Blogi

Mistä on tehty organisaation vahva riskikulttuuri?

Monet riskit pohjautuvat organisaation kulttuurillisiin heikkouksiin. Miten organisaation riski- ja tietoturvakulttuuria voi sitten kehittää? Entä miten muissa yrityksissä tai maailmalla riskikulttuuria kehitetään ja millaista tutkimustietoa aiheen tiimoilta on saatavilla?

Tässä blogitekstissä käyn läpi eri tutkimusten pohjalta tunnistettuja hyviä käytäntöjä kehittää organisaation riskikulttuuria. Tekstissä hyödynnetyt lähteet löydät sivun alareunasta.

Mistä vahva riskikulttuuri koostuu?

McKinsey & Company Strengthening institutional risk and integrity culture (2020) -tutkimusraportissa riskikulttuurin on tunnistettu koostuvan neljästä isommasta teemasta, jotka pilkkoutuvat yhteensä kymmeneen alateemaan.

Pääteemat ovat tietoisuus, reagointikyky, läpinäkyvyys sekä luottamus.

McKinsey & Company : Riskikulttuurin neljä osa-aluetta, Arter Oy
Riskikulttuurin neljä osa-aluetta. KLIKKAA KUVA ISOMMAKSI. // Lähde: McKinsey & Company Strengthening institutional risk and integrity culture (2020)

Kulttuurin kehittyminen vaatii jatkuvaa oppimista myös kriisitilanteissa

Kun arvioit ja mittaat toimintaanne järjestelmällisesti ajattelutavan, käytäntöjen ja käyttäytymisen näkökulmasta, pystyt seuraamaan kehitystänne.

Sinulla täytyy olla käsitys lähtötilanteestanne ja tavat mitata toimintaanne, jotta tunnistat, missä muutosta on tapahtunut.

Huolella laadittu suunnitelma, mittareiden asettaminen ja aloitteiden tekeminen kulttuurin kehittämisen eteen eivät yksinään riitä. Luo edellytykset onnistuneelle kulttuurin muutokselle huomioimalla nämä viisi olennaista osaa riskikulttuurin kehittämisessä:

✅ Johdon rooli ja kulttuurin yhteys jokapäiväiseen tekemiseen.
Omistajuus – riskienhallinnan määritelmän, mittauksen, raportoinnin ja kulttuurin kehittämisen vastuu tulee keskittää jollekulle henkilölle tai tiimille.
Viesti ja hyödynnä dataa tiedonjakamisessa, jotta muutos on näkyvä ja vakuuttava. Muista kertoa miksi ja miten kulttuurin muutos auttaa organisaatiota ja vaikuttaa yksilöön.
Kulttuurin muutos vie aikaa. Palkitse ja kerro onnistumisista ja vahvista muutosta säännöllisesti.
Sitoutuminen muutokseen. Erityisesti esihenkilöiden sitoutuminen kehitysideoiden läpivientiin ja esimerkkinä olemiseen on äärimmäisen tärkeää. Ylimmän johdon sitoutuminen ei riitä, vaan muutosta tulee tukea ja viedä eteenpäin organisaation jokaisella tasolla.

Vaikutusmalli kulttuurin kehittämiseen

Ennakoi ja ota proaktiivisia askeleita riskikulttuurin kehittämisessä ja ylläpitämisessä niin normaalissa tilassa, stressaavina aikoina ja muutostilanteissa.

McKinsey & Companyn vaikuttamismalli riskikulttuurin kehittämiselle, Arter Oy
Vaikuttamismalli riskikulttuurin kehittämiselle. KLIKKAA KUVA ISOMMAKSI. // Lähde: McKinsey & Company Strengthening institutional risk and integrity culture (2020)

Disruptiot, maailman laajuiset pandemiat, suuret ja pienet kriisit yleistyvät

Eri alojen disruptiot eivät enää ole erityisen harvinaisia, maailma saattaa muuttua muutamassa päivässä ja pienistä riskeistä voi eskaloitua suuria riskejä nopeasti heikon ennakoinnin myötä. Harhat siitä, että omasta organisaatiosta ei löytyisi mitään muita kiinnostavaa tietoa, on väärä.

Turvallisuudessa uhkat ovat muuttaneet muotoaan. Digitaalinen ja fyysinen maailma sekoittuvat yhä enemmän toisiinsa ja siihen liittyvät kyber- ja hybriditurvallisuuden merkitys korostuvat entisestään turvallisuusalalla tulevaisuudessa. Tärkeintä on muistaa katsoa turvallisuutta kokonaisuutena eli mikä vaikuttaa mihinkin”, VTT:n turvallisuuspäällikkö Ilona Sutela kertoo.

Muista nämä 3️⃣ asiaa dynaamisesta riskienhallinnasta

McKinsey & Companyn Meeting the future: Dynamic risk management for uncertain times (2020) -raportin mukaan dynaaminen riskienhallinta koostuu kolmesta toimintatavasta:

Dynaamisen riskikulttuurin ominaisuudet, Arter Oy Lähde: McKinsey & Company Meeting the future: Dynamic risk management for uncertain times (2020)
Dynaamisen riskikulttuurin ominaisuudet. KLIKKAA KUVA ISOMMAKSI. // Lähde: McKinsey & Company Meeting the future: Dynamic risk management for uncertain times (2020)

Riskienhallinta on kokonaisuus, johon kuuluvat ihmiset, toimintatavat ja teknologia – vältä päälleliimattuja toimintatapoja

Riskienhallinnassa kaiken ytimessä on tietoisuus omasta toiminnasta. Rehellinen lähtötilannekartoitus on hyvä aloitus kulttuurin kehittämiselle, olipa kyseessä riskienhallinta tai tietosuoja-asiat.

Tietoturvallisuudessa yleensä tekninen suojaus on korostettuna, ja ennalta ehkäiseminen sekä jatkostepit ovat jääneet taka-alalle.

Organisaatiossa vallitseva asenne, läpinäkyvyys, esihenkilöiden ja johdon esimerkki sekä moraali ovat asioita, joilla voit vaikuttaa kulttuurin kehittymiseen.

Harjoittelemalla kriisitilanteita, pystytte yhdessä kehittämään toimintaanne sekä lyhentämään kriiseistä palautumistanne.

Organisaation toimintamallien tulee luoda raamit kehittymiselle ja heikkouksien näkemiselle

Aditron tietoturvajohtaja Jani Räty kertoi vieraillessaan Arterin Matka kohti ISO 27001/27701 -tietoturvasertifiointia -webinaarissa: tietoturvallisuuden ei tule olla organisaatiossa päälleliimattu viitekehys, vaan sen tulee luoda raamit, jotka pakottavat organisaatiota kehittymään, näkemään heikkoutensa ja välttämään ajatusta, että oltaisiin valmiita.

Jani alle viivaa myös sitä, että organisaation tulee löytää heille itselleen sopivat tavat yhdistää ihmiset, toimintatavat ja teknologia ja ylläpitää näiden tasapainoa omassa toiminnassaan.

Resilienssi, jatkuva oppiminen ja eteenpäin meneminen – Toyotan esimerkki ja PDCA-malli

McKinsey Global Instituten Risk, resilience, and rebalancing in global value chains -raportissa (2020) mainitaan resilienssin kehittämisestä seuraavaa:

Maailmanlaajuinen korona-pandemia on asettanut organisaatioita uuden äärelle ja taustalla oleva digitalisaatio voi aiheuttaa dramaattisen muutoksenaallon pandemian hiivuttua. Kun eri organisaatioissa ymmärretään toimitusketjujen häiriöistä johtuvat tappiot voi olla, että resursseja sijoitetaan merkittävästi tappioiden lieventämiseen ja sietokyvyn kehittämiseen.

Resilienssin kehittämiskeinoja on monia:

  • Vahvista toimitusketjujen riskienhallintaa ja avoimuutta.
  • Minimoi altistuminen riskeille.
  • Paranna taloudellista ja toiminnallista kykyä reagoida ja toipua.
  • Riskikulttuurin kehittäminen.
  • Tunne ekosysteemi, jossa toimit.

Alta löydät Toyotan esimerkin resilienssin kasvattamisesta vuodelta 2011 voimakkaan tsunamin ja maanjäristyksen jälkeen. Tuolloin Toyotan toiminta keskeytyi lähes kahden kuukauden ajaksi ja tuotanto Yhdysvalloissa laski jopa 30 % Japanissa tuotettujen osien puutteiden vuoksi.

Toyota uudisti toimitusketjujaan neljän kohdan taktiikalla:

1️⃣ Standardisoimalla osan autoissa käytettävistä komponenteista, jotta tuotantoa voidaan siirtää joustavasti eri toimipaikoille ja hyödyntää samoja osia eri automalleissa.
2️⃣ Toyota rakensi kattavan tietokannan tuhansista toimittajista ja sadoista tuhansista käyttämistään komponenteista, jotta komponenttien siirtäminen toimipaikkojen välillä onnistuu tarvittaessa.
3️⃣ Toimitusketjujen alueistaminen, jotta yhden toiminta-alueen haasteet eivät vaikuta toisiin toimialueisiin.
4️⃣ Viimeisenä Toyota tunnisti tuotannossa käytettävistä komponenteista 1000 osaa, jotka tulivat sadoilta yksittäisiltä toimittajilta. Toyota pyysi osien myyjjiä hajauttamaan kyseisen osan tuotannon monen toimittajan kesken tai lisäämään osien varastomäärää.

Näiden keinojen avulla Toyota on pystynyt pitämään 2016 ja 2019 maanjäristysten yhteydessä tuotantokatkoksensa maksimissaan 2 viikossa.

Plan-Do-Check-Act-mallin hyödyntäminen jatkuvan kehittymisen viitekevyksenä on työkalu, jota voit hyödyntää riskikulttuurin kehittämisen tukena. 

PDCA-ympyrä
W. Edwards Demingin PLan-Do-Check-Act-malli.

 

Lähteet:

Lataa itsellesi työsi tueksi Kyberturvallisuuden pikaopas!

Kirjoittaja

Liittyvät materiaalit