Riskienhallinnan maturiteetti, eli kypsyys, kuvastaa sitä, missä määrin organisaation riskienhallinta on integroitu osaksi organisaation toimintaa ja miten hyvin se tukee liiketoiminnan tavoitteiden saavuttamista. Riskienhallinnan maturiteetin tarkastelu etenee useissa vaiheissa, jotka ulottuvat alustavasta ja hajanaisesta riskienhallinnasta jatkuvasti optimoivaan riskienhallintaan. Arvioinnissa tarkastellaan seuraavia osa-alueita:
• ERM-mallin käyttöönottotaso
• ERM-prosessin hallinta
• Riskintunnistusherkkyys- ja kyvykkyys
• Riskinottohalukkuuden hallinta
• Juurisyiden tutkinta
• Tulosohjaus
• Liiketoiminnan resilienssi
Tässä artikkelissa käymme läpi riskienhallinnan viisi kypsyys-, eli maturiteettitasoa ja niiden ominaispiirteitä.
1. Alustava ad/hoc: Reaktiivista riskien käsittelyä
Yhteenveto: Riskienhallinnan ensimmäisellä kypsyystasolla organisaation riskienhallinta on reaktiivista ja satunnaista. Riskejä arvioidaan pakon edessä, ja niiden hallinta on hajanaista. Organisaation riskienhallinnalla on puutteita resursseissa, ymmärryksessä ja osaamisessa. Tunnistetuilta riskeiltä puuttuu omistajuus, eikä riskien kehittymistä seurata systemaattisesti. Riskejä ei myöskään ole linkitetty liiketoiminnan tavoitteisiin, strategiaan tai johtamiseen.
ERM-mallin käyttöönottotaso: Riskienhallinta on tapauskohtaista. Tietoisuus ja ymmärrys riskienhallinnan tärkeydestä on rajallista koko organisaatiossa. Riskien hallintaan ei ole johdonmukaisia ohjeita.
ERM-prosessinhallinta: Riskienhallintaprosesseja ei ole vielä luotu tai dokumentoitu. Riskienhallintaprosessilla ei ole muodollista hallintoa tai hallintaa.
Riskien tunnistaminen: on olematonta. Järjestelmällisistä prosesseista tai menetelmistä puuttuu riskien kokonaisvaltainen tunnistaminen. Organisaation riskitietoisuus on alhaisella tasolla.
Riskinottokyvyn hallinta: Organisaatiossa ei ole määriteltyä riskinottohalukkuutta tai ymmärrystä organisaation riskinsietokyvykkyydestä. Riskinottopäätökset tehdään tapauskohtaisesti.
Juurisyiden tutkinnan systemaattisuus: Organisaatiosta puuttuu riskien ja vaaratilanteiden systemaattinen analysointi. Ongelmia käsitellään pintatasolla, tunnistamatta tai puuttumatta perimmäisiin syihin.
Tulosohjaus: Riskienhallinnan tehokkuuden mittaamiseksi ei ole määriteltyjä keskeisiä suorituskykyindikaattoreita (KPI) tai muita mittareita. Toimenpiteitä ei seurata eikä suorituksia arvioida.
Liiketoiminnan resilienssi ja kestävyys: Organisaatio ei juurikaan keskity toimintansa pitkän aikavälin kestävyyteen tai resilienssiin. Organisaatio reagoi ensisijaisesti häiriöihin, eikä sillä ole suunnitelmia toiminnan jatkuvuudelle.
2. Toistettava/hajanainen: Dokumentoinnista irrallisuuteen
Yhteenveto: Riskienhallinnan kypsyysmallin toisella tasolla organisaatio on aloittanut riskienhallinnan peruskäytäntöjen luomisen. Tässä vaiheessa riskienhallinnassa painottuu kuitenkin hajanainen dokumentointi. Riskienhallinnan prosessit ovat epäjohdonmukaisia ja usein manuaalisia. Ne ovat irrallaan liiketoiminnan arjesta, ja riskienhallinnan tuottama data ei välttämättä ole liiketoiminnan kannalta arvokasta. Määritysten puute vaikeuttaa tehokkuuden mittaamista.
ERM-mallin käyttöönottotaso: Organisaatio on aloittanut riskienhallinnan peruskäytäntöjen luomisen. Prosessit ja ohjeet on osittain dokumentoitu, mutta niitä ei välttämättä noudateta johdonmukaisesti. Osa riskeistä tunnistetaan ja arvioidaan, muttei ennakoivasti.
ERM-prosessinhallinta: Riskienhallinnan perusprosessit on luotu, mutta niitä ei noudateta johdonmukaisesti. Joitakin asiakirjoja ja ohjeita riskienhallintaan on olemassa, vaikka ne eivät ole laajasti tiedossa tai käytössä. Riskienhallintaprosessin muodollisen hallinnan kasvava tarve on tunnistettu.
Riskien tunnistaminen: Organisaatio alkaa luoda prosesseja ja menetelmiä riskien tunnistamiseen. Riskien tunnistamistoimista on tulossa johdonmukaisempia ja jäsennellympiä, vaikka ne eivät välttämättä kata kaikkia mahdollisia riskejä. Organisaation riskitietoisuus alkaa kasvaa.
Riskinottokyvyn hallinta: Organisaatiossa aletaan tunnistaa tarve määrittää riskinottohalua. Alustavia keskusteluja ja pohdintoja riskinsietokyvystä käydään, vaikka niitä ei ehkä ole virallistettu. Riskinottopäätökset ovat yhä paremmin linjassa organisaation tavoitteiden kanssa.
Juurisyiden tutkinnan systemaattisuus: Organisaatio alkaa kehittää toimintamalleja riskien ja vaaratilanteiden juurisyiden tunnistamiseksi ja käsittelemiseksi. Tietoisuus juurisyyanalyysin tärkeydestä kasvaa, vaikka sitä ei ehkä sovelleta johdonmukaisesti.
Tulosohjaus: Organisaatio alkaa ymmärtää tulosjohtamisen merkityksen riskienhallinnassa. Perustavat tehokkuusindikaattorit ja -mittarit tunnistetaan, vaikka niiden mittaus saattaa olla epäjohdonmukaista. Suorituskyvyn alustavaa seurantaa tapahtuu jonkin verran.
Liiketoiminnan resilienssi ja kestävyys: Organisaatio tunnistaa liiketoiminnan jatkuvuuden ja resilienssin merkityksen. Mahdollisten häiriöiden käsittelemiseksi otetaan käyttöön perustoimenpiteitä ja -suunnitelmia, vaikka ne eivät ole vielä kattavia tai tai johdonmukaisesti sovellettuja. Kehitetään alustavia jatkuvuussuunnitelmia.
3. Määritelty: Matkalla kokonaisvaltaisempaan riskienhallintaan
Yhteenveto: Riskienhallinnan kolmannella kypsyystasolla riskienhallinta alkaa jalkautua kokonaisvaltaisesti organisaatioon taso tasolta ja osasto osastolta. Riskitiedon ja riskienhallintaosaamisen siiloutumisesta pyritään eroon määritellyillä prosesseilla, mutta johdonmukaisuudessa on puutteita. Riskienhallinnan prosessien integrointi, vastuutus, seuranta ja jatkuvuus ovat alkuvaiheessa, ja sama koskee operatiivisten ja liiketoiminnan riskien systemaattista raportointia.
ERM-mallin käyttöönottotaso: Riskienhallintakäytäntöjä on dokumentoitu ja niiden noudattaminen johdonmukaistuu koko organisaatiossa. Riskienhallinnan roolit ja vastuut on määritelty selkeästi. Riskienhallinta liittyy olennaisena osana päätöksentekoprosesseihin. Riskejä tunnistetaan, arvioidaan ja seurataan systemaattisesti.
ERM-prosessinhallinta: Riskienhallintaprosessit on hyvin määritelty ja dokumentoitu. Niitä seurataan johdonmukaisesti koko organisaatiossa. Organisaatio perustaa muodollisen hallintorakenteen hallitakseen riskienhallintaprosessia tehokkaasti.
Riskien tunnistaminen: Organisaatio luo vankkoja prosesseja, menetelmiä ja työkaluja riskien tunnistamiseen. Riskien tunnistaminen on jo systemaattista ja osin ennakoivaa, ja siihen osallistetaan kaikki asiaankuuluvat sidosryhmät. Mahdolliset riskit käsitellään kattavasti ja riskitietoisuus on korkea.
Riskinottokyvyn hallinta: Organisaatio määrittelee hyväksymänsä riskien määrän, tasot, tyypit ja luokat. Riskinsietokyvykkyyden tasot dokumentoidaan ja niistä tiedotetaan koko organisaatiota. Riskinottotoimintojen yhdenmukaistaminen määritellyn riskinottohalun kanssa lisääntyy.
Juurisyiden tutkinnan systemaattisuus: Organisaatio kehittää rakenteen juurisyiden analysointiin. Taustalla vaikuttavia syitä tunnistetaan ja analysoidaan systemaattisesti riskien ja vaaratilanteiden tekijöiden ymmärtämiseksi. Toimenpiteisiin ryhdytään juurisyiden toteutumisen ja toistumisen estämiseksi.
Tulosohjaus: Organisaatio laatii asianmukaisia KPI-mittareita ja muita mittareita riskienhallinnan tehokkuuden mittaamiseksi. Suoritusta seurataan ja arvioidaan jatkuvasti näiden indikaattoreiden pohjalta. Organisaatio tunnistaa tulosten perusteella kehittämiskohteita.
Liiketoiminnan resilienssi ja kestävyys: Organisaatio laatii hyvin määritellyt liiketoiminnan kestävyys-, resilienssi- ja jatkuvuusstrategiat. Liiketoiminnan jatkuvuussuunnitelmia ja kriisinhallintaprosesseja kehitetään ja dokumentoidaan ja niistä tiedotetaan koko organisaatiota. Valmiudet tehokkaaseen häiriöiden ennakointiin ja niihin reagointiin kasvavat.
4. Integroituva: Osastojen välisestä yhteistyöstä tehokkuuteen
Yhteenveto: Organisaatiolla on osastojen välinen strategia riskien hallintaan ja resilienssin kehittämiseen. Strategian toteutuminen nojaa eri toimintojen väliseen yhdenmukaiseen riskienhallintaan, prosesseihin, läpinäkyvään tiedonjakoon ja teknologiaan. Kaikki prosessit eivät ole vielä täysin integroituja, mutta painopiste on siirtynyt uhkakuvista ja ongelmien välttämisestä ketterään optimointiin.
ERM-mallin käyttöönottotaso: Organisaation riskienhallintakäytännöt ovat kypsiä ja integroituvat kaikkiin organisaation toimintoihin. Riskien tunnistamiseen, arviointiin ja vähentämiseen käytetään jäsenneltyä lähestymistapaa. Riskienhallinta nähdään strategisena toimintona ja ylin johto tukee aktiivisesti riskienhallinnan aloitteita.
ERM-prosessinhallinta: Riskienhallintaprosessit ovat kypsiä ja integroituvat kaikkiin organisaation toimintoihin. Riskienhallinnassa on vakiintunut hallintorakenne, jossa on selkeät roolit ja vastuut. Riskienhallinnassa korostuu jatkuva kehittyminen ja oppiminen.
Riskien tunnistaminen: Riskien tunnistaminen muodostuu olennaiseksi osaksi organisaation toimintaa. Toimintaympäristön riskitilannetta seurataan ja päivitetään jatkuvasti. Riskien tunnistamisen ja arvioinnin prosessit ovat kokonaisvaltaisia ja ennakoivia.
Riskinottokyvyn hallinta: Organisaatio hallitsee aktiivisesti riskinottohalukkuuttaan ja päivittää sitä säännöllisesti muuttuvien sisäisten ja ulkoisten tekijöiden perusteella. Riskinottohalukkuus kommunikoidaan koko organisaatiolle ja integroidaan strategisiin suunnitteluprosesseihin. Riskinottopäätökset tehdään ottaen huomioon organisaation riskinsietokyky.
Juurisyiden tutkinnan systemaattisuus: Juurisyyanalyysistä tulee olennainen osa riskienhallintakäytäntöjä. Organisaatio soveltaa johdonmukaisesti menetelmiä ja tekniikoita juurisyiden tunnistamiseksi ja käsittelemiseksi. Aiemmista tapahtumista saatuja kokemuksia hyödynnetään aktiivisesti riskienhallintakäytäntöjen parantamiseksi.
Tulosohjaus: Suorituskyvyn johtamisesta tulee olennainen osa organisaation riskienhallintakäytäntöjä. Organisaatio kehittää rakenteen kehyksen riskienhallinnan suorituskyvyn seurantaan ja raportointiin. Tuloksia käytetään jatkuvaan parantamiseen ja päätöksentekoprosessien tukemiseen.
Liiketoiminnan resilienssi ja kestävyys: Organisaation lähestymistapa liiketoiminnan jatkuvuuteen ja kestävyyteen kehittyy ennakoivaksi. Liiketoiminnan jatkuvuussuunnitelmia testataan, tarkistetaan ja päivitetään säännöllisesti. Organisaatio painottaa jatkuvaa parantamista ja aiemmista häiriöistä oppimista. Organisaatio hallitsee aktiivisesti riskejä varmistaakseen pitkän aikavälin kestävyyden.
5. Optimoiva: Riskienhallinnasta liiketoiminnan ytimiin
Yhteenveto: Riskienhallinta ja resilienssin kehittäminen on täysin integroitua koko liiketoimintaan. Riskienhallintaa tarkastellaan suhteessa suorituskykyyn ja tavoitteisiin. Johdonmukaiset, olennaiset ja yhdenmukaiset ydinriskiprosessit kattavat koko organisaation arjen toiminnan kitkattomasti ja kustannustehokkaasti.
ERM-mallin käyttöönottotaso: Riskienhallinta on täysin ennakoivaa ja kattavaa organisaation kaikilla tasoilla. Koko organisaation laajuinen riskienhallintatapa on laajalti käytössä. Riskienhallinnan käytännöt on integroitu erilaisiin liiketoimintaprosesseihin, päätöksentekotoimintoihin ja juurtunut syvälle organisaatiokulttuuriin.
ERM-prosessinhallinta: Riskienhallintaprosesseja tarkistetaan jatkuvasti ja mukautetaan muuttuviin olosuhteisiin. Ne ovat juurtuneet organisaation kulttuuriin ja toimintaan. Riskienhallinnan hallintorakenne tukee riskienhallintakäytäntöjen jatkuvaa parantamista.
Riskien tunnistaminen: Organisaatio keskittyy jatkuvasti esiin nousevien riskien paljastamiseen ja niiden mahdollisten vaikutusten arviointiin. Riskien tunnistamisprosesseja tarkistetaan ja mukautetaan säännöllisesti uusien ja kehittyvien riskien havaitsemiseksi. Riskitietoisuus ja -ymmärrys on juurtunut syvälle organisaatiokulttuuriin.
Riskinottokyvyn hallinta: Riskinottohalukkuus on täysin integroitu kaikkiin päätöksentekoprosesseihin. Riskinottotoimia seurataan ja arvioidaan johdonmukaisesti suhteessa määriteltyyn riskinottohalukkuuteen. Riskinottohalukkuus ymmärretään ja omaksutaan laajasti koko organisaatiossa, mikä kehittää organisaation kulttuuria ja riskitietoista ajattelutapaa.
Juurisyiden tutkinnan systemaattisuus: Organisaation juurisyyanalyysit ovat osa toiminnan rakenteita. Juurisyitä tutkitaan systemaattisesti ja perusteellisesti, mikä mahdollistaa ennakoivan riskienhallinnan ja tulevien tapausten ehkäisyn. Organisaatio painottaa jatkuvaa parantamista ja oppimista perussyyanalyysistä.
Tulosohjaus: Organisaatiolla on kattava riskienhallintajärjestelmä. Suorituskykyindikaattoreita tarkistetaan ja jalostetaan säännöllisesti sen varmistamiseksi, että ne vastaavat organisaation tavoitteita. Suoritustietoja hyödynnetään strategisten päätösten tekemiseen ja riskienhallintakäytäntöjen jatkuvaan parantamiseen.
Liiketoiminnan resilienssi ja kestävyys: Organisaation rakenteet tukevat resilienssiä ja jatkuvuutta. Sillä on kattava ja integroitu lähestymistapa riskien ja häiriötilanteiden ennakoimiseen, niihin reagoimiseen ja niistä toipumiseen. Toiminnan jatkuvuussuunnitelmat on sisällytetty organisaation toimintaan, ja resilienssistrategioita pyritään jatkuvasti parantamaan ja optimoimaan. Organisaatio pyrkii aktiivisesti varmistamaan pitkän aikavälin kestävyyden ottamalla huomioon nousevat riskit ja toteuttamalla ennakoivia toimenpiteitä.
Kypsyyden kehittäminen edellyttää toimenpiteitä jokaisessa vaiheessa
Riskienhallinnan maturiteettitaso kuvastaa organisaation valmiutta tunnistaa, arvioida ja hallita riskejä. Tavoitteena on siirtyä reaktiivisesta riskienhallinnasta kohti optimoitua riskienhallintaa, joka on integroitu osaksi liiketoimintaprosesseja. Jokainen vaihe edellyttää tietoisia toimenpiteitä, resurssien kohdentamista ja johdonmukaista sitoutumista riskienhallinnan kehittämiseen. Tavoitteena on varmistaa, että organisaatio on valmis kohtaamaan haasteet ja hyödyntämään mahdollisuudet, kun ne ilmenevät.
Tuloksia käytännön riskienhallinnasta
Kun haluat tietää, miten riskienhallinta tuodaan osaksi liiketoiminnan strategiaa ja tulosohjausta käytännön tasolla, osallistu Graniten veloituksettomaan riskienhallintawebinaarin. Varaa paikkasi täällä!
Julkaistu 15.8.2023