Kontrollien suunnittelu - SecMeter

Sisältöön

Kontrollien suunnittelu

Yritysturvallisuus > Riskienhallinta
Taloudellisuus ja tehokkuus määrittelevät kontrollit. Pyrkimys täydellisyyteen voi muodostua esteeksi järjen käytölle. Turvallisuutta ajatellen nollatoleranssi on ideaali tavoite, mutta ei täytä toiminnan taloudellisuudelle ja tehokkuudelle asetettuja vaatimuksia.

Yrityksen kasvavia hallinnollisia kustannuksia on haasteellista saada kuriin ohjaamalla resursseja epäolennaisiin asioihin. Tilanne korjaantuu, jos kontrolleihin varatut taloudelliset panokset osataan kohdistaa liiketoimintojen avainresurssien turvaksi. Samalla tarjoutuu mahdollisuus arvioida hallinnollisten kontrollien prosessitaloudellisuutta laajemminkin.

Yrityksillä on useimmiten riskinkantokykyä sietää epäolennaisia riskejä ja elää niiden kanssa. Yritysten ei kannata panostaa epäolennaisten riskien hallintaan suhteettomasti. Samaan aikaan olennaiset riskit (avainriskit) saattavat jäädä kokonaan huomiotta tai vaille riittävää kontrollia.

Kontrollien yleiset suunnitteluperiaatteet

  • Hallintatoimenpiteiden toteutuksessa on huomioitu Suomen lainsäädäntö ja määräykset sekä hyvä tiedonkäsittelytapa.
  • Hallintatoimenpiteet on suunniteltu siten, että yrityksen työntekijöiden tai asiakkaiden yksityisyyden suojaa ei loukata.
  • Hallintatoimenpiteet ovat sopusoinnussa yrityksen linjausten ja ohjeiden kanssa.

Suunnittelumalli
Ideaali hallintatoimenpide (kontrollikori) on suunnittelumalli, joka perustuu kolmeen turvallisuusfunktioon ja niihin liittyviin yhden tai useamman turvallisuustoimenpiteen kokonaisuuteen. Turvallisuusfunktioiden keskinäistä suunnittelua ohjaa ideaalipainotus ja kustannustehokkuus.

Turvallisuuden kehittämistoimenpiteiden tulee rakentua hallintatoimenpiteisiin, joissa jokaisen toteutettavan hallintatoimenpiteen osalta huomioidaan turvallisuusfunktioiden ideaali painotus. Ideaali hallintatoimenpide muodostuu seuraavista kolmesta turvallisuusfunktiosta ja niiden ideaalista painotuksesta:

  • Ehkäisevät kontrollit (60 %)
  • Ilmaisevat kontrollit (10 %)
  • Lieventävät kontrollit (30 %)

1. Ehkäisevät kontrollit

  • Vaikutuksia pysäyttävät ominaisuudet
  • Vaikutuksia rajaavat ominaisuudet
  • Peloteominaisuudet

2. Ilmaisevat kontrollit

  • Suoria vaikutuksia tunnistavat ja paikantavat ominaisuudet
  • Välillisiä lisävaikutuksia tunnistavat ja rajaavat ominaisuudet
  • Vaikutuksia yksilöivät ominaisuudet

3. Lieventävät kontrollit

  • Vaikutuksia korjaavat ominaisuudet
  • Vaikutuksia korvaavat ominaisuudet
  • Palautumista nopeuttavat ominaisuudet

Yrityksen turvallisuustilanne muodostuu ideaaliksi, mikäli kaikkien toimintojen hallintatoimenpiteissä on huomioitu ideaalipainotus. Käytännössä ideaali tilanne on kuitenkin mahdotonta saavuttaa. Ideaalin hallintatoimenpiteen suunnittelumallissa ei ole lopulta kysymys ideaalista lopputuloksesta, vaan siitä mitä ideaaliin lopputulokseen pyrittäessä on saavutettu.

Turvallisuuden kehittäminen etenee deduktiivisesti yleisistä asioista kohti yksityiskohtia. Kehittämistoimenpiteiden painopistealue tulee olla ehkäisevissä kontrolleissa, koska yrityksen ulkoiset ja sisäiset epäsuotuisat tapahtumat kohtaavat aktivoituessaan ensimmäisenä ehkäisevät kontrollit. On myös toiminnan jatkuvuuden kannalta järkevää ehkäistä ennalta epäsuotuisien tapahtumien aktivoituminen.

Kustannushyödyn kannalta on tärkeätä toteuttaa ensin yleisehkäiseviä kontrolleja, joiden avulla saadaan mahdollisimman suuri joukko yrityksen resursseista hallintatoimenpiteiden piiriin. Tämän jälkeen on pohdittava missä toiminnoissa ja minkä resurssin osalta tarvitaan eritysehkäiseviä lisätoimenpiteitä.

Yritys ei voi luottaa yksinomaan ehkäiseviin kontrolleihin, koska epäsuotuisat tapahtumat eivät koskaan toteudu ennakoidusti ja aina samanlaisina. Tarvitaan myös ilmaisevia kontrolleja, jotka ilmaisevat epäsuotuisien tapahtumien aktivoitumisen. Ilmaisevien kontrollien antamiin hälytyksiin on myös kyettävä reagoimaan ilman tarpeetonta viivettä.

Käytännön yrityselämässä epäsuotuisat tapahtumat konkretisoituvat valitettavan usein. Tapahtuman seurauksena saattaa syntyä merkittäviä taloudellisia riskinkantokyvyn ylittäviä seurausvaikutuksia. Tällöin tarvitaan usein myös seurauksia lieventäviä kontrolleja. Lieventävien kontrollien osalta on pohdittava, ovatko riskit vakuutuskelpoisia (vakuutustekninen ja taloudellinen näkökulma huomioitava), vai onko turvauduttava muihin hallintatoimenpiteisiin.

Ideaalin hallintatoimenpiteen hyödyt

1. Proaktiivisuus

  • Vakavien palvelukeskeytysten todennäköisyys vähenee.
  • Toistuvat (tavanomaiset) palveluhäiriöt vähenevät.
  • Toipumismenettelyistä aiheutuvat kustannukset vähenevät.
  • Asiakkaiden negatiiviset palvelukokemukset vähenevät.
  • Tietosuoja toteutuu.

2. Reaktiivisuus

  • Epäsuotuisista tapahtumista saadaan välittömästi hälytys.
  • Epäsuotuisan tapahtuman vaikutukset ovat rajoitettavissa.
  • Korjaavat toimenpiteet voidaan kohdistaa nopeasti oikeassa laajuudessa oikeaan kohteeseen.
  • Toipumismenettelyt ovat viivytyksettä käytettävissä.
  • Lopulliset vaikutukset ovat mahdollisimman vähäisiä.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön