Forensic-palvelut

Kehitämme asiakkaan tarpeiden mukaan räätälöityjä älykkäitä ratkaisuja väärinkäytösten ennaltaehkäisemiseksi ja havaitsemiseksi sekä autamme vastaamaan epäilyihin ja välttämään tarpeettomia oikeustoimia ja negatiivista mediahuomiota. Teemme aina tiivistä yhteistyötä asiakkaan kanssa parhaan lopputuloksen saavuttamiseksi.

Osana väärinkäytösten ennaltaehkäisyä voimme auttaa väärinkäytösselvityksissä ja liikekumppaneiden taustaselvityksissä. Tuemme lisäksi organisaatioiden toimintaa kehittämällä prosesseja ja ohjeistuksia sekä kouluttamalla väärinkäytösten ja petosten torjunnasta sekä lahjonnan ja korruption vastaisesta toiminnasta.

Organisaatioissa ilmenee toisinaan epäilyjä väärinkäytöksistä eli ohjeiden vastaisesta toiminnasta tai oman edun tavoittelusta. Väärinkäytöksillä on taloudellisten menetysten ohella myös juridisia seurauksia sekä vaikutuksia organisaation arvoon ja maineeseen.

Karkeimmillaan väärinkäytökset ovat rikoksia, esimerkiksi varkauksia tai tietosuojarikoksia. Rikosepäily ei kuitenkaan ole edellytys tapahtumien selvittämiselle, vaan kaikkiin väärinkäytösepäilyihin tulee puuttua nopeasti.

Asianmukaisesti ja osaavasti toteutettu väärinkäytöstutkinta tuo esiin toimintaan liittyviä riskejä ja ennaltaehkäisee tulevia väärinkäytöksiä.

Miten KPMG voi auttaa?

• Älä jää yksin, vaan kysy rohkeasti apua asian selvittämiseen ja tutkintaan. Me KPMG:llä olemme apunasi väärinkäytösten tunnistamisessa ja selvittämisessä sekä tilanteen haltuunotossa.
•  Suunnittelemme kanssasi tarkoituksenmukaisen ja riittävän tutkinnan. Usein yksittäinen selvitys on toteutettavissa nopealla aikataululla.
• Hyödynnämme tutkinnassa data-analytiikkaa ja pystymme tutkimaan digitaalisia aineistoja erilaisilla teknisillä menetelmillä.
• Laadimme tutkinnasta puolueettoman raportin, joka on käytössäsi mahdollisissa jatkotoimissa, esimerkiksi rikos- ja oikeusprosessissa.
• Tiimillämme on pitkäaikainen kokemus erilaisten haastavien väärinkäytöstutkintojen toteuttamisesta niin yksityisellä kuin julkisellakin sektorilla. Yhdistämme toimeksiannoissamme KPMG:n moniammatillista ja kansainvälistä osaamista sekä alan parhaita käytäntöjä.

Ilmoittajansuojelulaki velvoittaa yli 50 henkilöä työllistävät yksityisen ja julkisen sektorin organisaatiot perustamaan sisäisen ilmoituskanavan. Lain tarkoituksena on varmistaa, että henkilöt, jotka työnsä yhteydessä havaitsevat tai epäilevät väärinkäytöksiä, voivat ilmoittaa asiasta turvallisesti ja ilman pelkoa vastatoimista. Kun ilmoituskanava ja ilmoitusten käsittelyprosessi on rakennettu luotettavaksi, organisaatio täyttää lain vaatimukset ja saa prosessista myös parhaan hyödyn. Käsittely- ja päätösprosessin on oltava vapaa intressiristiriidoista. Lisäksi tietosuojasta ja tietoturvallisuudesta on huolehdittava lainsäädännön edellyttämällä tavalla.

Mitä tarjoamme?

KPMG tarjoaa lain vaatimukset täyttävän ilmoituskanavapalvelun ulkoistettuna kokonaisratkaisuna. Ilmoituskanavapalvelu on riippumaton, toimintavarma ja kustannustehokas. Ulkoinen ilmoituskanava madaltaa raportoinnin kynnystä, sillä kanava mahdollistaa intressiristiriidoista vapaan käsittely- ja päätösprosessin sekä vahvan ilmoittajan identiteetin suojaamisen. Lisäksi kanava auttaa organisaatiota keräämään tietoa organisaatiota koskevista epäkohdista ja puuttumaan niihin nopeasti.

• Asiantuntijamme (forensiikka, laki, tietosuoja, tietotekninen) hoitavat tarvittaessa koko ilmoituskanavan pystyttämisen ilmoitusten luottamukselliseen vastaanottoon ja käsittelyyn sekä mahdolliseen tutkintaan organisaation tarpeiden ja ohjauksen mukaisesti.
• Tekninen järjestelmä ilmoitusten vastaanottoon ja käsittelyyn tulee ulkoiselta toimittajalta.
• Voimme myös räätälöidä asiakkaan tarpeiden mukaisen tukikokonaisuuden ilmoitusten käsittelyyn.
• Mikäli organisaatiolla on jo käytössä ilmoituskanava, voimme arvioida miltä osin nykyinen kanava ja siihen liittyvä toimintamalli vastaavat lainsäädännön vaatimuksiin ja miltä osin toimintamallia tulisi päivittää.

Kuinka hyvin tunnet yhteistyökumppanisi ja heidän sinulle aiheuttamat riskit? Kolmansien osapuolten epäasianmukainen valvonta voi aiheuttaa taloudellisia menetyksiä, mainehaittaa ja/tai toiminnallisia häiriöitä.

Integrity due diligence (”IDD”) keskittyy sellaisten riskien tunnistamiseen, joita ei yleensä havaita muissa due diligence -prosesseissa.

Me KPMG:n Forensic-tiimissä autamme sinua hallitsemaan näitä riskejä, jotta voit tehdä tosiasioihin perustuvia päätöksiä täyttäen samalla lakisääteiset ja sisäiset vaatimustenmukaisuusvaatimukset.

Mitä integrity due diligence tarkoittaa?

IDD:llä tarkoitetaan objektiivisia taustaselvityksiä, jotka tehdään avoimien ja riippumattomien tietolähteiden avulla. Autamme keräämään taustatietoa päätöksenteon tueksi sekä tunnistamaan kolmansiin osapuoliin liittyviä väärinkäytösriskejä, kuten lahjonta ja korruptio, pakotteet, poliittinen vaikutusvalta, yhtiön omistusrakenne, oikeudenkäynnit, eturistiriidat tai muu epäeettinen toiminta.

IDD-palvelumme sisältää erilaisten julkisten tietojen seulonta- ja monitorointityökalujen käytön, henkilön tekemän tiedonkeruun ja monimutkaisemmissa tapauksissa luottamukselliset haastattelut.

Hyödynnämme taustaselvityksiä myös väärinkäytöstutkinnoissamme esimerkiksi tunnistettaessa mahdollisia eturistiriitatilanteita.

Taustaselvitysten edut

Tarjoamme riskiperusteisen lähestymistavan olennaisten tietojen havaitsemiseen ja autamme sinua hallitsemaan kolmansiin osapuoliin liittyviä riskejä nopeasti ja varmuudella.

Keskitymme lisäarvon tuottamiseen yrityksellesi. Yhdessä kanssasi keskustellen voimme räätälöidä joustavan ja kustannustehokkaan lähestymistavan liiketoimintasi tarpeiden mukaan.

Meillä on maailmanlaajuisesti ulottuvan KPMG-verkoston vankka kokemus, pääsy teknologiaan ja tuhansia tietolähteitä ympäri maailmaa.

KPMG tarjoaa monipuolisia tietoturvapalveluita, jotka auttavat organisaatiotasi suojaamaan tietoja ja varmistamaan toimintavalmiudet. Palvelumme sisältävät:

• Järjestelmä- ja sovellustestaus: Varmistamme sovellusten tietoturvallisuuden ja tunnistamme haavoittuvuudet hyödyntäen OWASP-viitekehystä ja turvallisen ohjelmistokehityksen standardeja, kuten ASVS ja MASVS. Tarjoamme myös tietoturvatestausta osana jatkuvaa sovelluskehitystä (DevSecOps), kustannustehokkaasti ja tiiviissä yhteistyössä kehittäjien kanssa.

• Penetraatiotestaus ja Attack Mapping -menetelmät: Testaamme organisaatiosi kyvykkyyden suojautua hyökkäyksiä vastaan ja kartoitamme suojausten mahdolliset heikkoudet.

• Red & Purple Teaming: Simuloimme kyberhyökkäyksiä ja harjoitamme organisaatiosi valmiuksia reagoida niihin tehokkaasti.

• ICS/OT-turvallisuus: Arvioimme teollisuuden ja operatiivisten teknologioiden turvallisuutta varmistaen kriittisten järjestelmien suojauksen.

• IoT:n ja laiteturvallisuuden arviointi: Tarkastamme IoT-laitteiden ja järjestelmien haavoittuvuudet sekä toteutamme niihin liittyviä turvallisuusselvityksiä.

• Pilvipalvelujen turvallisuus: Autamme organisaatiosi suojaamaan pilvipalvelut tietoturvapoikkeamilta ja optimoimaan niiden turvallisuuden.

• Incident response ja forensiikka: Tarjoamme tukea poikkeamatilanteiden hallinnassa, dokumentoimme tapahtumat ja autamme vahinkojen analysoinnissa.

• Tietoturvan due diligence -selvitykset ja uhka-analyysit: Kartoitamme organisaation tietoturvakontrollit ja tunnistamme mahdollisia uhkia.

• Älykiinteistöjen turvallisuus: Suojaamme rakennusten automatisointijärjestelmät ja niiden tietoturvallisuuden.

Palvelumme varmistavat, että organisaatiosi tietoturvataso on uskottava ja sidosryhmille todistettavissa. Hyödynnämme alan parhaita käytäntöjä ja kehittyneitä teknologioita, jotta yrityksesi on valmis kohtaamaan nykyiset ja tulevat tietoturvahaasteet.

Turvallisuus on yksi yritystoiminnan keskeisimmistä arvoista ja osa vastuullista johtamista. Organisaatiot panostavat turvallisuuteen yhä enemmän, mutta usein turvallisuuden eri osa-alueita kehitetään erillisinä kokonaisuuksina. Tällöin kokonaiskuva turvallisuudesta voi jäädä puutteelliseksi.

Kokonaisturvallisuuden lähestymistapa varmistaa, että kaikki organisaation turvallisuuden osa-alueet huomioidaan systemaattisesti osana riskienhallintaa ja turvallisuusjohtamista. Kokonaisturvallisuus yhdistää turvallisuuden eri osa-alueet yhtenäiseksi malliksi, jonka avulla turvallisuutta voidaan mitata, arvioida ja kehittää organisaation toiminnan kokonaisuus huomioiden.

Kokonaisturvallisuuden malli rakennetaan aina organisaation omista lähtökohdista ja toimintaympäristöstä käsin. Näin varmistetaan, että turvallisuus tukee organisaation strategiaa, riskienhallintaa ja päivittäistä toimintaa.

Miten varmistetaan tasapainoinen kokonaisturvallisuus?

Turvallisuuden mallintamisen tavoitteena on varmistaa, että organisaation turvallisuus on johdettua, systemaattista ja kattavaa. Kokonaisturvallisuuden kehittämisellä pyritään siihen, että:

• turvallisuus ymmärretään yhtenäisesti osana organisaation johtamista ja toimintaa
• kaikki turvallisuuden osa-alueet on huomioitu riskienhallinnassa ja päätöksenteossa
• turvallisuusjohtamisen keskeiset roolit ja vastuut ovat selkeästi määritelty
• turvallisuustyötä tehdään järjestelmällisesti ja suunnitelmallisesti
• turvallisuusraportointi on ajantasaista ja tukee johtamista
• poikkeamien käsittely ja päätöksenteon tukimallit toimivat tehokkaasti
   

Kokonaisturvallisuuden palvelut

Tarjoamme asiantuntijatukea organisaation kokonaisturvallisuuden kehittämiseen kaikissa vaiheissa.
 

1. Turvallisuuden nykytila-analyysi

Nykytila-analyysin tavoitteena on kartoittaa organisaation turvallisuuden nykyinen taso, keskeiset riskit sekä kehityskohteet.

Analyysi voidaan toteuttaa esimerkiksi:

• erillisenä turvallisuusarviointina
• osana organisaation riskienhallinnan arviointia
• sisäisen tarkastuksen yhteydessä

Nykytila-analyysi luo perustan turvallisuuden systemaattiselle kehittämiselle.
 

2. Kokonaisturvallisuusmallin rakentaminen

Kokonaisturvallisuusmallissa määritellään, miten turvallisuus integroidaan osaksi organisaation riskienhallintaa, johtamista ja toimintaa.

Mallissa kuvataan muun muassa:

• organisaation turvallisuuden osa-alueet
• turvallisuusjohtamisen rakenteet
• vastuut ja roolit
• turvallisuusraportointi ja seuranta

Selkeä kokonaisturvallisuusmalli auttaa organisaatiota hallitsemaan turvallisuusriskejä kokonaisvaltaisesti.
 

3. Turvallisuuden osa-alueiden kehittäminen

Autamme kehittämään organisaation turvallisuutta myös yksittäisten turvallisuuden osa-alueiden näkökulmasta.

Erityisosaamistamme ovat esimerkiksi:

• väärinkäytösten ja poikkeamien hallinta
• tietoturvallisuus ja kyberturvallisuus
• varautuminen ja valmiussuunnittelu
• henkilöstöturvallisuus ja insider-riskien hallinta
• ympäristöturvallisuus
   

4. Turvallisuuden ylläpito ja jatkuva kehittäminen

Kokonaisturvallisuus edellyttää jatkuvaa seurantaa, kehittämistä ja raportointia osana organisaation riskienhallintaa ja johtamista.

Tarjoamme turvallisuuden ylläpitoon ja kehittämiseen muun muassa:

• turvallisuusriskien arvioinnit
• johdon kriisiharjoitukset
• henkilöstön turvallisuuskoulutukset
• whistleblowing-kanavien ylläpidon ja kehittämisen
• turvallisuuden seuranta- ja raportointimallit

Jatkuva kehittäminen varmistaa, että organisaation turvallisuus pysyy ajan tasalla muuttuvassa toimintaympäristössä.

Insider-riskillä tarkoitetaan tilannetta, joissa henkilö tahallisesti tai tahattomasti toimii organisaation ohjeiden vastaisesti ja vaarantaa organisaation toiminnan, maineen tai turvallisuuden. Insider-riskien merkitys on kasvanut viime vuosina johtuen erityisesti muuttuneesta turvallisuusympäristöstä ja talousrikollisuutta harjoittavien järjestäytyneiden rikollisryhmien toiminnan lisääntymisestä.

Insider-riskit uhkaavat erityisesti nuoria ja innovatiivisia yrityksiä. Onnistunut tiedustelutoiminta tai hyökkäys voi viedä startup-yrityksen kilpailuedun, asiakkaiden luottamuksen tai jopa koko liiketoiminnan. Jokainen yritys voi kuitenkin rakentaa itselleen sopivan, ketterän ja toimivan turvallisuuskulttuurin.  KPMG auttaa tunnistamaan riskit, suojaamaan innovaatiot ja vahvistamaan turvallisuutta oikeassa mittakaavassa.
 

Insider-riskit voivat johtua esimerkiksi

• Tahallisesta toiminnasta, kuten
  • tietojen väärinkäytöstä
  • vahingonteosta
  • petoksista tai muista talousrikoksista
  • luvattomasta tietojen luovuttamisesta.
• Tahattomasta toiminnasta, kuten
  • inhimillisistä virheistä
  • huolimattomuudesta
  • turvallisuusohjeiden laiminlyönnistä.
• Henkilökohtaisista olosuhteista, jotka altistavat riskeille:
  • taloudelliset vaikeudet
  • riippuvuudet
  • painostus tai vaikuttamisyritykset.

Miten insider-riskiä hallitaan

KPMG tarjoaa tukea organisaatiosi insider-riskien analysointiin ja hallintatoimien kehittämiseen. Insider-riskien analysointi voidaan tehdä osana kokonaisturvallisuusmallin kehittämistä tai erillisenä projektina.

Insider-riskien hallintaan liittyviä palveluitamme ovat mm.

• Insider-riskien tunnistaminen
• Insider-riskien hallinnan nykytilan arviointi
• Arvioinnin perusteella tehtävien kehittämistoimenpiteiden suunnittelu ja toteuttaminen
• Whistleblowing-kanavan rakentaminen ja ylläpito
• Puolueettomat väärinkäytöstutkinnat
• Taustaselvitykset
• Kokonaisturvallisuusmallin kehittäminen
• Johdon ja henkilöstön koulutukset ja harjoitukset