Operatiiviset riskit

Operatiiviset riskit – ”toimimattomat prosessit, järjestelmät tai ihmiset”

  • Operatiivinen riski on seuraus tapahtumasta, joka aiheutuu riittämättömistä tai toimimattomista sisäisistä prosesseista, järjestelmistä tai ihmisistä. Operatiiviset riskit ovat organisaation toimintoihin liittyviä välittömien tai välillisten vahinkojen riskejä tai vahingollisia seurauksia maineelle, jotka voivat seurata virheistä tai puutteista organisaation sisäisissä prosesseissa.
  • Seuraavassa on tarkasteltu operatiivisiin riskeihin liittyviä osa-alueita esimerkeittäin. Kunkin riskin alatyypin osalta on pyritty esimerkinomaisesti löytämään positiivinen (P) ja negatiivinen ulottuvuus (N).

a. Toiminnan tavoitteet

P: Toiminnalliset tavoitteet ovat johdettu ylemmän tason tavoitteista, jotka ovat selkeitä sekä mitattavia ja mahdollistavat laadukkaan toiminnan seurannan ja valvonnan.

N: Toiminnan tavoitteita ei ole määritelty eikä kuvattu tai ne ovat epäselviä tai niitä ei voida mitata, eivätkä ne mahdollista riittävää toiminnan seurantaa ja valvontaa.

b. Toiminnan suunnittelu

P: Operatiivisen toiminnan suunnittelu on synkronoitu strategisen suunnittelun kanssa yhteen. Organisaatio kykenee varmistamaan strategisten tavoitteiden toteuttamisen operatiivisessa toiminnassaan.

N: Operatiivisen toiminnan suunnittelua ei ole synkronoitu strategisen suunnittelun kanssa yhteen jolloin operatiivinen toiminta on osittain tai täysin irrallaan strategisesta tason tavoiteasetannasta ja suunnittelusta. Organisaation operatiivinen suunnittelu keskittyy strategisten tavoitteiden kannalta epäolennaisiin tai täysin vääriin asioihin, eikä tue strategisten tavoitteiden saavuttamista.

c. Raportointi ja toiminnan seuranta

P: Organisaatio on määritellyt olennaisen tiedon, joita se tarvitsee liiketoimintaansa laadukkaaseen johtamiseen ja on varmistanut, että taloudellinen ja muu raportointiprosessi tuottaa tiedot luotettavasti, oikeansisältöisinä ja ajallaan.

N: Organisaatio ei ole määritelty olennaista tietoa liiketoimintansa tehokkaan johtamisen tueksi. Johtamiseen ja päätökseen tekoon tarvittava tieto tuotetaan ennalta määrittelemättömien prosessien kautta ja tietojen oikeellisuutta, riittävyyttä tai ajantasaisuutta ei kyetä varmentamaan.

d. Toiminnan seurannan mittarit

P: Toiminnan seuranta perustuu tavoitteiden kannalta ennalta määriteltyihin mittareihin, jotka tukevat tavoitteiden saavuttamisen arvioimista. Toiminnan seuranta on säännöllistä ja perustuu luotettavaan ja ajantasaiseen raportointiin.

N: Toiminnan seurantaa varten ei ole määritelty tavoitteiden seurantaa tukevia mittareita. Toiminnan seuranta organisaatiossa ei ole systemaattista eikä luotettavaa. Seurannan mittareita ei ole tai niitä ei ole päätetty ennalta niin, että niillä seurattaisiin relevantteja asioita riittävän tarkalla tavalla.

e. Päätösten pohjana oleva informaatio

P: Organisaatiolla on olemassa hyvin määritellyt ja kuvatut päätöksentekoprosessit. Niissä on huomioitu tarvittavien tietojen riittävyys ja oikeellisuus samoin kuin vaikutusten arviointi käyttäen tarvittaessa ulkopuolisia asiantuntijoita ja/tai tiedon luonteesta riippuen muita, riippumattomia lähteitä.

N: Organisaatio ei ole etukäteen määritellyt tai kuvannut päätöksentekoprosessejaan, eikä niihin liittyvien osapuolten vastuita. Tämä voi johtaa siihen, että organisaatio ei osaa kerätä kaikkea päätöksenteon edellyttämää tietoa ja päätös tehdään osin virheellisen tai puutteellisen tiedon varassa. Tämä voi johtaa siihen, ettei organisaatio kykene saavuttamaan tavoiteltuja hyötyjä.

f. Päätösten toimeenpano

P: Organisaatio seuraa tekemiensä päätösten toimeenpanoa päätösten tärkeyden kannalta tarkoituksenmukaisella organisaatiotasolla. Toimeenpanolle on asetettu selkeät tavoitteet. Toimeenpanosta on tehty suunnitelmat ja asetettu aikataulu, jonka toteutumista myös seurataan systemaattisesti ja säännöllisesti. Eri toimeenpanoprojektien keskinäiset riippuvuudet on tunnistettu ja projektin viivästyessä tai muuten poiketessa suunnitellusta tieto välitetään ja vaikutukset analysoidaan myös niissä projekteissa, jotka ovat tästä riippuvaisia.

N: Organisaatio ei seuraa tekemiensä päätösten toimeenpanoa päätöksen tärkeyden kannalta tarkoituksenmukaisella organisaatiotasolla. Toimeenpanolle ei ole asetettu tavoitteita tai ne eivät ole selkeitä. Toimeenpanosta ei ole riittäviä suunnitelmia ja niille ei ole asetettu aikataulua, jonka toteutumista seurattaisiin systemaattisesti ja säännöllisesti. Eri toimeenpanoprojektien keskinäisiä riippuvuuksia ei ole tunnistettu ja projektin viivästyessä tai muuten poiketessa suunnitellusta tietoa tästä ei välitetä ja vaikutuksia analysoida myös niissä projekteissa, jotka ovat tästä riippuvaisia.

a. Teknologian kehitys

P: Organisaatio seuraa alansa teknologista kehitystä ja pyrkii myös itse mahdollisuuksien mukaan hyödyntämään ja kehittämään teknologiaa toiminnan ja markkinoiden tarpeet huomioiden. Tämä mahdollistaa sen, että organisaatio on varautunut markkinoiden tarpeiden muutoksiin ajoissa ja kykenee vastaamaan niihin.

N: Organisaatio ei seuraa alansa teknologista kehitystä, eikä pyri itse kehittämään käyttämäänsä teknologiaa taikka ei etsi uusia teknologisia ratkaisuja.

b. Uuden teknologian valinta

P: Organisaatio huomioi teknologian kehityksen toimintaan ja teknologiaan liittyviä päätöksiä tehdessään sekä arvioi niihin vaadittavat investoinnit lyhyellä ja pitkällä aikavälillä. Näin teknologian elinkaari saadaan mahdollisimman pitkäksi ja valinnat ovat mahdollisimman kustannustehokkaita.

N: Organisaatio tekee teknologiset valinnat lyhytjänteisesti vain nykyhetken tarpeiden pohjalta pyrkimättä ennakoimaan, miten tarpeet ja teknologiat tulevat muuttumaan tulevaisuudessa. Organisaatio saattaa valita ja investoida teknologisiin ratkaisuihin, jotka vanhentuvat hyvin pian, jotka eivät ollenkaan skaalaudu tai jousta muuttuvien tarpeiden suuntaan, vaan pakottavat organisaation hyvin pian valitsemaan kokonaan uusia teknologioita ja tekemään massiivia investointeja. Näin valitun teknologisen ratkaisun elinkaari jää tarpeettoman lyhyeksi ja tehdyt valinnat tulevat erittäin kalliiksi.

c. Integrointi ja järjestelmäarkkitehtuuri

P: Organisaatio ottaa teknologisissa valinnoissaan huomioon mahdolliset integrointitarpeet jo olemassa oleviin tai hankittaviin järjestelmiin, jolloin valitut ratkaisut tukevat olemassa olevaa sekä uutta järjestelmäarkkitehtuuria. Kokonaisuuden ja yksittäisten ratkaisujen elinkaari pitenee ja investoinnit voidaan tehdä kustannustehokkaasti.

N: Organisaatio ei huomioi teknologisia valintoja tehdessään olemassa olevaa järjestelmäarkkitehtuuria, jolloin uudet ratkaisut eivät integroidu haluttuun ympäristöön tai ratkaisut eivät tue tulevaisuuden kehitystä. Kokonaisuuden ja yksittäisten ratkaisujen elinkaari lyhenee ja investoinnit tulevat kalliiksi.

a. Tiedon luottamuksellisuus

P: Organisaatiolla on selkeä tietoturvaohjeistus, -koulutus ja –valvonta, joilla varmistetaan, että luottamuksellisiksi/salaisiksi luokitellut tiedot ovat vain niiden käytettävissä, jotka tietoa työssään tarvitsevat. Ulkopuolisten pääsy tietoihin on estetty tehokkaasti.

N: Organisaatiolla ei ole selkeää tietoturvaohjeistusta, -koulutusta tai -valvontaa, mikä vaarantaa organisaation luottamuksellisiksi/salaisiksi luokiteltujen tietojen turvallisuuden. Tiedot voivat joutua vääriin käsiin ja valvontajärjestelmän puutteiden takia organisaatio ei välttämättä havaitse tätä ajoissa.

b. Kriittiset tietojärjestelmät

P: Organisaatio on määritellyt kriittiset tietojärjestelmät sekä varmistanut niissä olevien tietojen suojaukset, palautukset sekä saatavuuden.

N: Organisaatio ei ole tunnistanut kriittisiä tietojärjestelmiään, eikä ole huolehtinut niissä olevien tietojen suojaamisesta ja varmistusmenettelyistä kriittisyyden edellyttämällä tavalla. Organisaatiolla ei ole varmistuksia ja menettelytapoja, jotka mahdollistavat kriittisten tietojen saatavuuden ja/tai niiden palauttamisen silloinkin, kun kriittinen tietojärjestelmä on vikaantunut.

c. Tiedon eheys

P: Organisaatio on huolehtinut automaattisilla ja manuaalisilla kontrolleilla ja ohjeistuksella siitä, että tietojärjestelmissä olevat tiedot siirtyvät järjestelmistä toiseen eheinä ja tietoja ei pääse tahattomasti tai tahallisesti muuttamaan tai tuhoamaan. Virheiden ja väärinkäytösten varalta organisaatiolla on lain sallimat menetelmät asian selvittämiseksi ja virheiden tunnistamiseksi ja korjaamiseksi.

N: Organisaatio ei ole huolehtinut automaattisilla tai manuaalisilla kontrolleilla ja ohjeistuksella tiedon eheydestä ja tämän seurauksena tieto voi siirtyä epätäydellisenä tai sen tietojärjestelmissä olevia tietoja on mahdollista muuttaa tai tuhota tahattomasti tai tahallisesti ilman, että organisaatio välttämättä havaitsee virhettä tai kykenee sitä korjaamaan. Menetelmät ja tekniset ratkaisut näiden mahdollistamiseksi puuttuvat.

d. Kyberriskit

P: Yritys on suojautunut ja pyrkii jatkuvasti kehittämään suojaustaan tieto- ja viestintäteknologian avulla tapahtuvia hyökkäyksiä ja niihin liittyviä vahinkomahdollisuuksia vastaan siten, että tieto- ja viestintäteknologiaan liittyville tai siitä riippuvaisille järjestelmille, laitteille, toiminnoille tai käyttäjille ei aiheutu merkittävää riskiä. Suojaus kattaa mm. kybertoimintaympäristön, siihen liittyvän informaatio- ja kommunikaatioteknologian sekä toisiinsa teknologian avulla vuorovaikutuksessa olevat laitteet ja käyttäjien kouluttamisen ja ohjeistamisen.

N: Yritys on laiminlyönyt suojauksensa ja sen jatkuvan kehittämisen tieto- ja viestintäteknologian avulla tapahtuvia hyökkäyksiä ja niihin liittyviä vahinkomahdollisuuksia vastaan. Tästä aiheutuu merkittävää riskiä tieto- ja viestintäteknologiaan liittyville tai siitä riippuvaisille järjestelmille, laitteille, toiminnoille tai käyttäjille. Yritys ei pyri pitämään kybertoimintaympäristöään, siihen liittyvää informaatio- ja kommunikaatioteknologiaa eikä toisiinsa teknologian avulla vuorovaikutuksessa olevia laitteita suojattuina eikä panosta käyttäjien kouluttamiseen ja ohjeistamiseen.

Kyberriskeistä

Kyberriskit ovat nouseet uudeksi käsitteeksi kattamaan laajempaa toimtakentää, johon yritysjohdon on suunnattava katseensa aikaisempaa tarkemmin.

FERMA – ECIIA Cyber Risk Governance Report

The recommendation for a cyber risk governance model comes in a report published 29.7.2017 by the Federation of European Risk Management Associations (FERMA) and the European Confederation of Institutes of Internal Auditing (ECIIA).

The report, “At the junction of corporate governance and cybersecurity“, aims primarily at supporting European organisations in meeting their obligations under the EU General Data Protection Regulation and Network Information Security Directive.

RSA White Paper (2016): Cyber Risk Appetite: Defining and Understanding Risk in the Modern EnterpriseThis paper in collaboration with Deloitte, defines cyber risk and cyber risk appetite and provides a foundation for organizations looking to better understand and quantify cyber risk.

COSO:n raportti (tammikuu 2015) Coso in the Cyber Age

a. Tuotteiden tai palvelujen laatu

P: Yrityksen kyky hyödyntää henkilöstön osaamista, teknologiaa ja systemaattisia työmenetelmiä varmistaa tuotteiden ja/tai palveluiden laadun sekä asiakastyytyväisyyden sekä yrityksen toiminnan tarkoituksen mukaisuuden / toiminnan liiketaloudellisen kannattavuuden sekä lyhyellä että pitkällä aikavälillä.

N: Yritykseltä puuttuu toimintamalli ja prosessit, joilla se tuottaa palveluita tai tuotteita laadukkaasti. Kyky systemaattiseen toimintaan sekä valvonnan puutteet laadunvarmistuksessa aiheuttaa tuotteiden ja/tai palveluiden laatupoikkeamia ja edelleen ylimääräisiä kustannuksia, asiakkaiden tyytymättömyyttä yrityksen toimintaan, mikä edelleen voi vaarantaa toiminnan tarkoituksen mukaisuuden ja/tai taloudellisen kannattavuuden.

b. Toimittajahallinta

P: Yrityksellä on keskistetysti selkeästi määritelty hankintastrategia ja periaatteet, jotka perustuvat yrityksen arvoketjuun ja haluttuun toimintamalliin. Hankintaperiaatteissa on määritelty ainakin:

  • kriittisten toimittajien tunnistaminen
  • toimittajien laatumittarit
  • periaatteet kriittisten toimittajien hallintaan

Yllä olevien näkökulmien pohjalta voidaan yhdistää esim. toimittajien toimitusvarmuus, laatu suhteessa heidän taloudelliseen tilaan.

N: Yritys ei ole määritellyt periaatteita toimittajahallintaan, jolloin toiminta ei ole kustannustehokasta, riippuvuus yksittäisestä toimittajasta voi olla merkittävä ja periaatteet toimitus ehtoihin voivat vaihdella toimittajista riippuen epäedullisesti yrityksen kannalta.

c. Prosessien tehokkuus

P: Yritys on määritellyt ja kuvannut toiminnan kannalta kriittiset prosessit sekä hyödyntänyt niitä toiminnan kehittämisessä, viestinnässä sekä valvonnan kehittämisessä. Hyvin toimivat ja selkeästi kuvatut ja toteutetut prosessit varmistavat tehokkaan toiminnan yrityksessä. Nämä antavat yritykselle etulyöntiasemaa vasten kilpailijoita ja tukevat yrityksen toiminnallisiin ja taloudellisiin tavoitteisiin pääsyä.

N: Yritys ei ole määritellyt tai kuvannut toiminnan kannalta kriittisiä prosesseja. Yleinen ymmärrys toiminnan tehokkuudesta, vastuista ja tehtävistä ei ole selvä jolloin toiminta saattaa olla tehotonta, toiminnan laatu huonoa ja ymmärrys tehtävien ja vastuiden merkityksestä yrityksessä voi olla epäselvä.

d. Jakelukanavat

P: Yritys on tunnistanut ja määritellyt toiminnan kannalta joustavimmat, nopeimmat ja kustannustehokkaimmat jakelukanavat sekä neuvotellut liiketoiminnan luonteen kannalta optimaaliset jakelusopimukset eri toimittajien kanssa perustuen tilauskantaan ja sen aikajänteeseen. Jakelukanavaratkaisut tukevat toiminnan kannattavuutta sekä asiakastyytyväisyyttä.

N: Yritys ei ole tunnistanut ja määritellyt toiminnan luonteen kannalta joustavia ja kustannustehokkaita jakelukanavia mikä voi aiheuttaa asiakastyytymättömyyttä sekä lisäkustannuksia.

a. Osaavan henkilöstön saatavuus

P: Yritys on määritellyt yhtenäisen henkilöstösuunnitelman, jossa on määritelty koko toiminnan näkökulmasta kriittiset nykyiset ja tulevat osaamistarpeet, avainhenkilöt sekä rekrytointi tai seuraajasuunnitelma.

N: Yritys ei ole määritellyt henkilöstösuunnitelmaa eikä varautunut henkilöstön vaihtumiseen tai uusiin osaamistarpeisiin, minkä vuoksi osaavaa henkilöstöä ei saada palkattua ajoissa ja yrityksen toiminnan tehokkuus kärsii.

b. Avainhenkilöiden osaamisen ja työpanoksen pysyvyys

P: Avainhenkilöiden sitouttaminen yritykseen esim. palkitsemis- ja eläke ratkaisuilla on suunniteltu pitkällä tähtäimellä. Myös seuraajasuunnittelua tehdään ajoissa, jolloin osaaminen ehditään siirtämään seuraajalle.

N: Avainhenkilöstöä ei ole sitoutettu yritykseen ja heidän poislähtönsä tulee yllättäen eikä osaamista ehditä siirtää seuraajalle.

c. Arvot ja eettiset toimintatavat

P: Yrityksen arvot ja eettiset toimintatavat on määritelty ja organisaatiokulttuuria on rakennettu systemaattisesti. Tavoitteet ovat selkeät ja ne on viestitty läpi organisaation. Eettistä ilmapiiriä ja tavoitteisiin pääsyä tuetaan selkeillä toimenkuvilla, tarkoituksenmukaisilla sekä läpinäkyvällä ja oikeudenmukaisella palkitsemisjärjestelmällä.

N: Yrityksen arvoja ja eettisiä periaatteita ei ole määritelty eikä niiden toteutumista valvota käytännössä. Työntekijöille ei ole asetettu arvojen mukaisia tavoitteita tai niiden toteutusta valvota. Yritysjohto itse ei toteuta johtamisessaan ja toiminnassaan arvojen mukaista toimintaa mikä vähentää henkilöstön motivaatiota ja sitoutumista. Lisäksi toimintaa ohjaavat valvontamenettelyt ovat puutteellisia, mikä altistaa virheille ja väärinkäytöksille.

a. Projektin tavoitteen asetanta

P: Projektille asetetaan projektijohdon/projektin omistajan toimesta konkreettiset tavoitteet ja niille määritellään vastuut sekä mittarit, joita seurataan säännöllisesti.

N: Projektille ei aseteta konkreettisia mitattavia tavoitteita projektijohdon/projektin omistajan toimesta, jolloin tavoitteet jäävät epäselviksi eikä niiden seuranta ei ole selkeää ja projektin johtaminen ei ole johdonmukaista.

b. Projektin toimintamalli, aikataulut, kustannukset ja resurssit

P: Projektin toimintamalli, aikataulut, kustannukset ja resurssit määritellään projektin alussa projektijohdon toimesta riittävän kattavasti ja yksityiskohtaisesti sekä viestitään kaikille projektiin osallistuville selkeästi ja yhtenäisesti, jolloin näkemys ja tekemiset vaatimuksista ovat selvät ja projektin tavoitteiden saavuttaminen annetuilla reunaehdoilla on varmistettu.

N: Projektin toimintamallia, aikatauluja, kustannuksia eikä resursseja osata määritellä tai arvioida projektin alussa projektijohdon toimesta riittävän selvästi jolloin projektin eteneminen voi hidastua, projektiin kustannukset voivat ylittyä ja resursointi ei ole optimaalinen, jolloin projektin tavoitteita ei saavuteta.

c. Projektin johtaminen ja seuranta

P: Projektin johtaminen ja seuranta on järjestelmällistä ja jatkuvaa sekä perustuu projektin alussa tehtyihin tavoitteisiin, jolloin projektiin varattujen resurssien kohdentaminen on ajantasaista ja kustannustehokasta.

N: Projektin johtaminen ja seuranta on puutteellista, jolloin projektijohdolla tai projektiin osallistuvilla ei ole käsitystä projektin etenemisestä, projektin kustannukset ja resursointi voidaan arvioida väärin eikä tavoitteita saavuteta.

d. Projektin lopputulosten vieminen käytäntöön

P: Projektin lopputulosten vieminen käytäntöön on huomioitu jo projektin alussa tehdyssä tavoiteasetannassa sekä projektijohdon jatkuva selkeisiin mittareihin perustuva seuranta ja valvonta varmistavat projektista saatujen hyötyjen maksimoinnin.

N: Projektin lopputulosten vieminen käytäntöön epäonnistuu johtuen puutteista projektin käyttöönoton suunnittelussa, resursoinnissa ja/tai toteutuksessa.

P: Sopimukset tehdään kirjallisesti ja tunnistetaan omat ja vastapuolen vastuut ja velvoitteet. Rajataan vastuut sopimuksissa vastaamaan yrityksen riskiprofiilia. Järjestetään vastuuvakuutukset tarvittaessa vakuutusmeklarin avustuksella vahingonkorvausvastuiden varalle.

N: Kirjallisten sopimusten puuttuessa velvoitteita ja vahingonkorvausvastuita on vaikea selvittää, varsinkin jos teosta tai laiminlyönnistä on pidempi aika. Vastuuvakuutusten puuttuessa tai ollessa puutteellisia vahingonkorvausvastuut saattavat yllättää varsinkin kansainvälisessä toiminnassa.

P: (on yhteinen kaikille alla kuvatuille alakohdille (a – g).
Yritys on suunnitellut, kuvannut ja toteuttanut prosessinsa ja niiden kontrollit riskiperustaisesti ja oikein mitoittaen. Tämä tukee yrityksen laatutavoitteita ja mielikuvaa asiakkaiden silmissä. Sillä, että rikokset ja väärinkäytökset eivät merkittävästi rasita yrityksen toimintaa, on myös suuri merkitys työssä viihtymisen ja työnantajamielikuvan kannalta.

a. Tuotanto-toimitusketjun rikosriskit (varkaudet, kavallukset, vahingonteot, vandalismi)

N: Yritys ei ole arvioinut tuotanto-toimitusketjuunsa liittyviä rikosriskejä, eikä ole näin myöskään toteuttanut tähän liittyviä kontrolleja, sopimusvaatimuksia alihankkijoille, eikä näiden valvontaa ja varmistamista. Yrityksen omaisuus ja mahdollisesti sen hallussa oleva asiakkaiden omaisuus altistuu rikoksille ja väärinkäytöksille. Pitkään jatkuessaan ja jos rikokset ovat vakavia, tämä rapauttaa yrityksen laatumielikuvaa ja asiakkaiden yrityksen tuotteita ja palveluita kohtaan tuntemaa luottamusta. Luottamuksen puuttuessa asiakkaat siirtyvät käyttämään kilpailijoiden tuotteita ja palveluita.

b. Yksityisyyden suojaan liittyvät riskit

N: Yritys ei ole ottanut huomioon yksityisyyden suojaan liittyvän lainsäädännön vaatimuksia, eikä seuraa tämän voimakkaassa kehityksen tilassa olevan lainsäädännön osa-alueen muutoksia ja/tai ei arvioi riittävästi, miten lainsäädännön muutokset edellyttävät sen muuttavan toimintaansa. Ilmi tulevat yksityisyyden suojan loukkaukset antavat helposti kuvan ylimielisesti ja vähätellen asiakkaiden ja työntekijöiden henkilötietoihin ja niiden suojaamiseen suhtautuvasta yrityksestä ja yritys menettää asiakkaiden ja henkilökunnan luottamuksen. Samoin tapahtunut voi saada aikaan viranomaisprosessien käynnistymisen, joissa selvitetään, onko yritys toiminut lain edellyttämällä tavalla. Joissakin tilanteissa myös merkittävät vahingonkorvausvaatimukset ja/tai muut rahamääräiset seuraamukset ovat mahdollisia.

c. Immateriaalioikeuksien loukkaamisen liittyvät riskit

N: Yritys ei ole ottanut huomioon immateriaalioikeuksien suojaan liittyvän lainsäädännön vaatimuksia, eikä seuraa tämän voimakkaassa kehityksen tilassa olevan lainsäädännön osa-alueen muutoksia ja/tai ei arvioi riittävästi, miten lainsäädännön muutokset edellyttävät sen muuttavan toimintaansa. Ilmi tulevat asiakkaiden, henkilökunnan tai ohjelmistotoimittajien immateriaalioikeuksien loukkaukset antavat helposti kuvan ylimielisesti ja vähätellen asiakkaiden ja työntekijöiden oikeuksiin ja niiden suojaamiseen suhtautuvasta yrityksestä ja yritys menettää asiakkaiden ja henkilökunnan luottamuksen. Samoin tapahtunut voi saada aikaan viranomaisprosessien käynnistymisen, joissa selvitetään, onko yritys toiminut lain edellyttämällä tavalla. Myös merkittävät vahingonkorvausvaatimukset ovat mahdollisia.

d. Riskit liittyen välinpitämättömyyteen laillisista velvollisuuksista (esim. henkilöstön työturvallisuusvaatimusten rikkominen)

N: Yritys ja sen johto suhtautuvat välinpitämättömästi työturvallisuuteen ja sitä koskevaan lainsäädäntöön. Yrityksessä ei ole systemaattista ja tavoitteellista työturvallisuuden seurantaa ja kehittämistä, eikä hyvää työturvallisuuskulttuuria. Yrityksessä sattuu suhteellisen paljon työtapaturmia, pahimmassa tapauksessa kuolemantapauksia, mutta niitä ei seurata ja niiden määrän kasvu ja vakavoituminen eivät aiheuta kehitystoimenpiteitä. Tämän vaikuttaa negatiivisesti työssä viihtymiseen ja työnantajamielikuvaan. Yritys altistuu myös viranomaismenettelyille ja joissain tapauksissa yrityksen ylin johto voi saada syytteen työturvallisuusrikoksesta.

e. Terrorismiriskit

N: Yrityksellä ei ole systemaattista prosessia, joka kattaisi myös sen tunnistamisen, millainen riskiprofiili yrityksellä on terrorismiriskien suhteen. Se ei seuraa toimintamaidensa maariskejä, eikä sitä, mihin sen liikematkustajien matkustaminen suuntautuu ja millainen näiden maiden riskitilanne on. Yritys tai sen henkilöstö saattavat joutua terroristisessa tarkoituksessa tehtyjen rikosten kohteeksi tarkoituksellisesti tai sattumalta. Yrityksellä ei ole myöskään suunniteltuna toimintatapoja tällaisten tilanteiden hoitamiseksi riskin realisoiduttua.

f. Vakavat rikosriskit (hyökkäykset tuotantoa tai infrastruktuuria vastaan)

N: Yritys ei ole arvioinut tuotantoonsa ja infrastruktuuriinsa kohdistuvia vakavia rikosriskejä, eikä ole näin myöskään toteuttanut tähän liittyviä kontrolleja, sopimusvaatimuksia alihankkijoille, eikä näiden valvontaa ja varmistamista. Yrityksen omaisuus, sen tuotannollinen toiminta ja infrastruktuuri altistuvat vakaville rikoksille ja väärinkäytöksille. Vakavat rikosriskit saattavat aiheuttaa huomattavia menetyksiä ja katkoksia yrityksen toiminnalle.

g. Ääriolosuhteisiin liittyvät riskit (sodanuhka, sota, epidemiat, makrotalouden kriisit)

N: Yrityksellä ei ole systemaattista makroriskien tunnistamisen ja seurannan menettelytapoja, eikä tähän liittyvää ennakollista kehitystyötä. Yritys ei ole varmistanut resursseja käyttöönsä tilanteessa, jossa sen toimintamaata kohtaa sodanuhka tai sotatilanne. Yritys ei ole suunnitellut resurssien varmistamisen tapoja tilanteessa, jossa esimerkiksi epidemia aiheuttaa huomattavaa henkilöstöresurssien vajetta. Yrityksellä ei ole ennakolta suunniteltuja ja harjoiteltuja toimintatapoja tällaisten tilanteiden varalle, jolloin tapahtumat aiheuttavat sille tarpeettoman pitkäaikaisia ongelmia ja toiminnan katkoksia.