21% suomalaisorganisaatioista on kohdannut taloudellisia väärinkäytöksiä. 35%:lla. Valmistaudu niin voit keskittyä olennaiseen

Transkriptio

1 Global Economic Crime Survey 2016 Valmistaudu niin voit keskittyä olennaiseen Taloudelliset väärinkäytökset mukautuvat toimintaympäristön kehitykseen 21% suomalaisorganisaatioista on kohdannut taloudellisia väärinkäytöksiä Vain 35%:lla suomalaisorganisaatioista on toimintakykyinen suunnitelma tietoturvapoikkeamien hallintaan

2 2 Global Economic Crime Survey 2016

3 Sisältö 5 Johdanto 6 Katsaus taloudellisiin väärinkäytöksiin viimeisten kahden vuoden aikana 10 Ethics & compliance -ohjelmilla väärinkäytökset kuriin 16 Kyberrikollisuuden torjunta vaatii yritysjohdon panosta Global Economic Crime Survey

4 4 Global Economic Crime Survey 2016

5 Johdanto Ake Turunen Johtaja Forensic Services PwC toteutti jo kahdeksatta kertaa maailmanlaajuisen taloudellisia väärinkäytöksiä koskevan selvityksen, Global Economic Crime Survey Selvityksen tavoitteena on lisätä organisaatioiden tietoisuutta taloudellisiin väärinkäytöksiin liittyvistä riskeistä sekä niiden ennaltaehkäisystä. Vuoden 2016 raportissa painotetaan Suomen osalta ethics & compliance -ohjelmien roolin merkitystä väärinkäytösten ehkäisemisessä ja johdon roolin tärkeyttä kyberrikollisuuden torjunnassa. Joka toinen vuosi toteutettavaan selvitykseemme saatiin tänä vuonna yli vastausta ympäri maailman. Pohjoismaista mukana selvityksessä olivat Suomen lisäksi Norja, Ruotsi ja Tanska. Pohjoismaisia vastaajia oli yhteensä 256. Suomesta kyselyyn vastasi 80 henkilöä Suomen suurimmista yrityksistä eri toimialoilta. Kattavimmin edustetut toimialat olivat teollisuus (20 %), teknologia (13 %) sekä vähittäis- ja kulutustavarakauppa (11 %). Kansainvälisiin tuloksiin verrattuna ne olivat yliedustettuina, kun taas finanssialalta vastaajia oli Suomesta vähemmän kuin kansainvälisessä otoksessa. Tässä suomenkielisessä tiivistelmässä kerrotaan tärkeimmistä Suomea koskevista havainnoista ja nostetaan esiin taloudellisiin väärinkäytöksiin liittyviä pohjoismaisia erityispiirteitä. Global Economic Crime Survey

6 Katsaus taloudellisiin väärinkäytöksiin viimeisten kahden vuoden aikana Halusimme selvittää, ovatko yritykset joutuneet taloudellisten väärinkäytösten kohteeksi viimeisen 24 kuukauden aikana. Selvityksemme mukaan noin viidesosa (21 %) suomalaisorganisaatioista on kohdannut taloudellisia väärinkäytöksiä. Tämän vuoden tulokset osoittavat, että väärinkäytösten havaitseminen on pysynyt samalla tasolla kuin vuonna Maailmanlaajuisesti väärinkäytösten uhriksi joutui selvästi useampi organisaatio (36 %). Myös Pohjoismaissa organisaatiot kohtasivat taloudellisia väärinkäytöksiä useammin (27 %) kuin Suomessa. Pohjoismaiden yleisimmät taloudellisten väärinkäytösten muodot ovat pysyneet jotakuinkin samoina: tavallisin taloudellinen väärinkäytös on edelleen varojen tai resurssien väärinkäyttö. Käytännössä kysymys on yleensä petoksesta tai kavalluksesta. Kyberrikollisuuden määrä on kuitenkin kasvanut jyrkästi nostaen tietojärjestelmiin kohdistuvat väärinkäytökset tyypillisimpien talousrikosten listalla toiseksi ohi lahjonnan ja korruption. On hyvä huomata, että myös kyberrikollisuudesta suurin osa on petoksia tai sitä valmistelevia toimia, mutta uudemmassa ympäristössä. Globaali kehitys on noudattanut samaa trendiä. Kuva 1: Pohjoismaissa esiintyvät väärinkäytöstyypit Varojen väärinkäyttö Kyberrikos Lahjonta ja korruptio Hankintatoimen väärinkäytös Taloudellisen informaation vääristely IPR-loukkaus Rahanpesu HR-väärinkäytös Kilpailurikos 9 % 9 % 7 % 7 % 14 % 20 % 19 % 33 % 51% Veropetos 6 % Hankintapetoksella tarkoitetaan toimintaa, jossa yritykselle materiaalia, omaisuutta tai palveluja hankittaessa hankintatoiminnassa mukana oleva tekijä saa henkilökohtaista etua itselle tai toiselle, välttää velvollisuuksia tai vahingoittaa organisaatiotaan. Henkilöstöhallinnon väärinkäytöksellä tarkoitetaan työhönottoon ja palkkahallintoon liittyviä oikeudettomia ja perusteettomia toimia, joilla tavoitellaan etua itselle tai toiselle tai vahingoitetaan organisaatiota. Tällaisia ovat esimerkiksi palkanlaskentaan liittyvät väärinkäytökset, haamutyöntekijät, sukulaisten tai muun lähipiirin suosiminen ja epäpätevien henkilöiden palkkaaminen. Sisäpiiririkos Yritysvakoilu Muu 1 % 1 % 14 % Taloudellisen informaation vääristely sekä lahjonnan ja korruption määrä on hienoisessa laskussa verrattuna vuoden 2014 tilastoihin, mutta hankintapetosten määrä on noussut. Vastaajien raportoima rahanpesu on aiempina vuosina ollut Pohjoismaissa muuta maailmaa yleisempää, mutta tänä vuonna sen suhteellinen osuus taloudellisista väärinkäytöksistä laski 9 %:iin, joka on alle maailmanlaajuisen keskiarvon (11 %). 6 Global Economic Crime Survey 2016

7 Pohjoismaissa yleisimmin esiintyvät väärinkäytökset 51% 33% 20% Varojen väärinkäyttö Kyberrikollisuus Lahjonta ja korruptio Henkilöstöhallintoon liittyvien väärinkäytösten osuudet maailmanlaajuisesti ja Pohjoismaissa ovat nyt lähempänä toisiaan, kun globaali luku laski 12 %: iin ja Pohjoismaissa henkilöstöhallintoon liittyvät väärinkäytökset nousivat 7 %:iin. Kuva 2: Uskotko, että viranomaisilla on riittävät resurssit ja koulutus talousrikosten tutkimiseen ja selvittämiseen? (Suomen vastaajat) Tämän vuoden selvitys osoittaa taloudellisten väärinkäytösten kehittyneen ja löytäneen uusia muotoja viimeisen kahden vuoden aikana. Kasvaneesta uhasta huolimatta yritysjohdon käytössä olevien havainnointimenetelmien avulla huomattujen tekojen määrä on laskenut: yritysten sisäisten kontrollien kautta huomattujen väärinkäytösten määrä on laskenut Pohjoismaissa 14 %-yksikköä. Väärinkäytösten hallintakeinoilla ja säännöllisesti tehdyillä sisäisillä tarkastuksilla saatiin selville vähemmän taloudellisia väärinkäytöksiä kuin vuonna Joka seitsemäs talousrikos havaitaan Pohjoismaissa sattumalta 44% Kyllä 22% En tiedä 34% Ei Yli viidennes väärinkäytöksistä havaittiin hyvään yrityskulttuuriin liittyvien mekanismien ansiosta: joko sisäisen (11 %) tai ulkoisen (5 %) vihjeen avulla tai ilmiantokanavien kautta (5 %). Tehtävää riittää, sillä yli viidennes väärinkäytöksistä tuli kuitenkin ilmi keinoilla, joihin yritys tai sen johto eivät voi vaikuttaa. Tulokset osoittavat, että 14 % taloudellisista väärinkäytöksistä tulee ilmi sattumalta. Selvityksemme osoittaa viranomaisten kärsivän luottamuspulasta. Kysyimme suomalaisvastaajien näkemystä viranomaisten resurssien ja koulutuksen riittävyydestä talousrikosten tutkimiseen ja torjumiseen. Globaalisti 44 % vastaajista oli sitä mieltä, että paikallisten viranomaisten resurssit tutkia ja torjua talousrikollisuutta ovat riittämättömät. Vaikka suomalaisvastaajilla oli enemmän luottamusta viranomaisiin, vastaajista tätä mieltä oli noin kolmannes (34 %). Huomioitavaa on, että globaalisti vajaa kolmannes ja Suomessa reilu viidennes vastaajista ei kuitenkaan joko halunnut tai ei katsonut osaavansa vastata kysymykseen. Tutkimuksen valossa näyttää siltä, että taloudellisilta väärinkäytöksiltä suojautuminen, niiden ennaltaehkäisy ja talousrikoksiin reagoiminen ovat selkeästi yritysten omalla vastuulla. Global Economic Crime Survey

8 Taloudelliset menetykset kasvussa Väärinkäytöksistä aiheutuneet kustannukset pohjoismaisille yrityksille ovat nousseet vuodesta 2014 hiukan: tänä vuonna useampi yritys menetti suuremman määrän rahaa väärinkäytösten takia. Pohjoismaissa useammalle kuin yhdelle kymmenestä väärinkäytöksiä kohdanneesta organisaatiosta taloudellinen vahinko oli ollut yli miljoona dollaria, mutta monille huomattavasti enemmän. Kuva 3: Väärinkäytösten kustannukset Pohjoismaissa. Kysytty vastaajilta, jotka olivat kohdanneet väärinkäytöksiä. 5 miljoonaa < 100 miljoonaa USD 1 miljoona < 5 miljoonaa USD 100,000 < 1 miljoonaa USD 50,000 < 100,000 USD 7% 11% 26% 4% Taloudellinen vahinko ei ollut ainoa vastaajien raportoima menetys väärinkäytösten johdosta viimeisen 24 kuukauden aikana. Taloudellisten väärinkäytösten kokonaiskustannuksia on vaikea arvioida, sillä välittömät taloudelliset menetykset ovat vain osa aiheutunutta vahinkoa. Kustannuksia voivat aiheuttaa muun muassa toiminnankeskeytykset, selvitys- ja oikeudenkäyntikulut sekä viranomaisseuraamukset. Pohjoismaiset vastaajat kertoivat suurimpien liiketoiminnallisten menetysten tulleen työntekijöiden moraalille aiheutuneista vahingoista 46 % mainitsi vaikutuksen olleen joko melko suuri tai suuri. Maineelle aiheutuneet haitat koettiin merkittäviksi 27 %:ssa vastauksista. Molemmissa tapauksissa se, miten yritykseen suhtaudutaan niin henkilöstön kuin ulkopuolisten sidosryhmien taholta oli suurin huolen aihe. Tämä korostaa arvojen tärkeää asemaa menestyksekkäässä yritysstrategiassa. Tyypillinen tekijä Pohjoismaissa ero sisäisten ja ulkopuolisten tahojen tekemien väärinkäytösten määrässä on tasaisesti pienentynyt vuodesta Sisäinen toimija Ulkoinen toimija Vähemmän kuin 50,000 USD 44% En tiedä 7% 61% % % % % lasku 7% lisäys Tyypillinen tekijä Mies Korkeakoulututkinto vuotias 3-5 vuotta yrityksen palveluksessa 8 Global Economic Crime Survey 2016

9 Tyypillisimmin tekijä on keski-ikäinen korkeasti koulutettu mies, jolla on muutaman vuoden mittainen työura yrityksessä. Melkein kolmannes (29 %) viimeisen 24 kuukauden sisällä havaituista organisaation henkilöstöön kuuluvista talousrikollisista oli keskijohtoa. Alempaan johtoon kuuluvat henkilöt aiheuttivat suurimman osan (43 %) sisäisistä väärinkäytöksistä. Tämä viittaa sisäisten kontrollien heikkouteen. Ylimmän johdon suorittamien väärinkäytösten osuus nousi 14 %:iin. Näitä talousrikoksia on paljon vaikeampi havaita ja niillä on tyypillisesti suuremmat vaikutukset. Kuva 4: Kuinka todennäköistä tai epätodennäköistä on, että organisaatiosi kohtaa seuraavia taloudellisia väärinkäytöksiä tulevien 24 kuukauden aikana? (Suomen vastaajat) Kyberrikos Varojen väärinkäyttö IPR-loukkaus 16% 14% 29% 51% 69% 71% 20% 15% 15% Lähes 80 % vastaajista arvioi, että tilaisuus tekee varkaan Lahjonta ja korruptio Hankintatoimen väärinkäytös 11% 9% 85% 78% 4% 14% Kun vastaajilta kysyttiin, mitkä tekijät heidän mielestään ovat merkittävimmin vaikuttaneet sisäisiin taloudellisiin väärinkäytöksiin, suurin osa (77 %) pohjoismaisista vastaajista sanoi syyn löytyvän tilaisuudesta tai kyvystä tehdä rikos. Vain noin yksi kymmenestä vastaajasta mainitsi sisäisten taloudellisten väärinkäytösten pääsyyksi houkutuksen tai paineet onnistua työssä hyvin. Yritykset voivat luonnollisesti itse vaikuttaa väärinkäytöstilaisuuksien määrään kehittämällä yrityksen sisäistä valvontaa ja kontrolleja. Riittävät kontrollit ja hyvä yrityskulttuuri on paras yhdistelmä vähentämään väärinkäytöksiä pitkällä aikavälillä. Selvityksemme osoittaa, että teknologian kehittyessä sen rooli taloudellisten väärinkäytösten toteuttamisessa on kasvanut. Samalla teot ovat tulleet yhä monimutkaisemmiksi. Suomalaisvastaajien mukaan todennäköisimmän uhan organisaatiolle seuraavan kahden vuoden kuluessa muodostavat tietojärjestelmiin kohdistuvat väärinkäytökset. Odotukset kyberrikollisuuden esiintymisestä ovat samalla tasolla Suomessa kuin vuoden 2014 kyselyssä. Muiden taloudellisten väärinkäytösten todennäköisyyttä arvioitaessa suomalaisvastaajien odotukset ovat tasoittuneet sitten vuoden 2014 ja noudattavat näin globaalia trendiä. Muun muassa käsitys varojen väärinkäytön, lahjonnan ja korruption, hankintapetosten, IPR-loukkausten ja rahanpesun esiintymisestä seuraavien kahden vuoden aikana vähenivät. Yritysvakoilu HR-väärinkäytös Veropetos Taloudellisen informaation vääristely Sisäpiiririkos Kilpailurikos Rahanpesu 9% 6% 5% 4% 4% 4% 0% 79% 79% 90% 87% 88% 86% 91% 13% 15% 5% 9% 9% 10% 9% Todennäköistä Epätodennäköistä En osaa sanoa Lähes kolmannes suomalaisvastaajista sanoo pitävänsä kyberrikollisuuden mahdollisuutta todennäköisenä uhkana omalle organisaatiolleen. Seuraavaksi todennäköisempinä uhkina mainittiin varojen väärinkäyttö ja IPR-loukkaukset. Noin joka kymmenes vastaaja ennakoi kohtaavansa lahjontaa ja korruptiota (11 %) sekä hankintatoimen väärinkäytöksiä (9 %) seuraavan kahden vuoden sisällä. Global Economic Crime Survey

10 Ethics & compliance -ohjelmilla väärinkäytökset kuriin Vastuulliset ihmiset haluavat työskennellä yrityksissä, joissa eettiset periaatteet viedään sanoista tekoihin ja joissa ne näkyvät päivittäisessä toiminnassa. 1 kahdeksasta suomalaisvastaajista ei ole tietoinen virallisesta ethics & compliance -ohjelmasta yrityksessään...ja 14% suomalaisista yrityksistä ei ole arvioinut väärinkäytösriskejään kuluneen 24 kuukauden aikana.?? 80% suomalaisyrityksistä luottaa sisäisen tarkastuksen varmistavan ethics & compliance -ohjelmien tehokkaan toiminnan. Onko tämä tehokkain tapa? Yli puolet vakavista taloudellisista väärinkäytöksistä Pohjoismaissa oli henkilöstön tekemiä. SALES STRATEGY 10 Global Economic Crime Survey 2016

11 Ethics & compliance HR 8 % suomalaisyrityksistä oli pyydetty maksamaan lahjus...mutta Suomessa asennoidutaan voimakkaasti lahjontaa ja korruptiota vastaan; 98% vastaajista uskoi yrityksen johdon mielummin luopuvan liiketoimesta kuin osallistuvan lahjontaan..? BRIBERY SUCCESS Vastaako yrityksesi strategia organisaatiosi arvoja? Global Economic Crime Survey

12 Ethics & compliance -ohjelmilla väärinkäytökset kuriin Taloudellisen väärinkäytöksen taustalla on aina inhimillisen toiminnan ohjaama päätös. On siis perusteltua aloittaa väärinkäytösten ehkäiseminen ihmisistä. Tämä merkitsee selkeiden prosessien ja toimintaperiaatteiden luomista henkilökunnalle ja arvoihin kytketyn vastuullisen kulttuurin luomista. Lähes kaikki Suomen vastaajat olivat samaa mieltä siitä, että heidän organisaatioissaan on selkeästi viestityt ja hyvin ymmärretyt arvot (93 %). Suurin osa vastaajista (86 %) kertoi yrityksessään olevan käytössä myös eettiset periaatteet (Code of Conduct), mutta vain 65 % vastaajista oli sitä mieltä, että koulutusta ja sitä tukevaa viestintää ja neuvoja tarjottiin säännöllisesti. Vastaajista 11 % sanoi, ettei yrityksessä ollut luottamuksellisia kanavia, joiden kautta talousrikosepäilyistä voisi kertoa. Eettisten ohjeiden laatiminen on hyvä lähtökohta, mutta jos työntekijät eivät tiedä miten ne toimivat päivittäisen päätöksenteon ja työn tukena, ohjeet eivät juurikaan vähennä väärinkäytösriskien syntymistä. Eettiset ohjeet ja niihin tukeutuvat muut ohjeet ja käytännöt tulee juurruttaa osaksi yrityksen toimintaa koulutuksen, säännöllisen viestinnän, palkitsemisen ja hyvien päätösten arvostamisen kautta. Käytössä tulee olla myös selkeästi viestitty seuraamusjärjestelmä ohjeiden vastaisesta menettelystä. Riskipohjainen lähestymistapa compliance-asioihin on välttämättömyys. Se sisältää kokonaisvaltaisen näkemyksen yritystä mahdollisesti uhkaavista taloudellisten väärinkäytösten riskeistä sekä ymmärryksen organisaation heikkouksista ja puutteista. Vuoteen 2014 verrattuna yhä useampi yritys suorittaa väärinkäytösriskien arvioinnin ainakin kerran. Silti suomalaisvastaajista 14 % (globaalisti 22 %) edusti yrityksiä, joissa ei oltu arvioitu kertaakaan väärinkäytösriskien mahdollisuutta kuluneen 24 kuukauden aikana. Neljännes vastaajista kertoi, että tällainen riskiarvio on tehty kerran ja kolmannes vastaajista sanoi väärinkäytösriskejä arvioitavan vuosittain. Viisi askelta tehokkaampaan compliance-ohjelmaan Varmista, että ohjelmasi on linjassa yrityksen strategian kanssa ja viesti tästä yhteydestä. Arvioi ja tarvittaessa uudista compliancetoimintojasi sellaisiksi, että ne toimivat ympäristössä, jossa riskit ja uhat muuttuvat kaiken aikaa. Varmista että kaikki ne tahot, joiden toimenkuvaan vaatimustenmukaisuusasiat kuuluvat, ymmärtävät compliance-kokonaisuuden koko organisaation näkökulmasta ja osaavat hahmottaa oman vastuunsa sen sisällä. Muista, että toimintamallit ja arvokoulutus eivät yksin riitä: uskottava, säännönmukainen sitouttaminen koko organisaatiossa on ehdottoman tärkeää. Älä leikkaa näihin liittyviä kuluja silloin, kun riskit ovat kasvussa. 12 Global Economic Crime Survey 2016

13 Ethics & compliance Kuva 5: Kuinka monta kertaa organisaatiosi on arvioinut väärinkäytösriskejään viimeisten 24 kuukauden aikana? (Suomen vastaajat) Ei lainkaan Kerran 14% 25% Tehtävien ja vastuualueiden määrittely Lähes yhdeksällä kymmenestä vastaajaorganisaatiosta on ethics & compliance -toimintaan liittyvä ohjelma. Noin joka kahdeksas suomalaisvastaaja (13 %) kertoi, ettei ollut tietoinen virallisesta ethics & compliance -ohjelmasta yrityksessään. Kuva 6: Onko yritykselläsi virallinen ethics & compliance -ohjelma? (Suomen vastaajat) Vuosittain 34% 87% Kyllä Kvartaaleittain 6% En tiedä 21% 12% Ei 1% En tiedä Global Economic Crime Survey

14 Noin kolmannes vastaajista, joilla oli compliance -ohjelma yrityksessään, kertoi lakiasiainjohtajan olevan vastuussa ohjelmasta. Kuva 7: Kuka organisaatiossasi vastaa ethics & compliance -ohjelmista? (Suomen vastaajat) Lakiasiainjohtaja 30% Chief Compliance Officer 25% Talousjohtaja 18% Henkilöstöjohtaja 9% Kuva 8: Onko organisaatiotasi pyydetty maksamaan lahjus viimeisten 24 kuukauden aikana? Muu 18% Kaukonäköiset organisaatiot haluavat esiintyä yrityksinä, joissa compliance-asiat otetaan vakavasti; yritysetiikkaan ja vaatimustenmukaisuuteen liittyvät vastuut ovat osa kaikkien päivittäistä työskentelyä eivätkä vain johdon asia. Kyllä Suomi 8% Globaali 13% Poliittiset päättäjät, tiukentuva regulaatio ja sitä kautta viranomaiset ovat yhä enenevässä määrin osoittaneet halukkuuteensa saada yritykset vastuuseen myös kaukana yrityksen kotipaikasta tapahtuvasta epäeettisestä toiminnasta. Johdon on mietittävä, miten se varmistaa, että kaikki yrityksen työntekijät toimivat aina moitteettomasti. Selvityksemme perusteella Suomessa asennoidutaan erityisen voimakkaasti lahjontaa ja korruptiota vastaan: lähes kaikki vastaajat (96 %) olivat sitä mieltä, että ylin johto oli tehnyt selväksi, ettei lahjonta ole sallittua, ja 98 % uskoi yrityksen johdon mieluummin luopuvan liiketoimesta kuin osallistuvan lahjontaan. Selvityksen mukaan 8 % suomalaisyrityksistä ja 13 % globaaleista vastaajayrityksistä oli pyydetty maksamaan lahjus. Lisäksi 10 % suomalaisvastaajista ja 15 % globaalisti uskoi yrityksensä menettäneen mahdollisuuden kilpailijalle, joka oli maksanut lahjuksen. Yksi viidesosa suomalaisvastaajista ei tiennyt, oliko lahjusten maksamista pyydetty ja kolmannes ei osannut sanoa, olisiko mahdollisuus menetetty kilpailijalle lahjuksen takia. Ethics & compliance -ohjelmien arviointi 80 % niistä suomalaisvastaajista, joiden yrityksissä oli ethics & compliance -ohjelma kertoi, että sisäisellä tarkastuksella oli merkittävä rooli compliance-ohjelmien tehokkuuden arvioinnissa. Kokemus on kuitenkin osoittanut, että vaikka sisäinen tarkastus on tärkeä osa viitekehystä, jolla complianceohjelmien tehokkuutta arvioidaan, ainoastaan se ei riitä varmistamaan vaikuttavaa toimintaa. Sisäinen tarkastus on luonteeltaan sekä ajoittaista että historiaa tarkastelevaa. Siksi sen tuoma kontrolli tulisi yhdistää johdon raportoinnin ja reaaliaikaisen seurannan kanssa, jotta epäkohdat ja kehittämistarpeet havaitaan ja niihin voidaan puuttua ajoissa. 14 Global Economic Crime Survey 2016

15 Ethics & compliance Kuva 9: Kuinka organisaatiosi varmistaa ethics & compliance -ohjelman tehokkuuden? (Suomen vastaajat) Sisäinen tarkastus 80 % Johdon raportointi 58 % Tilintarkastus 42 % Whistleblowing -raportoinnin seuraaminen 35 % Muu ulkoinen seuranta 2 % Kolme viidestä suomalaisyrityksestä mainitsi johdon raportoinnin olevan yksi keskeisistä työkaluista, joilla compliance-ohjelmien toiminnan tehokkuus varmistetaan. Myös tilintarkastusta (42 %) ja ilmiantokanavien raporttien tarkkailua (35 %) käytettiin compliance-ohjelmien tehokkuuden varmistamiseksi organisaatioissa. Kun organisaatio on tehnyt kaikkensa estääkseen taloudelliset väärinkäytökset ja siitä huolimatta se havaitsee mahdollisen väärinkäytöksen, suomalaisyritys (68 % vastaajista) todennäköisimmin hyödyntää sisäisiä resursseja ja tutkii asiaa sisäisesti. Selvityksemme mukaan lähes puolet (47 %) yrityksistä keskustelee yrityksen tilintarkastajan kanssa ja 48 % ottaa yhteyttä ulkopuoliseen lakiasiantuntijaan. Lähes kolmannes (29 %) yrityksistä hyödyntää forensic-asiantuntijan apua väärinkäytöstapauksessa. Muu sisäinen seuranta 0 % Muu 6 % Kuva 10: Kuinka organisaatiosi aikoo vastata taloudellisten väärinkäytösten uhkaan compliance-ohjelman ja resurssien käytön osalta? Lisää panostusta 8% 13% Talousrikosten uhka ei ole katoamassa. Viimeisen kahden vuoden aikana kolmannes (32 %) suomalaisyrityksistä on kehittänyt valmiuksiaan compliance-ohjelmien avulla, ja myös lisäämällä resursseja ohjeiden vastaisen toiminnan ja väärinkäytösten torjuntaan. 39 % suomalaisyrityksistä aikoo tehdä näin myös tulevan kahden vuoden aikana. Loput vastaajista ilmoitti, että uhkiin varautuminen aiotaan pitää nykyisellä tasolla. Yksikään suomalaisvastaaja ei kertonut yrityksensä aikovan vähentää compliance-toimintaan käytettäviä resursseja, kun globaalisti vastaajista näin ilmoitti tekevänsä 6 %. Lisää panostusta jonkin verran Pitää varautumisen nykyisellä tasolla Vähentää panostusta 0% 6% 31% 31% 51% 61% Suomi Globaali Global Economic Crime Survey

16 Kyberrikollisuuden torjunta vaatii yritysjohdon panosta Kyberrikollisuus on noussut toisiksi yleisimmäksi raportoiduista talousrikoksista % Pohjoismaisista organisaatioista on kohdannut kyberrikollisuutta...ja 32% ennakoi joutuvansa kyberrikollisuuden kohteeksi seuraavan vuoden aikana. 71% suomalaisjohtajista on huolissaan kyberrikollisuudesta * mutta 40 % vastaajista kertoo, etteivät hallituksen jäsenet osallistu kyberuhkiin valmistautumiseen. *19 th Annual Global CEO Survey 16 Global Economic Crime Survey 2016

17 Kyberrikollisuus Vain 35%:lla suomalaisorganisaatioista on toimintakykyinen suunnitelma tietoturvapoikkeamien hallintaan (incident response plan). Suurin osa yrityksistä ei ole valmistautunut riittävästi tai ei ymmärrä uhkaavia riskejä.??? IT?? HR Miten tietoturvapoikkeamien käsittelysuunnitelmasi toimii tositilanteessa? Global Economic Crime Survey

18 Kyberrikollisuuden torjunta vaatii yritysjohdon panosta Digitalisaatio mullistaa ja haastaa edelleen yritysmaailmaa altistaen organisaatioita uusille uhille mutta myös avaten uudenlaisia mahdollisuuksia. Näin ollen ei ole yllättävää, että kyberrikollisuus on edelleen merkittävä uhka organisaatioille. Yksi viidestä (21 %) suomalaisvastaajasta kertoi joutuneensa kyberhyökkäyksen kohteeksi viimeisen kahden vuoden aikana. Huolestuttavaa on se, että 16 % suomalaisvastaajista ei tiennyt, oliko heidän yrityksensä kohdannut kyberrikollisuutta vai ei. Kuten vuonna 2014, merkittävimmän yrityksiä uhkaavan kyberrikollisuuden nähtiin tulevan yrityksen ulkopuolelta. Näin arvioi 65 % suomalaisvastaajista. Vain 5 % kyberuhista arvioitiin olevan sisäisiä ja 20 % tulevan sekä sisältä että organisaation ulkopuolelta. Verrattuna taloudellisiin väärinkäytöksiin yleensä, joiden tekijöistä valtaosa tulee organisaation sisältä, kyberrikollisuus nähdään yrityksen ulkopuolelta tulevana uhkana. Kyberhyökkäyksen kohdistuessa yritykseen menetykset voivat olla merkittäviä. Kymmenesosa pohjoismaisista vastaajista raportoi kyberrikollisuuteen liittyvistä vahingoista, jotka ulottuivat sadastatuhannesta miljoonaan dollariin. Globaalisti menetykset olivat vieläkin suurempia. Tutkimus toi ilmi tapauksia, joissa vahingot ylittivät 100 miljoonaa dollaria ja vain neljännes globaaleista vastaajista kertoi, ettei yritys ollut kärsinyt minkäänlaista välitöntä taloudellista vahinkoa kyberhyökkäysten takia. Pohjoismaissa yritykset selvisivät keskimääräistä paremmin kyberhyökkäyksistä: 35 % vastaajista kertoi, ettei hyökkäyksistä ollut aiheutunut heidän organisaatiolleen välittömiä taloudellisia menetyksiä. Kuva 11: Kuinka suuriksi arvioit kyberrikollisuuden aiheuttamat taloudelliset tappiot organisaatiollesi viimeisten 24 kuukauden aikana? Kysytty vastaajilta, jotka olivat kohdanneet kyberrikollisuutta. (Pohjoismaiden vastaajat) Ei yhtään 1 miljoona < 5 miljoonaa USD 100,000 < 1 miljoona USD 50,000 < 100,000 USD Vähemmän kuin 50,000 USD En tiedä 7% 34% 12% 1% 35% 10% 18 Global Economic Crime Survey 2016

19 Kyberrikollisuus Uhkien lähteet: Keitä ovat tämän päivän kyberhyökkääjät? Ne voidaan jakaa 5 kategoriaan, joilla on kaikilla oma agendansa ja toimintakeinonsa: Lähes kolmannes (31 %) suomalaisvastaajista uskoi, ettei viranomaisilla ole riittäviä resursseja tai taitoja kyberrikollisuuden, hakkerointitapauksien tai haittaohjelmiin liittyvien väärinkäytösten tutkimiseen. 31 % prosenttia vastaajista totesi, ettei osaa arvioida viranomaisten resurssien riittävyyttä. Maailmanlaajuisesti 45 % vastaajista ei luottanut paikallisiin lainvalvojiin. Valtiot valtiotasoiset toimijat käyttävät vakoilun ja kybersodankäynnin keinoja valtiollisten ja valtionsa yritysten etujen saavuttamiseksi; ensisijaisia kohteita ovat valtionhallinnon organisaatiot, infrastruktuuri, energia-ala sekä merkittäviä immateriaalioikeuksia omistavat organisaatiot. Sisäpiiri työntekijät ja luotetut kolmannet osapuolet, kuten palveluntarjoajat, jotka pääsevät käsiksi arkaluontoiseen dataan ja joita yritys ei pysty suoraan kontrolloimaan. Terroristit edelleen verrattain uusi uhka. Tavoitteina tuhon ja haitan aiheuttaminen kybersodankäynnin keinoin; kohteina ensisijaisesti valtion organisaatiot, niitä tukevat yritykset ja erityisesti energia-ala. Lähes kolmannes suomalaisvastaajista uskoo, ettei lainvalvojilla ole riittävää kykyä toimia kyberrikollisuutta vastaan Pohjoismaisten vastaajien mukaan yrityksen operatiivisen toiminnan jatkuvuutta uhkaavat toimintakatkokset olivat kyberhyökkäysten vahingollisimpia seurauksia. Seuraavina vastaajat listasivat hyökkäysten selvityskulut sekä immateriaalioikeuksiin kohdistuvat rikkomukset mukaan lukien tietomurrot. Globaalisti mainevahingot olivat kolmen merkittävimmän seurauksen joukossa yhdessä selvityskulujen ja toimintakatkosten kanssa. Järjestäytynyt rikollisuus tavoitteena rahallisen hyödyn saavuttaminen, esimerkiksi henkilötietojen ja muiden vastaavien tietojen varastaminen (joskus sisäpiiriläisten avulla); useimmiten kohteiksi joutuvat rahoituslaitokset, kaupat, terveydenhoitoala sekä hotelli- ja ravintola-ala. Haktivistit Ideologisesti tai poliittisesti motivoituneita yksilöitä ja ryhmiä, joiden tavoitteena on useimmiten kohteen maineen tuhoaminen/vahingoittaminen; kohteina suuryrityksiä, hallituksia ja myös yksityishenkilöitä Global Economic Crime Survey

20 Kyberrikollisuuden ennaltaehkäisy ja havaitseminen Yli puolet kyselyn suomalaisvastaajista (59 %) kokee kyberuhkien lisääntyneen. Näyttää kuitenkin siltä, etteivät yritykset ole riittävissä määrin varautuneet vastaamaan olemassa oleviin kyberuhkiin. Vain 35 %:ssa yrityksistä on käytössä oleva valmiussuunnitelma poikkeustilanteita varten. Kolme kymmenestä vastaajasta kertoi, ettei valmiussuunnitelmaa ole lainkaan ja näistä vastaajista 20 % oli sitä mieltä, ettei suunnitelmaa tarvita. Puutteellisen valmiuden lisäksi vallalla on epätietoisuus siitä, kenen tulisi ottaa johto käsiinsä: 40 % vastaajista sanoi, etteivät heidän organisaatioidensa hallitusten jäsenet ole pyytäneet tai pohtineet tarvitsevatko he tietoa kyberuhkiin valmistautumisesta. Luku on huomattavasti korkeampi kuin globaali vastaava (29 %). Tämän vuoden selvitys osoittaa, että kyberuhan sattuessa kohdalle liian moni organisaatio jättää ensimmäiset toimenpiteet täysin IT-henkilökunnan vastuulle ilman tarpeellista ylimmän johdon ja muiden avainhenkilöiden tukea. Kuva 12: Onko organisaatiollasi suunnitelma tietoturvapoikkeamien hallintaan? (Suomen vastaajat) Kuva 13: Kuinka usein hallitukset pyytävät tietoa organisaatioidensa kyvykkyydestä selviytyä kyberhyökkäyksistä? (Suomen vastaajat) 6% Ei ole emmekä aio ottaa käyttöön 19% En tiedä 35% Kyllä, suunnitelma on käytössä 3% Kuukausittain 6% Kvartaaleittain 25% Vuosittain 23% Ei, arvioimme mahdollisuuksia 18% On, mutta ei vielä otettu käyttöön 40% Hallituksen jäsenet eivät pyydä tätä tietoa 23% En tiedä 4% Muu 20 Global Economic Crime Survey 2016

21 Kyberrikollisuus Vain neljässä kymmenestä suomalaisyrityksestä on henkilökuntaa, joka on riittävästi koulutettu toimimaan nopeasti ja ensimmäisinä poikkeustilanteessa ylivoimainen enemmistö (75 %) tästä valmiusryhmästä on IT-henkilöstöä. Vaikka IT on keskeisessä roolissa uhkien havaitsemisessa ja mahdollisen hyökkäyksen pysäyttämisessä on huomionarvoista, että vain alle puolella (45 %) vastaajayrityksistä ensimmäisenä reagoimaan koulutettuihin ihmisiin kuului ylempää johtoa. 11 %:ssa yrityksistä mukana oli henkilöstöä lakiosastolta ja 11 %:ssa yrityksistä HR:stä. Vain 4 % vastaajista kertoi yrityksen valmiustiimiin kuuluvan digitaaliseen forensiikkaan erikoistuneita asiantuntijoita. On erittäin tärkeää, että yritysten hallitukset ottaisivat kyberrikollisuuden mukaan säännöllisesti suoritettaviin riskiarviointeihin, viestisivät suunnitelmasta kaikille organisaatiotasoille ja keskustelisivat erityisesti IT-osaston kanssa siitä, missä vaiheessa hallitukselle kerrotaan hälyttävästä tilanteesta. Kuva 14: Valmiusryhmät kyberhyökkäysten varalle suomalaisissa yrityksissä henkilöstö koulutettu toimimaan tarpeen vaatiessa 40% 1% henkilöstön koulutusta ei vielä aloitettu 13% Onko organisaatiosi määritellyt valmiusryhmän? 5% ulkoistettu 19% 3% Kyberuhkia on ymmärrettävä ja niitä varten on varauduttava samalla tavalla kuin kaikkiin muihin yritystoimintaa uhkaaviin riskeihin: etukäteissuunnittelulla, selkeällä roolijaolla ja vastuualueiden määrittelyllä, seurannalla sekä harjoituksilla. Tästä syystä johtavat yritykset sisällyttävät kriisinhallintaharjoitukset keskeiseksi osaksi kyberturvallisuusstrategiaa. sopivan henkilöstön tunnistaminen käynnissä ulkopuolisen kumppanin etsintä käynnissä valmiusryhmälle ei tarvetta Tietoturva Yrityksen tunteva IT-henkilöstö Ylempi johto 75% 48% 45% Valmiusryhmien kokoonpano 11% 11% 4% Lainopillinen neuvonantaja Henkilöstöhallinto Tekninen tutkija Global Economic Crime Survey

22 Kyberuhat ja niiden torjuminen ovat koko organisaation vastuulla Johto: Selkeän kyberstrategian luominen Laadukkaan tiedon saamisen ja omaksumisen varmistaminen Henkilöstön tietoturvatietoisuuden parantaminen/kehittäminen Strategian tukeminen budjetoinnin kautta Lakiosasto: Kehittyvän kyberrikollisuutta, tietoturvaa ja tietosuojaa koskevan lainsäädännön seuranta Kyberrikoksia koskevien viranomaistutkintojen, oikeudenkäyntien ja tuomioiden seuraaminen Kybervakuutussopimusten kattavuuden seuranta Riskienhallinta ja sisäinen tarkastus: Perinpohjainen teknologiariskien ymmärtäminen ja niiltä suojautumisen varmistaminen Due diligence -selvitysten tekeminen kolmansiin osapuoliin liittyvien riskien vähentämiseksi Toiminnallisiin (rahoituksen ulkopuolisiin) järjestelmiin liittyvien riskien huomioiminen Keskeisten IT:n tarkastuskysymysten huomioiminen IT: Poikkeus- ja kriisitoimintavalmiuden kehittäminen ja toteuttaminen Tilannetietoisuus omasta ympäristöstä ja liiketoiminnan muutoksien aiheuttamasta paineesta IT:n muutoksille Tietoturvaprosessien tehokkuuden seuranta Uusien kyberstrategioiden käyttöönotto: kyberhyökkäyssimulaatiot, turvallisuuskoulutuksien pelillistäminen (gamification), data-analytiikan sekä big datan mahdollisuuksien hyödyntäminen kyberturvallisuudessa 22 Global Economic Crime Survey 2016

23 Forensic-palvelumme Autamme sinua estämään, selvittämään ja korjaamaan väärinkäytöksistä tai epäeettisestä toiminnasta johtuvia tilanteita, jotka voivat aiheuttaa mittavia vahinkoja niin yrityksesi maineelle kuin taloudelle. Tarjoamme monimuotoisia arviointi-, kehitys-, tarkastus- ja analyysipalveluja, joiden takeena ovat asiantuntemuksemme ja kokemuksemme kansallisessa ja kansainvälisessä regulaatiossa sekä uusimmissa menetelmissä ja teknologioissa. Palveluihimme kuuluvat väärinkäytösselvitykset ja erityistarkastukset tekniset forensiikkapalvelut ja kyberturvallisuus yritysten tausta- ja maineanalyysit yrityseettiset palvelut kuten whistleblowingilmoitusjärjestelmät ja korruption vastaiset ohjelmat tietoturvakoulutukset. Tarjoamme neuvontaa ja apua vaativissa liiketoiminnan poikkeustilanteissa. Tutkimme taloudellisia väärinkäytöksiä, avustamme riitoihin ja väärinkäytöksiin liittyvän todistusaineiston turvaamisessa, esiin hakemisessa ja analysoinnissa sekä vaativien tietoturvaloukkausten paljastamisessa ja selvittämisessä. Yhteyshenkilöt Ake Turunen Johtaja Forensic Services Elisa Koponen Asiantuntija Forensic Services Mikko Toivonen Kyberasiantuntija Forensic Services Karo Vallittu Kyberasiantuntija Forensic Services

24 Tämä julkaisu on tarkoitettu yleisohjeistukseksi lukijoita kiinnostavista aiheista, eikä sitä voida pitää asiantuntijaneuvontaa vastaavana kannanottona. Lukijan ei pidä toimia tähän julkaisuun sisältyvän tiedon perusteella hankkimatta yksityiskohtaisempaa asiantuntijaneuvontaa. Emme takaa tähän julkaisuun sisältyvien tietojen oikeellisuutta tai täydellisyyttä, eikä PricewaterhouseCoopers ota vastuuta niistä seurauksista, joita saattaa aiheutua lukijalle tai jollekin muulle taholle, mikäli he toimivat, ovat toimimatta tai tekevät päätöksiä tähän julkaisuun sisältyvän tiedon perusteella. PwC auttaa yrityksiä kasvamaan, toimimaan tehokkaasti ja raportoimaan luotettavasti. Apunasi on Suomessa yli 830 asiantuntijaa ympäri maan. Palveluitamme ovat liikkeenjohdon konsultointi, yritysjärjestelypalvelut, veroneuvonta ja lakipalvelut sekä tilintarkastus- ja muut varmennuspalvelut. Tavoitteenamme on luoda kestävää kasvua. Ota yhteyttä tai lue lisää: PwC toimii 157 maassa yli asiantuntijan voimin. Nimi PwC viittaa PwC-ketjuun ja/tai yhteen tai useampaan sen jäsenyritykseen, joista jokainen on oma itsenäinen yhtiö. Lisää tietoa: PricewaterhouseCoopers. Kaikki oikeudet pidätetään.