Miten uusien standardien sanasto kuvaa eri toimintoja?
Sisäinen tarkastus on luotettavuutta ja varmuutta (assurance) tuottava funktio – joka jo määritelmänä tarkoittaa riskienhallintaa. Sisäisen tarkastuksen uusissa standardeissa tämä tulee esille jo sanastossa, joka yhdistää myös sisäisen valvonnan riskienhallintaan.
Sisäinen valvonta ja riski ovat molemmat sikäli mielenkiintoisia sanoja, että niillä ei ole olemassa yhtä juridista, tieteellistä tai yleisesti hyväksyttyä määritelmää. Näin on siitä huolimatta, että molempiin viitataan esimerkiksi lainsäädännössä, ja molempiin liittyy lakisääteisiä vastuita.
Sisäisen tarkastuksen uusissa standardeissa valvonnan (control) aiemmasta määritelmästä on säilytetty vain ensimmäinen lause. “Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved”. Valvonnan tarkoitus on siis hallita riskejä ja lisätä luotettavuutta – aivan kuten sisäisen tarkastuksen – riskienhallinnan ollessa molempien ytimessä.
Kuinka riski määritellään?
Riskin määritelmä, ”The positive or negative effect of uncertainty on objectives”, on uusissa standardeissa tuotu selvästi lähemmäksi nykytieteen suosimaa ajatusta, ja vastaa myös suositun ISO 31 000 standardin määritelmää. Määritelmässä oleellista on, että riski on nyt epävarmuutta, joka on olemassa riippumatta siitä onko se tunnistettu, määritelty, luokiteltu tai mitattu. Näinhän se kuuluu ollakin, koska kaikkia riskejä ei yleensä pystytä tunnistamaan. Riskit voivat esimerkiksi vaikuttaa toinen toisiinsa yllättävillä tavoilla ja niitä voi jäädä riskianalyysejä tekevien osastojen väliin piiloon.
Riskien tunnistamiseen ja arviointiin vaikuttavat myös arvioijien mielipiteet, tavoitteet ja ennakkoasenteet. Näin asioita voi jäädä vahingossa tai tarkoituksella huomioimatta tai ne voidaan arvottaa väärin. Esimerkiksi positiiviset mahdollisuudet voivat usein tuntua uhkia merkittävimmiltä, jos molempia käsitellään samaan aikaan. Uusien standardien määritelmä kuitenkin alleviivaa myös positiivisen mahdollisuuden, mikä on merkittävä muutos, vaikka ei vanhakaan sanamuoto sitä poissulkenut.
Tulkinnat ja kieli
On kuitenkin muistettava, että ihminen tulkitsee sanoja äidinkielen mukaan, ei sanaston. Näin yksittäisten sanojen merkitys ei välttämättä ole vaikkapa riskianalyysiin osallistuvan mielessä sama, kuin miten ne ammattilaisen mielessä ja tieteessä tulkitaan. Esimerkiksi suomenkielinen ”valvonta” kuulostaa useimpiin korviin varmasti enemmän sanalta ”monitor” kuin ”control”, jotka nekin ymmärretään suppeammin kuin pitäisi. Sana ”riski” sisältää kansankielisessä vahvan negatiivisen konnotaation, eikä siihen moni yhdistä positiivista näkökulmaa, vaikka uusi määritelmä niin tekee. Näin tekevät myös monet ERM-työkalut, vaikka turvallisuusasioissa se on harvinaisempaa.
Kielellisistä syistä suhtaudun itsekin varauksella siihen, että esimerkiksi vuosikertomusten riskiteksteissä ja kuvauksissa epävarmuus pyritään kääntämään liian voimakkaasti vahvuudeksi ja mahdollisuudeksi. Tietenkin pyrimme riskienhallinnalla parantamaan yrityksen toimintaa – yritystoiminnassa riskienotolla pyritään ylipäänsä saamaan voittoja – mutta riskin maalaaminen positiiviseksi asiaksi tuntuu usein enemmän markkinoinnilta kuin viestinnältä.
Kolme toimintoa yhdessä
Niin tai näin, sanasto maalaa hyvin yhteen kolme näennäisesti erillistä toimintoa; itsenäisen, objektiivisen ja riskilähtöisen sisäisen tarkastuksen, sisäisen valvonnan ja näiden ytimessä olevan riskienhallinnan. Epävarmuuden (eli riskien) vähentäminen on näiden kaikkien tavoite. Epävarmuuden ilmapiirin korostuessa mm. geopoliittisten myrskyjen, ilmastomuutoksen ja cyber-riskien kautta riskienhallinta on hyvä asia.
Sisäiset tarkastajat ovat sekä ammattitaidollisesti että organisaatiollisesti erinomaisessa asemassa pystyäkseen tunnistamaan ja viestimään organisaatiossa niin perinteisiä kuin uusia esiin nousevia riskejä – ja osaltaan tukemaan sisäistä valvontaa niin yksiköiden sisällä kuin niiden monissa rajapinnoissakin.
Pasi Anias (DI, CIA) on tehnyt pitkän uran Nokian Renkaat Oyj:llä EHSQ-johtamisen ja sisäisen tarkastuksen alueilla. Kokonaisvaltainen ja osallistava riskienhallinta on aina ollut Aniakselle erityinen kiinnostuksen kohde. Työnsä ohella Anias on julkaissut useita työturvallisuuteen liittyviä julkaisuja, suorittanut CIA-tutkinnon 2010 ja jatkanut opintojaan nykyisellä Tampereen Yliopistolla erityisesti riskienhallintaan liittyen, aloittaen väitöskirjatutkimuksensa tänä vuonna.
Avaa koko näytössä