Riskien hallinnalla parempaan asiakaskeskeisyyteen

Riskien hallinnalla parempaan asiakaskeskeisyyteen
16.8.2016 Atao

Laadunhallintajärjestelmästandardi ISO 9001 on kulkenut pitkän tien sitten 80-luvun lopun, huonoa mainetta niittäneestä, 20 kohtaisesta versiosta. Tämä versio ja erityisesti silloin vallalla ollut tulkinta, joka perustui kerralla kuntoon –ajatteluun ilman jatkuvan parantamisen työkaluja, tarkastamiseen ja lopputuotteen laadun korostamiseen, on karkottanut monia laatuammattilaisia, esimerkiksi laatupalkintokilpailujen kautta tapahtuvan toiminnan kehittämisen pariin.

Tuohon vanhaan standardiin, kuten sitä monessa mielessä oikeutetusti voi kutsua, perustuvat vielä joiltain osiltaan esimerkiksi dokumentaation ylläpitoon ja sisäiseen auditointiin liittyvät pykälät, jotka ovat osoittaneet käyttökelpoisuutensa. Tosin melkoisesti modernisoituina.

Modernisointia tosiaan on tarvittu monessa standardin pykälässä. Se on tuonut mukanaan mm. jatkuvan parantamisen periaatteen, prosessijohtamisen ja nyt viimeisimpänä riskien hallintaan liittyvät ulottuvuudet. Viimeksi mainituista tässä hieman pohdintaa.

Asiakkaat, tärkein sidosryhmä

Jotta ymmärrämme paremmin niitä vaatimuksia, joita standardi asettaa riskien käsittelylle, lähdetään tarkastelemaan standardin vaatimusten perusteita. Niistä ensimmäisenä on luonnollisesti mainittava asiakaskeskeisyys, koska koko standardi on aina perustunut siihen perusvaatimukseen, että asiakkaan on saatava sitä, mitä hänelle on luvattu. Asiakaskeskeisyyden korostaminen perustuu siihen tosiasiaan, että jokaisella yrityksellä on asiakkaita. Ilman heitä toiminnalla ei ole tarkoitusta.

Uusi ISO 9001:2015 on laajentanut asiakaskäsitettä olennaisiin sidosryhmiin. Näiksi luokitellaan kaikki sellaiset tahot, joilla voi olla vaikutuksia organisaation tavoittelemiin tuloksiin. Kuulostaako monimutkaiselta? Saattaa olla, mutta tässä vaiheessa kannattaa muistaa olennainen; on tunnistettava ne sidosryhmät, joilla on vaikutusta toiminnan tuloksiin. Tästä pääsemme toiseen isoon periaatteeseen; lopputulos ratkaisee, eli järjestelmään kohdistuvat rakenteelliset vaatimukset kevenevät ja asiakkaan kokema laatu on saatava kohdalleen.

Arvon tuottaminen

Mikä ihmeen lopputulos? Alussa mainitsemani vanha standardihan lähti siitä, että lopputuotteen laatu piti varmistaa. Eihän lopputuloksen korostamisessa ole mitään uutta, onko edes mitään järkeä! Palataanko siihen vanhaan inhottuun standardiin?

Helpotukseksi voin todeta, että luurankoja ei nyt kaapista olla kaivamassa esiin. ”Lopputulos ratkaisee” tarkoittaa sitä, että on keskityttävä arvon tuottamiseen asiakkaalle ja myös organisaatiolle itselleen. Tämähän on juuri liiketoiminnan perusta.

Prosessien johtaminen

Käydäänpä sitten vielä lyhyesti prosessimaisen johtamisen periaatteiden puolella. Vaatimusstandardin yksi olennainen perusta on prosessimainen johtaminen. Tämä on otettu mukaan siksi, että prosessijohtamisella saavutetaan paremmin toiminnan tavoitteet, kuin ilman prosesseja. Nyt meillä alkaakin olla kasassa ne tekijät, joilla on hyvä lähestyä itse riskien hallintaa.

Riskien ja mahdollisuuksien tunnistaminen

Jotta ymmärrämme, mitä riskien kanssa pitäisi tehdä, on syytä tarkastella myös itse käsitettä riski. Siitä on varmasti monia määrityksiä, mutta tässä yksi ISO 9001:2015 henkeen sopiva vaihtoehto:

”Riski on sellainen ulkoinen tai sisäinen epävarmuustekijä, joka toteutuessaan vaikuttaa joko myönteisesti tai kielteisesti odotettuun lopputulokseen. Epävarmuus, osittainenkin, on asiantila, jossa ei ole riittävästi tietoa tai ymmärrystä tapahtuman seurauksista tai todennäköisyydestä.”

Kuten standardissakin, tässä puhutaan riskin kaksijakoisesta luonteesta – positiivisesta ja negatiivisesta. Standardissa sama ilmaistaan ”riskien ja mahdollisuuksien käsittelynä”. On siis huomioitava sekä haitat että hyödyt.

Ensivaikutelmana tästä kaksijakoisuudesta ainakin itselleni tuli sellainen tunne, että pitääkö nyt tunnistaa erikseen molemmat ja pahimmassa tapauksessa vielä erillisillä arviointimenetelmillä. Ei suinkaan. Tässä kohtaa tulee mukaan jälleen yksi olennainen helpotus entiseen standardiin verrattuna: erilaisia menettelyjä ei tarvitse kuvata ja esimerkiksi auditoija ei voi vaatia menettelyiden kuvauksia osaksi järjestelmää. Vastuu on nyt siirretty järjestelmää ylläpitävälle organisaatiolle itselleen. Näin on tämän ja monen muunkin menettelyn suhteen – organisaatio itse päättää, mitä tarvitsee ja sen kanssa sitten on opittava elämään. Niin oma väen kuin ulkoisen auditoijankin.

Miten sitten käsitellä sekä riskejä että mahdollisuuksia? Kokemus näiden tunnistamisesta on ollut se, että kun tunnistat riskejä ja luot niille hallintakeinoja, luot samalla mahdollisuuksia. Ja kun taas tunnistat mahdollisuuksia, on syytä havaita niiden hyödyntämiseen liittyvät riskit. On siis kyseessä yhden kolikon kaksi eri puolta, eipä juuri sen enempää.

Nyt alkavat olla palapelin osaset kasassa, mutta varmaankin aika hajallaan vielä. Kysymyshän oli riskien hallinnasta ja asiakaskeskeisyydestä. Miten nämä voidaan yhdistää sellaiseksi kokonaisuudeksi, että se täyttää standardin vaatimukset? Tähän ei ole mitään standardin vaatimaa yhtä ainoaa tapaa eikä sitä, miten kokonaisuuden toteuttaa, tarvitse dokumentoida, jos ei itse halua sitä tehdä.

Toimintaympäristön tunnistaminen

Yksi käytännössä hyvä lähestymistapa on lähteä tunnistamaan ensin omaa toimintaympäristöään ja tutkia, mitä ulkoisia ja sisäisiä tekijöitä (näistä on hyvä luettelo itse standardissa) omalle organisaatiolleen voi löytää.

Toimintaympäristöön liittyvät alussa mainitut olennaiset sidosryhmät ja niiden odotukset organisaatiolle. Näihin lukeutuvat asiakkaiden lisäksi kaikki ne, joilla on oletettavasti vaikutusta asetettujen tavoitteiden saavuttamiseen.

Kun sidosryhmien osuus on tunnistettu, voidaan määrittää järjestelmän soveltamisala eli mitä tuotteita ja palveluita ollaan tarjoamassa ja miten niiden tuottamista säätelevät erilaiset vaatimukset, kuten esim. asiakasodotukset ja lakisääteiset tekijät.

Kun tiedämme, mitä olemme tekemässä, on hyvä määrittää ne toimintoketjut, joissa tuotanto tai palvelut tehdään asiakkaalle eli prosessit, jotka ovat meille tuttuja jo poistuvan standardin vaatimuksista. Tässä kohtaa kannattaa olla erityisen tarkkana, sillä monella organisaatiolla on vaikeuksia tunnistaa sitä, mitä asiakas oikeasti odottaa heiltä. Tämä paljastuu viimeistään silloin, kun nuo asiakasodotukset pitäisi muotoilla prosessien tavoitteiksi.

Aika moni ylempään johtoon kuuluva, usein siis prosessin omistaja, tunnistaa tässä kohtaa prosessinsa tavoitteeksi tuottaa esimerkiksi mahdollisimman hyvää katetta yritykselle. Taloudellisesti menestyvä yritys on tietenkin hyvä asia ja jopa osakeyhtiölain mukainen tavoite, mutta kyllä jokaisella prosessilla on velvollisuus tuottaa asiakasodotukset täyttäviä tuotteita ja palveluita. Niinhän se alussa todettu asiakaskeskeisyyskin vaatii. Kun nuo tuotokset on tunnistettu, on niiden aikaansaamiseen liittyvät prosessimittarit ja –tavoitteet määriteltävä.

Koska tässä on ollut ja tulee olemaan vielä paljon haastetta näin ulkoisenkin arvioijan näkökulmasta, korostetaan nyt vielä, että jokaiselle organisaation prosessille tulee löytyä ainakin yksi asiakasnäkökulmaa heijastava mitattava tavoite.

Miksi tämä nyt on niin tärkeä? Nythän oli tarkoitus puhua riskien hallinnasta eikä niistä iän ikuisista prosesseista ja mittareista. Siinäpä se villakoiran ydin juuri onkin. Standardin vähimmäisvaatimus on, että juuri prosessien haluttujen tulosten saavuttamisen riskejä ja mahdollisuuksia tulee tarkastella eli ne muodostavat riskien hallinnan minimitason, joka jokaisen sertifioidun organisaation tulee täyttää.

Mitä sitten tehdään esimerkiksi ylimmän johdon mahdollisesti tunnistamien liiketoimintariskien kanssa? Miten ne istuvat järjestelmään? Organisaatiolla on oikeus sisällyttää järjestelmäänsä juuri sellaisia elementtejä, kuin se itse haluaa ja tarvitsee. Tämä on muutenkin kantavana ajatuksena uudistetuissa IOS 9001 ja ISO 14001 –standardeissa: jokainen päättää, mitä itse tarvitsee täyttääkseen sidosryhmiensä odotukset ja saadakseen aikaan niitä tuloksia, joita omassa toimintaympäristössään tarvitsee.

Riskien ja mahdollisuuksien arviointi

Kun riskit ja mahdollisuudet on tunnistettu, on tehtävä niiden arviointi. Standardin vapaamielisyys jatkuu tälläkin saralla ja taaskaan ei ole määritetty, miten tuo arviointi on tehtävä. Hyviä tapoja ovat turvallisuus- ja ympäristöjohtamisesta tutut riskimatriisit, joilla kukin riski ja mahdollisuus saa toisiinsa nähden suhteellisen arvon. Näitä matriiseja on useanlaisia ja näiden asteikoita voi sitten muotoille oman halunsa ja tarpeensa mukaan. Matriisin voi toisaalta hyvin korvata vaikkapa ihan tavallisella SWOT –analyysillä. Jälleen kerran yrityksellä on vapaus valita omaan toimintaansa sopivat työkalut.

Kun riskit ja mahdollisuudet on jollain tavalla pistetty tärkeysjärjestykseen, tulee päättää, mitkä niistä vaativat välittömiä hallintatoimenpiteitä, mitkä voivat odottaa myöhempää ajankohtaa ja mitkä voidaan jättää vähemmälle huomiolle.

Olennaista riskien ja mahdollisuuksien hallinnassa on se, että siitä tulee tapa toimia eikä vain kerran tehty projekti, joka jää sitten unholaan laatupäällikön kansioihin. On hyvä nähdä asia niin, että tämä hallinta on osa jatkuvan parantamisen ympyrää eli osa suunnittelua ja myös itse parantamista.

Parantamisen ympyrä sulkeutuu johdon katselmuksessa, jonka tehtävänä on ottaa vähintään kantaa siihen, ovatko riskien ja mahdollisuuksien tunnistamiset kohdillaan eli tuleeko tunnistettujen uhkien ulkopuolelta uusia asioita, joihin ei ole osattu varautua.

Toisena johdolle kuuluvana asiana on sitten riskien hallintakeinojen onnistumisen arviointi. Johdon on osoitettava sitoutumista tässä asiassa ja arvioitava säännöllisesti, saako asiakas sitä mitä odottaa, tunnistetuista riskeistä huolimatta.

Riskit ja mahdollisuudet avaavat sertifioidun laadunhallintajärjestelmän omaaville yrityksille aivan uuden näkökulman toiminnan kehittämiseen. Jatkuvaan parantamiseen tulee uutta ulottuvuutta ja kehityskohteet voidaan suunnata vielä tehokkaammin ei-toivottujen tapahtumien ennakoimiseen pelkän jälkikäteen korjaamisen sijasta.

Seuraavassa blogissani käsittelen sitä, millaisia haasteita nämä muutokset tuovat auditointeihin.  Sillä välin käy tutustumassa DQS Finlandin verkkosivuihin (www.dqs.fi).

Markku Siivonen

Pääarvioija

DQS Finland Oy