3.4 Riskit, laatu, säädöstenmukaisuus ja etiikka

Riskit

Bisnesteknologian johtaminen on tasapainoilua teknologiainnovaatioiden synnyttämien mahdollisuuksien ja niihin liittyvien riskien hallinnan välillä. Uuden teknologian valintaan ja hyödyntämiseen liittyy aina riskejä, ja valinta voi osoittautua onnistuneeksi tai vähemmän onnistuneeksi. Samoin voivat organisaation tarpeisiin räätälöidyt ratkaisut tuottaa liiketoimintahyötyjä tai paljastua huonoiksi sijoituksiksi. Palveluiden käyttämisen osalta riskit voivat liittyä esimerkiksi laajalti käytettyyn ratkaisuun, jossa ilmenee vakavia tietoturva- ja ylläpitohaasteita. Yrityksen johto päättää viime kädessä, kuinka suuren riskin se on valmis hyväksymään kussakin tapauksessa.

Riskejä voidaan hallita monella tapaa. Voidaan esimeriksi suosia toimenpiteitä, jotka vähentävät riskin toteutumisen todennäköisyyttä tai arvioitua vaikutusta, ja siten lieventää riskin mahdollisia vaikutuksia hyväksyttävälle tasolle. Toinen vaihtoehto on välttää riskin ottamista, siirtää riski muualle tai päättää, että kyseisen riskin kanssa voidaan elää. Lisäksi on mahdollista arvottaa riskien mahdollisesta toteutumisesta aiheutuvat kustannukset ja käyttää laskelmaa joko investointiprioriteetin madaltamiseen tai kehitysehdotuksen nopeampaan käyttöönottoon.

Bisnesteknologiaan liittyvät riskit voidaan jakaa kolmeen kategoriaan: laatuun liittyviin riskeihin, liiketoiminnan jatkuvuutta uhkaaviin riskeihin sekä säädöstenmukaisuuteen liittyviin riskeihin.

Kuva 3.4.1 Bisnesteknologiatoiminnon riskit

 

Laatuun liittyvät riskit

  • Ei-elinkelpoisen teknologian käyttö: Organisaatio on riippuvainen teknologiasta, joka ei enää menesty markkinoilla tai se on poistumassa markkinoilta. Riskinä on, että organisaatio jää kilpailijoista jälkeen kehittämisen ja toiminallisuuden osalta. Tässä tapauksessa BT-palvelujohtaja (BTMO) ja johtava kokonaisarkkitehti (eng. Chief Enterprise Architect) vastaavat riskin hallinnoinnista.
  • Huono toteutus: Organisaatio epäonnistuu teknologian käyttöönotossa, käyttöönotto ylittää siihen varatun budjetin ja jättää organisaation tilanteeseen, jossa se on vanhan ja uuden teknologian välimaastossa. Tässä tapauksessa riskin hallinnointi kuuluu BT-kehitysjohtajalle (eng. Business Technology Portfolio/Programme Officer, BTPO).
  • Teknologiaviat: Teknologia, yleensä ohjelmisto, sisältää virheitä, jotka johtavat ei-toivottuun toimintaan ja/tai virheelliseen dataan. Teknologiavirheet ovat yleensä kalliita havaita ja korjata, ja sen lisäksi ne voivat myös vaarantaa organisaation maineen. Näiden riskien hallinnoinnista vastaavat palveluomistajat (eng. Service Owner).

 

Liiketoiminnan jatkuvuuden riskit

  • Tietoturvauhat: Organisaation henkilöstö, verkot, data, tietojärjestelmät ja laitteet ovat haavoittuvaisia tietoturvauhille, jotka voivat vahingoittaa tai jopa tuhota yritykselle tärkeää omaisuutta. On huomioitava että noin 80% kaikista tietoturvauhista voidaan välttää työntekijöiden oikealla toiminnalla ja vain 20% tekniikalla. Riskien hallinnoinnista vastaa tietoturvajohtaja (eng. Chief Information Security Officer, CISO)
  • Käyttöhäiriöt: Laajavaikutteiset ongelmat teknologian tuotannossa, jotka voivat aiheuttaa liiketoiminnan häiriöitä tai keskeytymisen. Nämä puolestaan johtavat ylimääräisiin kustannuksiin sekä tulovirran ja maineen menetyksiin. BT-tuotantojohtaja (BTOO) vastaa näiden riskin hallinnoinnista.
  • Ei-tuettu teknologia: Teknologia, jota ei enää tueta ja jolla on sen vuoksi kohonnut riski aiheuttaa laajamittaisia häiriöitä. Tyypillisesti ei-tuetun teknologian osalta myös viasta toipuminen kestää kauemmin kuin tuetuilla teknologioilla. BT-palvelujohtaja (BTMO) vastaa näiden riskien hallinnoinnista.

 

Määräystenmukaisuuteen liittyvät riskit

  • Lakisäädöksistä poikkeaminen: Jos organisaatio ei noudata lakeja tai säädöksiä, se ottaa suuren riskin joutua oikeustoimien kohteeksi tai se voi joutua maksamaan huomattavia sakkoja. Seurauksena voi olla myös luottamuksen tai maineen menetys. Hankintapäällikkö (eng. Sourcing Lead) on vastuussa näiden riskien hallinnoinnista.
  • Kaupallisten säädösten rikkominen: Organisaatiolla on oltava käyttöoikeus kolmannen osapuolen teknologiaan. Jos käyttöoikeutta ei ole, organisaatio saattaa rikkoa kaupallisia säädöksiä, mistä voi aiheutua huomattavat kuluvaatimukset. Näiden riskien hallintavastuu on palveluomistajilla ja hankintapäälliköllä.

Riskien hallinta on laaja-alainen vastuu, ja BT-hallintojohtajalla (eng. Business Technology Governance Officer, BTGO) on vastuu järjestää soveltuvat riskienhallinnan kontrollipisteet.

 

Laatu

Laatu voidaan määritellä yritykseksi minimoida hukkaa. Mikä tahansa asia, joka ylittää vähimmäisvaatimukset esimerkiksi ajan, materiaalien, vaivan tai kustannusten suhteen on periaatteessa hukkaa, joka olisi voitu poistaa. Avaintoimittajien käyttäminen, työntekijöiden valtuuttaminen, lisäkapasiteetin hankkiminen sekä kärsivällinen, joustava ja ymmärtäväinen asenne ovat hyviä tapoja aloittaa hukan poistaminen.

Laatuongelmat johtuvat usein systeemivioista, ei niinkään ihmisistä tai työkaluista. Laadun hallinta edellyttää hyvää vuorovaikutusta sidosryhmien ja palveluntarjoajien välillä ja auttaa tuottamaan ratkaisun, joka vastaa sidosryhmien odotuksia. Yleinen käytäntö huolehtia siitä, että palvelutoimitus vastaa laatuvaatimuksia, on määritellä sanktiot laatupoikkeamille. Positiivinen vahvistaminen, kuten esimerkiksi tuloksiin pääsemisen palkitseminen, on kuitenkin todettu toimivammaksi ratkaisuksi.

Tietojärjestelmien ja datan käsittelyn osalta on hyvä määritellä ja kontrolloida liiketoimintakäytäntöjen toimintaperiaatteita sekä järjestelmien ja tiedon käsittelyn eheyttä ja suojaamista. Liiketoiminnan toimintaperiaatteet kuvaavat, kuinka tuotteita ja palveluja toimitetaan ja kuinka vaatimuksiin ja valituksiin vastataan. Järjestelmien ja tiedon käsittelyn eheysperiaatteet kuvaavat valvontamenetelmät, jotka takaavat tilausten loppuun saattamisen ja laskutuksen. Informaation ja datan suojauskäytännöt kuvaavat valvontamenettelyt, jotka takaavat, että informaatio ja data on ainoastaan suunniteltujen käyttäjien käytettävissä ja suunnitellussa käytössä, ja ne hävitetään turvallisesti, kun ne eivät ole enää relevanttia.

Tuotteet ja palvelut sisältävät tuottajaketjuja, joita pitää jatkuvasti katselmoida sopimusten, prosessien ja järjestelmien osalta. Muodollinen muutoksenhallinta tarvitaan, jotta ymmärretään vaikutukset ja pystytään välttämään hukkaa käyttöönotossa. Muutoksenhallinta määrittelee, kuka tekee muutokset sekä ohjaa suunnittelua ja resurssien käyttöönottoa mahdollisimman optimaalisesti.

Koska laatu tarkoittaa hukan minimoimista, se tarkoittaa samalla tehokkuuden arvioimista. Järjestelmien suunnittelussa tehokkuutta arvioidaan joka vaiheessa alkaen tarpeen havaitsemista ja ulottuen järjestelmän käyttöönottoon. Tehokkuuden arviointi ei pitäisi siten olla porttikohtainen tarkastelu kehittämisen loppupäässä vaan mukana jokaisessa vaiheessa ja jokaisen henkilön toimenkuvassa.

 

Määräystenmukaisuus

Määräystenmukaisuus ei tarkoita vain virallisten vaatimusten, kuten lakien ja säädösten täyttämistä, vaan myös sitä, että palvelutuotanto ja prosessit ovat yhteensopivia menettelytapojen, sopimusten ja lisensointiehtojen kanssa.

Määräysten noudattamisella viitataan julkisen tai yksityisen viranomaisen määrittelemien, sitovien sääntöjen noudattamiseen, joiden noudattamista valvotaan rikkomuksista aiheutuvien seuraamusten uhalla.

Määräykset ja seuraamukset vaihtelevat huomattavasti maasta, sijainnista tai toimialasta riippuen. Esimerkiksi talouden, terveyden ja valmistavan teollisuuden aloja koskevat määräykset voivat olla erilaisia. Lisäksi yhdessä maassa olevat määräykset voivat olla rakenteeltaan samankaltaisia, mutta eri vivahteisia sisällöltään kuin toisessa.

Koska määräykset voivat muuttua vuosittain, tulisi myös määräystenmukaisuuden hallinnan olla jatkuva prosessi. Suurilla yhtiöillä on usein oma määräystenmukaisuuden varmistava taho. Pienten ja keskisuurten yritysten tulisi myös varmistaa lakien, säädösten, standardien sekä eettisten käytäntöjen mukainen toiminta yksittäisten henkilöiden sekä organisaation tasolla esim. määräystenmukaisuusohjelmien avulla.

Kaupallinen yhteensopivuus liittyy pääasiassa lisensseihin, ja sen varmistaminen tapahtuu tavallisesti seuraavilla keinoilla:

  • Lisenssien sopimuksenmukaisen käytön varmistaminen, joka perustuu käyttöomaisuuden ja lisenssien rekisteröintiin sekä käyttöä ja sen laajuutta valvoviin prosesseihin.
  • Roolit ja vastuut, jotka määrittelevät selkeästi, kuka saa hyväksyä ostot, miten lisensointijärjestelyistä sovitaan, kuka toteuttaa käyttöönoton ja miten näistä prosesseista kommunikoidaan käyttäjille tai työntekijöille. Jos hankintatoimi ei ole keskitetty ja liiketoiminnot vastaavat palveluiden ja ratkaisujen hankinnasta itsenäisesti, säädöksistä poikkeamisen riski yleensä kasvaa.
  • Hyvä dokumentointi, joka mahdollistaa tehokkaan lisenssien hallinnan ja optimoinnin keräämällä tietoa liiketoiminnan tarpeista, hankinnoista, käytetyistä ohjelmistoista ja niiden elinkaaresta.

 

Etiikka

Liiketoiminnan eettiset kysymykset ovat viime aikoina nousseet suosituksi keskustelunaiheeksi varsinkin, koska tekoälystä ja koneoppimisesta on nopeasti tulossa erottamaton osa monia innovatiivisia ratkaisuja. Keskustelu koskee etenkin sitä, miten taataan tekoälyn avoimuus, vastuullisuus ja oikeudenmukaisuus ja kuinka varmistetaan, että ne ovat koodattuna ohjelmistossa. Lisäksi mietitään sitä, kuka tekee lopulliset päätökset siitä, miten algoritmit toimivat ja ottavat huomioon humaanit perusarvot.

Vastuullinen teknologisten ratkaisujen ja palveluiden kehittäminen edellyttää selkeitä prosesseja ja virallista eettistä ohjeistusta suunnittelusta palvelutuotantoon asti. Käytännössä läpinäkyvyyttä ja vastuullisuutta automaatiotyökalujen hyödyntämiseen liittyen voidaan lähestyä seuraavasti:

  • Otetaan käyttöön eettiset ohjeistukset sekä periaatteet palveluiden kehittämiseen liittyvien eettisten kysymysten huomioimiseksi.
  • Luodaan rooli, jonka vastuulla on varmistaa eettisten näkökulmien huomioiminen.
  • Nostetaan eettisiä kysymyksiä ja näkökulmia esille proaktiivisesti kaikilla bisnesalueilla.
  • Koulutetaan keskeiset sidosryhmät, kuten ohjelmistokehittäjät ja esimiehet, huomioimaan organisaation kanta eettisiin kysymyksiin.
  • Tunnistetaan teknologisten innovaatioiden potentiaalisesti aiheuttama vahinko, ja mietitään, miten niistä johtuvat seuraukset voidaan hyvittää.

Tuotteisiin, ratkaisuihin ja palveluihin sisältyy lukemattomia koodirivejä, minkä vuoksi algoritmeihin perustuvien päätösketjujen jäljittäminen on haastavaa. Selkeät ja läpinäkyvät prosessit sekä kaikille viestitty näkemys yrityksen kannasta eettisiin kysymyksiin edistävät vastuullista palvelukehittämistä ja auttavat vähentämään ihmisoikeuksiin tai lakiin kohdistuvia rikkomuksia.