Satuin istumaan lounaspöydässä, jossa tuli keskustelua riskienhallinnasta ja sen metodien soveltamisesta tietoliikenneympäristöihin. Ajattelin, että tässä voisi olla yleisestikin mielenkiintoista vaihtaa ajatuksia ja tämän vuoksi tein pohjalle tämän harjoitelman.
Yleinen riskienhallinta on tärkeässä asemassa erityisesti suuremmissa yrityksissä. Tyypillisesti näistä löytyy riskienhallintajohtaja ja hänen alaisuudestaan muutamasta henkilöstä kokonaiseen joukkueeseen ihmisiä. Riskienhallinnan yhteistoimintaa nämä tekevät erillisessä riskienhallintayhdistyksessä. Yhdistys ylläpitää erinomaista Riskikompassi-alasivua, josta löytyy tukea organisaatioiden riskienhallinnan kehittämiseen ja järjestämiseen.
Riskikompassi luokittelee riskit neljään seuraavasti:
- Strategiset riskit, jotka luonnehditaan väärien valintojen tekemiseksi tai mahdollisuuksien hukkaamiseksi. Tässä kategoriassa meidän aihepiiriimme kuuluvat erityisesti yhteistyökumppanien valintaan ja hallintaan, sekä ulkoistamiseen liittyvät kokonaisuudet.
- Operatiiviset riskit, joiden luonnehdinta on toimimattomat prosessit, järjestelmät tai ihmiset. Tässä on paljon meidän alaamme koskettavia asioita, kuten esimerkiksi toimittajahallinta, osaavan henkilöstön saatavuus sekä teknologisen seurannan tekeminen.
- Taloudelliset riskit, joita luonnehditaan pääoma-, markkina- ja rahaprosessien hallintana. Tässä osa-alueessa on valtavasti asioita, mutta ainoa kirjoituksen aihetta koskeva kokonaisuus on hyödykkeiden ja resurssien hinnoittelu.
- Vahinkoriskit, joka on määritelty "Odottamattomien ulkoisten tekijöiden aiheuttamaa uhkaa tapahtumasta, joka toteutuessaan aiheuttaa negatiivisia seurauksia." Tässä tärkeitä huomioitavia kokonaisuuksia ovat toimitilojen tuhoutuminen, toiminnan aiheuttama maineenmenetys ja avainhenkilöiden pitkäaikainen poissaolo esimerkiksi tapaturman vuoksi.
Yhtäkkiä riskikompassin kategorioista on vaikea rakentaa punaista lankaa tietoliikenteeseen, mutta koitan sitä ainakin auttavasti sorvata.
Lähtökohta on, että kaikki, ja erityisesti suuret yritykset ovat tavalla tai toisella 100% riippuvaisia tietotekniikan toiminnasta. Pääosassa hanskat tippuvat heti, jos pääsy esimerkiksi toimistosovelluksiin, Teamsiin tai yrityksen omiin sovelluksiin estyy tavalla tai toisella. Joissain harvoissa voi toiminta jatkua hetken, kunnes vaikkapa tuotanto- tai varastologistiikka tai jokin muu fyysisessä tekemisessä tarvittava tieto jää saamatta.
Kaiken toimivan tietotekniikan alla on aina toimiva tietoliikenne. Sen osalta on jo 90-luvun loppupuolella suunniteltiin arkkitehtuureja, jotka mahdollistivat korkean käytettävyyden. Nämä niin sanotut henkselimallit ja kahdennetut runko-/jakelukytkintasot ovat ahkerassa käytössä vielä nykyisinkin, ja suurin osa yritysverkoista pohjautuu niihin. Toimintavarmuuden kasvattamiseksi tyypillisesti otetaan runko- ja mahdollisesti jakelukytkimille 24/7-tukipalvelu lisäksi. Sen avulla vikaantunut laite saadaan vaihdettua muutamassa tunnissa.
Mistä päästään kirjoituksen ensimmäiseen pihviin ja debattikohtaan. Onko tämä järkevää? Onko ympäri vuorokauden toimiva tukipalvelu yksittäisen komponentin vaihtamiseksi tarpeen, varsinkin kun ympäristö oikein suunniteltuna ja toteutettuna toimii varsin hyvin yhdelläkin laitteella. Vikaantuneen laitteen voi hyvin vaihtaa vasta seuraavana aamuna tai viikonlopun jälkeen. Riskienhallinnan näkökulmasta tämä ei ole tarpeen ja tuottaa vain turhia kustannuksia. Järkevämpää olisi palvelu, jossa 24/7-tyyppisesti reagoidaan jos tietoliikenneverkko on oikeasti nurin. Mitä mieltä olet?
Riskikompassissa tulee vahvasti esille ihminen, toimittajat, yhteistyökumppanit ja toiminta näiden kanssa. Tämä on toinen mielenkiintoinen osa-alue. Varsinkin isoissa yrityksissä ajatellaan helposti, että palvelua ostetaan vain isoilta yrityksiltä ja sitä kautta vältetään riskejä. Mielenkiintoista on kuitenkin pohtia, mitä riskejä oikeastaan vältetään. Niin isoissa, kuin pienissäkin yrityksissä asiakasta palvelee pääsääntöisesti KorkeanTasonArkkitehti(tm), jonka tekemisiä tuetaan vaihtelevalla tekijäjoukkueella. Isoissa voi lisäksi olla ympärillä kaikenlaista säätäjää palvelu-, myynti-, lupaus-, muutos- ja konfigurointipäälliköiden roolissa, mutta pääosin tekijät tekee ja muut palaveroi.
Isoin kysymys "ihmisriskien" osalta lienee, että mitä ne varsinaisesti ovat? Jos kyseessä on resurssien määrä vaikkapa äkilliseen suureen muutosprojektiin, niin valitettava tosiasia on, että samalla tavalla se iso joutuu haalimaan tekijöitä, kuin pienikin. Vaikka olemmekin viime vuoden loppupuolen aikana nähneet paljon muutosneuvotteluja, niin eivät ne tarkoita, että isoilla firmoilla olisi tekijöitä hyllyllä odottelemassa mahdollisia keikkoja. Jos kyseessä on osaamisen taso, niin tyypillisesti isoissa on enemmän osaamista, mutta vastaavasti se jakaantuu useampaan asiakkaaseen. Asiakasta kohden pienellä voi hyvinkin olla paremmin osaamista. Ja jos kyseessä toimittajan kokoon ja taloudelliseen kantokykyyn liittyvä riski, niin voi hyvin kysyä, että milloin on viimeksi nähty hyvin johdetun tietotekniikkayrityksen konkurssi? Nämä asiat ovat tämän kirjoituksen toinen debattikohta.
Ota rohkeasti kantaa, keskustelu avaa aina ajatuksia ja vie asioita eteenpäin. Ja jos haluat kuulla, miten pienempi yritys voi palvella tarpeitasi nostamatta riskitasoa, ota reilusti yhteyttä meihin!