Turvallisuusjohtajan blogi: Kuinka riskienhallinnan näytelmästä tehdään totta?

Kun Kiwa Inspectan tuotepäällikköJanne Heleniusalusti kysymyksen siitä, kuinka riskienhallinnan näytelmästä tehdään tosielämässä totta, ei turvallisuusjohtamisen asiantuntijaryhmä jäänyt asiaa hiljaisena pohtimaan. Keskustelu puhkesi käyntiin heti osoittaen sen, että tällä ryhmällä on vahva näkemys siitä, kuinka riskienhallinta tulisi integroida saumattomasti yrityksen päivittäiseen toimintaan.

Helenin turvallisuusjohtajaMats Fagerströmkiittelee ammattimaisesti toimivaa yritysjohtoa siitä, että riskienhallinnan perään kysellään. Hän peräänkuuluttaa sitä, että myös riskienhallinnan tulee olla sidoksissa yrityksen strategiaan ja valitettavasti vielä tänä päivänä monessa yrityksessä sidos jää kovin löyhäksi. Myös Helenius on huomannut arviointikäynneillä, että riskienhallintakäytäntöjä on yrityksissä käytössä hyvin kirjavasti, vaikka monesti turvallisuuden käytänteet muodostuvat juuri riskien hallintakeinoista.

Heleniuksen ja Fagerströmin lisäksi saman pöydän äärellä Elinkeinoelämän keskusliiton neuvotteluhuoneessa istuivat päivän isäntä EK:n yritysturvallisuusasiantuntijaMika Susi, Wärtsilän turvallisuusjohtaja Rauno Hammarberg,Helsingin kaupungin turvallisuus- ja valmiusyksikön päällikkö Matti Koskinen,Onnettomuustutkintakeskuksen johtaja Veli-Pekka Nurmi,Suomen Pankin neuvonantaja Erkko Badermannsekä Kiwa Inspectalta tuotepäällikköJyrki Lahnalahtija toimitusjohtajaMikko Törmänen.

Kuka on riskienhallinnan asiakas?

Asiantuntijaryhmä nosti esille relevantin kysymyksen siitä, kuka on oikeastaan riskienhallinnan asiakas. Veli-Pekka Nurmi muistutti, että riskienhallinta on kaikkien muiden yrityksen osa-alueiden kanssa samalla tavalla osa liiketoimintaa, joka asettaa myös sen olemassaololle ehdon, että sen pitää olla kannattavaa, perusteltua ja hyödyllistä. Valitettavan usein riskienhallinta koetaan ylimääräisenä kulueränä ja pakollisena lisätyönä.

Pelottavan usein riskien arviointiin tehty turvallisuussuunnitelma koetaan vain toiminnan tai toteuttamisen ehtona, jolloin leikkaa-liimaa-menetelmällä tehdyn aikaansaannoksen katsotaan täyttävän tehtävänanto. Lopputulos voi olla se, että tammikuisen harjoituksen turvallisuussuunnitelmassa merkittävin riski on maastopalo. Kenelle turvallisuussuunnitelma ja riskienhallinta todellisuudessa tehdään? Onko niin, että tehdään vain mekaanisesti välttämätön ja järjenkäyttö unohtuu? Riskienhallinta ei saa olla suorittamista tai läpipääsyä – pakkopullaa, jolle ei ole varattu aikaa, asiantuntijaryhmä alleviivaa. ”Riskiarvio tehdään oman suoriutumisen vuoksi eikä siksi, että herrat pakottavat”, muistutti Nurmi.

Veli-Pekka Nurmi muistuttaa, että riskiarvio tehdään aina oman suoriutumisen – ei vaatimusten vuoksi. Takana Kiwa Inspectan Janne Helenius.

Asiantuntijaryhmä esittää huolensa siitä, että turvallisuus halutaan valitettavan usein ulkoistaa. Nurmi nosti esille ajankohtaisen esimerkin tietosuojasäädösten muuttumisesta, joka sai aikaan kyselyitä siitä, mistä voisi ostaa tietosuojapalvelun, jolla asia saatettaisiin kuntoon. ”Konsultti voi kyllä auttaa, mutta kaivo on opetettava kaivamaan”, muistuttaa Nurmi viitaten esimerkkiin, jossa janoista kylää ei auteta vesipullolla vaan opettamalla taito kaivon kaivamiseen.

Myös se, että riskejä hyväksyvät aivan väärät tahot, oli asiantuntijaryhmän huolenaiheena. Erkko Badermann nosti esiin esimerkin, jossa toimistopäällikkö hyväksyy riskin, jolla voi olla vaikutus koko yrityksen toimintaan ja jatkuvuuteen. Onko toimistopäällikkö todella oikea henkilö hyväksymään sellaisen riskin? Mahdollisesti hän samalla jättää raportoimatta eteenpäin koko riskin olemassaolosta. Silloin päätöksenteon taso on väärä. Badermann myös muistuttaa tavasta, jolla riskit ikään kuin myydään yrityksen ylimmälle johdolle. Riskien ja uhkien sijaan tulee esitellä toimenpiteitä ja toimintatapoja, jolloin lopputulos on yleensä parempi.

Viestintätaitoja ja taitavaa fasilitointia

Kuinka riskienhallinta sitten viedään sisälle tekemiseen, suunnitteluun ja yrityksen arkipäivän toimintaan? Rauno Hammarberg toivoo, että yrityksissä ei lopulta tarvittaisi erillistä turvallisuuden fasilitaattoria, joka pöllähtää paikalle kertomaan kuinka turvallisuutta tehdään. Riskienhallinta ja turvallisuus ovat jokaisen tehtävä, sisällä kaikessa tekemisessä. Myös Nurmi pitää turhana erilaisia temppuja ja ismejä. ”Turvallisuuden johtaminen on välttämätöntä, mutta erillinen turvallisuusjohtaminen turhaa”, hän kiteyttää. Vaikka koko asiantuntijaryhmä toivoo, että omalla toiminnallaan he tekisivät itsensä työttömiksi, jokainen myöntää, että ammattilaisia ja riskienhallintamenetelmiä kuitenkin tarvitaan.

”TURVALLISUUDEN JOHTAMINEN
ON VÄLTTÄMÄTÖNTÄ, MUTTA ERILLINEN
TURVALLISUUSJOHTAMINEN TURHAA.”

Väite, että riskienhallinnan terminologia ja käsitteet ovat luotaantyöntävää saa asiantuntijaryhmän nyökyttelemään harmissaan. Vieras ja vaikea terminologia etäännyttää riskienhallinnan arkipäivästä ja normaalista tekemisestä. Vaikka riskienhallinnalla ja turvallisuudella tarkoitetaan lähtökohtaisesti hyvää eikä kukaan voi olla sitoutumatta sen tarpeeseen, sen juurruttaminen ja integrointi vaatii riskienhallinnan myymisen erillisenä pakettina. ”Riskienhallintaa on kuitenkin tehty maailman sivu”, muistuttaa Matti Koskinen. Badermann vertaa turvallisuusasiantuntijaa sparraajaan, jonka avulla voidaan kehittää yhä parempia käytäntöjä ja siten juurruttaa riskienhallinta normaaliin tekemiseen. ”Auttaa voi, mutta puolesta ei voi tehdä”, nyökkäävät Nurmi ja Fagerström.

Myös aikaisemmissa asiantuntijaryhmän keskusteluissa on todettu, että usein ongelma ei ole yrityksen ylimmän johdon sitoutumisessa riskienhallintaan. Ongelmia voi sen sijaan tuottaa keskijohto, jossa riskienhallinta ja raportointi voidaan kokea työtä hankaloittavaksi asiaksi. ”Rakenteet pitää olla kunnossa niin, että turvallisuus toteutuu ja raportoidaan”, summasi Matti Koskinen ja heitti ilmaan ajatuksen, että turvallisuus pitää myydä keskijohdolle muulla nimellä koska käsitteiden vaikeus tekee osaltaan asiasta hankalan.

Riskienhallinta edellyttää riittävää substanssin ymmärrystä

Asiantuntijaryhmän näkemys on, että valtaosa yrityksistä tekee riskienhallintaa tunnistamatta sitä riskienhallinnaksi. ”Kun päällikkö marssii kysymään sorvimieheltä kehityssuunnitelmansa kanssa siitä, mikä tässä hommassa voi mennä poskelleen, niin sehän on nimenomaan riskienhallintaa”, muistuttaa Mika Susi.

EK:n yritysturvallisuus- asiantuntija Mika Susi on huolissaan siitä, että onnettomuuksiin suhtaudutaan usein rikosoikeuden kautta ja syyllisiä hakien.

Kun keskustelu kääntyy relevanttien riskien tunnistamiseen, Mika Susi muistuttaa turvallisuuden asiantuntijoiden kyseenalaisesta erinomaisuudesta keksiä uhkia. Pitää kuitenkin osata tunnistaa todelliset uhkat, hän jatkaa. Jyrki Lahnalahti haastoi keskustelijoita pohtimalla ääneen sitä, saako riskienhallintaa tehdä, jos ei ole pätevyyttä? Veli-Pekka Nurmi käänsi salamana asian toisinpäin ja kysymällä kuinka sitten käy, kun paikalle marssii riskienhallintaviisas ymmärtämättä mitä oikeasti ollaan tekemässä. ”Riskienhallinnan ammattilaisen pitää ymmärtää substanssista riittävästi”, Nurmi painottaa. ”Ettei tule kumileimasimeksi”, Mats Fagerström jatkaa Nurmen ajatusta. ”Jos liiketoiminta ei ymmärrä riskienhallinnan syytä ja tarvetta, käy niin, että liiketoiminta ihmettelee kun riskienhallinta ei tee töitään. Samaan aikaan riskienhallinnan ammattilainen puolestaan ihmettelee sitä, kun liiketoiminta ei tee hommiaan”, Helenius naurahtaa ja yhtyy Badermannin ajatukseen siitä, että taitava turvallisuuden fasilitaattori osaa kaivaa substanssista riskit esille.

Erkko Badermann toivoo, että yritykset käyttäisivät turvallisuuden eri viitekehyksiä, jolloin turvallisuus saadaan rakenteisiin. ”Silloin ei tarvitse tehdä jatkuvaa riskienhallintaa vaan tehdään sitä silloin kun normaalista poiketaan”, hän opastaa. Myös Rauno Hammarberg muistuttaa missä turvallisuutta oikeasti tehdään. Vuosittainen raportti johdolle ei vaikuta turvallisuuteen, mutta ruohojuuressa tehdyillä muutoksilla on suuria vaikutuksia.

Pian keskustelu kääntyy yhä useammassa yrityksessä kerättäviin vaaratilanneilmoituksiin ja turvallisuushavaintoihin. Veli-Pekka Nurmi kritisoi yrityksen tahtotilaa kerätä ilmoituksia ahneesti lukumäärän takia. Lukumäärä ei kuitenkaan tee autuaaksi. Nurmi muistuttaa että osa turvallisuushavainnoista on sellaisia, että niistä ei voi seurata vaaratilannetta. Osasta ilmoituksista voi seurata onnettomuus ja osata jopa suuronnettomuus. Nurmi tarjoaa vaihtoehdoksi vaaratilanteiden luokittelua, sillä ne eivät ole samanarvoisia. Mikko Törmänen kuitenkin muistuttaa käytännön ongelmasta, joka aiheutuu siitä, että luokittelu tulee osata tehdä oikein ja vaatii ehkä jossain tapauksessa kristallipallon käyttöä. Rauno Hammarberg kuitenkin lohduttaa lukumäärän kerääjiä sillä, että jokainen turvallisuushavainto, joka johtaa toimintaan, on tarpeellinen.

Lisätietoja yritysturvallisuuden arviointimallista antavat:

Janne Helenius, yritysturvallisuuden tuotepäällikkö, Inspecta Sertifiointi Oy
+358 40 643 2864, janne.helenius(a)inspecta.com

Jyrki Lahnalahti, tietoturvapalveluiden tuotepäällikkö, Inspecta Sertifiointi Oy
+358 400 571 892, jyrki.lahnalahti(a)inspecta.com

Mikko Törmänen, liiketoimintajohtaja, Inspecta Sertifiointi Oy
+358 50 381 4829, mikko.s.tormanen(a)inspecta.com

Lisätietoa yritysturvallisuuden johtamisen arvioinnista löytyy Kiwa Inspectan nettisivuilta

Yritysturvallisuuden tila Suomessa: tutkimustulosten ja Kiwa Inspectan yritysturvallisuusjohtamisen viitekehyksen julkaisu maksuttomassa Sertifioinnin tietopäivä -tapahtumassa Helsingin Paasitornissa 12.9.2018.