Tagged: liikeriski

Tietoriskien hallintajärjestelmä

Riskien hallinnan periaatteita noudattaen yrityksessä pitää olla selvillä erilaisten tietoriskien ja yllättävien tilanteiden estäminen, tilanteen hallinnan ja korjaamisen menettelyt, järjestelyt, keinot ja ratkaisut.

Tietoriskien tunnistamisen yhteydessä selvitetään nykyisin noudatettavat käytännöt ja menettelyt sekä käytettävät suojauskeinot ja järjestelyt.

Tietoriskien analysoinnissa arvioidaan toiminnan haavoittuvuutta ja tilanteen toteutumisen mahdollisuutta.

Toiminnan parantamisessa suunnitellaan kehitettävät uudet tarpeelliset menettelyt ja keinot.

Eri toimiyksiköissä pitää tietää tietoriskien hallinnoimiseksi ja torjumiseksi, mitä riskejä torjutaan, mitkä ovat kriittisimmät riskit ja miten niitä torjutaan.

Ihmisten tietoisuuden ja toimintatapojen sekä eri suojauskeinojen integrointi takaa tiedon suojaamisen vääristymisiltä tai tiedon joutumisen asiattomien haltuun.

Kaikki keinot tähtäävät yhdessä käytettynä siihen, että yritykselle tärkeät toimintayksiköissa käsiteltävät tiedot säilyvät oikeina ja käytettävissä sekä vain niiden käytössä, joille tiedot työtehtävien tekemisessä kuuluvat.

Näin voidaan varmistaa tietoriskien hallinta ja osaltaan taata yrityksen kilpailukyky ja suojata yritykselle tärkeä tieto asiattomilta ja kilpailijoilta.

Erilaisia teknisiä ratkaisuja on tarjolla useita, joista yrityksen tulee osata koota omaan toimintaansa tarkoituksenmukaiset ja yhteensopivat keinot.

Tietoturvallisuuden hallintataso riippuu toimintayksikön valmiuksista ja käytännöistä.

Eri tavoista ja ratkaisuista syntyy yritykselle se taso, jolla toimitaa ja omaisuutta suoljataan ja se suojaustoimien varasto, joka on käytettävissä.

Kaikkia eri suojaustapoja, -ohjeita, -menettelyjä, -keinoja ja -ratkaisuja nimitetään myös kontrolleiksi, keinovarastoksi, kontrollipooliksi.

Tämä kokonaisuus on tietoturvallisuuden hallintajärjestelmä, jonka tasoa ja riittävyyttä suhteessa toimintaan voidaan arvioida.

Arvioinnissa tehdään helposti virhe siinä, kun jätetään tunnistamatta todelliset tietoriskit, käytössä olevat kontrollit ja toteutuneet toimintaa häirinneet tilanteen ja kun arvioidaan tietoturvallisuuden hallintajärjestelmää toiminnasta irrallisena järjestelmänä – joko teknisinä ratkaisuina tai toimintaohjeina.

Koska tietoriskien hallinta vaatii ihmisten johtamista, sovittujen käytäntöjen ja menettelyjen noudattamista, teknisiä ratkaisuja ja muita suojausjärjestelyjä, on tietoturvallisuuden hallintataso aina erilainen eri toimintayksiköissä.

Johdolle on lupa esittää vain totuudenmukaista tietoa. Vain yhteenveto, joka sisältää analysoinnit kriittisten ja tärkeiden toimintayksiköiden tietoriskeistä, niiden vaikutuksesta ja hallinnan tasosta, kuvaa ammattimaista analysointia ja kyvykkyyttä.

Lähde: Tuija Kyrölä, Esimien ja tietoriskien hallinta, WSOY, 2001

Korvausvastuusta luikertelu

Mitä sanoisit, jos olisit tilannut minulta työtehtävän, jonka turaan pahanpäiväisesti ja aiheutan sinulle mittavan vahingon?

Vaatisit tietenkin korvausta.

Mutta minäpä olenkin teettänyt työni itsenäisellä alihankkijalla, enkä ole vastuussa vahingostasi palaneen puupennin puoilikkaan vertaa. En, vaikka et olisi missään vaiheessa saanut mitään tietoa siitä, että teetän itselleni ottamani työt hanttireiskalla.

Reiska ei tietenkään pysty korvaamaan mitään.

Näin kävi asiakkaalle. Hän tilasi isolta talotekniikkayritykseltä lisäpalikan valvontajärjestelmään, joka valvoo ja säätää lähes kaikkea tuotantorakennuksessa.

Reiska nollasi touhutessaan kaikki asetukset ja tuotantoprosessi meni sekaisin. Siitä aiheutui kymmenien tuhansien vahinko.

Talotekniikkayritys ryhtyi heti luikertelemaan ilmeisestä vastuustaan.

Ensin sille ei muka oltu kerrottu, että perusasetuksia oli muutettu. Vaikka olikin. Olivatpahan vielä aiheuttaneet samanlaisen tapahtuman aikaisemminkin.

Seuraavaksi tarina muuttui niin, että työtä ei ollutkaan tehnyt talotekniikkayrityksen työntekijä vaan itsenäinen alihankkija.

Alihankkija työn tekikin. Yhden miehen firma, jonka ainoa tilaaja on juuri kyseinen talotekniikkayritys.

Jos tässä ei täyty Vahingonkorvauslain 3.1§:n mukainen isännänvastuu, niin missä sitten.

Asiaa on käsitelty vakuutusyhtiössä ja muutoksenhakuelimissä, mutta tuloksetta. Sitä ei voida ratkaista, koska talotekniikkayritys ei toimita minkäänlaisia vastineita selvityspyyntöihin. Siitä ei kerta kaikkiaan saada mitään irti.

Vakuutusyhtiö on tietenkin asiasta pelkästään tyytyväinen, koska sen ei tarvitse antaa rakkaita rahojaan pois.

Vaikka vastuuvakuutus ei korvaakaan sopimukseen perustuvaa vastuuta, sopimussuhteessa myyjä kuitenkin vastaa alihankkijoistaan samalla tavalla kuin omien työntekijöidensä tekemisistä.

Myyjä ei siis voi rajoittaa vastuutaan sillä, että sopimus täytetään alihankkijoiden toimesta eikä myyjän itsensä. Teoriassa.

Käytännössä vetkuttelu näköjään kannattaa.

Jos joudut korvausvaatimuksen kohteeksi, voit rauhassa jättää sen vaille minkäänlaista huomiota. Vakuutuksesi ei korvaa sopimukseen perustuvaa vastuuta ja oikeudenkäyntikulujen pelko todennäköisesti estää korvauksen vaatijaa viemästä asiaa oikeuteen. Muita keinoja ei sitten olekaan.

Joskus riskinotto kannattaisi

Huhtikuun 1. päivänä vuonna 1976 Steve Jobs, Stephen Wozniac ja Ron Wayne istuivat Waynen asunolla Kaliforniassa laatimassa osakassopimusta. Herrat perustivat Apple Conputerin.

Omistusosuudet jaettiin seuraavasti: Jobs 45%, Wozniac 45% ja Wayne 10%

Waynea alkoi kuitenkin pian hirvittää.

Häneltä oli aikaisemmin kaatunut yritys.

Jobsin alkaessa suunnitella lainanottoa ja käyttäessä yhä enemmän rahaa Wayne alkoi muistella oman yrityksensä kaatumista.

Jobsilla ja Wozniakilla ei ollut henkilökohtaista omaisuutta, mutta Waynellä oli säästöjä patjan sisällä.

Apple oli aluksi yritysmuodoltaan avoin yhtiö, joten osakkaat olivat henkilökohtaisesti vastuussa sen veloista. Wayne pelkäsi saavansa mahdolliset velkojat peräänsä.

12.4.76 hän meni Santa Claran piirikunnan rekisteritoimistoon ja ilmoitti vetäytyvänsä yhtiön osakkuudesta.

Hän sai 10% osuudestaan hyvityksenä 2.300 dollaria.

Jos hän olisi jäänyt yhtiöön ja pitänyt 10% osuutensa, olisi sen arvo vuoden 2010 lopussa ollut noin 2,6 miljardia dollaria.

Wayne asui tuohon aikaan yksin pienessä talossa Pahrumpin pikkukaupungissa Nevadassa, eläen sosiaaliturvan varassa.

Arvaa harmittiko?

Kuulemma ei.

Lähde: Isaacson, Steve Jobs, Otava 2011

Joukossa tyhmyys tiivistyy

Tutkimusten mukaan käsitellessään kollektiivisesti informaatiota ryhmällä on vahva taipumus käsitellä vain sellaista tietoa, johon kaikilla ryhmän jäsenillä on pääsy, ja jättää huomiotta tieto, johon vain vähemmistöllä on pääsy.

Ryhmän jäsenet jakavat tietoa, jonka kaikki jo tietävät, ja välttävät uusien, häiritsevien asioiden esille nostamista.

Irving Janis tutki aikanaan Sikojenlahden maihinnousun epäonnistumista.

CIA koulutti noin 1500 Kuubalaista vastavallankumouksellista hyökkäämään Kuuban etelärannikolle. Heitä vastassa oli kuitenkin 20.000 Kuuban armeijan sotilasta. Huoltoalukset saapuivat paikalle liian myöhään ja lisäksi yksi upotettiin. Kolmessa päivässä suurin osa maihinnousua yrittäneistä oli kuollut tai vangittu.

Janis tarkasteli sitä, miten USA:n hallinto oli ylipäätään voinut pitää maihinnousua järkevänä toimenpiteenä.

Ensin hän tarkasteli yksinkertaisinta selitystä: ehkä hallituksen jäsenet olivat vain tyhmiä.

Näin ei kuitenkaan ollut, vaan hallitus koostui kokeneista, hyvin koulutetuista ja älykkäistä ihmisistä.

Janis päätteli, että taustalla täytyi olla jokin ryhmätason ilmiö, jonka takia nämä sinänsä pätevät ihmiset päätyivät jälkikäteen typerältä tuntuviin ratkaisuihin. Tätä ilmiötä, jossa ryhmän jäsenet pyrkivät ylläpitämään ryhmän yhtenevyyttä ja koheesiota vaihtoehtoisten toimintamallien harkinnan kustannuksella, Janis nimitti ryhmäajatteluksi.

Ryhmäajattelulle on tyypillistä:

  • ryhmän arvon yliarviointi; moraalisuuden ja kyvykkyyden optimistinen illuusio
  • ajattelun yksipuolistuminen ja kilpailijoiden ja muiden toimijoiden aliarviointi, stereotyyppiset käsitykset ryhmän ulkopuolisista toimijoista.
  • Paineet yhdenmukaisuuteen; itsesensuuri (epäilyksiä ei sanota ääneen), illuusio ryhmän yksimielisyydestä, epäilijöiden ja kriitikoiden leimaaminen ja ”mind guarding”, eli muiden mielipiteiden vartiointi.

Ryhmäajattelu vaikuttaa ryhmän toimintaan siten, että ryhmän jäsenet:

  • rajoittavat vaihtoehtoja ja tavoitteita, joita he tarkastelevat eivätkä arvioi niitä uudelleen myöhemmin
  • kohdistavat huomionsa päätökseen liittyviin hyötyihin, mutta eivät siihen liittyviin riskeihin
  • eivät onnistu keräämään niin paljon tietoa kuin voisivat ja prosessoivat saamansa tiedon tavalla, joka tukee heidän päätöksiään
  • eivät aseta turvaverkkoja tai varasuunnitelmia suojautuakseen epäsuotuisilta tuloksilta

Ryhmäajattelu on todennäköistä silloin, kun kyse on ryhmästä, jolla on vahva sosiaalinen identiteetti ja me-henki, ja joka on ulkoisen uhan ja paineen alla ja jonka jäsenillä on alhainen itseluottamus.

Ryhmäajattelu on ollut yksi tekijä päätöksissä, jotka johtivat muun muassa avaruussukkula Challengerin räjähtämiseen, talidomidi-lääkkeen markkinointiin vuonna 1957 ja operaatioon amerikkalaisten panttivankien pelastamiseksi Iranista vuonna 1980.

Ryhmä voi tosin yhtä hyvin päätyä parempiinkin ratkaisuihin, kuin yksilöt.

Ryhmäpäätöksenteon on katsottu lisäävän sitoutumista päätöksiin ja näin ollen lisäävän todennäköisyyttä siihen, että tehty päätös tullaan myös toteuttamaan. Ryhmäajattelu siis yleensä vahvistaa ryhmän alkuperäistä näkökulmaa.

Millaisia päätöksiä sinun ryhmäsi tekee?

Lähde: Flink, Reiman, Hiltunen, Heikoin Lenkki, Edita 2007

Liikeriskit

Liikeriskien ja muiden riskien (henkilöriskit, tietoriskit, toiminnan riskit ja vahinkoriskit) raja on usein häilyvä. Joku riski voi kuulua useampaankin riskiluokkaan. Liikeriskille on kuitenkin tyypillistä, että se sisältää sekä voiton että tappion mahdollisuuden. Yritys voi toimiessaan joko onnistua ja tehdä voittoa tai epäonnistua ja tuottaa tappiota. Liikeriski on siten liikevoiton saamiseksi otettu tietoinen riski.

 

Liiketoiminta on riskitöntä vain silloin kun ei tehdä mitään.

 

Liikeriskeillä tarkoitetaan usein markkinointiin, kysyntään, tuotantoon, kustannuksiin, rahoitukseen, jne. liittyviä riskejä. Riskit syntyvät yrityksessä tehtyjen päätösten suhteesta ulkoisessa ympäristössä vallitseviin olosuhteisiin. Liikeriskien tunnistamisen ja analysoinnin välineet ovat siksi erilaisia kuin vahinkoriskien kohdalla käytettävät.

Toimintaympäristön muutoksia ja niiden vaikutuksia voidaan tutkia PEST analyysin avulla. (PEST tulee englanninkielen sanoista Political/legal, Economic, Socio-cultural ja Technological). PEST analyysin avulla kartoitetaan muutoksia poliittisissa, taloudellisissa, sosiaalisissa ja teknologisissa kysymyksissä. Nykyisin listaan lisätään usein vielä E (Environmental), eli ympäristökysymykset. Tekijöistä määritetään yritystoiminnan kannalta sekä tällä hetkellä tärkeimmät, että muutaman vuoden kuluttua tärkeimmiksi oletetut.

Kilpailutilannetta voidaan kartoittaa Michael Porterin kehittämän Five Forces analyysin avulla. Sen avulla voidaan selvittää millainen vaikutus eri tekijöillä on kilpailutilanteeseen ja oman yrityksen asemaan kilpailussa nyt ja tulevaisuudessa.

 

Liiketoiminnan kilpailu (1) syntyy:

 

  • potentiaalisten alalle tulijoiden uhka (2)
  • ostajien neuvotteluasema (3)
  • mahdollisten korvaavien tuotteiden/palveluiden uhka (4)
  • toimittajien neuvotteluasema (5)

 

Lopuksi oman yrityksen ja/tai sen tuotteiden ja palveluiden asemaa markkinoilla verrattuna kilpailijoihin voidaan tutkia tutun Bostonin nelikentän avulla. Matriisiin sijoitetaan tutkittavat asiat markkinaosuuden ja kasvupotentiaalin mukaan. Ne sijoittuvat johonkin neljästä ruudusta: Tähdet, kysymysmerkit, lypsylehmät ja koirat. Sijoitusten mukaan voidaan sitten päättää mitä kullekin tuoteryhmälle voi ja kannattaa tehdä. Voidaanko se kenties pyrkiä siirtämään toiseen luokkaan vai heivataanko se suosiolla yli laidan.

Mainitsemani työkalut ovat vain osa liikeriskien tunnistamiseen ja arviointiin soveltuvista työkaluista. Niiden käyytöohjeita löytyy netistä googlettamalla joka lähtöön. Konsultilla kuin konsultilla lienee myös omat työkalunsa tai ainakin suosikkinsa maailmalla kulloinkin vallalla olevien ismien joukossa. Esimrkiksi Gerry Johnsonin ja Kevan Schloesin kirjassa Exploring Corporate Strategy löytyy nelisen sataa sivua käyttökelpoisia menetelmiä liikeriskien hallintaan, puhumattakaan vaikkapa Michael E Porterin teoksista tai kotimaisista kirjoittajista kuten Tero J Kauppinen, Jari Parantainen tai Mika D Rubanovitsch.

Suurin ongelma kuitenkin lienee se, miten valita omia tarpeitaan varten juuri se paras työkalu ja jopa vieläkin oleellisempaa, kuinka oppia käyttämään sitä tuloksellisesti. Maailma on täynnä toinen toistaan innokkaampia konsultteja, jotka kuolaavat päästäkseen auttamaan sinua, mutta mistä tiedät kuka on hyvä ja kuka huono. Paitsi siitä että parhaimpien palveluihin ei kaikilla ole edes varaa.