ERM ja turvallisuus – järkiliitto vai valtataistelua? osa 2

Kirjoituksella ERM ja turvallisuus – yksin vai yhdessä? aloitimme kahden kirjoituksen sarjan yritysturvallisuuden ja kokonaisvaltaisen riskienhallinnan suhteen pohdinnasta. Tässä toisessa osassa Postin riskienhallinta- ja turvallisuusjohtaja Markku Rajamäki jatkaa aiheen käsittelyä Riskiblogin vierailijakirjoittajana.


Enterprise Risk Management ja Corporate Security Management ovat kaikille riskienhallinta-asioiden parissa työskenteleville tuttuja termejä, mutta entäpä Enterprise Security Risk Management (ESRM), jonka yritysturvallisuusalan globaali järjestö ASIS International lanseerasi vuonna 2008? Tuon jälkeen termin käyttö on laajentunut ja aiheesta on kirjoitettu kirjojakin.

Meille kaikille alaan vähänkin perehtyneille on varmaan selvää, että yritysturvallisuuden ratkaisut perustuvat – tai ainakin niiden olisi aina pitänyt perustua – arvioituihin riskeihin. Miksi sitten painotus sanalle riski? Miksi nyt?

ASIS Internationalin hallitus hyväksyi vuonna 2016 ESRM:n organisaation strategiseksi hankkeeksi “to make ASIS members more effective security professionals and more valuable members of their organizations by enabling them to better identify and manage the various aspects of security risks they face… [leading to a] empowered membership, safer enterprises, a more strategic approach to risk, and a more cost-effective security function.”  (lähde)

Niinpä, maailma monimutkaistuu kaiken aikaa ja yrityselämää koskettavat moninaiset muutokset tuntuvat aina vain nopeutuvan. Pysyäkseen ajan tasalla niin yritysturvallisuuden kuin laajemminkin riskienhallinnan ammattilaisten on pidettävä tuntosarvensa ylhäällä ja analysoitava aiemmin tunnistettuja ja uusia riskejä kaiken aikaa. Lisäksi usein melko rajalliset voimavarat on kohdennettava mahdollisimman optimaalisesti kokonaiskustannukset ja saavutettavat hyödyt huomioiden.

Jos kerran ESRM on ERM:n komponentti, mitä tämä tarkoittaa yrityksen sisäisen yhteistyön kannalta – ovatko riskienhallintapäällikön ja turvallisuuspäällikön vastuut päällekkäiset tai hierarkkisessa suhteessa toisiinsa?

Yritykset ovat tietysti erilaisia, mutta yleisesti riskienhallintapäällikköä kiinnostaa riskienhallinnan kokonaisuus. Se tarkoittaa,  että kaikenlaiset riskit kaikessa toiminnassa on katettu, että työkalut ja tuki on tarpeisiin nähden riittävää. Hyvän riskienhallintatyön lisätuotoksena syntyy myös laadukas raportti, joka mahdollistaa ylimmälle johdolle hyvän käsityksen yrityksen tilanteesta ja sen kautta laadukkaamman päätöksenteon.  Riskienhallintapäällikölle turvallisuuspäällikkö on yksi tärkeistä sisäisistä asiakkaista, aivan samoin kuin vaikkapa talouspäällikkö, rahoituspäällikkö tai työturvallisuuspäällikkö, jotka kaikki vastaavat jostain sellaisesta prosessista, jossa riskien hallinta on tärkeää ja elimellinen osa prosessia.

Turvallisuuspäällikkö taas haluaa varmistaa, että yritysturvallisuusriskit, jotka tyypillisesti kattavat varsin suuren osan operatiivisten riskien ja vahinkoriskien alueesta, on hallittu kattavasti ja laadukkaasti. Hän haluaa myös tietää, että niiden hallintaan kiinnitetyt resurssit on kohdennettu ja mitoitettu oikein. Turvallisuuspäällikön tuskaa helpottaa, jos hän kykenee käyttämään työssään samaa metodologiaa, työkaluja ja prosesseja, joita riskienhallintaan yleisemminkin yrityksessä käytetään. Riskienhallinnan ja turvallisuuden suhde on siinä mielessä hierarkkinen, että ERM tarjoaa turvallisuuspäällikölle väylän ylemmäs organisaatiossa nostaa keskeisimpiä turvallisuusriskejä laajempaan ja muiden riskien kanssa vertailukelpoiseen tarkasteluun. Samalla voidaan kasvattaa tietoisuutta niistä – kunhan riskien arviointi on riittävän monipuolista. Jos riskin vakavuutta tarkastellaan vain euroja vasten, turvallisuusriskit eivät aina nouse kovin ylös. Jos fokukseen nostetaan lisäksi vaatimustenmukaisuus, maine ja luotettavuus, tilanne voi olla jo toinen. Näin ollen riskienhallinnan ja turvallisuuden yhteistyö on tärkeää riskien riittävän arvioinnin ja monipuolisen riskikuvan muodostamisessa.

Molemmat, riskienhallintapäällikkö ja turvallisuuspäällikkö lukeutuvat tyypillisessä organisaatiossa toiseen puolustuslinjaan, jos toiminta on organisoitu kolmen puolustuslinjan mallin mukaisesti. Suuri osa riskienhallinta- ja turvallisuustyöstä tapahtuu ensimmäisessä puolustuslinjassa – siellä työskentelevien riskienhallinta-ammattilaisten päätyö on liiketoiminnan pyörittäminen. Jotta yhteistyö johtaisi parhaaseen lopputulokseen, riskienhallinta- ja turvallisuuspäällikön on pyrittävä ymmärtämään liiketoimintaa yhä paremmin. Eikö näiden kahden työn tuottama lisäarvo ole juuri sitä, että heidän tuellaan liiketoiminta ymmärtää, millaisia riskejä tiettyyn toimintaan tai päätökseen liittyy? Laadukas riskinhallinnallinen tuki ei ole mahdollista, ellei ymmärrä liiketoiminnan lainalaisuuksia.

Paras lopputulos riskienhallinnan ja turvallisuuden kesken saavutetaan yhdessä. Myös liiketoiminnassa työskentelevien on hyvä muistaa, ettei ole liiketoimintaa ilman riskejä, joten miksi emme pyrkisi hallitsemaan niitä mahdollisimman hyvin – yhdessä!

2 kommenttia artikkeliin ”ERM ja turvallisuus – järkiliitto vai valtataistelua? osa 2

  1. Luin artikkelit ERM ja turvallisuus – osat 1 ja 2. Artikkeleissa oli erittäin hyvin valaistu riskienhallinnan ja turvallisuuden suhdetta. Olen havainnoinut ja pohtinutkin tätä aihetta itsekin monta vuotta, mutta ”yhtälö” on jäänyt ratkaisematta. Oli erittäin ilahduttavaa huomata, että on olemassa muitakin, jotka ovat tätä aihetta pohtineet.

    Vastaa

  2. Kiva, että kirjoituksesta on ollut apua ajatustyöhön! Blogin yksi kantavista ajatuksista on nimenomaan suhteuttaa eri riskienhallinnan osa-alueita (ja siihen liittyviä asioita) toisiinsa. Yleensähän se on niin, että jos jotain asiaa on pohtinut itse, sitä ovat pohtineet muutkin 🙂

    Vastaa

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *