Kehittyneet ja usein liiketoiminnan kannalta kriittiset prosessit sekä niiden välinen laaja ja nopea tietojenvaihto asettavat vaatimuksia riskienhallinnalle. Esimerkiksi tavaroiden tilaamis-, tuottamis- ja toimittamisprosessit ovat toisiinsa tiiviisti sidoksissa ja rytmiltään jo niin nopeita, että IT-riskienhallinta on entistä haasteellisempaa.

Nykyisin prosessin heikoin lenkki saattaa olla ihminen. Ihmisen mieli muuttuu helposti verrattuna ohjelmien loogiseen toimintaan. Näin ollen IT-riskienhallinnassa on syytä paneutua myös sosiologian ja psykologian kenttään sekä prosessissa työskentelevien henkilöiden ajatuksiin. Esimerkkinä voisi mainita tilanteen, jossa henkilön salasana on vuotanut Social Engineeringin eli urkintahakuisen keskustelun johdosta väärälle taholle.

Johdon odotukset ja IT-riskienhallinnan kohteet

Johto haluaa tietää vastauksen kysymykseen: Ovatko kaikki olennaiset informaatioteknologiaan liittyvät asiat kunnossa ja riskit hallinnassa? 

Seuraavassa kuvassa on pääpiirteissään IT-riskienhallinnan työkenttä. Nykyisin se ulottuu yhä useammin yli organisaatiorajojen. Keskellä ovat kuvattuina liiketoimintaprosessit, niiden ympärillä infrastruktuuri ja uloimpana riskienhallinnan työkenttään kuuluvat IT-ympäristötekijät. Näiden kaikkien hallinta on olennaista IT-riskienhallinnassa.

IT-johtamisen alueella on tärkeää, että yhtiön liiketoimintastrategiaan sisältyy IT-strategiaosuus. Lisäksi tulee varmistaa, että IT-organisaatio kykenee tehokkaasti tukemaan liiketoiminnan tavoitteita. Tietoturvallisuuden tehtävänä on varmistaa, että informaatio on luottamuksellista, eheää ja käytettävissä. Menetelmiä tähän ovat mm. todennus ja pääsynvalvonta. Liiketoiminnan jatkuvuuden edellytyksenä on yhtiön liiketoiminnan kannalta tärkeiden tietojen tallettaminen siten, että katastrofin sattuessa toiminta voidaan kohtuullisella aikavälillä palauttaa normaaliksi.

Muutoksenhallinta – sekä liiketoiminnan että teknisten muutosten suorittaminen – on hoidettava siten, että yhtiöllä on tehokas toimintatapa tai konsepti, jonka mukaan toimintaa muutetaan hallitusti. Järjestelmien kehittämisellä, mm. projektien hallinnalla, varmistetaan, että hankkeet noudattavat valittua työtapaa ja sovittuja kehittämismenetelmiä. Tämä on erityisen tärkeää, sillä kehityshankkeiden tulokset konkretisoituvat hetken päästä liiketoimintasovelluksina. IT-riskienhallinta avustaa tiedoillaan usein yhtiön sisäistä tarkastusta sen IT:hen kohdistuvassa tarkastustehtävässä. 

Tärkeintä on, että yrityksen liiketoimintaprosessit ja niitä tukevat sovellukset toimivat tehokkaasti ja oikein. Liiketoimintasovelluksia on mitä erilaisimpia ja niiden parhaita asiantuntijoita on yrityksen oma henkilökunta. Prosesseihin liittyy myös ns. infrastruktuuri eli käyttöjärjestelmät, tietokantaohjelmat, käyttötoiminnot ja tietoliikenne. Varsinkin viimemainitun osalta mahdollisesti toteutuvat riskit aiheuttavat helposti kohtuutonta haittaa yrityksen liiketoiminnalle.

Miten IT-riskejä hallitaan koordinoidusti

IT:stä liiketoiminnalle aiheutuvia olennaisia riskejä voidaan hallita. Hallintaan tarvitaan sekä liiketoiminnan että IT:n erityisosaajia, työmenetelmiä ja projektiorganisaatiomallia sekä IT-riskienhallinta-asiantuntijaa organisoimaan käytännön selvityksiä. Olennaista on selvittää alkuun yhtiötä uhkaavien riskien kokonaiskuva ja sen jälkeen ne vastatoimet, jotka on asetettu riskejä torjumaan. IT-riskienhallintatyötä tehdään riskiohjautuvasti. Tämä tarkoittaa, että riskejä mitataan niiden todennäköisyyden ja arvioidun kokonaisvahingon perusteella, ja riskienhallintatyön painopistettä siirretään sinne, missä riskien uhka on suurin.

Kehityshaasteet jatkossa

Seuraavassa on muutamia esimerkkejä tämän hetken keskusteluaiheista mediassa ja riippumattomien tutkimuslaitosten tutkimusotsikoissa:

IT-prosessien parantaminen: Keskustelua käydään siitä, että prosesseja ja niitä tukevia järjestelmiä tulee saada tehokkaammiksi ja tätä kautta yhtiön kannattavuutta paremmaksi.

• Virukset: Virukset ovat muuttuneet vaikeasti hallittaviksi ja niiden torjunta on entistä vaativampaa.
• Web-palvelut ja integraatio: Internet-kauppaan liittyvä integraatio jatkaa kasvuaan. Liikkeenjohtoa huolestuttavat kehitykseen liittyvät kustannukset, erityisesti piilokustannukset.
• Tietoturvan kustannukset: Kuinka paljon tietoturvaan tulisi panostaa?
• Ulkoistaminen: Onko ERP-järjestelmien ulkoistaminen oikea ratkaisu? Ovatko liiketoimintalähtöiset sopimukset (Service Level Agreements) välttämättömiä ulkoistamisen onnistumisessa?

IT:n lyhyen kehityshistorian aikana yhtiöiden tietojärjestelmiä ovat vaivanneet häiriöt ja ongelmat. Myös menestystä on saavutettu ja IT:n asema on muodostunut aikaisempaa tärkeämmäksi. Radikaalia helpotusta alueella ei näytä olevan luvassa. Lohdullista on se, että tietoriskejä voidaan nykyisin määrätyin edellytyksin hallita.