Riskijuhtimine

Riskijuhtimine (inglise risk management) on riski kõrvaldamis- või vähendamismeetmete kavandamisele suunatud süstemaatiline riski hindamine ja ohjamine[1].

Riskijuhtimisel on suureks abiks nt mudelid ja joonised. Pildil olev NASA tehtud mudel näitab rahvusvahelise kosmosejaama (International Space Station) tundlikke konstruktsiooni piirkondi (punasega on tähistatud kõige tundlikumad alad).


Riskijuhtimise protsessRedigeeri

Riskijuhtimise all mõistetakse asutuses riskide suhtes ette võetavaid kooskõlastatud tegevusi ehk asutuse riskide tuvastamise, hindamise, haldamise ja seire pidevat protsessi, mille eesmärgiks on toetada asutuse eesmärkide saavutamist. Riskijuhtimise protsessi moodustavad eelnimetatud tegevused koos asjakohaste poliitikate, protseduuride ja tavadega[2].

RiskRedigeeri

Mõistmaks riskijuhtimise vajadust, tuleb mõista, mis on risk.

Risk on võimalik oht, et mingi sündmus (sündmuste kompleks), tegevus (tegevuste kompleks) või tegevusetus võib põhjustada vara või maine kaotuse ning mõjutab asutuse eesmärkide ja ülesannete tulemuslikku täitmist. Selleks, et riskide esinemine ja nende esinemine miinimumini viia nii, et nende ilmnemine ei tooks kaasa asutusele saatuslikke tagajärgi (s.t eesmärkide mittesaavutamine, ülesannete mittetulemuslik täitmine, vara või maine kaotus), vajalik riskide pidev juhtimine.[2]

Riskijuhtimise elemendid ja haldamineRedigeeri

Riskijuhtimine aitab suurendada asutuse protsesside jätkusuutlikust ning vähendada ebakindlust ja ennetada võimalikku kahju, toetades seeläbi asutuse eesmärkide saavutamist. Riskijuhtimine ei ole isoleeritud lihtne lineaarne protsess, vaid pigem mitmesuunaline protsess, mille elemendid on omavahel segunenud. [3]

Hea tava kohaselt kinnitab asutuse juht asutuse riskijuhtimise raampõhimõtted, milles peaksid olema kirjeldatud:

  • riskijuhtimise eesmärk;
  • riskijuhtimise protsessis kasutatav terminoloogia (mõistete selgitused);
  • millistes valdkondades/ protsessides on riskijuhtimise rakendamine kohustuslik;
  • millistes vabatahtlik (st valdkonna juhi otsustada);
  • riskivalmiduse (kui asjakohane ka riskivõime ja riskitaluvuse) olemus ja määratlemise põhimõtted;
  • riskide kategooriad ja nende seletused (vajadusel riskide liigid);
  • protsessiosaliste (mh juhtkonna, riskiomanike, valdkonna juhtide, siseauditi üksuse) rollid ja vastutus;
  • riskide tuvastamise /määratlemise (sh riskide sõnastamise) tehnikad ja tegevused;
  • riskide hindamise meetodid, kasutatavad skaalad, prioriseerimise põhimõtted jne;
  • riskide haldamis/maandamismeetmete valiku põhimõtted;
  • seire teostamise põhimõtted ja kord;
  • info liikumine ja riskijuhtimise alane aruandlus.

Riskide haldamise eesmärk on viia asutuse tegevustega kaasnevad riskid juhtkonnale vastuvõetava / aktsepteeritava riskitasemeni (riskivalmidus) rakendades meetmeid, mis maandavad tuvastatud riskide esinemise tõenäosust, riskide realiseerumise mõju või mõlemat korraga. Selleks peavad asutuse töötajad eelnevalt teadvustama, et riskid on nende igapäeva tegevuste loomulik osa – neid ei saa alati vältida, kuid neid saab hallata![3]


Riskijuhtimine siseauditisRedigeeri

Riskijuhtimine omab olulist rolli siseauditis.

Rahvusvahelised siseauditeerimise kutsestandardid annavad järgneva definitsiooni:

Protsess võimalike sündmuste ja situatsioonide kindlakstegemiseks, hindamiseks, juhtimiseks ning kontrollimiseks, et anda piisavat kindlust organisatsiooni eesmärkide saavutamise osas.[4]

Sellest tulenevalt:

Siseauditi funktsioon peab hindama riskijuhtimise protsesside mõjusust ning panustama nende täiustamisse. [4]


Rahvusvahelised siseauditeerimise kutsestandardid annavad samuti ka tõlgenduse:

Riskijuhtimise protsesside mõjususe määratlemine on siseaudiitori hinnangust tulenev otsus, et:

  • organisatsiooni eesmärgid toetavad organisatsiooni missiooni ja on sellega kooskõlas;
  • olulised riskid on tuvastatud ja hinnatud;
  • riskide maandamise meetmed on kooskõlas organisatsiooni riskivalmidusega;
  • asjakohast informatsiooni riskide kohta, mis võimaldab personalil, juhtkonnal ja kõrgemal juhtorganil täita oma kohustusi, kogutakse ning edastatakse õigeaegselt.

Siseauditi funktsioon võib selle hinnangu toetamiseks koguda informatsiooni mitme audititöö käigus. Nende audititööde tulemused annavad koos vaadatuna arusaama organisatsiooni riskijuhtimise protsessidest ning nende mõjususest.

Riskijuhtimise protsesse seiratakse kas juhtkonna pideva tegevuse, eraldi hindamiste või mõlema kaudu.

Siseauditi funktsioon peab hindama riskivaldkondi, mis puudutavad organisatsiooni valitsemist, tegevust ja infosüsteeme, võttes arvesse:

  • organisatsiooni strateegiliste eesmärkide saavutamist;
  • finants- ja tegevusalase informatsiooni usaldusväärsust ning täielikkust;
  • tegevuse ja programmide mõjusust ning tõhusust;
  • vara kaitset;
  • vastavust seadustele, regulatsioonidele, poliitikatele, protseduuridele ja lepingutele.

Siseauditi funktsioon peab hindama pettuse esinemise tõenäosust ja organisatsioonipoolset pettuseriski juhtimist.

Nõuandvate tööde käigus peavad siseaudiitorid käsitlema riske, mis on seotud töö eesmärkidega, ja olema tähelepanelikud teiste oluliste riskide olemasolu suhtes.

Siseaudiitorid peavad organisatsiooni riskijuhtimise protsesside hindamisel kasutama nõuandvate tööde käigus omandatud teadmisi riskidest.

Abistades juhtkonda riskijuhtimise protsesside loomisel või parendamisel, peavad siseaudiitorid hoiduma mistahes juhtimisvastutuse võtmisest riskijuhtimisega tegelemise kaudu. [4]


Riskide tuvastamineRedigeeri

Riskide tuvastamine on asutuse riskiprofiili kujundamise ja riskianalüüsi esimene samm. Juhtkond peab omama ülevaadet asutuses valitsevast olukorrast. Selleks peab juhtkond kindlaks tegema, kus võivad asutuses olla nõrgad kohad, mis võivad takistada asutuse eesmärkide saavutamist.

Kui asutuse strateegilised, protsesside ja tegevuste eesmärgid on määratletud ning kirjeldatud, tuleb tuvastada eesmärkide saavutamist ohustavad riskid. Tuvastatud riske peab hindama ja prioriseerima eesmärkide suhtes. Üks risk võib olla seotud rohkem kui ühe eesmärgiga ja vastupidi.

Riskianalüüsi ehk riskide tuvastamise, hindamise ja prioriseerimise protsessis, mis loob aluse riskide haldamismeetmete valikuks, võiksid osaleda asutuse kõikide tasandite töötajad.

Riskide tuvastamiseks on mitmeid meetodeid, mida võib omavahel kombineerida. Oluline on, et rakendatud metoodika ja lähenemine sobivad asutusele. Kombineeritud lähenemine võib välja tuua või aidata tajuda selliseid riske, mis muidu oleksid tähelepanu alt välja jäänud.[3]


Levinumad riskide väljatoomise tehnikad on:

  • intervjuud, arutelud fookusgruppides;
  • ajurünnak;
  • küsimustikud;
  • auditid, uuringud;
  • ilmnenud riskide andmebaasi seiramine;
  • teiste kogemuse uurimine;
  • õppimine vigadest (vanade läbikukkumiste meenutamine);
  • otsustuspuud (ka probleemipuud);
  • SWOT analüüs; varasemate kogemuste arvestamine;
  • protsessivoo analüüs;
  • vooskeemid, süsteemianalüüs;
  • tsenaariumianalüüs.[3]


Riskide väljatoomise käigus peab igaüks mõtlema sellele, mis võib töö käigus valesti minna või millised võimalused võivad jääda kasutamata ning sellest tulenevalt takistada püstitatud ülesannete eesmärgipärast täitmist.

Riskide tuvastamisel ei ole mõistlik keskenduda juba juhtunud intsidentidele, kuigi see on lihtsam ja „käega katsutavam“. Samas on asetleidnud intsidendid heaks sisendiks nende riskide tuvastamiseks, mis võivad tõenäoliselt aset leida.

Vaatamata asjaolule, et riskide tuvastamisel peaks eelkõige keskenduma sisemistele riskidele, tuleb vaatluse alla võtta ka olulised väliskeskkonnast tulenevad riskid, mis avaldavad mõju asutuse tegevusele (nt muudatused õigusaktides, majanduses jms).

Kui asutus on juba vähemalt üks kord riske hinnanud, siis ei ole mõistlik alustada selle protsessiga nullist. See võib põhjustada riskianalüüsi muutumise formaalsuseks, mis pigem koormab asutust kui annab lisaväärtust. Kui on lisandunud uusi tegevusi, valdkondi või projekte, siis nende osas tuleb riskianalüüs läbi viia nullist alates. [3]


Riskide tuvastamiseks on vaja iga tegevuse puhul küsida:

  • Mis võib valesti minna (potentsiaalne probleem)?
  • Miks võib valesti minna (peamine põhjus)?
  • Millised on potentsiaalsed tagajärjed asutuse jaoks (mõju)?


Riskide kategooriad:

  • strateegiline risk – risk, mis realiseerumisel seab ohtu asutuse strateegiliste eesmärkide saavutamise;
  • tegevusrisk – risk, mis tuleneb ebapiisavatest või puuduvatest protsessidest või tegevustest asutuse sees;
  • mainerisk – risk, mis realiseerumisel mõjutab negatiivselt asutuse tajumist kolmandate isikute poolt, reputatsiooni avalikkuse silmis;
  • finantsrisk – risk, mis realiseerumisel ähvardab kaasa tuua (tõsiseid) rahalisi kaotusi; aruandlusrisk – risk, mille tulemusena võib juhtkond langetada valesid juhtimisotsuseid;
  • vastavusrisk – risk, mille realiseerumisel ei vasta asutuse tegevus õiguskatides sätestatud nõuetele ja ei ole tagatud nende järgimine;
  • väliskeskkonna risk – risk, mis tuleneb asutuse välisest tegevusest ja mille haldamine ei ole asutuse töötajate võimuses;
  • pettuse risk – risk, mis hõlmab paljusid ebaseaduslikke tegusid, mis võidakse korda saata organisatsiooni kasuks või kahjuks ja nii organisatsioonisiseste või- väliste isikute poolt ja mida mida iseloomustab tahtlus.[3]


Riskijuhtimiseprotsessi hindamineRedigeeri

Riskijuhtimise protsessile hinnangu andmise ühed olulisemad eeldused on:

  • asutuse juht kinnitatud asutuse riskijuhtimise raampõhimõtted;
  • riskijuhtimine on pidev protsess, mis on rakendatud asutuse igapäevastesse tegevustesse;
  • efektiivne asutuse sisene kommunikatsioon ja informatsiooni vahetus riskide osas;
  • riskide tuvastamise ja hindamisega tegeletakse vähemalt üks kord aastas;
  • iga taseme juhtidel on riskide haldamiseks vajalikud teadmised ja oskused;[2]


Riskide hindamise võtmeküsimused on:

  • Mis on riski põhjus?
  • Milline on info usaldusväärsus?
  • Millised o riski tagajärjed (halvim stsenaarium)?
  • Millised on olemasolevad (sise)kontrollimeetmed?
  • Millised on alternatiivsed lisanduvad (sise)kontrollimeetmed?
  • Millised on sisemised ja välised kohustused?
  • Kas on vajadust riske täiendavalt uurida?
  • Millises ulatuses ja kui palju ressurssi see vajaks?

Arvesse tuleb võtta asjaolu, et riski mõiste peegeldab tegelikkuses kahte eri külge: objektiivselt eksisteerivat tulemuse määramatust, võimaliku tulemuse varieeruvust, tulemuse võimalikku kahjustatust, ja subjektiivset hinnangut tulemuse määramatusest tingitud eesmärkide mittetäitmisele/kahjudele.

Riskide hindamisel tuleb hinnata riski tõenäosust ja mõju lähtudes valitud riskide hindamise metoodikast. Riski mõju all mõistame kahju või tagajärge, mida konkreetse riski avaldumine/realiseerumine kaasa tuua võib. Riski tõenäosuse all mõistame konkreetse riski avaldumise võimalikkust/sagedust. Teisisõnu näitab tõenäosus riski ilmnemise/esinemise tõenäosust ja mõju tagajärge, mis riski realiseerumisega kaasneb. [3]

Riskide haldamismeetodi valikRedigeeri

Riskide haldamise eesmärk on viia asutuse tegevustega kaasnevad riskid juhtkonnale vastuvõetava / aktsepteeritava riskitasemeni (riskivalmidus) rakendades meetmeid, mis maandavad tuvastatud riskide esinemise tõenäosust, riskide realiseerumise mõju või mõlemat korraga.

Kui riskid on tuvastatud ning nende esinemise tõenäosus ja mõju suurus hinnatud, järjestatakse riskid nende olulisuse järgi. Alles seejärel hakatakse vaatama, mida nende riskidega tegema peaks ehk millist haldamismeetodit on vajalik rakendada. Variante on mitmeid: näiteks võib osad riskid lihtsalt teadmiseks võtta, koostada asjakohased tegutsemisjuhised või suuremate riskide haldamiseks kasutada kindlustust.


Riskide haldamiseks (risk addressing) on kuus klassikalist tegevust, millest enamlevinud on 4 esimest:

  • Väldi – korralda protsess ümber nii, et konkreetne risk oleks välditud.
  • Lepi (aktsepteeri) – seda juhul, kui maandamise kulu on suurem kui potentsiaalne kahju.
  • Kontrolli (maanda) – loo tegevusi/kontrolle ennetamaks/avastamaks riski realiseerumiseni viivaid sündmusi või soodustamaks positiivseid (vastasmõjuga) lahendusi.
  • Jaga – jaota osa riski teis(t)ele osapool(t)ele.
  • Siirda – vii kogu risk teis(t)e osapool(t)e riskiks (nt leping teenuse sisseostmiseks).
  • Hajuta – jaota risk laiali erinevatele protsessidele.

On oluline mõista, et kõik riskid ei ole hallatavad ja organisatsioon ei saa maandada neid alati aktsepteeritavale tasemele (näiteks terrorismioht). Sellisteks juhtudeks peab organisatsioon koostama elutähtsate tegevuste talitluspidevuse tagamise plaani.

Talitluspidevus ehk toimepidevus on elutähtsa teenuse järjepideva toimimise suutlikkus ja järjepideva toimimise taastamise võime pärast katkestust. Talitluspidevuse plaan on talitluspidevuse juhtimise komponendina käsitletav kompleksne kirjalik tegevuste plaan tegevuse taastamiseks ja jätkamiseks võimaliku ettenägematu olukorra jaoks.

Riskide haldamismeetod „kontrolli“ tähendab riskide maandamiseks konkreetsete sisekontrollimeetmete rakendamist riskide realiseerumise tõenäosuse ja mõju vähendamiseks.[3]

Vaata kaRedigeeri

ViitedRedigeeri

  1. Säästva arengu sõnaseletusi. Säästva Eesti Instituut, SEI Tallinn. [1] (vaadatud 17.12.2011)
  2. 2,0 2,1 2,2 Rahandusministeerium. "Riskijuhtimise protsessi hindamine. Juhendmaterjal täidesaatva riigivõimu asutustele.". 12.2013. Vaadatud 15.12.2019.
  3. 3,0 3,1 3,2 3,3 3,4 3,5 3,6 3,7 Rahandusministeerium. [https://www.rahandusministeerium.ee/et/system/files_force/document_files/riskijuhtimine.pdf"Riskijuhtimine. Juhendmaterjal täidesaatva riigivõimu asutustele."]. 12.2013. Vaadatud 15.12.2019.
  4. 4,0 4,1 4,2 Eesti Siseaudiitorite Ühing. "Rahvusvahelised siseauditeerimise kutsetegevuse standardid". 01.01.2017. Vaadatud 15.12.2019.