Pienellä yrityksellä voi olla isoja riskejä
Hyvinvointiyhteiskunnan kehittyessä yksilön ja yhteisön suoja on noussut Suomessa ja kaikissa länsimaissa keskiöön. Kaukaisia ovat muistot nokisista tehtaista, joissa duunarit painoivat 16-tuntista päivää henkensä ja terveytensä uhalla. Nykyään ihmisiä ja ympäristöä arvostetaan suuresti, ja lainsäätäjän tehtävänä on suojella yhteiskunnan jokaista jäsentä.
Viime vuosikymmeninä sääntely on kiihtynyt ja tiukentunut, ja nykyään varsinkin Euroopassa kaikkiin liiketoiminnan aloihin ja kaikenkokoisiin yrityksiin kohdistuu jonkinasteisia velvoitteita. Tietosuojan ja tietoturvan on oltava riittävällä tasolla jokaisella firmalla ja yrittäjällä koosta riippumatta. Työntekijöiden terveys, turvallisuus ja hyvinvointi koskettavat jokaista työnantajaa. Vakuutukset ja veronmaksu ovat pakollisia kaikille. Fyysisten tuotteiden valmistajien on varmistuttava tuoteturvallisuudesta. Lähivuosina myös uudenlaiset velvoitteet tekevät tuloaan, ja ne koskettavat muun muassa ympäristövastuullisuutta.
Siellä, missä on sääntelyä, on myös pääsääntöisesti riskejä. Lakeja harvemmin säädetään huvin vuoksi, vaan taustalla on ajatus jonkin riittävän vakavan edun tai oikeuden suojelusta.
Mitä tärkeämpi on suojattava etu tai oikeus, sitä vakavampaa on sääntely. Ja mitä vakavampaa on sääntely, sitä suuremmat ovat yrityksen riskit. Joskus pienyrittäjälle tulee yllätyksenä, miten harmittomalta tuntuva työnantajavirhe voi poikia tuntuvat korvaukset ja päälle vieläpä sakot. Vakavat seuraamukset ovat perinteisesti yllättävimpiä juurikin työoikeuden alalla, jos työnantaja on mokannut työsuhteen perusasiat, palkanmaksun, vakuuttamisen, työajanseurannan, työterveysasiat tai vaikkapa tasa-arvoasiat työpaikalla. (Lue lisää: ”Työyhteisöjuridiikka pienentää riskejä, lisää hyvinvointia ja parantaa tuloksia”). Pienellä firmalla tarpeettoman usein myös yhteistoimintalain asettamat velvoitteet ilmenevät vasta jälkeenpäin, kun käräjäoikeus tuomitsee maksettavaksi jopa 35 000 euron korvaukset per työntekijä.
Nykyään uutena tulokkaana on esiin nousemassa tietosuoja, jonka piirissä pienetkin firmat ovat alkaneet saada maksettavakseen yhä suurempia sakkoja. Usein varsinkin pienyrityksille tulee yllätyksenä, miten pieneltä tuntuvasta mokasta voi seurata tuhansien eurojen seuraamusmaksu ja toisinaan päälle vielä oikeudenkäyntikulut. (Lue lisää: “Huonosti hoidettu tietosuoja on yritysriski – Viidellä vinkillä otat homman haltuun”)
Pienenkin yrityksen kannattaa aina muistaa, että oikeudellisia ja eettisiä riskejä on aina olemassa, ja osa niistä voivat olla valtavia. Jokaisen kannattaa tunnistaa ja hallita omansa ajoissa.
Kaikki alkaa riski-inventaariosta
Yritysriskien hallinta on loppujen lopuksi melko simppeli homma, kunhan vain tietää, mistä aloittaa. Vastaus löytyy riski-inventaariosta, jossa käydään läpi yrityksen muoto, toiminta ja luonne, toimiala sekä erityispiirteet. Näin piirretään selkeä kartta, josta ilmenee kaikki niin sanotut uhkavektorit eli paikat, joissa riskejä voi syntyä.
Me Varoenilla tykkäämme lähestyä asiaa vastuullisuuden kautta: kun yritysvastuullisuus on kunnossa, on todennäköistä, että tärkeimmät riskit ovat myös hallinnassa. (Lue lisää: ”Mitä yrityksen vastuullisuus tarkoittaa, ja miten sen voi saavuttaa?”)
Riski-inventaarion osana rakennetaan riskirekisteri, josta löytyy selkeä listaus yrityksen uhkavektoreista ja niistä tekijöistä, jotka kussakin vektorissa riskejä voivat aiheuttaa. Yleensä riskitekijät ovat toimintoja, tapahtumia ja paikkoja, joihin kytkeytyy olennainen riski. Esimerkiksi tehtaassa on lukuisia fyysisiä riskitekijöitä johtuen vaarallisista koneista ja painavista esineistä. Harvemmin tulee mieleen, että myös siistissä toimistotyössä voi olla erilaisia, jopa vakavia riskejä. Toimistotyöntekijät ovat alttiita erilaisille tuki- ja liikuntaelinsairauksille, mielenterveysriskeille kuten stressille ja uupumukselle, sekä vaikkapa sisäilmaongelmille. Nämä kaikki on tärkeää huomioida riski-inventaariossa.
Ihmisten turvallisuuden ohella yleisiä riskialueita ovat tietoon ja aineettomaan omaisuuteen kohdistuvat riskit kuten tietosuoja, immateriaalioikeusasiat ja luottamuksellisuus. Varallisuusriskit ovat usein finanssiasioita, mutta myös oikealla sopimusriskien hallinnalla voidaan vähentää kulujen ja tappioiden riskejä. Yleensäkin sopimuksissa voi piillä lukuisia vaaroja, varsinkin, jos kaupankäynti on kansainvälistä.
Juridisten riskien ohella myös eettiset laiminlyönnit voivat aiheuttaa haittaa ja vahinkoa. Siksi nykyään ei ole enää riittävää, että riskienhallinnassa käydään vain lakipykäliä läpi, vaan on huomioitavat myös työntekijöiden, asiakkaiden, rahoittajien ja muiden sidosryhmien odotukset. Vastuullisuusasioiden mokaaminen voi tulla nykyään todella kalliiksi, kun taas homman hallitseminen voi selvästi parantaa yrityksen kasvua ja tulosta. (Lue lisää: ”Näin vastuullisuus voi auttaa yritystäsi vahvistamaan kasvua ja tuloksia”)
On hyvä muistaa, että riskitekijät voivat olla myös ihmisiä. Syksyllä 2023 kansainvälisessä mediassa nousi kohu, kun amerikkalaisen vaateyhtiön, Abercrombie & Fitchin entisen toimitusjohtajan paljastettiin järjestäneen firman rahoilla kieroutuneita seksibileitä, joissa hyväksikäytettiin ihmisiä. Riskienhallinta-alan asiantuntijat ovat käyneet tapausta läpi lukuisin eri tavoin, ja sitä on pidetty malliesimerkkinä siitä, mitä tapahtuu, kun ihmisriskitekijää ei hallita riittävällä tavalla. (Lue lisää: ”Kun yrityksen hyvä hallinto epäonnistuu, maine kärsii ja johtajat vastaavat”). Suomessa ja Euroopassa on toki tärkeää pitää mielessä, että ihmisten tietojen käsittely riskienhallinnassa vaatii tarkkuutta, koska yksityisyyden suojaa säännellään todella suurella vakavuudella.
Kun riski-inventaario on tehty ja sitä ylläpidetään säännöllisesti (aivan niin kuin esimerkiksi tuoteinventaariotakin), riskit ovat tiedossa ja niitä voidaan hallita.
Aloita pienestä ja tärkeästä
Kun riski-inventaariota laatii, huomaa pian, että listasta alkaa löytyä jos jonkinmoista tekijää. Erityisesti pienen yrityksen kannattaa tällöin tunnistaa, että kaikkea ei voi tehdä kerralla. On hyvä pohtia, mitkä riskeistä ovat kaikkein akuutimpia ja tärkeimpiä. Vaikka jokainen riski on hyvä saada ennen pitkää hallintaan, aluksi resursseja kannattaa kohdistaa tärkeimpään. On myös hyvä aloittaa pienestä ja kasvattaa ponnisteluja aina ajan ja varallisuuden salliessa.
Resurssienkäytön ongelmia voi torjua myös sillä, että soveltaa mahdollisimman kustannustehokkaita keinoja riskienhallintaan. Esimerkiksi tietosuojassa aivan pieni yritys selviytyy monista asioista simppelillä excelillä, josta löytyy oikeat tiedot helposti. Jotta tieto ei leviäisi vääriin paikkoihin, yksinkertaisella strategiasessiolla ja kevyellä henkilöstökoulutuksella saadaan sovittua yhteisesti, missä tietoa pidetään ja minne sitä ei tulisi siirtää. Käytännön esimerkkeinä voidaan mainita niinkin yksinkertainen asia, että HR- ja rekrysähköpostit keskitetään yhdelle tai kahdelle henkilölle (tai vielä paremmin dedikoituun sähköpostiosoitteeseen), jotta niitä ei tarvitse sitten etsiä ja tuhota määräaikojen päätyttyä kymmenen eri ihmisen sähköpostilaatikoista. Sekin on hyvä tehdä selväksi, että Instagram ei ole paras paikka henkilötietojen jakamiselle ja käsittelylle, vaan tietoja on säilytettävä turvallisesti.
Myöhemmin, kun toiminta kasvaa, tarvitaan myös järeämpiä työkaluja. Tällöin kannattaa miettiä erityisesti tietosuojanhallintaan tarkoitettuja työkaluja esimerkiksi osana CRM-alustaa.
Yleiset riskialueet
Varoenin palvelut kohdistuvat neljään riskialueeseen. Näistä kaksi ovat yleisluontoisia: Yritysvastuullisuus (ESG), jonka avulla hallitaan ympäristöön, ihmisiin ja sisäiseen hallintoon kohdistuvia riskejä, ja Yritysriskien hallinta, jonka avulla hallitaan sisäisiä prosesseja, jotka ovat välttämättömiä kustannustehokkaan ja toimivan riskienhallinnan kannalta. Kaksi muuta palvelua kohdistuvat erityisiin riskeihin: Yrityksen tietosuoja auttaa hallitsemaan tietosuojasääntelyn synnyttämiä riskejä, ja Työsuhdejuridiikka auttaa hallitsemaan kaikkia työsuhteisiin, työoloihin ja muihin työelämän piiriin kuuluvia riskejä.
Palvelut on suunniteltu vastaamaan kaikkiin yleisimpiin riskialueisiin, joita jokaisella yrityksellä todennäköisesti tulee vastaan ennemmin tai myöhemmin. On toki muitakin riskialueita, kuten edellä mainittu tuoteturvallisuus, mutta pidämme tätä sen verran spesifinä alueena, että tarjoamme siihen tarkoitukseen palveluita asiakkaan kanssa erikseen räätälöitynä.
Näin aloitat pienenkin yrityksen kustannustehokkaan riskienhallinnan
Niin kuin kaikessa riskienhallinnassa, myös oikeudellisten ja eettisten riskien hallitsemisessa kaikki alkaa riskien tunnistamista. Tämän jälkeen riskit arvioidaan ja niiden hallinnalle tehdään suunnitelma. Lopulta riskienhallinta pannaan täytäntöön ja sitä päivitetään säännöllisesti. Periaate on sama kuin universaalissa prosessinhallinnassa, jota sovelletaan muun muassa ISO-standardien mukaisessa auditoinnissa: suunnittele (plan), toimi (do), tarkista (check) ja päivitä (adjust).
1. Tunnistakaa riskit. Käykää porukalla läpi yrityksenne muoto, toiminta, luonne, toimiala ja erityispiirteet. Hartaan brainstorming-session tuloksena pystytte tunnistamaan eri uhkavektorit ja riskitekijät.
2. Kirjatkaa havaitsemanne uhkavektorit ja riskitekijät riskirekisteriin. Muistakaa, että riskitekijät voivat olla yllättävissä paikoissa ja saattavat olla toisinaan jopa ihmisiä. (Ihmisten tietoja kirjatessa muistakaa yksityisyyden suojan asettamat rajoitukset.)
3. Tunnistakaa yrityksenne resurssien rajallisuudet ja arvioikaa, mitkä riskit tulisi ottaa heti hallintaan. Tärkein ja helpoin on hyvä paikka aloittaa. Muiden riskien osalta tehkää uskottava suunnitelma vaikka 3–5 vuoden jänteellä, jonka avulla saatte loputkin haltuun.
4. Toimikaa suunnitelman mukaan ja ryhtykää konkreettisiin toimiin uhkien torjumiseksi ja riskien hallitsemiseksi. Toimet kannattaa skaalata yrityksen tason ja tilanteen mukaan niin, että ne ovat taloudellisesti kestäviä ja kohtuullisia. Pieneltä firmalta ei voi odottaa yhtä ammattimaista riskienhallintaa kuin pankeilta, vakuutusyhtiöiltä ja suuryhtiöiltä.
5. Tarkistakaa riskirekisterin tietoja ja riskienhallinnan toimintatapoja säännöllisesti. Jos suunnitelma ei toimi, korjatkaa sitä. Tarvittaessa pyytäkää ulkopuolista apua, joka pystyy ensinnäkin opastamaan parhaissa ja kustannustehokkaissa toimissa sekä ottamaan vastuuta riskienhallinnan virheistä.
Jos tarvitset apua yrityksenne oikeudellisten ja eettisten riskien tunnistamisessa sekä riskienhallinnan suunnittelussa ja toimeenpanossa, autamme mielellämme. Lue lisää Sopimukset ja juridiset riskit -palvelupaketistamme tai varaa aika maksuttomaan ja riskittömään alkutapaamiseen.
Seuraa meitä LinkedInissä. Julkaisemme myös tästä aiheesta yrityksellenne hyödyllisiä päivityksiä.