Riskienhallinnan maturiteetti, eli kypsyys, kuvastaa sitä, missä määrin organisaation riskienhallinta on integroitu osaksi organisaation toimintaa ja miten hyvin se tukee liiketoiminnan tavoitteiden saavuttamista. Riskienhallinnan kypsyyttä voidaan organisaatiossa arvioida tarkastelemalla seitsemää osa-aluetta.
Nämä osa-alueet ovat:
- ERM-mallin käyttöönottotaso
- ERM-prosessin hallinta
- Riskintunnistusherkkyys- ja kyvykkyys
- Riskinottohalukkuuden hallinta
- Juurisyiden tutkinta
- Tulosohjaus
- Liiketoiminnan resilienssi.
Näiden osa-alueiden arviointi auttaa organisaatiota ymmärtämään sen nykyisen riskienhallinnan tilan, tunnistamaan vahvuudet ja kehityskohteet sekä suunnittelemaan toimenpiteitä riskienhallintakyvykkyyden parantamiseksi ja liiketoiminnallisten tavoitteiden saavuttamiseksi. Tässä artikkelissa käymme läpi mitä osa-alueet tarkoittavat.
1. ERM-mallin käyttöönottotaso:
- Liiketoimintaprosessien määrittely ja riskien hallinta: Kuinka hyvin riskienhallinta on integroitu osaksi liiketoimintaprosesseja ja kuinka selkeästi riskit on määritelty ja dokumentoitu.
- Etulinjan ja tukiprosessin omistajan osallistuminen: Kuinka aktiivisesti organisaation eri osastojen omistajat ovat mukana riskienhallintaprosessissa.
- Pitkän tähtäimen riskienhallintavisio: Organisaation visio siitä, miten riskienhallinta tukee pitkän aikavälin tavoitteita ja päätöksentekoa.
- Johto- ja hallitustason tuki ERM-mallille: Kuinka vahvasti organisaation ylimmän johdon ja hallituksen tuki on riskienhallinnan kehittämiselle.
2. ERM prosessin hallinta:
- ERM-mallin toteutuminen käytännössä organisaation kaikissa toiminnoissa: Kuinka laajasti ja systemaattisesti ERM-mallia sovelletaan eri osa-alueilla.
- Riskienhallinnan prosessien noudattaminen parhaiden käytäntöjen mukaisesti: Kuinka hyvin riskienhallinnan prosessi noudattaa parhaita periaatteita riskien tunnistamisessa, arvioinnissa, lievittämisessä ja valvomisessa.
3. Riskintunnistusherkkyys- ja kyvykkyys:
- Riskiarvioiden laatu ja kattavuus: Miten hyvin riskiarviot kattavat erilaiset riskit ja niiden mahdolliset vaikutukset.
- Riskitiedon keräämismenetelmät, riskinarviointiprosessit ja yhteismitallisuus: Kuinka tehokkaasti organisaatio kerää ja analysoi riskitietoa.
- Riskitiedon korreloivuus ja trendit koko organisaatiossa: Miten hyvin riskitiedot ja niiden trendit jaetaan ja ymmärretään organisaation eri osissa.
4. Riskinottohalukkuuden hallinta:
- Ymmärrys riski-hyöty -suhteista ja riskivastuista: Kuinka selkeästi organisaatio ymmärtää riskeihin liittyvät hyödyt ja vastuut.
- Tehokkuus mahdollisen ja todellisen riskin eron kaventamisessa: Kuinka hyvin organisaatio pystyy pienentämään mahdollisten riskien ja todellisten vaikutusten välistä kuilua.
5. Juurisyiden tutkinta:
- Riskin juurisyiden ja lähteiden tunnistaminen ja arviointi: Kuinka systemaattisesti organisaatio tunnistaa riskien juurisyitä ja niiden vaikutuksia.
6. Tulosohjaus:
- Vision ja strategian toteutumisen taso: Miten hyvin riskienhallinta tukee organisaation vision ja strategian saavuttamista.
- Ydintavoitteiden suunnittelu, viestintä ja mittaaminen: Kuinka hyvin riskiperusteinen prosessi auttaa organisaatiota suunnittelemaan ja mittaamaan ydintavoitteitaan.
7. Liiketoiminnan resilienssi:
- Riskiperusteinen lähestymistapa toiminnan jatkuvuuteen: Kuinka hyvin organisaatio ottaa huomioon riskit liiketoiminnan jatkuvuuden ja resilienssin suunnittelussa.
Riskienhallinnan kypsyystaso kehittyy vaiheittain
Riskienhallinnan kypsyyden kehittyessä jokainen yllämainittu osa-alue etenee vaiheittain. Nämä vaiheet ulottuvat reaktiivisesta riskienhallinnasta optimoituun riskienhallintaan. Lue lisää riskienhallinnan kypsyystasoista täältä. Jos haluat arvioida oman organisaatiosi riskienhallinnan kypsyystason kokeile Graniten Riskienhallinnan kypsyystaso -arviointityökalua.