Aida Omerovic Høy risiko, moderat bekymring. Hvorfor?

Vi må følgelig ofte tilpasse vår IT-arkitektur og de enkelte løsningene til blant annet forretningens mål og strategier, teknologi, krav, regelverk, osv. Erfaringene viser at slike tilpasninger altfor ofte medfører uante konsekvenser i forskjellige deler av verdikjeden. Eksempler inkluderer svekket tjenestenivå, tapte kunder, negativ medieomtale, sikkerhetshendelser, for å nevne noen.

Det kan naturligvis være mange årsaker til slike hendelser bl.a kompleksitet og avhengigheter som er usynlig i arkitekturmodellen, manglende forståelse av arkitekturen, uoversiktlig verdikjede og de risikoene endringene innebærer, uklare krav og feilaktig bruk av løsninger.            

Selvsagt tar vi alltid en kalkulert risiko når vi gjør ting med (IT- og forretnings) arkitekturen. Risikoen er så å si aldri lik null. Til det er usikkerheten knyttet til virksomheten, teknologien og omgivelsene for stor. Det er ofte enten umulig eller uforsvarlig med hensyn til kost/nytte å fullstendig forebygge risikoen. Men, vi må sørge for at den risikoen vi vet om blir forstått og formid­let riktig. I tillegg må vi ikke minst sørge for at de risikoene som ikke er akseptable blir håndtert på en hensiktsmessig måte.

La oss anta at IT-arkitekturen, forretningens mål og strategier samt risikobildet er på plass. Dessverre viser det seg at de risikoene som faktisk er høye og uakseptable, ikke alltid får den oppmerksomheten de fortjener. Noen slike risiko­er kan bli avdekket ved for eksempel gjennom­gang og validering av arkitektur og risikoanalyser, noen ved revisjon eller testing, mens andre dessverre slår ut i form av ulike typer hendelser. Hvorfor? Her er noen vanlige fallgruver:

• Risikoen presenteres på en uhensiktsmessig og uforståelig måte. Tekst, tabeller, grafiske figurer og økonomiske modeller er blant mulige måter å formidle et risikobilde på, og det finnes mange varianter innenfor disse kategoriene. Formidler du en høy risiko til ledelsen som skal basere sine beslutninger på den, eller finansiere tiltak, oppnår du ikke nødvendigvis samme utfall når en og samme risiko blir presentert på ulike måter.
• Risikoen har meget høy konsekvens og lav sannsynlighet eller hyppighet, noe som medfører at risikonivået, hvis for eksempel beregnet som produktet av de to, er lavt. Det kan være nærliggende å basere seg på produktet av sannsynlighet og konsekvens når en risiko evalueres. Selv om konsekvensen er meget høy, blir produktet lavt og risikonivået kan havne innenfor det akseptable området. Er det i så fall en akseptabel risiko?                     
• Det er for mye usikkerhet. Er du veldig usikker på risikoen du beskriver, med hensyn til årsaken, forløpet, sannsynligheten eller konsekvensen? Da kan risikobeskrivelsen bli tilsvarende vag og estimatene for risikonivået, ofte i form av sannsynlighet og konsekvens, kan spenne på tvers av akseptansegrenser, ofte i form av intervaller over både det akseptable og det uakseptable området av en risikomatrise. Resultatet blir dermed et tolkningsspørsmål.
• For øvrig kan flere tilsynelatende små og akseptable risikoer være relatert og utgjøre en større uakseptabel risiko. Sammenslåing av flere risikoer er også hensiktsmessig når de skal kommuniseres i andre deler av verdikjeden. Din risikoakseptanseskala bør også tilpasses og gjenspeile viktigheten av de delene av verdikjeden du ønsker å beskytte. Dette er noe som praktiseres i svært varierende grad.

I tillegg bør skala for tilordning av risikonivå støtte opp under grad av informasjonen du har, grad av usikkerhet, samt hvor akseptansegrensene går. Feilhåndtering av relaterte risikoer og uhensiktsmessig definisjon av skala kan henholdsvis medføre at en høy risiko representeres i form av flere små, og at skalaene er mistilpasset. Ved mistilpasset skala kan de uakseptable risikoene bli «skjøvet» til et akseptabelt område og risikonivået kan se lavere ut enn det faktisk ville vært om den tilgjengelige kunnskapen hadde blitt uttrykt mer presist.

• Ikke minst skal vi ikke glemme at en risiko knyttet til for eksempel ny teknologi, prosesser, kunder, geografi eller samspill med andre systemer samtidig kan representere en mulighet. For eksempel nye tjenester og nye forretningsområder. Dette kan resultere i at risikoen og mulighetene oppveier hverandre og at det anslåtte risikonivået bevisst reduseres.

Denne listen er ikke utfyllende, men mange av de nevnte fallgruvene har en ting til felles: Om en relevant risiko får det gehøret og behandlingen som trengs, er i stor grad avhengig av hvordan den presenteres og formidles. En høy risiko er ofte uakseptabel og fortjener tilsvarende grad av bekymring.

Vi må vite hvilke beslutninger og handlinger som utløser slike risikoer i ulike deler av verdikjeden, samtidig som vi håndterer og formidler risikobil­det. Risikostyring er tverrfaglig og handler i stor grad om å snakke et språk mottakeren forstår: Effekt på forretningen, kost/nytte analyse og klare fremstillinger. Da blir arkitekturarbeid mer målrettet og vi blir bedre i stand til å styre risiko over hele verdikjeden med hensyn til både IT og forretning.