Skip to content

Riskienhallinta

9.8.2024

Digian riskit on luokiteltu strategisiin, taloudellisiin, operatiivisiin sekä vastuullisuusriskeihin. Hallituksen tarkastusvaliokunta vastaa riskienhallinnan toteuttamisen valvonnasta ja vaikuttavuuden arvioinnista. Valvonta keskittyy yritykselle merkittäviin riskeihin, joiden riskiluokka on korkea. Digian johtoryhmä vastaa riskienhallinnan tarkoituksenmukaisuudesta ja operatiivisen tekemisen valvonnasta. Riskienhallinnan omistaja vastaa riskien raportoinnista ja niiden arvioinnin oikeellisuudesta. Digian riskienhallintaprosessia tukee keskitetty riskienhallintaohjelmisto.

Tarkastusvaliokunnalle raportoidaan riskitilanteen kehittymisestä kahdesti vuodessa ja johtoryhmä seuraa riskitilannetta osana johdon säännöllisiä tapaamisia. Raportointi käsittää riskitilanteen, merkittävien riskien vaikutukset ja hallintatoimet, sekä tavoitteiden seurannan mukaan lukien määritellyt mittarit.

Yhtiön strategiset ja taloudelliset riskit liittyvät mahdollisiin merkittäviin muutoksiin yhtiön toimintaympäristössä ja palvelualueilla sekä kiristyvään kilpailuun. Yleisellä taloussuhdanteella, kohonneella korkotasolla sekä asiakkaiden toimintaympäristön ja asiakkaiden taloudellisen tilanteen muutoksilla voi olla IT-investointien päätöksenteon hidastumisen, lykkäämisen tai perumisen kautta negatiivisia vaikutuksia yhtiön liiketoimintaan, taloudelliseen asemaan ja tulokseen.

Kasvustrategian toteuttaminen asettaa organisaatiolle ja johtamiselle vaatimuksia. Yhtiön rekrytointikyky, oikean osaamisen ylläpitäminen ja kehittäminen sekä tarjonnan oikea-aikainen sovittaminen kysyntään ovat erittäin tärkeässä asemassa. Strategiansa mukaisesti Digia tavoittelee kasvua myös yritysostojen avulla. Ei kuitenkaan ole varmuutta siitä, että yritys pystyy löytämään sopivia ostokohteita tai että ostettujen yritysten integrointi Digiaan onnistuu suunnitellusti.

Operatiiviset ja suhdanneriskit ovat pitkälti lyhyen aikavälin kysyntään liittyviä riskejä. Mikäli kysyntä laskee voimakkaasti, voi myös hintataso laskea. Palveluliiketoiminnan hinnoittelumallit tasaavat liiketoiminnan syklisyyttä, mutta toisaalta tuotteista kertyvät SaaS-tulovirrat (Software as a Service) ajoittuvat pidemmälle aikavälille tuotelisenssien kertamaksujen sijaan. Inflaatioympäristössä ei ole varmaa, kuinka nopeasti ja missä määrin nousseet kustannukset välittyvät markkinahintoihin.

Suuret asiakashankkeet sekä erityisesti kiinteähintaiset hankkeet sisältävät liiketoimintamahdollisuuksien lisäksi myös riskejä. Asiakashankkeiden koon kasvaessa kannattavuuden hallintaan liittyvät riskit lisääntyvät ja tarve hallita laajoja sopimus- ja toimituskokonaisuuksia korostuu. Suurissa asiakashankkeissa on tyypillisesti toimitukseen liittyviä sanktioita. Samalla myös myyntisaamisiin liittyvät riskit kasvavat.

Tietoturva- ja tietosuojariskit ovat merkittävä riskialue yhtiön liiketoiminnassa. Organisaatioilla on yhä enemmän toiminnan kannalta kriittistä tietoa. Tietoturvaan ja -suojaan kohdistuvat uhkakuvat ovat kasvaneet merkittävästi viime vuosina. Tietoturva- ja tietosuojariskit kohdistuvat pääasiassa teknologiaan ja henkilöihin. Merkittäviä riskitekijöitä ovat myös korkean turvallisuuden hankkeiden ja alihankintaketjun riskit. Yhtiö on toiminnan luonteensa vuoksi kohteena myös vihamieliselle vaikuttamiselle. Yhtiö tunnistaa, hallitsee ja estää sekä sisäisiä että ulkoisia uhkia. Yhtiö toteuttaa säännöllistä parhaisiin käytäntöihin perustuvaa, ISO 27001 -sertifioitua riskienhallintaprosessia tietoturva- ja tietosuojariskien käsittelyssä. Riskit tunnistetaan, niiden vaikuttavuus ja merkittävyys analysoidaan ja riskitasoa pienennetään mahdollisuuksien mukaan asianmukaisilla toimenpiteillä. Operatiivinen reagointi ja mahdollisten uhkatilanteiden käsittely on suunniteltu, harjoiteltu ja käytännössä koestettu. Yhtiön työntekijöitä koulutetaan jatkuvasti ja tietoturva- sekä tietosuoja-asioista tiedotetaan aktiivisesti niin yhtiön sisällä kuin tarvittaessa myös kumppaneille ja asiakkaille. Yhtiö toimii läheisessä yhteistyössä erilaisten tietoturva- ja tietosuoja-alan viranomaisten ja verkostojen kanssa. Fyysisen turvallisuuden ja henkilöstöturvallisuuden asiat hallitaan vastaavanlaisilla mekanismeilla kuin tietoturva- ja tietosuoja-asiat.

Vastuullisuusriskit koostuvat ympäristö-, sosiaalisista ja hallintoriskeistä. Ympäristöriskit ovat toimistotyössä varsin pienet. Ilmastouhkien seurauksena IT-laitteiden globaalit toimitusketjut saattavat häiriintyä. Sosiaaliseen vastuuseen liittyvien mahdollisten riskien seurantakohteena ovat esimerkiksi henkilöstön kokemukset kuormittuneisuudesta ja työhyvinvoinnista sekä syrjinnästä ja eriarvoisesta kohtelusta. Alihankintaketjun osalta on analysoitu mahdolliset ihmisoikeusriskit ja niiden todennäköisyyttä seurataan aktiivisesti. Ihmisoikeusriskit huomioidaan myös uusia alihankintakumppaneita valittaessa. Hallinnolliset riskit liittyvät pääasiassa yhtiön lain- ja vaatimustenmukaisuuteen, eettiseen toimintaan sekä tietoturvaan ja -suojaan.

Lisääntyvä regulaatio voi myös vaikuttaa haitallisesti Digian liikevaihdon kehitykseen ja kulutasoon.