Skip to content

Riskienhallinta

9.2.2024

Digian riskienhallintaprosessia tukee keskitetty riskienhallintaohjelmisto. Riskit on luokiteltu strategisiin, taloudellisiin, operatiivisiin sekä vastuullisuusriskeihin. Hallituksen tarkastusvaliokunta vastaa riskienhallinnan toteuttamisen valvonnasta ja vaikuttavuuden arvioinnista. Valvonta keskittyy yritykselle merkittäviin riskeihin, joiden riskiluokka on korkea. Digian johtoryhmä vastaa riskienhallinnan tarkoituksenmukaisuudesta ja operatiivisen tekemisen valvonnasta. Riskienhallinnan omistaja vastaa riskien raportoinnista ja niiden arvioinnin oikeellisuudesta.

Tarkastusvaliokunnalle raportoidaan riskitilanteen kehittymisestä kahdesti vuodessa ja johtoryhmä seuraa riskitilannetta osana johdon säännöllisiä tapaamisia. Raportointi käsittää riskitilanteen, merkittävien riskien vaikutukset ja hallintatoimet, sekä tavoitteiden seurannan mukaan lukien määritellyt mittarit.

Yhtiön strategiset ja taloudelliset riskit liittyvät mahdollisiin merkittäviin muutoksiin yhtiön toimintaympäristössä ja palvelualueilla sekä kiristyvään kilpailuun. Yleisellä taloussuhdanteella, kohonneella korkotasolla sekä asiakkaiden toimintaympäristön ja asiakkaiden taloudellisen tilanteen muutoksilla voi olla IT-investointien päätöksenteon hidastumisen, lykkäämisen tai perumisen kautta negatiivisia vaikutuksia yhtiön liiketoimintaan, taloudelliseen asemaan ja tulokseen. Yhtiön arvion mukaan Ukrainan sodan ja taloussuhdanteiden tuoma epävarmuus saattaa vaikuttaa liiketoiminnan kehittymiseen negatiivisesti.

Kasvustrategian toteuttaminen asettaa organisaatiolle ja johtamiselle vaatimuksia. Yhtiön rekrytointikyky, oikean osaamisen ylläpitäminen ja kehittäminen sekä tarjonnan oikea-aikainen sovittaminen kysyntään ovat erittäin tärkeässä asemassa. Strategiansa mukaisesti Digia tavoittelee kasvua myös yritysostojen avulla. Ei kuitenkaan ole varmuutta siitä, että yritys pystyy löytämään sopivia ostokohteita tai että ostetun yrityksen integrointi Digiaan onnistuu suunnitellusti.

Operatiiviset ja suhdanneriskit ovat pitkälti lyhyen aikavälin kysyntään liittyviä riskejä toimintaympäristössä. Mikäli kysyntä laskee voimakkaasti, voi myös hintataso laskea. Palveluliiketoiminnan hinnoittelumallit tasaavat liiketoiminnan syklisyyttä, mutta toisaalta tuotteista kertyvät SaaS-tulovirrat (Software as a Service) ajoittuvat pidemmälle aikavälille tuotelisenssien kertamaksujen sijaan. Inflaatioympäristössä ei ole varmaa, kuinka nopeasti ja missä määrin nousseet kustannukset välittyvät markkinahintoihin.

Suuret asiakashankkeet sekä erityisesti kiinteähintaiset hankkeet sisältävät liiketoimintamahdollisuuksien lisäksi myös riskejä. Asiakashankkeiden koon kasvaessa kannattavuuden hallintaan liittyvät riskit lisääntyvät ja tarve hallita laajoja sopimus- ja toimituskokonaisuuksia korostuu. Suurissa asiakashankkeissa on tyypillisesti toimitukseen liittyviä sanktioita, joiden toteutuminen on aina riski. Samalla myös asiakassaamisiin liittyvät riskit kasvavat.

Tietoturva- ja tietosuojariskit ovat merkittävä riskialue yhtiön liiketoiminnassa. Organisaatioilla on yhä enemmän toiminnan kannalta kriittistä tietoa. Tietoturvaan ja -suojaan kohdistuvat uhkakuvat sekä niiden määrä ja laatu ovat merkittävästi kasvaneet viime vuosina. Tietoturva- ja tietosuojariskit kohdistuvat pääasiassa teknologiaan ja henkilöihin. Merkittävinä riskitekijöinä nousevat esimerkiksi korkean turvallisuuden hankkeiden ja alihankintaketjun riskit. Yhtiö on toiminnan luonteensa vuoksi kohteena myös vihamieliselle vaikuttamiselle. Yhtiö tunnistaa, hallitsee ja estää sekä sisäisiä että ulkoisia uhkia. Yhtiö toteuttaa säännöllistä parhaisiin käytäntöihin perustuvaa, ISO 27001 -sertifioitua riskienhallintaprosessia tietoturva- ja tietosuojariskien käsittelyssä. Riskit tunnistetaan, niiden vaikuttavuus ja merkittävyys analysoidaan ja riskitasoa pienennetään mahdollisuuksien mukaan asianmukaisilla toimenpiteillä. Operatiivinen reagointi ja mahdollisten uhkatilanteiden käsittely on suunniteltu, harjoiteltu ja käytännössä koestettu. Yhtiön työntekijöitä koulutetaan jatkuvasti ja tietoturva- ja tietosuoja-asioista tiedotetaan aktiivisesti niin yhtiön sisällä kuin tarvittaessa myös kumppaneille ja asiakkaille. Yhtiö toimii läheisessä yhteistyössä erilaisten tietoturva- ja tietosuoja-alan viranomaisten ja verkostojen kanssa. Fyysisen turvallisuuden ja henkilöstöturvallisuuden asiat hallitaan samanlaisia mekanismeja käyttäen kuin tietoturva- ja tietosuoja-asiat.

Vastuullisuusriskit koostuvat ympäristö-, sosiaalisista ja hallintoriskeistä. Riskit ympäristövahinkoihin ovat toimistotyössä varsin pienet. Sosiaaliseen vastuuseen liittyvien mahdollisten riskien seurantakohteena ovat esimerkiksi henkilöstön kokemukset kuormittuneisuudesta ja työhyvinvoinnista sekä syrjinnästä ja eriarvoisesta kohtelusta. Hankinnoissa puolestaan seurantakohteena ovat laitteiden valmistukseen sekä raaka-aineiden hankintaan liittyen mahdolliset ihmisoikeusriskit, kuten pakkotyövoiman käyttö. Hallinnolliset riskit liittyvät pääasiassa yhtiön lainmukaisuuteen ja eettiseen toimintaan.