Tiedätkö IT-riskiprofiilisi?

Lisäarvoa ei ole olemassa ilman riskiä. Lisäarvon tuottaminen vaatii aina toimintaa ja toimintaan liittyy aina riski. Riskienhallinnan tavoitteena on jatkuvasti arvioida organisaation ja osatoimintojen riskiprofiilia. Riskiprofiilin perusteella resursseja ohjataan riskien hallitsemiseksi, siten että kokonaisriskiprofiili vastaa organisaation hallinnointitavan ja strategian määrittelemää hyväksyttävää riskitasoa.

Riski voidaan määritellä toiminnalla tavoiteltuun lisäarvoon liittyvänä epävarmuutena. Klassiset IT-riskit voivat liittyä esimerkiksi projektin myöhästymiseen tai tietomurron uhkaan. Perinteisesti IT-riskienhallinta onkin käsitetty kerran tai pari vuodessa tehtäväksi harjoitukseksi, jossa tarkastetaan esimerkiksi tietoturvaan tai tietojärjestelmien varmistukseen liittyviä toimintatapoja.

IT-riskienhallinnassa on harvoin kyse riskien poistamisesta. Sen sijaan tunnistetut riskit voidaan hyväksyä, lieventää (mitigate), siirtää, jakaa tai välttää. Riskiä voidaan lieventää joko vähentämällä sen todennäköisyyttä tai haittavaikutusta. Kun riskitaso on hyväksytyllä tasolla, usein jää jäljelle ns. jäännösriski (residual risk). On tärkeää, että osana IT-riskienhallintaa määritellään myös toimintatavat jäännösriskin toteutuessa.

Parhaiden käytäntöjen mukaan IT-riskienhallinnan tulee kattaa myös lisäarvon luomismahdollisuuksien tunnistamista ja lisäarvon luomista rajoittavat riskit. Monet IT-riskeistä kytkeytyvät liiketoiminnan riskienhallintaan. Esimerkiksi vanhanaikainen IT-arkkitehtuuri voi yrityskauppojen yhteydessä muodostua strategiseksi riskiksi aiheutuvien kustannusten (time-to-value) tai aikataulun (time-to-live) takia.

Liiketoimintaosaamisen lisäksi IT-riskienhallinta vaatii laajaa teknologista, operatiivista ja hallinnollista IT-osaamista. Hyvin toteutettu IT-riskienhallinta pitää yrityksen IT-riskiprofiilin joustavasti ja ymmärrettävästi liiketoiminnan prioriteettien mukaisena, ja mahdollistaa laskelmoidun liiketoiminnallisen riskinoton.

IT:n kasvaneen liiketoiminnallisen merkityksen ja kiihtyvän teknologiakehityksen takia IT-riskienhallinnasta (IT risk management) onkin tullut strategisen, taloudellisen ja operatiivisen riskienhallinnan (enterprise risk management) ohella keskeinen osa hyvää hallintotapaa (corporate governance).

Organisaation IT-riskitietoisuuden rakentaminen kannattaa aloittaa kartoittamalla organisaation todellinen ja tavoiteltu IT-riskiprofiili. Lopullisena tavoitteena on kehittää IT-riskienhallinnasta prosessien ja teknologioiden tukema organisaation jatkuva toiminto.

Onko tavoitteenasi IT:n tuottavuus vai tehokkuus?

Edellisessä blogissani kirjoitin IT-hankintojen arvioimisesta kolmen keskeisen kriteerin eli laadun, kustannusten ja riskitason kannalta. Tässä blogissa käsittelen IT:n laatua, jossa voidaan erottaa kaksi ulottuvuutta: tehokkuus ja tuottavuus. Käytännön kannalta voidaan ajatella, että tehokkuus liittyy IT-projektin (= järjestelmän aikaansaamiseksi tehtävä työ) laatuun ja toisaalta tuottavuus liittyy IT-ratkaisun (= tekninen tietojärjestelmä) laatuun.

Ensimmäinen laadun ulottuvuus, tehokkuus, liittyy siihen, että tehtäväksi päätetyt asiat tehdään oikein (”do the things right”). Tehokkuuteen liittyviä käytännön tavoitteita ovat esimerkiksi IT-projektin pysyminen aikataulussa, parhaiden käytäntöjen mukainen tekninen työ (esim. toteutettavan IT-ratkaisun ylläpidettävyys ja skaalautuvuus) sekä riittävä ratkaisun toiminnallisen laadun varmistaminen kattavalla ja järjestelmällisellä testauksella.

Toinen laadun ulottuvuus, tuottavuus, liittyy siihen, että lähtökohtaisesti suunnitellaan tehtävän oikeita asioita (”do the right things”). Tuottavuuteen liittyviä käytännön tavoitteita ovat esimerkiksi IT-ratkaisun toimintojen kattavuus ja helppokäyttöisyys, järjestelmässä käsiteltävän tiedon oikeellisuus sekä investoinnin takaisinmaksuajan (business case) toteutuminen konkreettisten hyötyjen kautta.

Seuraavaksi kaksi projektiesimerkkiä, joista ensimmäisessä on haasteita tehokkuuden ja jälkimmäisessä tuottavuuden kanssa.

Arevan Olkiluotoon rakentama ydinreaktori on myöhästymässä seitsemän vuotta (YLE). Projektin tilanne on seurausta tehokkuuteen liittyvistä laadullisista haasteista. Projektin aikataulu venyy, koska vaadittuja asioita ei ole tehty oikein eli tehokkaasti. Projektin haasteena ei ole varsinaisesti tuottavuus, koska (toivottavasti) projektin tuotoksena lopulta saadaan toimiva ja vaatimukset täyttävä ydinvoimala. Osin nimenomaan tuottavuuteen liittyvän riskin minimointi (eli sen välttäminen, että saadaan epäluotettavasti toimiva ydinvoimala) vähentää tehokkuutta. Näennäisesti projektin kustannusriski on hallittu kiinteähintaisella sopimuksella. Mutta kai tilaajaorganisaation omien resurssien sitominen projektiin suunniteltua pidempään, investoinnin rahoituskustannukset ja menetetty sähkön myynnin liikevaihto maksavat jotakin? Kyllä, TVO:n ja Arevan meneillään olevasta välimiesmenettelystä päätellen noin kaksi miljardia euroa.

Toinen käytännön esimerkki edustaa tuottavuuteen liittyvää laadullista haastetta. Yhdysvalloissa on ollut viime vuosina meneillään mittava armeijan ERP-järjestelmien uudistus. Viimeisimpänä ”virstanpylväänä” voidaan pitää sitä, että ilmavoimat päätti lopettaa projektinsa kesken seitsemän vuoden jälkeen (Tietoviikko). Projektin tilanne on seurausta realisoituneesta tuottavuus-riskistä, mikä on jokaisen projektin tilaajan painajainen: joudutaan palamaan takaisin lähtöruutuun. Ilmavoimien projektin tapauksessa aikaa menetettiin noin 7 vuotta ja rahaa yli miljardi dollaria. Projektin haaste ei ollut, että lopputuloksena olisi saatu laadullisesti huonompi ratkaisu kuin mitä tavoiteltiin, vaan se, ettei saatu yhtään mitään.

Usein tuottavuuteen liittyviin haasteisiin yhdistyy myös tehokkuus-haasteita, mutta ei aina. Se, että projekti ei tuota oikeita tuotoksia, ei tarkoita välttämättä sitä, etteikö tekeminen olisi itsessään voinut olla tehokasta. Esimerkiksi tehokkaasti toteutetut osakokonaisuudet voidaan saada valmiiksi ajallaan (=tehokkaasti) ja tekemään suunniteltuja asioita (=tuottavasti) kokonaisuuden silti toimimatta.

Edellä kerrotut projektiesimerkit ovat äärimmäisiä ja vastaavanlaisia tilanteita kohdataan melko harvoin. Esimerkit kuitenkin auttavat konkreettisesti ymmärtämään tehokkuuden ja tuottavuuden eron. IT-projekteissa tuottavuus on tyypillisesti tehokkuutta tärkeämpää, kun tuotettavan IT-ratkaisun hyödyt ovat merkittäviä (lyhyt takaisinmaksuaika) tai investointi on erittäin suuri (ei varaa epäonnistua). Tehokkuus on puolestaan usein tuottavuutta tärkeämpää, kun projektin tuotos on liiketoiminnan kannalta vähämerkityksellinen (kunhan se toimii) tai projekti nähdään suurena kulueränä (tiukka ja suurehko budjetti).