Riskienhallinnan maturiteetti, eli kypsyys, kuvastaa sitä, missä määrin organisaation riskienhallinta on integroitu osaksi organisaation toimintaa ja miten hyvin se tukee liiketoiminnan tavoitteiden saavuttamista. Riskienhallinnan maturiteetin tarkastelu etenee useissa vaiheissa, jotka ulottuvat alustavasta ja hajanaisesta riskienhallinnasta jatkuvasti optimoivaan riskienhallintaan. Arvioinnissa tarkastellaan seuraavia osa-alueita:

• ERM-mallin käyttöönottotaso
• ERM-prosessin hallinta
• Riskintunnistusherkkyys- ja kyvykkyys
• Riskinottohalukkuuden hallinta
• Juurisyiden tutkinta
• Tulosohjaus
• Liiketoiminnan resilienssi

Jos haluat ymmärtä tarkemmin mitä kukin osa-alue sisältää – lue lisää tästä!

Tässä artikkelissa käymme läpi riskienhallinnan viisi kypsyys-, eli maturiteettitasoa ja niiden ominaispiirteitä.

1. Alustava ad/hoc: Reaktiivista riskien käsittelyä

Yhteenveto: Riskienhallinnan ensimmäisellä kypsyystasolla vaiheessa organisaation riskienhallinta on reaktiivista ja satunnaista. Riskejä arvioidaan pakon edessä, ja niiden hallinta on hajanaista. Organisaation riskienhallinnalla on puutteita resursseissa, ymmärryksessä ja osaamisessa. Tunnistetuilta riskeiltä puuttuu omistajuus, eikä riskien kehittymistä seurata systemaattisesti. Riskejä ei myöskään ole linkitetty liiketoiminnan tavoitteisiin, strategiaan tai johtamiseen.
ERM-mallin käyttöönottotaso: Riskienhallinta on tapauskohtaista. Tietoisuus ja ymmärrys riskienhallinnan tärkeydestä on rajallista koko organisaatiossa. Riskien hallinnassa ei ole johdonmukaisia ohjeita.

ERM-prosessinhallinta: Riskienhallintaprosesseja ei ole vielä luotu tai dokumentoitu. Riskienhallintaprosessilla ei ole muodollista hallintoa tai hallintaa.

Riskien tunnistaminen: on olematonta. Järjestelmällisistä prosesseista tai menetelmistä puuttuu riskien kokonaisvaltainen tunnistaminen. Organisaation riskitietoisuus on alhaisella tasolla.

Riskinotto-kyvyn hallinta: Organisaatiossa ei ole määriteltyä riskinottohalukkuutta tai ymmärrystä organisaation riskinsietokyvykkyydestä. Riskinottopäätökset tehdään tapauskohtaisesti.

Juurisyiden tutkinnan systemaattisuus: Organisaatiosta puuttuu riskien ja vaaratilanteiden systemaattinen analysointi. Ongelmia käsitellään pintatasolla tunnistamatta tai puuttumatta perimmäisiin syihin.

Tulosohjaus: Riskienhallinnan tehokkuuden mittaamiseksi ei ole määriteltyjä keskeisiä suorituskykyindikaattoreita (KPI) tai muita mittareita. Toimenpiteitä ei seurata eikä suorituksia arvioida.

Liiketoiminnan resilienssi ja kestävyys: Organisaatio ei juurikaan keskity toimintansa pitkän aikavälin kestävyyteen tai resilienssiin. Organisaatio reagoi ensisijaisesti häiriöihin, eikä sillä ole suunnitelmia toiminnan jatkuvuudesta.

2. Toistettava/hajanainen: Dokumentoinnista irrallisuuteen

Yhteenveto: Riskienhallinnan kypsyysmallin toisella tasolla organisaatio on aloittanut riskienhallinnan peruskäytäntöjen luomisen. Tässä vaiheessa riskienhallinnassa painottuu kuitenkin hajanainen dokumentointi. Riskienhallinnan prosessit ovat epäjohdonmukaisia ja usein manuaalisia. Ne ovat irrallaan liiketoiminnan arjesta, ja riskienhallinnan tuottama data ei välttämättä ole liiketoiminnan kannalta arvokasta. Määritysten puute vaikeuttaa tehokkuuden mittaamista.

ERM-mallin käyttöönottotaso: Organisaatio on aloittanut riskienhallinnan peruskäytäntöjen luomisen. Prosessit ja ohjeet on osittain dokumentoitu, mutta niitä ei välttämättä noudateta johdonmukaisesti. Osa riskeistä tunnistetaan ja arvioidaan, muttei ennakoivasti.

ERM-prosessinhallinta: Riskienhallinnan perusprosessit on luotu, mutta niitä ei noudateta johdonmukaisesti. Joitakin asiakirjoja ja ohjeita riskienhallintaan on olemassa, vaikka ne eivät ole laajasti tiedossa tai käytössä. Riskienhallintaprosessin muodollisen hallinnan kasvava tarve on tunnistettu.

Riskien tunnistaminen: Organisaatio alkaa luoda prosesseja ja menetelmiä riskien tunnistamiseen. Riskien tunnistamistoimista on tulossa johdonmukaisempia ja jäsenneltympiä, vaikka ne eivät välttämättä kata kaikkia mahdollisia riskejä. Organisasaation riskitietoisuus alkaa kasvaa.

Riskinotto-kyvyn hallinta: Organisaatiossa aletaan tunnistaa tarve määritellä riskinottohalu. Alustavia keskusteluja ja pohdintoja riskinsietokyvystä käydään, vaikka niitä ei ehkä ole virallistettu. Riskinottopäätökset ovat yhä paremmin linjassa organisaation tavoitteiden kanssa.

Juurisyiden tutkinnan systemaattisuus: Organisaatio alkaa kehittää toimintamalleja riskien ja vaaratilanteiden juuri syiden tunnistamiseksi ja käsittelemiseksi. Tietoisuus juurisyyanalyysin tärkeydestä kasvaa, vaikka sitä ei ehkä sovelleta johdonmukaisesti.

Tulosohjaus: Organisaatio alkaa ymmärtää tulosjohtamisen merkityksen riskienhallinnassa. Perustavat tehokkuusindikaattorit ja -mittarit tunnistetaan, vaikka niiden mittaus saattaa olla epäjohdonmukaista. Suorituskyvyn alustavaa seurantaa tapahtuu jonkin verran.

Liiketoiminnan resilienssi ja kestävyys: Organisaatio tunnistaa liiketoiminnan jatkuvuuden ja resilienssin merkityksen. Mahdollisten häiriöiden käsittelemiseksi otetaan käyttöön perustoimenpiteitä ja -suunnitelmia, vaikka ne eivät ole vielä kattavia tai tai johdonmukaisesti sovellettuja. Kehitetään alustavia jatkuvuussuunnitelmia.

3. Määritelty: Matkalla kokonaisvaltaisempaan riskienhallintaan

Yhteenveto: Riskienhallinnan kolmannella kypsyystasolla riskienhallinta alkaa jalkautua kokonaisvaltaisesti organisaatioon taso tasolta ja osasto osastolta. Riskitiedon ja riskienhallintaosaamisen siiloutumisesta pyritään eroon määritellyillä prosesseilla, mutta johdonmukaisuudessa on puutteita. Riskienhallinnan prosessien integrointi, vastuutus, seuranta, jatkuvuus, sekä operatiivsten, että liiketoiminnan riskien systemaattinen raportointi alkuvaiheessa.

ERM-mallin käyttöönottotaso: Riskienhallintakäytäntöjä on dokumentoitu ja niiden noudattaminen johdonmukaistuu koko organisaatiossa. Riskienhallinnan roolit ja vastuut on määritelty selkeästi. Riskienhallintaan liittyy olennaisena osana päätöksentekoprosesseihin. Riskit tunnistetaan, arvioidaan ja seurataan systemaattisesti.

ERM-prosessinhallinta: Riskienhallintaprosessit ovat hyvin määritelty ja dokumentoitu. Niitä seurataan johdonmukaisesti koko organisaatiossa. Organisaatio perustaa muodollisen hallintorakenteen hallitakseen riskienhallintaprosessia tehokkaasti.

Riskien tunnistaminen: Organisaatio luo vankkoja prosesseja, menetelmiä ja työkaluja riskien tunnistamiseen. Riskien tunnistaminen on jo systemaattista ja osin ennakoivaa, ja siihen osallistetaan kaikki asiaankuuluvat sidosryhmät. Mahdolliset riskit on käsitellään kattavasti, ja riskitietoisuus on korkea.

Riskinotto-kyvyn hallinta: Organisaatio määrittelee hyväksymänsä riskien määrän, tasot, tyypit ja luokat Riskinsietokyvykkyyden tasot dokumentoidaan ja niistä tiedotetaan koko organisaatiossa. Riskinottotoimintojen yhdenmukaistaminen määritellyn riskinottohalun kanssa lisääntyy.

Juurisyiden tutkinnan systemaattisuus: Organisaatio kehittää rakenteen juurisyiden analysointiin. Taustalla vaikuttavia syitä tunnistetaan ja analysoidaan systemaattisesti riskien ja vaaratilanteiden tekijöiden ymmärtämiseksi. Toimenpiteisiin ryhdytään juurisyiden toteutumisen ja toistumisen estämiseksi.

Tulosohjaus: Organisaatio laatii asianmukaisia KPI-mittareita ja muita mittareita riskienhallinnan tehokkuuden mittaamiseksi. Suoritusta seurataan ja arvioidaan jatkuvasti näiden indikaattoreiden perusteella. Organisaatio tunnistaa tulosten perusteella kehittämiskohteita.

Liiketoiminnan resilienssi ja kestävyys: Organisaatio laatii hyvin määritellyt liiketoiminnan kestävyys- ja resilenssi- ja jatkuvuusstrategiat. Liiketoiminnan jatkuvuussuunnitelmia ja kriisinhallintaprosesseja kehitetään ja dokumentoidaan ja niistä tiedotetaan koko organisaatiossa. Valmiudet ennakoida ja reagoida häiriöihin tehokkaasti kasvavat.

4. Integroituva: Osastojen välisestä yhteistyöstä tehokkuuteen

Yhteenveto: Organisaatiolla on osastojen välinen strategia riskien hallintaan ja resilienssin kehittämiseen. Strategian toteutuminen nojaa eri toimintojen väliseen, yhdenmukaiseen riskienhallintaan, prosesseihin, läpinäkyvään tiedonjakoon ja teknologiaan. Kaikki prosessit eivät ole vielä täysin integroituja, mutta painopiste on siirtynyt uhkakuvien ja ongelmien välttämiseen ketterän optimoinnin sijaan.

ERM-mallin käyttöönottotaso: Organisaation riskienhallintakäytännöt ovat kypsiä ja integroituvat kaikkiin organisaation toimintoihin. Riskien tunnistamiseen, arviointiin ja vähentämiseen on käytössä jäsennelty lähestymistapa. Riskienhallinta nähdään strategisena toimintona, ja ylin johto tukee aktiivisesti riskienhallinnan aloitteita.

ERM-prosessinhallinta: Riskienhallintaprosessit ovat kypsiä ja integroituvat kaikkiin organisaation toimintoihin. Riskienhallinnassa on vakiintunut hallintorakenne, jossa on selkeät roolit ja vastuut. Riskienhallinnassa korostuu jatkuva kehittyminen ja oppiminen.

Riskien tunnistaminen: Riskien tunnistamisesta muodostuu olennaiseksi osaksi organisaation toimintaa. Toimintaympäristön riskitilannetta seurataan ja päivitetään jatkuvasti. Riskien tunnistamisen ja arvioinnin prosessit ovat kokonaisvaltaisia ja ennakoivia.

Riskinotto-kyvyn hallinta: Organisaatio hallitsee aktiivisesti riskinottohalukkuuttaa tarkistaen ja päivittää sitä säännöllisesti muuttuvien sisäisten ja ulkoisten tekijöiden perusteella. Riskinottohalukkuus kommunikoidaan koko organisaatiossa ja integroidaan organisaation strategisiin suunnitteluprosesseihin. Riskinottopäätökset tehdään ottaen huomioon organisaation riskinsietokyky.

Juurisyiden tutkinnan systemaattisuus: Juurisyyanalyysistä tulee olennainen osa riskienhallintakäytäntöjä. Organisaatio soveltaa johdonmukaisesti systemaattisia menetelmiä ja tekniikoita juurisyiden tunnistamiseksi ja käsittelemiseksi. Aiemmista tapahtumista saatuja kokemuksia hyödynnetään aktiivisesti riskienhallintakäytäntöjen parantamiseksi.

Tulosohjaus: Suorituskyvyn johtamisesta tulee olennainen osa organisaation riskienhallintakäytäntöjä. Organisaatio kehittää rakenteen kehyksen riskienhallinnan suorituskyvyn seurantaan ja raportointiin. Tuloksia käytetään jatkuvaan parantamiseen ja päätöksentekoprosessien tukemiseen.

Liiketoiminnan resilienssi ja kestävyys: Organisaation lähestymistapaa liiketoiminnan jatkuvuuteen ja kestävyyteen kehittyy ennakoivaksi. Liiketoiminnan jatkuvuussuunnitelmia testataan, tarkistetaan ja päivitetään säännöllisesti. Organisaation painottaa jatkuvaa parantamista ja aiemmista häiriöistä oppimista. Organisaatio hallitsee aktiivisesti riskejä varmistaakseen pitkän aikavälin kestävyyden.

5. Optimoiva: Riskienhallinnasta Liiketoiminnan Ytimiin

Yhteenveto: Riskienhallinta ja resilienssin kehittäminen ovat täysin integroituja koko liiketoimintaan. Riskienhallintaa tarkastellaan suhteessa suorituskykyyn ja tavoitteisiin. Johdonmukaiset, olennaiset ja yhdenmukaiset ydinriskiprosessit kattavat koko organisaation arjen toiminnan kitkattomasti ja kustannustehokkaasti.

ERM-mallin käyttöönottotaso: Riskienhallinta on täysin ennakoivaa ja kattavaa organisaation kaikilla tasoilla. Koko organisaation laajuinen riskienhallintatapa on laajalti käytössä. Riskienhallinnan käytännöt on integroitu erilaisiin liiketoimintaprosesseihin, päätöksentekotoimintoihin ja juurtunut syvälle organisaatiokulttuuriin.

ERM-prosessinhallinta: Riskienhallintaprosesseja tarkistetaan jatkuvasti ja mukautetaan muuttuviin olosuhteisiin. Ne ovat täysin juurtuneet organisaation kulttuuriin ja toimintaan. Riskienhallinnan hallintorakenne tukee riskienhallintakäytäntöjen jatkuvaa parantamista.

Riskien tunnistaminen: Organisaatio keskittyy jatkuvasti esiin nousevien riskien paljastamiseen ja niiden mahdollisten vaikutusten arviointiin. Riskien tunnistamisprosesseja tarkistetaan ja mukautetaan säännöllisesti uusien ja kehittyvien riskien havaitsemiseksi. Riskitietoisuus ja -ymmärrys on juurtunut syvälle organisaatiokulttuuriin.

Riskinotto-kyvyn hallinta: Riskinottohalukkuus on täysin integroitu kaikkiin päätöksentekoprosesseihin. Riskinottotoimia seurataan ja arvioidaan johdonmukaisesti suhteessa määriteltyyn riskinottohalukkuuteen. Riskinottohalukkuus ymmärretään ja omaksutaan laajasti koko organisaatiossa, mikä kehittää organisaation kulttuuria ja riskitietoista ajattelutapaa.

Juurisyiden tutkinnan systemaattisuus: Organisaation juurisyyanalyysit ovat osa toiminnan rakenteita. Juurisyitä tutkitaan systemaattisesti ja perusteellisesti, mikä mahdollistaa ennakoivan riskienhallinnan ja tulevien tapausten ehkäisyn. Organisaatio painottaa jatkuvaa parantamista ja oppimista perussyyanalyysistä.

Tulosohjaus: Organisaatiolla on kattava riskienhallintajärjestelmä. Suorituskykyindikaattoreita tarkistetaan ja jalostetaan säännöllisesti sen varmistamiseksi, että ne vastaavat organisaation tavoitteita. Suoritustietoja hyödynnetään strategisten päätösten tekemiseen ja riskienhallintakäytäntöjen jatkuvaan parantamiseen.

Liiketoiminnan resilienssi ja kestävyys: Organisaation rakenteet tukevat resilienssiä ja jatkuvuutta. Sillä on kattava ja integroitu lähestymistapa riskien ja häiriötilanteiden ennakoimiseen, niihin reagoimiseen ja niistä toipumiseen. Toiminnan jatkuvuussuunnitelmat on sisällytetty täysin organisaation toimintaan, ja resilienssistrategioita pyritään jatkuvasti parantamaan ja optimoimaan. Organisaatio pyrkii aktiivisesti varmistamaan pitkän aikavälin kestävyyden ottamalla huomioon nousevat riskit ja toteuttamalla ennakoivia toimenpiteitä.

Kypsyyden kehittäminen edellyttää toimenpiteitä jokaisessa vaiheessa

Riskienhallinnan maturiteettitaso kuvastaa organisaation valmiutta tunnistaa, arvioida ja hallita riskejä. Tavoitteena on siirtyä reaktiivisesta riskienhallinnasta kohti optimoitua riskienhallintaa, joka on täysin integroitu osaksi liiketoimintaprosesseja. Jokainen vaihe edellyttää tietoisia toimenpiteitä, resurssien kohdentamista ja johdonmukaista sitoutumista riskienhallinnan kehittämiseen. Tavoitteena on varmistaa, että organisaatio on valmis kohtaamaan haasteet ja hyödyntämään mahdollisuudet, kun ne ilmenevät. Jos haluat arvioida oman organisaatiosi riskienhallinnan kypsyystason kokeile Graniten Riskienhallinnan kypsyystaso -arviointityökalua.