"Kasvuyrityksissä on tiettyjä kynnyksiä, ensin 50 työntekijää, sitten 200. Niin sanottu maalaisjärki ja luottamus eivät enää riitä riskien hallinnassa kun yritys kasvaa. Selkeä indikaattori kynnyksen ylityksestä on esimerkiksi, ettei enää tunne kaikkia työntekijöitä etunimellä", Grant Thorntonin CIO Joachim von Schantz kertoo.
Kyberriskien keskiössä ovat ihmiset
Tavallisimmin yrityksen IT-riskien taustalla on ihmiset ja ihmisten toiminta. IT-tarkastuksissa voi ilmetä esimerkiksi se, että henkilöstöä ei ole koulutettu tarpeeksi järjestelmien käyttöön, jolloin osaaminen tietoturva-asioissa on puutteellista. Monissa yrityksissä IT-palveluita on ulkoistettu, mikä voi näkyä epäselvinä rooleina ja siinä, että palveluntuottajaan nojaudutaan liikaa. Vastuut voivat olla epäselviä, eikä käyttöoikeuksia hallinnoida suunnitelmallisesti.
Suurimpia riskejä ovat kuitenkin ne, joiden olemassaolosta yrityksellä ei ole tietoa. IT-tarkastuksella pyritään ennakoimaan riskejä ja luomaan suunnitelma niiden taklaamiseksi jo mahdollisimman aikaisessa vaiheessa.
IT-tarkastuksen rakenne
IT-tarkastuksessa pyritään saamaan yrityksen IT-toiminnoista kokonaisvaltainen tilannekuva, jonka pohjalta raportoidaan yrityksen potentiaalisia riskejä IT-asioiden saralla. Raportoinnissa käytetään liikennevalomallia kuvaamaan kunkin osa-alueen riskien todennäköisyys. Raportissa tuodaan myös esille, miksi jotkin osa-alueet ovat nousseet riskeiksi ja annetaan selkeä toimenpidesuositus, kuinka toimia jatkossa riskien välttämiseksi. Tarkastukseen kuuluu tavallisesti myös jälkitarkastus, jossa varmistetaan toimenpiteiden käyttöönotto.
IT-tarkastuksen neljä osa-aluetta
- IT-hallinto, jossa tarkastellaan mm. IT-organisaatiota, IT-strategiaa ja tietoturvapolitiikkaa.
- IT-infra, jossa tarkastellaan mm. ulkoistettuja IT-palveluja, tietojärjestelmiä, palvelimia ja tietoliikenneyhteyksiä.
- Tietoturva, jossa tarkastellaan mm. tiedon luokitteluperiaatteita, salasanakäytäntöjä, varmuuskopiointikäytäntöjä, virustorjuntaa ja toipumissuunnitelmia.
- Käyttöoikeudet, jossa käydään tarkemmin läpi liiketoiminnan kannalta merkittäviä järjestelmiä, kuten kirjanpitojärjestelmiä, maksuliikennejärjestelmää ja palkanlaskentajärjestelmää.
Voimme auttaa sinua ERP- järjestelmähankkeissa
"Suurin hyöty ERP-järjestelmän vaihdossa on, että järkeviä työtapoja joutuu oikeasti miettimään. Välillä on myös tilanteita, joissa yritystä suositellaan sopeutumaan järjestelmään, eikä toisin päin", Joachim toteaa.
Kasvuyrityksissä toiminnan kasvaessa on uusia järjestelmiä otettava käyttöön joskus nopeallakin aikataululla, kun olemassa olevat käyvät riittämättömiksi tai vanhentuneiksi. Uuden toiminnanohjausjärjestelmän implementointi tuo yleensä mukanaan sekä teknisiä haasteita että sopeutumista uusiin toimintatapoihin.
