KUIDAS KOOSTADA RISKIANALÜÜSI?

Riskianalüüsi koostamine on lihtne, kui tead, miks seda vaja on. Tegelikult teeme me seda kogu aeg - teed ületades, autoga sõites, kodus olles jne, kuid see toimub meie peas automaatselt ja ilma konkreetse struktuurita. See on meie ürgne instikt - kas oma või vaenlane, kas söödav või sööb sinu, kas joosta või seista.

Siin on sulle ideid, kuidas koostada läbimõeldud ja tegelikult töötav riskianalüüs.


Mis on risk?


See, mis on risk, sõltub valdkonna teoreetilisest käsitlusest - sotsiaalvaldkonna riski definitsioon erineb majandusteooria omast, ettevõtete oma avaliku sektori asutuste omast jne.


Risk on võimalus, et toimub ebasoodne sündmus. Risk on võimalus, et tekib kahju (D. Bland, 1996).

Risk on ühe või mitme (majandus)teguri käitumise määramatusest tingitud majandusliku või muud laadi kahju võimalikkus, arvestades ka võimalikku saamata jäädavat tulu (T. Paas, 2002).

Risk on ebakindluse tingimustes ette võetud tegevus või tegevusetus subjekti soovitud tulemuse saavutamiseks, mis võib aga tuua kaasa kaotuse (Kindler, 1999).


Nimekiri erinevatest teooriatest ja käsitlustest on pikk. Samas on neil ühine tegur - risk on võimalus, et saabub mingi ebasoodne olukord. Olgu selleks töötaja surm, kahjum, tarneahela katkemine jne. Kõik see mõjutab su eesmärkide täitmist, olgu selleks kasum või sotsiaalne väärtuspakkumine. Ilma inimesteta ja tooraineta eesmärke ei saavuta.


Seega riskid on tegurid, mis takistavad su eesmärkide täitumist.


Riskid võivad tuleneda erinevatest allikatest ning ka nende liigitamine on erinevates teooriates erinev.


On olemas strateegiline risk, operatsiooniline risk, väärtusepõhine risk, informatsioonipõhine risk, väliskeskkonna risk, äriprotsessipõhine risk, töötajate põhine risk, regulatsioonile vastavuse risk, juhtimispõhine risk, infrastruktuuri põhine risk, konkurentsipõhine risk, turvarisk, privaatsusrisk, äritegevuse katkemise risk, raporteerimisest tulenev risk, finantsrisk (Protiviti, 2006)


Riskiallikaid võib jagada ka järgmiselt: tururisk, krediidirisk, likviidsusrisk, operatsioonirisk, juriidiline risk, äririsk, strateegiline risk ja reputatsiooni risk (M. Crouchy et al, 2008).


On selge, et riskiallikad sõltuvad väga selgelt sellest valdkonnast, kus su asutus opereerib. Kohaliku omavalitsuse riskiallikad ei ole samad, mis seakasvatusettevõtte omad jne.


Kohaliku omavalitsuse riskiallikad võivad olla järgmised (leiad SIIT):

1) kohalike elanike ohutus ja heaolu, sh sotsiaalvaldkond tervikuna;

2) finantsiline järjepidevus ja stabiilsus;

3) taristutest tulenevad riskid;

4) IT- turbega seotud riskid;

5) personaliga seotud riskid;

6) ettevõtlusega seotud riskid.


Olenemata sellest, mis on su eesmärgid, oluline on teha vahet strateegilistel riskidel ja operatsiooni- ehk protsessiriskidel.


- operatsioonirisk on risk, mis tekib (otseselt või ka kaudselt) inimeste vigadest tegevuste teostamisel (Das, 2006). Sellega tegelevad peamiselt struktuuriüksuste juhid ja protsessijuhid omas valdkonnas.

- strateegiline risk mõjutab ettevõtte strateegia rakendamist ning arengut (Roberts et al, 2012). Sellega tegeleb asutuse juhtkond.


Mis on riskianalüüs?


Riskianalüüs on protsess, millega tuvastatakse mingi konkreetse valdkonna ohutegurid ja hinnatakse neid, sõltuvalt eesmärgist.


Olemuselt on riskianalüüsi metoodikaid palju, olenevalt põhjustest:

- töökeskkonna riskianalüüs, millega hindad riske töötajate elule ja tervisele;

- toimepidevuse riskianalüüs, millega elutähtsa teenuse osutajad hindavad riske, mis võiks takistada teenuse elluvimist;

- hädaolukorra riskianalüüs;

- ettevõtte suutlikkuse riskianalüüs;

- tarneahela riskianalüüs;

- rahapesu riskianalüüs;

- kemikaaliohutuse riskianalüüs jne


Väga paljude valdkonna riskianalüüside koostamist reguleerivad väga põhjalikud ja kindlad metoodikad ja juhendid, mille järgimine on kooskõlastuse saamiseks kriitilised. Olgu selleks töötervishoiu ja töökeskkonna riskianalüüs (leitav SIIN), toimepidevuse riskianalüüs (leitav SIIN), ISO31000 (leitav SIIN), jne.


Samas peab siiski silmas pidama, et protsess ise ei ole tähtis, tähtis on eesmärk, miks riskianalüüsi tehakse.


Enamus riskianalüüsi metoodikaid (sh need, millele me viitasime) on bottom-up metoodika ehk alt üles, kus grupp inimesi saab kokku ja hakkab loetlema kõiki riske, mida hiljem hinnatakse. Hindamise aluseks on suuremalt jaolt kombinatsioon mõjudest ja realiseerumise tõenäosusest.


Mõjude hindamise metoodikad sõltuvad jällegi väga konkreetsest eesmärgist - kui eesmärgisk on töötajate tervise kaitse, siis mõjusid hinnatakse just lähtuvalt sellest. Olgu selleks füüsilised ohud saepingi käsitlemisel, valgustuse või kuvariga töötaja riskid silmanägemisele jne.


Tõenäosuse hindamise aluseks on kas kvantitatiivsed metoodikad (vähemuses), poolkvantitatiivsed või kvalitatiivsed metoodikat. Valdav osa metoodikatest on kvalitatiivnsed ja seotud ajaloolise mäluga. Ehk riski tõenäosust hinnatakse selle järgi, kui palju sarnaseid olukordi on kunagi minevikus teatud ajaperioodil juhtunud.


Kui kohustuslik riskianalüüsi metoodika ei käse tõenäosust hinnata, siis meie seda ei soovita. Meie leiame, et minevik ei saa ennustada tulevikku ja valmis peab olema kõikideks võimalikeks riskideks, mis asutuse eesmärkide saavutamist ohustavad. On olemas erinevad valmisoleku tasemed, mille raames alustatakse eelnevalt kirjalikult kirja pandud maandamistegevusi. Teadmine, et viimane suurem pandeemia oli 10 aastat tagasi ei anna praeguses COVID19 olukorras suurt mitte midagi. Me leiame, et tõenäosuse praegune metoodika on uinutav - kui riski tõenäosus on hinnatud 1 kord 10 aasta jooksul realiseeruvaks, siis ega eriti ei kiputa selles osas suuri tegevusi tegema.


Seega meie soovitame neile, kes saavad ise metoodika üle otsustada kasutada top-down metoodikat ehk eesmärkidest lähtuvat riskianalüüsi koostamise metoodikat.


Kui piimandusvaldkonnas tegutseva ettevõtte eesmärk on kasum (mis muu saab olla), siis on selge, et olulisel kohal on:

- olulised inimesed, kes hoiavad tehnoloogiat korras ja käimas;

- toorme nõutud tingimustel kokku kogumine ja ,uu olulise toorme tarne;

- toorme nõutud tingimustel hoiustamine enne tootmisprotsessi;'

- tootmisprotsess ise;

- toote ladustamine;

- toote logistika ja turustamine jne


Kui võtta need protsessid üksipulgi lahti on võimalik lihtsalt tuvastada nende protsesside kriitilised tegurid. Näiteks puhas joogivesi, vedelkütus, inimesed, elekter jne.


Selline lähenemine on meie arvates palju loogilisem ja lihtsam. Iga tootmisüksus või struktuuriüksus saab anda oma panuse kriitiliste protsesside tuvastamisele ning ning hiljem maandamistegevuse väljatöötamisse.


Riskianalüüsi lõpp


Riskianalüüs PEAB lõppema väga konkreetsete ettepanekutega, milliseid riske edasi haldatakse ning kuidas toimub reageerimine juhul kui ületatakse teatud punase joone näitajad.

Ma olen näinud väga palju riskianalüüse, mille kohta öeldakse "valmis". See ei saa kunagi olema valmis.


Riske hinnatakse pidevalt. Protsessiriskide hindamine on 24/7 tegevus kõikide protsessis osalejate poolt.


Näiteks riigihanke korraldajad peavad arvestama riskiga, et kaotavad osapooled esitavad kaebuse, mis võib olulise teebuse või toote kätetdaamise lükata edasu minimaalselt 2 kuud (kaebuse menetlemise aeg kuni reaalse tarneni). Seega ühel hekel võin protsessirisk muutuda strateegiliseks riskiks.


Strateegilisi riske hinnatakse tavaolukorras vähemalt kord aastas, olenevalt valdkonnast, kuid ka kohe, kui mõni oluline protsessirisk (või ka mainerisk) esile kerkib.