Kontrollien suunnittelu

Taloudellisuus ja tehokkuus määrittävät kontrollien tason. Pyrkimys täydellisyyteen voi muodostua järkevän riskienhallinnan esteeksi. Turvallisuuden näkökulmasta nollatoleranssi on ihanteellinen tavoite, mutta se ei useinkaan täytä toiminnalle asetettuja taloudellisuus- ja tehokkuusvaatimuksia.

Yrityksen kasvavia hallinnollisia kustannuksia on vaikea hillitä, jos resursseja ohjataan epäolennaisiin kohteisiin. Tilanne paranee, kun kontrollien taloudelliset panostukset osataan kohdistaa liiketoiminnan avainresurssien turvaamiseen. Samalla tarjoutuu mahdollisuus arvioida hallinnollisten kontrollien prosessitaloudellisuutta kokonaisuutena.

Yrityksillä on usein riskinkantokykyä sietää epäolennaisia riskejä ja elää niiden kanssa. Siksi ei ole tarkoituksenmukaista kohdentaa niihin suhteettomia resursseja. Samanaikaisesti on huolehdittava siitä, että olennaiset riskit, eli avainriskit, eivät jää ilman riittävää huomiota tai kontrollia.

Kontrollien yleiset suunnitteluperiaatteet
Hallintatoimenpiteiden toteutuksessa on huomioitava Suomen lainsäädäntö, viranomaismääräykset sekä hyvä tiedonkäsittelytapa. Toimenpiteet tulee suunnitella siten, että ne eivät loukkaa työntekijöiden tai asiakkaiden yksityisyyden suojaa ja ovat sopusoinnussa organisaation sisäisten linjausten ja ohjeistusten kanssa.

Suunnittelumallina ideaali kontrollikori
Ideaali kontrollikori on hallintatoimenpiteiden suunnittelumalli, joka perustuu kolmeen turvallisuusfunktioon. Näihin liittyy joukko turvallisuustoimenpiteitä, joiden painotusta ohjaavat kustannustehokkuus ja riskiperusteinen arviointi. Mallin tarkoituksena ei ole saavuttaa täydellistä lopputulosta, vaan ohjata toimenpiteitä kohti optimaalista turvallisuustasoa.

Turvallisuusfunktiot ja niiden ideaalipainotus

Ehkäisevät kontrollit (60 %)
Ilmaisevat kontrollit (10 %)
Lieventävät kontrollit (30 %)

Ehkäisevät kontrollit

Vaikutuksia pysäyttävät ominaisuudet
Vaikutuksia rajaavat ominaisuudet
Pelotevaikutukset

Ilmaisevat kontrollit

Suoria vaikutuksia tunnistavat ja paikantavat ominaisuudet
Välillisiä vaikutuksia rajaavat ominaisuudet
Vaikutuksia yksilöivät ominaisuudet

Lieventävät kontrollit

Vaikutuksia korjaavat toimenpiteet
Vaikutuksia korvaavat ratkaisut
Toipumista nopeuttavat mekanismit

Kehittämisen lähtökohdat
Turvallisuuden kehittämisen on perustuttava deduktiiviseen lähestymistapaan: yleisistä periaatteista siirrytään kohti toimialakohtaisia ja yksikkötasoisia ratkaisuja. Painopiste tulee olla ehkäisevissä kontrolleissa, koska ne kohtaavat ensimmäisenä epäsuotuisat tapahtumat. Tämä tukee liiketoiminnan jatkuvuutta ja vähentää häiriöistä aiheutuvia kustannuksia.

Kustannustehokas lähestymistapa
Ensivaiheessa tulisi toteuttaa yleisehkäiseviä kontrollitoimenpiteitä, joilla saadaan laaja joukko resursseja hallinnan piiriin. Tämän jälkeen arvioidaan, missä kohdin tarvitaan erityisehkäiseviä lisätoimia kriittisten resurssien turvaamiseksi.

Yrityksen ei kuitenkaan tule nojautua pelkästään ehkäiseviin kontrollikeinoihin, sillä epäsuotuisat tapahtumat toteutuvat usein ennakoimattomasti. Tarvitaan myös ilmaisevia kontrollijärjestelmiä, jotka kykenevät hälyttämään poikkeamista nopeasti. Ilmaisevien kontrollien hyöty realisoituu vasta, kun niihin kyetään reagoimaan viiveettä ja tarkoituksenmukaisesti.

Kun epäsuotuisat tapahtumat toteutuvat, niiden vaikutuksia voidaan vähentää lieventävillä kontrolleilla. Näiden suunnittelussa on tärkeää arvioida, voidaanko riskit siirtää vakuuttamalla vai tuleeko varautuminen toteuttaa muilla hallintamekanismeilla.

Ideaalin kontrollikorin hyödyt

Proaktiivisuus

Vakavien palvelukeskeytysten todennäköisyys vähenee
Toistuvien häiriöiden määrä laskee
Toipumisesta aiheutuvat kustannukset pienenevät
Asiakaskokemus paranee
Tietosuoja toteutuu ennakoivasti

Reaktiivisuus

Epäsuotuisista tapahtumista saadaan välitön ilmoitus
Vaikutukset voidaan rajata nopeasti
Korjaustoimenpiteet voidaan kohdentaa oikein ja oikea-aikaisesti
Toipumisprosessit ovat valmiina käyttöön
Lopulliset vaikutukset jäävät hallittaviksi