Identification and Management of Operational Risks in IT Organization of Financial Service Provider

Työn tavoitteena on tunnistaa toiminnallisia riskitekijöitä rahoituspalveluita tarjoavan yrityksen IT-organisaatiossa sekä löytää arkipäiväisiä keinoja hallita näitä riskejä. Työssä riskejä on myös tarkasteltu mahdollisen ulkoistuksen yhteydessä. Fuusiot ovat yleisiä rahoitusalan yrityksissä. Yhteenliittymien tuloksena yritysten IT-arkkitehtuuri voi olla monimutkainen ja kulttuurierot yrityksessä suuria. Synergia- ja mittakaavaetuja saadakseen yritys keskittää toimintojaan ja IT-ratkaisujaan. Riskien tunnistaminen on riskienhallintaprosessin tärkein vaihe. Tässä tutkimuksessa riskit ja riskitekijät tunnistettiin itsearvioinnin avulla kysymyssarjoja hyväksikäyttäen. Monet riskitekijät liittyivät sisäisen valvonnan ja seurannan puutteisiin. Myöhemmin näille riskeille pohdittiin työryhmässä käytännönläheisiä hallintakeinoja. Yritys voi siirtää tai jakaa IT -riskejä ulkoistamalla. Ulkoistaminen voi kuitenkin tuoda mukaan myös uusia riskitekijöitä. Ennen ulkoistamispäätöstä yrityksen sisäisten prosessien ja organisaation on oltava järjestyksessä, jotta sopimuksen kannattavuutta voidaan verrata luotettavasti saman palvelun tuottamiseen sisäisesti.

The objective of this thesis is to identify operational risks and risk factors in one part of the information technology organization of a financial service provider and find practical means to reduce risk level in the organization. Identified risks are also considered in case of outsourcing as a part of the IT organization. Mergers are common in the financial field. As a result of them, IT environment can be complex and cultural differences may be big inside the new organization. To get synergy advantages, companies consolidate IT services and centralize their functions. In the risk management process the most important phase is the risk identification. In this thesis risks were identified with Self Assessment, utilizing question sets. Many of the risk factors were related to the lack of internal control in the unit. After identification a workgroup considered practical actions to improve the risk level. IT risks can be transferred or shared with third party contracts. Outsourcing may also cause new risks. Before making a decision to outsource, a company should have its own processes and organization in place. That way it would be possible to compare the success of outsourcing to the in-house production.