ei voi vaikuttaa joihinkin ulkoiseen riskiin, ku- ten valtion hallinnon sääntelyyn. Sama kontrolloimattomuus koskee myös joitakin sisäi- siä riskejä, kuten työntekijöiden saatavuuteen. Kontrolloinnin ja kontrolloimattomuuden kanssa sama lainalaisuus pätee seuraamuksien hallitsemiselle. Joissakin tapauksissa seu- raamuksia voidaan hallita, mutta toisissa taas ei. (Anderson 2014: 3.) Anderson (2014: 4) määrittelee riskienhallinnan kolmen näkökulman kautta, jotka ovat riskin ymmärtäminen, riskin lieventäminen ja riskin jakaminen. Riskin ymmärtäminen vaatii riskin liikkeelle panijan ja seuraamuksien ymmärtämisen. Riskin lieventäminen ta- pahtuu, joko pienentämällä tai poistamalla riski ja sen vaikutus. Riskien jakaminen puo- lestaan tarkoittaa vakuutuksen ottamista tai järjestelyjä, jossa riski jaetaan useamman toi- mijan kanssa. Tyypillisesti riskienhallinta etenee alla olevan, pelkistetyn syklin mukaisesti. Tarkoituk- sena on tunnistaa riskit, analysoida tai arvioida riskien potentiaaliset vaikutukset, päättää sopivasta keinosta käsitellä niitä ja seurata niiden kehittymistä. Tämä pelkistetty malli ei kuitenkaan ole riittävä sellaisenaan, kun halutaan lähestyä riskienhallintaa systemaatti- sesti. (Andersen, Garvey & Roggi 2014: 45.) 17 Kuvio 2. Riskienhallinnan sykli (mukaillen Andersen ym. 2014: 46) Riskienhallinnassa on tärkeää huomioida sen kokonaisvaltainen kytkeytyminen organi- saation toimintaan. Tehokas riskienhallinta lähtee siitä, että sillä on johdon tuki. Lisäksi se edellyttää riskitietoisuuden lisäämistä organisaation prosesseihin ja kulttuuriin. Ris- kienhallinnassa on huomioitava, että oikea-aikainen tiedonkulku saavuttaa organisaation jokaisen tason ylhäältä alas. (Stanton & Webster 2014: 8.) Toimivan riskienhallinnan tunnuspiirteenä on suunnitelmallisuus. Organisaatiolla on ol- tava koko organisaation kattava suunnitelma. Suunnitelman on mentävä organisaation läpi ylhäältä alas. Riskienhallinta tulee järjestää aina siten, että se on suhteessa organisaa- tion kokoon ja resursseihin. Lisäksi siinä on huomioitava tavat, miten organisaatiota joh- detaan. Organisaatiolla tulee olla riskienhallintastrategia, joka perustuu riskinkantokyvyn ja riskinottohalun suhteeseen ja sen määrittämiseen. Tämän strategian pohjalta laaditaan laajempi riskienhallintasuunnitelma. Suunnitelmassa käydään läpi organisaation tavoit- teet, riskin hallintamenetelmät ja riskimittarit. Suunnitelmassa määritellään myös riskien- hallinnan vastuut sekä raportointi, tiedottaminen ja kouluttaminen. (Tokkola & Kotonen 2005: 196.) Useimmiten hyväksi havaittu riskienhallinta perustuu yksinkertaisiin ratkaisuihin ja ter- veen järjen käyttöön. Riskienhallintaa on hyvä tarkastella myös analyyttisemmin, jolloin se näyttäytyy systemaattisena, tilastolliseen tietoon pohjautuvana menetelmänä. Toimiva 18 ja tehokas riskienhallinta on osana johtamisjärjestelmää. Se ulottuu kaikille organisaa- tiotasoille, eikä ole pelkästään riskienhallinnan ammattilaisen hoidettavana. (Suominen 2000: 26—27.) Riskienhallinnan keskeinen tavoite on löytää optimaalinen suhde resurssien käyttämi- sessä, pääomassa ja kustannuksissa suhteessa tavoiteltavaan hyötyyn. Riskienhallinnasta muodostuu kilpailuetu silloin, kun organisaatio onnistuu löytämään tämän niin kutsutun optimitason. Riskienhallinta on tehotonta, jos siihen panostetaan liian paljon tai vähän suhteessa omiin riskeihin. (Ilmonen ym. 2010: 19.) Riskienhallinnassa on syytä muistaa, että riskien hallitseminen täydellisesti organisaa- tiota uhkaavia tekijöitä vastaan, ei ole mahdollista. Perusperiaatteena toimiikin, että ta- voitellaan kohtuullista varmuutta, olipa kyseessä toiminnan tuloksellisuus, laillisuus, re- surssien varmistaminen tai väärinkäytöksien estäminen. Kaiken kaikkiaan riskienhallin- nan tulee suhteuttaa toiminnan laajuuteen niin, että menettelyt tehdään järkevässä mitta- kaavassa. (Raudasoja & Johansson 2009: 152.) Riskienhallinnasta voidaan todeta myös se, että sen toiminnallista sisältöä ei ole määrätty lain tai säädöksien turvin. (Engblom 2003:19). Riskienhallinnan historian alkuvaihe ulottuu Yhdysvaltoihin 1930-luvulle, jolloin puhut- tiin vahinkoriskien suojaamisesta. Riskienhallinnan voi määritellä suppeammin juurikin vahinkoriskien kautta. Laajempi tarkastelu ulottuu organisaation kokonaisvaltaiseen ris- kien suojaamiseen, jolloin puhutaan niin sanotuista liikeriskeistä. (Suominen 2000: 26— 27.) Liikeriskit voidaan jakaa teknisiin, sosiaalisiin, taloudellisiin ja poliittisiin riskeihin. Ne ovat luonteeltaan kertaluontoisia, jonka vuoksi ne ovat vakuutuskelvottomia. Vakuutus- kelvottomuus johtuu yleensä siitä, että toiminnoista ei ole olemassa riittävästi laskennal- lista informaatiota ja tilastoja. Lisäksi liikeriskit muodostavat yleensä riskiketjuja ja nii- den maksimaalista haittaa ei voida aina arvioida. Vahinkoriskit puolestaan voidaan va- kuuttaa, koska ne ovat luonteeltaan toistuvia, ne voidaan tilastoida ja ne eivät muodosta 19 riskiketjuja. Myös niiden maksimaalinen haitta on arvioitavissa. (Laesterä 2010: 28). Va- hinkoriskeiksi voidaan luokitella henkilöriskit, omaisuusriskit, vastuuriskit, keskeytysris- kit, verkosto- ja riippuvuusriskit, kuljetusriskit, tietoriskit, yhteiskunnalliset riskit ja tur- vallisuusriskit. (Kinni, Tauriainen & Kiiskinen 2004: 2.) Enberg (2002: 8) jaottelee va- hinkoriskit suppeammin kolmeen ryhmään, jotka ovat henkilö-, omaisuus- ja toiminnan riskit. Kuntien toimintaa liittyvät molemmat riskityypit sekä liike- että vahinkoriskit. Liikeris- kien vaikutukset ulottuvat kunnan näkökulmasta esimerkiksi palvelujen laatuun ja työ- voiman saatavuuteen, joka puolestaan edellyttää kilpailukykyä asukkaista ja yrityksistä. (Enberg 2002: 8.) Julkisen organisaation liikeriskit näyttäytyvät erilaisena monestakin syystä. Esimerkiksi kunnan toimintaa rahoitetaan myös taloudellisella panostuksella, jonka jälkeen kunnan tehtäväksi jää tuottaa mahdollisimman paljon palveluja. Kunnalla on lainsäädäntö takana rahoitusturvan varmistamisessa, mutta samalla se on osana poliittista toimintaympäristöä. Siihen liittyy olennaisesti tapahtumia ja niiden seurauksia, joita ei voida ennalta arvata ja niitä ei voida ennakoida todennäköisyyslaskennalla ja jakaumilla. Kunnat saavat siis tu- lonsa verotuloina ja valtionosuuksilla, jonka varmistaa lainsäädäntö, mutta taustalla oleva poliittinen toiminta tuo kunnan toimintaan epävarmuustekijöitä. Valtio voi varmistaa si- ten laeilla verotulot, mutta se ei voi varmistaa verotulojen taustalla olevien tulojen posi- tiivista kehitystä. Näin ollen kunnissakin olevat liikeriskit sisältävät epävarmuustekijöitä. (Laesterä 2010: 29.) Rautasen (2011:16) mukaan riskienhallinta keskittyy liian paljon aineellisiin riskeihin. Sen sijaan aineettomiin riskeihin ei keskitytä tarpeeksi vaikka nykypäivän riskitapahtu- mat ovat seurausta aineettomista riskeistä, huonosta johtamisesta ja päätöksenteosta. 2.2. Riskienhallinnan johtaminen ”Good risk management is simply good management.” (Andersen, Garvey & Roggi 2014:168) Andersen ym. sekä Ilmonen ym. kiteyttävät riskienhallinnan perusolemuksen 20 yhdellä lauseella, riskienhallinnassa on kyse hyvästä johtamisesta. (Ilmonen ym. 2010: 41) Riskienhallinnan tavotteiden, toimeenpanon ja kulttuurin perustana on hyvä johtami- nen. Riskienhallinta kuuluu organisaation johtamisen perustehtäviin. Johdon tehtävänä on var- mistaa, että vältetään liialliset riskit, mutta samalla mahdollisuudet hyödynnetään ja ta- voitteet saavutetaan. Organisaation ylimmän johdon velvollisuus on suunnitella riskien- hallinnan järjestelmä ja käytännön toteutus. Lisäksi organisaatiotyypistä riippuen, ris- kienhallinnan toteutuksesta raportoidaan hallitukselle tai vastaavalle elimelle. Toisaalta, riskienhallinta voidaan nähdä järjestelmänä, johon osallistuu johdon lisäksi organisaation koko henkilöstö. (Holopainen ym. 2006: 34.) Jokaisella organisaatiolla tulisi olla sen toimintaan kytkeytyvä riskienhallintastrategia, jonka ylin johto hyväksyy. Strategia sisältää riskienhallinnan tavoitteet ja se toimii poh- jana yksityiskohtaisemmalle suunnittelulle. (Blumme ym. 2005: 79—80.) Riskienhallin- nan johtamisen lähtökohtana on, että riskienhallinnassa noudatetaan johdon siihen aset- tamia tavoitteita. Hyvänä toimintamallina voidaan pitää sitä, että riskinhallintamenetel- män kuvaukset kirjoitetaan organisaation riskinhallintapolitiikkaan, kirjalliseen doku- menttiin. Siinä määritellään riskienhallinnan tarkoitus, tavoitteet, keskeiset käsitteet ja mittarit. Lisäksi on syytä määritellä eri toimijoiden roolit ja vastuut. Dokumenttiin kirjoi- tetaan myös riskienhallinnassa käytettävät menetelmät ja niiden liittyminen johtamisjär- jestelmään. Joka tapauksessa riskienhallinta tulee organisoida aina siten, että se on orga- nisaation näköinen. Riskienhallinta mukautuu ja kehittyy aina organisaation mukaan. (Turvallisuus-lehti 2010:12—14.) Riskienhallintapolitiikka tukee organisaation strategian toteutumista, jonka vuoksi sen on oltava linjassa organisaation vision, toiminnan ja arvojen kanssa. (Kupi ym. 2009: 18). Useimmissa tapauksissa riskienhallintaa ei ole sisällytetty strategian suunnitteluun ja stra- tegiset riskit voivat jäädä huomaamatta, jonka vuoksi voi syntyä vaarallisia sokeita kul- mia strategian toteuttamisessa. (Beasley & Frigo 2010: 31). Jos riskienhallinnan strategi- 21 assa ei ole selkeää päämäärää, johtajalla saattaa olla yllyke tavoitella omia intressejä or- ganisaation kustannuksella ja siten pienentää organisaation potentiaalista kasvua ja talou- dellista voittoa. (Andersen ym. 2014: 74) Strategiassa otetaan huomioon organisaation riskinkantokyky ja riskinottohalukkuus. Li- säksi siinä huomioidaan odotukset, jotka liittyvät taloudellisen lisäarvon tuottamiseen. Strategiassa arvioidaan niin ikään riskienhallinnan kustannukset verrattuna saatavaan hyötyyn. (Blumme ym. 2005: 79—80.) Leino (2005: 139) on myös sitä mieltä, että orga- nisaatiossa tulisi pohtia riskienhallinnan kustannuksia. Kuinka paljon halutaan käyttää rahaa riskien minimoimiseen? Kustannukset saattavat nousta korkeaksi verrattuna riskin todennäköiseen vaikutukseen. Riskienhallinnatastrategiaan on siis hyvä määritellä riskinkantokyky ja riskinottohalu. Riskinkantokyky voidaan määritellä yksinkertaisesti kysymällä, kuinka paljon organisaa- tio kestää taloudellista tappiota vuositasolla? Taloudellisella tappiolla tarkoitetaan suu- rinta mahdollista muutosta negatiivisessa mielessä, esimerkiksi keskeiseen liiketoiminta- mittariin, kuten organisaation tulokseen. Riskinkantokyvystä ei ole olemassa yksiselit- teistä laskentamallia, vaan se on monen osan summa. Riskikantokykyyn vaikuttavat sen kytkeytyminen esimerkiksi käyttöpääomaan ja lainanottokykyyn. Lisäksi siihen liittyvät laadulliset tekijät kuten organisaation hallinnon järjestäminen, jolla tarkoitetaan muun muassa riskienhallinnan ja sisäisen valvonnan organisointia. (Ilmonen ym. 2010: 12— 13.) Riskinottohalu voidaan määritellä kysymällä, kuinka paljon organisaatio on valmis otta- maan riskiä, taloudellista menetystä, tavoitellessaan kassavirtaa ja uudenlaisia liiketoi- mintamahdollisuuksia? Riskinottohalu voidaan nähdä silloin, kun organisaation johto te- kee strategisia päätöksiä. Riskinottohalun näkökulmasta vertaillaan siis uusien liiketoi- mintamahdollisuuksien tuomaa kassavirtaa suhteessa uusien mahdollisuuksien hyödyn- tämisestä seuraavia riskejä. (Ilmonen ym. 2010: 14—15.) Hyvän riskienhallinnan johtamisen tunnusmerkkinä on, että siihen on johdon sitoutumi- nen ja tuki. Lisäksi tarvitaan myös henkilöstön tuki. Riskienhallinnassa on tärkeää, että 22 keskeiset käsitteet, roolit ja vastuut ovat selkeästi määriteltyjä. Toimenpiteiden on oltava selkeitä ja yksinkertaisia. Erityistä huomiota on kiinnitettävä silloin, kun organisaatio vasta opettelee riskienhallinnan toimintatapoja. Riskienhallinnan tavoitteena on mennä niiden perusprosessien sisälle, joita on tarkoitus tukea. Riskienhallinta vaatii yhteistyötä organisaation sisällä sekä sidosryhmien välillä. Lisäksi riskienhallinnasta on suotavaa ra- portoida avoimesti ja säännöllisesti. (Turvallisuus-lehti 2010:12—14.) Riskien mittaami- nen ja raportoiminen tulee olla ennakoivaa niin kutsutun early warning system -periaat- teen mukaisesti. Onnistunut raportointi edellyttää ennen kaikkea luotettavan ja oikean tiedon välittymistä organisaation johdolle, jonka päätöksenteko riippuu saadusta infor- maatiosta. Raportteja tehdään niin säännöllisiä vakioraportteja kuin tilannesidonnaisia ad hoc -raportteja. (Kupi ym. 2009: 13.) Riskienhallinnan raportointi on riskienhallinnan johtamista. Riskienhallinnasta raportoin- nin yhdistäminen osaksi johtamis- ja strategiamenetelmää varmistaa sen, että raportoin- nista tulee säännöllistä. Riskienhallintapolitiikassa voidaan erikseen määritellä, millä ta- valla ja miten usein raportointia tehdään. On syytä muistaa, että kun riskienhallinta on osana johtamista ja liiketoimintaa, niin riskienhallinnasta saatavaa tietoa voidaan käyttää päätöksentekotilanteissa. (Ilmonen ym. 187.) Hyvin toteutettu, proaktiivinen riskienhallinta tuo organisaatiolle lisäarvoa ja siitä voi olla myös kilpailuetua. Proaktiivinen riskienhallinta lisää ennustettavuutta, jolloin se antaa mahdollisuuden keskittyä strategian luomiseen ja tulevaisuuden suunnitteluun. Vastaa- vasti, huonosti toteutettu riskienhallinta tekee johtamisesta reaktiivista, jolloin johdon voimavarat menevät nykytilanteen analysoimiseen ja akuuttien ongelmien ratkaisemi- seen. (Kupi ym. 2009: 49.) Yksityisen sektorin organisaatiot ovat vastuuvelvollisia toiminnastaan osakkeenomista- jille, jotka ovat vapaaehtoisesti rahoittaneet toimintaa. Puolestaan julkisen organisaation yksikön vastuulle on annettu julkiset varat ja toiminta ei perustu vapaaehtoisuudelle. Jul- kiset sektorin johtajat ovat näin ollen lähemmän tarkastelun kohteena kuin vastaavat yk- sityisen sektorin kollegat. Management Advisory Board of Australia on julkaissut rapor- tin, jossa todetaan, että johtajilla pitäisi olla jonkin verran liikkumavaraa ottaa riskejä, 23 kun vastuut kasvavat ja paineet jäävät virkamiesten kannettavaksi. (Vincent 1996: 57— 58.) Organisaation sisäinen toimintaympäristön merkitys riskienhallinnassa on olennainen, koska se määrittää, millä tavalla henkilöstö suhtautuu riskeihin ja valvontatoimenpitei- siin. Toimintaympäristö muodostuu ylimmän johdon asennoitumisesta ja toiminnasta ris- kinoton suhteen. Lisäksi siihen vaikuttavat sekä organisaation rakenne että sen henkilös- töpolitiikka. Sisäinen toimintaympäristö koostuu monesta osatekijästä, kuten riskinotto- halukkuudesta, eettisistä arvoista, johdon valvontaperiaatteista, organisaatiorakenteesta, valtuuksien jakamisesta, henkilöstöhallinnon menettelytavoista sekä henkilöstön päte- vyydestä. (Blumme ym. 2005: 64.) Riskienhallinnassa on omaksuttu hyvin määrälliset metodit ja hallinnan viitekehys, mutta riskikulttuuri on edelleen jotakin, mikä on epäselvää ja sen teoreettista viitekehystä työs- tetään. Banks tiivistää muutamia tekijöitä, joita edellytetään onnistuneelta riskikulttuu- rilta. Riskikulttuuri heijastuu siitä, minkälainen riskitietoisuus organisaatiossa on. Jokai- sen työntekijän on oltava riskitietoisia ja ymmärrettävä riskien negatiiviset ja positiiviset puolet. Johdon asennoituminen vaikuttaa olennaisesti riskikulttuurin muodostumiseen. Jos johto on riskitietoinen ja käsittelee riskejä vaadituilla toimilla ja resursseilla, niin or- ganisaation muut jäsenet seuraavat esimerkkiä. Periaatteena on, että os johto ei välitä, ei välitä kukaan muukaan. Riskikulttuuri on laadullinen näkökulma riskienhallinnan mene- telmässä. Se on yleensä vaikeasti selitettävissä ja sen sisällyttäminen organisaatioon voi kestää vuosia. Riskikulttuuri on jatkuvaa ja siitä pitää huolehtia, jotta se on tehokasta. Siinä missä organisaatio muuttuu ajan kuluessa, on tärkeää, että myös riskikulttuuri muut- tuu. Jokaisella organisaatiolla on omanlaisensa riskikulttuuri ja siihen vaikuttavat monen- laiset tekijät, kuten organisaation ominaispiirteet, historia, kansallisuus sekä liiketoi- minta. Näin ollen riskikulttuuria ei voida mitata yksiselitteisesti yhden tavan mukaan. (Banks 2012: 1, 158—159.) Alla olevassa kuviossa on Rautasen (2011: 129) näkemys riskienhallinnan johtamisen keskeisistä osa-alueista. 24 Kuvio 3. Riskienhallinta johdon näkökulmasta (mukaillen Rautanen 2011: 129) 2.3. Riskienhallinta ja päätöksenteko Riskienhallintaa ja päätöksentekoa voidaan tarkastella kahdesta eri näkökulmasta. Ensin- näkin riskienhallinta ja päätöksenteko kytkeytyvät yksilön tekemään päätökseen ja sen seurauksiin ja toisaalta päätöksenteko on organisaation keskeinen toiminto, jota voidaan tarkastella riskienhallintaan liittyvän päätöksenteon näkökulmasta. Lopullisten valintojen takana on aina ihminen, joka joutuu tasapainoilemaan myös ris- kienhallintaan liittyvissä päätöksissään. Kloman (2010: 21) kuvailee sitä niin, että jokai- seen päätökseen liittyy riski ja päätöstä arvioidessa törmää kahteen erilliseen toisistaan erottamattomaan elementtiin; objektiivisiin faktoihin ja subjektiivisiin näkemyksiin. Kumpikin, objektiivinen arvioiminen ja subjektiiviset uskomukset ovat välttämättömiä päätöstä tehdessä ja toisaalta, kumpikaan elementti ei ole riittävä yksinään. Päätöksentekoon liittyy olennaisesti riskit, koska päätöstä tehdessä ei tiedetä päätöksen seurauksia tai vaihtoehtoja. Päätökseen kuuluu siis seuraukset, jotka voidaan varmuudella 25 tietää, tai sitten se sisältää erilaisia vaihtoehtoja erilaisilla todennäköisyyksillä. Jos pää- töksentekijällä on tiedossa jokaisen vaihtoehdon seuraukset, päätös tehdään varmuuden vallitessa. Päätösteorian mukaan sellainen päätös, joka tehdään kaikkien mahdollisuuk- sien otettaessa huomioon, päätös tehdään niin sanotusti riskien vallitessa. Puolestaan sil- loin, kun kaikki vaihtoehdot ja niiden seuraukset eivät ole tiedossa, päätös tehdään epä- varmuuden vallitessa. Päätös, joka tehdään riskin vallitessa, eli kaikki vaihtoehdot huo- mioon ottava päätös, on todellisuudessa mahdollista ainoastaan teoreettisesti. Kaikkia mahdollisuuksia ei voida oikeastaan tietää. (Laesterä 2010: 24—25.) Riskienhallinnan tarkoituksena on mahdollistaa yksilöiden, ryhmien ja organisaatioiden tehdä tarkoituksenmukaisia päätöksiä epävarmuustekijöiden keskellä. Selkeä ja yksinker- tainen tapa päätöksenteossa on erotella epävarmuustekijät kahteen ryhmään: ne, joilla on merkitystä ja ne, joilla ei ole merkitystä. Maailma on täynnä epävarmuustekijöitä, joilla ei ole samanarvoista merkitystä organisaatioiden välillä ja puolestaan niitä, joilla on mer- kitystä. Näin ollen selvittämällä riskit, joilla on merkitystä, voidaan niihin puuttua asian- mukaisella tavalla. Ne epävarmuustekijät, joilla ei ole merkitystä voidaan jättää huomi- oimatta. On kuitenkin hyvä palata tähän luokitukseen aika ajoin tarkistamaan, onko epä- varmuustekijöiden tai organisaation olosuhteet muuttuneet sillä tavalla, että epävarmuus- tekijät ovat muuttuneet merkityksellisiksi. (Hilson 2009: 6.) Riskienhallinnan yksi keskeinen tavoite on tukea organisaation päätöksentekoa. Riskien- hallinnan avulla tiedetään organisaation riskikuva, joka koostuu organisaation merkittä- vimmistä riskeistä. Organisaation johto voi tehdä merkittäviä päätöksiä koskien esimer- kiksi liiketoimintaa silloin, kun heillä on luotettavaa tietoa riskikuvasta ja päätöksen mah- dollisista vaikutuksista siihen. (Ilmonen ym. 2010: 12.) Päätöksentekoon liittyy aina riski. Riskienhallinnan näkökulmasta päätökset ovat joko riskien ottamista tai niiden hallintaa. Päätöksistä seuraa yleensä kaksi eri lopputulosta; taloudellinen hyöty tai taloudellinen vahinko. Päätöksenteossa on siis syytä hahmottaa sekä hyödyt että haitat. Johtamisen apuvälineenä päätöksenteossa on yksinkertainen ris- kianalyysi: riski = todennäköisyys x toistuvuus. (Rautanen 2011: 137.) 26 Organisaation riskialueiden hallinta ovat riippuvaisia aina siitä, minkälaisena näyttäytyy organisaation johtamis- ja ajattelutapa. Yleensä ottaen riskienhallintaan vaikuttaa myös se, minkälainen halu on nähdä se osana johtamisen työkaluna. Päätöksenteko voidaan nähdä päivittäisjohtamisena ja siihen liittyvät riskit poikkeavat perinteisistä riskeistä. Päätöksenteon vaikutukset ulottuvat organisaation toimintaan sekä useampaan henkilöön, jolloin se korostuu yhtenä johtamisen osana. (Rautanen 2011: 137.) Riskienhallinnan näkökulmasta päätöksenteossa on huomioitava, että se perustuu nyky- tilaan ja siinä on huomioitu riskianalyysin tulokset. Päätöksessä täytyy huomioida niin ikään aika, resurssit ja riippuvuussuhteet. Sen tulee olla hyötyjä korostava ja varmistaa menestys. Päätöksessä otetaan huomioon myös oma etu, eturistiriidat sekä vastuut ja se on ehdottomasti tehtävä hyvää hallintotapaa ja lakia noudattamalla. Päätös perustuu siis nykytilan analyysiin ottaen samalla huomioon tulevaisuuden uhkatekijät ja riskit. Ris- kienhallintapolitiikassa määritellään organisaation linja, jonka mukaan päätökset teh- dään. Riskienhallinnan päätöksiä seurataan ja mitataan. (Rautanen 2011: 141—142.) Eräs tutkimus osoittaa, että riskienhallinnalla on merkitystä organisaation päätöksente- ossa. Jokaisella organisaatiolla on perustehtävä, ja esimerkiksi yritysten perustehtävä on luonnollisesti liiketoiminnan harjoittaminen. Riskienhallinnan on tarkoitus tukea tuota päätehtävää. Vaikka sillä ei olisi strategisen liiketoiminnan ydinosaamisen kannalta mer- kitystä, sillä on merkitystä päätöksenteossa. Hyvän johtamisen tuntomerkkinä pidetään riskienhallintaosaamisen liittymistä johdon työhön. (Suominen 1994: 195.) 2.4. Kokonaisvaltainen riskienhallinta Edellisissä alaluvuissa on tarkasteltu riskienhallinnan menetelmää yleisellä tasolla sekä johtamisen ja päätöksenteon näkökulmasta. Tässä luvussa laajennetaan riskienhallinnan menetelmää kokonaisvaltaiseen riskienhallintaan siitä syystä, että riskienhallinta tulee nähdä osana organisaation toimintoja, eikä erillisenä menetelmänä. Jotta riskienhallinta saadaan sisällytettyä osaksi organisaation toimintoja, se pitää ymmärtää kokonaisvaltai- 27 sesti. Kokonaisvaltaisuuden ymmärtää etenkin silloin, kun tarkastelee riskienhallintaa pe- rinteisestä ja portfolio näkökulmasta. Tämän luvun lopussa on esitetty kokonaisvaltainen riskienhallintamalli sekä riskienhallinnan ISO31000 -standardi. Enterprise Risk Managementista käytetään yleisesti suomenkielistä termiä kokonaisval- tainen riskienhallinta. (Leino, Steiner & Wahlroos 2005: 126; Suominen 2005:164; Ilmo- nen ym. 2010: 46). Vielä 1990-luvulla siitä ei organisaatioissa keskusteltu vaan huomio kohdistui pääsääntöisesti taloudellisiin riskeihin ja vakuutusriskeihin. Riskienhallinta oli taktista, ei-strategista riskienhallintaa. Kuten myös päätöksenteossa riskejä tarkasteltiin tilannekohtaisesti ilman pidemmän aikavälin strategiaa. Yleensä ottaen riskit nähdään or- ganisaatiossa negatiivisena asiana, eikä nähdä niiden tuomia mahdollisuuksia. (Claude 2011: 10.) Kokonaisvaltainen riskienhallinta, Enterprise Risk Management, voidaan nähdä riskien- hallinnan luonnollisena kehityksenä. Sitä pidetään joissakin yhteyksissä uutena ajattelu- mallina. (Fraser & Simkins 2010: 3.) Blumme ym. (2005: 83—84) ja Viitala & Jylhä (2013: 341) määrittelevät kokonaisvaltaisen riskienhallinnan siten, että riskienhallinta kytketään organisaation strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin. Pyrki- myksenä kokonaisvaltaisessa riskienhallinnassa on päästä yksittäisten toimintojen ris- keistä koko organisaation tasolle. Riskienhallinta näyttäytyy keinona maksimoida orga- nisaation taloudellinen ja toiminnallinen hyöty. Kokonaisvaltainen riskienhallinta on lähtökohtaisesti muodostunut yksityisen sektorin, voittoa tavoittelevan, organisaation menettelytavaksi. Tarkoituksena on luoda tehokkaita liiketoimintavälineitä, jotta organisaation arvo kasvaa. (Hilson 2009: johdanto.) Kokonaisvaltainen riskienhallinta voidaan määritellä myös siten, että se on jäsennelty ja kurinalainen lähestymistapa, jossa organisaation strategia, menetelmät, teknologia ja tie- totaito käytetään tarkoituksenmukaisesti arvioimaan ja käsittelemään epävarmuutta, mitä organisaatio kohtaa luodessaan arvoa. Casualty Actuarial Committee (CAS) puolestaan kuvailee kokonaisvaltaista riskienhallintaa menetelmänä, jossa organisaation jokaista ta- soa arvioidaan, kontrolloidaan, hyödynnetään, rahoitetaan ja seurataan. Tarkoituksena on 28 tuottaa sidosryhmille arvoa lyhyellä ja pitkällä aikavälillä. (Stanton & Webster 2014: 122—123.) Kokonaisvaltaisessa riskienhallinnassa laaditaan erillinen riskienhallintastrategia, joka liitetään osaksi organisaation tavoitteita ja strategiaa. Riskien tunnistaminen, arviointi ja luokittelu tehdään kokonaisvaltaisen riskienhallinnan näkökulmasta siten, että se kattaa koko organisaation. Organisaatiossa pyritään tasapainottamaan riskien ja mahdollisuuk- sien välinen suhde. Tämä on mahdollista vain siten, että organisaation riskinottohaluk- kuus ja riskinottokyky on määritelty. (Blumme ym. 2005: 86.) Kleffnerin, Leen & McGannonin (2003: 54) mukaan kokonaisvaltaisen riskienhallinnan laajemman yleistymisen rajoitteena voi olla se, että organisaatioiden rakenteet eivät tue sitä. Organisaation sisällä saattaa olla ymmärtämättömyyttä siitä, miten kokonaisvaltai- nen riskienhallinta toteutetaan tehokkaasti ja miten siitä saatavia hyötyjä mitataan. Vai- keudet riskien mittaamisessa ja riskien riippuvuussuhteiden hahmottamisessa saattavat myös vaikeuttaa menetelmän omaksumista. Lisäksi organisaation sisällä yksilöt ovat ha- luttomia luopumaan heille annetuista työtehtävistä kokonaisvaltaisen riskienhallinnan kustannuksella. 2.4.1. Perinteinen ja portfolio näkökulma Perinteistä riskienhallinnan ajattelutapaa voidaan hahmottaa siilo-esimerkillä. Riskien ajatellaan olevan ikään kuin siiloja – siilo on turvallinen ja suojattu, mutta lähistöllä ole- vien muiden siilojen välillä ei ole vuorovaikutusta. Seurauksena on, että riskejä johdetaan hajanaisilla tavoilla. Koordinoinnin puute organisaation yksiköiden välillä aiheuttaa te- hottomuutta johtuen sattumanvaraisesta päätöksenteosta. Tyypillinen piirre perinteisessä riskienhallinnassa on niin ikään ajatus siitä, että riskienjohtamisessa keskitytään ainoas- taan ennaltaehkäisyyn. (Claude 2011: 17—18.) Stanton & Webster (2014: 116) käyttävät samantyylistä vertausta puhuttaessa perintei- sestä riskienhallinnasta. Yksi merkittävimmistä rajoituksista perinteisessä riskienhallin- 29 nassa verrattuna kokonaisvaltaiseen riskienhallintaan on, että riskeihin suhtaudutaan toi- minnallisina ja ohjelmallisina siiloina. Kokonaisuus koostuu ikään kuin erillisistä pala- sista. Voidaan ajatella, että perinteisessä lähestymistavassa nähdään golfkenttä, joka koostuu 18 väylästä ja jota pelataan kutakin väylää erillisenä tuloksena. Yhden väylän tulos ei vaikuta seuraavan väylän tulokseen. Kuitenkin isoissa ja monimutkaisissa orga- nisaatiossa riskienhallinta tulisi näyttäytyä ikään kuin shakkina, jossa jokainen liike vai- kuttaa käytettäviin vaihtoehtoihin tulevaisuudessa. Vaikka riskien ajatteleminen yksittäisinä kokonaisuuksina tuottaa erityislaatuista tietoa riskienhallinnasta ja toimeenpanosta, perinteisen riskienhallinnan kautta ei saada vastauk- sia siihen, miten tärkeä yksittäinen riski on suhteessa koko organisaation riskiprofiiliin. Eikä myöskään siihen, mitkä ovat riskien keskinäiset vaikutukset ja minkälaisiä etujä niistä on yleisesti ottaen organisaatiolle. Lisäksi perinteinen riskienhallinta ei huomio sitä, että onko organisaatiolla olemassa luonnollisia riskejä ennen kuin kohdistetaan tietty riski eliminoitavaksi. (Shimko 2010: 19.) Riskienhallinnan portfolio-näkemys tarkoittaa pelkistettynä sitä, että riskien analysoimi- sessa ja mittaamisessa pyritään yhtenäistämään käytänteet eri yksiköiden välillä, jonka seurauksena saadaan yhteismitallinen näkemys riskeistä (Leino ym. 135). Monipuolinen lähestymistapa riskeihin edesauttaa riskitasojen pysyvän alempana kuin mitä ne olisi, jos riskejä tarkasteltaisiin yksittäisinä tapauksina. Portfolio-lähestymistavan seurauksena ris- kienhallinnan kulut pienenevät. (Kleffner, Lee & McGannon 2003: 54.) Riskienhallinnan tarkoituksena on olla askeleen edellä riskejä ja oppia ymmärtämään niitä. Portfolio lä- hestymistavassa arvioidaan ja kootaan kaikki riskit yhdeksi kokonaisuudeksi ja sen li- säksi huomioidaan riskien riippuvuussuhteet ja keskinäiset vaikutukset. (Louisot & Man- del 2014: 11.) Organisaatiolle on eduksi ajatella riskienhallintaa riskiportfolio -ajattelun kautta. Siinä huomioidaan riskit, jotka merkittävästi uhkaavat organisaatiota. Samoin huomioidaan tä- mänkaltaisten riskien samankaltaisuudet ja riippuvuussuhteet. Riskiportfolio muodostuu siis merkittävimmistä riskeistä, jotka uhkaavat organisaatiota, riskien samankaltaisuu- desta ja riippuvuussuhteista. Riskiportfolion sisältöä arvioidaan riskinhallintastrategian 30 kautta, joka muodostuu organisaation riskinottokyvyn ja kustannusten mukaan. (Blumme ym. 2005: 82.) Risk and Insurance Management Society (RIMS) mukaan kokonaisvaltaisessa riskien- hallinnassa organisaation kaikki osa-alueet, kuten talous, organisaation strategia, hallinto altistuvat riskeille. Kokonaisvaltaisen riskienhallinnan tarkoituksena on priorisoida ja johtaa riskejä yhdistämällä ne riskiportfolioksi mieluummin kuin nähdä riskit yksilölli- sinä ”siiloina”. Riskiportfolio sisällytetään organisaation merkittävimpiin tekijöihin, si- säiseen ja ulkoiseen ympäristöön, järjestelmään, olosuhteisiin ja osakkaisiin. Kokonais- valtainen riskienhallinta tarjoaa rakenteellisen menetelmän riskienhallintaan, olivatpa ris- kit luonteeltaan määrällisiä tai laadullisia. Kokonaisvaltainen riskienhallinta on kilpai- luetu tehokkaasti hyödynnettynä. Lisäksi riskienhallinta pyritään upottamaan osatekijäksi kaikkiin kriittisiin päätöksiin. (Stanton & Webster: 124.) 2.4.2. Kokonaisvaltaisen riskienhallinnan vaikutukset Valtaosalla nykypäivän organisaatioista riskienhallinta näyttäytyy kokonaisvaltaisena, mutta todellisuudessa siinä on edelleen paljon kehitettävää. Kokonaisvaltainen riskien- hallinta ei tarkoita sitä, että löydetään täydellinen malli vaan, että luodaan toimiva ris- kienhallintakulttuuri, jotta riskejä voidaan ymmärtää, kontrolloida ja lisäksi tiedottaa niistä tehokkaasti. Kokonaisvaltainen riskienhallinta koostuu riskihalukkuuden ja strate- gian asettamisesta, riskien kohdistamisesta vastaamaan päätöksiä, operationaalisten yllä- tysten vähentämisestä ja menetyksistä. Tarkoituksena on tunnistaa ja hallita organisaation poikkimeneviä riskejä ja tarttua ympärillä oleviin mahdollisuuksiin sekä edistää pääoman käyttöönottoa. (Davies 2010: 45.) Tehokas riskienhallinta lähtee siitä, että se otetaan vakavasti ja sillä on johdon pitkäaikai- nen tuki. Se edellyttää ennen kaikkea riskitietoisuuden lisäämistä organisaation proses- seihin ja kulttuuriin. Riskienhallinnassa on huomioitava, että oikea-aikainen tiedonkulku saavuttaa organisaation jokaisen tason ylhäältä alas. (Duckert 2010: 27; Stanton & Webs- ter 2014: 8.) 31 Suomalaisten yksityisen sektorin organisaatioiden näkemysten mukaan kokonaisvaltai- sen riskienhallinnan avulla pystytään epävarmuuden parempaan hallintaan. Tappioita pystytään selkeästi minimoimaan ja asetetut tavoitteet saavuttamaan. Merkittävänä huo- miona voidaan pitää sitä, että kokonaisvaltaisen riskienhallinnan avulla organisaation mainetta pystytään ylläpitämään. Sen sijaan mahdollisuuksien hyödyntämistä ei puoles- taan nähty vielä tärkeänä. (Leino ym. 2005: 134—135.) Erään tutkimuksen mukaan yleisin kokonaisvaltaisen riskienhallinnan etu on koordinoitu ja johdonmukainen lähestymistapa riskienhallintaan, joka vähentää kustannuksia ja edis- tää parempaa kommunikaatiota läpi organisaation. Koordinointi vähentää merkittävästi suuria tappioita, koska organisaatio käsittelee riskejä kokonaisuutena ja kommunikoi pa- remmin yksittäisten yksiköiden välillä. (Kleffner, Lee & McGannon 2003: 65.) Kattava riskienhallintastrategia, joka on täsmällisesti toimeenpantu kaikilla organisaation tasoilla, mahdollistaa tehokkaan kommunikaation ja neuvottelun myös sidosryhmien kanssa. (Louisot & Mandel 2014:10.) Kokonaisvaltainen riskienhallinta mahdollistaa organisaation riskienhallinnan filosofian yhtenäistymisen. Kokonaisvaltaisen riskienhallinnan sisäistämisen seurauksena kaikki pyrkivät organisaatiossa samaan päämäärään. Organisaation kannalta parempia tuloksia on luvassa, jos kokonaisvaltainen riskienhallinta leviää koko organisaatioon ja ihmiset ”ostavat” idean. Tutkimuksen mukaan kokonaisvaltainen riskienhallinta nähtiin strategi- sena lähestymistapana riskien johtamisessa. Sen sijaan, että organisaatio ostaisi ainoas- taan vakuutuksia, kokonaisvaltaisen riskienhallinnan kautta laajentuu riskitietoisuus ja tietoisuuden ja tietotaidon avulla on mahdollista tehdä parempia päätöksiä. (Kleffner, Lee & McGannon 2003: 65.) Monet riskienhallinnan käytänteet sisältävät tiettyyn alueeseen vaadittavaa tietotaitoa. Kokonaisvaltainen riskienhallinta ei pois sulje tarvetta riskienhallinnan käytänteiden eri- koistumiselle. Vaikka riskienhallinta olisikin johdettu hyvin eri toimintojen, ohjelmien ja organisaation tasojen välillä, jää tarve ymmärtää organisaation riskitaso kokonaisuudes- saan. Hyvä riskienjohtaminen tarkoittaa ymmärrystä siitä, miten riski organisaation yh- dessä osassa vaikuttaa organisaation muihin osiin. (Stanton & Webster 2014: 134—135.) 32 Kokonaisvaltaisessa riskienhallinnassa on myös muutamia aukkoja. Fraser & Henry (2007: 395) pohtivat sitä, miten byrokratia, joka on luotu menetelmän ympärille saattaa peittää merkittäviä riskejä, jotka vaikuttavat organisaation toimintaan. Toiseksi riskien vaikutuksien arvioiminen on vaikeaa tehdä objektiivisesti. Organisaatiossa voi olla ta- pana ”suodattaa” riskejä esimerkiksi työpajoissa ja keskittyä ainoastaan muutamiin niistä. Vaikka onkin ymmärrettävää, että riskirekisteri halutaan pitää helposti käsiteltävänä ko- konaisuutena, on vaarana, että subjektiivinen riskien ”poimiminen” heikentää riskienhal- linnan tehokkuutta. Riskit ovat niin ikään riippuvuussuhteessa toisiinsa, jonka vuoksi yksi haitallinen tapahtuma voi aiheuttaa toisenlaisia riskejä ja näitä lumipallo-efektejä voi olla vaikea ennustaa. On syytä muistaa, että kokonaisvaltaisen riskienhallinnan mallit eivät sovellu sellaise- naan jokaiseen organisaatioon. Tämä seikka on otettava huomioon erityisesti silloin, kun riskejä arvioidaan. Duckert pohtii (2010: 24—25, 93.) Fraserin & Henryn (2007: 395) tavoin sitä, kuinka riskienhallinta mallit perustuvat subjektiivisuuteen. Monet käsitykset ovat luonnostaan subjektiivisia ja niitä on käytetty yleisenä riskien arvioimisen käytän- teinä. Teoria, joka yleensä liitetään riskien arvioimiseen, perustuu siihen, että mallissa järjestetään riskit tärkeysjärjestykseen painoarvoltaan ja tulokseltaan. Heikkoutena on siis se, että tulos ja painoarvo perustuvat yksilön tekemään ajatteluun juuri siinä hetkessä, kun ne esitetään. Ongelmana on, että kaikki nämä subjektiiviset mallit ovat aika- ja paikkara- joitteisia. Toinen ongelmakohta, liittyen riskien arviointiin, on terminologian yhtenäisyys tai sen puute. Esimerkiksi, low, medium and high -käsitteisiin liittyy monia vastaavanlaisia ter- mejä, jotka eivät todellisuudessa kuvaa niiden tarkoitusta. Kolmas kritiikin kohde on aja- tus siitä, että on olemassa yksi malli, joka sopii kaikille. Perusteeton käsitys siitä, että universaali malli sopii kaikille organisaatioille, kaikkiin olosuhteisiin on naurettava. Se ei tarkoita sitä, että ei organisaatiot kohtaa samanlaisia riskejä vaan, että niitä pitää ajatella erityisinä tapauksina organisaatioissa. Kun hyödynnetään dataa ja informaatiota, se voi olla jo riski itsessään, jos sitä ei hiota ja täsmennetä organisaation tarpeisiin. (Duckert 2010: 24—25, 93.) 33 Johdon ja hallituksen suhteet ovat erittäin merkittävässä osassa toimivaa kokonaisval- taista riskienhallintaa. Selvää ja rehellistä kommunikaatiota tarvitaan organisaation jokai- sella tasolla. Jos johto ei ole täysin sitoutunut kokonaisvaltaiseen riskienhallintaan, se vaikeuttaa riskienhallinnan läpiviemiseen. Suuri määrä erilaisia hallinnollisia koodeja, sääntelyä ja raportoinnin vaatimukset voivat niin ikään houkutella vetäytymään menetel- mästä. (Fraser & Henry 2007: 395.) 2.4.3. Kokonaisvaltainen riskienhallintamalli Riskienhallintaa tulee tarkastella aina kokonaisuutena, koska muuten on vaarana, että ris- kien arviointi ja hallinta hajautuvat. Yksittäiset valvontatoimet ovat näin ollen mitättö- miä, jos niistä ei muodosteta kokonaisuutta. Tuokkolan & Kotosen mukaan riskienhallin- nan on hyvä perustua johonkin kokonaisvaltaiseen viitekehykseen, esimerkiksi COSO- tai ERM-malleihin. Riskienhallinta toimii tämänkaltaisessa viitekehyksessä osana si- säistä valvontaa ja sitä kautta johtamisjärjestelmää. (Tokkola & Kotonen 2005: 196.) Kokonaisvaltaisen riskienhallinnan toimeenpanossa ei ole olemassa niinkään universaa- lia sopimusta, mitä pitäisi seurata. Andersen ym. ovat tehneet mukaillun, yksinkertaiste- tun version, jonka pohjana on ISO 3100- ja ERM standardit. (Andersen, Garvey & Roggi 2014: 72). Kuvio 4. Kokonaisvaltainen riskienhallintamalli (Andersen ym. 2014: 73.) Kokonaisvaltaisen riskienhallinnan mallista voidaan eritellä kaksi erilaista vaihetta: joh- tamisvaihe ja tekninen vaihe. Tavoitteiden valinta ja riskienkäsittelyn taso muodostavat 34 johtamisvaiheen. Riskien arvioiminen, raportoiminen, seuraaminen ovat puolestaan me- netelmän teknisiä vaiheita. Hyvä riskienhallinta auttaa organisaatiota muun muassa mää- rittämään organisaation kannalta hyväksyttävät riskit sekä kehittämään listan varsinai- sista ja potentiaalisista riskeistä, joiden kautta tunnistetaan organisaation riskinäkymä. Lisäksi menetelmän avulla arvioidaan tunnistettujen riskien todennäköisyydet ja seurauk- set. Kokonaisvaltaisessa riskienhallinnassa tarkoituksena on rakentaa organisaation ar- voista koostuva malli, jonka avulla riskejä käsitellään tehokkaasti. Menetelmän tarkoi- tuksena on päättää, mitkä riskit organisaation pitäisi säilyttää ja mitä riskejä lievennetään, siirretään tai vältetään. Keskeinen osa menetelmää on seurata tunnistettuja riskiä ja niiden käsittelyä jatkuvasti. (Andersen ym. 2014: 72—73.) 2.4.4. Riskienhallinan ISO31000 -standardi Riskienhallinta voidaan toteuttaa käyttämällä yleisesti hyväksyttyjä standardeja. Standar- dit ovat hyvin pitkälti ohjeellisia ja sen vuoksi organisaation tulee hyödyntää niitä sovel- tuvasti. Standardien tarkoitus on kattaa laajasti riskienhallinnan eri osa-alueita. Riskien- hallinnan menetelmästä ja sanastosta on olemassa paljon erilaisia suosituksia. Tunne- tuimmat ja yleisesti hyväksytyt standardit ovat juurikin ISO31000 ja COSO-ERM-viite- kehys. (Ilmonen ym. 2010: 30—31.) Vuonna 2009 The International Organization for Standardization julkaisi ISO31000-stan- dardin riskienhallinnan käytänteistä. Standardi on käyttökelpoinen, oli kyseessä julkisen tai yksityisen sektorin organisaatio (Leitch 2010: 887; Gjerdrum & Peter 2011: 9). Ris- kienhallinnanstandardit edistävät riskienhallinnan sanaston ja metodin yhtenäistymistä. Sanaston ja metodin yhtenäisyys edistävät puolestaan riskienhallinnan jatkuvuutta ja tois- tuvuutta. (Ilmonen ym. 2010: 30.) ISO31000 -standardin tavoitteena on saada riskienhallinnasta johdonmukaista ja luotet- tavaa. Mallia voidaan soveltaa kaikenlaisiin riskeihin. Standardin tarkoituksena on yhte- näistää riskienhallinnassa käytettävä sanasto ja asettaa kriteerit suorituskyvylle. Lisäksi standardi yhtenäistää käytänteitä siitä, miten riskit tunnistetaan, analysoidaan, arvotetaan 35 ja käsitellään. Standardi antaa ohjeita myös esimerkiksi siihen, miten riskienhallinta si- sällytetään päätöksentekoon. (Purdy 2010: 881.) ISO31000 -standardia tehtäessä, työryhmällä on ollut tarkoituksena kerätä yhteen doku- menttiin yleisesti hyväksytyt riskienhallintatermit ja menetelmät. ISO31000-standardi on siinä mielessä joustava, että sitä voidaan soveltaa kaikenlaisiin organisaatioihin. Sellaise- naan se näyttäytyy ensimmäisenä kansainvälisenä standardina. Standardin sisältö koostuu riskienhallinnan sanastosta, viitekehyksestä ja toimintatavasta. Riskienhallinnan mene- telmä on pelkistetty standardissa neljään eri vaiheeseen, suunnitteluun, toteutukseen, seu- rantaan sekä parantamiseen. (Ilmonen ym. 2010: 33.) ISO31000-standardia voidaan sen sijaan tarkastella kolmen erilaisen vaiheen kautta. En- simmäinen vaihe kattaa keskeisimmät riskienhallinnan periaatteet. Periaatteita noudatta- malla varmistetaan tehokas riskienhallinta. (Leitch 2010:888; Purdy 2010: 883) ISO 31000 -standardin riskienhallinnan periaatteet (Purdy 2010: 883):  riskienhallinta luo organisaatiolle arvoa  riskienhallinta on osana organisaation prosesseja  riskienhallinta on osana päätöksentekoa  riskienhallinta huomioi epävarmuudet  systemaattista, jäsenneltyä, ajantasaista  perustuu parhaiten saatavilla olevaan tietoon  toteutetaan yksilöidysti organisaation mukaan  ottaa huomioon inhimilliset ja kulttuurilliset tekijät  avointa ja kattavaa  dynaamista, toistuvaa ja muutoksiin reagoiva  helpottaa organisaatio jatkuvaa kehitystä ISO 31000 -standardissa määritellään riskienhallinnalle myös viitekehys. Standardin toi- nen vaihe sisältää riskienhallinnan käyttöönoton viitekehyksen avulla. Riskienhallinnan viitekehys koostuu toimintatavoista, järjestelyistä ja organisaation rakenteista toteuttaa, 36 ylläpitää ja parantaa riskienhallinnan menetelmää. Sen sijaan, että ISO 31000 -standardi keskittyisi ainoastaan kuvailemaan viitekehykseen tarvittavia elementtejä, se pyrkii ku- vailemaan, miten organisaation tulisi menetellä viitekehyksen luomisessa ja käyttöön- otossa sekä miten pidetään siihen tarvittavat elementit päivitettyinä ja relevantteina. (Purdy 2010: 885.) Viitekehyksen tulee olla yksinkertainen ja helposti toteutettavissa. Liian ohjeellinen lä- hestymistapa saattaa olla liian työläs toteuttaa kaiken muun johtamistyön ohella. Onnis- tuneen viitekehyksen luominen edellyttää ymmärrettävyyttä ja sovellettavuutta. Viiteke- hys on jätetty tarkoituksenmukaisesti laajaksi, periaatteiden varaan (principle-based), jotta sitä voidaan soveltaa kaiken tyyppisiin organisaatioihin ja tilanteisiin. (Shortreed 2010:101.) Kuvio 5. Riskienhallinnan viitekehys (Ferma 2010) Kolmas vaihe ISO 31000 -standardissa on riskienhallinnan menetelmä. Vaikka riskien- hallinta menetelmänä näyttäytyy vaiheittaiselta, käytännössä se ei ole aivan niin yksin- kertaista. Riskienhallinnan eri vaiheiden ja jatkuvasti sovellettavien elementtien kuten, 37 kommunikaation, konsultaation, seurannan ja katsauksen välillä on paljon toistoa. Ris- kienhallinnan menetelmässä (ks. kuvio 6) on kaksi elementtiä, joita voidaan pitää jatku- vana toimintana: kommunikaatio ja konsultaatio sisäisten ja ulkoisten sidosryhmien kanssa on jatkuvaa. On tärkeää ymmärtää sidosryhmien päämäärät, jotta heidän osallis- tuminen voidaan suunnitella ja näkemykset voidaan huomioida riskien kriteereiden aset- tamisessa. (Purdy 2010: 883—884.) Toinen jatkuva toiminta menetelmässä (ks. kuvio 6) ovat seuranta ja katsaus niin, että toiminnassa huomioidaan uusien riskien ilmestyminen ja nykyisten riskien muuttuminen. Vaihtoehtona jatkuvalle toiminnalle ovat esimerkiksi organisaation tavoitteiden muuttu- minen tai sisäisen ja ulkoisen ympäristön muutokset. Seuranta ja katsaus edellyttävät ris- kien "omistajilta" ympäristön kartoittamista, kontrollointia, uuden saatavilla olevan tie- don omaksumista sekä oppimista onnistuneista ja epäonnistuneista riskianalyyseista. (Purdy 2010: 884.) Kuvio 6. Riskienhallinnan menetelmä (Andersen, Garvey & Roggi 2014: 73; Ferma: 2010:9) 38 Leitch kritisoi voimakkaasti ISO 31000-standardin käytettävyyttä. Standardissa koroste- taan sitä, miten riskienhallinnan tulee kytkeytyä johtamisen menetelmiin kaikilla tasoilla. ISO31000-standardi ei anna kuitenkaan mitään konkreettisia ohjeita, kuinka se tulisi tehdä. Leitchin mielestä ISO 31000 -standardi on epäselvä. Jos standardia toteutetaan, se johtaa epäloogisiin päätöksiin. Standardia on Leitchin mukaan vaikea noudattaa ja se ei perustu matemaattisiin metodeihin, koska siinä puhutaan vähän todennäköisyyksistä, da- tasta ja malleista. (Leitch 2010: 891—892.) 39 3. RISKIENHALLINNAN KEINOT Tutkimuksen edellisessä pääluvussa tarkasteltiin riskienhallinnan menetelmää monesta eri näkökulmasta, joten tässä luvussa edetään riskienhallinnan keinojen tarkasteluun. Ris- kienhallinnan menetelmä etenee tyypillisesti niin, että ensiksi riskit tunnistetaan ja arvi- oidaan, jonka jälkeen riskeistä tehdään kunnollinen analyysi. Lopuksi riskille valitaan so- piva, tehokas hallintakeino. Tässä luvussa perehdytään myös riskienluokitteluun ja julki- sen organisaation tyypilliseen riskiprofiiliin riskien tunnistamisen alaluvussa. Lisäksi tar- kastelussa on sisäisen valvonnan ja tarkastuksen rooli riskienhallinnassa. 3.1. Riskien tunnistaminen Riskienhallinnan menetelmä aloitetaan yleensä riskien tunnistamisesta. Ennen riskien tunnistamista voidaan pohtia kysymyksiä siitä, miten organisaation resurssit voivat olla uhattuna? Mitkä haitalliset vaikutukset voivat estää organisaatiota saavuttamasta tavoit- teita? Mitä suotuisia mahdollisuuksia voi ilmetä? (Tchankova 2002: 290—291.) Riskientunnistaminen on riskienhallinnan tärkein ja aikaa vievin vaihe. Tunnistamisessa voidaan käyttää erilaisia menetelmiä, kuten kyselylomakkeita, työpajoja, tilastoselvityk- siä tai suorittaa tarkastuksia, jotka tekee organisaation ulkopuolelta tuleva henkilö. Tun- nistamisessa käytettävät menetelmät riippuvat siitä, miten aiempia tapauksia on tutkittu ja dokumentteja analysoitu. (Enberg 2002: 11—12.; Andersen, Garvey & Roggi 2014: 76.) Tunnistamiseen nimetty vastuuhenkilö huolehtii tunnistamisvaiheen johtamisesta, koor- dinoinnista ja raportoinnista. Riskien tunnistamisvaiheessa on tärkeää, että vastuuhenkilö osaa hyödyntää tarvittaessa ulkopuolisia asiantuntijoita. Yksinkertainen vaihe, jolla saa- daan tunnistaminen alulle, on tehdä syy-seuraus analyysi. (Enberg 2002: 11—12.) Ris- kientunnistamisessa pyritään hahmottamaan sellaisia tapahtumia ja tilanteita, joilla on vaikutusta organisaation tavoitteisiin. Riskienhallinnan onnistuminen on pitkälti kiinni siitä, miten riskientunnistaminen onnistutaan tekemään. (Viitala 2013: 341.) 40 Riskien tunnistaminen vaatii, että osallisilla on läheinen tietämys organisaation strategi- asta, liiketoiminnallisesta prosessista ja operatiivisesta toiminnasta. Riskien tunnistami- sessa käydään läpi alueita, jotka ovat organisaation näkökulmasta heikoimmat kohdat epävarmoille tuloksille tulevaisuudessa. Riskientunnistamisessa vaaditaan laajaa tietoa liiketoimintaympäristöstä sekä organisaation sisältä, operatiivisesta tilasta. (Andersen, Garvey & Roggi 2014: 76.) Riskien tunnistamisessa on mahdotonta huomata kaikkia si- säisiä ja ulkoisia riskejä. Teoriassa on kuitenkin mahdollista tehdä tarkat analyysit jokai- sesta riskitapauksesta, mutta käytännön toteuttaminen on hankalaa johtuen ajan ja infor- maation puutteesta. (Tchankova 2002: 290—291.) Riskien tunnistamisessa on huomioitava kaksi asiaa; se on jatkuva prosessi ja uusia ris- kejä täytyy etsiä jatkuvasti. Muutokset organisaation ympärillä vaativat jatkuvaa huo- miota uusien riskien tunnistamiselle. Perinteisesti riskien tunnistaminen keskittyy riskei- hin, jotka ovat jo tiedossa. On kuitenkin keskityttävä myös niihin riskeihin, jotka eivät vaikuta organisaation resursseihin kyseisellä hetkellä. Tämä kertoo myös organisaation tilasta, mikäli organisaatio on kiinnostunut huomioimaan riskit tämän hetken lisäksi tule- vaisuudessa. (Tchankova 2002:293.) Riskientunnistamisen jälkeen riskeistä tehdään kuvaukset. Riskien kuvaamisessa voidaan käyttää riskikarttoja, jotka sisältävät seuraavat tunnusmerkit: nimen, laadullisen kuvauk- sen tapahtumasta, riskin hyvä- ja huonopuoli skenaariot, tapahtuman todennäköisyyden sekä alustavan arvioinnin riskin taloudellisesta vaikutuksesta. Riskin kuvausta tehtäessä pitää määritellä henkilö, joka on vastuussa tietystä riskistä. Vastuiden jakamisen lisäksi riskien kuvaamisessa tulee määritellä riskin mittaamisen menetelmät ja se, miten riskiä seurataan. (Andersen, Garvey & Roggi 2014: 76.) 3.1.1. Riskien luokittelu Riskienhallinnan perusasioihin kuuluu riskienluokittelu. Se on tärkeää, koska luokitte- lulla riskeistä saadaan yhteismitallisia ja niitä voidaan siten vertailla keskenään. Riskien luokittelun avulla vaikutetaan muun muassa organisaatioin riskitietoisuuteen sekä riskien riippuvuuksien ymmärtämiseen. Luokittelussa on syytä muistaa, että se on aina suhteessa 41 tekijään, toimialaan, kontekstiin ja ajankohtaan. Riskien luokitus on myös siksi hyvä toi- mintatapa, koska sillä varmistetaan, että kaikki mahdolliset riskit tulevat tunnistetuksi. (Ilmonen ym. 2010: 70.) On syytä huomioida, että ei ole olemassa yhtä ainutta tapaa luo- kitella riskejä. Vaikka kaikissa analyyttisissä lähestymistavoissa on huomioitu yleisim- mät riskit, ei ole olemassa konsensusta yhdestä tietystä riskienlajittelun standardista. Tar- koituksena on käyttää organisaation tarkoituksiin vastaavaa suunnitelmaa. (Andersen, Garvey & Roggi 2014: 46.) Riskejä voidaan luokitella monella eri tavalla, laajemmin tai yksityiskohtaisemmin. Tchankova (2009: 290—295) luokittelee riskit niiden alkuperän perusteella, fyysisiin, so- siaalisiin, poliittisiin, operatiivisiin, taloudellisiin ja lainsäädäntö riskeihin. Fyysiset riskit ovat kirjaimellisesti fyysisiä ja niitä voidaan tarkastella sekä positiivisesta että negatiivi- sesta näkökulmasta. Sosiaalisia riskejä ilmenee silloin, kun tapahtuu muutoksia ihmisten arvoissa, käyttäytymisessä ja sosiaalisissa rakenteissa. Poliittinen ympäristö vaikuttaa or- ganisaatioihin riippuen esimerkiksi vallassa olevan puolueen tuesta ja sääntelystä. Ope- ratiiviset riskit voivat puolestaan ilmetä työoloissa. Huonot työolosuhteet voivat vaikuttaa fyysiseen ja henkiseen terveyteen. Operatiivinen ympäristö tuo mukanaan myös mahdol- lisuuksia silloin, kun organisaation toiminta parantaa elämäntasoa ja työskentelyä. Talou- delliseen ympäristöön vaikuttaa vahvasti poliittinen ympäristö yksittäisessä maassa. Ta- loudellisia riskejä ovat globaalista näkökulmasta taantuma, korot ja luottopolitiikka. Val- litseva lainsäädäntö vaikuttaa myös organisaation toimintaan. Erityisesti kansainvälisellä pelikentällä lainsäädännön eroavaisuudet hankaloittavat organisaation toimintaa. Lait tuovat kuitenkin vakautta yhteiskuntaan ja oikeuksia, kuten omistusoikeuden, tekijänoi- keudet ja työttömyysturvan. Tavallisesti riskit luokitellaan strategisiin, operatiivisiin, taloudellisiin ja vahinkoriskei- hin. Riskit voivat olla keskenään samankaltaisia ja läheisiä, joten ero siitä, mihin luok- kaan ne kuuluvat voi olla pieni. Kun puhutaan riskeistä, ne voivat ilmetä eri tasoilla ja juontavat loppujen lopuksi juurensa samasta ilmiöstä. Siitä syystä ne voidaan myös luo- kitella moneen eri kategoriaan. Riskien jaotteleminen tai luokitus on kuitenkin tärkeää, koska sen jälkeen riskejä on helpompi analysoida ja riskien väliltä löydetään keskinäinen 42 suhde. (Ilmonen ym. 2010: 75.) Onkin syytä muistaa, että riskit vaikuttavat yleensä toi- siinsa siten, että toista pienentämällä saatetaan vaikuttaa toisen suurentamiseen. Vaikka riskit eritellään luokittelulla, on niitä syytä tarkastella aina kokonaisuutena juurikin riip- puvaisuuksien vuoksi. (Juvonen ym. 2014: 29.) Strategisia riskejä voidaan tarkastella Juvosen ym. (2014: 34) mukaan kahdesta eri näkö- kulmasta, strategian laadintaan liittyvistä riskeistä ja strategian toteuttamiseen liittyvistä riskeistä. Organisaatio voi kohdata strategian laadintaan vaikuttavia riskejä, johtuen esi- merkiksi saatavien taustatietojen puutteellisuudesta. Sen sijaan strategian toteuttamisessa ilmenevät riskit johtuvat yleensä organisaation omasta toiminnasta. Strategiset riskit voidaan määritellä riskeiksi, jotka liittyvät luonnollisesti organisaation strategisiin tavoitteisiin pitkällä aikavälillä. Silloin, kun organisaatio määrittelee seuraa- van viiden vuoden ajanjaksolle tavoitteita, liittyy strategisiin päätöksiin epävarmuusteki- jöitä. Epävarmuustekijöitä kohdistuu sekä sisäisiin että ulkoisiin tekijöihin, jotka vaikut- tavat siihen, saavuttaako organisaatio asetettuja tavoitteita. Ulkoiset strategiset riskit voi- vat olla kaikenlaiset muutokset, jotka kohdistuvat liiketoimintaympäristöön, asiakkaisiin ja lainsäädäntöön. Sisäiset strategiset riskit ilmenevät silloin, kun organisaatiolla on on- gelmia toimeenpanna strategiaa käytäntöön. Voi olla niinkin, että organisaatiolta puuttuu täysin osaaminen osa-alueilta, jotka nimenomaan ovat organisaation strategian kannalta tärkeimmät. Tilannetta vaikeuttaa, jos organisaatio ei pysty edes tunnistamaan tätä osaa- misvajettaan. Konkreettisena esimerkkinä mainittakoon kyvyttömyys tunnistaa asiakas- tarpeita. (Ilmonen ym. 2010: 71.) Operatiiviset riskit voidaan määritellä koskemaan organisaation päivittäisiin toimintoihin liittyviä välillisiä tai välittömiä vahinkoriskejä tai riskejä, jotka koskevat mainetta. Tämän tyyliset operatiiviset riskit syntyvät silloin, kun organisaation sisäiset prosessit ovat riit- tämättömiä. Organisaation johtamiseen liittyviä riskejä voidaan kohdata esimerkiksi pää- töksentekoprosessissa. Johto voi olla kyvytön suunnittelemaan päätöksiä, tekemään pää- töksiä tai asettamaan tavoitteita. Luonnollisesti riskeiksi voidaan luokitella sekin, jos epä- onnistutaan jonkin prosessin johtamisessa tai kehittämisessä. Johtamiseen liittyvät riskit ovat niin kutsuttuja sisäisiä operatiivisia riskejä. (Ilmonen ym. 2010: 72.) 43 Operatiivisiksi riskeiksi luokitellaan muun muassa informaatiotekniikkaan liittyvät riskit, tietoturvallisuuden riskit ja tuotantoon liittyvät riskit. Liiketoiminnan keskeytysriskit ovat myös merkittäviä operatiivisia riskejä. Keskeytysriskit koskevat liiketoimintaan tarvitta- vien resurssien vajausta, esimerkiksi työvoiman lakkoilua. Lainsäädännön vaatimukset ovat myös operatiivisia riskejä. Olipa kyse millaisesta tahansa operatiivisesta riskistä, niin sen tunnistaa siitä, että riskin realisoituessa saattaa syntyä kriisitilanne. Onkin mer- kittävää varautua operatiivisista riskeistä syntyvään kriisitilanteeseen, koska pahimmassa tapauksessa kriisitilanne on vaikutukseltaan pahempi kuin alkuperäinen riski. (Ilmonen ym. 2010: 72—73.) Taloudellisiksi riskeiksi voidaan luokitella muun muassa korkoriskit, luottoriskit, vasta- puoliriskit ja maksuvalmiusriskit. Taloudelliset riskit käsittelevät nimensä mukaan ta- loutta ja rahaprosesseja uhkaavia riskejä. Organisaatiot kohtaavat taloudellisia riskejä sil- loin, kun rahoituskulut nousevat korkojen noustessa. Organisaatio on saattanut panostaa pitkäaikaiseen investointiin, joiden arvo saattaa laskea korkojen laskiessa. Näin ollen kor- koriskit aiheuttaa itsestä riippumatonta taloudellista tappiota. Luottoriskit toteutuvat sil- loin, kun luotonsaajalla ei ole maksukykyä maksaa luottoa takaisin sovitussa aikatau- lussa. Organisaatiot voivat kohdata myös vastapuoliriskejä, jossa kahdenvälisistä sovi- tuista sopimuksista ei pystytä pitämään kiinni. Vastapuoliriskit liittyvät kaikenlaisiin so- pimuksiin, mitä tehdään ja niiden vaikutus ja luonne riippuvat aina tilanteesta. Maksuval- miudesta saattaa muodostua taloudellisia riskejä, mikäli organisaatiolle velkaa olevat ei- vät pysty jostakin syystä maksamaan velvoitteita ja samalla organisaation omat varat ovat sellaisessa muodossa, että niitä ei voi käyttää velvoitteiden maksamiseen. (Ilmonen ym. 2010: 74.) Vahinkoriskit ovat helpoiten tunnistettavissa, koska ne ovat arkisia. Vahinkoriskit liitty- vät esimerkiksi henkilöstöön ja sen ongelmatilanteisiin. Vahinkoriskeihin luetaan muun muassa ympäristöriskit. (Ilmonen ym. 2010: 75.) 44 3.1.2. Riskiprofiili julkisessa organisaatiossa Julkisen organisaation näkökulmasta riskit näyttäytyvät hieman erilaisempina kuin yksi- tyisen organisaation. Kunnan kannalta tämä merkitsee yleensä sitä, että riskit aiheuttavat joko taloudellisia vahinkoja tai henkilövahinkoja. Kunnan riskit voidaan jaotella neljään eri kokonaisuuteen, jotka ovat toiminnalliset riskit, taloudelliset riskit, vahinkoriskit ja muut riskit. Kuntaliiton laatimassa riskienhallintaoppaassa on tarkennettu kunnan näkö- kulmasta riskien liittyvän henkilöstöön, talouteen, kuntalaisiin, sidosryhmiin, elinkei- noelämään ja yhteiskuntaan. Lisäksi kuntaliiton mukaan riskit liittyvät kunnan toiminnan organisointiin ja rakennettuun ympäristöön. (Tokkola & Kotonen 2005: 193.) Riskien luonne on yleisesti ottaen sellainen, että ne ovat ihmisen aiheuttamia. Näin ollen niihin pystytään varautumaan asianmukaisella tavalla. Jos riskeihin ei kiinnitetä ajoissa huomiota, jälkitilanteiden selvittely vie valtavasti henkilöstöresursseja, jolloin esimer- kiksi pienemmässä organisaatiossa perustehtävän toteuttaminen vaarantuu. Toteutuneet riskit haittaavat niin toimintaa kuin organisaation mainetta. Oman toimialansa ammatti- laisina organisaation johdon on pyrittävä tunnistamaan ja hallitsemaan todennäköisimmät ja merkittävimmät riskit. (Raudasoja & Johansson 2009: 148.) Henkilöriskit ovat yksi kokonaisuus riskityypeistä, joita esiintyy julkisessa organisaa- tiossa. Riskienhallinnan avulla yritetään välttyä myös henkilöriskeistä, mikä on käytän- nössä mahdotonta. Yksi keskeinen tapa välttyä henkilöstöriskeiltä on hyvä johtaminen, joka on laadukkaan organisaation tunnuspiirre. Laadukkaan organisaation tunnuspiirteitä ovat niin ikään koulutus, läpinäkyvyys, vastuutus ja selkeä kommunikaatio. Johtajilta odotetaan toimimista organisaation eettisinä roolimalleina. Huono johtaminen edistää huonojen yksilöiden häiriökäyttäytymistä. Ihmisistä lähtöisin olevat riskit ovat haasteel- lisia tunnistaa, mitata ja määritellä. Samoin tämän tyyppisiä riskejä on vaikea kokonaan poistaa organisaatiosta. Kuitenkin, laadukas johtaminen ja kontrollimekanismit vähentä- vät niille altistumista. (McKaig 2010: 76—77.) 45 Henkilöriskit ovat julkisten organisaatioiden kannalta isossa roolissa johtuen korkeasta työvoimavaltaisuudesta. Esimerkiksi johtamisella ja organisoimisella vaikutetaan oleel- lisesti siihen, millaisena organisaatio näyttäytyy. Epäselvyydet työntekijöiden työtehtä- vissä ja vastuissa edistää puutteita työilmapiirissä, mikä voi johtaa pahimmillaan uupu- mukseen. Sairauspoissaolot tarkoittavat aina lisäkustannuksia organisaatiolle. Pahimmil- laan pienissä organisaatioissa avainhenkilöriskit haittaavat jopa palvelujen häiriötöntä tuottamista. (Raudasoja & Johansson 2009: 148—149.) Henkilöriskejä aiheuttaa yleensä sairaudet ja tapaturmat, tietoiset väärinkäytökset, tiedostamattomat väärinkäytökset sekä puutteellinen henkilökohtainen suorituskyky. (Laesterä 2010: 69) Omaisuusriskejä ei voida sivuuttaa, kun puhutaan julkisen sektorin riskilajeista. Julkisen sektorin hallussa on paljon rakennuksia, joissa säilytetään palvelutuotannossa käytettäviä laitteita, koneita, tietojärjestelmiä ja muutoin arvokkaita esineitä ja arkistoja. Julkiseen organisaatioon kohdistuu erityisesti myös vastuuriskejä. Kuntien vastuulla on ylläpitää infrastruktuuria, kuten energiahuoltoa. Mikäli palveluihin tulee keskeytyksiä johtuen vir- heistä, osaamattomuudesta tai huolimattomuudesta, voi kunta joutua vahingonkorvaus- vastuuseen toiminnastaan. Yleinen taloudellinen tilanne yhdessä poliittisen ja lainsäädän- nön kehityksen kanssa muodostavat pitkälti kuntien rahoituksen. Siitä huolimatta, rahoi- tusriskien hallinta pitää ottaa huomioon kunnan strategisessa suunnittelussa. (Raudasoja & Johansson 2009: 149.) Tunnetuista organisaatioista on aina jonkinlainen mielikuva. Organisaatiot voivat erot- tautua kilpailijoista juurikin mielikuvan avulla. Mielikuvaan liittyy myös riskejä ja uhkia, jotka toteutuessaan vaikuttavat organisaation toimintaan ja asiakkaisiin. Nykypäivänä media ja sosiaalinen media ovat isossa roolissa mielikuvariskien näkyvyydessä ja toteu- tumisessa. Esimerkiksi organisaation strategiamuutoksissa sidosryhmien silmissä tapah- tuu jonkinlaisia mielikuvien muutoksia, jolloin strateginen muutos voi olla mielikuva- riski. Mielikuvariskit ovat vaikeasti hallittavissa, mutta joitakin uhkia voidaan hallita. (Rautanen 2011: 103—104.) Julkisen organisaation kannalta mielikuvat ovat tärkeässä osassa esimerkiksi palveluiden tuottamisessa. Rautasen (2011: 106) mukaan mielikuvat muodostuvat sitä kautta, miten 46 organisaatio hoitaa tehtävänsä ja asiakassuhteet. Yleensä ottaen huono palvelukokemus kerrotaan mielellään eteenpäin, kun taas hyvä palvelu ei herätä niin paljon huomiota. 3.2. Riskien arviointi ja analysointi Suurin riski voi olla joskus se, että ei tee asioille mitään. (Stanton & Webster 2014:10) Organisaation toimintaan kohdistuu niin ulkoisia kuin sisäisiä riskejä, jotka pitää arvi- oida. Riskien arvioinnin lähtökohtana on se, että organisaation tavoitteet ovat sisäisesti yhdenmukaisia vaikka ne kohdistuvatkin eri tasoille ja toimintoihin. Näin ollen riskien arviointi on tavoitteiden saavuttamiseen vaikuttavien uhkien määrittämistä ja analysoin- tia. Riskien arviointi määrittää pitkälti sen, miten riskit tullaan hallitsemaan. (Holopainen ym. 2006: 34.) Riskien arvioinnin tarkoituksena on lähtökohtaisesti tehdä päätöksenteosta, esimerkiksi riskin ottamisesta, helpompaa arvioinnista saatavaan tiedon pohjalta. Riskien arviointia voidaan pitää riskienhallinnan jatkuvuuden ja jatkuvan toiminnan kannalta erittäin tär- keänä osa-alueena. Silloin, kun organisaation johto, asiantuntijat ja henkilökunta ovat si- säistäneen riskien arvioinnin arkipäiväiseksi toiminnaksi, niin riskienhallinnan keskeisin tavoite on saavutettu. (Ilmonen ym. 2010: 102.) Tokkolan & Kotosen (2005: 198) mukaan riskienarvioinnissa on tärkeämpää sen yhteydessä syntyvä keskustelu ja riskitietoisuuden lisääminen, ei niinkään riskianalyysin pohjalta tehty riskilista. Riskien arvioiminen koostuu vahingon aiheuttamien kustannusten määrittelystä sekä va- hingon esiintymistiheyden arvioimisesta. Arvioinnissa riskit asetetaan suuruusjärjestyk- seen. Organisaation koko ja riskinkantokyky määrittävät pitkälle sen, millainen merkitys riskeillä on organisaatiolle. Näin ollen organisaatio itse määrittää, mikä vahinko määrite- tään suureksi ja mikä pieneksi. (Enberg 2002: 12.) Riskien suuruuteen vaikuttaa erilaisia tekijöitä, muun muassa riskien lähteet, vakavuus ja hyväksyttävyys. Lisäksi suuruuteen vaikuttavat riskien ottamisesta saadut hyödyt ja hyötyjen arvokkuus. Riskien arvioinnissa on syytä hahmottaa myös riskien yhteismitallisuus, jota voidaan kuvata keskenään ver- tailukelpoisella asteikolla. (Engblom 2003: 21.) 47 Yleisesti ottaen riskienhallinnan menetelmä etenee niin, että ensiksi tunnistetaan kaikki merkittävimmät riskit, jotka vaikeuttavat organisaatiota saavuttamaan päämäärä. Sen jäl- keen tehdään riskien arviointi, joka perustuu loogiseen menetelmään. Tavoitteena on määritellä riskien laajuus, toistumistiheys ja tapahtuman aika. Arvioinnissa voidaan käyt- tää esimerkiksi herkkyys- ja todennäköisyysanalyysejä, jotka ovat kvantitatiivisia teknii- koita. Riskejä, joita ei voida määritellä, tulee arvioida kvalitatiivisella menetelmällä. Lo- puksi riskit priorisoidaan sen mukaan, miten suurella todennäköisyydellä ne toteutuvat. Tunnistamisen, arvioinnin ja priorisoinnin jälkeen riskejä valvotaan jatkuvasti. (Claude 2011: 11—12.) On selvää, että nykypäivän tarkoituksiin ei riitä enää yksittäisten tapauksien arvioiminen. Kokonaisvaltaisen strategian kannalta on otettava huomioon myös epätodennäköiset ta- paukset, jolloin huomioidaan suuri määrä poikkeustapauksia. Määrälliset menetelmät ovat tärkeitä riskienhallinnassa, mutta laadullisia menetelmiä ja kattavaa arviointia ei kannata laiminlyödä. Vaikka määrälliset menetelmät ovat kattavia, on hyvä tiedostaa ma- temaattisten menetelmien rajoitukset. Määrälliset menetelmät kuvastavat aikaisempia ko- kemuksia ja näkemyksiä, mutta eivät ennakoi tulevaisuuden käyttäytymistä. Tämänkal- taiset olettamukset aikaisemman tiedon pohjalta, rajoittavat arvioinnin validiteettia. (Louisot & Mandel 2014: 11.) Riskien arvioinnin jälkeen riskit analysoidaan. Riskianalyysin tekeminen kuuluu niin ikään riskienhallinnan keinoihin. Engblom (2003: 20) määrittelee riskianalyysin siten, että siinä riski tunnistetaan ja arvioidaan sen suuruus. Riskianalyysi voidaan jakaa kah- teen eri osaan, altistumis- ja vaikutusosaan. Altistumisvaiheessa perehdytään siihen, mi- ten organisaatio voi joutua muutosten kohteeksi. Vaikutusosa keskittyy puolestaan seu- rauksiin, kun vaarat ovat toteutuneet käytännössä. Riskianalyysissä riskit arvioidaan eri- laisten näkökulmien kautta. Raudasoja & Johanssonin (2009: 150) mukaan riskianalyysi sisältää riskien syyt, riskin pahimmat seuraukset, riskin suuruuden, riskin todennäköisyy- den, riskin mahdollisen toteutumisajan ja riskin vaikutuksen organisaatioon. 48 Riskien analysoinnissa käytettävät menetelmät vaihtelevat siitä syystä, että monia riskejä ei voida ilmaista määrällisesti. Joka tapauksessa analysoinnissa otetaan huomioon riskin- merkittävyyden arviointi, riskin toteutumisen todennäköisyyden arviointi ja riskin hallit- semiskeinojen arviointi. Riskien hallitsemiskeinoja on useita ja pääsääntöisesti riskejä hallitaan niiden luonteen mukaisesti. Ihanteeellisessa tilanteessa riski voidaan kokonaan poistaa. (Holopainen ym. 2006: 50—52.) 3.2.1. Riskimatriisi Riskien arvioinnissa voidaan käyttää todennäköisyys-vaikutus matriisia (probability-im- pact matrice), jonka tarkoituksena on antaa laadullinen arvio riskeistä. P-I matriisi on nimenomaan laadullinen menetelmä riskien arviointiin. Laadullisessa menetelmässä käy- tetään riskeistä kuvailevia adjektiiveja tai arvoasteikkoja, kun havainnollistetaan tapah- tuman todennäköisyys ja vaikutus. Matriisi on työväline priorisoimaan erilaisia riskejä silloin, kun useammat riskitekijät vaikuttavat organisaation projekteihin, hankkeisiin tai yleensäkin suorituskykyyn. Riskitekijät saattavat vaihdella paljon, riippuen täysin orga- nisaation koosta ja kokonaisuuden monimutkaisuudesta. (Andersen ym. 2014: 78.) Riskimatriisin avulla saadaan tunnistetuista ja arvioiduista riskeistä havainnollistettu ku- vaus. Siinä riskit arvioidaan todennäköisyyden ja vaikutuksen perusteella ja määritellään ne kuvioon, josta riskit ovat helppo havainnollistaa. Matriisin avulla organisaatio voi ku- vata oman riskiaseman ja siten priorisoida riskejä. Jos havaitaan, että riskillä on korkea todennäköisyys ja/tai vaikutus, riskin hallintakeinoja tulee arvioida ja kartoittaa uudel- leen. Tehostamalla hallintakeinoja riski saadaan siirrettyä hyväksyttävälle tasolle. (Blumme ym. 2005: 81—82.) P-I matriisissa yksittäisistä riskeistä tehdään todennäköisyys ja vaikutus arviointi ja ne asetetaan tärkeysjärjestykseen riskien käsittelyä silmällä pitäen. P-I matriisi auttaa siten määrittämään tärkeimmät riskit, jotka vaativat yksityiskohtaisia toimintatapoja. Riski, jolla on suuri todennäköisyys tapahtua ja suuri vaikutus organisaation taloudelliselle tu- lokselle, tarvitsee suunnitelman riskienhallitsemiseksi. P-I matriisissa on luokiteltu sanal- lisesti, esimerkiksi viisi eri luokkaa, todennäköisyydelle ja vaikutukselle (very low, low, 49 medium, high, very high). P-I matriisin ongelmana on luokitteluun sisältyvä harkinnan- varaisuus. Matriisin asteikko ja riskiluokitus perustuvat tekijän havaintoihin, ei niinkään objektiiviseen arviointiin. (Andersen ym. 2014: 78—79.) Tunnistetut riskit määritellään matriisissa näihin viiteen eri todennäköisyyden ja vaiku- tuksen luokkiin. Tämä vaihe on tärkein vaihe ja se määrittelee pitkälti sen, miten laadukas on analyysin tulos. Lopputuloksessa on huomioitava, että siihen on vaikuttanut analyysin tekijän harkintakyky. P-I matriisi on helppo luoda ja käyttää. Se perustuu kuitenkin aino- astaan riskienseulomiseen käytettäväksi työvälineeksi niin kutsutuille puhtaille riskeille, eli tunnistetuille riskeille. Matriisi ei ota huomioon potentiaalista epävarmuutta, jota or- ganisaatio kohtaa. Matriisi ei myöskään huomioi riskien potentiaalisia hyviä vaikutuksia. (Andersen ym. 2014: 78—79.) Riskimatriisin lähtökohtana on luokitella organisaation erityispiirteisiin vastaavat pääris- kiluokat ja niille erillisiä riskikokonaisuuksia. Riskejä voidaan kartoittaa mahdollisim- man monta tehokkuuden rajoissa niin, että rekisteri on mahdollisimman selkeä ja tarkoi- tuksenmukainen. Riskimatriisin haasteena on ollut vaikutusten mittaaminen. Siitä on puuttunut logiikka ja vertailukelpoisuus. Ratkaisuna vaikutuksien mittaamiselle on ollut riskien vaikutuksille annettava euromääräinen arvio. Näin ollen riskejä voidaan verrata toisiinsa rahallisen arvon kautta. (Ilmonen ym. 2010: 95—97.) 3.3. Riskien hallintakeinot Tässä alaluvussa tarkastellaan riskien hallintakeinoja, jotka ovat pienentäminen, välttä- minen ja poistaminen, siirtäminen sekä hyväksyminen. 50 Kuvio 7. Riskien hallintakeinot (Ilmonen ym. 2010: 124) Ajattelutapa siitä, että riskianalyysin tekemisellä ja tarvittavien vakuutuksien ottamisella saadaan riskienhallinta kuntoon, ei ole riittävä. Riskien arviointi, kontrollointi ja rahoitus ovat keskeiset elementit riskienhallinnassa. Klassinen riskienhallinnan määritelmä (Wil- liams & Heins 1989) jakaa riskienhallinnan kahteen osa-alueeseen, riskien kontrollointiin ja riskien rahoittamiseen. Kontrollivälineitä ovat riskin välttäminen, vahingontorjunta, riskin jakaminen, riskin yhdistäminen ja riskin siirtäminen. Riskin kontrolloinnissa huo- mio kohdistuu riskien syihin. Riskien rahoittamisessa keskitytään riskien seurausvaiku- tuksiin. (Suominen 2000: 76—77.) Pääasiallisesti riskienhallinnassa yritetään joko siir- tää, minimoida tai jakaa riskit, kun nähdään, että riskejä on mahdoton kokonaan elimi- noida (Claude 2011: 10). Kirjallisuudessa määritellään riskienhallinnan vaiheita monella eri tapaa. Raudasoja & Johanssonin (2009: 150—151) mukaan siihen kuuluvat kolme eri vaihetta, jotka ovat ris- kien tunnistaminen, riskianalyysi ja riskienhallintasuunnitelman tekeminen. Lisäksi or- ganisaation tulee pohtia, minkälaisilla toimenpiteillä riskiä mahdollisesti hallitaan. Ris- kien tunnistamisen ja arvioinnin jälkeen tehdään päätökset mahdollisista hallintakei- noista. Hallintakeinoina ovat siis riskin pienentäminen, välttäminen, siirtäminen, jakami- nen ja omalla vastuulla pitäminen. (Engblom 2003:21; Blumme ym. 2005: 82: Raudasoja & Johansson 2009: 150—151) 51 Yksi hallintakeinoista on riskin pienentäminen ja sitä voidaan yrittää esimerkiksi tehos- tamalla valvonta- ja suojaustoimenpiteitä. Riskien pienentämisessä yritetään vaikuttaa riskin todennäköisyyksiin ja seurauksiin. Riskien hallintakeinona ovat niin ikään riskin välttäminen kuin poistaminenkin. Riskin välttäminen tarkoittaa riskin kokonaan poista- mista organisaation riskikentältä. Hallintakeinoihin kuuluu myös riskin siirtäminen, joka tapahtuu yleensä vakuutuksilla. Riskejä voidaan siirtää myös sopimuksella toiselle osa- puolelle, kokonaan tai osittain. Riskejä voidaan myös yrittää jakaa, jos organisaatiolla on kumppaneita kenen kanssa siitä voidaan sopia. Yhtenä vaihtoehtona organisaatiolla on myös riskin pitäminen, jolloin riski on tunnistettu ja pohtimisen jälkeen on todettu sen olevan järkevää. (Raudasoja & Johansson 2009: 150—151; Engblom 2003:21.) Organisaation on hyvä luoda strategia riskienhallitsemista varten. Strategian tulee olla sellainen, että mahdolliset menetykset ja suojauskustannukset ovat tasapainossa. Tavoit- teena on ensiksi suorittaa ennaltaehkäisevät toimenpiteet riskien poistamisen ja pienentä- misen muodossa, jonka jälkeen voidaan edetä riskien rahoitukseen. (Enberg 2002: 13.) Kunnan näkökulmasta strategia riskienhallitsemiseksi tarkoittaa sitä, että ensinäkin stra- tegia on tietoisesti valittu ja se riippuu myös kunnan koosta. Useimmiten suuret kunnat, joilla on vahva talous pystyvät pitämään riskejä itsellään, kun taas pienet kunnat käyttävät paljon enemmän vakuutuksia. Strategia voi näyttäytyä siirtopainotteisena, jossa käytetään vakuutuksia tai puolestaan riskitietoisena, jossa otetaan riskejä. Voidaan myös käyttää niin sanottua tuuristrategiaa, jossa ainoastaan pakolliset vakuutukset ovat voimassa. (Raudasoja & Johansson 2009: 151) Lähtökohtaisesti riskien hallitsemisessa käytetään olemassa olevia menettelytapoja, joita voidaan tehostaa tilanteesta riippuen. Hallintakeinojen tehostamisesta voidaan päättää riskienkartoitusten yhteydessä tai myöhemmin, kun erilaiset keinot ja menettelyt on mää- ritelty, dokumentoitu ja analysoitu. (Blumme ym. 2005: 82.) Riskienhallinnan perusajatus on, että kaikkia riskejä ei ole järkevää hallita. Organisaation on enemmänkin pyrittävä etsimään tasapaino, jossa riskienhallitsemiskustannukset ovat järkevässä suhteessa riskien toteutumisesta aiheuttamaan vahinkoon. Yleensä tilanne on 52 kuitenkin se, että jos riskienhallintaan ei panosteta resursseja, riskien toteutumisesta ai- heutuvat kustannukset ovat tällöin suurempia. Eli riskitap