Tabell 1: Respondenter.
3.4 Datainsamling
Datainsamlingen för att samla in empirisk data har utförts genom intervjuer.
Intervjuer valdes som insamlingsmetod för att det skulle vara möjligt att samla in data som kunde skapa förståelse för de val organisationerna gjort under riskhanteringen. Genom att samtala med människor kan det skapas förståelse för den kontext som handlingar utförs i (Myers, 2013). Kvalitativa intervjuer syftar till att erhålla detaljrika svar som grundar sig i intervjupersonens uppfattning och upplevelser (Bryman, 2011; Kvale, 1997). I denna studie har semistrukturerade intervjuer genomförts på grund av att det skulle finnas frihet till att ändra ordningen och omformulera intervjufrågorna. Genom intervjuer kan respondenterna röra sig i olika riktningar under samtalet vilket möjliggör att det kan uppkomma kunskap om vad respondenterna upplever som relevant och viktigt (Bryman, 2011; Denscombe, 2016). En annan anledning till att semistrukturerade intervjuer valdes var på grund av att det skulle finnas möjlighet till att ställa följdfrågor, som semistrukturerade intervjuer enligt Bryman (2011) och Myers (2013) ger möjlighet till. En intervjuguide skapades och skickades via e-‐post till respektive respondent innan intervjun genomfördes (bilaga 2). Syftet med intervjuguiden var att ge kunskap om de områden som skulle behandlas under intervjuerna och ge respondenterna möjlighet till att förbereda sig.
Sammanlagt utfördes fem intervjuer hos fem organisationer och intervjuerna varade mellan 60-‐90 minuter. Fyra av intervjuerna genomfördes på plats hos organisationen och den femte intervjun genomfördes via telefon. Samtliga intervjuer spelades in för att det skulle vara enklare att fokusera på vad respondenterna berättade. Ytterligare en anledning till att intervjuerna spelades in var att det skulle underlätta arbetet att hantera insamlad data genom att kunna gå tillbaka och lyssna på intervjun om någonting var svårt att tolka. Det är väsentligt att forskaren inte blir distraherad under intervjun genom att behöva ta anteckningar av vad respondenterna berättar, detta för att kunna ge hela sin uppmärksamhet på det som sägs under samtalet (Bryman, 2011).
3.5 Analysmetod
Den analysmetod som har använts i studien är tematisk analys. En tematisk analys genomfördes för att kunna identifiera, analysera och rapportera återkommande mönster inom insamlad data, som tematisk analys enligt Braun och Clarke (2006)
Organisation Respondent Roll Datum Miljö Tid på
intervju
1 Alfa AB Adam Ekonomichef 2017-03-13 Fysisk Ca: 1,5 h
2 Bravo AB Bertil VD 2017-03-16 Fysisk Ca: 1 h
3 Charlie AB Cesar Ekonomichef 2017-03-17 Fysisk Ca: 1,5 h
4 Delta AB David Ekonomichef 2017-03-22 Fysisk Ca: 1 h
5 Echo AB Erik VD 2017-04-28 Telefon Ca: 1 h
16
och Patton (2002) syftar till. I denna studie ansågs en tematisk analys kunna ge stöd till att förstå vilken data som skulle tas hänsyn till och utesluta data som inte var av relevans för studien. För att kunna genomföra detta delades den insamlade data upp i liknande och återkommande teman. I studien har en stor mängd data samlats in och därför behövde den reduceras och göras hanterbar. En transkribering genomfördes av det insamlade materialet för att det skulle vara enklare att hantera och för att kunna gå tillbaka i materialet, som Bryman (2011) beskriver som en fördel med transkribering. Genom att få ned det insamlade materialet i textform i ett digitalt dokument ansågs det enklare att sortera in data med liknande mönster. För att studiens resultat skulle presenteras på ett tydligt sätt gjordes valet att den insamlade data skulle sorteras in under de teman som litteraturstudien resulterade i; identifiering av risker, analysering av risker, åtgärder av risker och val av åtgärder och uppföljning av risker. Anledningen till att det insamlade materialet presenterades utifrån litteraturstudiens teman var för att kunna se hur organisationerna hanterar risker utifrån de olika aktiviteterna i riskhanteringsprocessen.
När det insamlade materialet hade sorterats in under litteraturstudiens teman kodades materialet. Kodning kan användas till att sammanfatta det empiriska materialet och underlätta arbetet för vidare analys (Myers, 2013). Kod kan vara ett ord som används för att sammanfatta eller beskriva en mening, paragraf eller en hel text (Myers, 2013). Det insamlade materialet färgkodades i ett digitalt dokument för att få en tydlig överblick av materialet. Mönster som identifierades genom kodningen var: risker, syn på risker, åtgärder och tillit. De mönster som identifierades resulterade därefter i tre teman som analysen är presenterad utifrån;
medvetenhet om risker, bedömning av risker och åtgärder samt tillit till molntjänstleverantören. I analyskapitlet ställs resultatet mot litteraturstudiens resultat för att undersöka hur organisationer hanterar risker.
3.6 Etiska överväganden
Under studien har Vetenskapsrådets (2002) etiska riktlinjer tagits hänsyn till;
informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet. Ett dokument delades ut i samband med intervjuerna i ett informativt syfte för att respondenterna skulle få kännedom om vad den insamlade data skulle användas till (bilaga 3). I det fall intervjun genomfördes via telefon skickades informationen via e-‐
post innan intervjun. Två exemplar av dokumentet undertecknades av respondenten samt av oss som utförde studien för att få ett godkännande från alla parter. I det fall informationen skickades ut via e-‐post kunde inte dokumentet undertecknas utan godkändes muntligt. I samband med godkännandet accepterade även respondenterna att intervjun spelades in.
Den första etiska riktlinjen, informationskravet, innebär att forskaren ska informera syftet om undersökningen till de som är berörda av den (Vetenskapsrådet, 2002).
Det gavs en tydlig förklaring om att den data som samlas in endast ska användas till denna studie som presenteras i form av en uppsats. Respondenterna fick även information om att deras medverkan var frivillig och att de hade rätt att avbryta sin medverkan under hela studien. Eftersom studien handlar om information kopplat
17
till risker kan det ha skapat oro hos respondenterna och därför var det viktigt att informera dem om att de har möjlighet att dra sig ur. Samtyckeskravet är den andra etiska riktlinjen som innebär att respondenten inte ska uppleva press eller påverkan att medverka eller att avbryta sin medverkan (Vetenskapsrådet, 2002).
Respondenterna erhöll tydlig information om att deltagandet är frivilligt och att ingen klandras för att den exempelvis innan intervjuerna drar sig ur eller under intervjuerna väljer att avbryta sin medverkan.
Den tredje riktlinjen, konfidentialitetskravet, innebär att respondenternas personuppgifter ska förvaras oåtkomligt för att inte obehöriga personer ska kunna ta del av dem. Uppgifterna om de medverkande ska lagras och skrivas på ett sådant sätt att utomstående inte ska kunna identifiera personen (Vetenskapsrådet, 2002).
Kravet uppfylldes genom att alla medverkande i studien var anonyma, både respondenterna och den organisation de arbetar för. Uppgifter som skulle kunna göra det möjligt för någon utomstående att förstå vem respondenten eller organisationen är har därför inte skrivits ut. Respondenterna blev informerade redan vid första kontakten om att de skulle vara anonyma i studien. Fjärde och sista riktlinjen, nyttjandekravet, innebär att den insamlade informationen från respondenterna inte ska användas till kommersiellt bruk utan endast till forskningens syfte (Vetenskapsrådet, 2002). Respondenterna blev informerade om att när studien är avslutad och presenterad kommer alla anteckningar och inspelningar att raderas.
3.7 Metoddiskussion
En avgränsning som gjordes i litteraturstudien var att all litteratur skulle vara publicerad från år 2010 och framåt. Avgränsningen gjordes på grund av att molnbaserade affärssystem är ett ämne vars uppmärksamhet ökar och därför ansågs det relevant att göra en avgränsning av publiceringsår för litteraturen.
Avgränsningen kan ha påverkat att exempelvis inte fler risker identifierades i litteraturen men valet gjordes för att öka studiens tillförlitlighet.
Försök till att få tag på fler organisationer som kunde medverka i studien har gjorts via e-‐post och telefon till ett flertal organisationer. Det har även funnits organisationer som inte ger någon återkoppling och organisationer som har accepterat en intervju som sedan dragit sig ur studien. Detta i kombination med att det har ansetts som svårt att identifiera små och medelstora företag som använder molnbaserade affärssystem har resulterat i att färre organisationer än önskat medverkat i studien. De organisationer som medverkade i studien befinner sig alla i olika branscher. Studien hade inget kriterium om vilken bransch de medverkande organisationerna skulle befinna sig i. Anledningen till att detta inte var ett kriterium var på grund av att det var svårt att identifiera organisationer som använder ett molnbaserat affärssystem. Organisationerna som medverkade i studien har ingen känslig data, vilket kan ha påverkat studiens resultat. Eftersom organisationerna inte har känslig data kan det har påverkat hur organisationerna bedömer och hanterar risker. Om organisationer med mer känslig data hade medverkat i studien hade de möjligen upplevt och hanterat risker på ett annat sätt.
18
Det var ett begränsat urval av respondenter som medverkade i studien och det kan ha påverkat studiens resultat. I denna studie medverkade fem respondenter från fem olika organisationer. Om fler organisationer eller respondenter hade medverkat i studien hade resultatet kunnat bli mer omfattande. Till en början sågs möjligheten att intervjua fler respondenter från samma organisation, för att kunna få ett djupare empiriskt material. Eftersom ett kriterium för studien var att organisationerna skulle vara små eller medelstora företag upptäcktes senare att denna möjlighet inte fanns. I två av organisationerna arbetade de andra personerna som medverkade under anskaffandet av det molnbaserade affärssystemet inte kvar i organisationen. I de övriga organisationerna fanns det inte heller möjlighet att intervjua andra anställda på grund av att organisationerna själva ansåg att dem inte skulle kunna tillföra något mer till studien. Även om antalet intervjuer möjligen inte uppfattas som omfattande har resultatet av det empiriska materialet ändå varit mättat.
För att samla in det empiriska materialet i studien genomfördes semistrukturerade intervjuer. Semistrukturerade intervjuer bidrog till att det blev enklare att ha ett samtal med respondenterna och gav möjligheten att kunna ställa följdfrågor. Fyra av fem intervjuer ägde rum på organisationernas huvudkontor eftersom det ansågs viktigt att bemöta respondenterna i studien. Genom att fysiskt bemöta respondenterna var det enklare att tyda kroppsspråk, tonläge och ansiktsuttryck.
Under telefonintervjun var det svårare att uppfatta respondenten och att driva diskussionen. Önskvärt hade varit att även genomföra denna intervju genom ett fysiskt möte men på grund av respondentens tillgänglighet var det inte möjligt.
19
4 Resultat
I detta kapitel presenteras resultatet av den empiriska undersökningen. Kapitlet introduceras med en kortfattad beskrivning av organisationernas bakgrund till anskaffandet av det molnbaserade affärssystemet. Resultatet presenteras därefter utifrån teman som beskriver vad riskhanteringsprocessen innebär: identifiering av risker, analysering av risker, utvärdering av risker och val av åtgärder samt uppföljning av risker. En del av svaren kan appliceras under flera teman och därför kan de olika temana emellanåt gå in i varandra. Citaten som presenteras i detta kapitel är hämtade från transkriberingarna.
4.1 Bakgrund molnbaserade affärssystem
Alfa AB, som arbetar med drift och förvaltning av el, och Charlie AB, som arbetar med uthyrning av resurser, anskaffade det molnbaserade affärssystemet Xledger.
Echo AB, som arbetar med tillverkning och försäljning, anskaffade det molnbaserade affärssystemet Fortnox. Gemensamt för organisationerna Alfa AB, Charlie AB och Echo AB är att de använde sig av en konsult vid valet av affärssystem. Dessa organisationer hade även direktkontakt med molntjänstleverantören under hela upphandlingen, implementationen och även efter implementationen var klar. Bravo AB, som arbetar med produktion och återförsäljning, anskaffade det molnbaserade affärssystemet SAP Business One. Bertil, som är VD för Bravo AB, berättade att organisationen inte hade någon direktkontakt med molntjänstleverantören. All kontakt genomfördes istället via deras konsulter som även är återförsäljare av det molnbaserade affärssystemet. När Delta AB, som arbetar med återförsäljning, anskaffade det molnbaserade affärssystemet Specter använde organisationen inte sig av någon konsult. David, som arbetar som ekonomichef hos Delta AB, och en av delägarna utförde själva detta arbete.
Gemensamt för samtliga organisationer är att anledningen till att de valde att anskaffa ett molnbaserat affärssystem var på grund av att ett traditionellt affärssystem var en för dyr investering. En annan anledning var att samtliga organisationer ansåg att de inte har de resurser eller kompetensen som krävs för att kunna underhålla ett traditionellt affärssystem. Bertil beskrev att Bravo AB heller inte är intresserade av att tillföra den kompetensen i organisationen eftersom de istället vill fokusera på deras kärnverksamhet.
“Ledningen i organisationen tyckte att det var säkrare att använda ett molnbaserat affärssystem eftersom vi inte har tillräckligt med kompetens i företaget.” -‐Cesar, Charlie AB.
“Jag tycker inte att vi har kompetensen som krävs i organisationen för att kunna drifta ett traditionellt affärssystem, därför valdes ett molnbaserat system.” -‐Erik, Echo AB.
4.2 Identifiering av risker
Samtliga respondenter ansåg att organisationerna innan anskaffandet av det molnbaserade affärssystemet var medvetna om vilka risker som kan uppkomma.
20
Gemensamt för samtliga organisationer var att de genomförde identifiering av risker som kan uppkomma innan organisationerna gjorde valet att anskaffa ett molnbaserat affärssystem. Enligt Bertil, Cesar, David och Erik utfördes ingen grundlig identifiering av risker och organisationerna använde inte någon konsults hjälp utan utförde detta arbete själva inom organisationen. Cesar berättade att anledningen till att Charlie AB inte använde någon extern hjälp vid identifieringen var för att organisationen ansåg att de var medvetna om vilka risker som finns.
Bertil, Cesar, David och Erik beskrev att en grupp anställda hos organisationerna, som var delaktiga under processen av anskaffandet av systemet, diskuterade med varandra kring risker de var medvetna om. Dessa organisationer kunde genom diskussionerna identifiera risker som kan uppkomma. Diskussionerna resulterade i att organisationerna fick möjligheten att ta del av flera anställdas tankar kring vilka risker som kan uppkomma och hur de kan påverka organisationen. Bertil beskrev att de anställda berättade om vilka risker de var medvetna om och därefter skedde en diskussion kring riskens innebörd, det vill säga vilka konsekvenser risken skulle kunna medföra.
Adam beskrev att identifiering av risker i Alfa AB genomfördes av en grupp som bestod av Adam själv, IT-‐personal i organisationen och en konsult. Adam berättade att även Alfa AB hade en diskussion kring risker de anställda var medvetna om.
Vidare beskrev Adam att ytterligare risker identifierades av konsulten som organisationen inte var medvetna om, som exempelvis om det inte är möjligt att integrera andra system till det molnbaserade affärssystemet.
”Givetvis identifierade vi risker som finns. För att kunna få ett säkert system behöver ju risker som kan uppstå identifieras.” -‐Adam, Alfa AB.
Gemensamt för samtliga organisationer var att de identifierade risken om att organisationerna tappar kontroll över sina data och driften av systemet i samband med användandet av ett molnbaserat affärssystem. Bertil förklarade att genom denna risk får andra personer åtkomst till organisationens data. Samtliga organisationer identifierade även risken med dataintrång eftersom systemet ska vara tillgängligt via internet.
“Om en obehörig person skulle lyckas göra dataintrång hos Alfa AB skulle det kunna resultera i att personen skulle kunna lägga upp sig som en leverantör och göra utbetalningar till sig själv.” -‐Adam, Alfa AB.
En risk som Adam, Bertil och Cesar identifierade är driftstörningar exempelvis om det skulle ske ett strömavbrott eller om nätverket skulle ligger nere. Dessa organisationer upplevde en oro eftersom molnbaserade affärssystem kräver bra uppkoppling då systemen är tillgängliga över internet. Adam och Cesar berättade även att en risk de identifierade är att svarstiderna är längre för ett molnbaserat affärssystem i jämförelse med ett traditionellt affärssystem. Adam, Cesar och Erik berättade att en risk de identifierade är att det kan vara svårt att anpassa systemen.
Anledningen till detta är enligt respondenterna att molnbaserade affärssystem överlag är standardiserade, vilket gör dem svåra att göra anpassningar i.
21
“Alfa AB är en komplex organisation och därför passar inte ett fyrkantigt system oss.” -‐
Adam, Alfa AB.
Bertil och Erik beskrev att de upplever att en risk med molnbaserade affärssystem är att systemen kan vara begränsande när det gäller integrationer till andra system.
Både Bravo AB och Echo AB är beroende av att kunna integrera sitt affärssystem till sina andra system. Även Adam beskrev att han, tillsammans med konsulten, identifierade risker med att det kan vara svårt att integrera andra system till det molnbaserade affärssystemet.
Den största risken som Bertil och Cesar identifierade var att om organisationen i framtiden vill byta till ett annat system hur kommer detta byte då påverka organisationens data. Bertil och Cesar beskrev en oro över vad som kommer att hända med organisationens data om de i framtiden väljer att byta system och hur komplext detta arbete då kommer att vara.
“Idag finns det många fler system på marknaden och någon gång i framtiden kanske vi känner ett behov av att byta system och vad händer då?” -‐Bertil, Bravo AB.
4.3 Analysering av risker
Gemensamt för samtliga organisationer var att de tillsammans med andra anställda i samband med att de identifierade risker även analyserade dem. Bertil, Cesar, David och Erik beskrev att de analyserade de risker som hade identifierats genom att de diskuterade sannolikheten för att riskerna skulle uppstå. Diskussionerna innefattade även hur riskernas konsekvenser skulle kunna påverka organisationerna. Adam berättade att de anställda tillsammans med konsulten analyserade de risker som hade identifierats, då de främst diskuterade sannolikheten för att riskerna uppkommer. Adam beskrev att i samband med analyseringen skapade Adam, IT-‐personalen och konsulten tillsammans en kravspecifikation. Kravspecifikationen innehöll krav om systemets funktionalitet och även krav om systemets säkerhet som Alfa AB ville att molntjänstleverantören skulle uppfylla. Enligt Adam prioriterades även kraven i specifikationen för att kunna förmedla till molntjänstleverantörerna vilken prioritet de olika kraven hade.
“Det var en trygghet att få hjälp av en konsult för att kunna förstå vad som är viktigt gällande säkerhet i en molntjänst. Om vi inte hade använt oss av en konsult hade kraven om säkerhet i systemet antagligen inte varit så ingående.” -‐Adam, Alfa AB.
Bravo AB, Charlie AB, Delta AB och Echo AB framställde i samband med analyseringen även de en kravspecifikation som de ville att molntjänstleverantören skulle uppfylla. Specifikationerna som dessa organisationer framställde innehöll till största del funktionella krav och inte krav gällande säkerheten för systemet. Cesar beskrev att Charlie AB undersökte flera olika molnbaserade affärssystem innan de valde vilket molnbaserat affärssystem de skulle anskaffa. Cesar berättade att han och de anställda därför främst fokuserade på att analysera kring hur väl de olika molnbaserade affärssystemen kunde stödja organisationen.
“Vi hade inte tillräcklig kunskap för att kunna ställa krav på säkerhet och därför
22
fokuserade vi på att se till att systemet kunde stödja verksamheten.” -‐David, Delta AB.
Gemensamt för samtliga organisationer var att de analyserade risken med att obehöriga personer kan få tillgång till deras data och konsekvensen med att organisationernas data då kan spridas vidare. Däremot upplever både Adam och Cesar att konsekvenserna av detta skulle vara lika stora om det skulle ske av någon anställd i organisationen som av någon utomstående. Bertil, David och Erik förklarade att det alltid finns en risk för att obehöriga personer kan få tillgång till organisationens data, oavsett om de använder ett molnbaserat affärssystem eller inte. Vidare beskrev David att obehöriga personer kan få tillgång till organisationens
Gemensamt för samtliga organisationer var att de analyserade risken med att obehöriga personer kan få tillgång till deras data och konsekvensen med att organisationernas data då kan spridas vidare. Däremot upplever både Adam och Cesar att konsekvenserna av detta skulle vara lika stora om det skulle ske av någon anställd i organisationen som av någon utomstående. Bertil, David och Erik förklarade att det alltid finns en risk för att obehöriga personer kan få tillgång till organisationens data, oavsett om de använder ett molnbaserat affärssystem eller inte. Vidare beskrev David att obehöriga personer kan få tillgång till organisationens