Turvallisuusjohtajan blogi: Yritysturvallisuuden mittaaminen - määrän mittaamisesta muutoksen mittaamiseen
Jyrki Lahnalahti kokoaa yritysturvallisuuden asiantuntijaryhmän ajatuksia turvallisuuden mittareista ja indikaattoreista.
Turvallisuus on koko yrityksen toimintaa poikkileikkaavaa toimintaa. Vaikka asiantuntijaryhmä oli yhtä mieltä siitä, että yritysturvallisuus vaatii ennen kaikkea yritysjohdon vahvaa sitoutumista ja johtamista, sen tulee nähdä vaikuttavan yhtä lailla alhaalta ylöspäin. Turvallisuuden käytännön teot tapahtuvat operatiivisella tasolla, jolloin merkittäväksi tekijäksi nostettiin yrityksen turvallisuuskulttuuri.
Turvallisuuskulttuuri ja oikea asenne yritysturvallisuuteen kumpuavat oikeanlaisesta ja riittävästä koulutuksesta ja perehdyttämisestä. Asiantuntijaryhmä uskoo, että koulutusten tai niihin osallistuvien henkilöiden lukumäärä ei kuitenkaan ole relevantti mittari organisaation turvallisuuden tasoa arvioitaessa. Pelkkä lukumäärä ei kerro riittävästi totuudesta tai muutoksesta. Tärkeämpää ja oikeampaa olisi mitata koulutuksen vaikuttavuutta.
Järjestelmällinen, jatkuva ja oikein toteutettu turvallisuuskulttuuri- ja asennemittaus on perustason informaatiota tuottava mittari. Muutokset niissä kertovat siitä, mihin suuntaan mennään ja ne antavat tietoa ja osviittaa koulutuksen kohdentamiseksi. Asiantuntijaryhmä pohti henkilöstön kokemaa turvallisuuden tunnetta ja muutosta siinä. Todettiin hyvin yksimielisesti, että vahvan turvallisuuskulttuurin omaavassa organisaatiossa palautuminen yksittäisen uhkan aiheuttamasta hetkellisestä turvallisuudentunteen notkahduksesta tapahtuu nopeammin.
Asiantuntijaryhmä nosti turvallisuuden merkittäväksi mittariksi johdon sitoutumisen.
Perinteisesti turvallisuuden mittarina käytettävää turvallisuuspoikkeamien määrää pohdittiin kriittisesti. Pelkästä poikkeamien lukumäärän mittauksesta tulisi pyrkiä niiden aiheuttamien toimien ja muutoksen mittaamiseen. Millaisella vasteajalla poikkeamiin reagoidaan ja millaisia ja niiden toteuttamisia poikkeamat ovat aiheuttaneet, voisivat olla asioita, joiden mittaaminen tukisi paremmin yrityksen turvallisuuden johtamista. Turvallisuuspoikkeamien listaaminen ei yksin riitä. Ne tulee analysoida ja tiedottaa myös positiivisesta kehityksestä. Erkko Badermann kiteytti ajatuksen ”mitataan asioita, joihin voidaan investoida” pätemään hyvin myös turvallisuuden mittaamiseen.
Samaan ajatukseen yhtyi myös Mats Fagerström, joka painotti tiedolla ja turvallisuustavoitteilla johtamista. Tavoitteiden ja toimenpiteiden kohdentaminen järjestelmän tuottamaa informaatiota hyödyntäen mahdollistaa priorisoinnin ja järkeistämisen. Yrityksen strategiaan sidottujen turvallisuustavoitteiden tulee heijastua jokaiseen turvallisuusjohdon palaveriin ja niissä tehtävään päätökseen. ”Turvallisuus on nähtävä yrityksen tukipalveluna, joka palvelee jokaista yrityksen toimintoa”, näkee asian Ilona Sutela.
Merkittävänä turvallisuuden tason mittarina tulee hyödyntää myös sisäisten ja ulkoisten auditointien ja tarkastusten antamaa informaatiota, niistä nousevia kehittämistarpeita sekä -toimenpiteitä. Jokaiselle yritykselle ja organisaatiolle on tärkeää turvallisuusjohdon verkostoituminen, jotta ymmärretään ajoissa milloin ollaan menossa väärään suuntaan ja saadaan mahdollisuus peilata ajankohtaisia toimenpiteitä ja tarpeita. ”Asetettujen tavoitteiden – esimerkiksi kehitysprojektien – toteutumisen mittaaminen tukee turvallisuustyötä”, muistuttaa Matti Koskinen.
Badermannin toteamus ”turvallisuus ei ole itseisarvo” alleviivaa ajatusta, että jokaisen yrityksen on arvioitava turvallisuutta ja sen tasoa omista lähtökohdistaan ja tavoitteistaan. Turvallisuuden taso ei voi olla tietty luku tai numero, joka pätee jokaisessa yrityksessä ja jokaisella toimialalla samalla tavalla. Pohdittaessa yrityksen kokonaisturvallisuuden arviointimallia, on tärkeätä ottaa huomioon yrityksen tavoite- ja tahtotila. Myöskään turvallisuuden eri osa-alueiden painotus ei voi olla vakio ja siksi on tärkeää, että arviointimalli on modulaarinen, jotta sitä voidaan hyödyntää toimialasta, yrityskoosta ja organisaation tavoitteista riippumatta.
Matti Koskinen, Ilona Sutela, Mikko Törmänen, Laura Lindholm ja Erkko Badermann pohtivat yritysturvallisuuden mittaamista turvallisuusjohtamisen asiantuntijaryhmän tapaamisessa Helsigissä.
Turvallisuusjohtamisen oraakkelit -hanke:
Inspecta on kutsunut koolle turvallisuusjohtamisen asiantuntijaryhmän, jonka tavoitteena on luoda tilannekuvaa turvallisuusjohtamisen tilanteesta Suomessa ja kehittää avoin yritysturvallisuuden johtamisen viitekehys, josta olisi hyötyä koko suomalaiselle yritysmaailmalle ja yhteiskunnalle. Asiantuntijatyöryhmän jäsenet omaavat laajan kokemuksen ja näkemyksen turvallisuuden ja turvallisuusjohtamisen eri osa-alueilta. He edustavat ryhmässä omaa asiantuntijuuttaan ja kokemustaan. Työryhmä kokoontui ensimmäisen kerran maaliskuussa 2017 ja työ jatkuu säännöllisillä tapaamisilla. Jokaisessa tapaamisessa asiantuntijat ottavat pohdittavakseen yhden yritysturvallisuuden johtamisen kysymyksen.
Asiantuntijaryhmään kuuluvat:
Helsingin kaupungin turvallisuus- ja valmiusyksikön päällikkö Matti Koskinen
VTT:n turvallisuus- ja valmiuspäällikkö Ilona Sutela
Suomen Pankin neuvonantaja Erkko Badermann
Helenin yritysturvallisuuspäällikkö Mats Fagerström
Onnettomuustutkintakeskuksen johtaja, dosentti Veli-Pekka Nurmi
Wärtsilän turvallisuusjohtaja Rauno Hammarberg
Elinkeinoelämän keskusliiton yritysasiantuntija Mika Susi
Inspectan liiketoimintajohtaja Mikko Törmänen,
Inspectan liiketoimintapäällikkö Laura Lindholm
Inspectan tietoturvapalveluiden tuotepäällikkö Jyrki Lahnalahti
Lue kaikki aiheen artikkelit Turvallisusjohtajuus-blogista
Lisätietoja hankkeesta antavat:
Jyrki Lahnalahti, tietoturvapalveluiden tuotepäällikkö, Inspecta Sertifiointi Oy +358400571892 Mikko Törmänen, liiketoimintajohtaja, Inspecta Sertifiointi Oy +358503814829