Riskienhallinta osana pk-yrityksen johtamista Eija Kupi 8.10.2009
Miksi tarvitaan järjestelmällistä riskienhallintaa, kun pkyritykset näyttävät pärjäävän aivan hyvin ilmankin? Järjestelmällinen = suunnitelmallinen, dokumentoitu, arvioitavissa oleva, toistettavissa oleva Ennakoitavuus Yhteisymmärrys Kasvun mahdollistaminen Ulkopuoliselle osoittaminen Reaaliaikainen, kaikille käytettävissä oleva tieto Strategiset riskit - operatiiviset riskit Toiminnan suunnittelun riskit - toteutuksen riskit Formaalit / non-formaalit riskienhallinnan käytännöt 2
Tutkimusongelma Perinteisesti riskejä on tarkasteltu riskityypeittäin ympäristöriskit, turvallisuus- ja securityriskit, taloudelliset riskit jne. Riskilähtöinen jaottelu sopii pienille yrityksille silloin, kun etsitään ratkaisua yhteen tunnistettuun ongelmaan. Esimerkiksi PK-yritysten riskienhallintasivustolla (www.pk-rh.fi ) työvälineet on koottu kymmenen riskilajin ympärille: liike-, henkilö-, sopimus- ja vastuu-, tieto- tuote-, ympäristö-, projekti-, keskeytys-, rikos- ja paloriskeihin. Työvälineitä on paljon, jolloin pk-yrityksen on vaikea löytää oman toiminnan kannalta oleellisimmat välineet. Riskilähtöinen tarkastelu ei tue riittävästi yrityksen kokonaisvaltaisen riskienhallinnan kehittämistä ja koko toiminnan laaja-alaista riskitarkastelua. Tämän seurauksena riskien ja riskienhallinnan kokonaiskuva jää hajanaiseksi. Suomen 60 suurimman yrityksen joukossa toteutetun tutkimuksen tulosten mukaan riskienhallinta on mukana yrityksen strategian suunnitteluprosessissa, mutta se ei linkity strategian seurantaan eikä strategisiin mittareihin ja näin ollen se on usein irrallinen osa muusta johtamisjärjestelmästä (PwC 2008, Enterprise Risk Management Benchmarking Survey) 3
Projektin tavoitteet Projektin tuloksena syntyy malli tai toimintatavan kuvaus riskienhallinnan yhteyksistä pk-yrityksen toiminnan ohjauksen ja johtamisen käytäntöihin. Mallin avulla nykyisin käytössä olevia riskien tunnistamisen ja arvioinnin menetelmiä voidaan kohdentaa tehokkaammin yrityksen eri toimintoihin. Yrityksiin syntyy riskienhallinnan toimintasuunnitelma, jonka avulla: havaitaan riskienhallinnan konkreettiset hyödyt - se ei ole vain vahinkojen välttämistä, vaan tukee asetettujen tavoitteiden saavuttamista riskienhallinta on selkeästi osa normaalia toimintaa ja johtamista riskienhallinnan kokonaisuus on kuvattu ja sen toimivuutta pystytään arvioimaan ja esittelemään ulkopuolisille tahoille (viranomaiset, asiakkaat, muut sidosryhmät) 4
Yrityshaastatteluiden tutkimuskysymykset Mikä motivoi pk-yrityksiä kehittämään riskienhallintaa? Miten riskienhallintaa pk-yrityksissä tällä hetkellä toteutetaan osana johtamista? Miten riskejä otetaan huomioon strategisessa päätöksenteossa? Miten riskien arvioinnin tuloksia ja muuta riski-informaatiota voitaisiin paremmin käyttää pk-yritysten johtamisen tukena? 5
Riskienhallintaprosessi Yleinen viitekehys, jonka mukaan yrityksen riskienhallinta olisi hyvä rakentaa. Riskienhallintapolitiikka Kuvaus niistä päävaiheista, joita yrityksen riskienhallintaprosessin tulisi sisältää. Vain lähtökohta - ei lopullinen totuus. Prosessissa erityisen oleellista prosessin alkupään vaiheet, eli että yrityksen riskienhallinta rakentuu riskienhallintapolitiikan ja tavoitteiden varaan. Jos yrityksen riskienhallinta jää pelkästään yksittäisten, silloin tällöin toteutettavien riskianalyysien varaan ilman riskienhallintapolitiikan ja tavoitteiden pohdintaa ja määrittelyä, on vaarana se, että organisaation riskienhallinta jää kypsymättömäksi. Esim. riskienhallintaan käytetyt resurssit eivät välttämättä kohdennu yrityskokonaisuuden kannalta järkevästi. JATKUVA PARANTAMINEN Riskienhallinnan tavoitteet Riskien tunnistaminen ja suuruuden arvioiminen - liiketoiminnan SWOT - riskianalyysit - vaaratilanneraportointi - havainnointikierrokset jne. Riskien hyväksyttävyydestä päättäminen Kehittämistoimenpiteistä päättäminen ja toimenpiteiden toteutus Kehittämistoimenpiteiden toteutumisen seuranta Riskienhallintaprosessin seuranta ja raportointi Auditointi ja katselmointi, riskienhallintaprosessin onnistumisen arviointi J A T K U V A V I E S T I N T Ä Lähde: Sarsama, J., Lanne, M. 2008 6
Mihin toiminnassamme pyrimme? Mitä prosesseja / toimintoja toteutamme? STRATEGIAAN POHJAUTUVAT TAVOITTEET TAPAHTUMIEN TUNNISTUS Mitä riskejä kohtaamme / voimme kohdata? Mitä riskejä voimme / haluamme ottaa? Miten hallitsemme tunnistetut riskit? Miten seuraamme tilanteen muutosta / riskien toteutumista? Riskianalyysit RISKIVASTEEN EVALUOINTI TIEDOTTAMINEN JA KOMMUNIKOINTI RISKIENARVIOINTI Merkittävyyden arviointi HALLINTATOIMENPITEET SEURANTA RAPORTOINTI Uhat / mahdollisuudet PÄÄTÖKSENTEKO JÄÄNNÖSRISKIN RAPORTOINTI COSO 2004 A Risk Management Standard 2002 A U D I T O I N T I 7
PK-tori tutkimusprojektin tuloksia: Motiiveja riskienhallintaan Tärkeän asiakkaan vaatimus/painotus Tarjouskilpailuun ei päästä mukaan ilman hyvälaatuista toimintaa Tarjouskilpailussa ei pärjätä hinnalla, toiminnan laatua kehitettävä Asiakkaalla käytössä toimittajan arviointimenetelmä Yrityksen toiminnan varmistaminen ja kehittäminen Riskianalyysin avulla tietoa toiminnasta voidaan jättää tekemättä niitä asioita, joita ei osata (riski-näkökulma) jollakin osa-alueella voidaan toimia kilpailijaa paremmin (mahdollisuus-näkökulma) Yhteinen toimintatapa asiakasrajapinnassa tehostaa toimintaa, sujuvampi asiakkaan käsittely ja korkeampi laatu Tapaturmien välttäminen lisää tuottavuutta, tällöin ei myöskään vahinkoja imagolle Yrityksen elinkaaren aikainen muutos Johdon vaihtuessa päätösten perusteet paremmin esille (esim. yrityksen hallituksen työskentelyssä) Kansainvälistyminen Tärkeän asiakkaan omistuspohjan muutos Kansainvälisille markkinoille suuntautuminen Yrityksen mahdollinen listautuminen pörssiin Uuden teknologian käyttöönotto (ICT-järjestelmät) Yhteistyön uudistuminen Tiiviimpi yhteistyö asiakkaan kanssa (kumppanuus) Riski-tiedon siirto yhteistyöverkostossa 8
PK-tori tutkimusprojektin tuloksia: Strategiseen suunnitteluun liittyviä riskienhallinnan käytäntöjä Keskeistä on toimintaympäristön muutosten huomiointi ja niiden mahdolliset vaikutukset strategian päivitystarpeeseen Pk-yrityksen vahvuutena on organisaation notkeus: Koska yritysten organisaatio on yleensä matala, voidaan päätökset tehdä tarvittaessa hyvinkin nopeasti. Yrityksen ulkopuolisen näkemyksen tuominen strategiseen suunnitteluun on tärkeää: Haasteena on (avain)henkilöstön pieni vaihtuvuus Joissakin yrityksissä hallituksen ulkopuoliset jäsenet Myös mm. vakuutusyhtiön kanssa yhteistyössä tehdyt riskien arvioinnit tai tilintarkastajien kautta saatu informaatio Yritysten avainhenkilöillä on monenlaisia verkostoja, joissa toimimalla he saavat strategisessa suunnittelussa hyödynnettävää tietoa: esimerkiksi kontaktit asiakkaisiin, toiminta yhteistyökumppaneiden kanssa, alihankkijoiden välille muodostuva tiivis yhteistyö sekä erilaiset asiantuntijatahot, epäviralliset yrittäjien väliset tapaamiset. Viime kädessä tärkeämpää yritystoiminnan kannalta on päätöksenteko kuin se, onko päätös välttämättä oikea. 9
Operatiivisen tason riskienhallintaa hyviä käytäntöjä Kehittämishankkeissa selvitetty etukäteen rahoituksen (piilokustannukset) ja henkilöstöresurssien riittävyys, aikataulun sopivuus sekä hankkeen soveltuminen omaan osaamiseen Isommissa kehityshankkeissa / projekteissa etukäteen toteutettu riskianalyysi hankkeen mahdollisista riskeistä, ison projektin kriteerit määritelty, yhteistyö asiakkaan kanssa Projektitoiminnan mukainen ohjeistus ja lomakkeisto, tsekkilistat, esimerkit aikaisempien projektien haasteista ja toteutuneista ongelmista, tuotteistaminen "vakiopalikoiksi" vähentää hintariskiä Tieto asiakasprojektien olosuhteista ja toimintaympäristöstä saatu luotettavasti selville (verkosto, yhteyshenkilö) Ulkopuolisen asiantuntija-avun hyödyntäminen tarvittaessa (lainsäädännön muutosten seuraaminen, sopimusasiat ja asiakirjat) Reaaliaikainen dokumentointi vähentää virheitä ja ongelmia (esim. sopimuksiin määritelty vastuukysymykset toimittajan ja asiakkaan välillä) Yhteiset toimintatavat eri yksiköiden välillä tuovat synergiaa (esim. kemikaalirekisteri, ympäristöasiat, koulutus, tiedotus) 10
Malli 1: Riskienhallintaprosessin kiinnittäminen pääprosesseihin Johtamisprosessi Asiakassuhteenhallintaprosessi Valmistus- tai palveluprosessi Tukiprosessit Riskienhallintapolitiikka Politiikan laatiminen, johdon sitoutuminen Asiakkaiden vaatimukset ja tarpeet Merkittävimmät riskit Tuki- ja tietojärjestelmiin liittyvät riskit Riskienhallinnan tavoitteet JATKUVA PARANTAMINEN Riskien tunnistaminen ja suuruuden arvioiminen - liiketoiminnan SWOT - riskianalyysit - vaaratilanneraportointi - havainnointikierrokset jne. Riskien hyväksyttävyydestä päättäminen Kehittämistoimenpiteistä päättäminen ja toimenpiteiden toteutus Kehittämistoimenpiteiden toteutumisen seuranta J A T K U V A V I E S T I N T Ä Riskienhallintaprosessin seuranta ja raportointi Auditointi ja katselmointi, riskienhallintaprosessin onnistumisen arviointi 11
Malli 2: Elinkaarimalli Elinkaarivaihe Riskienhallinnan tehtävät - erityisesti huomioitavaa Käynnistäminen Kehittäminen Yritystoiminnan toimintaedellytysten varmistaminen Liikeidean SWOT Kehityshankkeiden riskianalyysi Verkostoituminen Vakiintunut toiminta Verkostojen kuvaaminen, riippumattomuus yhdestä asiakkaasta tai toimittajasta Sopimusriskit Toimintaympäristön muutosten analysointi Taantuvat markkinat Toiminnan mukauttamisen haasteet Tuotteistaminen, erikoistuminen Liikeidean SWOT Kansainvälistyminen Omistajanvaihdos Sopimusriskit Kulttuurierot Tiedonsiirron varmistaminen 12
Malli 3: Laatujärjestelmiin integrointi - etsitään vastaavuudet ISO 9001:2008 ISO 14001:2004 OHSAS 18001:2007 Risk management process (FERMA) Haastattelut Johdon vastuu johdon sitoutuminen -ympäristöpolitiikka -resurssit, roolit, vastuut ja valtuudet -TTT-politiikka -resurssit, roolit, vastuut, velvollisuudet ja valtuudet -johdon katselmus -riskienhallintapolitiikka asiakaskeskeisyys -ympäristönäkökohdat -lakisääteiset ja muut vaatimukset -johdon katselmus -vaaran tunnistaminen, riskin arviointi ja hallintatoimenpiteiden määrittäminen -lakisääteiset ja muut vaatimukset -uhkien, ei-toivottujen tapahtumien ja vaarojen tunnistaminen mahdollisuuksien tunnistaminen riskin suuruuden tarkastelu päätös riskin merkittävyydestä ja hyväksyttävyydestä -kehitysprojektin riskianalyysi (ohjeistus, lomakkeisto) -lainsäädännön muutokset -yhteistyö (asiakas, yhteistyöverkosto) -osana jokapäiväistä työtä -sykli -raportointi -työvälineet -läheltä piti -tilanteet -swot -keskeisimpien riskilajien arviointikriteeristö -riskin siedettävyys -riskin suuruuden kynnysarvot laatupolitiikka -ympäristöpolitiikka -TTT-politiikka -riskienhallintapolitiikka -keskeisimmät riskit -suhtautuminen erilaisiin riskeihin -keskeisimmät riskienhallintakeinot -yhteys yrityksen toimintaperiaatteisiin 13
Jatkokysymyksiä Miten strategisten riskien hallintaa todellisuudessa toteutetaan pkyrityksissä? Elinkaarimallin kehittäminen edelleen Formaalien ja non-formaalien riskienhallinnan käytäntöjen tasapaino Informal Risk mergers Risk adjusters Formal Risk regulators Risk modifiers Reactive Proactive Lähde: Murtonen et al. 2008 14
Jos haluat menestyä, sinulla on oltava kykyä, halua ja osaamista ottaa riskejä. Yrittämisestä on saatava kiksejä. 15
VTT luo teknologiasta liiketoimintaa 16