Riskien arviointi IT-investointipäätöksenteossa : tapaustutkimus asiakas- ja potilastietojärjestelmähankinnasta

Abstract

Riskien arviointia ohjaa organisaation riskienhallinta, strategia sekä sen kulttuuri. Riskien arvioinnin prosessi koostuu karkeasti sanottuna riskianalyysistä, joka sisältää riskien tunnistamisen ja niiden analysoinnin sen kontekstin kannalta, missä riski esiintyy. Riskien arviointi on usein osa myös investointipäätöksentekoa, jolla tässä tutkielmassa tarkoitetaan organisaation investointiin kohdistuvaa päätöksentekoprosessia. Investointi on organisaation ja toimittajan välinen formaali sopimus siitä, että organisaatio saa toimittajan tarjoaman hyödykkeen käyttöönsä rahaa vastaan. IT-investoinnissa kohteena on jokin informaatioteknologian alan hyödyke. Tässä tutkielmassa tutkittiin riskien arviointia investointipäätöksentekoprosessissa, joka kohdistui suuren tietojärjestelmän hankintaan organisaatiossa. Tutkimuksen empiirinen osuus toteutettiin tarkastelemalla sosiaali- ja terveysalan asiakas- ja potilastietojärjestelmähankintaan (APTJ-hankinta) kohdistuvaa investointipäätöksentekoa. Tutkimuksen tavoitteena oli selvittää, kuinka riskien arviointi toteutettiin kyseisessä IT-investointipäätöksenteossa ja hyödynnettiinkö riskien arvioinnissa joitain sille laadittuja malleja tai menetelmiä. Tutkimus oli tapaustutkimus ja empiirinen osuus toteutettiin kvalitatiivisella haastattelututkimuksella. Tutkimuskohteena olivat Suomen kuusi eri sairaanhoitopiiriä, joissa haastateltiin APTJ-hankintaan kohdistuvaan investointipäätöksentekoon osallistuneita henkilöitä. Sekä kyseiseen hankintaan mukaan lähteneitä että hankinnasta kieltäytyneitä sairaanhoitopiirejä haastateltiin. Tutkimuksen tulokset osoittivat, että IT-investointipäätöksentekoprosessin aikainen riskien arviointi ei ollut eksplisiittistä riskien arviointia, vaan sitä toteutettiin pääasiassa muiden keskusteluiden ohessa ja esimerkiksi ROI-laskelman yhteydessä. Riskien arvioinnissa kuitenkin hyödynnettiin jonkun verran lähdekirjallisuudesta esiin nousseita riskien arvioinnin tapoja, kuten SWOT-analyysiä ja riskien arviointia sekä kvalitatiivisesta että kvantitatiivisesta näkökulmasta. Tutkimustuloksia voidaan hyödyntää sekä julkisen että yksityisen sektorin suurissa tietojärjestelmähankinnoissa laadittaessa ohjeistusta investointipäätöksenteon aikaiselle riskien arvioinnille. Lisäksi tutkimustuloksia voidaan hyödyntää jatkotutkimuksessa.

Risk assessment is directed by organisation’s risk management, strategy, and organisational culture. The process of risk management roughly consists of risk analysis, which includes recognising risks and analysing them. Risk assessment is often a part of investment decision making, which stands for the decision-making process that concerns organisation’s investment. An investment is a formal agreement made between the organisation and the supplier about the terms by which the supplier delivers specific goods for organisation’s resources. The object of an IT-investment is some product on information technology’s field. The research implemented within the limits of this thesis looks into risk assessment in investment decision making process, during which the decision is made whether the organisation does invest in a large information system (IS) or not. The empirical part of the research studied the investment decision making process which’s object is a customer and patient information system procurement (CPIS-procurement) on the social welfare and healthcare area. The aim of this research was to find out how risk assessment was carried out in the IT-investment decision making, and whether some models for risk assessment were used. The research was a case study, and the research method on the empirical stage was a qualitative interview research. The research subjects were such personnel in six Finnish healthcare districts, who took part in the investment decision making about the CPIS-procurement in question. Both participated and declined healthcare districts were included in the interviews. The results of the research suggest that risk assessment that was carried out during the investment decision making process was not done explicitly, but rather alongside other discussions, and when calculating the ROI. Nevertheless, some risk assessment practices, such as SWOT-analysis and qualitative and quantitative risk analysis that emerged from the source books, were exploited in the risk assessment. The results of the study can be utilized in both public and private organizations when formulating instructions for risk assessment which is to be carried out during the investment decision making process. Additionally, the findings can be deployed in further research.