ISO 9001 laadunhallintajärjestelmien standardi on viisivuotisen julkaisusyklinsä mukaisessa tarkasteluvaiheessa. Vielä ei ole tietoa mihin suuntaan standardia ollaan viemässä ja mitä johtopäätöksiä on tehty edellisen version onnistumisesta koska katselmustyö lienee vasta alussa. Mutta jos mennään ajassa taaksepäin ja edelliseen julkistukseen, niin keskeinen uudistus vuoden 2015 standardissa oli riskiperustainen ajattelun (risk based thinking, RBT) voimakas tuominen keskeiseksi osaksi organisaatioiden laadun johtamisen järjestelmää. Toki riskit ovat olleet aina mukana, mutta nyt vaadittiin ensimmäistä kertaa varsinaista riskiperusteisen ajattelun toteuttamista.

Huomion saavat ensimmäisenä arkipäiväiset vaarat, mutta laajemmassa kontekstissa tulisi käsitellä koko organisaatiota ja sen ympäristöä. Voit vaikka kuvitella tilannetta, jossa palovaroittimen patterit tulisi välittömästi vaihtaa. Joudut valitsemaan käyttäisikö pyörivää työtuolia, joka on heti saatavilla, mutta jolla ei ihan yllä vai hakisiko porrasjakkaran varastosta. Riskinä on, että tuhlaa aikaansa hakiessa oikeanlaista tuolia tai tippuu nolosti nenälleen.

VUCA

Syyksi riskien tarkastelun ja huomioimisen tärkeydelle perustellaan yleensä termillä VUCA, jolla tarkoitetaan neljää organisaatioihin vaikuttavaa muutoksen ja häiriöiden ajuria: volatility, uncerntainty, complexity ja ambiguity. (Hutchins, 2015) Nämä voisi suomentaa epävakaisuus, epävarmuus, monimutkaisuus ja epäselvyys/monimerkityksellisyys.

Maailma ei ole ollut pitkään aikaan, jos koskaan, yhden totuuden ympärille keskittynyt, yksinkertainen ja vakaa. Organisaatiot ovat keskenään tiiviimmin linkittyneessä globaalissa taloudessa helpommin alttiita heistä riippumattomista myllerryksistä ja muutoksista toisella puolen maapalloa. Eikä nyt tarvitse alleviivata globaalin pandemian kaltaisia tapauksia, joka on selvä musta joutsen (oikea tuntematon tuntematon). Toki jos pandemian ja sen vaikutukset on voitu ennalta nähdä ja niihin varautua, on silloin oltava nöyrästi tyytyväisiä.

Täytyy siis ymmärtää kontekstia, toimintaympäristöä ja varautua ennalta. Hutchins (2015) painottaa riskien suhteen juuri kontekstia ja sen ymmärtämistä. VUCA ei ole pelkästään suurten yritysten ongelma, sillä vaikka monet globaalit toimijat suunnittelevat ennakkoon liiketoiminnan jatkuvuutta erilaisten skenaarioiden ja kriisien varalta, ei se tarkoita, että riskeihin ei voisi varautua ennalta myös pienemmässä organisaatiossa. Sillä myös pienten ja keskisuurten organisaatioiden toimintaympäristö ja hankintaketjut ovat maantieteellisesti laajentuneet globaaleiksi ja ovat siten vähintään yhtä alttiita globaaleille riskeille, kuten varmasti on kuluneen vuoden aikana huomattu.

Riskiperustainen ajattelu

Mitä on sitten tämä standardissakin vaadittava riskiperustainen ajattelu? Sana riski tuntuu äkkiseltään niin arkiselta ja selvältä, että sitä on hankala määritellä. Riski on terminä monessa mukana. Puhutaan luottoriskeistä, riskimaista, terveysriskeistä, turvallisuusriskeistä, riskienhallinnasta, henkilökohtaisista riskeistä, jaetuista riskeistä, afla ja beta-riskeistä ja ties mistä muusta. Mutta mikä on riskin määritelmä?

ISO 9000:2015, joka sisältää perusteet ja tarvittavan sanastot ISO 9001:2015 ymmärtämiselle ei riskin määrittämistä kauheasti helpota. ISO:n määritelmä riskille kohdassa 3.7.9 on ”epävarmuuden vaikutus” joka on alkuperäisessä tekstissä ”effect on uncertainty”. Tämän sanaparin ymmärtämiselle on onneksi useampi alahuomautus, joissa selkenee, että vaikutuksella tarkoitetaan poikkeamaa odotetusta ja epävarmuudella tapahtumaa, johon liittyy oleellisen tiedon puutetta.

Eli riskin voisi määritellä epävarman tai potentiaalisen tapahtuman mahdollisuutena, joka aiheuttaa poikkeaman organisaation tai prosessin tavoitteisiin. Koska laadun johtamisen järjestelmien tavoitteena on asiakastyytyväisyyden parantaminen, liittyy riski organisaation kontekstissa aina asiakkaaseen (liikevaihtoon) ja sitä kautta tuotannon tai palvelun prosessiin, jolla tätä tyytyväisyyden virtausta ylläpidetään ja kasvatetaan. Riski on siis hyvin keskeinen käsite missä tahansa organisaatiossa, koska se menee aina viivan alle hyvässä ja pahassa.

Kun ollaan riskeistä kiinnostuneita niin merkityksenä lienee yleensä juuri negatiivinen puoli, jossa on jokin mahdollisuus, että organisaation tavoitteita ei eri tasoilla saavuteta tai että itselle tai toiselle käy huonosti. Riskissä saattaa hämätä, että tavoitteet ja riskit ovat erilaisia eri ympäristöissä ja eri organisaation tasoilla: strategiset, operatiiviset ja taktiset riskit ovat erilaisia konteksteja, joissa on erilaisia riskejä. Siten myös riskeistä käytävässä keskustelussa voivat tasot mennä sujuvasti sekaisin.

Hutchins (2015) vie riskin ajatuksen hienosti prosessin kyvykkyyteen ja suorituskykyindeksiin, jota voi miettiä riskinsietokyvyn (risk tolerance) mittarina ja ilmaisuna. Kun organisaatio on asettanut prosessin suorituskykyindeksin vähimmäistavoitteeksi esimerkiksi Cpk 1,67 ilmaistaan siinä samalla, että kuinka paljon riskiä komponentin kanssa siedetään (ei kovinkaan paljoa). Tämä on mielenkiintoinen näkökanta myös organisaation prosessien parannustavoitteiden asettamisen ja perustelemisen kannalta ja myös strategisen laadun johtamisen kannalta.

Mitä riskeille sitten voi tehdä?

Riskin pari on aina hallinta, joka on epävarmuuden tai tapahtuman vaikutusten ohjausta. Jotta riskeille voidaan tehdä jotain, niitä pitää pystyä arvioimaan.

Yleensä riskien arvioinnissa (assesment) on kolme päävaihetta: tunnistaminen, analyysi ja arviointi (evaluation). Tunnistamiseen liittyy organisaatioiden tavoitteisiin mahdollisesti vaikuttavien potentiaalisten tapahtumien tunnistaminen, sekä niiden lähteiden ja vaikutusten ymmärtäminen. Analyysin tarkoituksena on määrittää mitä riskeille tulisi tehdä huomioiden niiden mahdolliset vaikutukset, syyt ja tapahtuman todennäköisyys. Arvioinnissa tehdään varsinaiset päätökset huomioiden organisaation toiminnan konteksti ja riskinsietokyky. Riskejä arvioidaan, jotta voitaisiin tehdä parempia päätöksiä koskien tuotteita, prosessia ja organisaatiota. (Hutchins, 2015).

Toimitusketjun häiriö ei tule yllätyksenä, jos se on pystytty ennalta kuvittelemaan tai jos riski on jo toteutunut aikaisemmin, jolloin siitä olisi pitänyt jo oppia ja riskiä hallita joko strategisilla valinnoilla (osta vai tee itse) tai taktisilla päätöksillä (esimerkiksi paljon varastoidaan?)! Hyvin tehdyt päätökset ovat seurausta oleellisten riskien tunnistamisesta, analyysista ja arvioinnista.

Riskien arviointi ja riskiperustaisen ajattelun toteuttamien ei tarvitse olla mitenkään monimutkaista, vaikka saatavilla olevien työkalujen määrä onkin todella laaja. Riskien arvioinnin prosessi kuvataan yleensä noudattavan jatkuvan parantamisen PDCA-kehää. Tulee suunnitella (plan) riskien hallinnan puitteet, toteuttaa (do), arvioida toimivuus (check) ja tehdä (act) toimenpiteitä riskienhallinnan parantamiseksi. Tämän ei tarvitse olla mitenkään monimutkainen prosessi, kun se sopii organisaation kontekstiin. Tärkeintä on kuitenkin kyky hahmottaa maailmaa riskiperustaisesti!

Lopuksi vielä muistutus laadun johtamisen perusteista, YouTube-videolla itse tohtori Juran: https://youtu.be/LJ2Hj4RiPiM?t=33 

Lähde:

 Greg Hutchins: ISO: Risk Based Thinking, 2015 edition 

Kommentoi artikkelia

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Tilaa uutiskirje

Liity postituslistalle ja saat uusimmat artikkelit suoraan sähköpostiisi.