Alihankinnan tietoturvallisuuden ja liiketoiminnan jatkuvuuden kehittäminen
Pienimäki, Harri (2012)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2012112215997
https://urn.fi/URN:NBN:fi:amk-2012112215997
Tiivistelmä
Yritysten harjoittaman ulkoistamisen ohella myös alihankinta on viime aikoina lisääntynyt. Yritykset pyrkivät vähentämään kiinteitä kulujaan ja keskittymään ydinliiketoimintaansa hyödyntämällä alihankkijayrityksiä eri toimintojen korvaajina. Laajojen alihankintaketjujen hallinta ja alihankinnasta aiheutuvat riskit tuovat kuitenkin omat haasteensa erityisesti liiketoiminnan jatkuvuudelle.
Tämän opinnäytetyön tarkoituksena oli perehtyä nimettömänä pidettävän kohdeorganisaation alihankkijayrityksiin ja suunnitella menetelmä, jonka avulla voidaan tunnistaa sen liiketoiminnan jatkuvuuden kannalta merkittävimmät alihankkijat. Samalla opinnäytetyössä käsiteltiin alihankinnan hyötyjä ja riskejä sekä selvitettiin, miten liiketoimintaa voidaan jatkaa normaalisti riskeistä huolimatta. Tutkimus toteutettiin käyttämällä perustutkimusta, jonka avulla perehdyttiin alan teoriaan sekä selvitettiin mahdollisia keinoja alihankkijoiden liiketoiminnallisen merkityksen arviointiin. Tämän jälkeen käytettiin toimintatutkimusta alihankkijoiden luokittelumenetelmän kehittämiseen yhteistyössä kohdeorganisaation kanssa.
Tutkimuksen aikana havaittiin, että tietoturvallisuuden näkökulmasta ulkoistamissuhteisiin liittyvät yleensä pienemmät riskit kuin alihankintaan, koska ulkoistajalle ei lähtökohtaisesti luovuteta yrityksen kannalta merkittävää tietoaineistoa. Alihankinnassa riskit taas ovat verrannollisia siihen kuinka tiivistä yhteistyötä tai laajoja alihankintaketjuja yritys hyödyntää. Alihankinnasta aiheutuvien riskien ensisijaisiksi torjuntakeinoiksi todettiin laadukkaat sopimukset. Näissä kuvataan hankinnan kohteet sekä erityisesti sovitut hinta- ja laatuvaatimukset, kuten soveltuvat tietoturvallisuuskäytännöt sekä tavoiteaikataulut. Samalla tunnistettiin, että sopimuksia tulisi myös käyttää aktiivisesti osana alihankintatoimintaa ja tarvittaessa kouluttaa alihankkijaa toimimaan sopimuksessa mainittujen ohjeistusten mukaisesti.
Näiden lisäksi aktiivinen yhteydenpito alihankkijaan sekä sopimukseen kirjatut mahdollisuudet auditoinneille ja tarkastuksille havaittiin tärkeäksi keinoksi tunnistaa alihankkijan toiminnassa jo olemassa olevia poikkeamia, ja pyrkiä vaikuttamaan alihankkijan toimintaan. Lisäksi alihankintasuhteen elinkaaren valvonta tunnistettiin hyödylliseksi käytännöksi parantaa valmiutta reagoida mahdolliseen alihankkijan toiminnan keskeytymiseen ja siitä aiheutuviin riskeihin.
Opinnäytetyön lopputuloksena toteutettiin myös alihankkijoiden luokittelumenetelmä kohde-organisaation käyttöön, jolla kehitettiin erityisesti alihankkijoiden seurantaa ja riskien arviointia elinkaariajattelun mukaisesti. Menetelmän arviointikysymyksien kehitysprosessissa käytettiin lähteenä alan teoriassa esiteltyjä riskitekijöitä sekä kohdeorganisaatiossa tunnistettuja riskejä. Näin luokittelumenetelmä rakentui sisältämään yleispäteviä kysymyksiä, joissa huomioidaan alihankkijan tietoturvallisuus ja liiketoimintakriittisyys sekä maantieteellinen sijainti. Tästä johtuen menetelmää voidaan hyödyntää monissa eri organisaatioissa toimialasta riippumatta.
Tämän opinnäytetyön tarkoituksena oli perehtyä nimettömänä pidettävän kohdeorganisaation alihankkijayrityksiin ja suunnitella menetelmä, jonka avulla voidaan tunnistaa sen liiketoiminnan jatkuvuuden kannalta merkittävimmät alihankkijat. Samalla opinnäytetyössä käsiteltiin alihankinnan hyötyjä ja riskejä sekä selvitettiin, miten liiketoimintaa voidaan jatkaa normaalisti riskeistä huolimatta. Tutkimus toteutettiin käyttämällä perustutkimusta, jonka avulla perehdyttiin alan teoriaan sekä selvitettiin mahdollisia keinoja alihankkijoiden liiketoiminnallisen merkityksen arviointiin. Tämän jälkeen käytettiin toimintatutkimusta alihankkijoiden luokittelumenetelmän kehittämiseen yhteistyössä kohdeorganisaation kanssa.
Tutkimuksen aikana havaittiin, että tietoturvallisuuden näkökulmasta ulkoistamissuhteisiin liittyvät yleensä pienemmät riskit kuin alihankintaan, koska ulkoistajalle ei lähtökohtaisesti luovuteta yrityksen kannalta merkittävää tietoaineistoa. Alihankinnassa riskit taas ovat verrannollisia siihen kuinka tiivistä yhteistyötä tai laajoja alihankintaketjuja yritys hyödyntää. Alihankinnasta aiheutuvien riskien ensisijaisiksi torjuntakeinoiksi todettiin laadukkaat sopimukset. Näissä kuvataan hankinnan kohteet sekä erityisesti sovitut hinta- ja laatuvaatimukset, kuten soveltuvat tietoturvallisuuskäytännöt sekä tavoiteaikataulut. Samalla tunnistettiin, että sopimuksia tulisi myös käyttää aktiivisesti osana alihankintatoimintaa ja tarvittaessa kouluttaa alihankkijaa toimimaan sopimuksessa mainittujen ohjeistusten mukaisesti.
Näiden lisäksi aktiivinen yhteydenpito alihankkijaan sekä sopimukseen kirjatut mahdollisuudet auditoinneille ja tarkastuksille havaittiin tärkeäksi keinoksi tunnistaa alihankkijan toiminnassa jo olemassa olevia poikkeamia, ja pyrkiä vaikuttamaan alihankkijan toimintaan. Lisäksi alihankintasuhteen elinkaaren valvonta tunnistettiin hyödylliseksi käytännöksi parantaa valmiutta reagoida mahdolliseen alihankkijan toiminnan keskeytymiseen ja siitä aiheutuviin riskeihin.
Opinnäytetyön lopputuloksena toteutettiin myös alihankkijoiden luokittelumenetelmä kohde-organisaation käyttöön, jolla kehitettiin erityisesti alihankkijoiden seurantaa ja riskien arviointia elinkaariajattelun mukaisesti. Menetelmän arviointikysymyksien kehitysprosessissa käytettiin lähteenä alan teoriassa esiteltyjä riskitekijöitä sekä kohdeorganisaatiossa tunnistettuja riskejä. Näin luokittelumenetelmä rakentui sisältämään yleispäteviä kysymyksiä, joissa huomioidaan alihankkijan tietoturvallisuus ja liiketoimintakriittisyys sekä maantieteellinen sijainti. Tästä johtuen menetelmää voidaan hyödyntää monissa eri organisaatioissa toimialasta riippumatta.