Vuoden vaihteen kunniaksi kokoonnuimme Reflectorin porukalla pohtimaan, mitä uusi vuosi tuo tullessaan kehittämisen agendoille. Näkemyksemme on, että vuonna 2026 agendoilla näkyvät ainakin nämä neljä pointtia:

1. Nyt laitetaan data kuntoon

Tiedonhallinta ja data ilmenevät yritysten kehittämisen agendoilla edelleen erittäin vahvasti.

Datan laatu

Tekoälysovelluksista ei saada tavoiteltavia hyötyjä, jos niiden käyttämä data ei ole laadukasta tai sitä ei ole riittävästi saatavilla. Moni tekoälysovellusidea onkin pysähtynyt alkumetreille dataan liittyvien puutteiden vuoksi. ”Meillä voisi olla tällainen sovellus, jos meillä olisi kerättynä tällaista dataa”. AI-sovellusidean toteutuminen vaatiikin taustalle usein ensin dataprojektin.

Sääntely vaatii datan hallinnalta ja laadulta paljon

Sääntely lisää jatkuvasti painetta tiedon hallinnalle. Esimerkiksi ESG-raportointi ja ESG-riskien hallinta asettavat vaatimuksia datan keräämiselle ja raportoinnille. ESG-riskienhallinta tarkoittaa, että finanssiyhtiöt sisällyttävät ympäristöön, yhteiskuntaan ja hyvään hallintotapaan liittyvät tekijät (ESG) osaksi strategiaa, hallintoa ja riskienhallintaa.

ESG-data on usein hyvin hajallaan eri järjestelmissä, se voi olla vaikeasti saatavilla, ristiriitaista tai virheellistä, jolloin sääntelyn edellyttämät vaatimukset eivät toteudu. ESG-datan koostaminen onkin usein varsin manuaalista, koska se harvoin on sellaisenaan saatavilla operatiivisista järjestelmistä.

Datan pienilläkin virheillä on laajoja vaikutuksia

Toinen konkreettinen dataan liittyvä pieni, mutta potentiaalisesti liian vähän organisaatioissa huomiota saanut asia on vuoden 2026 alussa tapahtunut toimialaluokitusmuutos. Suomessa siirryttiin uuteen toimialaluokitukseen, kun TOL 2025 korvasi aiemman TOL 2008 -luokituksen.

Monessa organisaatiossa muutos näyttäytyi ensisijaisesti teknisenä tai hallinnollisena päivityksenä: rekistereihin ilmestyivät uudet koodit, järjestelmät jatkoivat toimintaansa ja arjen oletettiin jatkuvan ennallaan. Finanssialalla toimialaluokitus ei kuitenkaan ole pelkkä taustatieto, vaan keskeinen osa riskienhallintaa, hinnoittelua, raportointia ja sääntelyyn vastaamista.

Tästä syystä toimialaluokitus­muutoksen todelliset vaikutukset eivät näy käyttöönottohetkellä, vaan vasta siinä vaiheessa, kun uutta luokitusta aletaan käyttää päätöksenteon ja analytiikan pohjana. Jos tämänkaltainen pieni muutos jää vaille huomiota, datasta johtuvia virheitä syntyy taas lisää.

Datan laitetaan kuntoon järjestelmällisellä tekemisellä

”Data kuntoon” voi tuntua suurelta tavoitteelta. Miten päästä kiinni konkreettiseen tekemiseen, kun dataa on kaikkialla, dataa koskevia odotuksia ja vaatimuksia on paljon, ja usein datan omistajuus ei ole selvillä? Omistaako datan IT, koska data asuu tietojärjestelmissä, vai liiketoiminta, koska liiketoiminta on vastuussa siitä, millaista dataa järjestelmiin syötetään?

Datan kuntoon laittaminen on loppujen lopuksi varsin konkreettista tekemistä. On ymmärrettävä, mitä dataa meillä on, selkiytettävä sen hallinta, tunnistettava ja priorisoitava ongelmakohdat ja ryhdyttävä korjaamaan ongelmia tärkeysjärjestyksessä. Keskeistä on myös pureutua ongelmien lähteille, eikä korjata vain lopputulosta.

Usein ongelmien ratkaisu vaatii IT-projektien käynnistämistä. Yrityksen asiakastiedoissa olevat virheet voivat johtua esimerkiksi siitä, että yrityksellä on kaksi asiakastietojärjestelmää, joissa on osittain päällekkäisiä asiakastietoja. Tällöin ratkaisu saattaa olla toisesta järjestelmästä luopuminen tai järjestelmien roolien täsmentäminen tiedon omistajuuden määrittelyn avulla.

2. Määrittelyosaaminen entistä tärkeämpää

Olemme huomanneet asiakkaidemme kysynnän vaatimusmäärittelyosaamiselle kasvavan jatkuvasti jo useamman vuoden ajan. Ennustamme, että kysyntä jatkaa kasvuaan myös vuonna 2026.

Tekoälyn tehostama koodaaminen muodostaa pullonkaulan määrittelyyn

Kun tekoäly kiihdyttää koodaamista ja muuttaa kehittämisen malleja, pullonkaulaksi muodostuu helposti laadukkaiden määrittelyjen tekeminen. Jos järjestelmäprojekteissa toteutetaan huimaa vauhtia toiminnallisuuksia, jotka eivät vastaa asiakkaan, liiketoiminnan tai sääntelyn asettamia tarpeita, koodauksen tehokkuus valuu täysin hukkaan. Hyvillä määrittelyillä varmistetaan se, että kehitetään oikeanlaisia toiminnallisuuksia.

Myös tekoälysovellukset on määriteltävä huolellisesti

Vuonna 2026 siirrytään tekoälykokeiluista tekoälyinvestointeihin. Kun rahaa investoidaan enemmän, nousee myös odotukset lopputuotteita kohtaan huomattavasti. Investoinnin täytyy tuottaa todennettavia hyötyjä. Tämä tarkoittaa sitä, että myös tekoälysovellusten toiminnan vaatimusmäärittely on erittäin tärkeää. Esimerkiksi yksinkertaisen tekoäly-chatbotin tapauksessa on tiedettävä, mihin käyttötapauksiin chattia käytetään ja minkälaista vastausta siltä odotetaan. Millaisia mahdollisia virhetilanteita saattaa sattua ja mitkä ovat ei-hyväksyttäviä vastauksia? Laadukkaalla määrittelyllä varmistetaan investoinnin hyöty.

Määrittelyissä on huomioitava entistä paremmin datan tarpeet

Hyvät määrittelyt ovat itse asiassa avainasemassa myös tekoälyn tarvitseman datan laadun parantamisessa. Määrittelyjä tai ”backlog refinementtia” tehdessä pääpaino on tyypillisesti toiminnallisessa näkökulmassa. Toiminnalliset vaatimukset kuvaavat useimmiten vain sen, mitä järjestelmän pitää tehdä toteuttaakseen asiakkaan, liiketoiminnan tai regulaation tarpeen.

Keskeistä onkin huomioida dataan liittyvät tarpeet osana määrittelyä: mikä on toiminallisuuden tarvitsema ja tuottama data, mistä se saadaan ja mihin se talletetaan? Usein ne jäävät toissijaisiksi ja liian geneerisiksi esim. osana ei-toiminnallisia vaatimuksia. Keskeistä on myös se, että määrittelyssä dataa tarkastellaan laajemmin kuin vain yksittäisen vaatimuksen laajuudessa: käsitelläänkö samoja tietoja jossakin muuallakin tai voisiko niitä tietoja myöhemmin hyödyntää esim. analytiikassa tai AI-ratkaisuissa?

Vaatimusmäärittely on ammattilaisten työtä

Vaatimusmäärittely, palvelumuotoilu tai ketterissä malleissa käytetty termi ”backlog refinement” on ammattitaitoa vaativaa työtä. Usein määrittelyyn osallistuu liiketoiminnan operatiivisen toiminnan henkilöt, ja he ovatkin erittäin tärkeässä roolissa vaatimusten lähteinä. Vaatimusten ”kypsyttely” (eli refinement) ja kirjaaminen backlogiin on kuitenkin oma taiteenlajinsa.

Backlogissa olevat asiat on oltava määrämuotoisia, selkeitä, yksiselitteisiä, toteuttamiskelpoisia ja ennen kaikkea toteuttajalle ymmärrettäviä. Kun vaatimuksia kerätään ja työstetään isossa mittakaavassa, useissa eri tiimeissä ja projekteissa, korostuu yhteisten toimintatapojen merkitys. Koodareille, testaajille, arkkitehdeille ja myös liiketoiminnan sidosryhmille on paljon helpompaa, kun vaatimukset on dokumentoitu yhteneväisesti.

Myös vaatimusmäärittelyä voi tehostaa tekoälyllä.

3. Erityisesti tekoälyn kehittämisen ohjaukseen ryhtiliike

Vuonna 2026 yritysten agendoilla tulee näkymään myös kehittämisen ohjaamisen parantaminen ja erityisesti tekoälyn kehittämisen periaatteet ja ohjaaminen.

AI Act vaatii kehittämisen ohjausta

Voimaan astuu AI Act, joka vaalii tekoälyn vastuullista käyttöä yritysten sovelluksissa. Se asettaa rajoituksia ja velvoitteita tekoälysovellusten kehittämiselle. Säädöstä sovelletaan pääosin 2.8.2026 alkaen. Yritysten on luokiteltava sovelluksensa säädöksen mukaisesti ja luokitus on otettava huomioon kehityksessä.

Säädös määrää tietyt tekoälysovellukset kokonaan kielletyiksi. Korkean riskin tekoälysovellukset vaativat tiukempaa testausta, dokumentointia, läpinäkyvyyttä ja ihmisen valvontaa ennen kuin niitä voi ottaa käyttöön. Matalamman riskin sovellutuksiin liittyy vähemmän vaateita.

Ohjaus on kriittistä kiihtyvässä kehityksessä

Yleisesti tunnistettu ongelma on, että työntekijät ottavat käyttöön tekoälysovelluksia ilman tietohallinnon lupaa, aiheuttaen mahdollisesti tietoturvaongelmia. AI-kehityksen ohjaaminen on kuitenkin paljon muutakin kuin erikseen ”tekoälysovellus”-leiman saaneiden järjestelmien kehittämisen tai käyttöönoton ohjaamista.

Tekoäly on uinut ja edelleen ui kaupan hyllyiltä ostettaviin pakettijärjestelmiin ja ohjelmistoalustoihin. AI-avusteiset toiminnallisuudet järjestelmien sisällä saattavat jäädä täysin pimentoon.

• Ymmärretäänkö, kenen kielimalleja järjestelmät käyttävät tekoälyominaisuuksien tuottamiseen?
• Livahtaako järjestelmien data kielimallin kehittäjille?
• Millaisia tietoturva-aukkoja valmiiden pakettien tekoälyominaisuudet mahdollisesti sisältävät?
• Minkälaisia riskejä liittyy työntekijöiden omien tekoälysovellusten käyttöön?

Näihin kysymyksiin ei ole yksikäsitteistä vastausta. AI-riskien hallinnan keskiössä onkin hyvin määritely ja jalkautettu AI-governance -malli.

Koko IT-kehittämisen ohjaus kerralla kuntoon

Sääntelyn vaatimien muutosten toteuttaminen nähdään usein rasitteena ja pakkona. Huolellisesti täytettyjen sääntelyvaateiden tuomaa kilpailuetua onkin hankala nähdä. AI Actin osalta liiketoimintahyödyn voisi nähdä niin, että tämä on erinomainen syy ja tilaisuus laittaa kehittämisen ohjaus raiteilleen laajemmassakin mittakaavassa.

Tekoäly on osa kehittämistä, joten sen ohjaaminen pitäisi olla osa muuta kehittämistä. Jos tekoälyn ”demand management”, eli liiketoiminnasta kumpuavien ideoiden ja tarpeiden ohjaaminen kehitysputkeen saadaan kuntoon, samalla tulee helposti korjatuksi ”demand management” kokonaisuudessaan, myös muiden kuin tekoälyyn liittyvien tarpeiden osalta.

Eräs kollegani puhui muutamia vuosia sitten ”ihanasta tietosuojasta” (GDPR, General data protection regulation), tavoitteenaan saada yritykset innostumaan siitä mahdollisesta kilpailuedusta, jonka yritys voisi saada toteuttaessaan tietosuojaa todistettavasti paremmin kuin muut. Tätä erinomaista ajatusta noudattaen voisimme kutsua myös tätä uutta regulaatiota ”ihanaksi tekoälyasetukseksi” ja ottaa siitä kaikki liiketoiminnallinen hyöty irti!

4. Kyky sopeutua nopeisiin muutoksiin nousee kriittiseksi

Listamme viimeinen teema, joka saattaa nousta vuoden tärkeimmäksikin painopisteeksi, tulee olemaan organisaatioiden resilienssien kehittäminen. Resilienssi tarkoittaa kykyä ennakoida muutoksia, häiriöitä ja kriisejä, sekä sopeutua ja palautua niistä.

Geopolitiikan muutosvauhti nostaa sopeutumiskyvyn vaatimukset uudelle tasolle

Organisaatioilta on aina vaadittu kykyä sopeutua toimintaympäristön muutoksiin. Muutoksia on tapahtunut ja tapahtuu koko ajan esimerkiksi asiakkaiden käyttäytymisessä, teknologian kehittymisessä ja lainsäädännössä. Nykyisen geopoliittisen tilanteen muutosvauhti on kuitenkin nostanut sopeutumiskyvyn vaatimukset aivan uudelle tasolle.

Resilienssin konkreettinen kehittäminen vaatii tulevaisuusskenaarioiden tunnistamista

Resilisenssin kehittäminen vaatii kykyä tunnistaa mahdollisia skenaarioita tai kehityskulkuja tulevaisuudelle. Tämän jälkeen on tehtävä analyysia siitä, miten oma organisaatio pärjäisi, jos kehityskulku kävisi toteen. Seuraavaksi on ryhdyttävä miettimään sitä, mitä tulisi tehdä, että organisaation toimintakyky säilyisi tai jopa paranisi muutoksen, häiriön tai kriisin seurauksena.

Hyvä esimerkki IT-organisaatioita juuri tällä hetkellä huolettavasta mahdollisesta tulevaisuusskenaariosta on se, että yhdysvaltalaisten teknojättien palvelut eivät olisikaan enää saatavilla Euroopassa ollenkaan tai niiden hinta moninkertaistuisi. Monessa yrityksessä data ja palvelut ovat hyvin riippuvaisia yhdysvaltalaisista teknojäteistä.

Kyseinen asia onkin noussut monen tietohallintojohtajan agendalle viimeistään nyt ja erilaisia vaihtoehtoja riskien mitigoimiseksi mietitään kuumeisesti. Enää ei riitä, että data tai palvelu fyysisesti sijaitsee EU-alueella, nyt kiinnostuksen kohteena ovat mm. eurooppalaiset pilvipalvelujen tarjoajat. 

Irtautuminen lyhyellä jänteellä teknojättien palveluista ei ole kovin realistista, joten todennäköisesti strateginen hajauttaminen tulee olemaan realistisempi kehityssuunta. Yritykset tulevat keskittymään riskiarvioiden ja regulaatiovaateiden pohjalta kriittisimpien palveluiden ja datan turvaamiseen. 

Toivon mukaan synkimmät skenaariot eivät ikinä toteudu. Hyvin toteutetut mitigointiaktiviteetit vievät organisaatioita eteenpäin ja tuottavat liiketoimintahyötyjä, vaikka toteen kävisi se optimistisempikin skenaario.