CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 1 CS20A0450 YRITYSTURVALLISUUS syksy 2012
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 2 SISÄLLYSLUETTELO JOHDANTO 5 1. YRITYKSEN UHAT JA NIIDEN TORJUNTA 6 1.1 Yrityksen perustehtävät 6 1.2 Yritysten sidosryhmät 7 1.3 Yrityksen uhat 9 1.4 Yritysturvallisuuden osa-alueet 12 1.4.1 Kiinteistö- ja toimitilaturvallisuus 13 1.4.2 Henkilöturvallisuus 13 1.4.3 Tietoturvallisuus 13 1.4.4 Poikkeusoloihin varautuminen 13 1.4.5 Paloturvallisuus ja pelastustoiminta 14 1.4.6 Ympäristönsuojelu 14 1.4.7 Ulkomaan toimintojen turvallisuus 14 1.4.8 Matkustusturvallisuus 14 1.4.9 Rikosturvallisuus 14 1.4.10 Työsuojelu 14 1.4.11 Tuotannon ja muun toiminnan yritysturvallisuus 15 2. RISKIENHALLINTA 15 2.1 Riski 16 2.2 Riskienhallinta ja yritysturvallisuus 16 2.2.1 Riskienhallinnan määritelmä 16 2.2.2 Liiketaloudelliset riskit ja vahinkoriskit 16 2.3 Riskienhallinnan organisointi 17 2.3.1 Työryhmien kokoonpanot suurissa yrityksissä 17 2.3.2 Riskijohtajan tehtäväkuvaus 18 2.4 Riskienhallinnan vaiheet 18 2.5 Riskienhallintakeinot 21 2.5.1 Riskin välttäminen 21 2.5.2 Riskin siirtäminen 21 2.5.3 Riskin pienentäminen 22 2.5.4 Riskin ottaminen 24 2.5.5 Vakuuttaminen 25 2.5.6 Turvallisuussuunnitelmat 25 2.6 Riskienhallinnan hyödyt 26 3. JATKUVUUSSUUNNITTELU 27 3.1 Kriisi ja vahinkotapahtumat 27 3.2 Jatkuvuussuunnittelun prosessi 30 3.2.1 Yrityksen johto 30 3.2.2 Suunnitteluryhmän tehtävät 30 3.2.3 Johtokeskus ja kriisinhallintaryhmä 31 3.2.4 Toipumisstrategiat ja toipumisryhmän tehtävät 31 4. RISKIANALYYSIT 32 4.1 Riskianalyysimenetelmät 32 4.2 Riskianalyysin toteutus 33
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 3 4.3 Potentiaalisten ongelmien analyysi 35 4.3.1 Analyysin vaiheet 35 4.3.2 Analyysin kulku 36 4.3.3 Analyysityöryhmän perustaminen 37 4.3.4 Analyysin laatiminen työryhmässä 37 4.3.5 Vaarojen arviointi ja riskiluvun määritys 40 4.3.6 Raportointi 42 5. YRITYSTURVALLISUUDEN JOHTAMINEN JA KEHITTÄMINEN 43 5.1 Johtamisen välineet 44 5.1.1 Yritysturvallisuuden toiminta-ajatus 46 5.1.2 Visiot ja arvot 46 5.1.3 Strategia ja politiikat 46 5.1.4 Kehittämissuunnitelmat sekä ohjeet ja työvälineet 47 5.2 Yritysturvallisuuden kehittäminen 47 5.2.1 Kehitystasot 48 5.2.2 Kehittäminen toimintaprosessien avulla 48 6. KIINTEISTÖ- JA TOIMITILATURVALLISUUS 49 6.1 Tilojen luokittelu 50 6.1.1 Suojaustasoihin perustuva tärkeysluokittelu 50 6.1.2 Tilojen tärkeyteen perustuva luokittelu 51 6.2 Kerroksittain suojaaminen 51 6.3 Rakenteellinen suojaus 52 6.3.1 Avainhallinta ja lukitus 52 6.3.2 Aidat ja portit 52 6.3.3 Rakenteellinen murtosuojaus 53 6.3.4 Kiinteistötekniikka 54 6.4 Turvallisuusvalvonta 55 6.4.1 Kulunvalvonta 55 6.4.2 Rikosilmoitinjärjestelmät 56 6.4.3 Kameravalvonta 57 6.4.4 Vartiointi 57 6.4.5 Kiinteistövalvonta 58 7. TYÖSUOJELUORGANISAATIO, TAPATURMAN TUTKIMINEN 59 7.1 Työsuojelutoiminnan organisointi yrityksessä 59 7.1.1 Työsuojeluvastuut ja tehtävät 59 7.1.2 Työsuojelun yhteistoiminta 60 7.1.3 Työsuojelutoimikunnan toimintasuunnitelman runko 61 7.1.4 Työsuojelupäällikkö 62 7.1.5 Työsuojeluvaltuutettu 62 7.1.6 Työsuojeluasiamies 63 7.2 Työterveys- ja työsuojelualan asiantuntijaorganisaatiot 63 7.2.1 Sosiaali- ja terveysministeriö 63 7.2.2 Työsuojelupiirit 63 7.2.3 Työterveyslaitos 64 7.2.4 Työturvallisuuskeskus 64 7.2.5 Työsuojelurahasto 64 7.2.6 Valtion teknillinen tutkimuskeskus 65
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 4 7.2.7 Teknillinen tarkastuskeskus 65 7.2.8 Säteilyturvakeskus 65 7.3 Työpaikkatapaturman tutkiminen 66 7.3.1 Tapaturmakäsite 66 7.3.2 Työpaikkatapaturman tutkimusmalli 66 7.3.3 Tutkimuksen vaiheet 68 8. PALOTURVALLISUUS, PELASTUSTOIMINTA 70 8.1 Palaminen 70 8.2 Palon leviäminen ja savun muodostus 71 8.3 Palon sammutus 72 8.3.1 Sammutusaineet 72 8.4 Rakenteellinen palontorjunta 73 8.4.1 Määräykset 74 8.5 Savunpoisto 76 8.6 Palon hallintaan käytettävät automaattiset laitteet 76 8.6.1 Automaattiset paloilmoittimet 76 8.6.2 Automaattiset sammutuslaitteistot 77 8.6.3 Sprinklerilaitteistot 77 8.6.4 Hiilidioksidilaitteisto 77 8.6.5 Inerttikaasu-sammutuslaitteet 77 8.6.6 Jauhesammutuslaitteistot 78 8.6.7 Vaahtosammutuslaitteet 78 8.7 Pelastustoiminta 78 8.7.1 Pelastussuunnitelma 79 9. ULKOMAAN TURVALLISUUS 81 9.1 Matkustusturvallisuus 82 9.1.1 Ennen matkaa 83 9.1.2 Matkan aikana 83 9.1.3 Hotelliturvallisuus 83 9.1.4 Lentoturvallisuus 83 9.1.5 Automatkaturvallisuus 83 9.1.6 Juna- ja laivamatkaturvallisuus 84 9.1.7 Rikollisuus 84 9.1.8 Oma käyttäytyminen 84 9.1.9 Terveysriskit 85 9.1.10 Matkan jälkeen 85 9.2 Ulkomaan projektien riskit 85 9.2.1 Taloudelliset riskit 85 9.2.2 Poliittiset riskit 86 9.2.3 Mielenosoitukset ja levottomuudet 86 9.2.4 Imagoriskit 86 9.2.5 Rikollisuus 87 9.2.6 Sabotaasitoiminta 87 9.2.7 Terrorismi 87 9.2.8 Vakoilu ja yritysvakoilu 88
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 5 JOHDANTO Yrityksen tavoitteena on voiton maksimointi. Lisäksi sen on varmistettava toimintansa jatkuvuus ja kannattavuus myös tulevaisuudessa. Yritys toimii koko ajan erilaisten kriisien ja vahinkotapahtumien uhkakentässä. Pystyäkseen taloudelliseen toimintaan, yrityksen on hallittava liiketoiminta- ja vahinkoriskinsä! Sen on rakennettava turvallisuusjärjestelmät uhkia vastaan. Laki velvoittaa yrityksiä laatimaan pelastus- ja turvallisuussuunnitelmat. Joidenkin yritysten on tehtävä suunnitelmat myös ympäristöuhkien ja -onnettomuustilanteiden varalta. Muihin uhkatekijöihin varautuminen riippuu yrityksen omasta aktiivisuudesta ja tarpeista. Kaikkien turvallisuusjärjestelmien yhteisvaikutuksesta muodostuu yrityksen kokonaisturvallisuus, joka on tavoitteellinen olotila, jossa yritykseen kohdistuvien uhkien sekä vahinkotapausten määrä ja suuruus pyritään pitämään mahdollisimman pienenä. Turvallisuuden tavoitetason asettaa yritysjohto ja se saavutetaan sekä ylläpidetään suojelutoiminnalla. Turvallisuustason valinta perustuu ensisijaisesti yrityksen arvoihin ja toissijaisesti riskikustannuksien minimointiin. Päätavoite on suurvahinkojen välttäminen, jotka saattavat vaarantaa yrityksen toiminnan jatkuvuuden. Hyvä turvallisuustaso vaikuttaa merkittävästi yrityskuvaan, työntekijöiden työssä viihtymiseen, henkiseen vireyteen ja työmotivaatioon. Joillakin aloilla mielikuva ympäristöystävällisestä tuotannosta saattaa olla ratkaisevaa ostopäätöksen tekemiselle. Useimmille yrityksille maine luotettavana toimittajan on tärkeää. Markkinatilanne on usein herkkä. Jotkut asiakkaat ovat avainasemassa. Toiminnan keskeytyminen voi johtaa markkinoiden menetykseen nopeasti kehittyvällä toimialalla. Keskeytyksen aikana asiakkaat joutuvat turvautumaan korvaaviin tuotteisiin ja mahdollisesti mukauttamaan oman toimintansa uudelleen. Keskeytyksen jälkeen voi olla vaikeaa saada takaisin menetettyjä asiakkaita. On olemassa myös vaara, että keskeytyksen aikana yrityksen erityisosaamisen avainhenkilöt, jotka ovat tyytymättömiä työhönsä, vaihtavat työpaikkaa. Tuotekehityshankkeen onnistumisessa nopeus on valttia: uuden innovaation tuominen markkinoille ensimmäisenä on suuri kilpailuetu. Tällöin tuoteturvallisuudelle ja sen hallinnalle asetetaan erityisen suuret vaatimukset. Yrityksen arvojen ja viranomaisten määräysten mukaisista vaihtoehdoista valitaan päätöksentekovaiheessa kokonaiskustannuksiltaan edullisin. Vertaamalla halutun turvallisuustason saavuttamiseksi sijoitettua pääomaa vahinkokustannuksiin, voidaan arvioida sijoitetun pääoman tuottoa. Ratkaisuvaihtoehtojen vertailu on monimutkainen tehtävä, koska päätökseen vaikuttavia tekijöitä ei voida tehdä yhteismitallisiksi. Yksinkertainen päätöksentekomalli on keskittyä ongelman olennaisiin asioihin. Esimerkiksi paloriskin hallinnassa voidaan suunnitteluvaiheessa erottaa kaksi päätasoa: suuronnettomuuden välttäminen ja vahinkokustannusten minimointi. Ensimmäisellä sijalla on ratkaisu, jolla vältetään suurpalon tai elintärkeän kohteen tuhoutumisen aiheuttama katastrofi. Toisella sijalla on vahinkokustannusten pitäminen mahdollisimman pieninä. Pitkälle systematisoituja päätöksentekomalleja käytettäessä on vaikeaa antaa mallin muuttujille arvoja ja ne määritetäänkin usein mielikuvien avulla. Päätökset tehdään kuitenkin lopulta kokemuksen antaman näkemyksen perusteella. Maksimivahinkoarvot, vakuutusmaksut, välittömät investointikustannukset ja laitteiden käyttökustannukset pystytään laskemaan tarkasti. Sen sijaan asiakkaiden menetyksestä aiheutuvat seuraukset, yrityskuvaongelmat ja vahingottomuudesta seuraavat positiiviset vaikutukset yrityksen ilmapiiriin on arvioitava asiantuntijoiden näkemyksen perusteella.
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 6 1. YRITYKSEN UHAT JA NIIDEN TORJUNTA Yrityksen tarkka määrittely on ongelmallista. Määritelmäksi ei riitä tehdasrakennuksen osoittaminen ja tuotantoprosessin kuvaaminen. Tuotannon aineellisen osan lisäksi yritykseen liittyy rahaan, päätöksentekoon, juridiikkaan, ihmissuhteisiin, arvoihin ja arvostuksiin kuuluvia asioita niin paljon, että ilman niitä näkemys yrityksestä jää puutteelliseksi. Yrityksen määritelmät perustuvat yleensä johonkin tiettyyn, juuri siihen tilanteeseen sopivaan näkökulmaan. Yritystä on lähestytty ja se on määritelty mm. taloudellisena, juridisena, sosiaalisena tai teknisenä yksikkönä. Työnjakoon ja vaihdantaan perustuen yritys määritellään hyvin laveasti seuraavalla tavalla. Yritys on pysyväksi tarkoitettua ja organisoitua ihmisten yhteistoimintaa, jonka tavoitteena on tarpeiden tyydyttäminen ja jonka tulokset ohjataan ihmisille vaihdannan so. markkinoiden kautta. Yrityksen määritelmiä on kirjallisuudessa lukuisia. Kaikille niille on ominaista, että ne kiinnittävät huomiota johonkin määritelmän laatijan mielestä olennaiseen yrityksen ja sen toiminnan piirteeseen. Määritelmistä voidaan kuitenkin erottaa kaksi toisistaan poikkeavaa perusnäkemystä; toisaalta tuotantokeskeinen ja toisaalta ihmiskeskeinen näkemys yrityksestä. Yritysturvallisuudessa nämä kaksi näkemystä on yhdistettävä. Yritysturvallisuus on yrityksen normaalia toimintaa ja se tukee omalta osaltaan yrityksen liiketoiminnan tulostavoitteita. Sillä on myös merkittävä vaikutus yrityksen tuotteiden ja palveluiden laatuun sekä yrityskuvaan. 1.1 Yrityksen perustehtävät Yrityksen perustehtävää voidaan koko yhteiskunnan kannalta luonnehtia seuraavalla määritelmällä: Tarpeidentyydytystehtävä. Yrityksen tehtävänä on aikaansaada tuotteita ihmisten tarpeiden tyydyttämiseksi. Tästä perusmääritelmästä voidaan johtaa vaatimus tuotantotoiminnan ohjaamisesta ja tuotantokapasiteetin rakentamisesta ihmisten tarpeiden tyydyttämiseksi. Tuotanto ohjautuu niille aloille, missä on kysyntää ja yrityksillä kannattavan toiminnan mahdollisuuksia. Toisaalta yrityksen velvollisuus on täyttää tehtävänsä tehokkaasti, jotta käytettävissä olevilla niukoilla resursseilla saataisiin mahdollisimman paljon tarpeita tyydytetyksi. Yrityksen tehtäväkenttä näyttää yleisen käsityksen mukaan olevan laajentumassa; yritykseltä vaaditaan runsaasti sellaista, minkä aikaisemmin ei katsottu kuuluvan sille. Perinteinen taloustieteessäkin omaksuttu näkemys yrityksen tavoitteesta yrityksen ja yksittäisen henkilön tasolla on ollut määriteltävissä seuraavasti: Voiton tuottamistehtävä. Yrityksen tehtävä on tuottaa mahdollisimman hyvä taloudellinen tulos omistajilleen. Yrityksen omistajat luovat edellytykset toiminnalle sijoittamalla yritykseen pääomaa. Yrityksen voitto kertyy eri tuotannontekijöiden tuomasta tulosta. Tuottavuuteen vaikuttavat käyttöaste ja toimintateho. Toimintateho riippuu sekä koneiden että työntekijöiden toimintatehosta. Parantamalla tehoa lisätään tuottavuutta ja kannattavuutta sekä yrityksen voittoa.
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 7 Voitto/rahat Kannattavuus Tuottavuus Hintatekijät Käyttöaste Toimintateho Tuotosten hinnat Panosten hinnat Kuva 1. Yrityksen kannattavuus (Rantanen 1992) Omistajille kuuluu kulujen vähentämisen jälkeen jäävä rahamäärä, joka vastaa sijoitettuun pääomaan kohdistuvia tuotto-odotuksia. Omistajien osuutta pidetään korvauksena riskin kantamisesta. Taloudelliseen toimintaan liittyy aina epävarmuutta ja yrityksen omistajat ovat se ryhmä, jonka hartioille riski jää. Pyrkiessään maksimaaliseen tulokseen, yrityksen on kehitettävä myös yritysturvallisuuttaan. Yrityksen on selvitettävä uhat, etsittävä keinot niiden torjumiseksi ja varauduttava mahdollisiin toteutuviin uhkiin. Toiminnan on lähdettävä yrityksen omista tarpeista. Muuten toiminta jää irtonaiseksi pakkopullaksi, joka toteutetaan vai ulkopuolisen tarkastuksen pelossa. Yritysturvallisuuden kehittäminen ei tapahdu erillisenä prosessina, vaan yritysturvallisuusasiat otetaan huomioon yrityksen jokaisessa toiminnassa ja niiden kaikissa vaiheissa. Siksi yritysturvallisuuden kehittäminen on jatkuva dynaaminen prosessi, joka elää yrityksen toimintojen elinkaarien mukaisesti. Yritysturvallisuus kehittyy pikkuhiljaa kehitysvaiheittain. Pääsääntönä voidaan pitää, että mitä suuremmasta yrityksestä on kysymys, sitä pidemmän ajan kunkin kehitysvaiheen läpivienti vaatii. Jokaisen yksittäisen kehittämistoimenpiteen toteutus suuren yrityksen jokaisessa liiketoimintayksikössä ei ole yksinkertaisesti mahdollista lyhyessä ajassa. 1.2 Yritysten sidosryhmät On sanottu, että yritys on sidosryhmiensä vanki! Yritykselle aiheutuneesta vahingosta ei kärsi ainoastaan kyseinen yritys, vaan myös alihankkijat, asiakkaat, luotonantajat, viranomaiset, vakuutuksenantajat, työntekijät, ympäristö ja monella tavalla koko yhteiskunta. Työntekijöitä kiinnostaa työpaikan säilyminen. Tämän vuoksi heistä on tärkeää, ettei yrityksessä satu vahinkoja, joiden johdosta he saattaisivat joutua lomautetuksi taikka kokonaan työttömiksi. Myös oma terveys on työntekijöille tärkeä asia. Siksi he ovat kiinnostuneita vaarojen tunnista-
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 8 misesta ja niiden torjuntatoimenpiteistä. Heidät kannattaakin ottaa mukaan yrityksen riskienhallinta- ja vahingontorjuntatyöhön. Onnettomuuden kohdatessa yritystä, alihankkijoiden tulot vähenevät, koska yritys ei tarvitse heidän toimittamiaan raaka-aineita tai puolivalmisteita. Asiakkaat taas menettävät myyntiä ja tuloja, kun eivät saa myytäväkseen yritykseltä tilaamiaan tuotteita. Rahoittajat eivät saa myöntämiensä lainojen kuoletuksia lasketun aikataulun mukaan, vaan ehkä pikemminkin joutuvat myöntämään yritykselle lisää lainaa. Pahin tilanne on, kun yritys tekee konkurssin eikä pysty maksamaan lainoja takaisin. Vakuutusyhtiö puolestaan joutuu maksamaan korvauksia ja ehkä korottamaan yritysten maksuja. Alihankkijat ja asiakkaat eivät yleensä voi asettaa vaatimuksia yritysten riskienhallinnalle, kuten pankit ja vakuutusyhtiöt, mutta vahingon tapahduttua yritys saattaa menettää heidät ja toiminnan jatkuminen voi tulla epävarmaksi. Vahingon johdosta yhteiskunta kärsii aina menetyksiä yrityksen ja työntekijöiden maksamien verojen vähetessä. Yhteiskunta joutuu myös maksamaan työttömyyskorvausta lomautetuille tai irtisanotuille työntekijöille. Viranomaisia, jotka ovat kiinnostuneita yrityksen turvallisuustoiminnasta, ovat: pelastus-, poliisi-, työsuojelu-, työvoima- ja ympäristöviranomaiset. Yhteistyö viranomaisten ja yritysten kesken turvallisuusasioissa on tärkeää. KTM TEM TUKES Tekninen ja prosessiturvallisuus Valmiusyritykset SM Palo-, pelastus- ja vssasiat = pelastustoimi Omatoiminen varautuminen Rikosten ennalta ehkäisy Henkilöturvallisuus YM Ympäristöturvallisuus Viranomaiset STM Kemikaalivalvonta Suuronnettomuudet Työturvallisuus Säteilyturvallisuus / STUK Tuoteturvallisuus Vakuutukset Y R I T Y S OM MMM Elintarvikevalvonta UM Ulkomaantoimintojen turvallisuus PLM Valmiusyritykset, VAP- asiat Maa-, meri-, rautatie- ja ilmakuljetukset Vaaralliset kuljetukset Viestintä ja kommunikaatio Tietoturvallisuus Tietosuojavaltuutettu / Tietosuoja / Henkilötietoasiat Rikostorjuntaneuvosto LVM UM Ulkoasiainministeriö PLM Puolustusministeriö LVM Liikenne- ja viestintäministeriö OM Oikeusministeriö YM Ympäristöministeriö SM Sisäasiainministeriö TEM Työ- ja elinkeinoministeriö STM Sosiaali ja terveysministeriö MMM Maa- ja metsätalousministeriö Kuva 2. Yrityksen turvallisuus ja sidonnaisuus viranomaisiin Kuva osoittaa teollisuusyrityksen monet sidokset eri ministeriöihin turvallisuusasioissa. Suuria teollisuusyrityksiä koskee kaikki kaaviossa esitetyt yhteydet, pienempiä vain osa.
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 9 1.3 Yrityksen uhat Yritystoiminnan uhkia on rajattomasti; uusia syntyy jatkuvasti ja osa vanhoista poistuu. Yrityksen on esimerkiksi hyvä miettiä sille tärkeitä alihankkijoita, tavaran- ja palvelutoimittajia, asiakkaita ja muita sidosryhmiä. Miten yrityksen tulisi varautua niitä kohtaaviin kriiseihin ja niiden mahdollisiin heijastusvaikutuksiin yritykseen. Tärkeää komponenttitoimittajaa kohtaava kriisi voi aiheuttaa suuria hankaluuksia yritykselle, jos vastaavaa komponentteja ei olekaan muualta saatavissa. Merkittävän asiakkaan menetys mistä tahansa syystä on aina yritykselle suuri menetys. Yritysostoihin liittyy maineenhallintaan liittyviä riskejä; yrityksen vakituinen asiakaskunta ja osakkeenomistajat eivät kenties hyväksykään ostetun yrityksen eettisiä arvoja. Miettinen (Miettinen 2002) jaottelee yritysturvallisuuteen kohdistuvat uhkat seuraavasti: vahingossa syntyneet ja tarkoituksella aiheutetut, passiiviset ja aktiiviset, sisäiset ja ulkoiset, ihmisen aiheuttamat ja luonnosta johtuvat. Vahingossa syntyneet uhkat ovat seurausta ihmisen tekemästä virheestä tai teknisen järjestelmän häiriöstä, eikä niiden taustalla ole tarkoituksellista vahingontekoa. Tarkoituksella aiheutettu uhka taas on ihmisen tietoisen toiminnan seuraus. Mikäli uhka ei aiheuta yritykselle tai sen toiminnalle välittömiä vahinkoja, kutsutaan sitä passiiviseksi uhaksi. Passiivisen uhan aiheuttajan tarkoituksena on seurata yrityksen, tai sen tarkasti rajatun osan toimintaa ja mahdollisesti kerätä tietoa tulevaa käyttöä varten. Vastakohtana passiiviselle uhkalle on luonnollisesti aktiivinen uhka, joka toteutuessaan yleensä vahingoittaa yritystä välittömästi. Sisäisten uhkien aiheuttaja on tyypillisesti joko yrityksen oma työntekijä, tai joku joka pystyy vaikuttamaan yrityksen toimintaan sisältäpäin. Pahimmat yritykseen kohdistuvat uhkat tulevat tyypillisesti yrityksen sisältä, sillä yrityksen toimintaan liittyviä tietoja on yleensä helpointa vuotaa, varastaa, muuttaa tai tuhota yrityksen sisällä. Ulkoisen uhkan aiheuttajat tulevat yrityksen henkilökunnan ja sen lähipiirin ulkopuolelta. Ihmisen aiheuttamat uhkat voivat olla joko tarkoituksellisia tai vahingossa syntyneitä. Ihminen itse on merkittävin yritysturvallisuusuhka, koska ihmisen toiminnan valvonta on huomattavasti vaikeampaa kuin teknisten järjestelmien kontrollointi. Useimmat yritysturvallisuuteen kohdistuvat uhkat ovat tavalla tai toisella ihmisen aiheuttamia. Luonnosta aiheutuvat uhkat ovat yleensä vaikeasti ennakoitavissa ja niitä varten on usein vaikea suojautua ennakolta. Tyypillisiä luonnon aiheuttamia uhkia ovat tulvat, metsäpalot, maanjäristykset, hirmumyrskyt ja tulivuoren purkautumiset. Uhat voidaan myös luokitella ryhmiin vahingon ilmenemismuodon, vahingon kohteen ja vahinkolajin mukaan. Vahingon kohteena voivat olla rakennukset, muu käyttöomaisuus, vaihto-omaisuus, työntekijät, työntekijöiden omaisuus, sivulliset, sivullisten omaisuus, tuotanto tai yksittäinen tuote. Vahinko voi ilmetä omaisuuden tuhoutumisena tai vaurioitumisena, korjausvelvollisuutena, tuotannon keskeytymisenä, myynnin vähenemisenä ja uudelleenkoulutuskustannuksina. Yrityksillä saattaa olla myös omasta toiminnasta johtuvia uhkia, jotka on myös aina muistettava ottaa tutkimuksen kohteeksi. Yrityksen turvallisuustoiminnassa uhat jaetaan yleensä seuraaviin ryhmiin: omaisuusuhat, tietouhat, henkilöstöuhat ja toimintauhat.
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 10 Yrityksen uhkakartta 1 Kuvat 3 ja 4 Omaisuusuhat ja tietouhat
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 11 Yrityksen uhkakartta 2 Kuvat 5 ja 6 Henkilöuhat ja toimintauhat
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 12 1.4 Yritysturvallisuuden osa-alueet Yrityksen toiminnan varmistaminen on perimmäinen syy, minkä takia yritys järjestelmällisesti ylläpitää ja kehittää yritysturvallisuutta. Kaikki yritysturvallisuuden toimenpiteet tähtäävät vain ja ainoastaan oleellisimman asian eli yrityksen liiketoiminnan ytimen suojaamiseen. Suojattava kohde tarkoittaa esimerkiksi asiaa, esinettä, toimintoa, tietoa, ihmisiä tai prosessia. Suojelutoiminnalla tai suojauskeinoilla tarkoitetaan teknisiä tai ei-teknisiä toteutuksia, jolla yksittäinen suojattavan kohteen tai sen tarkasti rajatun osan suojaus toteutetaan. Yritysturvallisuus muodostuu joukosta osa-alueita, jotka yritysturvallisuuden johtaminen liittää yhdeksi kokonaisuudeksi. Yritysturvallisuuden tarkastelu osa-alueiden kautta auttaa hahmottamaan, mistä yritysturvallisuudessa on oikeastaan kysymys, mistä elementeistä se muodostuu ja miten tämä kokonaisuus vaikuttaa yrityksen päivittäiseen toimintaan. Kuva 7. Yritysturvallisuuden osa-alueet
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 13 Yritysturvallisuuden tärkeimmät osa-alueet ovat: Kiinteistö- ja toimitilaturvallisuus Henkilöturvallisuus Tietoturvallisuus Poikkeusoloihin varautuminen, valmiussuunnittelu Paloturvallisuus ja pelastustoiminta Ympäristönsuojelu Ulkomaan toimintojen yritysturvallisuus Matkustusturvallisuus Rikosturvallisuus Työsuojelu ja turvallisuusjohtaminen Tuotannon ja muun toiminnan turvallisuus 1.4.1 Kiinteistö- ja toimitilaturvallisuus Kiinteistö- ja toimitilaturvallisuudessa tarkastellaan yrityksen käytössä olevien tuotanto- ja toimitilojen fyysisen suojaamiseen liittyviä asioita. Kiinteistö- ja toimitilaturvallisuus voidaan jakaa rakenteelliseen turvallisuuteen ja turvallisuusvalvontaan. Rakenteelliseen turvallisuuteen liittyviä asioita ovat esimerkiksi lukitukset, murtosuojaus, aidat, portit, valaistus sekä suojattavien kohteiden muut rakenteelliset suojauskeinot. Turvallisuusvalvontaan liittyviä asioita ovat esimerkiksi tekninen valvonta, rikosilmoitusjärjestelmät, avainten ja kulkuoikeuksien hallinta, vartiointi sekä henkilöstön, vierailijoiden ja ajoneuvoliikenteen ohjaus. 1.4.2 Henkilöturvallisuus Henkilöturvallisuudessa tarkastelun kohteena ovat ihmiset samalla tavalla kuin työsuojelussa. Merkittävin ero henkilöturvallisuuden ja työsuojelun välillä on se, että työsuojelu keskittyy pääsääntöisesti työtapaturmien ennalta estämiseen, kun taas tyypillisiä henkilöturvallisuuteen liittyviä asioita ovat esimerkiksi henkilön taustatietojen tarkistus, työ- ja yhteistyösopimuksiin liittyvät salassapito- ja vaitiolosopimukset sekä yrityksen oman henkilöstön, vierailijoiden ja yhteistyökumppanien fyysinen koskemattomuuden suojaaminen. Henkilöturvallisuuden avulla yritys pyrkii vähentämään ihmisten aiheuttamia tahattomia ja tahallisia riskejä toiminnalleen. 1.4.3 Tietoturvallisuus Tietoturvallisuudessa on kyse tietojenkäsittelyn ja tiedonsiirron luottamuksellisuuden, eheyden sekä saatavuuden ylläpidosta ja kehittämisestä. Luottamuksellisuus tarkoittaa sitä, että tiedot ovat vain niiden saatavilla, jotka ovat näiden tietojen käyttöön oikeutettuja. Eheys tarkoittaa sitä, että tiedot ovat alkuperäisessä tiedon omistajan määrittelemässä muodossa tietojen käsittelyn ja elinkaaren eri vaiheissa. Saatavuus tarkoittaa sitä, että tietojärjestelmän tiedot on saatavilla käyttöön silloin, kun niitä tarvitaan, ja ne voidaan pitää käytössä halutun ajanjakson ajan. 1.4.4 Poikkeusoloihin varautuminen Poikkeusoloihin varautuminen muodostuu kaikista niistä toimenpiteistä, joiden avulla yritys pyrkii varmistamaan jo normaaliaikana haluamansa kriisiaikojen toimintavalmiuden, jotta yhteiskunnalle välttämättömien tuotteiden ja palveluiden saatavuus voidaan turvata kaikissa oloissa. Valmiuslainsäädännössä poikkeusoloiksi määritellään sodan uhka, sotatilanne, suuronnettomuus, taloudellinen kriisi ja luonnonmullistus. Poikkeusoloihin varautumista kutsutaan myös jossakin yhteyksissä valmiustoiminnaksi tai valmiussuunnitteluksi ja useilla toimialoilla sille on
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 14 annettu lakisääteisiä velvoitteita. Tällaisia toimintoja ovat esimerkiksi teletoiminta, joukkoviestintä, kuljetus ja liikenne, lääketeollisuus, elektroniikkateollisuus, energiantuotanto sekä elintarviketeollisuus. 1.4.5 Paloturvallisuus ja pelastustoiminta Paloturvallisuus ja pelastustoiminta voidaan jakaa palosuojeluun, pelastustoimintaan ja väestönsuojeluun. Palosuojeluun liittyviä tyypillisiä asioita ovat rakenteellinen palontorjunta, alkusammutus, sammutusjärjestelmät, paloilmoitinlaitteet, turvamerkkien käyttö ja tulitöiden valvonta. Pelastustoiminta tähtää ihmisten, omaisuuden ja ympäristön suojaamiseen sekä pelastamiseen onnettomuustilanteessa. Väestönsuojelun tavoitteena on suojata ihmisiä ja omaisuutta erityisesti suuronnettomuuden tai sodan kaltaisessa poikkeusolossa. 1.4.6 Ympäristönsuojelu Ympäristönsuojelu kattaa kaikki toimenpiteet, joiden avulla yritys pyrkii estämään vahingot, jotka sen toiminta luonnolle mahdollisesti aiheuttaa. Ympäristösuojelun piiriin kuuluvia asioita ovat esimerkiksi yrityksen toiminnan ympäristövaikutusten arviointi, ympäristönsuojeluun liittyvät ilmoitus- ja lupamenettelyt, vaarallisten aineiden käsittelyt, kuljetus ja säilytys, yritysten jätehuolto sekä ilman, maaperän ja vesien suojelu. 1.4.7 Ulkomaan toimintojen turvallisuus Ulkomaan toimintojen turvallisuus on niiden toimenpiteiden muodostama kokonaisuus, joiden avulla yritys pyrkii varmistamaan toimintansa turvallisuuden harjoittaessaan liiketoimintaa ulkomailla. Pääsääntöisesti yritykset pyrkivät noudattamaan ulkomailla toimiessaan samoja yritysturvallisuuden ylläpidon ja kehittämisen toimintamalleja kuin kotimaassakin. Yritysturvallisuus ulkomaan toiminnoissa sisältää erityisesti huomioon otettavia turvallisuusasioita kuten esimerkiksi paikallinen lainsäädäntö, kulttuuri ja yleisesti käytössä olevat tavat, liiketoimintaa kyseisessä maassa harjoitettaessa huomioon otettavat toimintatavat. 1.4.8 Matkustusturvallisuus Matkustusturvallisuudella on monia yhtymäkohtia esimerkiksi tietoturvallisuuteen, henkilöturvallisuuteen ja työsuojeluun. Matkustamisturvallisuus voidaan määritellä kaikkien niiden toimenpiteiden muodostamaksi kokonaisuudeksi, joiden avulla pyritään varmistaman yrityksen vaikutuspiirissä olevien ihmisten (yrityksen johto, henkilöstö, vieraat, yhteistyökumppanit) turvallisuus työmatkoilla kotimaassa ja ulkomailla. 1.4.9 Rikosturvallisuus Rikosturvallisuudella tarkoitetaan yrityksen henkilöstöön, omaisuuteen ja tietoihin kohdistuvan rikollisen toiminnan ennalta estämiseen liittyviä asioita. Rikollinen voi toimia joko yrityksen sisällä tai ulkopuolella. Rikosturvallisuuteen liittyviä asiakokonaisuuksia ovat esimerkiksi yhteistoiminta viranomaisten ja oikeuslaitoksen kanssa, toiminta rikostapauksessa, rikostapauksen tutkinta sekä toimenpiteet rikollisen toiminnan ehkäisemiseksi. 1.4.10 Työsuojelu Työsuojelun ensisijaiset tavoitteet ovat työtapaturmien ennalta ehkäisty ja henkilöstön työkyvyn ylläpito. Työsuojeluun liittyviä asiakokonaisuuksia ovat esimerkiksi työterveyshuolto, työympäristön ergonomia, koneiden ja laitteiden suojavarusteet, kemikaalien ja vaarallisten aineiden
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 15 turvallinen käsittely sekä työtapaturmien ennalta estäminen, tapaturmatietojen keruu ja tapaturmatilanteen seuranta. 1.4.11 Tuotannon ja muun toiminnan yritysturvallisuus Tuotannon ja muun toiminnan yritysturvallisuudessa tarkastelun kohteina ovat esimerkiksi tuotannon häiriöttömyys, tuotevastuu- ja tuoteturvallisuusasiat, varastointiin ja kuljetuksiin liittyvät turvallisuusasiat, tuotteiden ja palveluiden turvallisuus sekä maksuliikenteen hoitoon ja arvoomaisuuden säilytykseen liittyvät suojaukset. 2. RISKIENHALLINTA 2.1 Riski Mitä riski on? Riskin luonteeseen liittyy kolme peruskomponenttia: vaara, epävarmuus ja mahdollisuus. Riski käsitteen tekee pulmalliseksi se, että se merkitsee eri ihmisille eri asioita. Yleisimmin käytetyn määritelmän mukaan riski on uhan tai vaaran toteutumisen todennäköisyys kertaa seurauksen vakavuus. Riski on epävarmuutta, johon liittyy taloudellisen menetyksen uhka. Riskillä tarkoitetaan siis lähinnä vahingon vaaraa, mahdollisuutta, että tapahtuu vahinko, joka vahingoittaa yrityksen omaisuutta tai toimintaa ja joka ilmenee aikanaan yrityksen tilinpäätöksestä joko menojen lisäyksenä tai tulojen vähentymisenä. Riski tarkoittaa haitallisen tapahtuman todennäköisyyttä ja vakavuutta, vahinkotapahtuman uhkaa. Se on vaaran todennäköisyyden ja sen aiheuttamien haittojen tulo (riskitulo eli riskiluku). R= T x (H + M + K) R = riski(tulo) T = toteutuva vahinkoyhdistelmän todennäköisyys H = henkilövahingon suuruus M = materiaalivahingon suuruus K = keskeytymisvahingon suuruus Kaava kirjoitetaan nykyisin myös alla olevaan muotoon! R= T x (H + M + K) 2 Yrityksen riskitaso on se kaikkien riskien riskitulojen summa, jota ennalta määritellyn turvallisuustason saavuttamiseksi pyritään alentamaan vahingontorjunnalla ja suojelutoimenpiteillä. Mitä useampia sidosryhmiä ja niille vahingosta aiheutuneita menetyksiä otetaan huomion, sitä enemmän kannattaa uhrata riskienhallintaan. Vakuutusmenettely ei kannusta yritystä ottamaan huomioon yhteiskunnalle aiheutuvia menetyksiä. Yritykset käyttävät riskienhallintaan vähemmän kustannuksia kuin ne käyttäisivät jos ottaisivat huomioon yhteiskunnan edun.
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 16 2.2 Riskienhallinta ja yritysturvallisuus 2.2.1 Riskienhallinnan määritelmä Riskinhallinta voidaan määritellä seuraavasti: Riskienhallinta on kokonaisnäkemys olemassa olevista uhista ja vaaroista, järjestelmällinen tutkimus siitä, miten niistä aiheutuvat menetykset voidaan minimoida sekä tähän tutkimukseen perustuva edullisimpien hallintakeinojen valitseminen ja toteuttaminen. Riskienhallinta, Risk Management nykyaikaisessa mielessä sai alkunsa Yhdysvalloissa 1930 luvulla, kun vakuutuksenottajat alkoivat kiinnostua maksamistaan vakuutusmaksuista ja saamistaan korvauksista. Suomeen riskienhallinta tuli 1970 luvun alussa. Riskienhallinnan ajatuksena oli tuolloin, että vakuutusyhtiöt pyrkivät kertomaan asiakkailleen, mitkä ovat heidän riskinsä, mikä on niiden todennäköisyys ja kuinka suuria ne ovat. Vakuutusyhtiöt halusivat tietysti tarjota asiakkailleen mahdollisimman täydellisen turvan sellaisen vahingon varalle, joka todella saattaa järkyttää yrityksen taloutta. Riskienhallinta oli tuolloin lähinnä yrityksen vakuutusasioiden hoitamista. Nykyaikaisen yrityksen riskienhallinnasta vastaavan henkilön tehtäviin kuuluu vakuutusten hoidon lisäksi paljon muita riskienhallintaan liittyviä tehtäviä. Yritykset tekevät paljon omaehtoista vahingontorjuntatyötä. Vahingontorjunta on se osa riskienhallintaa, jolla pyritään joko estämään riskin toteutuminen taikka pienentämään riskin toteutumisen aiheuttamaa vahinkoa. Yrityksen yleiseen riskienhallintaan kehitetyt toimintamallit soveltuvat usein myös yritysturvallisuusriskien hallintaan ja tätä kautta yrityksen riskienhallinta ja yritysturvallisuus usein sivuavat toisiaan läheisesti eri yhteyksissä. 2.2.2 Liiketaloudelliset riskit ja vahinkoriskit Riskit liittyvät kiinteästi yritystoimintaan ja niitä on pystyttävä hallitsemaan järjestelmällisesti yrityksen elinkaaren kaikissa vaiheissa. Yrityksen riskit jaetaan yleensä kahteen luokkaan: liiketaloudellisiin riskeihin ja vahinkoriskeihin. Liiketaloudellisilla riskeillä tarkoitetaan virhearviointien tai ulkoisten syiden tuomia taloudellisia menetyksiä. Näiden välttäminen perustuu ensisijaisesti talouselämän hyvään tuntemiseen, siinä syntyvien muutosten ennustamiseen ja niiden perusteella tehtyihin oikeisiin johtopäätöksiin. Liiketaloudelliselle riskille on ominaista se, että jos kaikki menee odotusten mukaisesti, yritys saa riskin ottamisesta voittoa. Vahinkoriskeillä ymmärretään niitä mahdollisia taloudellisia ja inhimillisiä menetyksiä, joita syntyy vahingon kohdistuessa yrityksen omiin tai sen vaikutuspiirissä oleviin ihmisiin, omaisuuteen, tietoon tai ympäristöön. Vahinkoriskeille on ominaista se, että niiden ottamiseen ei liity voiton mahdollisuutta, mutta niiden toteutuminen tietää aina yritykselle kustannuksia. Vahinkojen seuraukset eivät rajoitu aina työpaikan tai tehdasalueen sisälle. Niiden vaikutus voi levitä yrityksen ulkopuolelle, jossa ne aiheuttavat turvallisuus- ja ympäristövahinkoja. Jako liiketaloudellisten riskien ja vahinkoriskien välillä ei ole selvä. Seuraavassa tarkastelemme vain vahinkoriskejä ja niiden hallintaa.
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 17 2.3 Riskienhallinnan organisointi Suuressa yrityksessä riskienhallinnasta vastaava riskinjohtaja on suoraan vastuussa yrityksen toimitusjohtajalle. Riskinjohtajalle taas ovat vastuullisia esimerkiksi palopäällikkö, kuljetuspäällikkö, vartiopäällikkö, turvallisuuspäällikkö, tuotantopäällikkö, tuotepäällikkö, työsuojelupäällikkö, markkinointipäällikkö ja lakimies, mutta ainoastaan riskinhallintaan liittyvissä kysymyksissä. Muissa kysymyksissä he vastaavat toimistaan joko suoraan yritysjohtajalle tai muulle yrityksen vastuulliselle johtajalle. Hyvin usein riskienhallinnasta vastaavaksi nimitetään oman toimen ohella (oto) yrityksen taloudesta tai tekniikasta vastaava henkilö, jolloin häntä yleensä kutsutaan riskipäälliköksi. Pienessä yrityksessä riskienhallinnasta vastaava on yrityksen toimitusjohtaja. Riskienhallinnan organisointi edellyttää, että yritykseen nimetään riskienhallinnan vastuuhenkilö, riskianalyysiryhmä, riskinhallintaryhmä ja vakuutustenhoitaja. Heille kaikille määritellään tehtävät, valtuudet, vastuut ja aikataulut. Suurisa yrityksissä riskienhallinnan ja vahingontorjunnan organisointi voi olla oheisen kuvan mukainen: Kuva 8. Suuren yrityksen riskinhallinta- ja vahingontorjuntaorganisaatio. (Berg 1996.) 2.3.1 Työryhmien kokoonpanot suurissa yrityksissä Riskianalyysiryhmään kuuluvat: Yrityksen riskienhallinnan vastuuhenkilö Vakuutusyhtiön asiantuntija
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 18 Toiminnan tai osaston, jossa analyysia tehdään - esimies - työnjohtaja - henkilökunnan edustaja Ryhmän tehtävänä on toimivaltuuksiensa rajoissa selvittää tarkasteltavien toimintojen riskit. Riskinhallintaryhmään kuuluvat: Yrityksen riskienhallinnan vastuuhenkilö Yrityksen talousjohtaja Vakuutuksien hoitaja Yrityksen tekninen johtaja Osaston esimies, jonka osaston riskinhallinnasta on kysymys Ryhmän tehtävänä on riskienhallinnan taloudellinen analyysi. 2.3.2 Riskinjohtajan tehtäväkuvaus Seuraavassa on esitetty malli riskinjohtajan tehtäväkuvauksesta. Yrityksen riskinjohtaja: Toimii yrityksen johdon neuvonantajana riskinhallintaan liittyvissä asioissa Laatii yrityksen riskipolitiikan sekä toimii neuvonantajana ja kouluttajana eri tulosyksiköiden riskipolitiikan muotoilussa ja toteutuksessa. Riskipolitiikka sisältää kannanoton vakuutusturvaan, suojelutasoon ja itse kannettaviin riskeihin Huolehtii siitä, että kaikissa tulosyksiköissä on suoritettu riskianalyysi, jonka pohjalta riskipolitiikka kullekin yksikölle on muotoiltu. Hän toimii myös neuvonantajana riskien tunnistamiseen ja arviointiin liittyvissä asioissa. Seuraa tulos- ja tehdasyksiköiden riskienhallintatoimintojen toimivuutta sekä vahvistaa niille toimintokuvaukset Osallistuu tehdassuunnittelu- ja tuotekehitystoimintaan sekä investointineuvotteluihin asiantuntijajäsenenä Koordinoi riskienhallinnan alan koulutusta ja vastaa itse vakuutusalan koulutuksesta Raportoi esim. talousjohtajalle ja antaa vuosiraportin yrityksen johtoryhmälle 2.4 Riskienhallinnan vaiheet Yrityksen vaarojen ja uhkien tunnistamisen jälkeen järjestelmällinen riskinhallinta edellyttää, että riskinhallinta jaetaan useampaan eri vaiheeseen, jotka voivat tapahtua joko peräkkäin tai rinnakkain. Nämä vaiheet ovat: Riskianalyysi Taloudellisten seurausten arviointi Riskinhallintakeinojen analyysi Kannattavuuslaskelmat Riskinhallintamenetelmien valitseminen
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 19 Riskienhallintaprojektin alussa jaetaan tehtävät, laaditaan aikataulut, sovitaan eri vaiheiden raportoinnista sekä loppuraportin laatimisesta. Riskianalyysin tekeminen kuuluu yleensä yrityksen vakituiselle riskianalyysiryhmälle. Riskianalyysin tekemistä käsitellään tarkemmin luvussa 4. Riskinhallintaryhmä tekee taloudellisen analyysin ja valitsee riskienhallintakeinot. Ryhmän toimintasuunnitelma sisältää seuraavat vaiheet: Yrityksen riskien taloudellisten seuraamusten arviointi Riskinhallintakeinojen analyysi Kannattavuuslaskelmat Riskienhallintamenetelmien suositteleminen vaadittavan turvallisuustason saavuttamiseksi edullisimmin kustannuksin Pienissä yrityksissä riskianalyysin tekee usein alusta loppuun projektia varten perustettu työryhmä. Oleellista on kuitenkin, että vakuutusyhtiön ja henkilökunnan edustajat ovat mukana riskianalyysiä tehtäessä. Vakuutusyhtiön edustajille eivät kuitenkaan kuulu yrityksen taloudelliset asiat. Yritys voi tarvita riskianalyysiä jos: Yrityksen toimiala on riskialtis Yrityksen tapaturmataajuus on suuri Yrityksessä on sattunut vakavia tapaturmia Tapaturmia ja läheltä piti-tapauksia tutkimalla ei voida enää lisätä turvallisuutta Halutaan selvitys vaaralliseksi koettuun laitteistoon tai toimintaan liittyvistä riskeistä Laitteiston modernisoinnissa halutaan parantaa myös turvallisuutta Tuotantolaitteiston tilauksessa halutaan määritellä suunnittelijalle tarkat turvallisuusvaatimukset Halutaan kehittää toiminnan ohjausta ja selkeyttää turvallisuuden vastuujakoa Uusitaan vanhentuneita työ- tai työnopastusohjeita Suunnitteilla on uusi tai monimutkainen tuotantojärjestelmä Viranomaiset tai tilaaja edellyttävät selvitystä tuotantojärjestelmän tai koneen turvallisuudesta Toiminnassa olevasta koneesta on tullut valituksia Halutaan varmistua huolto- ja kunnossapitotöiden turvallisuudesta
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 20 Kuva 9. Riskien hallinnan vaiheet
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 21 2.5 Riskienhallintakeinot Riskienhallinnalla tarkoitetaan niitä keinoja, joilla riskien yritykselle aiheuttamat menetykset saadaan mahdollisimman pieniksi. Näitä ovat: Riskin välttäminen Riskin siirtäminen Riskin pienentäminen - riskin jakaminen - vahingontorjunta Vakuuttaminen Riskin ottaminen - omalla vastuulla pitäminen - kytkösyhtiö Turvallisuussuunnitelmat Näistä riskinhallintakeinoista vain riskin siirtäminen on toimenpide, jolla päästään riskistä kokonaan eroon. Riskin välttämisellä ei yleensä voida kokonaan poistaa riskiä, mutta se pienentää vahinkotaajuutta. Riskin pienentämin, vakuuttaminen, riskin ottaminen ja turvallisuussuunnitelmat ovat riskinhallintakeinoja, joita voidaan käyttää ja yleensä on syytä käyttää samanaikaisesti rinnakkain täydentämään toinen toisiaan. 2.5.1 Riskin välttäminen Riskin välttäminen on riskinhallintakeino, jolla pienennetään riskin todennäköisyyttä tai poistamaan se. Riskin välttämisessä luovutaan kokonaan käyttämästä jotakin työmenetelmää tai raakaainetta tai valmistamasta tuotetta, joka saattaa aiheuttaa riskiä. Taikka vaihdetaan vaaralliseksi osoittautunut kuljetus- tai ajoreitti toiseksi vaarattomaksi, vaikka ehkä pitemmäksikin. Riskin välttäminen aiheuttaa yritykselle aina joko tulojen vähentymistä tai menojen lisääntymistä. Esimerkki riskin välttämisestä on, kun yrityksen toimitusjohtaja ja varatoimitusjohtaja taikka saman projektin kaksi avainhenkilöä eivät koskaan matkusta samassa autossa tai lentokoneessa. Kahden auton käyttäminen samaan matkaan lisää kustannuksia, eikä ehkä energian säästämisen kannalta ole suositeltavaa, mutta järkevän riskienhallinnan kannalta kyllä. Toinen esimerkki riskin välttämisestä on materiaalin tai aineen vaihtaminen toiseen. Myrkyllisen tai helposti syttyvän tuotteen lisäaineen asemasta siirrytään käyttämään myrkytöntä tai syttymätöntä lisäainetta, joka antaa kuitenkin samat tulokset ja ominaisuudet tuotteelle kuin alkuperäinenkin lisäaine, mutta on kalliimpaa. Näissä kahdessa esimerkkitapauksessa yritykselle aiheutui riskin välttämisestä lisäkustannuksia. Esimerkki riskin välttämistavasta, joka aiheuttaa yritykselle tulojen vähenemistä on, kun luovutaan jonkin vaarallisen tai helposti syttyvän tuotteen, kuten ilotulitusraketin valmistuksesta. Nämä kaikki riskin välttämisestä yritykselle aiheutuvat menetykset ovat hyvin helposti laskettavissa. 2.5.2 Riskin siirtäminen Riskin siirtäminen on riskinhallintakeino, jolla sopimusteitse siirretään riski toiselle. Riskin siirtämisellä siirretään vastuu riskeistä ja niiden hallinnasta toisten kannettavaksi. Esimerkki riskin siirtämisestä on, kun edellisessä kohdassa mainittu rakettien valmistaminen annetaan jonkin
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 22 alihankkijan tehtäväksi, mutta myynti hoidetaan itse. Tällöin rakettien myynnistä saatava voitto pienenee, mutta niiden valmistuksesta aiheutuva riski on siirretty toisen kannettavaksi. Hyvin tyypillistä riskin siirtämistä on toimiminen vuokratiloissa, jolloin vuokralle antaja vastaa asianomaisen rakennuksen vahingoista. Pitkällä aikavälillä tällainen saattaa olla kuitenkin epäedullisempaa kuin omissa tiloissa toimiminen. Kolmas myös hyvin tavallinen tapa riskin siirtämiseksi, jota käytetään erityisesti tietokonealalla, on vuokrakoneiden käyttäminen. Tällöin vuokranantaja sopimuksesta riippuen vastaa esimerkiksi palo- ja vesivahingoista ja sitoutuu vahingon tapahduttua toimittamaan uudet koneet tilalle. On selvää, että vuokranantaja perii itse mahdollisesti maksamansa vakuutusmaksut vuokraajalta vuokran osana. Myös ostettaessa tai myytäessä tavaraa sekä sitä kuljetettaessa voidaan riskiä siirtää sopimuksella toiselle. Tällaisista sopimuksista ovat tyypillisiä esimerkkejä kaupat, joissa tavara ostetaan ulkomaiselta myyjältä ja sovitaan, että myyjä toimittaa tavaran perille saakka vastaten tavarasta luovutushetkeen saakka. Tällöin on kuitenkin erittäin tarkasti sovittava toimitusehdoista ja tavaran kuljetusvahingon korvaamisesta tavaran ostajan, myyjä, kuljettaja ja vakuutusyhtiöiden kesken. Tavara voidaan myydä esimerkiksi vapaasti tehtaalla, jolloin ostaja vastaa kuljetuksista ja sen aikana mahdollisesti tapahtuvista vahingoista. Tällöin tietenkin tavaran hinta on pienempi kuin jos myyjä olisi toimitettu sen perille saakka. 2.5.3 Riskin pienentäminen Riskin pienentäminen on riskinhallintakeino, jolla pyritään pienentämään vahinkotapahtuman todennäköisyyttä ja mahdollista vahinkoa tai rajoittamaan riski vain osaan kohdetta. Riskin pienentäminen voidaan jakaa kahteen osaan: Riskin jakamiseen Vahingontorjuntaan Nämä riskinhallintakeinot tulevat kyseeseen erityisesti silloin, kun riskiä ei voida välttää tai siirtää. Näitä menetelmiä voidaan käyttää myös omalle vastuulle jääneiden ja vakuutettujen riskien pienentämiseksi silloin, kun piilomenetykset ovat suuret. Riskin jakaminen Riskin jakamisessa riskin kohde jaetaan kahteen tai useampaan osaan, jolloin vältetään kohteen täydellinen tuhoutuminen mahdollisessa vahinkotapahtumassa. Tällöin saattaa tulla kysymykseen saman rakennuksen tehokas osastointi, varastojen jakaminen useampaan osaan tai tietokoneiden tietoarkistojen kaksoiskappaleiden sijoittaminen varsinaisesta arkistosta täysin erilliseen rakennukseen. Riskin jakamista on myös, kun yritys ei toimi yhdessä vaan useammassa toimipisteessä. Tämä saattaa aiheuttaa suurempia hallintokustannuksia sekä lisätä kuljetuskustannuksia. Hyötypuolelle voidaan kuitenkin laskea keskeytys- ja piilomenetysten pieneneminen, koska kaikki varastot tai toimintapisteet eivät voi tuhoutua samalla kertaa, sekä mahdolliset vakuutusmaksualennukset. Vahingontorjunta Vahingontorjunta on riskin pienentämisen turvallisuutta tavoitteleva osa, jolla pyritään estämään vahinkotapahtuma tai pitämään vahinko mahdollisimman pienenä. Vahingontorjunta voidaan jakaa kolmeen osaan: Ennaltaehkäisevä vahingontorjunta Rajoittava vahingontorjunta Jälkivahinkojen vahingontorjunta
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 23 Ehkäisevällä vahingontorjunnalla pyritään estämään vahinkotapahtuma ja vaikuttamaan siten vahinkotaajuuteen. Ehkäisevän vahingontorjunnan toimenpiteitä, joilla voidaan vaikuttaa useiden riskien todennäköisyyteen, ovat mm: Rakenteellinen suojaus Lukitus Kulunvalvonta Rikosilmoitinlaitteisto Vartiointi Siisteys ja järjestys Jätehuolto Koneiden huolto Valvonta Viidellä ensimmäisellä näistä voidaan ehkäistä rikollista toimintaa ja tulipaloja. Käyttämällä palamattomia tai vaikeasti syttyviä rakennustarvikkeita vähennetään syttymisvaaraa. Sopivilla rakenteilla kuten aitauksilla ja kaltereilla sekä lukituksella, kulunvalvonnalla, rikosilmoituslaitteistolla ja vartioinnilla pystytään estämään luvaton liikkuminen yrityksen alueella. Tämä vähentää rikollista toimintaa kuten varkauksia, teollisuusvakoilua sekä tuhopolttoja. Siisteydellä ja järjestyksellä sekä hyvällä jätehuollolla taas voidaan ehkäistä tapaturmia ja konerikkoja sekä joissakin tapauksissa jopa tulipaloja. Järjestämällä tupakointipaikat (tupakkalaki) sekä valvomalla hitsauslupamenettelyn noudattamista (tulityöluvat) ehkäistään monta tulipaloa. Tapaturmia taas voidaan vähentää ottamalla työsuojelu huomioon jo tuotantotilan suunnitteluvaiheessa. esimerkiksi valitsemalla sopivat lattianpäällysteet, suojakaiteet ja sellaiset koneiden suojalaitteet, jotka estävät työntekijän jättämästä sormiaan tai kättään puristukseen taikka joutumasta vaatteistaan koneen sisään vetämäksi. Kuljetustavan valinnalla ja tavaroiden oikealla pakkauksella voidaan ehkäistä kuljetuksen aikana tapahtuvia vahinkoja. Rajoittava vahingontorjunta Rajoittavalla vahingontorjunnalla rajoitetaan vahingon suuruutta. Rajoittavaa vahingontorjuntaa ovat kaikki vahinkotapahtuman aikaiset pelastustoimenpinteet. Kaikkien vahinkotapausten yhteydessä rajoittava vahingontorjunta ei ole mahdollista, mutta kuuluu oleellisena osana palo-, vuoto-, myrsky- ja tulvavahinkojen torjuntaan. Palovahingon torjunnassa tulee erittäin selvästi esille rajoittavan vahingontorjunnan merkitys ja sen vaiheet, joihin kuuluvat: Sammutus ja pelastussuunnitelma Palontorjuntaorganisaatio Alkusumuttimet Palopostit Koulutus Paloilmoitin laitteisto Automaattinen sammutuslaitteisto Jälkivahinkojen torjunta Jälkivahinkojen vahinkojentorjunnalla estetään jälki- ja seurausvahinkojen, kuten esimerkiksi ruosteen, homeen tai lahon syntyminen taikka pelastetun omaisuuden anastaminen. Tällainen
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 24 toiminta tulee kysymykseen tulvan, palon tai vuodon jälkeen. Toimintaan kuuluvia toimenpiteitä ovat esimerkiksi: Raivaus Veden poisto Kuivatus Suoja-aineiden käyttö Tuuletus Lämmitys Siivous Ruosteen poisto Vartiointi Palon jälkeen savun poisto Kaikki nämä vahingontorjuntatoimenpiteet edellyttävät yrityksessä vahingontorjuntaorganisaatiota sekä ennakkosuunnitelmia ja -toimenpiteitä, jotka aiheuttavat kuitenkin kustannuksia. Osa niistä on perustamiskustannuksia - siis kertakustannuksia - ja osa sekä kertakustannuksia että jatkuvia kustannuksia. Esimerkkinä kertakustannuksista voidaan mainita suojalaitteen hankkiminen puristimeen tai leikkuriin taikka sprinklerilaitteiston hankkiminen. Kerta- ja jatkuvia kustannuksia taas aiheuttaa esim. tehdaspalokunnan perustaminen tai rikosilmoituslaitteiston asentaminen. Jatkuvia kustannuksia aiheuttaa mm. vartiointi. Vaikka vahingontorjuntatoimenpiteet aiheuttavat kustannuksia, niin säästöäkin saadaan piilomenetysten pois jäämisenä, toiminnan keskeytysajan lyhenemisenä ja usein myös vakuutusmaksualennusten muodossa. 2.5.4 Riskin ottaminen Riskin ottaminen on riskin seurausten hyväksymistä. Yritys ottaa riskin kannettavakseen vakuuttamatta sitä ulkopuolisessa vakuutusyhtiössä. Riskin ottaminen voidaan jakaa kahteen osaan: Omalla vastuulla pitämiseen Kytkösyhtiöön Omalla vastuulla pitäminen Omalla vastuulla pitämistä on sekä tietoista että tahatonta, tiedostamatonta. Tietoista omalla vastuulla pitämistä on, kun kohde jätetään tietyn riskin varalta vakuuttamatta, tietoisesti alivakuutetaan, taikka vakuutukseen otetaan suuri oma vastuu. Tiedostamatonta omalla vastuulla pitämistä on tahaton alivakuuttaminen, mikä saattaa johtua siitä, että vakuutusta tehtäessä ei olla perillä rakennuksen tai koneiden todellisista jälleenhankintakustannuksista, tai vakuutusta ei ole sidottu indeksiin. Tiedostamattomia omalle vastuulle jääviä menetyksiä ovat myös usein piilomenetykset. Riskinhallinnalla pystytään selvittämään kaikki yrityksen omalla vastuulla olevat riskit ja menetykset, jolloin ne tulevat tiedostetuiksi ja niiden varalle voidaan etukäteen varautua. Tällaisten vahinkojen ja menetysten varalle voidaan varautua rahastoimalla vuosittain riittävä summa. Tarvittaessa summaa voidaan pyrkiä pienentämään myös muilla riskinhallintakeinoilla, erityisesti vahingontorjunnalla. Kuitenkin on huomattava, että jos riski on yrityksen kannalta katastrofi, on riski aina vakuutettava. Kytkösyhtiö Kytkösyhtiöllä (captiveyhtiö) tarkoitetaan yrityksen oman vakuutusten hoitamista varten perustamaa vakuutusyhtiötä. Kytkösyhtiö voi olla joko ensivakuutuskytkösyhtiö tai jälleenvakuutus-
CS20A0450 Yritysturvallisuus Lappeenrannan teknillinen yliopisto/ juhani.kuronen@lut.fi 25 kytkösyhtiö. Ensivakuutuskytkösyhtiö toimii normaalin vakuutusyhtiön tavoin ja jälleenvakuuttaa vakuuttamansa pääyhtiön kohteet ja riskit mahdollisimman täydellisesti edelleen. Kytkösyhtiö ei yleensä ota vastaan muita kuin oman pääyhtiönsä vakuutuksia. Tällaisella menettelyllä pääyhtiö voi säästää vakuutusmaksuissa, mutta kytkösyhtiö tarvitsee tietyn pääoman ja lisäksi se aiheuttaa henkilökustannuksia, vaikka monasti voidaan kytkösyhtiötehtävien hoito ainakin osittain antaa pääyhtiön virkailijoiden hoidettavaksi omien tehtävien ohella. Pienen kytkösyhtiön on toisaalta vaikea hoitaa vahingontorjuntatyötä, koska eri alojen vahingontorjunta-asiantuntijoiden palkkaaminen pieneen yhtiöön nostaisi kustannukset liian suuriksi. Ensivakuutuskytkösyhtiön antamat edut ja haitat voidaan lyhyesti esittää seuraavasti: Edut: Alhaiset vakuutusmaksut Alhaiset hoitokustannukset Rahastoidut varat omaan käyttöön Nopea korvausten hoito Joustavat vakuutusehdot Haitat: Suppeat tilastot Suuret vuosittaiset vaihtelut korvauksissa Vahingontorjuntatyö vähäistä ja heikkoa Ei ole käytettävissä vakuutusyhtiöiden tarjoamia halpoja riskianalyysipalveluja Ei ole mahdollisuutta saada vakuutusyhtiöiltä lainaa Jälleenvakuutusvaikeudet vahinkoselvittelyn asiantuntemus puutteellista 2.5.5 Vakuuttaminen Vakuuttaminen on riskinhallintakeino, jossa vahinko siirretään kokonaan tai osittain vakuutuksen antajan kannettavaksi. Vakuuttaminen eroaa riskin siirtämisestä siinä, että vakuuttamalla yritys siirtää vahinkotapahtuman aiheuttaman taloudellisen menetyksen tai osan siitä vakuutusyhtiön kannettavaksi, mutta vahinkotapahtuman uhka ja muiden riskien hallintakeinojen käyttäminen jää edelleen yritykselle. Riskin siirtämisessä kokonaisvastuu riskistä siirrettään sopimusteitse toiselle kuten esimerkiksi kauppasopimuksessa, jossa ostetun koneen luovutus tapahtuu paikalleen asennettuna ja sen koekäytön jälkeen. Myyjä vastaa tällöin luovutushetkeen saakka kaikesta mitä koneelle saattaa tapahtua. Vakuuttaminen on riskinhallintakeino, jota on käytettävä silloin, kun riskiä ei vältetä tai siirretä, eikä pienentämistoimenpiteillä saada yrityksen kannalta mitättömäksi. Vakuuttaminen merkitsee aina yritykselle kustannuksia vakuutusmaksujen muodossa. 2.5.6 Turvallisuussuunnitelmat Riskienhallintapäällikön tai turvallisuuspäällikön tehtävänä on valvoa, että yrityksessä laaditaan turvallisuussuunnitelmat erilaisten vaaratilanteiden varalle sekä huolehtia siitä, että yrityksellä on organisaatiot, jotka toimivat tarvittaessa tehtyjen suunnitelmien mukaan. Lisäksi hänen on huolehdittava siitä, että yrityksen henkilökunta tuntee suunnitelmat ja kukin tietää tehtävänsä sekä osaa toimia oikein. Tällaisia turvallisuussuunnitelmia ovat muun muassa: