Eduskunnan kanslian tietohallinnon riskienhallinnan kehittäminen

Abstract

Eduskunnan kanslian tietohallintotoimisto tuottaa eduskunnan toiminnan kannalta keskeiset tietojärjestelmät, joiden toimivuus on oltava korkealla tasolla eduskunnalle asetettujen tehtävien saavuttamisen mahdollistamiseksi. Riskienhallinta on tämän varmistamisessa tärkeässä roolissa. Riskienhallinnalla voidaan ennakoida epävarmuudet, jotka voisivat estää organisaation toiminnan

Tutkimuksen tavoitteena oli kehittää tietohallintotoimistolle soveltuva mallia riskienhallintaan. Lisäksi selvitettiin, minkälaisia tarpeita toimistolla oli riskienhallinnalle ja miten sen toiminnassa voitaisiin tunnistaa, analysoi ja priorisoi riskejä.

Tutkimus toteutettiin toimiston sisäisenä kehitysprojektina. Opinnäytetyönä tehtävässä kehittämistehtävässä käytettiin konstruktiivista tutkimusmenetelmää ja haastatteluja sekä dokumenttianalyysia. Tutkimuksessa luotiin teoriatausta, kartoitettiin tarpeet riskienhallinnalle, analysoitiin nykytila ja näiden pohjalta kehitettiin riskienhallinnan malli.

Tutkimuksen teoriataustassa käytännönlähteinä käytettiin COSO riskienhallintamallia, ISO-standardia sekä VAHTI-ohjeistusta. Lisäksi haastateltiin muiden organisaatioiden riskienhallinnan ammattilaisia. Näitä tietoja täydennettiin kirjallisuuskatsauksella ja aiemmilla tutkimuksilla. Tietohallintotoimiston tarpeet riskienhallinnalle kartoitettiin haastattelemalla toimiston johtoryhmä. Riskienhallinnan nykytila arvioitiin dokumenttianalyysilla.

Konstruktiona kehitettiin tietohallintotoimistolle soveltuva riskienhallinnan malli. Malli koostuu yleisistä riskienhallinnan periaatteista, riskienhallinnan toteutuksen kuvaavasta puitekuvauksesta sekä riskienhallinnan käsikirjasta, jossa on kuvattu riskienhallinnan käytännön työskentely. Lisäksi kehitettiin näitä tukevia työkaluja.

Mallin toimivuus testattiin dokumenttien hyväksynnällä, käsittelemällä aikaisemmin tunnistettuja riskejä uudelleen sekä tekemällä kokonaan uusi riskienarviointi. Testausten perusteella voitiin todeta luodun mallin olevan toimiva, vaikka sen pitkäaikaista käyttöä ei voitu testata.

Tutkimuksen johtopäätöksenä on, että jos organisaatiolla on olemassa kevyt malli riskienhallintaan, luomalla sitä tukemaan määrämuotoinen kokonaisvaltaisempi hallintamalli, voidaan riskienhallinnan tehokkuutta huomattavasti parantaa. Jatkokehityksenä mallia tulisi soveltaa toimiston toimintaan ja mahdollisti myös laajemmalti eduskunnan kansliassa.

The IT-office of the Parliament produces the information processing systems which are central from the point of view of the operation of the Parliament. The functionality of these systems must be a high level to make reaching of the tasks set for the Parliament possible. Risk management has an important role in the securing of this. Risk management can be used to anticipate the uncertainties which could undermine the operation of the organisation.

The objective of the study was to develop a suitable model for risk management for the IT-office. Furthermore the needs for risk management that there were at the office were recognised. Also it was clarified how the office could identify, analyse and prioritise its risks.

The study was carried out as an internal development project. In the developing task, which was done as a dissertation, a constructive research method and interviews and document analysis were used. In the study, a theory background was created, the needs for risk management were identified, a present state was surveyed, and, based on these, the model of risk management was developed.

In the theory background, constructive sources were COSO -risk management model, ISO-standard and VAHTI-guidelines. Furthermore, professionals in risk management at other organisations were interviewed. This information was supplemented by source literature that included studies. The needs of the IT-Office in risk management were surveyed by interviewing the management team of the office. The present state of risk management was estimated with a document analysis.

The risk management model which is suitable for the IT-office was developed by using constructive research approach. The model consists of the general principles of risk management, from the settings description which covers the implementation of risk management and from the manual in risk management in which the risk management practices have been described. Furthermore, supporting tools for the implementation were developed.

The functionality of the model was tested with the approval of documents by dealing again with risks that had been identified earlier and by a making totally new risk evaluation. On the basis of the testing one can state that the created model was operating even though it was not possible to test its long time use.

The conclusion of the study is that if at the organisation a light model existed of managing risks has, the effectiveness of risk management can be increased by creating a more comprehensive management model to support it. For further studies, the model should be adapted to the operation of the IT-office as a further development and possibly implemented on a larger scale in the office of the Parliament.