Kirjoituksissamme on tähän asti korostunut ajatus riskienhallinnan määrämuotoisuudesta. Olemme lähestyneet riskienhallinnan teemaa enimmäkseen korporaationäkökulmasta, jossa tehokas riskienhallinta on tiedostettua ja prosessimuotoista – eli sitä tehdään tietyn määritetyn raamin mukaan ja ohjataan vuosikellotyyppisellä ratkaisulla. Lähestymistapa on luonnollinen isommille organisaatioille, joissa oikeastaan kaikki tekeminen on ohjattu toimimaan tietyissä raameissa, jotta joukot saadaan tekemään yhdenmukaista ja keskenään vertailukelpoista työtä raportoinnin syötteeksi. Tämä postaus esittelee kuitenkin hieman toisenlaisen näkökulman riskienhallinnan tekemiseen ja integroitumiseen liiketoimintaan, nimittäin luupin alla on nyt riskienhallinta pk-yrityksessä.
Totuttua suuren organisaation näkökulmaa haastaaksemme kutsuimme aamukahville vuoden 2018 parhaaksi työpaikaksikin valitun Integratan toimitusjohtajan ja perustajaosakkaan Riku Heinosen. Integratan liiketoiminta-ajatus on tuottaa humaania HR-alan prosessimuotoilua kokonaispalveluna asiakkaiden tarpeisiin. Juttelimme Rikun kanssa siitä miten riskienhallinta on näkynyt heidän tekemisessään yrityksen 10 vuoden historian aikana. Yritys on tässä ajassa kasvanut kolmen hengen start-upista lähes 60 henkeä työllistäväksi, kasvuhakuiseksi pk-yritykseksi.
Haastattelussa kävi heti ilmi, että pienessä yrityksessä ei ole määrämuotoista riskienhallintaa tai tiukkaa määritelmää sille, mitä riskienhallinta on. Integratan maailmassa riskienhallintaa ei ole kategorisoitu ja tiivistetty omaksi prosessikseen, vaan se näyttäytyy orgaanisena osana yrityksen tekemistä ja kulttuuria. Vaikka määrämuotoista prosessia ei ole, kaikessa tekemisessä – ja erityisesti strategiaa käsiteltäessä – käsitellään kuitenkin myös riskinäkökulmaa. Kasvuyritykselle tyypillisesti keskustelussa korostetaan enemmänkin mahdollisuuksia ja niiden hyödyntämistä. Mahdollisuuksien korostaminen olikin mielestämme virkistävää, sillä todella useinhan riskienhallinnassa keskitytään siihen, mikä voi mennä pieleen, vaikka kokonaisvaltaisen riskienhallinan määritelmään mahdollisuudet kuuluvatkin.
Integratan tarina heijastelee mielestämme hyvin yrityksen riskikuvan muutosta elinkaaren eri vaiheissa. Riku erotteleekin riskien mietinnän jakautuneen perustamisvaiheeseen, varovaisen kasvun vaiheeseen ja liiketoiminnan vakiintumiseen.
Yrityksen perustamisvaiheessa riskejä mietittiin lähinnä itse yrittäjyyteen liittyen: mitä yrittäjyyteen liittyvät riskit merkitsisivät toteutuessaan omalle uralle tai koko muulle elämälle.
Kun liiketoiminta lähti rullaamaan varovaisella kasvulla, tärkeimmät riskit olivat kahdentyyppisiä. Ensimmäinen, tiukasti liiketoimintaan liittyvä riski, oli yksittäisten asiakkuuksien ja tarjouskilpailujen merkitys. Suuren yrityksen iso tarjouspyyntö saattoi olla houkutteleva mahdollisuus, mutta kääntöpuolena olivat omaan kokoon suhteutettuna mahdollisesti liian suuret vaatimukset ja sopimussakot. Toinen pienen yrityksen ensimmäisiin askeliin liittyvä riski olivat henkilöstön rekrytointiin liittyvät kysymykset. Rikun mukaan suurimmat huolenaiheet voi tiivistää kysymyksiin : ”jos nyt palkkaamme, pystymmekö kolmen kuukauden kuluttua maksamaan palkkaa ja toisaalta, miten onnistua rekryissä niin, että pieneen tiimiin löytyy kulttuuriin sopivia yksilöitä”.
Yrityksen kasvu ja toiminnan vakiintuminen ovat muuttaneet riskikuvaa ja nykyisellään yksittäisen huonosti valitun projektin riskit eivät enää kaada koko liiketoimintaa. Riskiteema, johon kasvu ja toiminnan vakiintuminen ei yrityskulttuuristaan ja johtamisestaan tarkkana olevalle yritykselle ole tuonut helpotusta (ja jonka Riku edelleen nimeää yrityksen yhdeksi suurimmista riskeistä) on henkilöstöön liittyvä: sopiiko uusi työntekijä joukkoon? Tätä henkilöstöön liittyvää riskiä pyritään hallitsemaan mm. niin, että töitä yrityksestä hakisivat vain lähtökohtaisesti yrityskulttuuriin sopivat osaajat – konkreettisena osoituksena tästä keinosta Integratan persoonalliset rekrytointi-ilmoitukset, joiden huumori on miltei yhtä kieroa kuin yrityksen toimitusjohtajan.
Integrata on kasvanut nyt kokoon, jossa yrityksen omistajat eivät enää pysty olemaan mukana kaikessa operatiivisessa päätöksenteossa. Tässä vaiheessa usein alkaa hallinnollisen kerroksen rakentaminen, kun omistajien vastuita delegoidaan eteenpäin. Tarvittaisiinko nyt siis jo muodollisempaa riskiprosessia? Vai voiko riskienhallinta toteutua itsestään olemalla orgaaninen osa yrityskulttuuria ja tapaa tehdä päätöksiä, kuten tähänkin asti? Riku itse ei näe määrämuotoista prosessia tarpeellisena (ainakaan vielä), vaan luottaa yhteisiin strategia- ja mahdollisuus/uhka -pohdintoihin sekä itseohjautuvaan työskentelyyn. Tämä keskustelukahvittelumme jättikin meidät miettimään, että jos riskienhallinta on liiketoiminnalle elintärkeää, eikö sen kuuluisi silloin olla osa kaikkien yksilöiden ja tiimien työkaluvalikoimaa ilman, että joku ylhäältä sen sinne määrää?
Yksi kommentti artikkeliin ”PK-yrityksen riskienhallinta – vallatonta menoa vai integroitua pohdintaa?”
Mielenkiintoinen artikkeli. Itse mietin tätä määrämuotoisuus – orgaaninen osa toimintaa -vastakkainasettelua. Periaatteessahan nämä kaksi asiaa ovat eri juttuja. Pitäisi ehkä miettiä määrämuotoisuus – ei määrämuotoisuus -aspektia erikseen ja päälle liimattu prosessi – orgaaninen osa toimintaa – näkökulmaa erikseen.
Integratan riskienhallintaperiaattethan ovat kenen tahansa riskienhallinta-asiantuntijan märkäpäiväuni. Nehän noudattavat todella hyvin virallisen ISO 31000-standardin kohtaa ”3 Periaatteet”. Toiminnanhan pitäisi olla samanlaista myös isoissa organisaatioissa. Valitettavasti riskienhallintakulttuurin luominen isoissa organisaatioissa on vaikeaa ja aikaavievää (ja epäonnistuu usein) ja siksi riskienhallinta näkyy yleensä ulospäin ja sisäänpäin määrämuotoisena, päälleliimattuna, erillisenä prosessina.
Pohdittaessa sitä, että tarvittaisiinko Integratassa jotain muodollisempaa riskiprosessia, niin sanoisin, että ei kannata muuttaa toimivaa systeemiä. ISO-standardin kohdat ”4 Puitteet” ja ”5 prosessit” antavat yrityksen melko vapaasti järjestellä riskienhallinnan puitteet ja prosessit eivätkä ne edellytä jotain tietynlaista prosessia. Standardissahan sanotaan, että:
”näiden puitteiden tarkoitus ei ole määrätä johtamisjärjestelmän rakennetta, vaan auttaa organisaatiota sisällyttämään riskienhallinta sen yleiseen johtamisjärjestelmään. Siksi organisaatioiden olisi muutettava puitteiden osia omia tarpeitaan vastaaviksi”. Jos nykyinen malli toimii, niin miksipä se ei toimisi tulevaisuudessakin? Edelleen standardin mukaan riskienhallintaprosessin olisi oltava:
”— olennainen osa johtamista
— sisällytetty organisaation kulttuuriin ja käytäntöihin
— mukautettu organisaation liiketoimintaprosesseihin sopivaksi.”
Toinen asia on sitten tuo määrämuotoisuuden vaatimukset. Mielestäni itse toimintahan on jo määrämuotoista, jos sitä toteutetaan aina standardin periaatteiden mukaisesti integroituna liiketoimintaan, vaikka se ei perustuisikaan vuosikello- tai prosessiajatteluun.
Tekstistä ei käy ilmi, että millä tavalla eri riskienhallinnan tuotoksia Integratassa dokumentoidaan, mutta tuskinpa tehdyt kartoitukset, analyysit ja päätökset toimenpiteistä jäävät suullisiksi, vaan ne kirjataan ylös jotenkin. Ehkäpä yrityksen kasvaessa tarvitsee hieman miettiä raportointimallien ja muun dokumentoinnin määrämuotoisuutta, mutta sehän ei tarkoita sitä, että pitäisi ottaa joku ennalta määrätty, raskas ja tehoton malli käyttöön. Parhaimmassa tapauksessa raportoinnin ja dokumentoinnin määrämuotoisuuskin noudattelee yrityksen liiketoiminnan tarpeita. Joka tapauksessa määrämuotoisuuden vaatimukset eivät suoraan vaikuta riskienhallinnan periaatteisiin ja siihen millaisen prosessin mukaan riskejä käytännössä hallitaan.
Melkeinpä voisi loppuyhteenvetona sanoa, että ei kannata miettiä, että pitäisikö artikkelissa mainitun yrityksen muuttaa kasvaessaan toimintaansa isojen yritysten mukaisiksi. Oikeasti pitäisi miettiä, että miten isot korporaatiot saisivat omaksuttua Integratan kaltaisen riskienhallinnan mallioppilaan hyviä käytänteitä.
Marko Eskola