Kasutaja:Backforwhat

MÕJUSA RISKIJUHTIMISE JA KONTROLLI KOLM KAITSELIINI[muuda | muuda lähteteksti]

21. sajandi äritegevuses ei ole ebatavaline nähtus, kui siseaudiitoritest, ettevõtte riskijuhtimise asjatundjatest, vastavuskontrolli töötajatest, sisekontrolli asjatundjatest, kvaliteediinspektoritest, pettuste uurijatest ning teistest riskijuhtimise ja kontrollispetsialistidest koostatud meeskonnad teevad koostööd, et aidata oma organisatsioonil riske juhtida. Aga pelgast erinevate riskijuhtimise ja kontrollifunktsioonide olemasolust ei piisa. Proovikiviks on spetsiifiliste rollide määramine ning mõjus ja tõhus koordinatsioon nende rühmade vahel, et kontrollides ei oleks lünki ega ebavajalikku kattuvust. Kohustused tuleb selgelt määratleda, et iga riskijuhtimise ja kontrolli töörühm mõistaks oma kohustuste piire ning oma rolli paiknemist organisatsiooni üldise riskijuhtimise ja kontrolli struktuuris. ^[1]

Organisatsioonid on inimettevõtted, mis tegutsevad üha ebakindlamas, keerukamas, omavahel seotud ja muutlikus maailmas. Neil on sageli mitu sidusrühma, kellel on erinevad, muutlikud ja mõnikord konkureerivad huvid. Sidusrühmad usaldavad organisatsioonilise järelevalve juhtorganile, mis omakorda delegeerib ressursid ja volitused juhtkonnale asjakohaste toimingute tegemiseks, sealhulgas riskijuhtimiseks. Nendel ja muudel põhjustel peavad organisatsioonid olema tõhusad saavutamist võimaldavad struktuurid ja protsessid eesmärke, toetades samal ajal tugevat juhtimist ja riske juhtimine. Kuna juhtorgan saab aruandeid tegevuste, tulemuste ja prognooside juhtimine juhtorgan ja juhtkond toetuvad siseauditile pakkuda sõltumatut, objektiivset kinnitust ja nõu kõigis küsimustes ning edendada ja hõlbustada innovatsiooni ning parandamine. Juhtorgan vastutab lõpuks valitsemise jaoks, mis saavutatakse tegevuste ja nii juhtorgani kui ka juhtkonna käitumist ja siseaudit. Kolme joone mudel aitab organisatsioonidel tuvastada struktuurid ja protsessid, mis kõige paremini aitavad saavutust eesmärke ning hõlbustada tugevat juhtimist ja riskijuhtimist. Mudel kehtib kõikide organisatsioonide kohta ja on optimeeritud:

põhimõttepõhise lähenemise kasutuselevõtt ja mudeli kohandamine organisatsiooni eesmärkide ja asjaoludega;
keskendumine panusele, mida riskijuhtimine annab eesmärkide saavutamisel ja väärtuse loomisel, nagu samuti "kaitse" ja väärtuste kaitsmise küsimustes;
mudelis esindatud rollide ja kohustuste suhte selge mõistmine;
rakendusmeetmed tagamaks, et tegevused ja eesmärgid on vastavuses prioriteetsete huvidega sidusrühmadest.^[2]

Esimene kaitseliin: keskastme juhtkond[muuda | muuda lähteteksti]

Kolme kaitseliini mudelis eristatakse kolme rühma (või liini), mis on seotud mõjusa riskijuhtimisega:

funktsioonid, mis võtavad ja juhivad riske;
funktsioonid, mis kontrollivad riske;
funktsioonid, mis annavad sõltumatut kindlust.

Esimene kaitseliinina võtavad keskastme juhid riske ja juhivad neid. Nad vastutavad ka parendusmeetmete rakendamise eest ning tegelevad probleemidega protsessides ja kontrollides. Keskastme juhtkond vastutab mõjusa sisekontrolli tagamise ning riskijuhtimise ja kontrollitegevuste igapäevase elluviimise eest. Keskastme juhtkond tuvastab, hindab, kontrollib ja hajutab riske, juhtides asutusesiseste poliitikate ja protseduuride arendamist ning rakendamist ja tagades, et tegevused ühtiks eesmärkidega. Astmelise vastutusstruktuuri kaudu kujundavad ja rakendavad kesktaseme juhid üksikasjalikke protseduure, mis toimivad kontrollidena ja jälgivad, et töötajad tegutseksid vastavalt neile protseduuridele. Keskastme juhtkond toimib iseeneslikult esimese kaitseliinina, sest kontrollid on nende suuniste alusel süsteemidesse ja protsessidesse sisse kujundatud. Organisatsioonis peavad olema kehtestatud asjakohased juhtimis- ja järelevalvekontrollid, et tagada tegevuste nõuetele vastavus ning tõsta esile võimalik kontrollide mittetoimimine, ebapiisavad protsessid ja ootamatud sündmused. ^[3]

Teine kaitseliin: riskijuhtimise ja vastavuskontrolli funktsioonid[muuda | muuda lähteteksti]

Ideaalses maailmas piisaks mõjusa riskijuhtimise tagamiseks võib-olla ainult ühest kaitseliinist. Tegelikkuses aga võib ainult üks kaitseliin tihti osutuda ebapiisavaks. Juhtkond loob erinevaid riskijuhtimise ja vastavuskontrolli funktsioone, et aidata kujundada ja/või jälgida esimese kaitseliini kontrolle. Spetsiifilised funktsioonid on eri organisatsioonides ja tegevusvaldkondades erinevad, aga tüüpilised teise kaitseliini funktsioonid on järgmised.

Riskijuhtimise funktsioon (ja/või komisjon) aitab kaasa ja jälgib, et keskastme juhtkond kasutaks mõjusaid riskijuhtimismeetodeid ning abistaks riskide omanikke võetava riski määratlemisel ja asjakohase riskiga seotud teabe esitamisel kogu organisatsioonis.
Vastavuskontrolli funktsioon jälgib erinevaid spetsiifilisi riske, näiteks kehtivate seaduste ja määruste järgimist. Selle ülesande puhul annab eraldiseisev funktsioon aru otse tippjuhtkonnale või mõne tegevusharu puhul otse kõrgemale juhtorganile. Ühes organisatsioonis on sageli mitmeid vastavuskontrolli funktsioone, mis vastutavad kindlate vastavuskontrolli valdkondade, näiteks tervishoiu ja ohutuse, tarneahela, keskkonna või kvaliteedijärelevalve eest.
Kontrolleri funktsioon, mis jälgib finantsriske ja finantsaruandlusega seotud küsimusi.

Juhtkond loob need funktsioonid, tagamaks et esimene kaitseliin on õigesti kujundatud ja toimib, nagu on ette nähtud. Kõigil nimetatud funktsioonidel on esimese kaitseliini suhtes teatud sõltumatus, aga oma olemuselt on need juhtimisfunktsioonid. See tähendab, et lubatud on otsene sekkumine sisekontrolli ja riskisüsteemide muutmisse ja arendamisse. Seega on teisel kaitseliinil väga tähtis eesmärk, aga see ei saa juhtorganitele riskijuhtimise ja sisekontrolli kohta täiesti sõltumatut analüüsi pakkuda. Nimetatud funktsioonide kohustused erinevad sõltuvalt oma olemusest, aga võivad hõlmata järgmist:

Juhtkonna loodud poliitikate toetamine, rollide ja kohustuste määratlemine ning elluviidavate eesmärkide seadmine;
riskijuhtimisraamistike loomine;
teadaolevate ja tekkivate probleemide tuvastamine;
organisatsiooni kaudses (enesestmõistetavas) riskivalmiduses toimuvate muudatuste tuvastamine;
juhtkonna abistamine protsesside ja kontrollide loomisel, et juhtida riske ja lahendada probleeme;
riskijuhtimise protsesse käsitlevate juhtnööride andmine ja koolituste korraldamine;
keskastme juhtide poolt rakendatavatele mõjusatele riskijuhtimispraktikatele kaasa aitamine ja nende praktikate rakendamise seire;
keskastme juhtide hoiatamine esilekerkivate probleemide ning muutuvate regulatiivsete ja riskistsenaariumite eest;
sisekontrolli piisavuse ja mõjususe, aruandluse täpsuse ja täielikkuse, seaduste ja määruste järgimise ning puuduste õigeaegse kõrvaldamise järelevalve. ^[3]

Kolmas kaitseliin: siseaudit[muuda | muuda lähteteksti]

Siseaudiitorid, kellel on organisatsioonis suurim sõltumatus ja objektiivsus, annavad kõrgemale juhtorganile ja tippjuhtkonnale kõikehõlmava kindlustunde. See sõltumatuse tase ei ole teisele kaitseliinile kättesaadav. Siseaudit annab kindlust, et ettevõtte valitsemine, riskijuhtimine ja sisekontroll on mõjusad, kontrollides muu hulgas esimese ja teise kaitseliini riskijuhtimise ja kontrolli alaste eesmärkide saavutamise meetodite mõjusust. Tippjuhtkonnale ja kõrgemale juhtorganile antav kindlus hõlmab tavaliselt järgmisi valdkondi:

erinevad eesmärgid, sealhulgas tegevuse tõhusus ja mõjusus, vara kaitse, aruandlusprotsesside usaldusväärsus ja terviklikkus ning seaduste, määruste, põhimõtete, kordade ja lepingutingimuste järgimine;
kõik riskijuhtimise ja sisekontrolli raamistiku osad, sealhulgas sisekontrollikeskkond;

kõik organisatsiooni riskijuhtimise raamistiku osad (st riskide tuvastamine, riskide hindamine ja nendele reageerimine), informatsioon ja teabevahetus ning seire;

kogu ettevõte, selle osakonnad, tütarettevõtted, tegevusüksused ja funktsioonid, sealhulgas äriprotsessid, nagu müük, tootmine, turundus, ohutus, kliendifunktsioonid ja põhitegevus, ning tugifunktsioonid (nt tulude ja kulude aruandlus, personal, sisseost, palgad, eelarvestamine, taristu- ja varahaldus, varude haldus ja infotehnoloogia).

Professionaalse siseauditi loomine peaks olema kõigile organisatsioonidele kohustuslik juhtimisnõue. See on oluline nii suurtele ja keskmise suurusega kui ka väiksematele ettevõtetele, sest viimastes võib olla sama keeruline töökeskkond, aga vähem ametlik ja jõuline organisatsiooniline ehitus, et tagada ettevõtte juhtimise ja riskijuhtimisprotsesside tõhusus.

Professionaalse siseauditi üksuse loomine peaks olema kõigile organisatsioonidele kohustuslik valitsemisnõue. See on oluline nii suurtele ja keskmise suurusega kui ka väiksematele ettevõtetele, sest viimastes võib olla sama keeruline keskkond, aga vähem formaliseeritud ja tugev organisatsiooniline struktuur, et tagada valitsemis- ja riskijuhtimisprotsesside mõjusus.

Siseaudit panustab aktiivselt organisatsiooni mõjusasse valitsemisse, eeldusel, et teatud tingimused (nagu siseauditi sõltumatuse ja professionaalsuse soodustamine) on täidetud. Parim praktika on luua ja säilitada sõltumatu, pädevate töötajatega siseauditi funktsioon, mis hõlmab järgmisi nõudeid:

tunnustatud rahvusvaheliste siseauditi standarditega vastavuses olemine;
organisatsiooni piisavalt kõrgele tasemele aru andmine, mis võimaldaks tööülesannete sõltumatu täitmise;
aktiivne ja mõjus aruandlusliin kõrgema juhtorganini.^[3]

VÄLISAUDIITORID, REGULAATORID JA TEISED VÄLISED ORGANID[muuda | muuda lähteteksti]

Välisaudiitorid, regulaatorid ja teised välised organid ei kuulu organisatsiooni, aga neil võib olla selle üldise valitsemis- ja kontrollistruktuuris tähtis roll. See kehtib eriti reguleeritud tegevusaladel, nt finantsteenuste või kindlustuse puhul. Regulaatorid kehtestavad mõnikord nõudeid, mis peaksid tugevdama organisatsioonisisest kontrolli, ning toimivad muudel juhtudel sõltumatu ja objektiivse osapoolena, aidates esimest, teist või kolmandat kaitseliini või nende osi nimetatud nõuete täitmisel. Kui välisaudiitorid, regulaatorid ja teised organisatsioonivälised organid on tõhusalt koordineeritud, saab neid pidada täiendavaks kaitseliiniks, andes kindlust organisatsiooni huvirühmadele, sealhulgas kõrgemale juhtorganile ja tippjuhtkonnale. Aga arvestades nende missioone ja tegevuse ulatust on nende kogutud riski käsitlev teave üldjuhul väiksemamahuline kui see, mis on saadud organisatsiooni kolme kaitseliini kaudu.^[3]

KOLME KAITSELIINI KOORDINEERIMINE[muuda | muuda lähteteksti]

Kõik kolm kaitseliini peaksid mingil kujul eksisteerima igas organisatsioonis, olenemata selle suurusest või keerukusest. Riskijuhtimine on tavaliselt kõige tugevam, kui on olemas kolm eraldiseisvat selgelt määratletud kaitseliini. Aga erandjuhtudel, mis tekivad eriti väikestes organisatsioonides, võib teatud kaitseliinid omavahel ühendada. Näiteks on juhtumeid, kus siseauditile on antud ülesandeks luua organisatsiooni riskijuhtimise või vastavuskontrolliga seotud põhimõtted ja/või seda tegevust hallata. Sellistel juhtudel peaks siseaudit kõrgemat juhtorganit ja tippjuhtkonda selgelt teavitama sellise ühendamise mõjust. Kui ühele isikule või osakonnale määratakse kaks kohustust, oleks kasulik, kui hiljem kaalutaks nende eraldamist ja kolme liini loomist. Olenemata sellest, kuidas kolme kaitseliini mudelit rakendatakse, peaksid tippjuhtkond ja kõrgemad juhtorganid selgelt esitama ootuse, et organisatsiooni igas riskijuhtimise ja kontrolli eest vastutavas rühmas tuleb teavet jagada ning tegevust omavahel koordineerida. Rahvusvaheliste siseauditeerimise kutsetegevuse standardite kohaselt peavad eriti siseauditi juhid jagama teavet ning koordineerima tegevust teiste siseste ja väliste kindlustandvate ja nõustamisteenuste osutajatega, et tagada nõuetekohane kaetus ja minimeerida tööde dubleerimist.^[3]

VIITED[muuda | muuda lähteteksti]

↑ The Institute of Internal Auditors (IIA) https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf, THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL. Vaadatud 07.11.2021
↑ The Institute of Internal Auditors (IIA) https://theiia.fi/wp-content/uploads/2020/07/three-lines-model-updated.pdf, THE IIA’S THREE LINES MODEL. Vaadatud 07.11.2021
↑ ^3,0 ^3,1 ^3,2 ^3,3 ^3,4 Siseaudiitorite Instituut (IIA) https://global.theiia.org/translations/PublicDocuments/PP-The-Three-Lines-of-Defense-in-Effective-Risk-Management-and-Control-Estonian.pdf, MÕJUSA RISKIJUHTIMISE JA KONTROLLI KOLM KAITSELIINI. Vaadatud 07.11.2021

[1] The Institute of Internal Auditors (IIA) https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf, THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL. Vaadatud 07.11.2021

[2] The Institute of Internal Auditors (IIA) https://theiia.fi/wp-content/uploads/2020/07/three-lines-model-updated.pdf, THE IIA’S THREE LINES MODEL. Vaadatud 07.11.2021

[:2-3] 3,0 ^3,1 ^3,2 ^3,3 ^3,4 Siseaudiitorite Instituut (IIA) https://global.theiia.org/translations/PublicDocuments/PP-The-Three-Lines-of-Defense-in-Effective-Risk-Management-and-Control-Estonian.pdf, MÕJUSA RISKIJUHTIMISE JA KONTROLLI KOLM KAITSELIINI. Vaadatud 07.11.2021

[1]

[2]

[3]