Lis\u00e4arvoa ei ole olemassa ilman riski\u00e4. Lis\u00e4arvon tuottaminen vaatii aina toimintaa ja toimintaan liittyy aina riski. Riskienhallinnan tavoitteena on jatkuvasti arvioida organisaation ja osatoimintojen riskiprofiilia.<\/p>\n
Riskiprofiilin perusteella resursseja ohjataan riskien hallitsemiseksi siten, ett\u00e4 kokonaisriskiprofiili vastaa organisaation hallinnointitavan ja strategian m\u00e4\u00e4rittelem\u00e4\u00e4 hyv\u00e4ksytt\u00e4v\u00e4\u00e4 riskitasoa.<\/p>\n
Riski voidaan m\u00e4\u00e4ritell\u00e4 toiminnalla tavoiteltuun lis\u00e4arvoon liittyv\u00e4n\u00e4 ep\u00e4varmuutena. Klassiset IT-riskit voivat liitty\u00e4 esimerkiksi projektin my\u00f6h\u00e4stymiseen tai tietomurron uhkaan. Perinteisesti IT-riskienhallinta onkin k\u00e4sitetty kerran tai pari vuodessa teht\u00e4v\u00e4ksi harjoitukseksi, jossa tarkastetaan esimerkiksi tietoturvaan tai tietoj\u00e4rjestelmien varmistukseen liittyvi\u00e4 toimintatapoja.<\/p>\n
IT-riskienhallinnassa on harvoin kyse riskien poistamisesta. Sen sijaan tunnistetut riskit voidaan hyv\u00e4ksy\u00e4, lievent\u00e4\u00e4 (mitigate), siirt\u00e4\u00e4, jakaa tai v\u00e4ltt\u00e4\u00e4. Riski\u00e4 voidaan lievent\u00e4\u00e4 joko v\u00e4hent\u00e4m\u00e4ll\u00e4 sen todenn\u00e4k\u00f6isyytt\u00e4 tai haittavaikutusta. Kun riskitaso on hyv\u00e4ksytyll\u00e4 tasolla, usein j\u00e4\u00e4 j\u00e4ljelle ns. j\u00e4\u00e4nn\u00f6sriski (residual risk). On t\u00e4rke\u00e4\u00e4, ett\u00e4 osana IT-riskienhallintaa m\u00e4\u00e4ritell\u00e4\u00e4n my\u00f6s toimintatavat j\u00e4\u00e4nn\u00f6sriskin toteutuessa.<\/p>\n
Parhaiden k\u00e4yt\u00e4nt\u00f6jen mukaan IT-riskienhallinnan tulee kattaa my\u00f6s lis\u00e4arvon luomismahdollisuuksien tunnistamista ja lis\u00e4arvon luomista rajoittavat riskit. Monet IT-riskeist\u00e4 kytkeytyv\u00e4t liiketoiminnan riskienhallintaan. Esimerkiksi vanhanaikainen IT-arkkitehtuuri voi yrityskauppojen yhteydess\u00e4 muodostua strategiseksi riskiksi aiheutuvien kustannusten (time-to-value) tai aikataulun (time-to-live) takia.<\/p>\n
Liiketoimintaosaamisen lis\u00e4ksi IT-riskienhallinta vaatii laajaa teknologista, operatiivista ja hallinnollista IT-osaamista. Hyvin toteutettu IT-riskienhallinta pit\u00e4\u00e4 yrityksen IT-riskiprofiilin joustavasti ja ymm\u00e4rrett\u00e4v\u00e4sti liiketoiminnan prioriteettien mukaisena, ja mahdollistaa laskelmoidun liiketoiminnallisen riskinoton.<\/p>\n
IT:n kasvaneen liiketoiminnallisen merkityksen ja kiihtyv\u00e4n teknologiakehityksen takia IT-riskienhallinnasta (IT risk management) onkin tullut strategisen, taloudellisen ja operatiivisen riskienhallinnan (enterprise risk management) ohella keskeinen osa hyv\u00e4\u00e4 hallintotapaa (corporate governance).<\/p>\n
Organisaation IT-riskitietoisuuden rakentaminen kannattaa aloittaa kartoittamalla organisaation todellinen ja tavoiteltu IT-riskiprofiili. Lopullisena tavoitteena on kehitt\u00e4\u00e4 IT-riskienhallinnasta prosessien ja teknologioiden tukema organisaation jatkuva toiminto.<\/p>\n
Tarvitsetko apua IT-riskienhallinnassa? Tutustu K\u00e4yt\u00e4nn\u00f6llinen IT-riskienhallinta -koulutukseen<\/a> ja ota yhteytt\u00e4!<\/p>\n