Lisäarvoa ei ole olemassa ilman riskiä. Lisäarvon tuottaminen vaatii aina toimintaa ja toimintaan liittyy aina riski. Riskienhallinnan tavoitteena on jatkuvasti arvioida organisaation ja osatoimintojen riskiprofiilia.
Riskiprofiilin perusteella resursseja ohjataan riskien hallitsemiseksi siten, että kokonaisriskiprofiili vastaa organisaation hallinnointitavan ja strategian määrittelemää hyväksyttävää riskitasoa.
Riski voidaan määritellä toiminnalla tavoiteltuun lisäarvoon liittyvänä epävarmuutena. Klassiset IT-riskit voivat liittyä esimerkiksi projektin myöhästymiseen tai tietomurron uhkaan. Perinteisesti IT-riskienhallinta onkin käsitetty kerran tai pari vuodessa tehtäväksi harjoitukseksi, jossa tarkastetaan esimerkiksi tietoturvaan tai tietojärjestelmien varmistukseen liittyviä toimintatapoja.
IT-riskienhallinnassa on harvoin kyse riskien poistamisesta. Sen sijaan tunnistetut riskit voidaan hyväksyä, lieventää (mitigate), siirtää, jakaa tai välttää. Riskiä voidaan lieventää joko vähentämällä sen todennäköisyyttä tai haittavaikutusta. Kun riskitaso on hyväksytyllä tasolla, usein jää jäljelle ns. jäännösriski (residual risk). On tärkeää, että osana IT-riskienhallintaa määritellään myös toimintatavat jäännösriskin toteutuessa.
Parhaiden käytäntöjen mukaan IT-riskienhallinnan tulee kattaa myös lisäarvon luomismahdollisuuksien tunnistamista ja lisäarvon luomista rajoittavat riskit. Monet IT-riskeistä kytkeytyvät liiketoiminnan riskienhallintaan. Esimerkiksi vanhanaikainen IT-arkkitehtuuri voi yrityskauppojen yhteydessä muodostua strategiseksi riskiksi aiheutuvien kustannusten (time-to-value) tai aikataulun (time-to-live) takia.
Liiketoimintaosaamisen lisäksi IT-riskienhallinta vaatii laajaa teknologista, operatiivista ja hallinnollista IT-osaamista. Hyvin toteutettu IT-riskienhallinta pitää yrityksen IT-riskiprofiilin joustavasti ja ymmärrettävästi liiketoiminnan prioriteettien mukaisena, ja mahdollistaa laskelmoidun liiketoiminnallisen riskinoton.
IT:n kasvaneen liiketoiminnallisen merkityksen ja kiihtyvän teknologiakehityksen takia IT-riskienhallinnasta (IT risk management) onkin tullut strategisen, taloudellisen ja operatiivisen riskienhallinnan (enterprise risk management) ohella keskeinen osa hyvää hallintotapaa (corporate governance).
Organisaation IT-riskitietoisuuden rakentaminen kannattaa aloittaa kartoittamalla organisaation todellinen ja tavoiteltu IT-riskiprofiili. Lopullisena tavoitteena on kehittää IT-riskienhallinnasta prosessien ja teknologioiden tukema organisaation jatkuva toiminto.
Tarvitsetko apua IT-riskienhallinnassa? Tutustu Käytännöllinen IT-riskienhallinta -koulutukseen ja ota yhteyttä!
Kirjoittaja on Cheetah Consulting Oy:n perustaja ja johtava konsultti Teemu Leppänen. Teemulla on yli 15 vuoden monipuolinen käytännön kokemus IT-ratkaisujen toimittamisesta kansainvälisissä teknologiayrityksissä ja tarjoaa yrityksensä kautta erilaisia IT-neuvonanto- ja koulutuspalveluita.