Yritysten rikosturvallisuus: Riskien hallinta, osa lll

Toimialojen arviot ovat lähentyneet toisiaan eli monet uusista turvallisuusriskeistä - esimerkiksi identiteettikaappaukset - eivät ole enää niin toimialasidonnaisia. Artikkelisarjan kolmanteen osaan sisältyvät yritysten omaisuuteen sekä toimintaan kohdistuvat rikokset ja väärinkäytökset sekä niihin varautuminen ja niiden estäminen.

TURVALLISUUSJOHTAMINEN
Turvallisuusjohtamisen kehittyminen
Verrattaessa tämän vuoden kyselyn tuloksia vuosina 2012, 2008 ja 2005 tehtyjen kyselyjen tuloksiin, lähes kaikilla turvallisuusjohtamisen osa-alueilla on tapahtunut näkyvää myönteistä kehitystä. Tämä kertoo turvallisuuden ankkuroitumisesta osaksi yritysten toimintaa ja johtamista.

Omassa organisaatiossani haasteena on resursointi turvallisuustehtävien hoitamiseksi ja ylimmän johdon selkeän tuen puuttuminen työlle. Turvallisuu sorganisaatioon kuuluu kyllä edustaja ylimmästä johdosta, mutta siitä miten asiat päätyvät johto ryhmälle tiedoksi, ei ole täyttä varmuutta. Yleisesti haasteena on myös tietoturva ja turvallisuusohjeis tuksien jalkautuksen puutteet, eli koko henkilöstö ei ole tietoinen käytännöistä ja periaatteista. (Yli 250 henkilöä työllistävä palvelualan yritys)

TURVALLISUUSJOHTAMISEN TAVAT JA MUODOT

Johdon osallistuminen ja turvallisuusasioiden käsittely henkilökunnan kanssa
Turvallisuusjohtaminen osana toiminta- tai laatujärjestelmää. Kytkemällä turvallisuus laatuun tai toimintaan yritys yhdistää turvallisuuden osaksi yrityksen laatujärjestelmän auditointeja. Samalla tarve erilliselle turvallisuuden arvioimiselle voi jäädä vähäisemmäksi. Kahdella kolmasosalla (67 %) yrityksistä turvallisuus on osa yrityksen toiminta tai laatujärjestelmää.

Kirjallinen toimintaohje poikkeustilanteisiin ja riskikartoitus
Puolet kaikista yrityksistä (48 %) on laatinut poikkeustilanteen toimintaohjeen.

Omien resurssien puute edes siihen, että tietää mihin syytä panostaa ja mitä voi jättää vähemmälle. (Alle 50 henkilöä työllistävä palvelualan yritys)

Yritysturvallisuus osana strategiasuunnittelua ja vuotuista budjetti- ja toimintasuunnittelua
Kaikista vastanneista yrityksistä vain kolmasosa (32 %) oli kytkenyt yritysturvallisuuden osaksi vuotuista suun nittelua.

Ei ehkä tarpeeksi tiedosteta turvallisuusuhkia. Asenne turvallisuusasioita kohtaan tuntuu kohenevan vasta kun jotain on jo tapahtunut. Yritysjohto ei täysin tunnista tai tunnusta turvallisuuden merkitystä liiketoimintaan. (Yli 250 henkilöä työllistävä palvelualan yritys)

TURVALLISUUSPANOSTUKSET JATKOSSA
Yritysturvallisuuden kehittämisessä tulevaisuu den painopistealueina nähdään erityisesti:
1. Tietoturvallisuus (saldoluku 58)
2. Tuotantotilojen ja –välineiden turvallisuus (saldoluku 32)
3. Henkilöturvallisuus (saldoluku 29)

JATKUVUUSSUUNNITTELU
Jatkuvuussuunnittelun merkitys yrityksen toiminnalle
Yritystoiminnan jatkuvuutta tukevat toimenpiteet
Tietojen käytettävyyden varmistaminen häiriötilanteissa.

Kaikki IT asiat. Jos se pettää varautumisesta huolimatta, yritys on vakavissa ongelmissa toiminnan jatkuvuuden suhteen. Olemme liian riippuvaisia yhdestä it-henkilöstä. Tämä riski on työn alla. (Alle 50 henkilöä työllistävä yritys, muu toimiala)

Liiketoimintaa vakavasti haittaavien tilanteiden vaikutusten arvioiminen
Kyetäkseen varautumaan liiketoiminnan jatkuvuutta uhkaaviin uhkiin, yrityksen on tunnistettava vakavimmat uhat ja arvioitava, millaisia seurauksia näillä on liiketoimintaan. Yrityksen johto vastaa toiminnan jatkuvuudesta ja siitä, miten jatkuvuutta uhkaaviin uhkiin on varauduttu. Tilanne, jossa omistajataho kysyy keskeytyksen tapahduttua, miksi jatkuvuutta ei ollut varmistettu, ei ole yrityksen kannalta suotuisa tilanne.Yli puolet (58 %) kaikista vastaajayrityksistä oli arvioinut liiketoimintaa vakavasti haittaavien tilanteiden vaikutuksia.

Jatkuvuuden kehittämistoimien toteutuksen seuraaminenKehittämistoimien onnistumista ja tehokkuutta on seurattava, jo senkin vuoksi, että yritys on sijoittanut niihin resursseja. Toteutuksen jälkeen toimivuutta ja suunnitelmia on hyvä testata. Jos yritys on sijoittanut resursseja jatkuvuuden kehittämiseen ja laiminlyö seurannan ja testaamisen, on varautumisen toimivuus huonoimmassa tilanteessa sattumanvaraista. Puolet (54 %) yrityksistä seuraa kehittämistoimien toteutusta.

Kaikissa tilanteissa ylläpidettävien kriittisten toimintojen kirjallinen dokumentointi
Yrityksen tehdessä toimintansa kannalta kriittisistä toiminnoista kirjalliset asiakirjat, syntyy samalla työkalu käytettäväksi niille henkilöille, jotka vastaavat jatkuvuudesta. Asiakirja antaa johdolle kuvan siitä, mistä toiminnoista yritys on riippuvainen ja samalla perusteen resurssien antamiselle kehittämistoimintaan. Sen kautta on myös helppo kontrolloida, miten jatkuvuutta on kehitetty. Puolet kaikista yrityksistä (50 %) on kirjannut kriittiset toiminnot. Yleisimmin kriittiset toiminnot oli kirjattu teollisuudessa (51 %) ja palvelualalla (50 %). Kaupan alalla melkein puolet (47 %) ja rakennusalalla kolmasosa (36%) oli tehnyt näin.

Jatkuvuuden hallintaprosessin tai toimintamallin arviointi
Olennainen osa jatkuvuuden kehittämistä on ulkopuolisen tahon tekemä arviointi, auditointi, esimerkiksi osana laadunvalvontaa tai turvallisuusauditointia.

Toimialasta johtuva jatkuvuussuunnitelman moninaisuus ja sen ylläpito kaikkien eri osapuolten suhteen luo haasteita. (Alle 50 henkilöä työllistävä yritys, muu ala)

Kaikista vastanneista yrityksistä vain hieman yli kolmasosalla (37 %) oli jatkuvuussuunnitelma. Suurista yrityksistä vastaajista kahdella kolmasosalla (69 %), keskisuurista alle puolella (47 %) ja pienistä vastaajayrityksistä kolmas osalla (31 %) oli jatkuvuussuunnitelma.
Kaikista vastanneista yrityksistä vain hieman yli kolmasosalla (36 %) oli kriisiviestintäohje.

Suurista vastaajista kahdeksalla kymmenestä (81 %), keskisuurista kahdella kolmasosalla (61 %) ja pienistä vastaajayrityksistä neljä sosalla (24 %) oli kriisiviestintäohje. Noin kolmasosa teollisuuden (38 %), palvelualan (33 %) ja kaupan (31 %) yrityksistä, mutta vain viidesosa (21 %) rakennusalan yrityksistä oli tehnyt jatkuvuussuunnitelman.

Kriittisille palvelujen ja toimintojen on määritelty suurin sallittu keskeytysaika
Suurimman sallitun keskeytysajan määrittäminen antaa johdolle käsityksen siitä, mitä kriittiset toiminnot ja palvelut ovat ja miten pitkään ne voivat olla pysähtyneenä. Kaikista vastanneista yrityksistä vain kolme kymmenestä (29 %) oli määritellyt suurimman sallitun keskeytysajan. Suurista yrityksistä yli puolet (54 %), keskisuurista kolmasosa (35 %) ja pienistä yrityksistä neljäsosa (24 %) oli määritellyt suurimman sallitun keskeytysajan. Noin kolmasosa (31 %) palvelualan yrityksistä, neljäsosa (25 27 %) kaupan ja teollisuuden yrityksistä ja kymmenesosa (8 %) rakennusalan yrityksistä oli määrittänyt suurimman keskeytysajan.

Kriittisten palvelu- ja hyödyketoimittajien häiriötilanteisiin varautumisesta sopiminen
Kaikista vastanneista yrityksistä vain yli neljäsosa (28 %) oli sopinut kirjallisesti toimittajien kanssa häiriötilanteisiin varautumisesta. Suurista vastaajista yli puolet (54 %), keskisuurista kolmasosa (37 %) ja pienistä vastaa jayrityksistä viidesosa (22 %) oli sopinut kirjallisesti toimittajien kanssa häiriötilanteisiin varautumisesta. Palvelualan yrityksistä 32 %, kaupan yrityksistä 29 % ja teollisuuden yrityksistä 26 % oli sopinut kirjallisesti toimittajien kanssa häiriötilanteisiin varautumisesta. Niiden yritysten osuus, jotka olivat sopineet kirjallisesti toimittajien kanssa häiriötilanteisiin varautumisesta jäi rakennusalalla vain 13 prosenttiin.

Yrityksissä ei tarpeeksi paneuduta näihin riskeihin eikä yrityksillä ole suunnitelmia kuinka jatketaan, kun ongelma tulee eteen. (50 249 henkilöä työllistävä teollisuusalan yritys)

Kaikki it-asiat. Jos se pettää, varautumisesta huolimatta yritys on vakavissa ongelmissa toiminnan jatkuvuuden suhteen. Olemme liian riippuvaisia yhdestä it-henkilöstä. Tämä riski on työn alla. (Alle 50 henkilöä työllistävä yritys, muu ala)

Todellisen jatkuvuuden aikaansaaminen erittäin haasteellisin toimitusaikatauluin ei ole mahdollista saavuttaa tai se luo suuria haasteita. (Alle 50 henkilöä työllistävä yritys, muu ala)

TIEDONSAANTI RIKOSILMIÖISTÄ
Erikokoisten yritysten rikosriskeihin liittyvä tiedonsaanti ja tarve saada tietoa
Kaikista vastanneista yrityksistä viidesosa (22 %) sai tietoa rikoksista ja rikosilmiöistä viranomaisilta. Seitsemän kymmenestä (68 %) vastaajasta ilmoitti, ettei ole saanut tietoa viranomaisilta rikoksista ja rikosilmiöistä. Pienistä yrityksistä peräti kolme neljästä (74 %) ei ole saanut tietoa. Keskisuurista yrityksistä kuusi kymmenestä (61 %) ja suurista yrityksistä neljä kymmenestä (40 %) ei saanut tietoa viranomaisilta. Suurten vastaajien tiedonsaanti on edelleen keskimääräistä yleisempää, mutta kehitys on huolestuttava. Vuoden 2012 selvityksessä kolmas osa (33 %) niistä ei ollut saanut tietoa viranomaisilta ja vuonna 2017 tietoa saamattomien osuus oli kasvanut seitsemän prosenttiyksikköä.

Eri toimialoilla toimivien yritysten rikosriskeihin liittyvä tiedonsaanti ja tarve saada tietoa
Viranomaisilta tietoa saaneiden yritysten osuudet ja kaantuivat varsin tasaisesti eri toimialojen kesken. Palvelualalla 22 % ja kaupan alalla 20 % yrityksistä sai tietoa viranomaisilta. Tiedonsaanti oli hieman vähäisempää rakennusalalla, jossa tietoa sai 17 % yrityksistä. Vähiten tietoa saatiin teollisuudessa, jossa vain 15 % yrityksistä sai tietoa viranomaisilta.

RISKIENHALLINNAN TUKENA
1. Ihmisiin liittyviin rikosriskeihin ja väärinkäytöksiin varautuminen
2. Tietoon liittyviin rikosriskeihin ja väärinkäytöksiin varautuminen
3. Tuotanto ja toimitilojen suojaaminen
4. Irtaimen omaisuuden suojaus
5. Toimintaan kohdistuvat rikokset ja väärinkäytökset
6. Yrityksen turvallisuusjohtaminen
7. Jatkuvuussuunnittelu

Tueksi ja avuksi Tampereen kauppakamarin jäsenetuja sekä ajankohtaiskoulutuksia:

Kauppakamarin tietosuojavalmennus on kauppakamarin jäsenille suunnattu kokonaisuus, jonka avulla yrityksesi ymmärtää EU:n uuden tietosuoja-asetuksen vaatimukset ja pystyy hallitsemaan niitä kokonaisvaltaisesti. Valmennukseen voi liittyä missä vaiheessa haluaa ja liittyminen kauppakamarin jäsenille on maksutonta, eikä sido mihinkään. https://www.valmennus.eu/

Yrityksen tietotekniset valmiudet GDPR:n vaatimalle tasolle torstaina 15.2. klo 9-16 (Technopolis Yliopistonrinne)
- Asiantuntijoina toimitusjohtaja Timo Haapavuori ja viestintäasiantuntija Terhi Meriläinen, Magic Cloud Oy
Ilmoittautuminen ja lisätietoja tästä linkistä

Yritysten rikosturvallisuus 2017: Riskit ja niiden hallinta l, ll ja lll -artikkelisarja perustuu Yritysten rikosturvallisuus 2017 – riskit ja niiden hallinta -kyselyyn, joka lähetettiin keväällä 2017 Suomen kauppakamarien jäsenyrityksille: 762 yritysjohtajaa vastasi kaikilta toimialoilta ja kaikenkokoisista yrityksistä. Yritysten rikosturvallisuus 2017 on neljäs koko maan kattava selvitys, jossa tarkastellaan yrityksiin kohdistuvan rikollisuuden kehitystä ja yritysten keinoja torjua rikoksia ja väärinkäytöksiä. Kyselyyn perustuvan selvityksen ovat laatineet Keskuskauppakamari ja Helsingin seudun kauppakamari yhteistyössä Huoltovarmuuskeskuksen ja Suomen kauppakamarien kanssa: Yritysten rikostuvallisuus 2017 – riskit ja niiden hallinta