Tällä kertaa aloitamme kahden kirjoituksen sarjan aiheesta, josta olemme jo pitkään halunneet kirjoittaa: turvallisuusjohtamisen ja kokonaisvaltaisen riskienhallinnan suhde toisiinsa. Aihe, josta meillä on paljon mielipiteitä, mutta josta halusimme kuulla arkielämän kokemuksia. Niinpä kutsuimme Postin riskienhallinta- ja turvallisuusjohtaja Markku Rajamäen aamukahville kanssamme juttelemaan ja kertomaan aiheesta. Markulla on pitkä kokemus tasapainoilusta turvallisuuden ja riskienhallinnan välillä & niiden suhteen kehittämisestä ja kävikin ilmi, että kahvittelukutsumme oli tosiaankin löytänyt oikean vastaanottajan.
Tässä kirjoitussarjan ensimmäisessä osassa perehdymme aiheeseen kohtuullisen käytännönläheisesti haastattelukahvittelumme pohjalta ja toisessa osassa Markku pohtii vielä syvemmin yhteistyön teemoja riskienhallinnassa ja turvallisuudessa.
Siispä asiaan: tällaisen yhdistelmäroolin ollessa kyseessä olimme aluksi kiinnostuneita konkretiasta. Nimittäin laajan asiakokonaisuussalkun yhdistäminen suuressa yrityksessä ei ole ainakaan ajankäytöllisesti ihan yksinkertainen juttu, vaikka käytössä on tiimi asiantuntijoita. Markku kertoikin, että noin puolet hänen työajastaan menee yritysturvallisuusasioihin ja loppu jakaantuu ERM:n, erilaisten riskienhallinnan projektien ja vakuuttamisasioiden välillä. Työturvallisuus ei kuulu Markun organisaatioon ja hän on tilanteeseen tyytyväinen. Ei siksi, ettei olisi aiheesta kiinnostunut, vaan koska se on aihepiiri, joka vaatii hyvin paljon erikoisosaamista ja olisi ajankäytöllisesti hyvin hallitseva kuuluessaan yritysturvallisuuden alle. Yhteistyötä tosin tehdään tiivisti työturvallisuusorganisaation kanssa aina missä voidaan.
Organisatorisesti Markun tiimi sijoittuu lakiasiainjohtajan alle, sillä yritysturvallisuuteen liittyy alalla hyvin paljon regulaatiota. Sijoittuminen on riskienhallintajohtajaroolille hieman yllättävä, mutta taustalla on myös Postin vanha yritysturvallisuus-yksikkö ja turvallisuusjohtajan rooli, jonka päälle Markun kenttä on rakentunut. Sijoittumisen aiheuttamat haasteet on käytännössä ratkaistu raportointisuhteella talous- ja rahoitusjohtajan organisaatioon ERM:n ja vakuuttamisen osalta. Markku totesi, että tietyllä tapaa sijoittumisesta on ollut etuakin: pohjalla on turvallisuusjohtamisen konkretiaa ja siten on ehkä pystytty tekemään hieman tavallista konkreettisempaa ERM-riskienhallintaakin, joka miellyttää sidosryhmiä. Joka tapauksessa organisoituminen on Postilla evoluution tulos ja erilaisten näkemysten synteesi. Kaiken kaikkiaan Markulla oli hyvä pointti siitä, ettei organisatorinen sijoittuminen paperilla ole niin tärkeää – monenlaiset mallit saadaan toimimaan, jos yhteistyöhalua on.
Markku kertoi, että turvallisuusjohtamisen ja riskienhallinnan suhde on muuttunut voimakkaasti viimeisen kymmenen vuoden aikana. Konkreettinen esimerkki muutoksesta on ehkä monelle tuttu EK:n turvallisuusjohtamisen kaaviokuva – sen aiemmassa versiossa riskienhallinta oli ”leivottuna” sisään kuvaan, eikä erikseen noussut esiin turvallisuuden tukielementtien joukosta. Uusimmassa versiossa riskienhallinta on siirtynyt merkittävään rooliin (joka on yhdenmukainen myös erilaisten kansainvälisten viitekehysten kanssa): se on nostettu kaikkea yritysturvallisuustoimintaa ympäröiväksi kokoavaksi voimaksi.
Kuva 1. Elinkeinoelämän keskusliiton turvallisuusjohtamisen vanha kuvaus
Postilla tämä muutos alkoi siinä vaiheessa, kun Markku tuli taloon 2008 ja pääsi kehittämään ERM:ä ja siihen liittyvää tekemistä alusta alkaen näköisekseen. ERM-riskienhallinta onkin noussut turvallisuuden varjosta yhdeksi keskeiseksi elementiksi niin turvallisuus kuin muidenkin yrityksen kohtaamien uhkien hallinnassa. Raportoinnissa merkittävimmät turvallisuusriskit käsitellään ERM-prosessissa, mutta täysin operatiivisen tason turvallisuusteemat saavat lisää konkretiaa omissa prosesseissaan, joissa on paljon päivittäistä raportointia ja oma seurantansa yritysjohdolle ja muille relevanteille sidosryhmille.
Yritysturvallisuuden ja ERM-riskienhallinnan välisestä suhteesta ja yhteistyöstä Markku totesi, että se riippuu melko pitkälti asioiden parissa työskentelevien ihmisten taustoista, sekä myös organisaation tilanteesta, kypsyysasteesta jne. Joka tapauksessa tavoitteen näillä kahdella eri näkökulmalla tulisi olla yhteinen, riippumatta siitä nähdäänkö turvallisuus osana riskienhallintaa, vai päin vastoin. Tästä tematiikasta siis seuraava postaus by Markku – jäämme jälleen innolla odottamaan!
Kuvien lähteet:
Elinkeinoelämän yritysturvallisuuden malli 2010
Elinkeinoelämän yritysturvallisuuden malli 2016