Useimpien yritysjohtajien silmissä vaatimustenmukaisuus ei ole hohdokkain asia. He saattavat nähdä sen välttämättömyytenä sääntelypaineen välttämiseksi, mutta myös asiana, joka voidaan antaa nuoremman työntekijän tehtäväksi tai ainakin hoitaa ad hoc -periaatteella.
Mutta koska teknologia on nykyään useimpien nykyaikaisten yritysten elinehto, rikolliset hyödyntävät sitä ja sääntelyviranomaiset ja muut sidosryhmät painostavat yrityksiä ottamaan vaatimustenmukaisuuden vakavammin, tällainen lähestymistapa ei ole enää kestävä.
Vaatimustenmukaisuuden ja hallinnon on nyt oltava jatkuvaa toimintaa, jota tukevat yhtenäiset viitekehykset ja johdon sitoutuminen, jotta voidaan torjua yritysten ja niiden sidosryhmien kohtaamia kasvavaa tieto-, kyber- ja toimitusketjuriskien määrää. Mutta miten tämä voidaan saavuttaa?
Kyberriski on liiketoimintariskiä
Keskeinen ajuri vaatimustenmukaisuuden siirtymisessä valintaruutujen täyttämisestä strategiseksi prioriteetiksi yritysten päivittäisessä toiminnassa on "lakien, määräysten, standardien ja hyvien käytäntöjen valtava laajuus", joita yritysten odotetaan nyt noudattavan, sanoo Stephanie Locke, tuotepäällikkö tekoälyasiantuntijayrityksessä Nightingale HQ. Hän sanoo, että vaatimustenmukaisuuden noudattamatta jättäminen voi johtaa merkittäviin maine- ja taloudellisiin seurauksiin.
Merkittäviä esimerkkejä tästä muutoksesta ajaneista laeista ja määräyksistä ovat Euroopan unionin verkko- ja tietoturvadirektiivi 2 (NIS2) ja sen uraauurtava tekoälylaki – puhumattakaan vaihtelevista tietosuojastandardeista eri puolilla maailmaa. Koska teknologia on syvästi juurtunut organisaatioiden kaikkiin toiminnan osiin, Locken mukaan hallitukset kiinnittävät tarkkaa huomiota näihin sääntöihin ja näkevät nyt IT-riskin yritystason riskinä.
Koska teknologiaekosysteemi – ja sitä hallitseva sääntelymaisema – kehittyvät nopeasti, Locken mukaan yritysten on nyt pakko hallita kyberriskiä jatkuvasti eikä säännöllisesti. Hän lisää: ”Erityisesti tekoäly luo uusia operatiivisia, oikeudellisia ja maineeseen liittyviä riskejä, ja varhaiset täytäntöönpanomallit todennäköisesti heijastelevat GDPR:n disruptiivista vaikutusta sen käyttöönoton jälkeen.”
Samankaltaisia ajatuksia toistava Jake Moore – virustorjuntaohjelmistoja valmistavan ESETin globaali kyberturvallisuusneuvonantaja – sanoo, että NIS2:n ja EU:n tekoälylain kaltaisten oikeudellisten puitteiden nousu on muuttanut "kyberriskin liiketoimintariskiksi". Tämän mielessä pitäen hän sanoo, että molemmat lait edellyttävät "johtajatason vastuuta" ja korostavat, että "säännösten noudattaminen sanelee nyt toimintamalleja, eikä päinvastoin".
Hän kertoo IO:lle: ”Väärin tekeminen on kallista, eivätkä valintaruudut aina riitä ratkaisemaan sitä. Vaatimustenmukaisuus voi olla pitkäveteinen tapa hoitaa asioita, mutta se osoittaa, että organisaatiot voivat toimia turvallisesti ja skaalautuvasti.”
Sääntelyviranomaiset ovat yhä älykkäämpiä
Sääntelyviranomaiset eivät ainoastaan ota käyttöön ja muuta alan lakeja kiihtyvällä vauhdilla. Tekoälyn kehityksen ansiosta ne myös työskentelevät paljon nopeammin kulissien takana havaitakseen yrityksiä, jotka saattavat rikkoa heidän sääntöjään.
Lee Bryan – vaatimustenmukaisuusratkaisujen tarjoajan Arcus Compliancen perustaja ja toimitusjohtaja – sanoo tekoälyn avulla, että sääntelyviranomaiset pystyvät "skannaamaan tuotteita, pakkauksia, tietoja ja dokumentaatiota skaalautuvasti" ja "kokonaisten tuoteryhmien" osalta. Teknologian avulla he voivat myös "havaita aukot, epäjohdonmukaisuudet ja väärät väitteet välittömästi".
Hän lisää, että tällainen merkittävä muutos sääntelyviranomaisten työssä tarkoittaa, että brändit eivät enää voi "piiloutua volyymin, maantieteellisen sijainnin tai hitaiden manuaalisten tarkastusten taakse", mikä tarkoittaa, että niillä ei ole muuta vaihtoehtoa kuin pitää vaatimustenmukaisuutta ratkaisevana liiketoimintana tai joutua sääntelytoimien kohteeksi.
Ei enää jälkihuomio
Sääntelyviranomaiset eivät ole ainoa ryhmä, joka odottaa yritysten suhtautuvan vaatimustenmukaisuuteen vakavasti.
Muut sidosryhmät, kuten sijoittajat, asiakkaat ja kumppanit, tarkastelevat yhä enemmän yritysten tietoturva- ja yksityisyydensuojaa ennen sopimusten allekirjoittamista – ja jopa sen jälkeen.
Nightingalen Locke sanoo, että toimitusketjuihin kohdistuvien kyberhyökkäysten, kuten SolarWindsin kokeman, lisääntyessä yritykset ovat tietoisia riskeistä, joita kolmannen osapuolen teknologiatoimittajat voivat aiheuttaa, jos ne eivät noudata kyberriskien parhaita käytäntöjä ja sääntöjä. Hän lisää: "Tämän seurauksena tietoturvasta ja yksityisyyden suojasta on tullut kaupallisen ja sijoitustoiminnan due diligence -tarkastusten ydinosa."
Erityisesti digitaalisen due diligence -tarkastuksen osalta George Tziahanas – arkistointiohjelmistoihin erikoistuneen Archive360:n vaatimustenmukaisuudesta vastaava varatoimitusjohtaja – selittää, että potentiaaliset asiakkaat saattavat olla haluttomia tekemään yhteistyötä yritysten kanssa, jotka eivät pysty selittämään, miten ne tallentavat, hallinnoivat ja poistavat tietoja, ja pitävät tätä "operatiivisena riskinä".
Nykyiset sidosryhmät odottavat myös yrityksiltä, joiden kanssa he työskentelevät, korkeaa sääntelyn noudattamisen tasoa, jotta ne eivät joudu osallisiksi toimitusketjun vaaratilanteisiin. Tziahanasin mukaan tämän laiminlyönti voi johtaa siihen, että yritykset kokevat "sopimusseuraamuksia, sääntelytoimia ja maineeseen liittyviä vaikutuksia".
Siilojen välttäminen
Huono vaatimustenmukaisuus ei kuitenkaan ole vain yritysten näkemystä rastiruutuarkemuksesta. Tziahanas selittää, että vaatimustenmukaisuuden puutteet, kuten ”epäjohdonmukaiset kontrollit, puutteelliset tiedot ja epäluotettava data”, voivat johtaa ongelmiin, kuten ”väärään raportointiin, epäonnistuneisiin vahvistuksiin ja liialliseen säilytykseen”.
Tämän välttämiseksi yritysten tulisi mieluiten yhdistää kaikki vaatimustenmukaisuuden eri osa-alueet – riski, tietoturva, yksityisyys ja jatkuvuus – yhdeksi hallintoketjuksi. ESETin Mooren mukaan näin tekeminen johtaa siihen, että niiden vaatimustenmukaisuus- ja riskinhallinnan asenne muuttuu "reaktiivisesta sammutuksesta" "proaktiiviseksi" – mikä "säästää rahaa ja piilokustannuksia" samanaikaisesti.
Kirjanpito-ohjelmistoja tarjoavan FloQastin EMEA-alueen toimitusjohtaja John Phillips näkee myös yhtenäisen ja ennakoivan lähestymistavan edut vaatimustenmukaisuuteen ja kyberriskien hallintaan. Hän sanoo, että tätä lähestymistapaa omaksuvat tiimit voivat "ennakoida sisäisiä ja ulkoisia käänteitä, yhdenmukaistaa toimintansa johdon kanssa jo varhaisessa vaiheessa ja keskittää resurssit sinne, missä niillä on suurin vaikutus".
Alan sääntöjen ja parhaiden käytäntöjen noudattaminen uuden liiketoimintahankkeen tai tuotteen alkuvaiheessa voi myös olla hyödyllistä pitkällä aikavälillä. Ensinnäkin Archive360:n Tziahanas sanoo, että se estää "kalliit jälkiasennukset", koska "luokittelu-, säilytys- ja poistosäännöt" on jo määritelty ja otettu käyttöön.
Tziahanasin mukaan vankka vaatimustenmukaisuus auttaa myös yrityksiä rakentamaan vahvoja luottamukseen perustuvia sidosryhmäsuhteita. Tämä on avainasemassa "nopeampien sopimussyklien ja sujuvamman markkinoilletulon mahdollistamisessa".
Käytännön vaiheet
Vahvan vaatimustenmukaisuusstrategian rakentamisessa ja toteuttamisessa hyvä lähtökohta voivat olla arvostetut alan viitekehykset, kuten ISO 27001, ISO 42001, SOC 2 ja ISO 27701.
Nightingale HQ:n Locke kuvailee niitä "hallinnon aloitusoppaaksi" ja sanoo niiden tarjoavan yrityksille kaikki "perusasiat", joita ne tarvitsevat vaatimustenmukaisuuteen ja hallintotapaan liittyvien velvoitteidensa täyttämiseen. Hän lisää, että tällaiset viitekehykset mahdollistavat myös organisaatioille ja niiden sidosryhmille sitoutumisen "jaettuihin odotuksiin ja sitoumuksiin" vaatimustenmukaisuuden ja hallintotavan suhteen.
Myös selkeä riskinäkyvyys on tärkeää. Bryan Arcus Compliancelta selittää, että yritysjohtajat eivät välttämättä ole tietoisia kohtaamistaan riskeistä, koska "tiedot, dokumentaatio ja toimittajat ovat hajallaan eri järjestelmissä". Hän uskoo, että tämä voidaan ratkaista omaksumalla "ketteriä järjestelmiä, riskiperusteista lähestymistapaa ja aitoa vaatimustenmukaisuuskulttuuria".
ESETin Mooren mukaan johdon sitoutuminen on olennaista vaatimustenmukaisuus- ja hallintosuunnitelmien toimivuuden kannalta. Mutta tämä voidaan saavuttaa vain kouluttamalla johtajia nopeasti laajenevasta kyberuhkakentästä ja siitä, miten se voi vaikuttaa liiketoimintaan, hän sanoo.
Ensisilmäyksellä vaatimustenmukaisuus vaikuttaa työläältä tehtävältä, jolla pyritään miellyttämään sääntelyviranomaisia. Mutta se voi itse asiassa hyödyttää yrityksiä, sillä se mahdollistaa riskien havaitsemisen ja ratkaisemisen ennen kuin ne aiheuttavat vakavaa vahinkoa. Samalla se voi houkutella potentiaalisia asiakkaita ja vahvistaa siteitä olemassa oleviin asiakkaisiin – jotka kaikki ovat huolissaan viimeaikaisista toimitusketjujen kyberhyökkäyksistä ja haluavat varmistaa, että kaikki heidän kanssaan työskentelevät yritykset suhtautuvat näihin riskeihin vakavasti.
