Graniten vuotuinen State of Risk Management -kyselytutkimus keräsi tänä vuonna 79 vastausta suomalaisen riskienhallinnan nykytilasta. Tulokset nostivat esille mielenkiintoisia yllätyksiä sekä tärkeitä havaintoja esimerkiksi siitä, kuinka organisaatiot kokevat lainsäädännön ja vaatimustenmukaisuuden riskienhallinnan näkökulmasta.
Riskienhallinnan toteuttaminen – välineet ja kypsyys
Suuri osa vastaajista arvioi organisaationsa riskienhallinnan kypsyydeltään hyvälle ja toimintaan ja tavoitteisiin integroidulle tasolle, mutta kerätyn tiedon hyödyntämisen koettiin silti olevan manuaalisten prosessien varassa useassa eri paikassa tai tiedostoissa. Riskejä kerrottiin kartoitettavan suurimmaksi osaksi kerran vuodessa, mutta niiden seurannan säännöllisyys jakautui tasaisesti vastauksissa aina kuukausittaisesta vuosittaiseen. Vastaajat kokivat riskienhallinnan olevan organisaatioissaan hyvin integroitu strategiaan ja tavoitteisiin, ja jo lähes puolet vastaajista kertoi riskienhallinnan kattavan myös mahdollisuuksien arvioinnin.
Reilusti yli puolet vastaajista kertoi, että organisaatiolla on käytössään riskienhallinnan oma tietojärjestelmä, ja enää noin kolmannes kertoi tekevänsä riskienhallintaa Excelillä tai vastaavalla tyypillisellä taulukkolaskentaohjelmalla. Tämä on toki paitsi mainio, myös luonteva kehityssuunta, koska uusien säädösten ja direktiivien vuoksi vaatimustenmukaisuus vaatii yhä tarkempaa tietojen dokumentointia ja raportointia. Tarkoitukseen soveltuva järjestelmä mahdollistaa myös esimerkiksi toteutuneiden riskien seurannan, jota vastausten perusteella mukavasti organisaatioissa suoritetaan.
Yllätyshavainto – Compliance-mörkö
Organisaation merkittävimpiä uhkia koskien nousi yksi yllättävä vastaus ylitse muiden. Merkittävimmän uhkan koettiin odotetusti olevan kyber- ja tietoturvallisuuteen liittyvät riskit, mutta seuraavaksi merkittävimmäksi uhkaksi vastaajat olivat nostaneet lainsäädännön, sääntelyn ja vaatimustenmukaisuuden. Tämä yllätti meitä Granitella suuresti, mutta lisääntyneen sääntelyn ja uusien EU:n direktiivien organisaatioille tuoma lisätyö ja epävarmuus niiden toteuttamisesta kertovat toisaalta siitä, että riskienhallinnan dedikoiduille työkaluille on tarve ja organisaatiot saavat niistä tarkoituksenmukaista lisäarvoa. Vastaajien oma arvio organisaationsa kyvystä vastata uusin vaatimuksiin oli yllättävän alhainen, sillä kaksi kolmasosaa vastasi valmiuden olevan ainoastaan kohtalainen. Vain yksi kolmannes arvioi valmiuden olevan hyvällä tasolla.
Mahdollisuuksien puolella ’ympäristö ja vastuullisuus’ nousi kolmen eniten vastauksia keränneen joukkoon. Vastuullisuus vaikuttaisi siis olevan se vaatimustenmukaisuuden osa-alue, jossa nähdään uhkien lisäksi kilpailuetua ja mahdollisuuksia. Muita eniten vastauksissa korostuneita mahdollisuuksia olivat teknologia ja kysyntä markkinoilla.
Ulos siiloista
Riskienhallinnan kehittämisen haasteina vastaajat nostivat esille riskienhallinnan arvon ymmärryksen, sekä tietojen siiloutumisen. Tähän haasteeseen Granite pyrkii vastaamaan kehittämällä palveluitaan jatkuvasti asiakkaidemme kehittyvien tarpeiden mukaan, minkä vuoksi lähdimme viime vuonna toteuttamaan mittavaa arkkitehtuurimuutosta koko järjestelmässä. Tämä arkkitehtuurimuutos mahdollistaa Graniten työkalujen väliset relaatiot ja tiedonsiirron, mikä tarkoittaa parempaa ja kattavampaa kokonaiskuvaa esimerkiksi havaintojen ja niiden pohjalta arvioitujen riskien osalta. Lue lisää Graniten relaatio-ominaisuuksista ja alustauudistuksesta täältä.
Alustauudistuksen lisäksi Granitella on tehty kattavaa kartoitusta tekoälyn hyödyntämisen mahdollisuuksista riskienhallinnassa, ja myös tämä vaikuttaa kyselyn vastausten perusteella olevan toivottu kehityssuunta. Vain noin viidesosa vastaajista kertoi käyttävänsä tällä hetkellä tekoälyä riskienhallintatyössä, mutta kiinnostusta siihen oli yli puolella vastaajista.
Lopuksi
Vaatimustenmukaisuus ja lainsäädäntö ovat vastausten perusteella riskienhallintaa tekeville ajatuksia herättäviä aiheita ja niihin liittyy paljon lisätyötä. Kysely toi meille arvokasta lisätietoa siitä, kuinka voimme omalta osaltamme osallistua keskusteluun ja tukea organisaatioita näiden haasteiden kohtaamisessa. Granite on vastausten perusteella ottanut tärkeitä askeleita samaan suuntaan kuin suomalainen riskienhallinta on kehittynyt kovaa vauhtia. Organisaatiot hakevat kokonaisvaltaisempaa, mutta silti ketterää alustaratkaisua, ja kehityskohteina nähdään yleisesti edelleen esimerkiksi johdon sitouttaminen riskienhallinnan toteuttamiseen, sekä sen jalkautus läpi organisaation.
Haluatko keskustella asiantuntijamme kanssa, millaisia ratkaisuja Granitella on tarjota tietoturvallisuuden NIS2 direktiivin vaatimusten täyttämiseen tai CSRD Kestävyysraportoinnin hallintaan? Varaa aikasi täältä!
Julkaistu 29.1.2025