top of page

Kuidas koostada riskianalüüsi?


kuidas koostada riskianalüüsi
Lumetorm on tõsine risk, sest sellega kaob ka elekter.

Hea lugeja!

Enne, kui läheme teemasse, palun ma teie tähelepanu.


Kuigi selles osas me keskendume teemale kuidas koostada riskianalüüsi, siis palun arvesta, et riskide juhtimine, mille hulka kuulub ka riskianalüüs, on vaid üks NELJAST olulisest edukast ja toimivast kriisijuhtimise osadest.



Edukas kriisidele vastu astumine seisab neljal sambal:


Kui üks neist lonkab, siis lonkab kogu ahel ja kriisidega tegelemise asemel hakkate alles vigu süsteemis parandama.


Aga nüüd teemasse. Riskianalüüsi koostamisel on esimese asjana vaja selgeks teha, kas riskianalüüsi koostamisele on juba esitatud mingeid nõudmisi ehk kas riskianalüüsi koostamist nõudev õigusakt on juba sätestanud, millist metoodikat või viisi kasutama peab. Näiteks töökeskkonna riskianalüüs. Selle võib teile ette määrata ka kindlustusagent, öeldes, et ettevõte peab rakendama ISO31000 nõudeid.


Meie kogemus on, et üldjoontes on riskianalüüsi koostamise metoodikad üsna sarnased, v.a ISO31000, mille puhul on tegemist riskijuhtimise süsteemiga, mille üks osa on riskide analüüs.


Selles artiklis proovin teile edasi anda oma kogemusi riskianalüüsi koostamisel- kuidas riskianalüüsi koostada ja mida see sisaldama peaks. Esimese osas kirjeldan üldisemalt ning edasi läheme detailsemaks.


Kuidas koostada riskianalüüsi?


Riskianalüüsi koostamise standardprotseduuride juhise eesmärk on tagada, et organisatsioonid saavad süstemaatiliselt tuvastada, hinnata ja hallata riske, mis võivad mõjutada nende eesmärkide saavutamist.


Järgnev juhis pakub samm-sammulist lähenemist riskianalüüsi koostamiseks, et tagada organisatsiooni varade kaitse ja operatsioonide jätkuvus.


1. Sissejuhatus riskianalüüsi

  • Eesmärk: Selgitage riskianalüüsi eesmärki, sealhulgas selle tähtsust organisatsiooni riskijuhtimisstrateegias.

  • Ulatuvus: Määratlege riskianalüüsi ulatus, sh millised valdkonnad või protsessid kuuluvad analüüsi alla.


Riskianalüüs aitab organisatsioonidel tuvastada, hinnata ja prioriseerida riske, et vähendada või elimineerida potentsiaalset kahju. ISO 31000:2018 "Risk management – Guidelines" pakub üldisi suuniseid riskijuhtimiseks, rõhutades riskianalüüsi olulisust organisatsioonide jaoks, et teha informeeritud otsuseid ja tagada jätkusuutlikkus (ISO, 2018).


2. Riskianalüüsi ettevalmistus

  • Meeskonna moodustamine: Valige multidistsiplinaarne meeskond, mis hõlmab kõiki organisatsiooni olulisi valdkondi.

  • Tööriistade ja meetodite valik: Otsustage, milliseid tööriistu ja meetodeid (näiteks SWOT-analüüs, PEST-analüüs, riskimatriks) kasutatakse riskide tuvastamiseks ja hindamiseks.


Enne riskianalüüsi alustamist on oluline määratleda selle ulatus ja eesmärgid. A.T. Kearney mudel "Risk Assessment Matrix" võimaldab organisatsioonidel määratleda riskide tõsidust ja tõenäosust, aidates seeläbi hinnata nende potentsiaalset mõju (Kearney, 2020).


3. Riskide tuvastamine

  • Info kogumine: Koguge andmeid varasematest juhtumitest, tööstusharu aruannetest, ekspertide arvamustest ja muudest allikatest.

  • Tuvastamise tehnikad: Kasutage ajurünnakuid, intervjuusid, küsitlusi ja andmeanalüüsi, et tuvastada potentsiaalsed ohud ja nendega seotud riskid.


Riskide tuvastamisel on oluline kasutada laiaulatuslikke tehnikaid, nagu ajurünnakud, intervjuud ja Delphi meetod. "The Delphi Technique in Risk Management" on teaduslikult tunnustatud meetod, mis kasutab ekspertide konsensust riskide tuvastamiseks ja hindamiseks (Rowe and Wright, 1999).


Delphi meetod on süstemaatiline, interaktiivne prognoosimise meetod, mis tugineb ekspertide grupi anonüümsetele arvamustele. Esialgu arendatud külma sõja ajal Rand Corporationi poolt, et ennustada tehnoloogilist mõju sõjalisel otstarbel, on see meetod leidnud laialdast kasutust ka riskijuhtimises ja muudes valdkondades, kus on vaja teha informeeritud otsuseid ebakindluse tingimustes.


Põhiprintsiibid ja etapid

Delphi meetodi põhieesmärk on saavutada konsensus ekspertide hulgas läbi mitme vooru küsimustike täitmise. See protsess hõlmab järgmisi peamisi etappe:

  1. Ekspertide valik: Valitakse ekspertide rühm, kes omavad asjakohast teadmist või kogemust uuritava küsimusega seoses. Ekspertide arv võib varieeruda sõltuvalt teema keerukusest ja vajadusest saavutada mitmekülgne perspektiiv.

  2. Esialgsete küsimustike koostamine: Koostatakse küsimustik, mis sisaldab avatud või suletud küsimusi uuritava teema kohta. Küsimustik saadetakse ekspertidele, kes annavad oma hinnangud ja kommentaarid anonüümselt.

  3. Tagasiside kogumine ja analüüs: Saadud vastused kogutakse ja analüüsitakse. Tulemused võidakse esitada statistiliselt või kokkuvõtlikult, rõhutades peamisi seisukohti ja erimeelsusi.

  4. Teise (või järgnevate) voorude läbiviimine: Tulemused saadetakse ekspertidele tagasi koos palvega neid hinnata, arvestades esimeses voorus saadud grupi keskmisi hinnanguid ja kommentaare. Ekspertidel võib paluda oma varasemaid vastuseid üle vaadata, arvestades lisateavet või teiste ekspertide seisukohti.

  5. Konsensuse saavutamine: Protsessi korratakse, kuni saavutatakse mingil määral konsensus või kuni vastuste variatsioon stabiliseerub. Lõppeesmärk ei ole mitte ainult konsensuse saavutamine, vaid ka oluliste erimeelsuste ja nende põhjuste mõistmine.


Eelised ja Puudused

Eelised:

  • Anonüümsus: Vähendab domineerivate isiksuste mõju ja julgustab avatumat arvamuste avaldamist.

  • Iteratiivne protsess: Võimaldab ekspertidel oma arvamusi kohandada, arvestades teiste ekspertide seisukohti.

  • Konsensuse saavutamine: Aitab saavutada ekspertide seas laiapõhjalist kokkulepet keerulistes küsimustes.

  • Paindlikkus: Saab kasutada mitmesugustes valdkondades ja erinevat tüüpi otsuste tegemisel.

Puudused:

  • Aja- ja ressursimahukas: Protsess võib olla pikk, eriti kui voorude arv on suur.

  • Ekspertide valiku subjektiivsus: Ekspertide valik ja nende arvamuste kaal võib mõjutada tulemusi.

  • Konsensuse puudumine: Kõigi ekspertide vahel ei pruugi alati saavutada täielikku konsensust.


Delphi meetodit peetakse väärtuslikuks vahendiks riskijuhtimises, kuna see aitab tuvastada ja hinnata riske, mille kohta puudub piisav kvantitatiivne teave


4. Riskide hindamine

  • Riskide klassifitseerimine: Jagage tuvastatud riskid kategooriatesse (finantsilised, operatiivsed, strateegilised, juriidilised jne).

  • Tõsiduse ja tõenäosuse hindamine: Hinnake iga riski potentsiaalset mõju ja selle toimumise tõenäosust, kasutades ettevalmistatud skaalasid (näiteks madal, keskmine, kõrge).


Riskide hindamisel tuleks kasutada kvalitatiivseid ja kvantitatiivseid meetodeid. "A Guide to the Project Management Body of Knowledge (PMBOK Guide)" pakub raamistikku riskide hindamiseks, mis põhineb nende tõenäosusel ja mõjul projektidele (Project Management Institute, 2017).


A Guide to the Project Management Body of Knowledge" (PMBOK Guide) on Project Management Institute (PMI) poolt välja antud standard, mis määratleb projekti juhtimise parimad praktikad ja terminoloogia. PMBOK Guide on ülemaailmselt tunnustatud kui projekti juhtimise aluseks olevate teadmiste, protsesside, oskuste, tööriistade ja tehnikate kogum.


Riskide hindamine hõlmab kahte peamist komponenti: riski tõenäosuse (või sageduse) hindamist ja riski mõju (või tagajärgede) hindamist. See protsess aitab kindlaks teha, millised riskid vajavad koheseid meetmeid ja milliseid saab madalama prioriteediga käsitleda.


Tõenäosuse hindamine: Riski esinemise tõenäosuse hindamine põhineb kas ajaloolistel andmetel, statistilistel mudelitel või eksperthinnangutel. See aitab organisatsioonidel määratleda, kui sageli võib oodata riski ilmnemist.


Mõju hindamine: Riski mõju hindamine keskendub potentsiaalsetele tagajärgedele, mida riski realiseerumine võib põhjustada. Mõju võib hinnata finantsilises, operatiivses, strateegilises või mainekahju mõttes, sõltuvalt riski olemusest ja organisatsiooni eesmärkidest.


5. Riskide prioriseerimine

  • Riskimatriksi kasutamine: Kasutage riskimatriksit, et määrata kindlaks, millised riskid vajavad viivitamatut tähelepanu või ressursse.

  • Prioriteetide seadmine: Määrake, millised riskid tuleb esmajärjekorras maandada, põhinedes nende mõju suurusele ja esinemise tõenäosusele.


Riskide prioritiseerimine aitab määrata, millised riskid vajavad kohest tähelepanu. FMEA (Failure Modes and Effects Analysis) on metoodika, mis võimaldab organisatsioonidel hinnata riskide potentsiaalseid tagajärgi ja seeläbi prioriseerida tegevusi (Stamatis, 2003).


Failure Modes and Effects Analysis (FMEA) on süstemaatiline, samm-sammuline lähenemisviis probleemide ennetamiseks, tuvastades kõik võimalikud viisid, kuidas protsess või toode võib ebaõnnestuda, hindades seejärel iga ebaõnnestumise mõju, põhjust ja tõenäosust. FMEA eesmärk on aidata organisatsioonidel tuvastada ja kõrvaldada toote või protsessi nõrkused enne, kui need põhjustavad probleeme.


Pärast riskide hindamist toimub nende prioritiseerimine, mis on kriitiline samm ressursside tõhusaks jaotamiseks riskide maandamiseks. Prioritiseerimine põhineb riski tõenäosuse ja mõju kombinatsioonil, mille tulemusena saadakse riskiprioriteedi number (RPN) või muu sarnane skoor.


Riskimatriks: Üks levinumaid tööriistu riskide prioritiseerimiseks on riskimatriks, mis võimaldab visuaalselt hinnata riskide tõsidust, paigutades need tõenäosuse ja mõju telgedele. See aitab kiiresti tuvastada kõrge prioriteediga riske, mis nõuavad kohest tähelepanu.


Riskiprioriteedi number (RPN): RPN on kvantitatiivne väärtus, mis arvutatakse riski tõenäosuse, mõju ja mõnikord ka tuvastamise raskuse korrutisena. See meetod aitab rangelt järjestada riskid, andes igaühele numbrilise väärtuse.



6. Riskide maandamine ja strateegiate arendamine

  • Maandamismeetmete väljatöötamine: Töötage välja strateegiad riskide maandamiseks, vähendamiseks või aktsepteerimiseks.

  • Tegevuskavade koostamine: Koostage tegevuskavad, mis sisaldavad konkreetseid samme, vastutavaid isikuid ja ajakavasid riskide maandamiseks.


Riskide maandamise strateegiate väljatöötamisel tuleks kaaluda erinevaid võimalusi, alates riski vältimisest kuni selle aktsepteerimiseni. "Risk Management and Financial Institutions" pakub ülevaadet riskide maandamise meetmetest finantssektoris (Hull, 2012).


Riskide maandamise strateegia on meetodite ja protsesside kogum, mida organisatsioonid ja üksikisikud kasutavad potentsiaalsete kahjude tuvastamiseks, hindamiseks ja minimeerimiseks, mis võivad mõjutada nende eesmärkide saavutamist.


Riskimaandamine hõlmab erinevaid tehnikaid ja lähenemisviise, sõltuvalt riski tüübist, mida tahetakse maandada. Siin on mõned peamised strateegiad ja meetmed, mida kasutatakse riskide maandamiseks:

  1. Riskide tuvastamine ja hindamine: Esimene samm mis tahes riskimaandamise programmis on potentsiaalsete ohtude tuvastamine ja nende mõju hindamine. See hõlmab nii sisemiste kui ka väliste riskide analüüsimist.

  2. Riskide vältimine: Mõnel juhul on võimalik riski täielikult vältida. Näiteks, kui teatud turg või investeering on liiga riskantne, võib organisatsioon otsustada sellest hoiduda.

  3. Riski vähendamine: Riski vähendamise strateegiad on suunatud potentsiaalse kahju vähendamisele, kas läbi protsesside muutmise, turvalisuse parandamise või muude meetmete, mis vähendavad negatiivse sündmuse tõenäosust või mõju.

  4. Riskide ülekandmine: Riski saab üle kanda teistele osapooltele, näiteks kindlustuse kaudu. See tähendab, et potentsiaalse kahju finantsiline koorem liigutakse organisatsioonilt kindlustusseltsile.

  5. Riskide jaotamine: Riski jaotamine hõlmab riski hajutamist mitme projekti, tegevuse või investeeringu vahel, et mitte kogu kapitali või ressursse panustada ühte kohta, mis võib osutuda liiga riskantseks.

  6. Finantsinstrumendid: Tururiske, nagu valuuta või intressimäärade kõikumised, saab maandada kasutades erinevaid finantsinstrumente, nagu futuurid, optsioonid ja vahetuslepingud (swaps).

  7. Varade mitmekesistamine: Investeerimisriski saab maandada, investeerides mitmesse varaklassi, nagu aktsiad, võlakirjad ja kinnisvara, et vähendada portfelli üldist volatiilsust.

  8. Õiguslikud lepingud: Riski saab maandada ka õiguslike lepingute, nagu leppetrahvide ja garantiide kaudu, mis võivad pakkuda kaitset teatud tüüpi riskide vastu.


Riskide maandamise strateegiate valik ja rakendamine sõltuvad paljudest teguritest, sealhulgas organisatsiooni riskitaluvusest, tööstusharust, kus ta tegutseb, ja konkreetsetest eesmärkidest, mida ta püüab saavutada. Oluline on mõista, et kuigi riski saab maandada, ei ole võimalik seda täielikult kõrvaldada. Seetõttu on riskijuhtimine pidev protsess, mis nõuab regulaarset ülevaatamist ja kohandamist vastavalt muutuvatele oludele.


7. Jälgimine ja aruandlus

  • Jälgimissüsteemi loomine: Seadke sisse protsessid riskide pidevaks jälgimiseks ja hindamiseks.

  • Aruandlus: Koostage regulaarsed aruanded riskianalüüsi tulemustest, maandamistegevustest ja jälgimise tulemustest juhtkonnale ja muudele sidusrühmadele.


Riskide jälgimine ja aruandlus on oluline riskijuhtimise tsükli osa. COSO raamistik "Enterprise Risk Management — Integrating with Strategy and Performance" rõhutab pideva jälgimise ja aruandluse tähtsust organisatsiooni riskijuhtimise strateegias (COSO, 2017).


Riskide jälgimine ja aruandlus on oluline osa igasugusest riskijuhtimisprotsessist, kuna see võimaldab organisatsioonidel hinnata nende vastuvõetavust, rakendatud riskimaandusmeetmete efektiivsust ja teha teadlikke otsuseid riskide juhtimise strateegiate kohandamiseks. Siin on mõned olulised punktid riskide jälgimisel ja aruandlusel:

  1. Riskide identifitseerimine: Jälgimise ja aruandluse aluseks on riskide täpne identifitseerimine. See hõlmab nii sisemiste kui ka väliste riskide tuvastamist, mis võivad mõjutada organisatsiooni eesmärke.

  2. Riskide kvantifitseerimine: Riskide mõõtmine ja hindamine on oluline, et mõista nende mõju organisatsiooni tegevustele ja finantsseisule. See võib hõlmata riskide tõenäosuse ja mõju hindamist ning nende mõju rahalises väljenduses kvantifitseerimist.

  3. Riskide jälgimise süsteemide loomine: Organisatsioonid peaksid looma süsteemid ja protsessid, mis võimaldavad pidevat jälgimist ja hindamist riskide arengu kohta. See võib hõlmata riskiregistrite kasutamist, riskimõõtmiste automatiseerimist ja regulaarset riskide hindamist.

  4. Jälgimisindikaatorid (KPI-d): Oluliste jälgimisindikaatorite määratlemine aitab organisatsioonidel mõista riskide muutusi ja teha kiireid otsuseid. Need võivad hõlmata finantsnäitajaid, nagu tulud ja kasum, samuti operatiivseid näitajaid, nagu klientide rahulolu ja tarnete täpsus.

  5. Aruandlusstruktuurid: Organisatsioonid peaksid looma selged ja struktureeritud aruandlusprotsessid, mis võimaldavad riskide olukorra tõhusat edastamist sidusrühmadele, sealhulgas juhtkonnale, aktsionäridele ja reguleerivatele asutustele.

  6. Riskide eskaleerimine: Tõsiste või kiireloomuliste riskide ilmnemisel peaksid organisatsioonid omama protseduure nende kiireks eskaleerimiseks kõrgemale juhtkonnale või riskikomiteele, et võtta kiireid meetmeid riskide maandamiseks.

  7. Aruannete regulaarsus: Riskiaruanded peaksid olema regulaarsed ja ajakohased, et võimaldada organisatsioonidel jälgida riskide arengut aja jooksul ning reageerida kiiresti muutuvatele oludele.

  8. Aruandluse läbipaistvus: Aruanded peaksid olema läbipaistvad ja arusaadavad, et kõik sidusrühmad saaksid aru riskide olukorrast ja võetavatest meetmetest nende maandamiseks.


8. Ülevaatamine ja uuendamine

  • Regulaarne ülevaatus: Vaadake riskianalüüsi ja selle komponente regulaarselt üle, et tagada nende ajakohasus ja asjakohasus.

  • Uuendamisprotsess: Uuendage riskianalüüsi vastavalt organisatsiooni muutustele, uutele ähvardustele või pärast olulisi sündmusi.


Riskianalüüsi tuleb regulaarselt üle vaadata ja uuendada, et see peegeldaks organisatsiooni muutuvaid tingimusi ja riske. "Managing Risk in Project Management" toob välja, et riskianalüüsi uuendamine on hädavajalik, et kohandada riskijuhtimise strateegiaid vastavalt projekti või organisatsiooni arengule (Kendrick, 2009).



Kokkuvõte

Riskianalüüsi koostamise standardprotseduuride järgimine tagab, et organisatsioon suudab tõhusalt tuvastada, hinnata ja hallata riske, mis võivad mõjutada selle eesmärke ja tegevust. Oluline on mõista, et riskianalüüs on dünaamiline protsess, mis nõuab pidevat tähelepanu ja kohandamist vastavalt muutuvatele tingimustele ja uutele teadmistele.


Loodan, et sa said sellest küllalti üldisest jutust mingidki abi ning vähemalt aitab teil alustada oma asutuse eripärasid arvestava riskijuhtimise süsteemi.


Kui sa aga tunned, et võid vajada meie abi kas vaid riskianalüüsi koostamiseks või terve riskijuhtimise süsteemi üles ehitamiseks, siis saada palun kiri ja saame kokku. Me aitame sind väga hea meelega.





Viidatud Allikad:

  • ISO 31000:2018, Risk management – Guidelines.

  • A.T. Kearney (2020). Risk Assessment Matrix.

  • Rowe, G., Wright, G. (1999). The Delphi Technique in Risk Management.

  • Project Management Institute (2017). A Guide to the Project Management Body of Knowledge (PMBOK Guide).

  • Stamatis, D. H. (2003). Failure Modes and Effects Analysis: FMEA from Theory to Execution.

  • Hull, J. (2012). Risk Management and Financial Institutions.

  • COSO (2017). Enterprise Risk Management — Integrating with Strategy and Performance.

  • Kendrick, T. (2009). Managing Risk in Project Management.







bottom of page