Varaa esittely

Totuus riskienhallinnan kypsyystasoista?

Riskienhallinnan tavoite on mahdollistaa liiketoiminnan tavoitteiden saavuttamista tunnistaen ja halliten toimintaan liittyvien mahdollisuuksia ja uhkia. Alati muuttuvassa liiketoimintaympäristössä riskienhallinnan merkitys osana päätöksenteon ja johtamisen tietotarpeita on kasvanut merkittävästi.

State of Risk Management Finland on vuosittainen kyselytutkimus, joka mittaa suomalaisen riskienhallintakentän tilaa, kypsyyttä ja kynnyskysymyksiä. State of Risk Management -tutkimuksen tavoitteena on luoda kattava yleiskuva kotimaisen riskienhallintaosaamisen nykytilasta, kypsyydestä ja tärkeimmistä kynnyskysymyksistä.

State of Risk Management Finland 2023 -raportti avasi useita merkillepantavia näkökulmia kotimaisen riskienhallinnan tilanteeseen. Eräs huomionarvoisimmista koski riskienhallinnan periaatteita eri kypsyystasoilla.

Riskienhallinnan kypsyystasot

Riskienhallinnan kypsyystasot ovat mittareita, joilla arvioidaan organisaation kyvykkyyttä hallita riskejä. Mitä korkeampi kypsyystaso, sitä parempi organisaation kyky hallita riskejä ja kehittää tehokkaampia riskienhallintastrategioita.

Riskienhallinnan kypsyystaso 1.

Riskienhallinnan kypsyysmallin ensimmäinen taso on n. Ad hoc -vaihe: Tämä on organisaation alin riskienhallintakypsyystaso, jossa riskienhallinta ei ole systemaattista tai järjestelmällistä. Riskienhallintatoiminta on hajanaista ja vastuut ja toimintamallit eivät ole selkeästi määriteltyjä. Riskienhallinnan tärkeys on tiedostettu, mutta sitä ei ole vastuutettu, eikä konkreettisia toimenpiteitä ole tehty riskitilanteen parantamiseksi.

Riskienhallinnan kypsyystaso 2.

Riskienhallinnan kypsyysmallin toisella tasolla riskienhallintaa on aloiteltu, joko säätelyiden tai kumppaneiden vaatimuksista. Tässä vaiheessa organisaatio tunnistaa riskejä ja saattaa jopa suunnitella niihin kohdistuvia toimenpiteitä, mutta ei kovinkaan systemaattisesti tai säännöllisesti. Riskienhallintatoiminnassa saatetaan puhua tavoitteista, mutta käytännössä riskienhallinta on edelleen reaktiivista, eikä sitä ole integroitu organisaation liiketoimintaprosesseihin.

Riskienhallinnan kypsyystaso 3.

Riskienhallinnan kypsyysmallin kolmannelle tasolle sijoittuvat organisaatiot, joissa riskienhallinnalle on löydetty vastuuhenkilöt ja riskienhallinnassa käytetään omalle organisaatiolle määriteltyjä malleja ja menetelmiä, mutta ne eivät ole osa organisaation käytännön liiketoimintaa. Käytännön riskienhallintatyötä tehdään kuitenkin vain projektiluonteisesti tai määrätyin väliajoin. Riskienhallinnan systemaattinen kehittäminen alkaa vaatia investointeja, osallistamista ja jalkauttamista.

Riskienhallinnan kypsyystaso 4.

Riskienhallinnan kypsyysmallin neljännellä tasolla riskienhallinta on integroitu osaksi jokapäiväistä toimintaa. Riskienhallinnassa hyödynnetään selkeää arviointi- ja seurantaprosessia sekä riskienhallintatyön tukena on myös sitä helpottavia työkaluja. Tällä kypsyys tasolla riskienhallinta on entistä enemmän integroitu osaksi organisaation strategiaa ja liiketoimintaprosesseja. Riskienhallintaa mitataan ja seurataan säännöllisesti, ja riskejä arvioidaan sekä kvantitatiivisesti, että kvalitatiivisesti. Riskienhallinta alkaa olla osa päätöksentekoa.

Riskienhallinnan kypsyystaso 5.

Riskienhallinnan kypsyysmallin viidennellä tasolla riskienhallintaa käytetään aktiivisesti organisaation strategian ja liiketoimintatavoitteiden saavuttamiseen. Riskienhallinnassa hyödynnetään sitä varten suunniteltuja työkaluja, jotka toimivat organisaation ydinprosessien ja strategisen johtamisen tukijärjestelmänä.

Oman riskienhallintansa kypsyystason ymmärtäminen auttaa organisaatiota kehittämään tehokkaampia malleja toiminnan kehittämiseksi. Kypsä ja kokonaisvaltainen riskienhallinta strategia luo pohjan strategian toteutumiselle myös haastavassa liiketoimintaympäristössä.

State of Risk Management Finland -raportti paljastaa, että riskienhallintakäytäntöjen kypsyystasojen välillä on merkittäviä eroja organisaatioiden välillä. Pieni prosenttiosuus organisaatioista (4 %) ei tee systemaattista riskienhallintatyötä, mutta huomattava enemmistö (67 %) määrittelee sijoittuvansa kolmelle ensimmäisen kypsyysasteen piiriin, mikä tarkoittaa käytännössä, että niiden valtaosassa yrityksistä ja organisaatiosta riskienhallintatoimenpiteet ovat riittämättömiä vastaamaan niin johdon tietotarpeisiin kuin nykyaikaisen liiketoimintaympäristön vaatimuksiin, sillä niitä ei ole integroitu liiketoiminnan ydinprosesseihin.

Tämän lisäksi tutkimuksen data kertoo, että huomattava osa organisaatioista (39 %) käyttää edelleen Exceliä riskien hallintaan. Vaikka Excel saattaa sopia organisaatioille, joiden riskienhallintakypsyyden ja osaamisen on matala, se on yhä riittämättömämpi organisaatioiden edistyessä kohti korkeampaa riskikypsyystasoa, jossa riskienhallinta on tuotu osaksi organisaatioiden ydinliiketoimintaprosesseja.

State of Risk Management -tutkimuksen tuloksien arvioimien herättää monia kysymyksiä, joista painokkain lienee:  jos riskienhallinta ei ole osa liiketoiminnan ydinprosesseja, on syytä kysyä, miksi sitä ylipäätänsä tehdään? Miten mahdollisuudet saadaan hyödynnettyä ja uhkat vältettyä, jos päätöksenteon tueksi ei saada luotua ajantasaista riskikuvaa?

Jos tahdot kehittää oman organisaatiosi riskienhallinnan kypsyyttä, tutustu riskienhallinnan jalkauttamisen perusperiaatteisiin täällä.

Ota yhteyttä

Granitella raportointi sujuu mutkattomasti.

Anna Tamminen, Chief Security Officer, Pirkanmaan sairaanhoitopiiri

Granite on mahdollistanut riskienhallintatyön kehittymisen.

Rea Oikkonen, Pohjolan Voima, Ympäristöpäällikkö ja riskienhallinnan asiantuntija

Granite Partners Oy
info@granite.fi
Kauppakatu 3 A
Tampere 33200
0300472297 (vaihde)
FI19722011

Linkedin Twitter Youtube Facebook

Platform

Yritys

Tueksi ja opiksi

Ohjelmistoratkaisut

Toimialat

Työkalut