Earn-out – riskin ja tuoton jakoa yrityskaupassa

Earn-out -mekanismin käyttö saattaa myös auttaa osapuolia toteuttamaan kaupan, mikäli myyjän ja ostajan näkemykset kohteen arvosta eriävät merkittävästi. Mikäli esimerkiksi myyjän ennustama kasvu- tai tuottopotenttiali toteutuu, saa myyjä tällöin siitä osansa.


Onko se yleistä?

Yrityskauppojen volyymi notkahti vuonna 2016 maailmanlaajuisesti. Samalla kaupan ehdot muuttuivat hieman aikaisempaa ostajamyönteisemmiksi. Euroopassa vastaavasti earn-out -järjestelyjä tehtiin ennätysmäärä, earn-outin määräytymisperiodien ollessa myös aiempaa pidempiä.

Euroopassa earn-out -mekanismeja käytettiin 22 prosentissa kaupoista, joissa 23 prosentissa earn-outin määräytymisperiodi oli vähintään kolme vuotta.

Erityisesti earn-out -mekanismi on käytössä lifescience, teknolgia- ja ICT-alan kaupoissa. Vastaavasti ne ovat harvinaisia kohteen toimiessa esimerkiksi infrastruktuuri- tai kiinteistöalalla.


Millä mitataan?

Lisäkauppahinnan mittareista yleisin on EBIT/EBITDA, johon vuonna 2016 sidottiin 42 prosenttia lisäkauppahinnasta. Huomionarvoista kuitenkin on, että 32 prosenttia lisäkauppahintamekanismeista oli sidottu liikevaihtoon. Tämä saattaa merkitä sitä, että ostajat arvostavat kohteen kaupan jälkeen jatkuvaa myyntiä enemmän kun mitattavissa olevaa tuloksentekokykyä. Myös pidentyneet earn-out -periodit saattavat vaikeuttaa muiden mittareiden käyttöä, ja tehdä liikevaihdosta kaikessa yksinkertaisuudessaan houkuttelevan mittarin.

Mittarit voidaan myös räätälöidä kohdekohtaisesti ja sitoa esimerkiksi konkreettisiin liiketoimintasuunnitelmassa määriteltyihin toimenpiteisiin.

 

Mittarit voidaan myös räätälöidä kohdekohtaisesti ja sitoa esimerkiksi konkreettisiin liiketoimintasuunnitelmassa määriteltyihin toimenpiteisiin


Ja ettei kaikki olisi helppoa…

Koska earn-out koskee tulevaisuutta – ja koska tulevaisuuden ennakointi on tunnetusti hankalaa – on earn-outia koskeviin sopimuskohtiin kiinnitettävä eritystä huomiota.

Ostaja haluaa lähtökohtaisesti earn-out -periodin aikana vapauden muuttaa liiketoiminnan rakennetta (sulautua, jakautua, ostaa uusia liiketoimintoja yms.), mikä voi tehdä earn-outin perusteena olevien lukujen seuraamisen vaikeaksi, ellei jopa mahdottomaksi. Tämän johdosta myyjän etu pyritään turvaamaan esimerkiksi rajoittamalla ostajan oikeutta tiettyihin liiketoiminnan muutoksiin, oikaisemalla ulkopuolisia kulueriä ja vastaavasti eräännyttämään earn-out maksettavaksi kokonaan tai osittain, mikäli kiellettyjä muutoksia tehdään. Mitä pidemmästä earn-out -periodista sovitaan, sitä vaikeampi on kuitenkin asettaa seurattavia mittareita sekä rajoittaa ostajan toimintavapautta liiketoiminnan jatkamisen suhteen.

Earn-outin huono puoli onkin se, että se on erittäin riitaherkkä. Toimivan mekanismin laatimiseksi olisi ymmärrettävä mitä ostaja aikoo kohteella tehdä, huomioida suunnitellut muutokset sekä todennäköiset riskit, minkä lisäksi mekanismi tulee kauppakirjassa saattaa ymmärrettävän sopimustekstin muotoon. Ja kaiken tämän jälkeen tulee vielä varmistaa esimerkkilaskelmin, että molemmat osapuolet ovat ymmärtäneet sovitun samalla tavalla.


Lähteenä on vuoden 2016 tilastojen osalta käytetty CMS European M&A Study 2017 –julkaisua.

Juristit ja omistajastrategia

 

Erilaiset rahoitusratkaisut, joissa sijoittajat ovat mukana omistajina, ovat arkipäivää start-up-kentässä. Avainhenkilöitä otetaan enenevässä määrin mukaan omistajarooliin tekemään yritysten tulevaisuutta.

 

– Mitä kasvuhakuisen yrityksen juristille tarkoittaa omistajastrategian tunteminen ja ymmärtäminen?

– Miten juridiikkatyön laatuun vaikuttaa se, että oikeudellisia dokumentteja ei laadita vastauksina asiakkaan kysymyksiin, vaan asiakkaan liiketoiminnan ja kasvustrategian pohjalta?

 

Yritys- ja rahoitusrakenteiden suunnittelussa on pitkään ollut keskiössä rakenteiden verotehokkuus, joskus jopa liiketoiminnallisten tavoitteiden edellä. Tilanne on kuitenkin muuttunut ja muuttumassa. Kun mietitään, minkälaisessa konsernirakenteessa toimintaa harjoitetaan, miten yrityskaupat toteutetaan, mitkä ovat omistuksen saamiseen, pitämiseen ja luopumiseen liittyvät ehdot, pitää asiakkaan olosuhteet ymmärtää kokonaisvaltaisesti ja liiketoimintalähtöisesti asiakkaan ajatuksia haastaen.

 

Asiakkaan odotusarvo kokonaisuuksien hallitsemisesta

Omistajastrategiassa juristin kannalta keskiössä on usein osakassopimus ja yhtiöjärjestys sekä yritys- ja rahoitusrakenteet. Osakassopimuksen puuttuminen tai sen puutteet voivat estää uusien osakkaiden ottamisen yhtiöön, osakkaiden omistussuhteiden muuttamisen tai osakeomistusten päättämisen. Jos muutoksia saataisiinkin tehtyä, on niiden neuvottelu ja sopimusten lopputulos ennakoimaton ja pahimmillaan kallis.

 

Omistajastrategiassa juristin kannalta keskiössä on usein osakassopimus ja yhtiöjärjestys sekä yritys- ja rahoitusrakenteet

 

Asiakkaan keskusteluttaminen vaihtoehtoisista yrityksen kasvupoluista, niihin tarvittavasta rahoituksesta ja osakeomistuksen realisointivaihtoehdoista tuovat monipuolisuutta ja moniulotteisuutta sopimusten sisältöön.

Oikeudellisesti toimivat ja oivaltavat sopimusrakenteet edellyttävät vahvaa ymmärrystä eri ratkaisuvaihtoehtoihin liittyvistä osakeyhtiölain mahdollisuuksista ja rajoitteista, kirjanpitokäsittelystä, yrityksen kassavirtavaikutuksista sekä verotuksesta.  Viime aikoina entistä useammin sopimusratkaisujen heijastusvaikutukset on jouduttu pohtimaan Suomen kirjanpitolain lisäksi kansainvälisen tilinpäätöksen kannalta (IFRS).

Yritysrakenteilla ja niihin kohdistuvilla rakennejärjestelyillä ja rahoitusratkaisuilla on heijastusvaikutuksia käytettävissä oleviin vakuuksiin, asiakkaan taloudellisiin tunnuslukuihin, rahoituksen erityisehtoihin, eli kovenantteihin sekä viime kädessä mahdollisuuteen jakaa varoja osakkeenomistajille.

Moni paperilla ja piirustuslaudalla toimivaksi luultu sopimuskokonaisuus yksittäisine ehtoineen tai yritys- ja rahoitusrakenne, osoittautuu huonosti toimivaksi taloudellisen mallinnuksen jälkeen. Juristin onkin kyettävä tuomaan asiakkaalleen kaikki se kokonaisvaltainen osaaminen ja näkemyksellisyys, mitä omasta organisaatiosta ja verkostoista löytyy.

Työsuhdejuridiikkaa taantumasta nousukauteen

Henkilöstö sitoutetaan motivoivilla ja yrityksen kilpailuetua kasvattavilla palkitsemisjärjestelmillä

Yritykset ovat muuttuneiden olosuhteiden keskellä alkaneet kiinnittää yhä enemmän huomiota henkilöstön palkitsemiseen ja sitouttamiseen. Henkilöstöön halutaan panostaa, ja erilaisilla palkitsemis- ja kannustinjärjestelmillä halutaan estää avainhenkilöiden siirtyminen kilpailijan palvelukseen. Palkitsemisjärjestelmiä uudistetaan ja kehitetään, eikä perinteinen vuosibonus ole enää tarkoituksenmukaisin vaihtoehto. Työoikeus- ja palkitsemisryhmäämme ovat työllistäneet erityisesti osakeomistukseen ja työpanososinkoon perustuvien palkitsemisjärjestelmien suunnittelu ja toteuttaminen. Oikein laadittu palkitsemisjärjestelmä mahdollistaa tulospalkkion maksamisen esimerkiksi ilman palkan lakisääteisiä sivukuluja, mutta edelleen yritykselle verotuksessa vähennyskelpoisena eränä.

Nyt panostetaan koulutukseen ja osaamisen kehittämiseen

Henkilöstöön panostaminen on näkynyt myös kouluttamisessa ja osaamisen kehittämisessä. Työoikeusryhmämme juristit ovat kouluttaneet säännöllisesti yritysten esimiehiä päivittäiseen työsuhdejuridiikkaan liittyvissä aiheissa. Erityisen suosittuja ovat työturvallisuuteen, esimiehen oikeuksiin ja velvollisuuksiin sekä työnjohto-oikeuteen keskittyvät koulutukset, jotka ovat käytännönläheisiä ja liittyvät esimiehen arjen ongelmatilanteisiin.

 

Henkilöstöön panostaminen on näkynyt myös kouluttamisessa ja osaamisen kehittämisessä

 

Huomionarvoista on, että suhdanteiden vaihtelut eivät kuitenkaan ole vaikuttaneet työsuhderiitojen määrään, vaan niiden määrä on pysynyt vakiona vuodesta toiseen. Työntekijäliittojen aktiivisuudessa on puolestaan havaittavissa kasvua, ja euromääräisesti pieniäkin palkkasaatavia lähdetään vaatimaan oikeusteitse entistäkin herkemmin. Työntekijäliitot puolustavat jäsenkuntansa etuja, ja valitettavasti riitaherkkyyttä hyödynnetään niin liiton imagon rakentamisessa kuin jäsenhankinnassakin.

Yritysten sopeutuminen suhdanteiden vaihteluihin on välttämätöntä, ja henkilöstön osalta työlainsäädäntö asettaa menettelytavoille raamit. Työoikeus- ja palkitsemisryhmämme on työnantajan asialla poikkeuksetta ja neuvoo yritystä kaikissa muutostilanteissa taantumasta nousukauteen.

 

Tietosuoja – organisaation työväline ja menestystekijä

Kehitystyön edellyttämät nykytilakartoitukset tietojärjestelmien ja tietovirtojen sekä henkilötietojen käsittelyn asetelmien selvittämiseksi edellyttävät johdon ja vastuuhenkilöiden sitoutumista projektiin.

Kokemuksesta lisäarvoa

Tietosuojaprojekteissa KPMG:n tietosuojajuristit ohjaavat ja tehostavat selvitystyötä muun muassa tietotilinpäätöksen laatimiseksi sekä neuvovat henkilötietojen käsittelyn asetelmien tunnistamisessa. Osaamistamme hyödynnetään myös kehitystyön haasteita ratkaistaessa. Kokeneiden tietosuojajuristien merkitys korostuu suunniteltaessa tietosuojahallintoa ja laadittaessa esimerkiksi rekisteri- ja tietosuojaselosteita, tietosuojapolitiikkoja tai henkilötietojen käsittelyä koskevia sopimuksia. Kehitystyötä tehdään aina asiakkaan ja KPMG:n asiantuntijoiden yhteistyönä.

Tuloksekkaan tietosuojan kehitystyön myötä organisaatiolle muodostuu kattava näkemys toimintamalleistaan ja tietohallintonsa tilasta


Compliance-vaatimuksesta organisaation kilpailutekijäksi

Tuloksekkaan tietosuojan kehitystyön myötä organisaatiolle muodostuu kattava näkemys toimintamalleistaan ja tietohallintonsa tilasta. Kehitystyön tavoitteena on muodostaa organisaatioon sen tarpeita ja liiketoimintaa vastaavat toimintamallit ja käytännöt, jotka täyttävät sisäänrakennetun ja oletusarvoisen tietosuojan (privacy by design and default) vaatimukset sekä tukevat tietosuojavelvoitteiden huomioon ottamista päivittäisessä toiminnassa osoitusvelvollisuuden mukaisesti.

Tietosuoja-aiheiden noustua yleiseen tietoisuuteen myös työelämän tietosuojaa ja sähköistä viestintää koskevat säännökset herättävät kysymyksiä


Digitaaliset palvelut ja liiketoimintamallit yleistyvät

Palvelujen ja toimintamallien digitalisoituminen sekä esimerkiksi BigData-, eHealth- ja IoT-liiketoimintamallien yleistyminen edellyttävät yleisesti rekisteröityjen henkilöiden yksityisyyden ja tietosuojan huomioon ottamista palvelujen suunnittelussa ja toteuttamisessa. Tietosuoja-aiheiden noustua yleiseen tietoisuuteen myös työelämän tietosuojaa ja sähköistä viestintää koskevat säännökset herättävät kysymyksiä, ja muun muassa ICT-palvelusopimusten neuvottelun ja laatimisen yhteydessä osapuolet ymmärtävät kiinnittää huomiota myös tietosuojavaatimuksiin.

Tietosuojan ja rekisteröityjen oikeuksien ollessa erityisen huomion kohteena tietosuoja-asetuksen laatuvaatimukset täyttävä organisaatio on kiinnostava ja luotettu kumppani.

PK-yritysten kyberturvallisuus ei ole pelkästään riskienhallintaa

Liiketoiminnan ja yhteiskunnan muuttuessa yhä digitaalisemmaksi on turvallisuudesta ja tietosuojasta tullut myös merkittävä kilpailuvaltti. Asiakkaat, olivatpa he sitten yrityksiä tai yksittäisiä kuluttajia, kiinnittävät näihin asioihin entistä enemmän huomiota. Samaa tekevät myös regulaattorit ja lain säätäjät.

Keskustellessamme perhe- ja kasvuyritysten kanssa kyberturvallisuudesta usein seuraavat kysymykset askarruttavat:

  • Tietosuoja-asetus – vaikuttaako se yritykseeni?
  • Asiakkaani – kiinnostaako heitä tietoturva?
  • Mitä riskejä yritykseeni kohdistuu?
  • Kumppanit – voinko luottaa heihin?
  • Pilvipalvelut – ovatko ne turvallisia?
  • Kyberturva ja tietoturva – mitä eroa näissä on ja miksi pitäisi kiinnostaa?
  • Kaikki haluavat auditoida yritystäni/tuotettani – miten järkeistää tätä?
  • Mitä mahdollisuuksia on?

Monet näistä kysymyksistä ovat myös suurten globaalien yritysten agendalla, mutta haasteet ovat kuitenkin aika samanlaisia. Mittakaava vain saattaa olla merkittävästi erilainen.


Tietosuoja-asetus koskettaa kaikkia yrityksiä

Henkilötietojen asiallinen suojaaminen ja käsittely ovat toki muutenkin järkevää ja pakollista nykyisenkin lainsäädännön puitteissa, mutta uusi asetus tuo täsmennyksiä ja jonkin verran myös lisää vaatimuksia.


Pilvipalveluihin liittyy intohimoa ja pelkoa

Osittain oikeutetusti, osittain ei. Lähtökohta kuitenkin on se, että monet pilvipalvelut ovat turvallisempia kuin yritysten itsensä ylläpitämät IT-järjestelmät. Toki pilvipalvelun tuottajan ja oman organisaation IT-yksikön kypsyystasosta riippuen. Tietosuojamielessä kysymykseksi voi nousta tietojen säilytyspaikka. Samalla on hyvä muistaa, että jos itse tuottaa pilvipohjaisia palveluja, tulee omat asiakkaat ja yhteistyökumppanit vakuuttaa palvelun turvallisuudesta.

Tietoturvallisuus pyrkii turvaamaan tiedon saatavuuden, eheyden ja luottamuksellisuuden

Tieto- ja kyberturvallisuuden erot ja yhtäläisyydet

Arkikielessä ja mediassa nämä ovat käytännössä synonyymejä. Kun tarkemmin asiaa katsoo, tietoturvallisuus pyrkii turvaamaan tiedon saatavuuden, eheyden ja luottamuksellisuuden, olipa tieto missä tahansa muodossa. Kyberturvallisuus puolestaan liittyy sähköiseen ja digitaaliseen maailmaan. Kyberturvallisuudesta puhuttaessa voidaan tarkoittaa yhteiskunnan kriittisten toimintojen, kuten vaikka sähkön jakelun turvaamista, kun taas tietoturvallisuudesta puhuttaessa keskitytään yleensä yksittäisen organisaation (tietojen) turvaamiseen. Merkittävää käytännön vaikutusta termien erolla ei kuitenkaan ole. Uhat ja mahdollisuudet tulee tunnistaa ja tarvittavat toimenpiteet analysoida, toteuttaa ja valvoa sekä varmistaa näiden toimintojen pysyvyys.


Lisätietoa aiheesta

Ajankohtaisia uhkia, trendejä ja aiheeseen liittyviä uutisia pystyy seuraamaan reaaliajassa KPMG:n tuottamassa ilmaisessa Cyber Trends Index –palvelussa. Saatavilla on myös iPhone sovellus. Palvelu löytyy osoitteesta cyber.kpmg.com ja sovellus appStoresta.

Perhe- ja kasvuyritysten suunnan löytäminen strategisten valintojen avulla


Vaatii rohkeutta tehdä vaikeita valintoja ja aktiivisesti suunnata valittua tavoitetta kohti

Useat pk-, kasvu- ja perheyritykset ovat tilanteessa, jossa toiminnalle halutaan luoda ja viestiä selkeämpi strategia ja kirkkaammat tavoitteet. Ilman näitä yrityksen on vaikeaa luoda yhteistä suuntaa johdolle ja henkilöstölle, eikä johdonmukaisuus näy muille kuin päättäjille, vaikka sitä taustalla olisikin.

Ongelmana strategian laatimisessa ja käytäntöön viennissä voi olla, että toimintaympäristö on niin tuttu, ettei nähdä metsää puilta. Strategian luominen on enemmänkin nykyisen suunnan analyyttinen päivitys, ilman että huomioidaan toimintaympäristön laajempia muutoksia. Toisessa ääripäässä strategia huomioi uusimmat trendit ja muutokset, mutta jää liian korkealentoiseksi käytännön toteutusta ajatellen. Intuitioon perustuvat suunnanmuutokset vievät organisaatiolta toimintakykyä ja menestyksen edellytyksenä oleva johdon ja työntekijöiden yhteen hitsautuminen ei onnistu.

Usein yritysjohto tai omistajat antavat ylisuuren painoarvon riskeille, mikä jarruttaa kasvun hakemista tai pahimmillaan pysäyttää kehityksen

Usein yritysjohto tai omistajat antavat ylisuuren painoarvon riskeille, mikä jarruttaa kasvun hakemista tai pahimmillaan pysäyttää kehityksen. Kynnys ottaa riskiä on korkea, ja mikäli riskien arviointia ja hallintaa ei tehdä riittävän konkreettisesti, seuraavaa askelta ei uskalleta ottaa.


Miksi KPMG:n strategia- ja kehitysosaamista kannattaa käyttää?

Järjestelmällinen ja läpinäkyvä strategiaprosessi ja strategisten valintojen tekeminen tuo päättäjille selkeän työkalupakin tehdä päätöksiä, jotka ovat linjassa yrityksen päätavoitteiden kanssa. KPMG:n strategiasparraus avaa lukkoja ajattelussa, tuo tuoretta näkemystä strategiatyöhön ja takaa laadukkaan ja toteutettavan lopputuloksen, jossa kaikki osa-alueet on huomioitu alkuvaiheen toimintaympäristöanalyyseistä ja markkinaselvityksistä loppuvaiheen yksityiskohtaisiin toimintasuunnitelmiin asti.

Strategisten valintojen tekeminen tuo päättäjille selkeän työkalupakin tehdä päätöksiä

  • Takaamme laajan strategiaosaamisen tuoman näkemyksen ja parhaita käytäntöjä eri toimialoilta sekä Suomesta että kansainvälisiltä asiakkailtamme
  • Tuomme nopeutta ja syvyyttä strategian luomiseen sekä jalkautukseen
  • Varmistamme, että tavoitteet, toiminnot, resurssit, osaaminen, kyvykkyydet ovat linjassa toisiinsa nähden.


Global Strategy Group – KPMG:n strategiaryhmä

KPMG:n strategiaosaaminen vahvistui vuoden 2016 lopulla, kun liikkeenjohdon strategisessa ja operatiivisessa konsultoinnissa yli 20 vuotta toiminut suomalainen Synergy Group Europe liittyi KPMG:n Global Strategy Group –strategiaryhmään. Käytettävissänne on eri toimialoja tunteva kokenut asiantuntijajoukko, jolla on taustallaan koko KPMG:n kansainvälinen osaaminen niin strategian kuin operatiivisen kehittämisen osalta.

Teemme tiivistä yhteistyötä muun muassa yrityskauppatiimin, vero- ja lakiosaajien, henkilöstön kehittämisen sekä data- ja analytiikkatoimintojen kanssa. Räätälöimme lähestymistapamme aina asiakaskohtaisten tarpeiden mukaan, jotta yritys saa parhaan mahdollisen ratkaisun ongelmaansa.

Sattuu, kun kyberturvallisuus ei ole johdon asia

Ransomware eli kiristyshaittaohjelma on ilmiönä hyvin ajankohtainen. Vuoden 2016 aikana aihetta käsiteltiin aktiivisesti medioissa julkitulleiden tapausten yhteydessä. Kohteena eivät aina ole olleet ”perinteiset” tietojärjestelmät, vaan viime vuoden aikana hyökättiin esimerkiksi sairaalajärjestelmiä, sähkön jakelua, televisioita ja autoja vastaan. Suomessakin oli tilanteita, joissa kiinteistöjen lämmitys lakkasi toimimasta tai globaalisti toimivan yrityksen koko tietoverkko oli poissa käytöstä useita päiviä. Kanadasta puolestaan raportoitiin tapaus, jossa sairaalan järjestelmät olivat poissa käytöstä hyökkäyksen takia.

Ransomware on yksi yleisimmin esiintyvä haittaohjelmatyyppi Suomessa ja maailmalla. Sellaiseksi luokitellaan ne haittaohjelmat tai haitalliset verkkosivut, joiden tavoitteena on aiheuttaa käyttäjän tietokoneelle paikallinen palvelunestotila – tyypillisesti salaamalla järjestelmän tietosisältö tai ohjausdata – ja saada käyttäjä maksamaan lunnaita järjestelmän toimintakyvyn palauttamiseksi. FBI arvioi, että rikolliset tienasivat yhdellä tuottoisimmista ja yleisimmistä ransomware-ohjelmistoista vuonna 2016 jo lähes miljardi euroa.

Kukaan ei ole turvassa

Moni yritysjohtaja ajattelee, ettei Ransomware kosketa Suomea. Väärin. Vuoden 2016 aikana autoimme useita yrityksiä varautumaan näihin uhkiin tai toipumaan jo tapahtuneiden hyökkäysten seurauksista. Mielenkiintoista on ollut havaita, että sekä hyökkäysten vaikutukset että toipumistoimien monimutkaisuus ja kesto vaihtelevat merkittävästi suomalaistenkin pörssiyritysten kesken. Joissakin näkemissämme tapauksessa toipuminen on kestänyt viikkoja ja vaatinut verkon ja järjestelmien lähes täydellistä uudelleen rakentamista, joskus puolestaan tilanne on saatu normalisoitua tilannearvion, ongelmien rajaamisen ja palautusten jälkeen jo ennen seuraavaa työpäivää.

Yhteistä lähes kaikille näkemillemme tapauksille, on se, että ne ovat alkaneet yksittäisen työntekijän koneen ja toiminnan kautta

Yhteistä lähes kaikille näkemillemme tapauksille, on se, että ne ovat alkaneet yksittäisen työntekijän koneen ja toiminnan kautta. Yleensä työntekijä on tietoisesti tai tiedostamattaan tehnyt jotakin, mikä on vaarantanut hänen työasemansa turvallisuuden. Toki työasemassa on myös pitänyt olla tietoturvapuutteita, joten vastuu on osittain ollut myös tietohallinnossa. Kyse on voinut olla myös koulutuksen ja tiedon puutteesta.

Ratkaiseva vaihe on siinä, kun tapaus on levinnyt yksittäisestä työasemasta eteenpäin — joko rajoitetusti tai laajalle alueelle. Tässä vaiheessa erot eri yritysten infrastruktuurin turvallisuudessa alkavat tulla esiin: hyvin suojatussa ja ylläpidetyssä ympäristössä hyökkäys ei välttämättä pääse leviämään kovin laajalti, tapaus huomataan nopeasti ja varmistuksiin voidaan luottaa, jolloin palautus hyökkäystä edeltäneeseen tilaan käy suhteellisen helposti.

Joskus sattuu

Jos tietoturvallisuus ei ole ollut johdon agendalla, ympäristö ei välttämättä ole niin hyvin suojattu ja sitten sattuu, kun huono tuuri osuu kohdalle.

Pahin tapaus, jonka olemme Suomessa nähneet, johti koko yrityksen globaalin tietoverkon hallinnan ja satojen palvelinten kohtuullisen pitkäkestoiseen menettämiseen. Hyvin työvoima- ja tietointensiivisessä yrityksessä tuhannet työntekijät eivät voineet tehdä töitään useisiin päiviin. Tilanne oli kyseisen yrityksen kannalta erittäin hankala, mutta silti se olisi voinut olla vielä pahempi. Tässä kyseessä olivat ”vain” yrityksen tietoverkko ja liiketoimintakriittisen tiedon sisältävät palvelimet, jotka voitiin kuitenkin kohtuullisella vaivalla ja kustannuksilla palauttaa ja rakentaa uudelleen. Vastaavasti, jos hyökkäys kohdistuu kuluttajan taulutelevisioon tai vastaavaan laitteeseen, voidaan se mahdollisesti palauttaa takaisin tehdasasetuksiin tai korvata laite uudella.

Jos tietoturvallisuus ei ole ollut johdon agendalla, ympäristö ei välttämättä ole niin hyvin suojattu

Silloin, kun kaapattuna on sairaalan potilastietojärjestelmät, voimalaitos tai sähkönjakeluverkko, ei uudelleen asennus, palautus varmistuksilta tai palautus tehdasasetuksiin ole mahdollista. Pelissä voivat olla jopa ihmishenget. Näitä haavoittuvaisuuksia useiden maiden hallitukset ja tietoturvaviranomaiset pitävät yhtenä merkittävimmistä uhkista yhteiskuntien toimivuudelle ja huoltovarmuudelle.

Miten varautua?

Kuten muussakin varautumisessa ja tietoturvatyössä asioiden tekeminen etukäteen on avain menestykseen. Järjestelmistä ja ympäristöistä ei tehdä turvallisia ainoastaan toivomalla tai toteamalla, että järjestelmästä rakennetaan turvallinen ja ostamme vain turvallisia ratkaisuja. Tietojärjestelmähankkeissa ja tietotekniikan levitessä kaikkialle yhteiskuntaan, on lopulta lähes kaikissa hankkeissa tietoturvallisuuden ja tietosuojan varmistamiseen varattava merkittävästi entistä enemmän aikaa ja resursseja. Pidemmän päälle se maksaa itsensä nopeasti takaisin.

Ransomware-tapausten osaltakaan suojautuminen ja etukäteen varautuminen ei ole erityisen vaikeaa. Kyseessä on kuitenkin useiden tekijöiden summa. Varautumiseen löytyy lukuisia ohjeita, ja esimerkiksi SANS on julkaissut julkisesti saatavilla olevan ohjeen ”Enterprise Survival Guide for Ransome ware Attack”. Tämän ohjeen kirjoittamiseen on osallistunut KPMG:n asiantuntijoita. Ohje on suhteellisen pitkä, joten tiivistin sen keskeisen sisällön seuraaviin yhdeksään kohtaan, jotka on tehtävä ENNEN kuin vahinko pääsee tapahtumaan.

  1. Laita perusasiat kuntoon: selkeät roolit ja vastuut, hyvin ylläpidetyt ja tietoturvatestatut järjestelmät
  2. Muista järjestelmien ja datan varmistukset
  3. Käytä Windows Volumy Shadow Copy -toiminnallisuutta
  4. Kouluta henkilöstö tunnistamaan riskit ja toimimaan oikein
  5. Huolehdi järjestelmien tietoturvapäivityksistä — myös muiden kuin toimistojärjestelmien
  6. Hanki hyvä tietoturvatiimi tai -kumppani
  7. Jaa kirjoitusoikeuksia rajoitetusti
  8. Jaa käyttöoikeuksia rajoitetusti
  9. Huolehti monikerroksellisesta suojauksesta (esim. verkossa)

Erilaiset kiristysohjelmat ja niihin liittyvät hyökkäykset tulevat jatkossakin olemaan riesanamme. Kyse on rikollisille erittäin tuottoisasta toiminnasta.
Suojautumiseen ei ole olemassa yhtä patenttiratkaisua eikä järjestelmien aukoton suojaaminen edes ole mahdollista. Suojaukset tulee kuitenkin rakentaa mahdollisimman toimiviksi ja muistaa se, että IT on nykyään muutakin kuin palvelimet ja työasemat. On hyvä varautua siihen, että jonakin päivänä joku organisaation järjestelmä tai tuote on hyökkäyksen kohteena. Silloin punnitaan varautumisen ja ennakkovalmistautumisen taso.

 

Datasta liiketoimintahyötyjä

Vaikka data ja analytiikka nähdään yhä useammin mahdollisuutena, monet kuitenkin kokevat haasteellisena sen, mitä datalla voisi tehdä ja ennen kaikkea miten datan ja analytiikan avulla saavutetaan liiketoimintahyötyä tai jopa kilpailuetua. Vastataksemme näihin kysymyksiin olemme vuoden 2016 aikana perustaneet oman Data ja Analytiikka -yksikön.

Data ja analytiikkapalvelut

KPMG:n data ja analytiikkapalvelut pureutuvat liiketoiminnan ydinkysymyksiin: miten analytiikan avulla tuottaa päätöksenteon tueksi luotettavaa tietoa, joka vähentää liiketoiminnan riskiä, auttaa tehostamaan toimintoja ja mahdollistaa kannattavan kasvun. Olemme viimeisen vuoden aikana merkittävästi kehittäneet valmiuksiamme datan ja analytiikan puolella ja integroineet yhä vahvemmin analytiikan osaksi perinteisiä tilintarkastus- ja veropalvelujamme. Olemme myös tuoneet analytiikan osaksi neuvonantopalvelujamme ja yhdistäneet analytiikan osaksi niin strategia-, liikkeenjohdonkonsultointi-, kuin myös IT-palvelujamme. Data on 2000-luvun öljy ja sen hyödyntämismahdollisuudet asiakkaillamme ovat lähes rajattomat. Meidän tehtävänämme on auttaa asiakkaitamme hyödyntämään dataansa ja luomaan analytiikan avulla uutta kilpailuetua.

Tietosuojalla yhä enemmän merkitystä

Jo pitkään vallinneiden tietosuojaperiaatteiden vahvistamisen lisäksi tietosuoja-asetus tuo rekisterinpitäjille ja tietojenkäsittelijöille uusia velvoitteita. Asetuksen keskiössä on rekisterinpitäjän osoitusvelvollisuus, joka velvoittaa rekisterinpitäjän täyttämään henkilötietojen käsittelyssä asetuksen vaatimukset sekä hallinnollisesti että teknisesti, ja tarvittaessa myös osoittamaan, että näin on todella toimittu. Tämä tarkoittaa esimerkiksi sitä, että organisaation on aktiivisesti dokumentoitava, minkälaisilla toimenpiteillä se on täyttänyt vaatimukset ja millä perusteilla toimenpiteet on valittu.

Asetuksen keskiössä on rekisterinpitäjän osoitusvelvollisuus

Tietosuoja-asetus myös velvoittaa nimittämään tietyissä tilanteissa tietosuojavastaavan, joka arvioi organisaation tietosuojan tilaa, kehittämistarpeita ja raportoi niistä suoraa johdolle. Vaikkei tietosuojavastaavan nimittäminen olisi pakollista, kannattaa sitä harkita, varsinkin jos tietosuojaosaamisen taso organisaatiossa on alhainen tai henkilötietojen käsittely on kriittinen osa liiketoimintaa.

Tilannearvio ja tiekartta

Monissa organisaatioissa selvitetään tällä hetkellä asiantuntijoiden kanssa järkevintä etenemistapaa. Tämä on tärkeää, sillä asetusta aletaan soveltaa pian. Oikeanlaista osaamista on hankittava omaan organisaatioon tai sitä on haettava yhteistyökumppaneilta. Tietosuoja-asioiden asianmukaisella hoitamisella voi olla jo vaikutusta kilpailukyvyn ja markkinaposition kannalta. KPMG:n tuoreen kansainvälisen tutkimuksen1 mukaan 55 prosenttia kuluttajista on huolissaan yksityisyydestään ja on sen takia esimerkiksi jättänyt verkkokauppaostoksia tekemättä. Kuluttaja voikin tulevaisuudessa tehdä ostopäätöksensä sen perusteella, mitkä tahot kunnioittavat hänen yksityisyyttään aidosti ja myös osoittavat sen kertomalla läpinäkyvästi tietosuojakäytännöistään ja siitä, kuinka tietoja käyttävät. Organisaatioiden olisikin hyvä oppia priorisoimaan asiakkaiden yksityisyydensuoja liiketoiminnassaan.

KPMG kehitysprosessin tukena

Organisaation kypsyystaso vaikuttaa siihen, kuinka paljon tarvittavat muutokset ja tietosuojan hallinnoinnin sekä henkilötietojen käsittelyn käytäntöjen päivittäminen vievät aikaa. Kevyimmillään kehitysprojekti tarkoittaa politiikkojen, prosessien ja sopimusten päivittämistä, mutta haastavimmissa tapauksissa tarvitaan myös investointeja järjestelmäkokonaisuuteen.

KPMG:n lähestymistapa asiakkaiden muutostarpeisiin on kolmivaiheinen käytännönläheinen kehitysprosessi, jossa tarkastelunäkökulma on sekä juridinen, hallinnollinen että tekninen.

Aluksi kartoitetaan asiakkaan toimintatavat tietosuojan hallinnoinnissa ja henkilötietojen käsittelyssä kriittisillä toiminnan osa-alueilla. Perinteisen gap-analyysin avulla osoitetaan mahdolliset kehityskohteet, joille määritellään myös konkreettiset korjaussuositukset. Tietosuojaan ja tietoturvaan liittyvät riskit analysoidaan, jotta korjaussuositukset kyetään priorisoimaan ja aikatauluttamaan oikein.

Toisessa vaiheessa korjattavista kohteista hahmotellaan helposti hallittavia kokonaisuuksia ja laaditaan tiekartta varsinaista kehitystyötä varten.

Urakan kolmas vaihe – itse kehitystyö – saattaa kestää organisaation aiemmasta kypsyystasosta riippuen muutamista kuukausista yli vuoteen.

Kehitystyö – mahdollisuus, ei uhka

Valveutuneimmat yritykset ovat jo siirtyneet esianalyyseista kehitystyön pariin. Arviointiin on tärkeää panostaa, sillä se lisää organisaatioissa tietoa henkilötietojen käsittelystä niin johdon kuin henkilöstön tasolla ja auttaa tunnistamaan henkilötietojen käsittelyyn liittyviä kriittisiä prosesseja. Tämä puolestaan voi toimia sysäyksenä kulttuurinmuutoksen käynnistämiselle, jos sellaista tarvitaan. Yrityksen johto voi omalla esimerkillään vaikuttaa oman organisaationsa asenteisiin – tietosuojaan on suhtauduttava riittävän vakavasti. Tietosuoja-asetuksen sanktiot esimerkiksi tietovuototapauksissa voivat nousta jopa neljään prosenttiin yrityksen maailmanlaajuisesta liikevaihdosta tai 20 miljoonaan euroon.

Organisaatioiden valmiudet tietosuoja-asioiden kehittämiseen vaihtelevat merkittävästi. Osa yrityksistä hallinnoi tietosuojaa jo nyt melko kypsällä tasolla, mutta kaikissa organisaatioissa näin ei ole. Tämä luo toisaalta aidon mahdollisuuden tiedonhallinnan yleiseen kehittämiseen ja tietoturvan laajempaan tarkasteluun. Tietosuoja-asetuksen vaatimusten liikkeelle saama työ organisaatioissa voi tuoda arvokasta informaatiota esimerkiksi siitä, kuinka yhteistyökumppaneiden ja alihankkijoiden kanssa toimitaan. Tietosuoja- ja tietoturvariskien hallinta kannattaa kytkeä organisaation yleiseen riskienhallintaan ja toimintatapaan.

Kehitystyö on hyvä aloittaa ajoissa. Linjauksia ei kannata jäädä odottelemaan.

Tyypillisiä tietosuojan kipu- tai kehityskohteita ovat hallinnointirakenteiden ja politiikkojen kehittäminen, riskianalyysit sekä tiedon elinkaaren hallinta. Myös rekisteröityjen oikeuksien toteuttamisessa, henkilöstön osaamisessa, sopimusten hallinnassa sekä teknisissä ratkaisuissa on usein parantamisen varaa. Asetuksen riskilähtöisyys edellyttää riskien arviointia, prosesseihin ja teknologiaan sisäänrakennettua tietosuojaa sekä perusteellista dokumentointia. Tietojen suojausvalinnat on suhteutettava suojattavien tietojen luonteeseen ja niihin kohdistuviin riskeihin.

Varaa kehitystyölle aikaa

Osa vaatimuksista täsmentyy vielä, kun viranomaiset ottavat kantaa asetuksen tulkinnanvaraisiin osiin. Viranomaislinjauksia ei kuitenkaan kannata jäädä odottelemaan, jos haluaa varmistaa, että omassa organisaatiossa asetusta noudatetaan alusta alkaen. Kehitystyön vaatimaa aikaa on vaikea arvioida, etenkin jos nykytila ei ole selvillä. Tulkinnanvaraisuuden voi kääntää myös edukseen – organisaatioilla on jonkin verran liikkumavaraa järjestää esimerkiksi tiedon suojausratkaisut parhaaksi katsomallaan tavalla, kunhan toimitaan riskilähtöisesti.

Älykkäät esineetkin vaativat tietoturvallista identiteetin- ja pääsyhallintaa

Tietotekniikan tutkimus- ja konsultointiyrityksen Gartnerin mukaan1 vuoden 2016 loppuun mennessä 6,4 miljardia tuotetta on kytketty internetiin. Olemme entistä vähemmän kytköksissä aikaan ja paikkaan, kun keräämme tietoa ja hallinnoimme laitteita verkon kautta etänä. Mikään mittari tai ennuste ei viittaa siihen, että tämä suunta tai vauhti olisi hidastumassa.

Sitä, millä tavalla omistamamme tavarat ovat yhteydessä internetiin ja kuinka niiden toimintaa pystytään ohjaamaan, kehitetään jatkuvasti loppukäyttäjän arkea helpottavaan suuntaan. Tällaisten laitteiden käyttö vaatii tietoturvallisuuden näkökulmasta aiempaa tarkempaa kehitystyötä. Tietoturvauhilta suojautumisesta on tullut digitaalisen liiketoiminnan elinehto. Asiakkaat valitsevat palveluntarjoajia sen mukaan, kuinka tietoturvallisiksi he kokevat järjestelmät ja kuinka hyvin heidän asiakastietojaan suojataan. Ilman näyttöä tai näppäimistöä olevien laitteiden oikeanlaisesta toiminnasta on pystyttävä vakuuttumaan.

Identiteetin- ja pääsynhallintaa tarvitaan myös esineiden internetissä

Asioiden tai esineiden internet (Internet of Things, IoT) tarvitsee tuekseen asioiden identiteetin (Identity of Things, IDoT), joka mahdollistaa esineiden tunnistamisen ja valtuuttamisen käyttäjän sijaan. Identiteetin- ja pääsynhallinta (Identity and Access Management, IAM) tarkoittaa myös verkkoon kytkettyjen laitteiden henkilöllisyyksien hallintaa kootusti, vaikka perinteisesti sen on ajateltu liittyvän ainoastaan henkilöihin.

Esineiden internet voi parhaimmillaan helpottaa käyttäjien elämää etäkäytön myötä, mutta tuotteiden yhdistäminen internettiin tuo mukanaan myös uudenlaisia riskejä: uusi digitaalinen rajapinta on samalla uusi mahdollinen hyökkäyskohde. Parhaat yritykset lähestyvät tietoturvariskejä suunnitelmallisesti ja tunnistavat omaan organisaatioonsa ja palveluihinsa kohdistuvat uhat – vain tätä kautta ne voivat ottaa käyttöön asianmukaiset suojauskeinot. Nämä kiinnostavat myös asiakkaita yhä enemmän.

Uusi digitaalinen rajapinta on uusi mahdollinen hyökkäyskohde.

Kyberavaruus suunniteltiin avoimeksi, riskinäkökulma tuoreempi

Uudet teknologiat ja innovaatiot avaavat uudenlaisia mahdollisuuksia liiketoiminnalle. Yrityselämän digitalisoitumisen taustalla on ajatus asiakaskokemuksen kehittämisestä teknologialähtöisesti. Bisneksen kannalta olennaisten tietojen ja palveluiden siirtyessä verkkoon mahdollistuu liiketoiminnan harjoittaminen missä ja milloin tahansa. Internetin ja muiden toisiinsa yhteydessä olevien järjestelmien kyberavaruus suunniteltiin helpottamaan digitaalisen tiedon jakamista. Tietojen vapaa jaettavuus ja pääsy tietoihin on aina ollut sille keskeinen ominaisuus. Tietoturvakysymyksiä on ryhdytty pohtimaan ja riskeihin alettu varautua vasta myöhemmin.

Innovaatiot ja liiketoiminnan kehitys luovat aivan uudenlaisia töitä ja mahdollisuuksia. KPMG:n kansainvälisen Global CEO Outlook2 -kyselytutkimuksen mukaan jopa 72 prosenttia haastatteluista yritysjohtajista kokee seuraavien kolmen vuoden olevan heidän toimialoillaan kriittisempiä kuin edelliset 50 vuotta yhteensä ovat olleet. Muutostahti on ennennäkemätön. Suurimpina uhkakuvina tutkimuksessa nousivat esille yritysten tietoturvaan liittyvät riskit ja uudenlaisen osaamisen katvealueet.

Automatisoitu, rooliperusteinen käyttäjänhallinta parantaa tietoturvaa

Palveluita tarjotaan yhä enemmän pilvipohjaisilla alustoilla, ja kriittisen tiedon säilyttämiseen ja käsittelyyn liittyvät uhat nousevat esille yhä useammin yritysten arjessa. Käyttöoikeuksien tulee olla kunnossa, jotta voidaan varmistua siitä, että sensitiivistä dataa käsittelevät vain ne, joiden työtehtävät sitä edellyttävät ja että heidän oikeutensa tiedon jakamiseen liittyen ovat kunnossa.

Kriittisen datan siirtyminen fyysisestä digitaaliseen muotoon helpottaa tiedon jakamista usealle henkilölle samanaikaisesti. ”Principle of least privilege” (vähimmän oikeuden periaate) tulee ottaa huomioon myös sähköisessä muodossa olevien tietojen käsittelyssä: jokainen työntekijä tarvitsee työnsä suorittamisen kannalta pienimmän mahdollisen käyttöoikeusmäärän. Käyttöoikeuksien ja käyttäjien identiteetin lisäksi tietoihin pääsyä täytyy pystyä hallinnoimaan. Pääsynhallinnalla voidaan varmistua siitä, että oikea käyttäjä pystytään valtuuttamaan ja väärinkäytökset estämään. Lisäksi hyvin toteutettu identiteetin- ja pääsynhallinta parantaa käyttökokemusta.

KPMG: Global profiles of the fraudster -tutkimuksen3 (05/2016) mukaan neljännes yritysten kohtaamista väärinkäytöksistä liittyy teknologioiden huolimattomaan käyttöön. Tutkimuksen kohteena olivat vuosina 2010–2015 KPMG:n rikosteknisten asiantuntijoiden tiedossa olleiden 750 väärinkäytöksen yksityiskohdat eri puolilla maailmaa. Tutkimuksen mukaan 86 prosenttia väärinkäytöksistä oli kohdeyritysten sisäisiä. Tästä määrästä noin viidennes oli kohdeyritysten entisiä työntekijöitä. Tutkituista väärinkäytöksistä 61 prosenttia raportoitiin olevan mahdollisia heikkojen sisäisten kontrollien vuoksi. Väärinkäytöksen tekijöistä 44 prosenttia oli puolestaan yrityksessä sellaisessa asemassa, jossa heillä oli mahdollisuus kiertää olemassa olevat kontrollit.

Parhaimmillaan identiteetinhallinta parantaa tietoturvan lisäksi myös käyttökokemusta.

Käyttäjien tunnistamiseen ja valtuutukseen keskittyneet työkalut mahdollistavat työntekijöiden rooliperusteisen käyttöoikeuksien hallinnan, joka automatisoi henkilöstöhallinnon tai joissakin tapauksissa yritysten sisäisten tai ulkoistettujen IT-palveluiden prosesseja. Samalla yritysten sisäisten kontrollien tasoa käyttöoikeuksien valvonnan osalta pystytään nostamaan. Tämä voi osaltaan vähentää sisäisten väärinkäytösten määrää.

Digitaalinen ympäristö on hyvä kasvualusta disruptioille

Neljäs teollinen vallankumous ja esineiden internet muokkaavat vauhdilla työelämän totuttuja rutiineita ja manuaalisia prosesseja. Digitaalisuuden kautta pystytään optimoimaan ja tehostamaan työn vaiheita, mutta digitaalisuus ja teknologian kehitys tuovat myös kokonaan uusia mahdollisuuksia innovaatioille. Digitaalisuuden aikakaudella yritysten on pystyttävä panostamaan resursseja kehitystyölle ja uusille teollisuutta ja markkinoita muokkaaville keksinnöille, jotta työelämän viimeisimmästä vallankumouksesta voidaan saada kaikki irti.

-Hannamari Sivonen, KPMG-