If you only knew your true profitability…

You raise the same question as you did the quarter before, and in fact have done for three quarters in a row: “How come our sales are up by several percent, while our profit has remained at the same level?” When you press the team to give reasons for the declining profit margin, an intense debate ensues with a plethora of arguments like “all my products are duly priced”, or “we have recently reviewed our cost allocation principles for all product groups – and made a few minor adjustments, so I can ensure you that they are up-to-date”. As the debate fades out, you present your conclusion – “We don’t have a clue, do we?”

This is not an unfamiliar situation in many organisations. A once profitable and growing business has kept growing, but the profitability has somehow deteriorated. Why has that happened, as no significant changes have taken place? Well, only a few more products have been added to the range – some slight product variations for your most valued customers – and yes, there have been some rush orders when your competitor failed to deliver and you helped out the customer – as you did with that new customer who required bespoke transport arrangements, or that other one who insisted that you keep safety stock… and so the list goes on. None of these in isolation would have made any particular impact on your profitability, but over the years there have been quite a few of them.

No matter whether you are the CEO of the company, or merely involved in sales and operations, these questions are fully relevant for you: “Where did it go wrong?” or “What can we do about it?” or, if things aren’t that bad yet, “How can we ensure that we stay profitable?”

If you only knew the true profitability or economic contribution of each product and service, you could make rational choices on how to best serve your customers and manage your suppliers, you would know how to plan and develop your offering and product range, and you would understand the trade-off between customer service, cost and profit. Knowing this, you could take concrete action to adjust prices and terms, impact the cost base and realise savings where you have identified them.

…you would know how to improve it!

In order to know the true economic contribution of your products, or of your customers or even of a single customer order, you first need to get a thorough understanding of your end-to-end supply chain cost. You need to understand how your supplier terms impact your profitability; e.g. how larger order sizes for a certain component on the one hand reduce your purchasing price, but on the other hand increase your warehousing cost, your capital cost for inventories, and eventually your Cost of Goods Sold due to inventories becoming obsolete. You need to understand how your product customisation increases your sourcing cost for that different-shaped side panel, for example, and how much more time it will require to fit the panel in assembly – or which orders should carry the extra cost for that direct truck delivery you needed in order to handle the rush order you accepted – or, in fact, all orders related to that truck delivery.

Getting to the economic contribution…

The economic contribution is the amount of economic profit a revenue-generating asset contributes to the value of the company.

The formula for determining your economic contribution is:

  • Economic contribution = Net profit – Capital charge
  • Net profit = Gross margin – Attributable operating cost
  • Capital charge = Attributable working capital x Cost of capital %


The gross margin is calculated by adjusting the net sales for each SKU, e.g. for markdowns and promotions, and by reducing the cost of goods sold. The attributable operating cost is the value of all other of your operating costs that can be directly attributed to suppliers, categories, products, customers and channels throughout the value chain. They may include freight costs, distribution labour, returns handling, marketing & advertising, damaged goods, rebate processing, commissions, etc.

The attributable working capital is the value of the working capital required that can be directly allocated to your products and channels. It will include e.g. days payable outstanding, days receivable outstanding and days of inventory on hand. The cost of capital % is e.g. the internal Weighed Average Cost of Capital (WACC) as defined by your CFO, or it can also be the target value for the Return on Capital Employed (ROCE) that your board has set for your company.

To get to the true profitability of your products, you will have to do a thorough analysis of your supply chain. You will need to convert your unstructured and scattered data into a structured format. You will need to get to the transactional data, join different datasets, allocate the attributable cost, and make assumptions and allocation decisions where there is no straightforward allocation rationale. You will need to check the data for consistency and issues, and solve these issues. Depending on the amount of transactional data, you will need to choose an appropriate tool for your cost model. If you have very much data, you may need more advanced tools and more calculation power than an ordinary spreadsheet program can offer.

Having determined the economic contribution for each SKU, you should identify the outliers at both extremes: SKUs with a low or negative contribution may lead to customers cherry-picking these SKUs, and not buying other SKUs in the range, while SKUs with a very high contribution may prevent the SKU reaching overall high sales due to an excessively high price. In addition to isolated SKUs suffering from a low contribution, you should furthermore identify any areas of concern: do all the SKUs in a particular product group have a low contribution, or does it concern all SKUs passing a certain process step in production, etc.? You would then need to go further into the root causes of the low contribution.

…and taking action for improvement

To determine improvement actions and the impact of your alternative actions, you should cluster the SKUs into groups, based on your analysis, and run a few scenarios. If you terminate this group of clearly unprofitable SKUs, how much will your cost drop? If you increase the price for that group of SKUs, how much will your sales drop? If you reduce the price for these SKUs, how much more will you sell, and how will your contribution eventually be impacted? Based on the results of the scenarios, you can create an action plan to improve your profitability.

The actions you need to take depend on the conclusions you make, based on your analysis. It may mean terminating a recently introduced product, swapping to a supplier with a higher price but more flexible terms, increasing the price for an SKU knowing it will mean reduced sales, or telling your key customer that this particular SKU will no longer be available in two days from stock, but in two weeks made to order.

Having done this exercise, you have increased your insight into your key profitability drivers. You have created a method, and even a tool, for updating the contribution on the SKU level, and most importantly, you will have a concrete action plan for improving your profitability. Even though this may mean difficult discussions, both internally and with your customers, the purpose of each action is fully clear, and this will give you and your organisation the confidence to carry them out, knowing that you are doing the right thing!

Sports and business — strategic similarities

Before becoming a strategy consultant with the KPMG Global Strategy Group, and before my Management and Organisation studies at Hanken, I was a professional footballer for 12 years in the top flights of five countries. I am now enjoying my second career, and I want to take this opportunity to share a few reflections – explore a common thread, if you like, on how organizations can manage short-term turmoil without losing course, and contribute some thoughts on how this common thread can be developed into executable strategy.


Both short and long-term goals are important

A strategy enables companies to tie their everyday activities to their mission, vision and values. In sports it materializes as a process of balancing long and short-term targets, since, as we all know, in team sports the focus is inevitably directed towards the next game, which is always the center of the universe.

Long-term evolution requires the discipline and buy-in to act in compliance with a predesigned plan, in which certain strategic elements endure in both bad and good spells. I know very well how the atmosphere in football clubs changes with the result of the last game. After a loss in Hungary, for example, one of the owners announced that the players are to be fined by the amount that would have been the bonus for a win. Following a derby win three days later, he insisted on champagne for everybody in the locker room. That is an extreme case of impulsive leadership and it might not be the optimal approach. But the reality often is that, regardless of the means, ever-improving results are needed in order for clubs to earn the privilege to worry about the long-term targets.

On the other hand, a strategic long-term plan provides the backbone for the much desired wins.

On the other hand, a strategic long-term plan provides the backbone for the much desired wins. Clubs like Barcelona, New England Patriots or Tappara will not easily abandon their characteristic style of play. This common thread from one season to the next is much more likely to produce a competitive sustainable advantage than constant change. In my experience, this symbiotic balancing between the long and short terms is an integral part of corporate business success, as well.


Identity and origin of strategy

No too long ago, I was a spectator at a game featuring my old club, FC Utrecht. Even though it had been a while since my last visit, I knew that they would frenetically press the opposition from the very outset of the game. That is in the DNA of the club and represents a common characteristic that all stakeholders in and around the club are proud of. In my view, the common thread between sports and business is that ‘if a customer does not know what a company stands for, and what its core competences are, he or she is less likely to buy into that company’s products or services’.

In my view, also, Michael Porter (renowned American academic at Harvard Business School) recognized the congruence between sports and competition.

In my view, also, Michael Porter (renowned American academic at Harvard Business School) recognized the congruence between sports and competition. Just as companies need to analyse segments, megatrends and the competitive landscape, and seek to understand and develop best practices, a football team plans their game in relation to their opponents’ strengths and weaknesses, and, over the longer term, ruthlessly duplicates those methods that have led to success. This requires meticulous analysis, implementation skills, and, most importantly, a strategy that ties the needed changes into the organization’s current capabilities and identity.

But the view of Porter and his followers has somewhat overshadowed the idea that strategy can also develop within an organization, out of things it does well, with less initial planning. Ajax, for example, had a brilliant strategy as far back as 50 years ago, without probably even thinking explicitly about creating a strategy. They managed to create an environment and atmosphere where brilliant minds could flourish, which led to the creation of the “total football”. Clarity of values, vision, mission and purpose, i.e. the club’s common denominator, enables its players, coaches, scouts and management to gradually develop intrinsic knowledge and even create a platform for something revolutionary to be invented. The stories behind the success of Apple and many other market disruptors stem from similar settings.

To conclude, I recognize strategic similarities between sports clubs and corporations in that, for each of them, it is just as important to find the right balance between long-term targets and short-term wins, and between rigorous analysis of the environment and tangibly building upon one’s own inherent strengths.

Uuteen maailmaan sopeutuminen

Taustalla on tietysti digitalisaatio. Perinteiset myyntikanavat rapautuvat kuluttajien siirtyessä nettiin. Monet etsivät kulutusluottoa ensisijaisesti Google-hakukoneella oman pankin konttorissa käynnin sijaan. Markkinoille tulon esteet ovat useimmilla aloilla laskeneet merkittävästi.

Uudet ketterät yritykset ovat suunnitelleet prosessinsa täysin automatisoiduiksi eikä niillä ole perinteisten yritysten monimutkaisia organisaatioita ja kiinteitä kustannuksia painolastina. IT-infrastruktuuri tulee joustavasti pilvestä ja skaalautuu samaa vauhtia asiakashankinnan kanssa. Isoissa muutosohjelmissa asiakkaani lähes aina pohtivat, kuinka helppoa olisi aloittaa tyhjältä pöydältä – ”olisimmepa start-up!”

Organisaation siilojen, IT-järjestelmien kankeuden ja henkilöstön muutosvastarinnan takia suuret yritykset eivät kykene tarjoamaan sujuvaa ja kitkatonta asiakaskokemusta. Niiden asiakaspalvelua ei ole rakennettu mobile first –ajatuksella eikä järjestelmien kautta saa 360 asteen näkymään asiakkaasta eri kanavissa ja kosketuspisteissä.

Ja mikä pahinta, muutoksen nopeus vain kiihtyy teknologisen kehityksen myötä. Uudet markkinoille tulijat kehittävät liiketoimintaansa ketterästi ja vievät uusia innovaatioita jatkuvasti asiakkaille kokeiltavaksi. Siinä missä perinteisen yrityksen ERP-järjestelmän päivityssykli saattaa olla puoli vuotta, start-upit tekevät päivityksiä digitaalisiin palveluihinsa päivittäin.

Uudet ketterät yritykset ovat suunnitelleet prosessinsa täysin automatisoiduiksi eikä niillä ole perinteisten yritysten monimutkaisia organisaatioita ja kiinteitä kustannuksia painolastina.


Tässä kuusi pilaria, joiden päälle suomalaisyritysten pitäisi omasta mielestäni rakentaa innovaatio- ja muutosohjelmansa:

  1. Luo selkeä strateginen visio ja kerro kaikille, minkä pitää muuttua. Lähde liikkeelle tavoitellusta asiakaskokemuksesta ja pohdi, miten prosessit, järjestelmät ja henkilöstö saadaan tuottamaan se.
  2. Ole rohkea. Yritysten toimintaympäristö muuttuu niin nopeasti, että myös tavoiteltujen muutosten pitää olla suuria. Huolehdi nykyisen liiketoiminnan jatkuvuudesta, mutta älä anna sen jarruttaa muutosta.
  3. Nopeuta päätöksentekoa. Vähennä hierarkioita ja anna itseohjautuville tiimeille enemmän valtaa tehdä itseään koskevia päätöksiä. Jos uudet hankkeet eivät vaaranna liiketoimintaa, pitää kokeiluille antaa lupa – yrityksen ja erehdyksen kautta eteenpäin.
  4. Myös IT-osastoa tulee ketteröittää. Infratiimin tulisi harjoitella DevOpsia. Koko IT-osastoa ei voi muuttaa ketteräksi yli yhden yön, mutta mieti kaksijakoista IT-mallia (bimodal IT). Jokaisen tiimin osalta on hyvä pohtia millainen toimintamalli yksikölle parhaiten sopii, täysin perinteisestä puhtaan ketterään.
  5. Varmista, että IT-alustasi tarjoaa avoimet rajapinnat joiden avulla sen päälle on mahdollista rakentaa uusia digitaalisia palveluita ja räätälöityä analytiikkaa. Tee selkeä tiekartta avoimeen järjestelmäarkkitehtuuriin siirtymiseen.
  6. Kokeile enemmän. Testaa ja kehitä uusia innovaatioita heti asiakkailla pitkien suunnitteluprosessien sijaan – fail fast and early. Tuo design-ajattelun taustalla oleva filosofia koko organisaatioon.


Näillä resepteillä elefantinkin on mahdollista oppia tanssimaan – hitaasti, mutta varmasti.

Earn-out – riskin ja tuoton jakoa yrityskaupassa

Earn-out -mekanismin käyttö saattaa myös auttaa osapuolia toteuttamaan kaupan, mikäli myyjän ja ostajan näkemykset kohteen arvosta eriävät merkittävästi. Mikäli esimerkiksi myyjän ennustama kasvu- tai tuottopotenttiali toteutuu, saa myyjä tällöin siitä osansa.

Onko se yleistä?

Yrityskauppojen volyymi notkahti vuonna 2016 maailmanlaajuisesti. Samalla kaupan ehdot muuttuivat hieman aikaisempaa ostajamyönteisemmiksi. Euroopassa vastaavasti earn-out -järjestelyjä tehtiin ennätysmäärä, earn-outin määräytymisperiodien ollessa myös aiempaa pidempiä.

Euroopassa earn-out -mekanismeja käytettiin 22 prosentissa kaupoista, joissa 23 prosentissa earn-outin määräytymisperiodi oli vähintään kolme vuotta.

Erityisesti earn-out -mekanismi on käytössä lifescience, teknolgia- ja ICT-alan kaupoissa. Vastaavasti ne ovat harvinaisia kohteen toimiessa esimerkiksi infrastruktuuri- tai kiinteistöalalla.

Millä mitataan?

Lisäkauppahinnan mittareista yleisin on EBIT/EBITDA, johon vuonna 2016 sidottiin 42 prosenttia lisäkauppahinnasta. Huomionarvoista kuitenkin on, että 32 prosenttia lisäkauppahintamekanismeista oli sidottu liikevaihtoon. Tämä saattaa merkitä sitä, että ostajat arvostavat kohteen kaupan jälkeen jatkuvaa myyntiä enemmän kun mitattavissa olevaa tuloksentekokykyä. Myös pidentyneet earn-out -periodit saattavat vaikeuttaa muiden mittareiden käyttöä, ja tehdä liikevaihdosta kaikessa yksinkertaisuudessaan houkuttelevan mittarin.

Mittarit voidaan myös räätälöidä kohdekohtaisesti ja sitoa esimerkiksi konkreettisiin liiketoimintasuunnitelmassa määriteltyihin toimenpiteisiin.


Mittarit voidaan myös räätälöidä kohdekohtaisesti ja sitoa esimerkiksi konkreettisiin liiketoimintasuunnitelmassa määriteltyihin toimenpiteisiin

Ja ettei kaikki olisi helppoa…

Koska earn-out koskee tulevaisuutta – ja koska tulevaisuuden ennakointi on tunnetusti hankalaa – on earn-outia koskeviin sopimuskohtiin kiinnitettävä eritystä huomiota.

Ostaja haluaa lähtökohtaisesti earn-out -periodin aikana vapauden muuttaa liiketoiminnan rakennetta (sulautua, jakautua, ostaa uusia liiketoimintoja yms.), mikä voi tehdä earn-outin perusteena olevien lukujen seuraamisen vaikeaksi, ellei jopa mahdottomaksi. Tämän johdosta myyjän etu pyritään turvaamaan esimerkiksi rajoittamalla ostajan oikeutta tiettyihin liiketoiminnan muutoksiin, oikaisemalla ulkopuolisia kulueriä ja vastaavasti eräännyttämään earn-out maksettavaksi kokonaan tai osittain, mikäli kiellettyjä muutoksia tehdään. Mitä pidemmästä earn-out -periodista sovitaan, sitä vaikeampi on kuitenkin asettaa seurattavia mittareita sekä rajoittaa ostajan toimintavapautta liiketoiminnan jatkamisen suhteen.

Earn-outin huono puoli onkin se, että se on erittäin riitaherkkä. Toimivan mekanismin laatimiseksi olisi ymmärrettävä mitä ostaja aikoo kohteella tehdä, huomioida suunnitellut muutokset sekä todennäköiset riskit, minkä lisäksi mekanismi tulee kauppakirjassa saattaa ymmärrettävän sopimustekstin muotoon. Ja kaiken tämän jälkeen tulee vielä varmistaa esimerkkilaskelmin, että molemmat osapuolet ovat ymmärtäneet sovitun samalla tavalla.

Lähteenä on vuoden 2016 tilastojen osalta käytetty CMS European M&A Study 2017 –julkaisua.

Juristit ja omistajastrategia


Erilaiset rahoitusratkaisut, joissa sijoittajat ovat mukana omistajina, ovat arkipäivää start-up-kentässä. Avainhenkilöitä otetaan enenevässä määrin mukaan omistajarooliin tekemään yritysten tulevaisuutta.


– Mitä kasvuhakuisen yrityksen juristille tarkoittaa omistajastrategian tunteminen ja ymmärtäminen?

– Miten juridiikkatyön laatuun vaikuttaa se, että oikeudellisia dokumentteja ei laadita vastauksina asiakkaan kysymyksiin, vaan asiakkaan liiketoiminnan ja kasvustrategian pohjalta?


Yritys- ja rahoitusrakenteiden suunnittelussa on pitkään ollut keskiössä rakenteiden verotehokkuus, joskus jopa liiketoiminnallisten tavoitteiden edellä. Tilanne on kuitenkin muuttunut ja muuttumassa. Kun mietitään, minkälaisessa konsernirakenteessa toimintaa harjoitetaan, miten yrityskaupat toteutetaan, mitkä ovat omistuksen saamiseen, pitämiseen ja luopumiseen liittyvät ehdot, pitää asiakkaan olosuhteet ymmärtää kokonaisvaltaisesti ja liiketoimintalähtöisesti asiakkaan ajatuksia haastaen.


Asiakkaan odotusarvo kokonaisuuksien hallitsemisesta

Omistajastrategiassa juristin kannalta keskiössä on usein osakassopimus ja yhtiöjärjestys sekä yritys- ja rahoitusrakenteet. Osakassopimuksen puuttuminen tai sen puutteet voivat estää uusien osakkaiden ottamisen yhtiöön, osakkaiden omistussuhteiden muuttamisen tai osakeomistusten päättämisen. Jos muutoksia saataisiinkin tehtyä, on niiden neuvottelu ja sopimusten lopputulos ennakoimaton ja pahimmillaan kallis.


Omistajastrategiassa juristin kannalta keskiössä on usein osakassopimus ja yhtiöjärjestys sekä yritys- ja rahoitusrakenteet


Asiakkaan keskusteluttaminen vaihtoehtoisista yrityksen kasvupoluista, niihin tarvittavasta rahoituksesta ja osakeomistuksen realisointivaihtoehdoista tuovat monipuolisuutta ja moniulotteisuutta sopimusten sisältöön.

Oikeudellisesti toimivat ja oivaltavat sopimusrakenteet edellyttävät vahvaa ymmärrystä eri ratkaisuvaihtoehtoihin liittyvistä osakeyhtiölain mahdollisuuksista ja rajoitteista, kirjanpitokäsittelystä, yrityksen kassavirtavaikutuksista sekä verotuksesta.  Viime aikoina entistä useammin sopimusratkaisujen heijastusvaikutukset on jouduttu pohtimaan Suomen kirjanpitolain lisäksi kansainvälisen tilinpäätöksen kannalta (IFRS).

Yritysrakenteilla ja niihin kohdistuvilla rakennejärjestelyillä ja rahoitusratkaisuilla on heijastusvaikutuksia käytettävissä oleviin vakuuksiin, asiakkaan taloudellisiin tunnuslukuihin, rahoituksen erityisehtoihin, eli kovenantteihin sekä viime kädessä mahdollisuuteen jakaa varoja osakkeenomistajille.

Moni paperilla ja piirustuslaudalla toimivaksi luultu sopimuskokonaisuus yksittäisine ehtoineen tai yritys- ja rahoitusrakenne, osoittautuu huonosti toimivaksi taloudellisen mallinnuksen jälkeen. Juristin onkin kyettävä tuomaan asiakkaalleen kaikki se kokonaisvaltainen osaaminen ja näkemyksellisyys, mitä omasta organisaatiosta ja verkostoista löytyy.

Työsuhdejuridiikkaa taantumasta nousukauteen

Henkilöstö sitoutetaan motivoivilla ja yrityksen kilpailuetua kasvattavilla palkitsemisjärjestelmillä

Yritykset ovat muuttuneiden olosuhteiden keskellä alkaneet kiinnittää yhä enemmän huomiota henkilöstön palkitsemiseen ja sitouttamiseen. Henkilöstöön halutaan panostaa, ja erilaisilla palkitsemis- ja kannustinjärjestelmillä halutaan estää avainhenkilöiden siirtyminen kilpailijan palvelukseen. Palkitsemisjärjestelmiä uudistetaan ja kehitetään, eikä perinteinen vuosibonus ole enää tarkoituksenmukaisin vaihtoehto. Työoikeus- ja palkitsemisryhmäämme ovat työllistäneet erityisesti osakeomistukseen ja työpanososinkoon perustuvien palkitsemisjärjestelmien suunnittelu ja toteuttaminen. Oikein laadittu palkitsemisjärjestelmä mahdollistaa tulospalkkion maksamisen esimerkiksi ilman palkan lakisääteisiä sivukuluja, mutta edelleen yritykselle verotuksessa vähennyskelpoisena eränä.

Nyt panostetaan koulutukseen ja osaamisen kehittämiseen

Henkilöstöön panostaminen on näkynyt myös kouluttamisessa ja osaamisen kehittämisessä. Työoikeusryhmämme juristit ovat kouluttaneet säännöllisesti yritysten esimiehiä päivittäiseen työsuhdejuridiikkaan liittyvissä aiheissa. Erityisen suosittuja ovat työturvallisuuteen, esimiehen oikeuksiin ja velvollisuuksiin sekä työnjohto-oikeuteen keskittyvät koulutukset, jotka ovat käytännönläheisiä ja liittyvät esimiehen arjen ongelmatilanteisiin.


Henkilöstöön panostaminen on näkynyt myös kouluttamisessa ja osaamisen kehittämisessä


Huomionarvoista on, että suhdanteiden vaihtelut eivät kuitenkaan ole vaikuttaneet työsuhderiitojen määrään, vaan niiden määrä on pysynyt vakiona vuodesta toiseen. Työntekijäliittojen aktiivisuudessa on puolestaan havaittavissa kasvua, ja euromääräisesti pieniäkin palkkasaatavia lähdetään vaatimaan oikeusteitse entistäkin herkemmin. Työntekijäliitot puolustavat jäsenkuntansa etuja, ja valitettavasti riitaherkkyyttä hyödynnetään niin liiton imagon rakentamisessa kuin jäsenhankinnassakin.

Yritysten sopeutuminen suhdanteiden vaihteluihin on välttämätöntä, ja henkilöstön osalta työlainsäädäntö asettaa menettelytavoille raamit. Työoikeus- ja palkitsemisryhmämme on työnantajan asialla poikkeuksetta ja neuvoo yritystä kaikissa muutostilanteissa taantumasta nousukauteen.


Tietosuoja – organisaation työväline ja menestystekijä

Kehitystyön edellyttämät nykytilakartoitukset tietojärjestelmien ja tietovirtojen sekä henkilötietojen käsittelyn asetelmien selvittämiseksi edellyttävät johdon ja vastuuhenkilöiden sitoutumista projektiin.

Kokemuksesta lisäarvoa

Tietosuojaprojekteissa KPMG:n tietosuojajuristit ohjaavat ja tehostavat selvitystyötä muun muassa tietotilinpäätöksen laatimiseksi sekä neuvovat henkilötietojen käsittelyn asetelmien tunnistamisessa. Osaamistamme hyödynnetään myös kehitystyön haasteita ratkaistaessa. Kokeneiden tietosuojajuristien merkitys korostuu suunniteltaessa tietosuojahallintoa ja laadittaessa esimerkiksi rekisteri- ja tietosuojaselosteita, tietosuojapolitiikkoja tai henkilötietojen käsittelyä koskevia sopimuksia. Kehitystyötä tehdään aina asiakkaan ja KPMG:n asiantuntijoiden yhteistyönä.

Tuloksekkaan tietosuojan kehitystyön myötä organisaatiolle muodostuu kattava näkemys toimintamalleistaan ja tietohallintonsa tilasta

Compliance-vaatimuksesta organisaation kilpailutekijäksi

Tuloksekkaan tietosuojan kehitystyön myötä organisaatiolle muodostuu kattava näkemys toimintamalleistaan ja tietohallintonsa tilasta. Kehitystyön tavoitteena on muodostaa organisaatioon sen tarpeita ja liiketoimintaa vastaavat toimintamallit ja käytännöt, jotka täyttävät sisäänrakennetun ja oletusarvoisen tietosuojan (privacy by design and default) vaatimukset sekä tukevat tietosuojavelvoitteiden huomioon ottamista päivittäisessä toiminnassa osoitusvelvollisuuden mukaisesti.

Tietosuoja-aiheiden noustua yleiseen tietoisuuteen myös työelämän tietosuojaa ja sähköistä viestintää koskevat säännökset herättävät kysymyksiä

Digitaaliset palvelut ja liiketoimintamallit yleistyvät

Palvelujen ja toimintamallien digitalisoituminen sekä esimerkiksi BigData-, eHealth- ja IoT-liiketoimintamallien yleistyminen edellyttävät yleisesti rekisteröityjen henkilöiden yksityisyyden ja tietosuojan huomioon ottamista palvelujen suunnittelussa ja toteuttamisessa. Tietosuoja-aiheiden noustua yleiseen tietoisuuteen myös työelämän tietosuojaa ja sähköistä viestintää koskevat säännökset herättävät kysymyksiä, ja muun muassa ICT-palvelusopimusten neuvottelun ja laatimisen yhteydessä osapuolet ymmärtävät kiinnittää huomiota myös tietosuojavaatimuksiin.

Tietosuojan ja rekisteröityjen oikeuksien ollessa erityisen huomion kohteena tietosuoja-asetuksen laatuvaatimukset täyttävä organisaatio on kiinnostava ja luotettu kumppani.

PK-yritysten kyberturvallisuus ei ole pelkästään riskienhallintaa

Liiketoiminnan ja yhteiskunnan muuttuessa yhä digitaalisemmaksi on turvallisuudesta ja tietosuojasta tullut myös merkittävä kilpailuvaltti. Asiakkaat, olivatpa he sitten yrityksiä tai yksittäisiä kuluttajia, kiinnittävät näihin asioihin entistä enemmän huomiota. Samaa tekevät myös regulaattorit ja lain säätäjät.

Keskustellessamme perhe- ja kasvuyritysten kanssa kyberturvallisuudesta usein seuraavat kysymykset askarruttavat:

  • Tietosuoja-asetus – vaikuttaako se yritykseeni?
  • Asiakkaani – kiinnostaako heitä tietoturva?
  • Mitä riskejä yritykseeni kohdistuu?
  • Kumppanit – voinko luottaa heihin?
  • Pilvipalvelut – ovatko ne turvallisia?
  • Kyberturva ja tietoturva – mitä eroa näissä on ja miksi pitäisi kiinnostaa?
  • Kaikki haluavat auditoida yritystäni/tuotettani – miten järkeistää tätä?
  • Mitä mahdollisuuksia on?

Monet näistä kysymyksistä ovat myös suurten globaalien yritysten agendalla, mutta haasteet ovat kuitenkin aika samanlaisia. Mittakaava vain saattaa olla merkittävästi erilainen.

Tietosuoja-asetus koskettaa kaikkia yrityksiä

Henkilötietojen asiallinen suojaaminen ja käsittely ovat toki muutenkin järkevää ja pakollista nykyisenkin lainsäädännön puitteissa, mutta uusi asetus tuo täsmennyksiä ja jonkin verran myös lisää vaatimuksia.

Pilvipalveluihin liittyy intohimoa ja pelkoa

Osittain oikeutetusti, osittain ei. Lähtökohta kuitenkin on se, että monet pilvipalvelut ovat turvallisempia kuin yritysten itsensä ylläpitämät IT-järjestelmät. Toki pilvipalvelun tuottajan ja oman organisaation IT-yksikön kypsyystasosta riippuen. Tietosuojamielessä kysymykseksi voi nousta tietojen säilytyspaikka. Samalla on hyvä muistaa, että jos itse tuottaa pilvipohjaisia palveluja, tulee omat asiakkaat ja yhteistyökumppanit vakuuttaa palvelun turvallisuudesta.

Tietoturvallisuus pyrkii turvaamaan tiedon saatavuuden, eheyden ja luottamuksellisuuden

Tieto- ja kyberturvallisuuden erot ja yhtäläisyydet

Arkikielessä ja mediassa nämä ovat käytännössä synonyymejä. Kun tarkemmin asiaa katsoo, tietoturvallisuus pyrkii turvaamaan tiedon saatavuuden, eheyden ja luottamuksellisuuden, olipa tieto missä tahansa muodossa. Kyberturvallisuus puolestaan liittyy sähköiseen ja digitaaliseen maailmaan. Kyberturvallisuudesta puhuttaessa voidaan tarkoittaa yhteiskunnan kriittisten toimintojen, kuten vaikka sähkön jakelun turvaamista, kun taas tietoturvallisuudesta puhuttaessa keskitytään yleensä yksittäisen organisaation (tietojen) turvaamiseen. Merkittävää käytännön vaikutusta termien erolla ei kuitenkaan ole. Uhat ja mahdollisuudet tulee tunnistaa ja tarvittavat toimenpiteet analysoida, toteuttaa ja valvoa sekä varmistaa näiden toimintojen pysyvyys.

Lisätietoa aiheesta

Ajankohtaisia uhkia, trendejä ja aiheeseen liittyviä uutisia pystyy seuraamaan reaaliajassa KPMG:n tuottamassa ilmaisessa Cyber Trends Index –palvelussa. Saatavilla on myös iPhone sovellus. Palvelu löytyy osoitteesta cyber.kpmg.com ja sovellus appStoresta.

Perhe- ja kasvuyritysten suunnan löytäminen strategisten valintojen avulla

Vaatii rohkeutta tehdä vaikeita valintoja ja aktiivisesti suunnata valittua tavoitetta kohti

Useat pk-, kasvu- ja perheyritykset ovat tilanteessa, jossa toiminnalle halutaan luoda ja viestiä selkeämpi strategia ja kirkkaammat tavoitteet. Ilman näitä yrityksen on vaikeaa luoda yhteistä suuntaa johdolle ja henkilöstölle, eikä johdonmukaisuus näy muille kuin päättäjille, vaikka sitä taustalla olisikin.

Ongelmana strategian laatimisessa ja käytäntöön viennissä voi olla, että toimintaympäristö on niin tuttu, ettei nähdä metsää puilta. Strategian luominen on enemmänkin nykyisen suunnan analyyttinen päivitys, ilman että huomioidaan toimintaympäristön laajempia muutoksia. Toisessa ääripäässä strategia huomioi uusimmat trendit ja muutokset, mutta jää liian korkealentoiseksi käytännön toteutusta ajatellen. Intuitioon perustuvat suunnanmuutokset vievät organisaatiolta toimintakykyä ja menestyksen edellytyksenä oleva johdon ja työntekijöiden yhteen hitsautuminen ei onnistu.

Usein yritysjohto tai omistajat antavat ylisuuren painoarvon riskeille, mikä jarruttaa kasvun hakemista tai pahimmillaan pysäyttää kehityksen

Usein yritysjohto tai omistajat antavat ylisuuren painoarvon riskeille, mikä jarruttaa kasvun hakemista tai pahimmillaan pysäyttää kehityksen. Kynnys ottaa riskiä on korkea, ja mikäli riskien arviointia ja hallintaa ei tehdä riittävän konkreettisesti, seuraavaa askelta ei uskalleta ottaa.

Miksi KPMG:n strategia- ja kehitysosaamista kannattaa käyttää?

Järjestelmällinen ja läpinäkyvä strategiaprosessi ja strategisten valintojen tekeminen tuo päättäjille selkeän työkalupakin tehdä päätöksiä, jotka ovat linjassa yrityksen päätavoitteiden kanssa. KPMG:n strategiasparraus avaa lukkoja ajattelussa, tuo tuoretta näkemystä strategiatyöhön ja takaa laadukkaan ja toteutettavan lopputuloksen, jossa kaikki osa-alueet on huomioitu alkuvaiheen toimintaympäristöanalyyseistä ja markkinaselvityksistä loppuvaiheen yksityiskohtaisiin toimintasuunnitelmiin asti.

Strategisten valintojen tekeminen tuo päättäjille selkeän työkalupakin tehdä päätöksiä

  • Takaamme laajan strategiaosaamisen tuoman näkemyksen ja parhaita käytäntöjä eri toimialoilta sekä Suomesta että kansainvälisiltä asiakkailtamme
  • Tuomme nopeutta ja syvyyttä strategian luomiseen sekä jalkautukseen
  • Varmistamme, että tavoitteet, toiminnot, resurssit, osaaminen, kyvykkyydet ovat linjassa toisiinsa nähden.

Global Strategy Group – KPMG:n strategiaryhmä

KPMG:n strategiaosaaminen vahvistui vuoden 2016 lopulla, kun liikkeenjohdon strategisessa ja operatiivisessa konsultoinnissa yli 20 vuotta toiminut suomalainen Synergy Group Europe liittyi KPMG:n Global Strategy Group –strategiaryhmään. Käytettävissänne on eri toimialoja tunteva kokenut asiantuntijajoukko, jolla on taustallaan koko KPMG:n kansainvälinen osaaminen niin strategian kuin operatiivisen kehittämisen osalta.

Teemme tiivistä yhteistyötä muun muassa yrityskauppatiimin, vero- ja lakiosaajien, henkilöstön kehittämisen sekä data- ja analytiikkatoimintojen kanssa. Räätälöimme lähestymistapamme aina asiakaskohtaisten tarpeiden mukaan, jotta yritys saa parhaan mahdollisen ratkaisun ongelmaansa.

Sattuu, kun kyberturvallisuus ei ole johdon asia

Ransomware eli kiristyshaittaohjelma on ilmiönä hyvin ajankohtainen. Vuoden 2016 aikana aihetta käsiteltiin aktiivisesti medioissa julkitulleiden tapausten yhteydessä. Kohteena eivät aina ole olleet ”perinteiset” tietojärjestelmät, vaan viime vuoden aikana hyökättiin esimerkiksi sairaalajärjestelmiä, sähkön jakelua, televisioita ja autoja vastaan. Suomessakin oli tilanteita, joissa kiinteistöjen lämmitys lakkasi toimimasta tai globaalisti toimivan yrityksen koko tietoverkko oli poissa käytöstä useita päiviä. Kanadasta puolestaan raportoitiin tapaus, jossa sairaalan järjestelmät olivat poissa käytöstä hyökkäyksen takia.

Ransomware on yksi yleisimmin esiintyvä haittaohjelmatyyppi Suomessa ja maailmalla. Sellaiseksi luokitellaan ne haittaohjelmat tai haitalliset verkkosivut, joiden tavoitteena on aiheuttaa käyttäjän tietokoneelle paikallinen palvelunestotila – tyypillisesti salaamalla järjestelmän tietosisältö tai ohjausdata – ja saada käyttäjä maksamaan lunnaita järjestelmän toimintakyvyn palauttamiseksi. FBI arvioi, että rikolliset tienasivat yhdellä tuottoisimmista ja yleisimmistä ransomware-ohjelmistoista vuonna 2016 jo lähes miljardi euroa.

Kukaan ei ole turvassa

Moni yritysjohtaja ajattelee, ettei Ransomware kosketa Suomea. Väärin. Vuoden 2016 aikana autoimme useita yrityksiä varautumaan näihin uhkiin tai toipumaan jo tapahtuneiden hyökkäysten seurauksista. Mielenkiintoista on ollut havaita, että sekä hyökkäysten vaikutukset että toipumistoimien monimutkaisuus ja kesto vaihtelevat merkittävästi suomalaistenkin pörssiyritysten kesken. Joissakin näkemissämme tapauksessa toipuminen on kestänyt viikkoja ja vaatinut verkon ja järjestelmien lähes täydellistä uudelleen rakentamista, joskus puolestaan tilanne on saatu normalisoitua tilannearvion, ongelmien rajaamisen ja palautusten jälkeen jo ennen seuraavaa työpäivää.

Yhteistä lähes kaikille näkemillemme tapauksille, on se, että ne ovat alkaneet yksittäisen työntekijän koneen ja toiminnan kautta

Yhteistä lähes kaikille näkemillemme tapauksille, on se, että ne ovat alkaneet yksittäisen työntekijän koneen ja toiminnan kautta. Yleensä työntekijä on tietoisesti tai tiedostamattaan tehnyt jotakin, mikä on vaarantanut hänen työasemansa turvallisuuden. Toki työasemassa on myös pitänyt olla tietoturvapuutteita, joten vastuu on osittain ollut myös tietohallinnossa. Kyse on voinut olla myös koulutuksen ja tiedon puutteesta.

Ratkaiseva vaihe on siinä, kun tapaus on levinnyt yksittäisestä työasemasta eteenpäin — joko rajoitetusti tai laajalle alueelle. Tässä vaiheessa erot eri yritysten infrastruktuurin turvallisuudessa alkavat tulla esiin: hyvin suojatussa ja ylläpidetyssä ympäristössä hyökkäys ei välttämättä pääse leviämään kovin laajalti, tapaus huomataan nopeasti ja varmistuksiin voidaan luottaa, jolloin palautus hyökkäystä edeltäneeseen tilaan käy suhteellisen helposti.

Joskus sattuu

Jos tietoturvallisuus ei ole ollut johdon agendalla, ympäristö ei välttämättä ole niin hyvin suojattu ja sitten sattuu, kun huono tuuri osuu kohdalle.

Pahin tapaus, jonka olemme Suomessa nähneet, johti koko yrityksen globaalin tietoverkon hallinnan ja satojen palvelinten kohtuullisen pitkäkestoiseen menettämiseen. Hyvin työvoima- ja tietointensiivisessä yrityksessä tuhannet työntekijät eivät voineet tehdä töitään useisiin päiviin. Tilanne oli kyseisen yrityksen kannalta erittäin hankala, mutta silti se olisi voinut olla vielä pahempi. Tässä kyseessä olivat ”vain” yrityksen tietoverkko ja liiketoimintakriittisen tiedon sisältävät palvelimet, jotka voitiin kuitenkin kohtuullisella vaivalla ja kustannuksilla palauttaa ja rakentaa uudelleen. Vastaavasti, jos hyökkäys kohdistuu kuluttajan taulutelevisioon tai vastaavaan laitteeseen, voidaan se mahdollisesti palauttaa takaisin tehdasasetuksiin tai korvata laite uudella.

Jos tietoturvallisuus ei ole ollut johdon agendalla, ympäristö ei välttämättä ole niin hyvin suojattu

Silloin, kun kaapattuna on sairaalan potilastietojärjestelmät, voimalaitos tai sähkönjakeluverkko, ei uudelleen asennus, palautus varmistuksilta tai palautus tehdasasetuksiin ole mahdollista. Pelissä voivat olla jopa ihmishenget. Näitä haavoittuvaisuuksia useiden maiden hallitukset ja tietoturvaviranomaiset pitävät yhtenä merkittävimmistä uhkista yhteiskuntien toimivuudelle ja huoltovarmuudelle.

Miten varautua?

Kuten muussakin varautumisessa ja tietoturvatyössä asioiden tekeminen etukäteen on avain menestykseen. Järjestelmistä ja ympäristöistä ei tehdä turvallisia ainoastaan toivomalla tai toteamalla, että järjestelmästä rakennetaan turvallinen ja ostamme vain turvallisia ratkaisuja. Tietojärjestelmähankkeissa ja tietotekniikan levitessä kaikkialle yhteiskuntaan, on lopulta lähes kaikissa hankkeissa tietoturvallisuuden ja tietosuojan varmistamiseen varattava merkittävästi entistä enemmän aikaa ja resursseja. Pidemmän päälle se maksaa itsensä nopeasti takaisin.

Ransomware-tapausten osaltakaan suojautuminen ja etukäteen varautuminen ei ole erityisen vaikeaa. Kyseessä on kuitenkin useiden tekijöiden summa. Varautumiseen löytyy lukuisia ohjeita, ja esimerkiksi SANS on julkaissut julkisesti saatavilla olevan ohjeen ”Enterprise Survival Guide for Ransome ware Attack”. Tämän ohjeen kirjoittamiseen on osallistunut KPMG:n asiantuntijoita. Ohje on suhteellisen pitkä, joten tiivistin sen keskeisen sisällön seuraaviin yhdeksään kohtaan, jotka on tehtävä ENNEN kuin vahinko pääsee tapahtumaan.

  1. Laita perusasiat kuntoon: selkeät roolit ja vastuut, hyvin ylläpidetyt ja tietoturvatestatut järjestelmät
  2. Muista järjestelmien ja datan varmistukset
  3. Käytä Windows Volumy Shadow Copy -toiminnallisuutta
  4. Kouluta henkilöstö tunnistamaan riskit ja toimimaan oikein
  5. Huolehdi järjestelmien tietoturvapäivityksistä — myös muiden kuin toimistojärjestelmien
  6. Hanki hyvä tietoturvatiimi tai -kumppani
  7. Jaa kirjoitusoikeuksia rajoitetusti
  8. Jaa käyttöoikeuksia rajoitetusti
  9. Huolehti monikerroksellisesta suojauksesta (esim. verkossa)

Erilaiset kiristysohjelmat ja niihin liittyvät hyökkäykset tulevat jatkossakin olemaan riesanamme. Kyse on rikollisille erittäin tuottoisasta toiminnasta.
Suojautumiseen ei ole olemassa yhtä patenttiratkaisua eikä järjestelmien aukoton suojaaminen edes ole mahdollista. Suojaukset tulee kuitenkin rakentaa mahdollisimman toimiviksi ja muistaa se, että IT on nykyään muutakin kuin palvelimet ja työasemat. On hyvä varautua siihen, että jonakin päivänä joku organisaation järjestelmä tai tuote on hyökkäyksen kohteena. Silloin punnitaan varautumisen ja ennakkovalmistautumisen taso.