Tagged: liikeriskit

Kriisiviestintä

Talvivaaran kipsisakka-allasjupakassa meni lähes tulkoon kaikki pieleen. Niin käy pienemmissäkin ympyröissä, esimerkiksi asunto-osakeyhtiön vesivahingon hoidossa. Kokemusta on!

Arkikielessä puhutaan usein kriittisistä tilanteista: vahinko oli vähällä tapahtua, tai ehti jo tapahtua, jokin lopputulos jäi riippumaan jostain ratkaisevasta käänteestä, joka sinäsä ei ollut merkittävä, mutta vaikutti siihen, mihin suuntaan tapahtumat lähtivät etenemään.

Kriittinen tekijä saattoi olla yksi askel (teko) kohtalokkaaseen suuntaan tai yksi sana kohtalokkaalla hetkellä.

Organisaation kriisi on ennakoimaton, voimakkaasti sen toimintoihin vaikuttava tai niitä uhkaava nopeasti etenevä tapahtumien kulku, jolle on ominaista syiden, seurausten ja ratkaisukeinojen moniselitteisyys.

Kriisin laukaisija voi olla jokin organisaation sisäinen tai ulkopuolinen tekijä, mutta itse kriisi liittyy usein organisaatioon kohdistuvaan kielteiseen julkisuuteen, joka uhkaa sen mainetta.

Kriisitiedottaminen on viestinnällisten ratkaisujen tekemistä tilanteissa, joissa jokin ennakoimaton, usein yhtäkkinen tapahtuma synnyttää ympäristössä tai yhteisön sisällä voimakkaan informaatiotarpeen. Se voi olla myös tarpeen tilanteissa, joissa tiedottamisen keinoin pyritään ohjaamaan julkisen keskustelun vaikutuksia organisaatiolle myönteiseen suuntaan.

Ihmiset kokevat kriisin sitä voimakkaampana mitä lähempänä tapahtuma on. Sitä vakavampi tapahtuma on mitä enemmän se koskee kokijaa itseään tai hänen läheisiään. Työtoveria tai naapuria kohdannut onnettomuus voi koskettaa enemmän kuin kaukana sattunut suurkatastrofi.

Kriisitilanteissa yleisö uskoo enemmän viranomaisten ja median antamaa tietoa kuin yrityksen tiedostusta. Mitä enemmän kriisi saa mediajulkisuutta sitä suurempana ja vahvempana yleisö pitää sitä.

Mitä enemmän faktoja sitä enemmän huhuja ja spekulointia.

Alla luettelo periaatteista ja ohjeista, jotka pätevät aina kun kielteinen julkisuus jonkin tapahtuman johdosta uhkaa organisaation normaalia toimintaa:

  • informoi kaikkia asianosaisia jatkuvasti tapahtumien edetessä
  • pidä oma organisaatio ajan tasalla tapahtumista
  • pidä aloite itselläsi, kerro ennen kuin kysytään
  • tuo julki halukkuutesi keskusteluun eri osapuolten kanssa
  • kanna vastuusi tilanteen hoitamisessa
  • kun puolustaudut, kuuntele ennen kuin puhut
  • kunnioita yleisöä, älä aliarvioi tai vähättele toista osapuolta
  • älä vähättele tapahtunutta
  • tunnusta virhe tai laiminlyönti
  • ennakoi median toiminta poikkeustilanteessa
  • pidä tiedotusvälineet ajan tasalla

Kun toimit mediajulkisuudessa:

  • pysy tosiasioissa: älä vähättele, paisuttele äläkä selittele
  • puhu totta – totuus paljastuu lopulta kuitenkin
  • tiedota tasapuolisesti: kunnioita tiedotusvälineiden ja yleisön oikeutta saada tietoa
  • ennakoi lausunnoissasi tiedotusvälineiden ja yleisön näkökulmaa
  • seuraa uutisia, korjaa virheelliset tiedot
  • huolehdi tiedottamisen jatkumisesta tilanteen lauettua

Lähde: Lehtonen, Kriisiviestintä, Mainostajien liitto, 1999

Tietoriskien hallintajärjestelmä

Riskien hallinnan periaatteita noudattaen yrityksessä pitää olla selvillä erilaisten tietoriskien ja yllättävien tilanteiden estäminen, tilanteen hallinnan ja korjaamisen menettelyt, järjestelyt, keinot ja ratkaisut.

Tietoriskien tunnistamisen yhteydessä selvitetään nykyisin noudatettavat käytännöt ja menettelyt sekä käytettävät suojauskeinot ja järjestelyt.

Tietoriskien analysoinnissa arvioidaan toiminnan haavoittuvuutta ja tilanteen toteutumisen mahdollisuutta.

Toiminnan parantamisessa suunnitellaan kehitettävät uudet tarpeelliset menettelyt ja keinot.

Eri toimiyksiköissä pitää tietää tietoriskien hallinnoimiseksi ja torjumiseksi, mitä riskejä torjutaan, mitkä ovat kriittisimmät riskit ja miten niitä torjutaan.

Ihmisten tietoisuuden ja toimintatapojen sekä eri suojauskeinojen integrointi takaa tiedon suojaamisen vääristymisiltä tai tiedon joutumisen asiattomien haltuun.

Kaikki keinot tähtäävät yhdessä käytettynä siihen, että yritykselle tärkeät toimintayksiköissa käsiteltävät tiedot säilyvät oikeina ja käytettävissä sekä vain niiden käytössä, joille tiedot työtehtävien tekemisessä kuuluvat.

Näin voidaan varmistaa tietoriskien hallinta ja osaltaan taata yrityksen kilpailukyky ja suojata yritykselle tärkeä tieto asiattomilta ja kilpailijoilta.

Erilaisia teknisiä ratkaisuja on tarjolla useita, joista yrityksen tulee osata koota omaan toimintaansa tarkoituksenmukaiset ja yhteensopivat keinot.

Tietoturvallisuuden hallintataso riippuu toimintayksikön valmiuksista ja käytännöistä.

Eri tavoista ja ratkaisuista syntyy yritykselle se taso, jolla toimitaa ja omaisuutta suoljataan ja se suojaustoimien varasto, joka on käytettävissä.

Kaikkia eri suojaustapoja, -ohjeita, -menettelyjä, -keinoja ja -ratkaisuja nimitetään myös kontrolleiksi, keinovarastoksi, kontrollipooliksi.

Tämä kokonaisuus on tietoturvallisuuden hallintajärjestelmä, jonka tasoa ja riittävyyttä suhteessa toimintaan voidaan arvioida.

Arvioinnissa tehdään helposti virhe siinä, kun jätetään tunnistamatta todelliset tietoriskit, käytössä olevat kontrollit ja toteutuneet toimintaa häirinneet tilanteen ja kun arvioidaan tietoturvallisuuden hallintajärjestelmää toiminnasta irrallisena järjestelmänä – joko teknisinä ratkaisuina tai toimintaohjeina.

Koska tietoriskien hallinta vaatii ihmisten johtamista, sovittujen käytäntöjen ja menettelyjen noudattamista, teknisiä ratkaisuja ja muita suojausjärjestelyjä, on tietoturvallisuuden hallintataso aina erilainen eri toimintayksiköissä.

Johdolle on lupa esittää vain totuudenmukaista tietoa. Vain yhteenveto, joka sisältää analysoinnit kriittisten ja tärkeiden toimintayksiköiden tietoriskeistä, niiden vaikutuksesta ja hallinnan tasosta, kuvaa ammattimaista analysointia ja kyvykkyyttä.

Lähde: Tuija Kyrölä, Esimien ja tietoriskien hallinta, WSOY, 2001

Yrityksen turvallisuuden kehittäminen

Liiketoiminnan turvallisuutta voidaan taata mm.

  • ydintoiminnan varmistamisella
  • tilojen suojaamisella
  • toimintaedellytysten varmistamisella
  • työntekijöiden riskitietoisuuden ja valmiuksien kehittämisellä
  • liikesuhteissa käyttäytymisen ohjeilla
  • varajärjestelyjen ennakkosuunnittelulla

Toiminnan jatkuvuuden turvaaminen edellyttää ydintoiminnan, kuten tuotannon ja tuotekehityksen varmistamista. Eismerkiksi tehtaassa koneiden kunnossapitoa, työvaiheiden ohjaamista, henkilöstön osaamisen ylläpitoa, jne.

Edellä oleva tarkoittaa yleensä elintärkeiden järjestelmien, tietojan ja yhteyksien toiminnan hallintaa ja henkilöstön osaamisen ylläpitoa.

Kiinteistössä, kuten toimistossa, asiakas- ja muissa työtiloissa, tulee sallia liikkuminen ainoastaan ennalta tunnistetuille henkilöille.

Työvälineiden ja muun omaisuuden tulee säilyä ehjänä ja käyttökuntoisena.

Toimintaedellytykset, kuten sähkön- ja vedensaati tulee varmistaa.

Kiinteistöä ja ympäristöä uhkaaviin vaaroihin, kuten tulipaloihin tulee varautua.

Henkilöstön riskitietoisuus ja toimintakyky takaavat yllättävissäkin tilanteissa oikean toiminnan. Siksi on tärkeää, että rekrytoinnissa arvioidaan henkilöiden luotettavuus ja lojaalisuus ja että valmiukisista huolehditaan säännöllisesti kouluttamalla ja tiedottamalla työpaikalla, liikesuhteissa ja vapaa-ajalla noudattettavista käytännöistä ja toimintaohjeista.

On myös tärkeää seurata työkykyä ja huolehtia fyysisestä suojauksesta noudattamalla turvallisuusmääräyksiä.

Matkustamiseen ja ulkomaankomennuksiin liittyvät riskit ja turvalliset käytännöt tulee selvittää henkilöstölle.

Henkilöstön riskitietoisuuden taso ja kehittyminen voidaan koota yrityksen osaamistietokantaan.

Ulkopuoliset, kuten kilpailijat ja liikekumppanit ovat kiinnostuneita yrityksen toiminnan tiedoista ja osaavista ihmisistä. Liikesuhteissa toimittaessa on noudatettava yrityksen johdon määrittelemää suojaustasoa.

On tärkeää sopia yhteisistä käytännöistä, liittää ne sopimuksiin sekä sopia väärinkäyttötapauksille vahingonkorvaus tai sakko.

Varajärjestelyjen suunnittelulla varaudutaan kriittisten ja tärkeiden toimintojen jatkamiseen yllättävissä tilanteissa. Toimenpiteet kuvataan tärkeiden toimintojen toipumissuunnitemissa.

Vastuulliesn koordinoijan on tärkeää luoda luottamuksellinen suhde eri yritysten asiantuntijoihin ja viranomaisiin. Riskien hallintatehtävissä on huolehdittava mys varahenkilöjärjestelyistä esimerkiksi sillä, että vastuullisen tulee dokumentoida toimintansa ja jakaa tietoa ainakin esimiehelleen.

Riskienhallinnan koordinoijan on tärkeää suunnata painopistettä henkilöstön aiheuttamien tahattomien tai tahallisten tilanteiden, jopa rikosten, estämiseen eikä ainoastaan ulkoisten uhkien torjuntaan.

Jokainen julkisuuteen tullut sisäinen rikosepäily mustaa yrityksen mainetta,

Riskien hallinnan ohjaaminen vain ulkoisten uhkien torjuntaan mahdollistaa sisäisten virheiden jatkumisen.

Erityisesti yrityksen omistajien ja sijoittajien tulee kiinnittää huomio riskien hallintatyön painopisteiden analysointiin.

 Lähde: Tuija Kyrölä, Esimies ja tietoriskien hallinta, WSOY 2001

Korvausvastuusta luikertelu

Mitä sanoisit, jos olisit tilannut minulta työtehtävän, jonka turaan pahanpäiväisesti ja aiheutan sinulle mittavan vahingon?

Vaatisit tietenkin korvausta.

Mutta minäpä olenkin teettänyt työni itsenäisellä alihankkijalla, enkä ole vastuussa vahingostasi palaneen puupennin puoilikkaan vertaa. En, vaikka et olisi missään vaiheessa saanut mitään tietoa siitä, että teetän itselleni ottamani työt hanttireiskalla.

Reiska ei tietenkään pysty korvaamaan mitään.

Näin kävi asiakkaalle. Hän tilasi isolta talotekniikkayritykseltä lisäpalikan valvontajärjestelmään, joka valvoo ja säätää lähes kaikkea tuotantorakennuksessa.

Reiska nollasi touhutessaan kaikki asetukset ja tuotantoprosessi meni sekaisin. Siitä aiheutui kymmenien tuhansien vahinko.

Talotekniikkayritys ryhtyi heti luikertelemaan ilmeisestä vastuustaan.

Ensin sille ei muka oltu kerrottu, että perusasetuksia oli muutettu. Vaikka olikin. Olivatpahan vielä aiheuttaneet samanlaisen tapahtuman aikaisemminkin.

Seuraavaksi tarina muuttui niin, että työtä ei ollutkaan tehnyt talotekniikkayrityksen työntekijä vaan itsenäinen alihankkija.

Alihankkija työn tekikin. Yhden miehen firma, jonka ainoa tilaaja on juuri kyseinen talotekniikkayritys.

Jos tässä ei täyty Vahingonkorvauslain 3.1§:n mukainen isännänvastuu, niin missä sitten.

Asiaa on käsitelty vakuutusyhtiössä ja muutoksenhakuelimissä, mutta tuloksetta. Sitä ei voida ratkaista, koska talotekniikkayritys ei toimita minkäänlaisia vastineita selvityspyyntöihin. Siitä ei kerta kaikkiaan saada mitään irti.

Vakuutusyhtiö on tietenkin asiasta pelkästään tyytyväinen, koska sen ei tarvitse antaa rakkaita rahojaan pois.

Vaikka vastuuvakuutus ei korvaakaan sopimukseen perustuvaa vastuuta, sopimussuhteessa myyjä kuitenkin vastaa alihankkijoistaan samalla tavalla kuin omien työntekijöidensä tekemisistä.

Myyjä ei siis voi rajoittaa vastuutaan sillä, että sopimus täytetään alihankkijoiden toimesta eikä myyjän itsensä. Teoriassa.

Käytännössä vetkuttelu näköjään kannattaa.

Jos joudut korvausvaatimuksen kohteeksi, voit rauhassa jättää sen vaille minkäänlaista huomiota. Vakuutuksesi ei korvaa sopimukseen perustuvaa vastuuta ja oikeudenkäyntikulujen pelko todennäköisesti estää korvauksen vaatijaa viemästä asiaa oikeuteen. Muita keinoja ei sitten olekaan.

Joskus riskinotto kannattaisi

Huhtikuun 1. päivänä vuonna 1976 Steve Jobs, Stephen Wozniac ja Ron Wayne istuivat Waynen asunolla Kaliforniassa laatimassa osakassopimusta. Herrat perustivat Apple Conputerin.

Omistusosuudet jaettiin seuraavasti: Jobs 45%, Wozniac 45% ja Wayne 10%

Waynea alkoi kuitenkin pian hirvittää.

Häneltä oli aikaisemmin kaatunut yritys.

Jobsin alkaessa suunnitella lainanottoa ja käyttäessä yhä enemmän rahaa Wayne alkoi muistella oman yrityksensä kaatumista.

Jobsilla ja Wozniakilla ei ollut henkilökohtaista omaisuutta, mutta Waynellä oli säästöjä patjan sisällä.

Apple oli aluksi yritysmuodoltaan avoin yhtiö, joten osakkaat olivat henkilökohtaisesti vastuussa sen veloista. Wayne pelkäsi saavansa mahdolliset velkojat peräänsä.

12.4.76 hän meni Santa Claran piirikunnan rekisteritoimistoon ja ilmoitti vetäytyvänsä yhtiön osakkuudesta.

Hän sai 10% osuudestaan hyvityksenä 2.300 dollaria.

Jos hän olisi jäänyt yhtiöön ja pitänyt 10% osuutensa, olisi sen arvo vuoden 2010 lopussa ollut noin 2,6 miljardia dollaria.

Wayne asui tuohon aikaan yksin pienessä talossa Pahrumpin pikkukaupungissa Nevadassa, eläen sosiaaliturvan varassa.

Arvaa harmittiko?

Kuulemma ei.

Lähde: Isaacson, Steve Jobs, Otava 2011

Tietoriskit

Tietoriskin kohteina yrityksessä ovat esimerkiksi tietojenkäsittelylaitteet ja -yhteydet, ohejmistot ja tiedostot, arkistomateriaali ja asiakirjat ja rekisterit.

Tietoa uhkaavat vaarat ovat suurin piirtein samat kuin omaisuusriskien toteutuminen, mutta toteutumismuodot ovat osittain erilaisia.

Tietojenkäsittely turvallisuus on olennainen osa liiketoiminnan turvallisuutta. Yritystoiminnan riippuvuus tietojenkäsittelystä on suuri ja kasvaa koko ajan.

Mm. hajautettu toiminta, verkostoituminen, rationalisointi, elektroninen kaupankäynti, kansainvälinen rahaliikenne, paperiton toiminta ja asiakasyhteyksien hoito perustuvat atk järjestelmiin ja verkkoihin.

Tietoturvallisuuden perusedellytys on, että tietojen ja ohjelmien varmistukset ovat kunnossa. Korvaavia laitteita on aina saatavissa, mutta ohjelmien ja varsinkin tietojen tuhoutuminen tai joutuminen vääriin käsiin vahingoittaa aina yrityksen toimintaa ja mainetta.

Pahimmillaan se voi aiheuttaa koko liiketoiminnan loppumisen.

Turvatoimet tietojärjestelmien suojaamiseksi varmistavat tietojen häiriöttömän käsittelyn. Investoinnit voidaan laskea liiketoimintaan liittyviin ylläpito- ja kehittämiskustannuksiin.

Turvatoimien lisäksi yrityksen kannattaa varautua tietojenkäsittelyyn kohdistuviin vahinkoihin ja niiden aiheuttamiin taloudellisiin menetyksiin.Turvatoimet ovat harvoin täysin aukottomia.

Voi tapahtua myös vahinkoja, joihin ei osata tai voida varautua.

Omaisuusvakuutukset eivät yleensä korvaa tietokoneessa tai muussa elektroniikkalaitteessa oleville tiedostoille ja ohjelmille aiheutuneita vahinkoja.

Vakuutus ei myöskään korvaa vahinkoa, jonka on aiheuttanut tieto- ja tietoliikennetekniikalle tietoliikenteen häirintä (esim. käytönestohyökkäys), tietomurto (esim. hakkerointi) tai vaaran aiheuttaminen tietojenkäsittelylle (esim. tietokonevirus).

Vastuuvakuutukset korvaavat vakuutuskirjassa mainitussa toiminnassa toiselle aiheutetut henkilö- ja esinevahingot, joista vakuutuksenottaja on voimassaolevan oikeuden mukaan korvausvastuussa.

Ne korvaavat myös henkilätietolain 47 pykälässä tarkoitetun taloudellisen vahingon johonkin tiettyyn pieneen euromäärään saakka. Vakuutuksen korvauspiirillä ei ole vaikutusta lain määräämään vastuuseen aiheutetusta taloudellisesta vahingosta.

47 §
Vahingonkorvausvelvollisuus

Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä.

Vahingonkorvauksesta on muutoin voimassa, mitä vahingonkorvauslain (412/1974) 2 luvun 2 ja 3 §:ssä, 3 luvun 4 ja 6 §:ssä sekä 4, 6 ja 7 luvussa säädetään.

Lähde: Pellikka, et.al., Omaisuuden vakuuttaminen, Suomen Vakuutusalan Koulutus ja Kustannus, 1998

Yrityksen henkilöriskit

Edellä oli puhetta henkilöriskeistä yksilön kannalta. Seuraavassa tarkastellaan henkilöriskejä yrityksen näkökulmasta.

Yrityksen henkilöpiiriin kuuluu:

  • omistajat
  • avainhenkilöt
  • muu henkilökunta

Yrityksen kannalta henkilöriskit voivat olla samoja kuin yksilönkin kannalta:

  • kuolema
  • työkyvyttömyys

Niiden lisäksi yrityksessä voi toteutua muitakin henkilöriskejä:

  • eläkkeelle siirtyminen
  • irtisanoutuminen (erityisesti avainhenkilöt)
  • laadukkaan työvoiman saanti ja sen pysyvyys

Yrityksen omistajan kuolema johtaa pahimmassa tapauksessa koko yritystoiminnan loppumiseen.Näin voi käydä sellaisissa yrityksissä, joissa omistajan työpanoksella on tärkeä merkitys. Useamman omistajan tapauksessa yritys saattaa hajota yhden omistajan kuollessa, ja siten sen toiminta voi loppua.

Muun avainhenkilön, kuin omistajan kuolema voi myös johtaa isoihiin ongelmiin, mutta ei ylensä lopeta yrityksen toimintaa. Kuoleman johdosta voidaan menettää tärkeitä suhteita, kilpailijoiden tuntemusta, jne.

Ns. tavallisen työntekijän kuolema ei yleensä ole yrityksen kannalta merkittävä taloudellinen riski.

Työntekijän tai toimihenkilön työkyvyttömyys on yritykselle merkittävä ja vaikeasti hallittava riski. Työkyvytön henkilö ei kerrytä yritykselle tuloa, mutta yritys on usein kuitenkin velvollinen maksamaan hänelle sairausajan palkkaa pitkältäkin ajalta.

Työkyvyttömyyden pituudesta ei useinkaan ole tarkaa tietoa. Yritys saattaa joutua turvautumaan monimutkaisiin sijaisjärjestelyihin ja kalliiseen ylityön teettämiseen voidakseen jatkaa toimintaansa keskeytyksettä.

Yksinyrittäjän tai pienehkön yhtiön osakkaan työkyvyttömyys voi olla yhtä mittava riski kuin tämän kuolema, jos hänen työpanoksensa on merkittävä.

Kyvykkään henkilöstön hankinta ja pitäminen yrityksen palkkalistoilla lienee monen henkilöstöosaston päivittäinen päänsärky. Epäonnistuminen niissä johtaa liialliseen henkilökunnan vaihtumiseen ja alenevaan tietotaidon määrään.

Työntekijän siirtymistä eläkkeelle ei yrityksissä yleensä pidetä riskinä, sillä eläkkeelle jääminen kuuluu normaaliin elämänkulkuun ja on siten ajallisesti aika hyvin ennustettavissa.

Yrityksen omistajan ja pääosakkaan kannalta tilanne on toinen. Hän ei välttämättä itsekään tarkalleen tiedä milloin siirtyisi eläkkeelle.

Omat voimavarat ja kiinnostus omaa yritystä kohtaan saattavat pitää häntä mukana yrityksen toiminnassa vielä hyvinkin vanhana. Toisaalta yrittämisen rasittavuus saattaa ajaa häntä eläkkeelle ennen aikojaan.

Lähde: Antila, Erwe, Lohi, Salminen, Vapaaehtoinen henkilövakuutus, Finva, 2007