Mõjusa riskijuhtimise ja kontrolli kolm kaitseliini

Organisatsioonid on kahe või enama inimese kogum, kes tegutsevad üha ebakindlamas, keerukamas, omavahel seotud ja muutlikus maailmas. Neis on sageli mitu sidusrühma, kellel on erinevad, muutlikud ja mõnikord konkureerivad huvid. Sidusrühmad usaldavad organisatsioonilise järelevalve juhtorganile, mis omakorda delegeerib ressursid ja volitused juhtkonnale asjakohaste toimingute tegemiseks, sealhulgas riskijuhtimiseks. Nendel ja muudel põhjustel vajavad organisatsioonid eesmärkide saavutamiseks tõhusaid struktuure ja protsesse, toetades samal ajal tugevat valitsemist ja riskijuhtimist, Kuna juhtorgan saab juhtkonnalt aruandeid tegevuste, tulemuste ja prognooside kohta, toetuvad nii juhtorgan kui ka juhtkond siseauditile, et pakkuda sõltumatut, objektiivset kinnitust ja nõu kõikides küsimustes ning edendada ja hõlbustada innovatsiooni ja täiustamist. Juhtorgan vastutab lõpuks valitsemise eest, mis saavutatakse nii juhtorgani tegevuse ja käitumisega kui ka juhtimise ja siseauditi kaudu. ^[1]

Kolme liini mudel aitab organisatsioonidel tuvastada struktuure ja protsesse, mis aitavad kõige paremini saavutada eesmärke ning hõlbustavad tugevat juhtimist ja riskijuhtimist. Mudel kehtib kõikide organisatsioonide kohta ja on optimeeritud:

põhimõttepõhise lähenemise kasutuselevõtt ja mudeli kohandamine organisatsiooni eesmärkide ja oludega;
keskendumine panusele, mida riskijuhtimine annab eesmärkide saavutamisel ja väärtuse loomisel, samuti "kaitse" ja väärtuste kaitsmise küsimustes;
mudelis esindatud rollide ja kohustuste ning nendevahelise suhte selge mõistmine;
rakendusmeetmed tagamaks, et tegevused ja eesmärgid on vastavuses sidusrühmade prioriteetsete huvidega.^[1]

Kolme kaitseliini mudel muuda

Kolme liini mudelis on eristatud kolm rühma (või liini), mis on seotud mõjusa riskijuhtimisega:

funktsioonid, mis tegelevad riskide võtmise ja juhtimisega;
funktsioonid, mis tegelevad võetud riskide kontrollimisega;
funktsioonid, mis annavad eelnevate funktsioonide õigele toimimisele sõltumatut kindlust.^[2]

Esimene kaitseliin: keskastme juhtkond muuda

Esimeses kaitseliinis toimub riskide võtmine ja juhtimine ning sellega tegelevad keskastme juhid. Nende ülesanne on ka vastutada, et parendusmeetmete rakendataks ning tegeleda protsessides ja kontrollides esile kerkinud probleemidega. Keskastme juhtkond peab tagama mõjusa sisekontrolli ning samuti riskijuhtimise ja igapäevased kontrollitegevused. Nad tuvastavad, hindavad, kontrollivad ja hajutavad riske, juhtides seejuures organisatsioonisiseste protseduuride arendust ning rakendamist. Läbi astmelise vastutusstruktuuri töötavad kesktaseme juhid välja detailseid protseduure, mille järgi töötajad on kohustatud tegutsema. Keskastme juhtkond kvalifitseerub esimeseks kaitseliiniks, sest nende ettekirjutuste alusel on kontrollid juba süsteemidesse ja protsessidesse formeeritud. Igas ettevõttes on vaja asjakohaste juhtimis- ja järelevalvekontrollide kehtestamist. Seda selleks, et oleks tagatud tegevuste vastavus kehtivatele nõuetele. Samuti, et tuua välja potentsiaalne kontrollide ebaefektiivsus, puudulikud protsessid ja ettenägematud sündmused. ^[2]

Teine kaitseliin: riskijuhtimise ja vastavuskontrolli funktsioonid muuda

Mõjusa riskijuhtimise tagamiseks ei piisa ainult ühest kaitseliinist. Teine kaitseliin on oluline komponent. Juhtkonna ülesanne on luua erinevaid riskijuhtimise ja vastavuskontrolli funktsioone ning seda selleks, et need aidaks koostada ja/või anda hinnangut esimese kaitseliini kontrollidele. Konkreetselt loodud funktsioonid on ettevõtete ja tegevusvaldkondade lõikes erinevad, kuid kõige levinumad teise kaitseliini funktsioonid on:

Riskijuhtimise funktsioon on toeks keskastme juhtkonnale ja jälgib, et esimene liin rakendaks mõjusaid riskijuhtimismeetodeid, samuti aitaks riskide omanikel määratleda võetavat riski ja esitada asjakohast teavet kogu ettevõttes.
Vastavuskontrolli funktsiooni ülesanne on seirata eripäraseid riske, näiteks kuidas peetakse kinni seadustest ja määrustest. Vastavuskontroll edastab teabe otse tippjuhtkonnale, vastavalt vajadusel otse kõrgemale juhtorganile. Ühes ettevõttes on enamasti erinevaid vastavuskontrolli funktsioone, mille vastutusalas on konkreetsed valdkonnad (näiteks tervishoiu ja ohutuse, tarneahela, keskkonna või kvaliteedijärelevalve).
Kontrolleri funktsioon on organisatsioonis vajalik jälgimaks finantsriske ja finantsaruandlust. ^[2]

Juhtkonna ülesanne on luua eespool välja toodud funktsioonid, et tagada kontroll esimene kaitseliini õige kujundatuse ja toimimise üle. Kõik need funktsioonid on esimesest liinist sõltumatud, kuid oma olemuselt on need siiski justkui juhtimisfunktsioonid. Neil on lubatud sekkuda otse sisekontrolli ja riskisüsteemide muutmise ja arendamise protsessi. Teise kaitseliini olemasolu vajalikkus on seega teada, kuid meeles peab pidama, et täiesti sõltumatut analüüsi ei ole võimalik juhtkonnale pakkuda. Nende kolme funktsiooni kohustused on küll erinevad, kuid hõlmavad potentsiaalselt järgmist:

on vaja toetada juhtkonna loodud poliitikaid, määratleda rolle organisatsioonis ja määratleda kohustusi, samuti seada eesmärke;
on vaja luua riskijuhtimisraamistikke;
on vaja tuvastada teadaolevaid kuid samuti ka varakult tekkivaid probleeme;
on vaja tuvastada organisatsiooni enesestmõistetavas riskivalmiduses toimuvaid muudatusi;
on vaja abistada juhtkonda riskide ja probleemide lahendamiseks vajalike protsesside ja kontrollide loomisel ;
on vaja anda riskijuhtimise protsesse käsitlevat nõu;
on vaja aidata kaasa keskastme juhtide poolt rakendatavatele mõjusatele riskijuhtimispraktikatele;
on vaja hoiatada esimest liini esilekerkivate probleemide ning muutuvate regulatiivsete ja riskistsenaariumite eest;
on vaja teostada järelevalvet sisekontrolli piisavuse ja mõjususe, aruandluse täpsuse ja täielikkuse, seaduste ja määruste järgimise ning puuduste õigeaegse kõrvaldamise üle. ^[2]

Kolmas kaitseliin: siseaudit muuda

Organisatsioonis on vaja funktsiooni, kellel on sõltumatus ja objektiivsus. Need on siseaudiitorid, kes saavad anda kõrgemale juhtorganile ja tippjuhtkonnale täieliku kindlustunde. Sellist sõltumatust ei suuda teine kaitseliin saavutada. Kolmas kaitseliin annab vajalikele osapooltele kindlust selles, et ettevõtte valitsemine, riskijuhtimine ja sisekontroll on mõjusad, teostades samal ajal kontrolli ka esimese ja teise kaitseliini riskijuhtimise ja kontrolli alaste eesmärkide saavutamise mõjususe osas. Antav kindlus seondub enamasti järgmiste valdkondadega:

erinevad sihid (talitluse tõhusus ja mõjusus, varade kaitse, aruandluse usaldusväärsus ja terviklikkus, samuti ka seaduste, määruste, põhimõtete, kordade ning lepingutingimuste järgimine);
riskijuhtimise ja sisekontrolli raamistiku elemendid;
ettevõtte riskijuhtimise raamistiku elemendid;
kogu organisatsioon, kõik osakonnad, tütarettevõtted, tegevusüksused ja funktsioonid, samuti äriprotsessid (näiteks ost ja müük) ning tugifunktsioonid (näiteks personal, palgad, eelarvestamine ja infotehnoloogia).^[2]

Oskusliku siseauditi välja töötamine peaks olema kohustuslik kõikidele organisatsioonidele. Teema on äärmiselt oluline nii suurtele, keskmise suurusega kui ka väikstele ettevõtetele. Väikeses ettevõttes ei pruugi olla vähem keerulisem töökeskkond, kuid võib olla vähem jõuline organisatsiooniline ehitus ja suutlikkus, et tagada tõhusad juhtimise ja riskijuhtimisprotsessid ettevõttele.^[2]

Kolmanda kaitseliini panus organisatsiooni mõjusasse valitsemisse on oluline ning seda tehakse aktiivselt, kuid eeldusel, et mõningased tingimused (näiteks siseauditi sõltumatusele ja professionaalsusele kaasa aitamine) on täidetud. Kõige parem viis on luua sõltumatu ning professionaalsete töötajatega siseauditi funktsioon, milles oleks täitetud järgmised kriteeriumid:

tuleb olla vastavuses tunnustatud rahvusvaheliste siseauditi standarditega;
tuleb anda aru piisavalt kõrgele tasemele organisatsioonis;
tuleb luua tegus ja tõhus aruandlusliin, mis viib kõrgema juhtorganini.^[2]

Välisaudiitorid, regulaatorid ja teised välised organid muuda

Välisaudiitorid, regulaatorid ja teised välised organid ei ole osa ettevõttest, kuid on võimalik, et neil on oluline roll organisatsiooni üldises valitsemis- ja kontrollistruktuuris. Eriti aktuaalne on see väide tugevalt reguleeritud tegevusaladel (näiteks finantsteenuste osutajad või kindlustus ettevõtted). Välised regulaatorid kehtestavad vahetevahel nõudeid, mis oleksid abiks organisatsioonisisese kontrolli tugevdamisele, kuid tegutsevad muudel juhtudel sõltumatu ja objektiivse osapoolena, abistades erinevaid kaitseliine või nende osi varem kehtestatud nõuete täitmisel. Kui on suudetud koordineerida välisaudiitorid, regulaatorid ja teised organisatsioonivälised organid, võib seda koordinatsiooni pidada täiendavaks ehk neljandaks kaitseliiniks. See annab veelgi enam kindlust huvirühmadele, aga ka organisatsiooni juhtorganile ja tippjuhtkonnale. Võttes arvesse nende väliste osapoolte missioone ja tegevuse ulatust, jääb siiski nende kogutud riski käsitlev teave enamasti väga vähesekse ning enim rolli mängib ikkagi kolme kaitseliini väljastatav informatsioon.^[2]

Kolme kaitseliini koordineerimine muuda

Oleks hea, kui kõik kolm kaitseliini igas organisatsioonis, sõltumata selle suurusest, olemas oleks. Kui nende olemasolu on selgelt määratletud, on riskijuhtimine kõige tõhusam. Mõningate eranditega (eriti väikestes ehk mikroettevõtetes) toimib hästi ka see, kui kaitseliinid on omavahel ühendatud. Ajaloos on olemas ka juhtumeid, kus mõne organisatsiooni siseauditile on antud käsk luua ettevõtte riskijuhtimise või vastavuskontrolliga seotud printsiibid ning seda tegevust juhtida. Sellises olukorras on oluline, et siseaudit teavitaks kõrgemat juhtorganit ja tippjuhtkonda ühendamise mõjust. Kui ühele osakonnale määratakse mingil hetkel mitu kohustust, võiks hiljem kaaluda siiski nende eraldamist ning luua kolm kaitseliini. Sõltumata sellest, kuidas organisatsioonis täpselt kolme kaitseliini mudelit kasutatakse, peaksid tippjuhtkond ja kõrgemad juhtorganid konkreetselt nõudma, et ettevõtte igas riskijuhtimise ja kontrolli eest vastutavas üksuses peab toimuma pidev info vahetus ning tagada koordinatsioon. Töö tuleb koordineerida nii siseste kui ka väliste seotud osapooltega ning seda selleks, et oleks tagatud nõuetekohane kaetus ja tööd ei oleks dubleeritud.^[2]

Viited muuda

↑ ^1,0 ^1,1 The Institute of Internal Auditors (IIA) https://theiia.fi/wp-content/uploads/2020/07/three-lines-model-updated.pdf, THE IIA’S THREE LINES MODEL. Vaadatud 07.11.2021
↑ ^2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 ^2,7 ^2,8 Siseaudiitorite Instituut (IIA) https://web.archive.org/web/20151012111247/https://global.theiia.org/translations/PublicDocuments/PP-The-Three-Lines-of-Defense-in-Effective-Risk-Management-and-Control-Estonian.pdf, MÕJUSA RISKIJUHTIMISE JA KONTROLLI KOLM KAITSELIINI. Vaadatud 07.11.2021

[:0-1] 1,0 ^1,1 The Institute of Internal Auditors (IIA) https://theiia.fi/wp-content/uploads/2020/07/three-lines-model-updated.pdf, THE IIA’S THREE LINES MODEL. Vaadatud 07.11.2021

[:22-2] 2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 ^2,7 ^2,8 Siseaudiitorite Instituut (IIA) https://web.archive.org/web/20151012111247/https://global.theiia.org/translations/PublicDocuments/PP-The-Three-Lines-of-Defense-in-Effective-Risk-Management-and-Control-Estonian.pdf, MÕJUSA RISKIJUHTIMISE JA KONTROLLI KOLM KAITSELIINI. Vaadatud 07.11.2021

[1]

[2]