strategy forum

Mikä ihmeen disruptio?

Sekasorto, häiriö, hajaannus ─ yleisimmät käännökset strategiatyössä jatkuvasti esillä olevalle sanalle ”disruption”. Näillä sanoilla on jokseenkin haasteellista lähteä rakentamaan positiivista viestiä organisaatiolle. Suomi on valtavan rikas ja monitahoinen kieli, mutta tämä käännöstyö jättää toivomisen varaa. Positiivisen asian ympärillä me kuitenkin ehdottomasti olemme.

Tarkastelen disruptiota omassa roolissani KPMG:n toimitusjohtajana, ja tuskin koskaan asiantuntijatalossa tilanne on ollut niin mielenkiintoinen kuin nyt. Meidän on tarkasteltava omia prosessejamme ja hyödynnettävä kaikki se muutos, mitä esimerkiksi teknologian kehittyminen tuo tullessaan. Meillä on myös mahdollisuus jatkuvasti tarkastella, mitä eri toimialoilla ja eri yrityksissä tapahtuu, ja hyödynnettävä se markkinoilla.

Disruptio on positiivinen oppimisprosessi

Konsulttitalon tärkein resurssi on sen henkilöstö, ja tärkein muuttuja tämän osalta tällä hetkellä on henkilöstön muutosvalmius. Muutos on oppimista, ja oppimisessa vaikeinta on tunnistetusti poisoppiminen. Meille se tarkoittaa totuttujen rutiinien kyseenalaistamista, mikä puolestaan vaatii päivittäistä innovointia.

Uskon, että jokaisella on muutoshalukkuutta, jos se on vahvasti viestitty osana strategiaa. Organisaatiolle hyvä asia on, että ainakin meillä se tarkoittaa myös uusien, muutoksessa mukana olevien henkilöiden rekrytoimista. En yritä keksiä uutta suomen kielen käännöstä ”disruptiolle” ja kai nykyään vahvasti vieraskielinen sana kelpaa sellaisenaan arkikieleen. Itse haluan viestiä tämän ilmiön omassa työssäni, osana strategista uudistumista, eräänlaisena positiivisena oppimisprosessina.

Onko meillä muutosvalmiutta?

KPMG julkaisi juuri ennen kesää kattavan CEO Outlook -tutkimuksen, ja mielenkiintoisena yksityiskohtana nousi esille, että erityisesti pohjoismaiset toimitusjohtajat ovat huolissaan kilpailussa mukana pysymisestä: globaaleissa tuloksissa alle puolet (45 %) esitti kilpailun tuoman paineen erityisenä huolenaiheenaan, kun taas pohjoismaisista toimitusjohtajista jopa kolme neljästä vastasi näin. Toivon, ettei tämä johdu siitä, että meillä Pohjoismaissa ei olisi muutosvalmiutta, halua oppia ja hyödyntää uutta.

Tämän vuoden tuloksissa mielenkiintoista oli myös, että edelliseen vuoteen verrattuna entistä useampi toimitusjohtaja mainitsee yrityksen maine- ja brändiriskin yhä suurempana huolenaiheena. Tämä nousi kolmanneksi tärkeimmäksi riskiksi, vaikka vuonna 2016 sitä ei nostettu kymmenen merkittävämmän riskitekijän joukkoon. Löydöstä tukee se, että tutkimuksen mukaan myös kolme neljästä toimitusjohtajasta kertoo organisaationsa panostavan aiempaa enemmän luottamukseen, arvoihin ja kulttuuriin.

Maine ja brändi rakennetaan pitkäjänteisellä työllä, mutta disruptioiden maailmassa myös valmius ja uskallus nopeisiin suunnanmuutoksiin ratkaisevat. Onko meillä muutosvalmiutta, opimmeko jatkuvasti uutta ja onko meillä sellainen organisaatiokulttuuri, jossa uskalletaan kokeilla uusia toimintatapoja? Kyse ei ole yksittäisiin disruptioihin heittäytymisestä, vaan muutoksen mahdollistavasta kulttuurista.

Disruptiot osaksi strategiaa

Häiriöiden vaikutukset liiketoimintaan ovat jatkuvasti esillä keskusteluissa ja erityisesti niiden moninaisuus lisää toki myös epävarmuutta tulevaisuudesta. Tästä puhumme huomenna tiistaina KPMG:n järjestämässä Strategy Forumissa. Tapahtumassa suomalainen yritysjohto kuulee inspiroivan kattauksen näkökulmia organisaatiokulttuurista automaatioon ja strategisiin suunnanmuutoksiin.

Osana omaa muutostamme halusimme palvella asiakkaita paremmin strategiapalveluissa ja vastata erilaisten yritysten strategisiin ja operatiivisiin haasteisiin globaalissa kilpailussa. KPMG:n Global Strategy Group toimii nyt 37 maassa 1300 henkilön voimin ja Suomessa meillä työskentelee tällä hetkellä lähes 30 asiaansa omistautunutta asiantuntijaa.

Disruption takana piileskelee aina mahdollisuus. Otetaan ne yhdessä haltuun!

Kimmo Antonen on Suomen KPMG:n toimitusjohtaja.

Pankeilla mahdollisuus saavuttaa kilpailuetua tehokkaalla talousrikollisuuden torjunnan compliance-ohjelmalla

KPMG:n finanssialan toimijoille hiljattain teettämän globaalin rahanpesun ja terrorismin rahoittamisen estämistä (”AML”) koskevan kyselytutkimuksen mukaan 78 % vastaajista kertoo AML:ään liittyvien kustannusten kasvaneen edellisvuonna ja 74 % odottaa niiden kasvavan edelleen seuraavan kahden vuoden aikana. Kyselyn mukaan suurin osa finanssialan toimijoiden investoinneista kohdistuu henkilöstön palkkaamiseen asiakkaan tuntemisen (”KYC”) ja transaktiomonitoroinnin prosesseihin.

Suomalaiset pankit reagoivat jatkuvasti kasvaviin vaatimuksiin

Erityisesti pohjoismaiset pankit ovat viimeisten vuosien aikana tunteneet paikallisten valvovien viranomaisten hengityksen niskassaan. Finanssivalvonta ja Ruotsin FI ovat kommunikoineet valvottavilleen kasvaneet vaatimuksensa kokonaisvaltaisen AML-kehikon kehittämisen ja ylläpitämisen suhteen ja asettaneet rahanpesua koskevan lainsäädännön noudattamattomuuden paikkaamiseksi tiukkoja vaatimuksia, joita on myös tehostettu julkisilla sakoilla. Jo pelkästään nykyisen voimassa olevan sääntelyn vaatimusten noudattaminen vaaditulla tasolla on vaatinut pankkeja kasvattamaan investointejaan sekä kasvattamaan merkittävästi AML-tiimiensä vahvuutta sakkojen ja maineriskin realisoitumisen välttämiseksi.

Sääntelyn muutoksista aiheutuvien vaikutusten ennakoiminen sekä tämänhetkisten velvoitteiden täyttämisen välisen tasapainon löytäminen on ymmärrettävistä syistä haastavaa. Reaktiivinen lähestymistapa sääntelyn noudattamiseen on kuitenkin johtanut siihen, että pankkien investoinnit hukkuvat lyhyen tähtäimen tavoitteiden täyttämiseen, eivätkä resurssit riitä kokonaisvaltaisen ja kustannustehokkaan compliance-kehikon kehittämiseen.

Miten rakennetaan tehokas talousrikollisuuden torjunnan compliance-ohjelma?

Finanssialan toimijoilla, jotka kykenevät hallitsemaan talousrikollisuuden torjunnan compliance-ohjelmansa kilpailijoitaan joustavammin, tehokkaammin ja halvemmalla, on ainutlaatuinen mahdollisuus saavuttaa arvokasta kilpailuetua. Useammat kansainväliset pankit ovat jo reagoineet muutospaineisiin yhdistämällä olemassa olevat AML-, sanktio-, väärinkäytös-, lahjonta- ja korruptio- compliance-ohjelmansa yhden sateenvarjon alle talousrikollisuuden torjunnan compliance-kokonaisuudeksi.

Eri funktioiden integroimisen lisäksi tulevaisuuden talousrikollisuuden torjunnan compliance-kehikon rakentamisen keskiössä ovat yhtiön vahva compliance-kulttuuri, data- ja teknologiainfrastruktuuri, sääntelyvaateiden muutosten johtaminen sekä henkilöstöstrategia yhdistettynä digitaalisen työvoiman hyödyntämiseen. Talousrikollisuuden torjunnan compliance-ohjelman kehittämisessä maltti on kuitenkin valttia ja pitkän tähtäimen muutosprojektit tulee toteuttaa ennakoiva suunnittelu sekä kokonaisvaltainen johtaminen edellä.

Tervetuloa KPMG-talolle aamukahveille

Yksityiskohtaisempi näkemykseni kokonaisvaltaisen talousrikollisuuden torjunnan compliance-kehikon kehittämisestä on yksi KPMG-talolla 31.8. klo 8.30 alkaen järjestettävän aamuseminaarin kolmesta aiheesta.

Tervetuloa KPMG-talolle juomaan aamukahvit ja vaihtamaan kuulumisia talousrikollisuuden torjunnan alan johtavien asiantuntijoiden kanssa! Tutustu myös Financial Services -osastomme verkkosivustoon.

Henri Littunen

Henri Littunen työskentelee KPMG:n Financial Services -yksikössä riskienhallinnan ja finanssialan sääntelyn asiantuntijana. Vapaa-ajallaan Henri viihtyy jäähallilla ja kuntosalilla.

Ukraina liiketoimintaympäristö

Kiovan liiketoimintaympäristö muistuttaa 90-luvun Venäjää

Euroviisualueen ympäristössä kiovalainen arki näyttäytyy iloisessa valossa. Matkapuhelimeen päivittyvät varoitusviestit muistuttavat, että tulitaukorikkomukset ja levottomuudet maan itäosissa jatkuvat.

Huhtikuun lopulla pidetystä KPMG:n seminaarista välittyi kuva, jonka mukaan nopeaa parannusta ukrainalaisten elintasoon ei ole tiedossa. Paikallisyritysten arkipäivän ongelmat liittyvät edelleen enemmän toimintaympäristön turbulensseihin kuin kovenevaan kilpailuun.

Yhtäläisyydet muutostahdissa, kehitysvaiheessa ja toimintatavoissa

Liiketoimintaympäristön tila Ukrainassa muistuttaa etäisesti kahdenkymmenen vuoden takaista Venäjää. Lainsäädäntö on puutteellista, mutta kehittyy nopeasti. Osa yrityksistä pelaa vielä vanhoilla toimintatavoilla pimeine palkkoineen ja kassoineen. Korruptio ja veronkierto ovat valtavia ongelmia, joihin viranomaiset pyrkivät puuttumaan.

Markkina-aallokossa avautuu ja sulkeutuu mahdollisuuksia usein yllättäen: päätökset on tehtävä nopeasti ja epätäydellisen tiedon valossa. Kansantalouden kehnosta kunnosta huolimatta osalla yrityksistä kuitenkin menee varsin mukavasti. Yli 45 miljoonan asukkaan Ukraina on markkinan pienentymisen jälkeenkin mittava, eikä halpa hryvnia ole kaikille edes haitaksi.

Rahansiirtoja ja ulkomaan valuuttaa koskevia rajoituksia on pikkuhiljaa höllennetty. Hryvnian heilahtelu euroa vastaan on rauhoittunut. Kehitystä tapahtuu, mutta nopeaa ratkaisua yhteiskunnan suurimpiin ongelmiin ei odota kukaan.

Riskipitoisessa toimintaympäristössä kannattaa pelata sääntöjen mukaan

Kansakunnan kyllästyminen poliittiseen korruptioon on tehnyt päättäjien paikoista tuulisia, ja viranomaisetkin vaihtuvat tiuhaan. Ulkomaalaistaustaisen yrityksen ei kuitenkaan ole järkevää oikaista säännöissä hyviin viranomaissuhteisiinsa nojaten, vaikka kilpailijat näin tekisivätkin. Ulkomainen toimija saa osakseen enemmän huomiota kuin pieni paikallinen ja lainsäädännön noudattaminen suojaa ikäviltä yllätyksiltä lyhytjänteistä sopimista paremmin.

Vanha ohje on jälleen ajankohtainen

Yrityksen ei ole viisasta jättää omaan puolustukseensa turhia aukkoja, joihin kilpailija tai muu sidosryhmä voi halutessaan tarttua.  Vanhahtavat, läpinäkymättömät toimintatavat ja ylenpalttinen käteisen rahan pyöritys kasvattavat väärinkäytösriskejä ja hallinnollista työkuormaa. Kestäviä ovat yritykset, jotka kykenevät luomaan nahkansa ja muuttamaan toimintatapojaan lainsäädännön kehittyessä.

 

Risto Rausti on työskennellyt useita vuosia taloushallinnon tehtävissä Venäjällä ja toimii nykyisin KPMG:n asiantuntijana Venäjän liiketoiminta-alueella.

vastuullinen sijoittaminen

Sijoittajat yllättivät yritysjohdon — Kolmiloikalla pääsee pisimmälle

Moni yritysjohtaja uskoo perinteiseen viisauteen, jonka mukaan valtavirtasijoittajat eivät juurikaan välitä yrityksen ESG-suorituskyvystä, eli ympäristöön, sosiaalisiin tekijöihin ja hyviin hallintotapoihin liittyvistä riskeistä ja mahdollisuuksista. Siksi harva yritys panostaa riittävästi viestimiseen sijoittajilleen ESG-kokonaisuuden johtamisesta, tavoitteista, suorituksesta, riskienhallinnasta ja arvonluonnista.

Kasvava määrä sijoituspääomasta on sellaisten sijoittajien omistuksessa, jotka pitävät ESG-suorituskykyä keskeisenä yrityksen taloudelliseen menestykseen pidemmällä aikavälillä vaikuttavana tekijänä. Sijoittajat välittävät enemmän vastuullisuudesta kuin yritysjohtajat osaavat kuvitella: tuoreen tutkimuksen (1) mukaan 75 % sijoitusorganisaatioiden johdosta on sitä mieltä, että hyvä ESG-suorituskyky on olennaisen tärkeä sijoituspäätöksiä tehtäessä. Pörssiyhtiöiden johtajista sitä vastoin vain 60 % uskoo, että ESG-suorituskyky on tärkeä sijoittajien tehdessä sijoituspäätöksiä.

Käsitys sijoittajien preferensseistä ohjaa yrityksen johtoa strategian ja toiminnan suuntaamisessa. Miten sijoittajien ESG-odotuksiin tulisi vastata? Tässä on kolmiloikkaajan taktiikka.

Ensimmäinen loikka: Ymmärrä kysyntää

On hankala vastata odotuksiin, joita ei tunne. Siksi sijoittajien odotusten selvittäminen on välttämätöntä. Millaisia vastuullisuussitoumuksia yrityksemme omistajat, sijoittajat ja rahoittajat ovat tehneet? Mitä he sulkevat pois sijoitussalkuistaan ja mitä he suosivat? Mitä ESG-suorituskykymittareita he pitävät olennaisina sektorillamme sijoituksen tuotto-riskisuhteen kannalta?

Toinen loikka: Kehitä tarjontaa

Seuraavaksi kannattaa hankkia ymmärrystä siitä, mitä kautta yritykseemme sijoitetaan ja mitkä meidän vahvuutemme ja heikkoutemme sijoituskohteena ovat. Ovatko ESG-tekijät osa arvonluontitarinaamme ja osoitammeko hallitsevamme ESG-riskit? Kelpaako osakkeemme vastuullisuusindekseihin ja mihin niistä meidän tulisi pyrkiä? Keille olemme liian pieniä, väärällä sektorilla, liian epälikvidejä?

Kolmas loikka: Viesti tavoitteellisesti

Viestinnän tavoittavuus ja tavoitteellisuus varmistavat kolmannen loikan onnistumisen. Ketä tarkalleen yritämme tavoittaa ja olemmeko vastuullisten sijoittajien ja rahastojen tutkalla? Puhummeko sijoittajien ESG-kieltä ja raportoimmeko tietoa joka palvelee sekä sijoittajien päätöksentekoa että vähentää pääomamme hankintakustannuksia?

Vastuullinen sijoittaminen valtavirtaistuu

Noin 60 000 miljardia euroa on sellaisten instituutiosijoittajien ja varainhoitajien hallinnassa, jotka ovat allekirjoittaneet UN PRI:n vastuullisen sijoittamisen periaatteet. Tämä sijoituspääoma hakeutuu yhä näkyvämmin kohteisiin, jotka täyttävät omistajansa vastuullisuusodotukset, kaikissa varallisuuslajeissa. Se tarkoittaa, että osaan perinteisestä sijoitusuniversumista kohdistuu vähemmän sijoituseuroja tai ne jäävät kokonaan ilman pääomaa. Toisia kohteita suositaan, kun taas toisia tutkitaan entistä tarkemmin, täyttävätkö ne ESG-kriteerit.

Kysyntää siis riittää yrityksille, joiden ESG-suorituskyky on muita parempi. Samalla uusia ESG-sijoitusinstrumentteja syntyy kysynnän tahdissa.

Missä osassa sijoitusuniversumia haluaisit sinun yrityksesi osakkeiden ja yrityslainojen olevan? Joko olet kokeillut kolmiloikkaa?
 

tomas-otterstrom-100x100Partner Tomas Otterström vastaa KPMG:n vastuullisen sijoittamisen, ilmasto- ja yritysvastuun palveluista. Hänellä on parinkymmenen vuoden kokemus liikkeenjohdon konsultoinnin, sijoitus- ja varainhoitotoiminnan sekä yritysvastuun johtotehtävistä.

Vapaa-aikaansa Tomas viettää perheensä kanssa sekä sulkapalloa jahdaten, johtamiskirjoja lukien että elämysmatkailua harrastaen. Hän on myös hyvän ruuan ystävä.

 
Tutustu myös Thought Leadership -raporttiimme A New Vision of Value: Connecting corporate and societal value creation

1) Investing For a Sustainable Future, MIT Sloan Management Review, May 2016

Six key principles making Operational Excellence work for you

With only six key principles in focus, your company can excel in satisfying your customers, optimizing costs, and improving productivity in ways that create true customer value. Operational excellence (OE) helps your company not only to improve its quality and efficiency, but also to become more cost-effective than your competitors.

operational excellence

Operational Excellence (OE) has been defined as the point when “each and every employee can see the flow of value to the customer, and fix that flow before it breaks down”. It’s that simple. But, for companies to actually be able to create that kind of excellence, a clear strategy and a lot of hard work are required.

Companies that embark on an OE journey should remember that it is a never-ending voyage. Nevertheless, there are countless examples of failed OE transformations. In some cases companies focus too much on cost competitiveness, and forget the customer. What good is an efficient factory, if the customer no longer needs the product? In other cases an excessive focus on certain tools like Lean or Six Sigma draws attention away from people and from fostering a culture of continuous improvement based on delegation and management support.


The principles to follow

In my experience there are six basic principles you should follow to make excellence work in your favour – principles that underline the whole OE exercise. They form the basis of both lasting competitive advantage and pure operational strategy.

1. Customer centricity – Customers should be at the heart of your organisation’s operational design. Existing and future customer needs should be identified, and these should drive not only current operational management processes, but also future change investments.

2. Process thinking and process management are at the core of your business. The organisational design should be aligned to the customer value chain, with clear end-to-end process ownership, and consistent language and definitions used to manage the process.

3. Flexible capability is delivered when there is a commitment to developing a multi-skilled workforce, supported by robust learning and development mechanisms and deployed effectively through flexible operations management.

4. Operational culture can be a source of competitive advantage when effort, performance and motivation are mobilized towards the achievement of strategic goals and enhanced customer experience. You should strive for consistency in acceptable behaviours across functions and teams, and all decisions should be guided by clearly articulated priorities.

5. Cost optimization – Costs should be fully understood and linked to processes, products and customers, and should be rigorously controlled. This should lead to sustainable cost reductions through an effective change portfolio and broad consideration of different strategic drivers.

And last, 6. Governance frameworks should be clear, ensuring that accountability is defined. This leads to rapid, reliable decision-making, based on evidence and made at the appropriate level in your organisation.

In my opinion, Operational Excellence should become self-evident for the whole organization. Everybody needs to “get it”, and to pay constant attention to the many details of how work is performed. Getting Operational Excellence right can be a bumpy road. Following my six principles makes your journey a lot easier.

Berndt Wickholm is a director in KPMG’s Global Strategy Group enhancing performance in Strategic and Operational areas in a wide array of industries. He has 18 years of international experience in Strategy execution and supply-chain consulting. Offline, Berndt is a foodie, spending time in the kitchen and balancing with a bit of snowboarding and golf.

Ääniä ja tekoja huipulta – vastuullisuutta Davosista

Global Economic Forumin viime viikolla järjestämä 47. huippukokous Sveitsin Davosissa on huomiota herättävä vuosittainen politiikan, elinkeinoelämän ja akateemisen yhteisön johtajien kohtaamispaikka, jossa puheenaiheina ovat päivänpolttavat maailmanlaajuiset kysymykset.

Taloudellista, sosiaalista ja ympäristöllistä vastuullisuutta ja kestävää kehitystä käsiteltiin Davosin kokouksessa varsin laajasti, eikä käsittely jäänyt pelkästään puheiden tasolle (kestävä kehitys oli toiseksi eniten twiitattu aihe). Seuraavassa on muutama poiminta noin 50 Davosissa lanseeratusta projektista ja aloitteesta, jotka tähtäävät YK:n kestävän kehityksen tavoitteiden toteuttamiseen.

Vahvaa kysyntää reagoivalle ja vastuulliselle johtajuudelle

Osuvasti keskeinen teema Davosissa on ”Reagoiva ja vastuullinen johtajuus”. Kokouksessa 100 johtavaa yritystä allekirjoittivat sopimuksen reagoivasta ja vastuullisesta johtajuudesta. Sopimuksen kehittämiseen osallistui International Business Council, joka tulee seuraavaksi laatimaan puitteet pitkäaikaisen lähestymistavan vaikutusten mittaamiseksi.

Myös hyvinvoinnin tasaisempi jakaminen todettiin Davosissa välttämättömäksi, ja tätä näkemystä siivitti Oxfamin ja Even it up:n esittämä laskelma, jonka mukaan kahdeksan miljardöörin omaisuus on yhtä suuri kuin köyhimmän 3,6 miljardin ihmisen varallisuus.

Rahoitusta ympäristöhaasteiden torjumiseksi

Maailman ympäristöhaasteisiin, erityisesti metsäkatoon, energiahuoltoon, ilmastonmuutokseen ja merten tilaan, oli useita sessioita.

Norjan valtion rahoittama rahasto tulee keräämään 400 miljoonaa USD ja suojelemaan viisi miljoonaa hehtaaria maa-alueita maissa, jotka pyrkivät vähentämään metsäkatoa ja turvemaiden tilan heikkenemistä. Rahasto voi aikaansaada 1.6 miljardin USD:n metsäkatovapaita maatalousinvestointeja, jotka myös luovat työpaikkoja ja taloudellista kasvua.

Hallitukset ja yritykset 40 maasta, mukaan lukien eräät maailman suurimmat kulutustavara-, päivittäiskauppa- ja kierrätysyhtiöt, hyväksyivät suunnitelman lisätä muovipakkausten uusiokäyttö- ja kierrätysastetta nykyisestä 14 prosentista 70 prosenttiin.

Laaja kirjo sosiaalisia haasteita, mutta myös ratkaisuja

Davosissa sosiaalisia haasteita käsiteltiin laajasti, muun muassa työ- ja ihmisoikeuksia, kriisialueita, sekä syrjäytymisen estämistä.

Maailmanlaajuisesti arvioidaan, että 21 miljoonaa ihmistä on pakkotyössä ja velkaorjuudessa sekä 168 miljoonaa lasta tekee töitä. Muun muassa GoodWeave International julisti uuden kansainvälisen ohjelman, Sourcing Freedomin, jonka tavoitteena on nykyajan orjuuden lopettaminen tuotantoketjuissa. Ohjelmaa tukevat useat yritykset eri teollisuussektoreilta.

Eräät maailman suurimmista finanssipalveluiden tuottajista, globaaleista IT- ja telekommunikaatioyrityksistä sekä kansainvälinen humanitaarinen yhteisö sopivat kuudesta periaatteesta, digitaalisella käteisellä maksamisen edistämiseksi kriisialueilla. Digitaalisella käteisellä on yrittäjyyttä ja paikallisia talouksia edistävä vaikutus.

Nidan on pelkästään viimeisten kahden kuukauden aikana saanut yli kaksi miljoonaa katukauppiasta Intiassa digitaalisten maksujärjestelmien piiriin, mikä edesauttaa kilpailukykyä ja mahdollisuuksia ansaita elämiseen riittävää palkkaa.

Vastuullisesta johtamisesta vastuullisiin tekoihin

Davosin kokousta on kritisoitu julkisessa keskustelussa elitistiseksi valikoivan osallistujakutsumenettelyn takia. Olennaista on kuitenkin pohtia, riittääkö johtajien ja päättäjien ammattitaito ja etiikka kantamaan heidän asemansa mukaisen vastuun sekä toimimaan oikeudenmukaisesti edustamiensa ihmisten hyväksi.

Lue myös Tomaksen kirjoitus: Yksi liiketoimintastrategia – 17 YK:n kestävän kehityksen tavoitetta.

tomas-otterstrom-100x100Partner Tomas Otterström vastaa KPMG:n vastuullisen sijoittamisen, ilmasto- ja yritysvastuun palveluista. Hänellä on parinkymmenen vuoden kokemus liikkeenjohdon konsultoinnin, sijoitus- ja varainhoitotoiminnan sekä yritysvastuun johtotehtävistä.

Vapaa-aikaansa Tomas viettää perheensä kanssa sekä sulkapalloa jahdaten, johtamiskirjoja lukien että elämysmatkailua harrastaen. Hän on myös hyvän ruuan ystävä.

tietoturva

Onko yrityksesi valmistautunut ilmoitusvelvollisuuteen tietoturvaloukkauksissa?

Uusi EU-direktiivi haastaa yritykset suojaamaan kriittisen infrastruktuurin

Toukokuussa 2018 unionin laajuisesti tulee sovellettavaksi kaksi erillistä, mutta laajemmin samaan kokonaisuuteen kuuluvaa säädöstä: yleinen tietosuoja-asetus (”GDPR”) sekä verkko- ja tietoturvadirektiivi (NISD). Asetus koskee kaikkia organisaatioita, jotka keräävät tai käsittelevät henkilöstönsä ja/tai asiakkaidensa tietoja. Verkko- ja tietoturvadirektiivi puolestaan koskee digitaalisten palvelujen tuottajia sekä kansallisia keskeisten palveluiden tarjoajia, eli pitkälti kaikkia digitaalisen tai fyysisen infrastruktuurin toimijoita.

IT-riskienhallinnan uusi sääntely kannattaa nähdä yhtenä pakettina

Asetus sitoo yrityksiä suoraan, direktiivi sen sijaan vaatii kansallista lainsäädäntöprosessia, jonka kautta velvoittavuus yrityksille syntyy, ja sääntelykokonaisuus lisää IT-riskienhallintaan kohdistuvaa pakottavaa sääntelyä merkittävästi. Monen organisaation huomio on keskittynyt lähestyvään vaatimustenmukaisuusharjoitukseen, mutta vaarana on, että tietosuojaa ja tietoturvaa tehdään osastorajojen mukaisissa siiloissa, huomioimatta kokonaiskuvaa.

Nämä lähes samanaikaisesti sovellettavaksi tulevat säädökset tulisi kuitenkin nähdä strategisena sääntelypakettina ja toisiaan tukevina. Säädöspaketti noudattaa Euroopan unionin kyberturvallisuusstrategian tavoitteita, ja taustalla on vahva poliittinen tahtotila. Tietoturvaan kohdistuvat vaatimukset tulevat todennäköisesti tiukentumaan myös välittömän soveltamisalan ulkopuolelle jäävien yritysten osalta näiden toimiessa alihankkijoina ja kumppaneina direktiivin tarkoittamille yrityksille. Yrityksissä näitä asioita ei kannatta tarkastella pelkästään vaatimustenmukaisuuteen liittyvänä asiana, vaan mahdollisuutena parantaa palveluiden toimintavarmuutta, lisätä asiakkaiden luottamusta, parantaa asiakaskokemusta sekä tehostaa toimintaa.

Uudet velvoitteet yrityksille: ilmoitusvelvollisuus ja suojauksen tason osoittaminen

Molemmat säädökset sisältävät ilmoitusvelvollisuuden tietoturvaloukkaustapauksissa, ja tässä onkin selkeästi nähtävissä pyrkimys jäsenvaltioiden ja yritysten riskienhallintaan vaikuttamiseksi ennen kuin kriittisiin toimintoihin kohdistuvat hyökkäykset pakottavat tähän niin sanotusti ”kantapään kautta”. Taustalla vaikuttaa idea järjestelmien keskinäisriippuvuudesta, jossa systeemi on yhtä vahva kuin sen heikoin lenkki. Ilmoitusvelvollisuus korostaa tarvetta hyvään havainnointi- sekä tutkintakykyyn.

Sekä GDPR ja NISD sisältävät vaatimuksia ”asianmukaisten teknisten ja organisatoristen toimenpiteiden” sekä ”tarpeellisten ja suhteellisten turvatoimien” käytöstä järjestelmien suojauksessa, sekä näiden toteuttamisen näyttämisestä käytännössä. Suojatoimien asianmukaisuus voidaan todentaa esimerkiksi auditoimalla prosessit ja järjestelmät alan vallitsevien standardien mukaisiksi.

Miten yritysten kannattaa valmistautua uuteen vaatimustenmukaisuuteen?

Vuonna 2018 tietoturvatyö ottaa sääntelyn takia selkeän askeleen perinteisestä riskienhallinnasta kohti sanktioitua vaatimustenmukaisuutta. Yrityksille onkin nyt tärkeää seurata kansallista lainvalmistelutyötä NISD:iin liittyen ja aloittaa valmistautuminen tietoturvan ja tietosuojan kokonaisvaltaiseksi huomioimiseksi liiketoiminnan ja sen edellytysten turvaamisessa. Tällä hetkellä Suomessa mietinnän alla on, miten NISD:n vaatimukset tullaan implementoimaan kansalliseen lainsäädäntöön ja miten viranomaisvalvonta tullaan toteuttamaan. Jokaisen yrityksen voikin suositella ryhtyvän vähintään seuraaviin toimenpiteisiin:

• Riskiarvion tekeminen ja riskien mukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen.
• Riittävän tietoturvan tason osoittaminen, esimerkiksi ulkopuolisen tarkastajan suorittamalla arvioinnilla.
• Sen varmistaminen, että järjestelmien havainnointikyky ja toiminnallisuudet tukevat tietoturvaloukkausten havaitsemista, tutkintaa ja dokumentointia riittävällä tavalla. Näin mahdollisten tietoturvaloukkausten ilmoittamista varten yrityksillä on käytettävissä riittävät tiedot.
• Valmistautuminen ilmoitusvelvollisuuden täyttämiseen kansallisille viranomaisille ja/tai asiakkaille.
• Saatavilla olevien hyötyjen tunnistaminen, jotta kyseessä ei ole pelkkä compliance-ohjelma.

Kuten viimeaikaiset tietomurrot, kiristysohjelmat ja IoT-hyökkäykset Suomessakin osoittavat, tulevaisuus uhkakuvineen on jo täällä. 18 kuukauden päästä näyttö- ja ilmoitusvelvollisuudet astuvat voimaan, ja nyt onkin viimeistään aika selvittää, minkälaiset valmiudet ja kyvykkyydet yritykselläsi on vastata näihin haasteisiin. Kello tikittää jo.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.