Blogi
Mistä on tehty organisaation vahva riskikulttuuri?
Monet riskit pohjautuvat organisaation kulttuurillisiin heikkouksiin. Miten organisaation riski- ja tietoturvakulttuuria voi sitten kehittää? Entä miten muissa yrityksissä tai maailmalla riskikulttuuria kehitetään ja millaista tutkimustietoa aiheen tiimoilta on saatavilla?
Tässä blogitekstissä käyn läpi eri tutkimusten pohjalta tunnistettuja hyviä käytäntöjä kehittää organisaation riskikulttuuria. Tekstissä hyödynnetyt lähteet löydät sivun alareunasta.
Mistä vahva riskikulttuuri koostuu?
McKinsey & Company Strengthening institutional risk and integrity culture (2020) -tutkimusraportissa riskikulttuurin on tunnistettu koostuvan neljästä isommasta teemasta, jotka pilkkoutuvat yhteensä kymmeneen alateemaan.
Pääteemat ovat tietoisuus, reagointikyky, läpinäkyvyys sekä luottamus.
Kulttuurin kehittyminen vaatii jatkuvaa oppimista myös kriisitilanteissa
Kun arvioit ja mittaat toimintaanne järjestelmällisesti ajattelutavan, käytäntöjen ja käyttäytymisen näkökulmasta, pystyt seuraamaan kehitystänne.
Sinulla täytyy olla käsitys lähtötilanteestanne ja tavat mitata toimintaanne, jotta tunnistat, missä muutosta on tapahtunut.
Huolella laadittu suunnitelma, mittareiden asettaminen ja aloitteiden tekeminen kulttuurin kehittämisen eteen eivät yksinään riitä. Luo edellytykset onnistuneelle kulttuurin muutokselle huomioimalla nämä viisi olennaista osaa riskikulttuurin kehittämisessä:
✅ Johdon rooli ja kulttuurin yhteys jokapäiväiseen tekemiseen.
✅ Omistajuus – riskienhallinnan määritelmän, mittauksen, raportoinnin ja kulttuurin kehittämisen vastuu tulee keskittää jollekulle henkilölle tai tiimille.
✅ Viesti ja hyödynnä dataa tiedonjakamisessa, jotta muutos on näkyvä ja vakuuttava. Muista kertoa miksi ja miten kulttuurin muutos auttaa organisaatiota ja vaikuttaa yksilöön.
✅ Kulttuurin muutos vie aikaa. Palkitse ja kerro onnistumisista ja vahvista muutosta säännöllisesti.
✅ Sitoutuminen muutokseen. Erityisesti esihenkilöiden sitoutuminen kehitysideoiden läpivientiin ja esimerkkinä olemiseen on äärimmäisen tärkeää. Ylimmän johdon sitoutuminen ei riitä, vaan muutosta tulee tukea ja viedä eteenpäin organisaation jokaisella tasolla.
Vaikutusmalli kulttuurin kehittämiseen
Ennakoi ja ota proaktiivisia askeleita riskikulttuurin kehittämisessä ja ylläpitämisessä niin normaalissa tilassa, stressaavina aikoina ja muutostilanteissa.
Disruptiot, maailman laajuiset pandemiat, suuret ja pienet kriisit yleistyvät
Eri alojen disruptiot eivät enää ole erityisen harvinaisia, maailma saattaa muuttua muutamassa päivässä ja pienistä riskeistä voi eskaloitua suuria riskejä nopeasti heikon ennakoinnin myötä. Harhat siitä, että omasta organisaatiosta ei löytyisi mitään muita kiinnostavaa tietoa, on väärä.
Turvallisuudessa uhkat ovat muuttaneet muotoaan. Digitaalinen ja fyysinen maailma sekoittuvat yhä enemmän toisiinsa ja siihen liittyvät kyber- ja hybriditurvallisuuden merkitys korostuvat entisestään turvallisuusalalla tulevaisuudessa. Tärkeintä on muistaa katsoa turvallisuutta kokonaisuutena eli mikä vaikuttaa mihinkin”, VTT:n turvallisuuspäällikkö Ilona Sutela kertoo.
Muista nämä 3️⃣ asiaa dynaamisesta riskienhallinnasta
McKinsey & Companyn Meeting the future: Dynamic risk management for uncertain times (2020) -raportin mukaan dynaaminen riskienhallinta koostuu kolmesta toimintatavasta:
Aikaa riskien ja mahdollisuuksien tunnistustyöhön hallitustasolla
EY: n maailmanlaajuinen Global Board Risk Survey 2021 -riskitutkimus kertoo, että hallitusten on ryhdyttävä päättäväisiin toimiin riskienhallinnan optimoimiseksi sekä uusien strategisten mahdollisuuksien hyödyntämiseksi.
Tutkimus kertoo alla olevien kolmen seikan olevan tunnusmerkkejä tehokkaasta riskienhallinnasta hallituksen näkökulmasta:
1️⃣ Riskejä lähestytään pitkän aikavälin näkökulmasta. Tutkimuksen mukaan on järkevää arvioida riskejä ja strategiaa pitkällä aikavälillä – yli viiden vuoden aikaikkunalla.
2️⃣ Riskienhallinnan prioriteetit ovat samassa linjassa strategian kanssa. Tämän päivän riskit ovat merkittäviä, mutta strategiset mahdollisuudet ovat riskejä suurempia. Teknologian disruptio ja muuttuva asiakkaiden käyttäytyminen nähdään keskeisinä strategisina mahdollisuuksina.
3️⃣ Riskienhallinnassa keskittyminen terävöityy nouseviin, epätyypillisiin ja ulkoisiin riskeihin. Yrityksen hallituksen tasolla on käytettävä tarpeeksi aikaa nousevien riskien ja mahdollisuuksien tunnistamiseen esimerkiksi kvartaalitasolla sekä strategiapäivien yhteydessä.
Riskienhallinta on kokonaisuus, johon kuuluvat ihmiset, toimintatavat ja teknologia – vältä päälleliimattuja toimintatapoja
Riskienhallinnassa kaiken ytimessä on tietoisuus omasta toiminnasta. Rehellinen lähtötilannekartoitus on hyvä aloitus kulttuurin kehittämiselle, olipa kyseessä riskienhallinta tai tietosuoja-asiat.
Tietoturvallisuudessa yleensä tekninen suojaus on korostettuna, ja ennalta ehkäiseminen sekä jatkostepit ovat jääneet taka-alalle.
Organisaatiossa vallitseva asenne, läpinäkyvyys, esihenkilöiden ja johdon esimerkki sekä moraali ovat asioita, joilla voit vaikuttaa kulttuurin kehittymiseen.
Harjoittelemalla kriisitilanteita, pystytte yhdessä kehittämään toimintaanne sekä lyhentämään kriiseistä palautumistanne.
Organisaation toimintamallien tulee luoda raamit kehittymiselle ja heikkouksien näkemiselle
Jani alle viivaa myös sitä, että organisaation tulee löytää heille itselleen sopivat tavat yhdistää ihmiset, toimintatavat ja teknologia ja ylläpitää näiden tasapainoa omassa toiminnassaan.
Resilienssi, jatkuva oppiminen ja eteenpäin meneminen – Toyotan esimerkki ja PDCA-malli
McKinsey Global Instituten Risk, resilience, and rebalancing in global value chains -raportissa (2020) mainitaan resilienssin kehittämisestä seuraavaa:
Maailmanlaajuinen korona-pandemia on asettanut organisaatioita uuden äärelle ja taustalla oleva digitalisaatio voi aiheuttaa dramaattisen muutoksenaallon pandemian hiivuttua. Kun eri organisaatioissa ymmärretään toimitusketjujen häiriöistä johtuvat tappiot voi olla, että resursseja sijoitetaan merkittävästi tappioiden lieventämiseen ja sietokyvyn kehittämiseen.
Resilienssin kehittämiskeinoja on monia:
- Vahvista toimitusketjujen riskienhallintaa ja avoimuutta.
- Minimoi altistuminen riskeille.
- Paranna taloudellista ja toiminnallista kykyä reagoida ja toipua.
- Riskikulttuurin kehittäminen.
- Tunne ekosysteemi, jossa toimit.
Alta löydät Toyotan esimerkin resilienssin kasvattamisesta vuodelta 2011 voimakkaan tsunamin ja maanjäristyksen jälkeen. Tuolloin Toyotan toiminta keskeytyi lähes kahden kuukauden ajaksi ja tuotanto Yhdysvalloissa laski jopa 30 % Japanissa tuotettujen osien puutteiden vuoksi.
Toyota uudisti toimitusketjujaan neljän kohdan taktiikalla:
1️⃣ Standardisoimalla osan autoissa käytettävistä komponenteista, jotta tuotantoa voidaan siirtää joustavasti eri toimipaikoille ja hyödyntää samoja osia eri automalleissa.
2️⃣ Toyota rakensi kattavan tietokannan tuhansista toimittajista ja sadoista tuhansista käyttämistään komponenteista, jotta komponenttien siirtäminen toimipaikkojen välillä onnistuu tarvittaessa.
3️⃣ Toimitusketjujen alueistaminen, jotta yhden toiminta-alueen haasteet eivät vaikuta toisiin toimialueisiin.
4️⃣ Viimeisenä Toyota tunnisti tuotannossa käytettävistä komponenteista 1000 osaa, jotka tulivat sadoilta yksittäisiltä toimittajilta. Toyota pyysi osien myyjjiä hajauttamaan kyseisen osan tuotannon monen toimittajan kesken tai lisäämään osien varastomäärää.
Näiden keinojen avulla Toyota on pystynyt pitämään 2016 ja 2019 maanjäristysten yhteydessä tuotantokatkoksensa maksimissaan 2 viikossa.
Plan-Do-Check-Act-mallin hyödyntäminen jatkuvan kehittymisen viitekevyksenä on työkalu, jota voit hyödyntää riskikulttuurin kehittämisen tukena.
Lähteet:
