Miks riskijuhtimise protsessi hindamise teema oluline on?
Kindlasti on üks kaalukamaid argumente see, et siseaudiitori kutsetegevuse standard 2120 „Riskide juhtimine“ sätestab siseauditi üksuse kohustuse hinnata riskijuhtimise protsessi mõjusust ning panustada selle täiustamisse. Standardi tõlgendus ütleb, et riskide juhtimise protsesside mõjususe määratlemine on siseaudiitori hinnangust tulenev otsus, et:
- organisatsiooni eesmärgid toetavad organisatsiooni missiooni ja on sellega kooskõlas;
- olulised riskid on tuvastatud ja hinnatud;
- riskide maandamise meetmed on kooskõlas organisatsiooni riskivalmidusega ja
- asjakohast informatsiooni riskide kohta, mis võimaldab personalil, juhtkonnal ja kõrgemal juhtorganil täita oma kohustusi, kogutakse ja edastatakse õigeaegselt.
Avaliku sektori asutuste põhjal, kes on läbinud standardi 1312 kohasel välishindamise, saab öelda, et standard 2120 on üks nendest standarditest, mille osas on vähesed siseauditi üksused saanud hinnangu üldises vastavuses.
Oluline on ka see, et iga organisatsioon puutub riskidega kokku, kuid mitte kõik ei tegele riskidega süsteemselt ja järjepidevalt.
Kuigi viimastel aastatel on riskidele ja riskijuhtimisele tervikuna hakatud suuremat tähelepanu pöörama, on see jätkuvalt valdkond, mille arendamisele organisatsioonides saavad siseaudiitorid kaasa aidata. Paraku on see aga teema, kus kõigile sobivat valmis lahendust ei ole. Alguse saab see juba riskijuhtimise ja riskijuhtimise protsessi mõistete defineerimisest ja kasutamisest, mida erinevad autorid küllaltki erinevalt teevad. Käesoleva artikli raames on aluseks võetud järgmised definitsioonid:
Riskijuhtimise all mõistetakse organisatsioonis riskide suhtes ette võetavaid kooskõlastatud tegevusi ehk riskide tuvastamise, hindamise, haldamise ja seire pidevat protsessi, mille eesmärgiks on toetada organisatsiooni eesmärkide saavutamist. Riskijuhtimise protsessi moodustavad eelnimetatud tegevused koos ning asjakohaste poliitikate, protseduuride ja tavadega.
Joonis 1. Riskijuhtimise protsess. „Riskijuhtimine; www.fin.ee.
Ka audiitortegevuse seaduses viiakse siseaudiitori kutsetegevuse sõnastus kooskõlla siseauditeerimise definitsiooniga. Riigikogus on teisel lugemisel audiitortegevuse seaduse ja väärtpaberituru seaduse muutmise seadus (613 SE), millega muudetakse § 69 lõiget 3 ja sõnastatakse see järgmiselt: „Siseaudiitor läheneb süsteemselt, reeglipäraselt ja järjepidevalt riskide juhtimise, kontrolli- ja valitsemisprotsesside mõjususe hindamisele ja täiustamisele.“
Seaduse eelnõu seletuskiri toob välja asjaolu, et kehtivas seaduses toodud ulatus on kitsam kui siseaudiitori kutsetegevuse standardites esitatud siseauditeerimise definitsioon, kus seaduse tekstist on väljas „riskide juhtimise hindamine ja täiustamine“.
Riskijuhtimise protsessi kujundamine ja rakendamine
Kõrgem juhtorgan ja juhtkond vajavad kindlustunnet, et asutuses rakendatud riskijuhtimise protsess on sobiv, piisav ja mõjus. Selleks, et olla kindel rakendatud riskijuhtimise protsessi piisavuses ja mõjususes, tuleb riskijuhtimise protsessi hinnata. Oluline roll on siin siseaudiitoritel, aga kas see on ka hindaja roll, sõltub siseauditi üksuse rollist asutuse riskijuhtimise protsessis. Kui siseauditi üksus on kogu protsessi eestvedaja, sh ka riskianalüüsi tulemuste koondaja, siis ta ise riskijuhtimise protsessi hinnata ei saa.
Kuivõrd iga organisatsioon peab välja töötama ja rakendama just tema suuruse, kultuuri, eesmärkide ja riskiprofiiliga sobiva riskijuhtimise protsessi, siis peab ka riskijuhtimise protsessi osas kindlustunde andmise protsess olema organisatsiooni vajadustele vastav. Üks võtmekriteeriume mida siseaudiitorid peaksid arvesse võtma ja kaaluma on see, kas paigas on sobiv riskijuhtimise raampõhimõtted, et arendada kõikehõlmav ja süstemaatiline riskijuhtimise protsess. Riskijuhtimise raampõhimõtted peaksid organisatsioonis olema hoolimata asutuse suurusest ja eesmärkidest ning hõlmama järgnevat:
- riskijuhtimise eesmärk
- riskijuhtimise protsessis (organisatsioonis) kasutatav terminoloogia (mõistete selgitused)
- millistes valdkondades/ protsessides on riskijuhtimise rakendamine kohustuslik, millistes vabatahtlik (st valdkonna juhi otsustada)
- riskivalmiduse (kui asjakohane ka riskivõime ja riskitaluvuse) olemus ja määratlemise põhimõtted
- riskide kategooriad ja nende seletused (vajadusel riskide liigid)
- protsessiosaliste (mh juhtkonna, riskiomanike, valdkonna juhtide, siseauditi üksuse) rollid ja vastutus
- riskide tuvastamise /määratlemise (sh riskide sõnastamise) tehnikad ja tegevused
- riskide hindamise meetodid, kasutatavad skaalad, prioriseerimise põhimõtted jne
- riskide haldamis/maandamismeetmete valiku põhimõtted
- seire teostamise põhimõtted ja kord
- info liikumine ja riskijuhtimise alane aruandlus
Formaalse riskijuhtimise protsessi rakendamisse tuleb suhtuda kui eraldi protsessi, millel on selged eesmärgid, tulemusmõõdikud, rakendusplaan, ressursid ning seire ja hindamine. Alguspunkt riskijuhtimise protsessi parendamisel peaks olema hetkeolukorra analüüsi läbiviimine, mis näitab ära, millised riskijuhtimise protsessi elemendid või muud süsteemid organisatsioonis olemas on. Kui üks või mitu elementi on puudu või puudulikult rakendatud, siis ei saa riskijuhtimine olla mõjus.
Küpsusmudel kui riskijuhtimise protsessi hindamise töövahend
Kui vaadata erinevate organisatsioonide välja töötatud riskijuhtimise hindamise töövahendeid, siis kõige enam on kasutatud küpsusmudeli põhist lähenemist. Küpsusmudel on struktureeritud elementide kogum, mis iseloomustab mõjusa protsessi elemente. Küpsusmudeli kontseptsioon põhineb eeldusel, et riskijuhtimise protsess paraneb ja täiustub aja jooksul. Nii valitsemise, riskijuhtimise kui kontrolliprotsessid muutuvad ajas, liikudes küpsusastmete skaalal üles või alla.
Riskijuhtimise küpsusmudel on töövahend riskijuhtimise küpsuse hindamiseks ning aitamaks tuvastada tugevamad ja nõrgemad valdkonnad ning annab suunised parendustegevusteks. Riskijuhtimise küpsusmudel on vahend selgitamaks välja, millised on järgmised võimalikud sammud riskijuhtimise protsessi paremaks muutmisel. Juhtkonnal on küpsusmudeli abil lihtsam väljendada oma ootusi riskijuhtimise protsessile.
Erinevad riskijuhtimise küpsusmudelid koosnevad 5-8 võtmeelemendist, mille alla kuuluvad toetavad küsimused või kriteeriumid, ning küpsustasemetest (4-6 tasemelised). Enamasti on küpsusmudelid 5-tasemelised, kus viies tase on kõige kõrgem ja esimene tase kõige madalam. Üle kümne taseme ei ole mõtet luua, see muudab mudeli liigselt kohmakaks. Tavaliselt esitatakse küpsusmudel maatriksi kujul. Järgnevalt on näitena mõne mudeli võtmeelementide ning küpsusastmete nimetuste (inglise keeles) võrdlus.
|
Mudel
|
Võtmeelemendid mudelis
|
|
||||
|
Hillson 1997
|
rakendamine
|
protsess
|
kultuur
|
kogemus
|
|
|
|
Hopkins ja Lovelock 2004
|
Projekti juhtimine
|
Riskide tuvastamine, hindamine ja haldamine
|
kultuur
|
huvigrupid
|
|
|
|
RIMS 2006
|
ERM’i põhise lähenemise rakendamine
|
ERM protsessi juhtimine
|
Riskivalmiduse haldamine
|
Juurpõhjuste analüüs
|
Avastamata riskid
|
Tulemusjuhtimine Jätkusuutlikkus
|
|
IACCM 2003
|
rakendamine
|
protsess
|
kultuur
|
kogemus
|
|
|
Tabel 1. Mudelite võtmeelementide võrdlus
|
Mudel
|
Küpsusaste
|
|
||||
|
|
0
|
1
|
2
|
3
|
4
|
5
|
|
Hillson 1997
|
|
Naive
|
Novice
|
Normalized
|
Natural
|
|
|
Hopkins ja Lovelock 2004
|
|
Naive
|
Novice
|
Normalized
|
Natural
|
|
|
RIMS 2006
|
Nonexistent
|
Ad hoc
|
Initial
|
Repeatable
|
Managed
|
Leadership
|
|
IACCM 2003
|
|
Novice
|
Competent
|
Proficient
|
Expert
|
|
Tabel 2. Mudelite küpsusastemete võrdlus
Riskijuhtimise protsessi küpsustasemeid võib kirjeldada järgmiselt:
- 1 tase – algeline: ehk kõige madalam tase, kus organisatsioon on kui ta vastab kõige madalama taseme kriteeriumitele (näiteks organisatsioon ei teadvusta riskijuhtimise vajalikkust, riske (ohte) ei tuvastata ega analüüsita, puudub struktureeritud lähenemine ohtudega tegelemiseks, puudub formaalne protsessi kirjeldus, puudub riskidega tegelemise kogemus).
- 2 tase – korratav: tasemel 2 on organisatsioonis kohati mõistetud riskijuhtimise protsessi vajalikkust, kuid riskijuhtimise protsessi ei juhita, kasutatavad praktikad ja kogemus on kaootilised, kasutavad metoodikad on lihtsad ja ühetaolised. Riskianalüüs on vaid nende protsesside osa, kus vastav nõue tuleneb õigusaktist.
- 3 tase – defineeritud: on riskijuhtimise protsessid edasi arendatud ja täiustatud. On palju kogenud isikuid, kes on võimelised välja töötama riskidele reageerimise meetodeid. Indikaatorid, varase hoiatuse toimimise tagamiseks on välja töötatud.
- 4 tase – juhitud: Riskijuhtimise kultuuri eestvedaja on tippjuht ning riskijuhtimist kasutatakse organisatsioonis otsustusprotsessis. Täiendavad parendused on sisseviidud, keerukusaste on tõusnud. On surve mõõtmisele, agregeerimisele ja organisatsiooniülesele riskide juhtimisele. Välja on töötatud varajase hoiatuse indikaatorid. Mõistetakse oma asutuse riskiprofiili, riskide põhjuseid ja nende võimalikku mõju. Riskide maandamistegevustele on määratud vastutajad.
- 5 tase – optimeeritud: see on küpsusmudeli kõige kõrgem tase. Organisatsioon on täielikult ühildanud oma riskijuhtimise poliitikad, profiili, protsessi, raamistiku ja ressursid. Koolitusprogramm on koostatud ja pakutakse kõikidele juhtidele koolitust. Riskijuhtimisega seotud kohustused on toodud ametijuhendites, värbamise protsessis ja tulemusvestlusel. Rakendunud on proaktiivne võimaluste juhtimine riskijuhtimise protsessi osana ja võimalused saavad samapalju tähelepanu kui negatiivsed riskid.
Küpsusmudelid on teatud määral subjektiivsed, seetõttu tuleb kindluse andmisel ettevaatlik olla. Kui riskijuhtimise protsessi hindamiseks kasutatakse küpsusmudelit, siis tuleb esmalt otsustada, et milline küpsustase on eesmärkide saavutamiseks piisav ehk määratleda ideaal. Oluline on, et alati ei ole taseme 5 püüdlemine põhjendatud ega asjakohane ning protsessi elementidel võib sihttase erinev olla, kuigi üldjuhul rakendatakse elementide lõikes läbivalt ühte sihttaset.
Küpsusmudeli taseme määratlemine ei ole iseenesest hinnang riskijuhtimise protsessile
Küpsusmudelit ei tohiks rakendada kui kontroll-lehte, jättes kõrvale audiitori kohustuse sõltumatult ja objektiivselt tuvastada maandamata riskid ja ebaadekvaatsed kontrollid. Kui audiitoritel ei ole adekvaatseid kriteeriume riskijuhtimise protsessi hindamiseks, siis võivad nad vajalike oskuste ja teadmiste olemasolul, need koostöös juhtkonnaga või organisatsiooniväliste ekspertide kaasabil ise välja töötada. Audiitor peab suutma näidata, et valitud meetod ja mudel on asjakohased. Küpsusmudeli loomiseks tuleb läbida kolm põhisammu:
- määratleda mudeli eesmärk ja tema komponendid;
- määratleda skaala;
- töötada välja ootused iga komponendi tasemetele.
Riskijuhtimise protsessi hindamine
Kuivõrd organisatsioonides loodud ja rakendatud riskijuhtimise protsessid on erinevad, tuleb igal siseauditi üksusel välja töötada oma asutusele kõige sobivam lähenemine ja metoodika, sh kriteeriumid, riskijuhtimise protsessi hindamiseks. Samas ei pea jalgratast leiutama hakkama, vaid aluseks tuleks võtta juba olemasolevad töövahendid – näiteks internetist leitavad erinevad küpsusmudelid. Riskijuhtimise protsessile hinnangu kujunemine:
- Hinnang on nii kõrge kui on kõige madalam kriteeriumi hinnang. Kõige madala kriteeriumi hinde järgi antud hinnangut võib audiitori professionaalse otsustuse alusel ühe astme võrra tõsta.
- Koondhinnangu andmiseks võib arvutada ka elementide aritmeetilise keskmise hinde (taseme) ja selle järgi hinnangu anda. Kui keskmine hinne tuleb komakohaga, siis on audiitori professionaalne otsus millise hinnangu ta annab.
- Riskijuhtimise protsessile hinnang võib kujuneda astmeliselt, kus esmalt antakse hinne igale kriteeriumile (NB! Erinevad kriteeriumid võivad olla erineva osakaaluga), seejärel leitaks riskijuhtimise protsessi elemendi keskmine hinne (skoor), mille alusel võib leida elementide keskmise koondhinde või anda hinnang riskijuhtimise protsessile elementide lõikes.
Kuid alati on olulisim audiitori professionaalne otsustus! Riskijuhtimise protsessi elemendi küpsustaseme võib määrata kogutud tõendusmaterjali põhjal üldise hinnanguna.
|
Küpsusaste
|
Hinnangu skaala
|
|
Tase 5 - optimeeritud
|
Mõjus (tulemuslik)
|
|
Tase 4 - juhitud
|
Mõjus (tulemuslik)
|
|
Tase 3 - defineeritud
|
(Osaliselt) parandamist vajav
|
|
Tase 2 - korratav
|
(Osaliselt) parandamist vajav
|
|
Tase 1 - algeline
|
Oluliselt parandamist vajav
|
Või esitada riskijuhtimise sammude lõikes kasutades värviskeemi.
Joonis 2. Riskijuhtimise elementide hinnangud värviskaalal. “Riskijuhtimise protsessi hindamine“
Pealehakkamist ja loovat lähenemist riskijuhtimise protsessi hindamisel!