Avainriskimittari - Riskienhallinnan ydinkäsitteet

3.1 Riskienhallinnan ydinkäsitteet

3.1.5 Avainriskimittari

Avainriskimittarit ovat mitattavia mittareita tai osoittimia, jotka seuraavat altistumista, menetystä tai yleisiä ongelmia. Kaikki keinot ja tavat jotka mittaavat edellä mainittuja prosesseja, voidaan sanoa olevan riskimittareita. Mittarista tulee avainroolissa oleva, kun se seuraa erittäin tärkeää altistumista tai se tekee jonkin asian seuraamista hyvin, tai molempia. Operationaalisia riskejä voidaan määritellä menettämisen riskinä johtuen huonosta tai epäonnistuneista prosesseista, järjestelmistä, ihmisten suoriutumisesta tai ulkoisista tapahtumista.

Asiakasvalitusten lukumäärä on esimerkki avainriskimittarista. Kun asiakasvalitusten lukumäärä kasvaa, todennäköisyys sille, että niiden takana olisi olemassa jotakin piileviä tai systemaattisia virheitä kasvaa. Jos asiakasvalitusten syytä ei tutkita, voidaan alkaa tekemään mahdollisesti virheellisiä ratkaisuja päätöksenteossa, kun asiakasvalitusten määriä yritetään vähentää. On siis loogista ajatella, että muutokset tässä mittarin arvossa liittyvät muutoksiin operationaalisien riskien altistumiselle tai operationaalisen menetyksen kokemiseen (Davies et al., 2006).

34 3.1.6 Liiketoiminnan vaikutusanalyysi

Liiketoiminnan vaikutusanalyysi (Business Impact Analysis, BIA) on hyvä työkalu, kun yritetään tunnistaa liiketoiminnan tarpeita, vaikutuksia ja riskejä. Liiketoiminnan vaikutusanalyysi on keskeinen tekijä liiketoiminnan jatkuvuuden prosessissa.

Liiketoiminnan vaikutusanalyysi määrittää strategiaa koskien riskien vähentämistä ja katastrofista toipumista. Tärkein toiminto liiketoiminnan vaikutusanalyysilla on katastrofin vaikutuksen tunnistaminen koskien liiketoimintaa. Se näyttää mihin osa-alueisiin laajavaikutteinen häiriö vaikuttaisi eniten ja mitä tämä tarkoittaisi kokonaisvaltaisen liiketoiminnan kannalta. Täten se tunnistaa liiketoiminnan selviytymisen kannalta kriittisimmät liiketoimintafunktiot sekä minne tämä kriittisyys kohdistuu ajankohdasta riippuen. Liiketoiminnan vaikutusanalyysi myös auttaa organisaatiota ymmärtämään sen palveluitaan paremmin (Hunnbeck et al., 2011).

Liiketoiminnan vaikutusanalyysilla on kaksi aluetta (Hunnbeck et al., 2011):

 Ensimmäinen alue koskee liiketoiminnan hallintaa, jonka täytyy keskittyä tutkimaan jonkun liiketoiminnan prosessin tai funktion menetyksen vaikutusta.

Tämä sisältää myös menetyksen korjaamiseen vaadittavien tuntimäärien ja kustannusten selvittämistä.

 Toinen alue sijaitsee palvelunhallinnassa, jonka täytyy selvittää palvelun menetyksen vaikutukset liiketoiminnalle. Tässä alueessa otetaan huomioon keinot hallita ja vaikuttaa palveluihin palvelunhallinnan avulla.

Liiketoiminnan vaikutusanalyysi on suuressa roolissa uuden tai muuttuneen palvelun suunnitteluvaiheessa sekä liiketoiminnan jatkuvuuden strategian kehittämisessä.

Liiketoiminnan vaikutusanalyysin avulla organisaatio voi määrittää (Hunnbeck et al., 2011)

 mitkä ovat kriittisiä palveluita, mistä rakenneosista niitä koskettava laajavaikutteinen häiriö koostuu ja tällaisen toteutuessa – mikä olisi sen vaikutus ja laajuus liiketoimintaa miettiessä

 palvelukatkoksien hyväksyttävät tasot ja ajat

 kriittiset liiketoiminnan ja palveluiden ajanjaksot

 palvelun menetyksen kustannukset

 mahdolliset tietoturvan seuraukset johtuen palvelun menetyksestä.

3.1.7 IT-jatkuvuussuunnitelma

IT-jatkuvuussuunnitelma (IT Service Continuity Plan, ITSCP) on tärkeä osa IT-palvelun jatkuvuudenhallintaa (IT Service Continuity Management, ITSCM), joka taas tukee liiketoiminnan jatkuvuudenhallintaa (Business Continuity Management, BCM). IT-jatkuvuussuunnitelmia täytyy kehittää, jotta kriittisten järjestelmien, palveluiden tai tietovarastojen jatkuvuus ja palautuminen saadaan toteutettua liiketoiminnan jatkuvuuden kannalta riittävässä aikaikkunassa. Yleensä liiketoiminnan jatkuvuudenhallinnan suunnitelmat nojautuvat IT-palveluiden, tietovarastojen ja erilaisten resurssien saatavuuteen. Tästä johtuen IT-jatkuvuudenhallinnan suunnitelmien pitää taata, että edellä mainitut IT-palvelut, tietovarastot ja muut resurssit toimitetaan hyväksyttävässä operationaalisessa tilassa ja että ne ovat hyväksytty liiketoiminnan osana. Tämä ei tarkoita pelkästään pelkkää palveluiden ja tietovarastojen palauttamista vaan myös niiden välisten yhteyksien kartoittamista, testauksen suorittamista ennen toimitusta ja tiedon oikeellisuuden ja jatkuvuuden validoimista (Hunnbeck et al., 2011).

IT-jatkuvuussuunnitelman tulisi myös mahdollistaa nopea pääsy palautusta vaativaan tietoon, sisältää kaikki dokumentoitu tieto ja tarkistuslista IT-palvelun palautumiseen liittyen, sisältää kaikki tekniset suunnitelmat mitä organisaatiolla on liittyen sen IT-infrastruktuuriin ja lisäksi IT-jatkuvuussuunnitelman pitäisi olla jatkuvasti saatavilla sitä tarvitseville organisaation henkilöstön jäsenille (Hunnbeck et al., 2011).

3.1.8 Operationaalisten riskien arviointi

Operationaalisten riskien arviointi sisältää eri tyyppisiä riskikategorioita kuten rakennuksien, järjestelmien ja toimintaympäristöjen riskit, luonnon tai asiakkaiden aiheuttamat riskit, sääntelyiden noudattamisesta johtuvat riskit, tietoverkosta tai tietoturvasta johtuvat riskit. On yleistä, että liiketoiminnan vakuuksia tehtäessä

arvioidaan liiketoiminnan sisäiset riskit, mutta operationaaliset riskit jätetään kokonaan arvioimatta.

Monissa säännellyissä ympäristöissä riskien arvioinnit ovat pakollisia, mutta operationaaliset riskit jäävät käsittelemättä. Tästä syystä haavoittuvuudet saattavat jäädä huomaamatta pitkäksi aikaa tai jäädä kokonaan huomaamatta ja toteutuessaan ne voivat pysäyttää liiketoiminnan suorittamisen kokonaan. Tästä palautuminen voi olla paikoittain vaikeaa tai mahdotonta. Kattava operationaalisten riskien arvioiminen auttaa löytämään edellä mainitut haavoittavuudet, altistumiset tai uhkat, jotta riskejä voidaan minimoida tai poistaa kokonaan (McKim, 2017).

3.1.9 Kriittiset menestystekijät ja suorituskykymittarit

Riskienhallinnan kriittisiä menestystekijöitä ovat (Office of Government Commerce, 2002b)

 IT-palveluiden tarjonnan ja palautumisen vastaaminen liiketoiminnan tarpeisiin

 liiketoiminnan ja IT-palveluiden jatkuvuuden suunnitelmien saattaminen koko organisaation tietoisuuteen

 oikeanlaisten liiketoiminnan ennusteiden tekeminen

 IT-palveluiden saatavuuden ja luotettavuuden hallinta

 ongelmien vaikuttavuuden minimoiminen

 IT-palveluiden laadun ylläpitäminen

 häiriöiden nopea ratkaiseminen.

Riskienhallinnan keskeisiä suorituskykymittareita ovat (Brooks, 2006):

 Riskejä vähentävien tekojen lukumäärä.

 Prosenttiosuus konfiguraatioiden rakenneosista, jotka löytyvät liiketoiminnan vaikuttavuuden analyysista.

 Prosenttiosuus prosesseista, jotka on määrätty operationaalisten riskien määrittelyn piiriin.

 Prosenttiosuus CI:stä, joiden käyttökatko oli suurempi kuin mitä operationaalisten riskien arvioinnissa oli arvioitu.

 Tunnistettujen uusien riskien lukumäärä.

 Prosenttiosuus CI:stä, joita ei ole otettu huomioon IT-jatkuvuussuunnitelmassa.

3.2 Riskienhallinnan suunnittelu ja hallinta

Riskejä on monenlaisia. Tietoturvaan liittyviä riskejä ovat muun muassa arkaluontoista materiaalia sisältävän kannettavan tietokoneen varkaus, tietokeskuksen tuhoutuminen ilkivallan tai jonkun muun syyn takia, tärkeiden tietoturvalaitteiden vahingonomainen säätäminen, virushyökkäykset, palvelunestohyökkäykset, tietokannassa olevan herkän tiedon vahingossa vaurioittaminen. IT-palvelunhallintaan liittyviä riskejä ovat väärän ohjelman valitseminen yrityksen strategian ja prioriteettien vastaisesti, vääränlaisten IT-investointien tekeminen johtuen oikeiden henkilöiden puuttumisesta päätösprossesissa, IT-arkkitehtuurin kehityksen ja laajenemisen estyminen johtuen monimutkaisesta ja joustamattomasta nykyarkkitehtuurista, SLA:sta poikkeavien tukien ja palveluiden saanti tuottajilta, tuottajan vaihtuminen, uudet asiakkaat tai palvelut ja lisenssittömien tuotteiden käyttäminen.

Liiketoiminnan johtamiseen liittyviä riskejä ovat IT-henkilökunnan jäsenten poislähteminen tai pidentynyt poissaolo, liiketoiminta-ajattelun puuttuminen IT-henkilökunnalta, tärkeän tiedon käyttämättä jättäminen liiketoimintaa koskevissa päätöksissä johtuen tiedon hautautumisesta tai vanhojen tietokantajärjestelmien käyttäminen. Lisäksi aina on mahdollisuus luonnollisten katastrofien (kuten maanjäristysten ja tsunamien) esiintymiselle. Vain mielikuvitus on rajana. Näistä edellä mainituista riskeistä olisi kuitenkin tärkeää tunnistaa omalle organisaatiolle kriittisimmät ja siihen suorasti tai epäsuorasti vaikuttavat riskit (Information Systems Audit, Control Association & Isaca, 2012b; Taylor, 2007; Mosimann, 2007).

Riskienhallinnan suunnittelua ja hallintaa on kuvattu kuvassa 8.

Kuva 8. Riskienhallintaprosessi (Vilarinho et al., 2011, mukaillen).

Riskienhallinnan suunnittelussa ja päivittämisessä otetaan huomioon organisaation riskienhallinnalle kriittisiä kohtia, joihin tulee saada ratkaisu. Näitä esimerkiksi ovat muutospyyntöjen arviointikriteerit, tietoturvallisuutta koskevien muutospyyntöjen arvioimiskriteerit, tietoturvan riskiarvio, uusi tai muuttunut palvelusuunnitelma, riskilogit, palvelun saatavuuden riskien arvioinnin kriteerit, palvelun jatkuvuuden riskien arvioinnin kriteerit ja palveluriskien arvioinnin kriteerit. Näistä saadaan synnytettyä tietoturvan muutospyynnön arvioinnin raportti, päivitetty riskilogi, riskienhallinnan strategia ja palveluriskien arvioinnin raportti (ISO/IEC, 2012a).

Riskien käsittelyyn on neljä mahdollisuutta: välttäminen, siirtäminen, lieventäminen ja säilyttäminen. Välttämisen strategia on vaihtoehtoisen keinon kehittäminen riskin välttämiseksi. Palvelusuunnittelua voidaan esimerkiksi muuttaa, jotta jokin tietty riski vältetään kokonaan. Riski voidaan myös välttää esimerkiksi lisäämällä henkilöstöresursseja ja aikaa riskin välttämiseksi. Siirtämisen strategia siirtää riskin

vastuun joltain organisaation tiimiltä tai osastolta toiselle tiimille tai osastolle.

Esimerkkinä tästä voisi olla jotain uutta IT-palvelua tai -tuotetta kehittäessä, riskin luovan kehitysprosessin ulkoistaminen. Lieventämisen päätehtävänä on ottaa oikeat askeleet, jotta riskin todennäköisyys tai seuraukset vähenevät huomattavan pieneksi.

Esimerkkinä voisi olla jonkun tietyn resurssin (kuten laskentateho IT-palveluille) puute, jolloin siihen voidaan vaikuttaa suoraan hankkimalla lisää laskentatehoa.

Säilyttämisen strategiana on säilyttää tietyt riskit ja kohdata ne, mikäli ne toteutuvat.

Tätä strategiaa voidaan käyttää esimerkiksi pienen prioriteetin riskeihin. Tärkeintä on tunnistaa oikea strategia jokaiselle riskille ja toimia sen mukaisesti riskiä käsiteltäessä (Camilleri, 2011).

3.3 Riskienhallinnan hyödyt muille palvelunhallintaprosesseille

Riskienhallinnan hyödyt näkyvät jokapäiväisessä toiminnassa operationaalisella ja palvelutasolla. Riskienhallinnasta on hyötyä liiketoiminnalle, ohjelmille ja projekteille, katastrofista toipumiselle tai tietoturvalle. Kun riskienhallinta integroidaan operationaaliseen toimintaan, kykenee palvelunhallinta paremmin hallitsemaan riskejä läpinäkyvyyden ja raportoinnin kautta (Bon et al., 2007).

Riskiarvioiden pohjalta voidaan käyttäjiltä rajata oikeuksia lukea, muokata tai poistaa tiettyä raporttia tai ohjelmaa koskevaa tietoa luomalla käyttöoikeusryhmät jokaiseen paikkaan IT-infrastruktuurissa näin tukien tietoturvalle tärkeitä osa-alueita kuten tiedon oikeellisuutta ja luottamuksellisuutta. Lisäksi riskienhallinta auttaa tietoturvaa saatavuuden saralla liittyen palvelun tai sovelluksen katastrofista palautumiseen (Hunnbeck et al., 2011).

Riskienhallinnan hyödyt tietämyksenhallinnalle kiteytyvät parhaimmillaan tiedon jakamisen ja tiedon suojelemisen tasapainona. Hyvässä riskienhallinnassa korostuu tietämyksenhallinnan merkitys. Nykypäivänä tietämyksenhallinta on tärkeää liiketoiminnalle. Oikein käyttöönotettuna sillä voidaan lisätä liiketoiminnan tuottavuutta ja samalla suojata organisaation kriittistä tietoa oikealla tavalla.

Riskienhallinnan vaatimukset antavat vaatimuksia tietoturvalle, joka taas siirtyy

konfiguraation rakenneosiin ja käytäntöihin, jotka taas suojelevat tietämyksenhallintaa. Riskienhallinnan määrittämiä riskejä voivat olla asiakastiedon ja kaikkia niitä tietoja käsittelevien ohjelmistojen suojeleminen, kun taas tietämyksenhallinnassa tämä tarkoittaa asiakastietämyksen suojelemista (Thalmann et al., 2014). Riskienhallinnan, tietoturvan ja tietämyksenhallinnan yhteistä viitekehystä on kuvattu kuvassa 9.

Tietämyksen

Kuva 9. Integroitu riskienhallinnan viitekehys (Thalmann et al., 2014, mukaillen).

Riskienhallinnan hyödyt saatavuudenhallinnalle (Availability Management, AM) ja IT-palveluiden jatkuvuudenhallinnalle tulevat riskien kontrolloimisesta ja ennustamisesta. Näiden kahden suorittamisessa on tärkeää, että liiketoiminnan jatkuvuuden kannalta tärkeät riskit tunnistetaan ja kontrolloidaan. Esimerkkinä pienet

häiriöt tai isot katastrofit kuten viruksen leviäminen organisaation IT-infrastruktuuriin, palvelunestohyökkäys tai maanjäristys (Bon, 2006).

Kapasiteetinhallinta hyötyy riskienhallinnasta siten, että IT-palveluiden tai ohjelmistojen riskiarvioinnit voivat paljastaa riskejä liittyen laskentakapasiteetin vajavaisuuteen tai liiallisuuteen. Vajavaisuus voi johtaa kriittisten palveluiden tai ohjelmistojen toiminnallisuuksien häiriöihin ja liiallinen laskentakapasiteetti taas luo turhia kustannuksia liiketoiminnalle. Ilman kapasiteettia ja suorituskykyä ei saada esimerkiksi asiakkaille tarjotusta IT-palvelusta kaikkea hyötyä irti (Hunnbeck et al., 2011).

Hyödyt palvelutuotannon (Service Operation, SO) prosesseille tulevat esimerkkinä asiakassitoutumisen lisäämisellä, kun asiakaspalvelua koskevat riskit tunnistetaan ja minimoidaan. Hyvä asiakaskokemus luo uskollisia asiakkaita. Huono asiakaskokemus taas vie asiakkaita pois ja todellisuudessa huonoja asiakaskokemuksia on paljon enemmän kuin mitä käy ilmi asiakaspalautteesta. Lisäksi negatiivinen kuulopuhe voi tuhota vuosien saatossa kerätyn hyvän maineen. Esimerkiksi riskienhallinnalla voidaan tunnistaa riskejä asiakasuskollisuudesta tutkimalla asiakaspalveluprosessia ja lieventää niitä kehittämällä kontrollointikeinoja (Mosimann, 2007).

3.4 Riskienhallinnan haasteet

Tietosuoja-asetuksen (General Data Protection Regulation, GDPR) astuessa voimaan 25. toukokuuta 2018 tulee riskienhallinnalle uusia potentiaalisia riskejä mietittäväksi.

Riskienhallinnan päähyöty tietoturvalle ja tietosuojalle on se, että hyvällä riskienhallinnalla ja suunnittelulla minimoidaan riskien realisoituminen, luodaan pohja hyville käytännöille, oikeiden toimenpiteiden tekemiselle ja niiden dokumentoimiselle. Tarvittaessa voidaan todistaa, että riittävät toimenpiteet on suoritettu ja riittävät mekanismit tietosuojan toteuttamiseen ovat olemassa. Tietosuoja-asetuksen myötä organisaatioiden tulisi suorittaa heidän käsittelemiensä, tallentamiensa ja ylläpitämiensä henkilötietojen ja henkilötietorekisterien riskien arvioinnit, joissa huomioitaisiin liiketoiminnan yleiset tavoitteet ja yleinen

liiketoimintastrategia organisationaalisella tasolla. Riskien arviointi noudattaa tuttua kaavaa: Tunnistetaan uhkat, haavoittuvuudet ja todennäköisyydet ja arvioidaan mahdolliset vaikutukset (SFS, 2015).

Ainutlaatuisen ympäristön luo julkisen pilvipalvelun tarjoajan, rekisterinpitäjän ja henkilöasiakkaan suhde. Tämä kolmiosainen henkilötietojen käsittelyketju vaatii useita erilaisia sopimuksia eri osapuolten välillä, jotta oikeanlainen henkilötietojen käsittelyprosessi ja vastuut saataisiin jaoteltua oikein. Tämä asetelma luo tietysti omanlaiset riskinsä (SFS, 2015).

Hallintakeinojen valinta riippuu organisaation päätöksistä, jotka perustuvat riskien hyväksyntäkriteereihin, riskien käsittelyvaihtoehtoihin ja yleiseen organisaatiossa sekä sopimusten kautta sen asiakkaisiin ja toimittajiin sovellettavaan riskienhallinnan toimintamalliin. Valinnan olisi oltava myös kaikkien asiaan liittyvien kansallisten ja kansainvälisten lakien ja asetusten mukainen (SFS, 2015).

Henkilötiedoilla on luonnollinen elinkaari aina sen luomisesta varastoinnin, käsittelyn, käytön ja viestimisen kautta sen häviämiseen tai tuhoutumiseen. Henkilötietoja koskevat riskit voivat vaihdella henkilötietojen elinkaaren aikana, mutta henkilötietojen suojaaminen on tärkeää kaikissa vaiheissa. Henkilötietojen suojaamista koskevat vaatimukset on otettava huomioon, kun olemassa olevia tai uusia tietojärjestelmiä hallinnoidaan niiden elinkaaren aikana (SFS, 2015).

Syyttämättömyyden kulttuurin luominen on yksi riskienhallinnan päähuolista.

Tavoitetila olisi, että jokainen liiketoiminnan osa-alue pystyisi vapaasti ja avoimesti raportoimaan heidän päivittäiseen työskentelyynsä liittyvistä riskeistä (Bon et al., 2007). Muita riskejä voivat olla: liiketoiminnan vaatimuksien epäselvyys IT-henkilökunnalle, liian vähäinen testaus uusia tuotteita tai järjestelmiä käyttöönottaessa tai niitä tarjottaessa, yhteistyön ja kommunikaation puuttuminen liiketoiminnan ja IT:n välillä sekä liian vähäiset resurssit tai aika. Yksi riskienhallinnan haaste on myös henkilöstön sitouttaminen noudattamaan riskienhallinnan parhaita käytäntöjä riskien estämiseksi, lieventämiseksi tai välttämiseksi (The art of service, 2007).

Monimutkaisuuden lisääntyminen teknologioissa ja organisaatiorakenteissa tuo mukanaan myös uusia mahdollisia riskejä. Tämä johtuu siitä, että kun integraatioiden määrä lisääntyy, lisääntyy myös monimutkaisuus. Tämä on looginen päätelmä, mutta integraatioiden päätehtävän vastaista, sillä integraatioiden tehtävänä on lisätä kontrollia. Kun tapaamme monimutkaisen järjestelmän, tietämyksemme ja ymmärtämisemme siitä, miten eri komponentit toimivat ja kommunikoivat toisensa kanssa ja miten koko järjestelmä toimii – ovat puutteellisia. Komponentit voivat käyttäytyä ja kommunikoida tavalla, jota emme täysin ymmärrä. Kun teemme muutoksia komponenttiin, jota ymmärrämme vain osittain, saamme sivuvaikutuksena siltä käyttäytymistä mitä emme ymmärrä. Kun tämä komponentti liittyy toiseen komponenttiin, tuottaa se lisää käyttäytymistä mitä emme ymmärrä. Mitä monimutkaisempi järjestelmä on, sitä ennustamattomampia meidän tekemämme muutokset liittyen siihen ovat. Tämä taas luo korkeampaa riskiä negatiivisille vaikutuksille koskien meidän tekemiämme muutoksia (Hanseth et al., 2007).

Hyvä esimerkki monimutkaisista järjestelmistä johtuvista riskeistä on potilaskantajärjestelmän tilaus isolta ohjelmistoyritykseltä viiteen norjalaiseen sairaalaan. Järjestelmän monimutkaisuuden lisääntyminen alkoi siitä, kun iso ohjelmistoyritys päätti tehdä järjestelmästä osan heidän tarjoamiansa tuotteita ja palveluita ja alkoi hakea sille asiakkaita Norjan ulkopuolelta. Tämä tarkoitti vaatimusten sekä taloudellisten ja henkilöstöllisten resurssien tarpeiden kasvamista.

Projektin edetessä vaiheesta toiseen, toi järjestelmä mukanaan uusia riskejä, jotka uhkasivat lopettaa koko projektin. Lopulta 8 vuoden jälkeen potilaskantajärjestelmä sisälsi 20-30 prosenttia potilasrekisterin tiedoista, paperien määrä oli kasvanut huomattavasti, potilasrekisterin funktionaalisuutta omaavien tietojärjestelmien määrä oli kasvanut huomattavasti mutta samalla potilaskantajärjestelmä oli pirstaloitunut.

Integraatioiden tähtäimet ja strategiat olivat tuottaneet yhä monimutkaisemman sosio-teknisen järjestelmän, jossa sivuvaikutukset olivat ottamassa projektia haltuun.

Lopulta sivuvaikutukset johtivat siihen, että lopputuote oli vastakohta sille mihin se suunniteltiin. Monimutkaisuuden takia havaitut riskit hallittiin tavalla, joka loi enemmän monimutkaisuutta ja siten myös enemmän riskejä (Hanseth et al., 2007).

4 Tutkimusmenetelmät

Tämän Pro Gradu -tutkielman tutkimusmenetelmät on kuvattu tässä luvussa. Lisäksi tässä luvussa esitellään tutkimuksen tutkimusasetelma, tutkimusongelma, tutkimusaineisto, tapaustutkimuksen kohteena ollut organisaatio sekä tiedonkeruu- ja analyysimenetelmät.

4.1 Tutkimusasetelma

Tämä tutkielma on tehty yhteistyössä Savon Voima Oyj:n kanssa, Savon Voima Oyj:tä varten. Tutkimuksen tarkoituksena on IT-palvelunhallintakirjallisuuden ja tapaustutkimuksen avulla arvioida Savon Voima Oyj:n konfiguraationhallinnan ja riskienhallinnan nykytilanne, selvittää niiden väliset yhteydet, tunnistaa molempien IT-palvelunhallintaprosessien merkittävyys sekä lisäksi tuoda esille parannusehdotuksia joita organisaatio voisi ottaa käyttöön liiketoiminta- ja IT-infrastruktuuriinsa konfiguraationhallintaa ja riskienhallintaa parantaakseen.

Alunperin jatkoin Pro Gradu -tutkielmassani kandidaatin tutkinnossani tehdyn aihepiirin, konfiguraationhallinnan parissa mutta Savon Voima Oyj halusi ottaa riskienhallinnan mukaan tutkielmaan, sillä se nähtiin prosessina, jota tulisi validoida ja kehittää organisaation sisällä. Lisäksi prosessin kriittisyys liiketoiminnalle kasvaa, sillä organisaatioiden IT-infrastruktuurit (toimialasta riippumatta) ovat jatkuvan teknologisen ja laillisen muutoksen ja kehityksen alaisuudessa.

Kuvassa 10 on kuvattu tämän tutkimuksen tutkimusasetelma, joka koostuu kolmesta pääelementistä: tutkimusongelmasta, tutkimusmenetelmästä ja tutkimusaineistosta.

Tutkimusongelma

Tutkimusaineisto Tutkimusmenetelmät

Miten konfiguraationhallinta tukee riskienhallintaa ulkoistetussa IT-palvelunhallinnassa ja hajautetussa

IT-ympäristössä?

- Mitä haasteita konfiguraationhallinnan suorittamisessa Savon Voima Oyj:llä

ilmenee?

- Miten konfiguraationhallintaa suoritetaan Savon Voima Oyj:llä?

Kirjallisuuskatsaus

- Miten riskienhallintaa suoritetaan Savon Voima Oyj:llä?

- Mitä haasteita riskienhallinnan suorittamisessa Savon Voima Oyj:llä

ilmenee?

Kuva 10. Tutkimusasetelma

Kun molempia prosesseja tarkastellaan, voidaan todeta, että molemmat ovat tärkeitä liiketoiminnan kannalta. Toisen näyttäessä johtoryhmälle (riskienhallinta) suoranaiset euromääräiset kulut jonkun riskin toteutuessa tai kyseisen riskin lieventämisen euromääräiset kulut, toisen ollessa (konfiguraationhallinta) näkymättömämpi johtoryhmälle ja vaikeampi ottaa käyttöön oikein, mutta oikein suoritettuna tuottaa ja tukee liiketoiminnan hyvinvointia yhtälailla.

Tutkimuksen perimmäisenä tarkoituksena ei ole yleistävien käsitteiden tai teorioiden luomisessa vaan tapaustutkimuksen suorittamisessa tapaustutkimuksessa mukana olevalle organisaatiolle ja mahdollisille muille lukijoille tarjoamalla ymmärrettävän ja selkokielisen tutkimuksen, jossa häivytetään kuilua liiketoiminnan ja IT:n välillä (Stake, 1978).

4.1.1 Tutkimusongelma ja tutkimuskysymykset

Tässä tutkielmassa on käytetty tutkimusongelmasta johdettua yhtä päätutkimuskysymystä ja sitä laajentavia pienempiä tutkimuskysymyksiä.

Tutkimusongelmana tunnistettiin IT-palvelunhallinnan konfiguraationhallinnan ja riskienhallinnan välillä olevien yhteyksien ja hyötyjen tunnistamisen tarve Savon

Voima Oyj:n ulkoistetussa IT-palvelunhallinnassa ja hajautetussa IT-ympäristössä.

Tarkoituksena on tunnistaa parannuskohtia ja -keinoja, joita tapaustutkimuksen alaisena oleva organisaatio (Savon Voima Oyj) voisi käyttää hyödyksi molempia IT-palvelunhallintaprosessejaan parantaessaan.

Tämän työn tutkimusongelmana on:

Miten konfiguraationhallinta tukee riskienhallintaa ulkoistetussa IT-palvelunhallinnassa ja hajautetussa IT-ympäristössä?

Tämä tutkimusongelma pilkottiin edelleen pienempiin tutkimuskysymyksiin:

1) Miten konfiguraationhallintaa suoritetaan Savon Voima Oyj:llä?

2) Miten riskienhallintaa suoritetaan Savon Voima Oyj:llä?

3) Mitä haasteita konfiguraationhallinnan suorittamisessa Savon Voima Oyj:llä ilmenee?

4) Mitä haasteita riskienhallinnan suorittamisessa Savon Voima Oyj:llä ilmenee?

Tutkimusaiheen valintaan vaikutti kandidaatin tutkinnnossani tekemä kirjallisuuskatsaus konfiguraationhallintaan sekä Savon Voima Oyj:n tarve tutkia riskienhallintaprosessiaan mahdollisten parannuskohtien löytämiseksi. Tämän lisäksi aihe on erittäin ajankohtainen, sillä konfiguraationhallinnasta itsessään ei ole paljoa tutkimusta tehty, saati sen suhteesta riskienhallintaan. Oma kiinnostukseni IT-palvelunhallintaan ja sen vaikutuksiin organisaation jokaisella tasolla myös ajoi tutkimustani tähän suuntaan. Tutkimusongelma pilkottiin pienempiin osiin siten, että molempien IT-palvelunhallintaprosessien nykytilanteet ja kehityskohdat pystyttiin paremmin tunnistamaan, ja jotta niiden välinen yhteys ja hyödyt toiselta prosessilta toiselle tunnistettiin paremmin.

4.1.2 Tutkimusaineisto

Tämän tutkimuksen tutkimusaineisto koostui teorialukujen osalta IT-palvelunhallinnan kirjallisuudesta (standardeista, parhaista käytännöistä ja käyttöoppaista eli selkokielisistä kirjoista), kansainvälisistä tutkimusartikkeleista,

uutisartikkeleista sekä ITIL-sanastosta. Tapaustutkimuksen osalta tutkimusaineisto koostui Savon Voima Oyj:n olemassa olevasta dokumentaatiosta, erinäisistä arkistoista, haastatteluista ja haastattelulomakkeesta, palavereista ja työkalujen käytön yhteydessä tehdyistä havainnoista. Alla olevassa taulukossa (Taulukko 3) tutkimusaineisto on eritelty eri kategorioihin alan kirjallisuuden mukaisesti.

Taulukko 3. Kuusi aineistolähdettä (Yin, 2014, mukaillen)

Tutkimusaineisto Tutkimusaineiston kuvaus

Dokumentaatio Savon Voima Oyj:n jatkuvuussuunnitelmat,

riskienhallinnan toimintakertomus ja muu riskienhallinnan dokumentaatio.

Arkistot Riskiraportit, riskiarviot, tunnistetut riskit, CI-tietueet ja muut arkistot.

Haastattelut Puolistrukturoidut haastattelut.

Suora havainnointi Palaverit ja muut tapaamiset, CMDB:n,

riskienhallintatyökalun ja riskiraporttien tarkastelu päivittäisessä arjessa.

Osallistuva havainnointi Riskiarviointipalaveriin osallistuminen, CMDB:ssä tunnistettujen virheiden tai epäkohtien havaitseminen, uusien riskien tunnistaminen.

Fyysiset artefaktit IT-palveluntarjoaja A:n CMDB ja Savon Voima Oyj:n riskienhallintatyökalu.

4.1.3 Tutkimusmenetelmät

Tutkimuksessa käytettiin eksploratiivista yhden tapauksen tapaustutkimusta (Baxter et al., 2008) tutkimusmenetelmänä ja lisäksi luotiin teorialuvut konfiguraation- ja riskienhallinnasta tapaustutkimuksen tukemiseksi ja pidettiin puolistrukturoituja haastatteluja tutkimusaineiston rikastamiseksi. Teorialuvut pohjautuvat ITIL-kirjallisuuteen ottaen huomioon COBIT:n, ISO-standardit, muut parhaat käytännöt ja kansainväliset tieteelliset julkaisut. Teorialukujen avulla saadaan hyvä kuva IT-palvelunhallinnan konfiguraationhallinnasta ja riskienhallinnasta. Tämä auttaa tapaustutkimuksessa tulosten peilaamista olemassa oleviin käsitteisiin ja teorioihin, oikeellisen analyysin saavuttamiseksi.

Tutkimuksessa suoritettu tapaustutkimus on luonteeltaan tutkimusstrategia, joka keskittyy ymmärtämään yhden tapauksen luonnetta keräämällä tutkimusaineistoa ja analysoimalla sitä ”miten” ja ”miksi” kysymyksiä esittämällä. Tapaustutkimuksella

voidaan luoda uutta teoriaa, tehdä toistettavissa olevia tutkimuksia, luoda vain kertaotantaisia tutkimuksia, kuvauksia tai testata teoriaa. Tapaustutkimukset voivat olla yhden tapauksen tai monen tapauksen tutkimuksia sisältäen monitasoista analyysia. Tämä tarkoittaa esimerkiksi sitä, että yhden tapauksen tapaustutkimuksessa voidaan tehdä analyyseja, jotka koskettavat tapausorganisaatiota ja tapausorganisaation toimialakenttää. Tapaustutkimuksen tutkimusaineiston tiedonkeräystapoina käytettiin edellä mainitun taulukon mainitsemia olemassa olevia arkistoja, haastatteluja, kyselyitä ja havainnointia. Tämä tutkimusaineisto taas voi olla kvalitatiivista, kvantitatiivista tai molempia, kuten tässä tapaustutkimuksessa on.

Tapaustutkimuksen prosessi on kuvattu alla kuvassa 11.

Suunnittele Muotoile

Valmistele

Kerää

Analysoi Jaa

Kuva 11. Tapaustutkimuksen prosessi (Yin, 2014, mukaillen)

Tässä tapaustutkimuksessa lähdettiin liikkeelle kandidaatin tutkintoni aiheen, konfiguraationhallinnan jatkamisella. Myöhemmin aloitettuani työt Savon Voima Oyj:llä, tuli tapausorganisaation pyynnöstä riskienhallinta kuvioihin myös mukaan.

Täten saatiin tapausorganisaatio ja aihepiirit valittua tapaustutkimusta varten. Tämän jälkeen tunnistettiin tapausorganisaatiota kiinnostava tutkimusongelma ja sitä laajentavat tutkimuskysymykset. Tämän jälkeen perehdyttiin alan kirjallisuuteen

koskien konfiguraation- ja riskienhallintaa sekä tapaustutkimusta. Tämän jälkeen aloitettiin tapaustutkimuksen tutkimusmateriaalin kerääminen ja lopulta tehtiin analyysi ja tutkimustulosten muodostus. Tutkimusmateriaalin keräämisen aikana luotiin tutkimusmuistiinpanot ja tietokanta materiaaleille, joita kerrytettiin tutkimuksen edetessä. Samalla tiedon määrän kasvaessa ja sitä analysoidessa tarkentui tutkimusasetelma jatkuvasti (Eisenhardt, 1989).

Analysointi-vaihe koostui tapaustutkimuksessa kerätyn tutkimusaineiston analysoimisesta tapausorganisaation konfiguraation- ja riskienhallinnan nykytilanteen, haasteiden ja kehitysideoiden kartoittamiseksi. Tämän kartoituksen päätteeksi saatiin tutkimusongelman tutkimuskysymyksiin vastauksia, joista lähdettiin kehittämään tapausorganisaatiota parantavia iteratiivisia interventioita, joilla voitaisiin poistaa havaitut haasteet ja puutteet. Tutkimuksen tuloksena tulleita haasteita ja kehitysideoita validoitiin tapausorganisaation avainhenkilöiden ja ohjaajien kanssa

In document Konfiguraationhallinnan hyödyt riskienhallinnalle ulkoistetussa IT-palvelunhallinnassa ja hajautetussa IT-ympäristössä : tapaustutkimus Savon Voima Oyj (sivua 42-0)