Riski ja kriisijuhtimine ning kontrollissteem ja auditeerimine Riigi

Riski- ja kriisijuhtimine ning kontrollisüsteem ja auditeerimine Riigi äriühingus 9. oktoober 2020 Bert-Erik Saluveer (CIA) Taavi Saat

Päevakava 09. 00 -10. 25 10: 25 -10: 35 10. 35 -12. 00 12: 00 -13. 00 -14. 25 14: 25 -14: 35 14. 35 -16: 15 Riskijuhtimine Paus Kriisijuhtimine Lõuna Auditeerimine ja järelevalve Paus Sisekontrollisüsteem 2

Lühitutvustus ja ootused Kes me oleme, mida oleme varem teinud ning mida praegu teeme? ► Taavi ja Bert-Erik ► Osavõtjad Üldised koolituse eesmärgid ► Selgitada organisatsiooni riskijuhtimise, kriisijuhtimise, järelevalve ja sisekontrollisüsteemi ülesehitust ja toimimist ► Anda edasi praktilisi kogemusi ja soovitusi, kuidas süsteeme üles ehitada ja paremaks muuta ► Püüda leida vastused Teie võimalikele küsimustele ja praktilistele probleemidele Ootused ► Ootame aktiivset osavõttu, kaasamõtlemist ja diskussiooni ► Teie ootused? 3

Riskijuhtimine § Riskijuhtimise protsessi korraldamine § Riskivalmidus, riskivõime ja riskitaluvus § Riskide käsitlemise näited 4

Juhendmaterjalid ► Rahandusministeeriumi juhendmaterjalid: - KOVide sisekontrollisüsteemi korraldamise soovituslik juhend (2018) - Riigi äriühingu ja sihtasutus nõukogu liikme käsiraamat (2017) - Valitsemise hindamine üldpõhimõtted (2013) - Riskijuhtimise protsessi hindamine (2013) - Riskijuhtimine (2013) - Sisekontrollisüsteemi rakendamine (2011) - Sisekontrollisüsteemi hindamine (2011) - Valitsemine (2011) https: //www. rahandusministeerium. ee/et/riigihaldus/organisatsioonide-juhtimiskvaliteedi-arendamine 5

Standardid ► Riskijuhtimise standardid - COSO Enterprise Risk Management (COSO ERM) - IRM (Institute of Risk Management) - AIRMIC - ALARM - ISO 31000: 2009 „Risk management – Principles and guidelines“ - Osaliselt: King II, Turnbull Guidance, SOX, Basel, Solvency ► Täna räägime riskijuhtimise mõistetest peamiselt COSO ERM mudeli põhiselt 6

Määramatus ► 9/11 sündmused ► Negatiivsed intressimäärad ► Brexit ► 9/11 ootamatu kaudne tagajärg: - Fataalsetes lennuõnnetustes suri 265 inimest - 9/11 tõttu vältisid paljud ameeriklased lendamist ja läbisid pikki vahemaid autoga, mistõttu järgneva 12 kuu vältel suri täiendavate liiklusõnnetuste tagajärjel hinnanguliselt 1 595 inimest (G. Gigerenzer) 7

Asjad (riskid) pole tähtsad seni, kuni nad on tähtsad 8

Riskijuhtimise eesmärk ja ülesanded ► Riskijuhtimise põhieesmärk on organisatsiooni väärtuse tõstmine ja põhitegevuse jätkusuutlikkuse kindlustamine ► Riskijuhtimise süsteemi üldised ülesanded - Tagada teadlikkust organisatsiooni ohustavatest hetke ja tuleviku riskidest - Luua võimalikult ühtne arusaamine riskidest ja nende võimalikust mõjust (riskijuhtimise keel) - Määrata kindlaks organisatsiooni poolt riskide võtmise ulatus - Võimaldada organisatsiooni teha kaalutletud otsuseid võimaluste ärakasutamiseks (võimalustega kaasnevad sageli riskid) - Tugevdada organisatsiooni valmisolekut riskide ja kriisidega toimetulemiseks - Luua eelduselt organisatsiooni paremaks toimetulemiseks muutlikus keskkonnas 9

COSO ERM mudel ► ► ► Eesmärgid - Strateegilised eesmärgid - Tegevuseesmärgid - Aaruandluse eesmärgid - Vastavuse eesmärgid Komponendid 1. Sisemine kontrollikeskkond 2. Eesmärkide seadmine 3. Sündmuse identifitseerimine 4. Riskide hindamine 5. Riskidele maandamine 6. Kontrollimehhanismid 7. Info ja kommunikatsioon 8. Monitooring Kõik organisatsiooni tasemed 10

Riskijuhtimise põhimõisted (1) ► Riskijuhtimine on riskide maandamiseks ja jälgimiseks vajalike tegevuste ja ressursside koordineerimine. - Mida teeme selleks, et ma teaksime riske ja suudaksime maandada need selliselt, et need ei ohustaks organisatsiooni eesmärkide täitmist? ► Riskijuhtimise protsess on organisatsiooni poliitikate, protseduuride ja tavade rakendamine riskijuhtimise komponentidena. - Milliste kindlaks määratud tegevustega organisatsioon katab vajalikud riskijuhtimise komponendid? ► Riskide hindamine koosneb organisatsiooni ohustavate riskide tuvastamisest, analüüsist ja prioriseerimisest: § Riskide tuvastamine hõlmab riskide kindlakstegemist ja kirjeldamist; § Riskide analüüsi käigus täpsustatakse riski asjaolusid, võimalikku mõju ja selgitatakse riski realiseerumise tõenäosust; § Riskide prioriseerimine tähendab riskianalüüsi tulemuste võrdlemist riskikriteeriumidega. COSO ERM 11

Riskijuhtimise põhimõisted (2) ► ► ► ► Risk – ebakindlate sündmuste mõju eesmärkide saavutamisele (strateegilised ja tegevuseesmärgid) Riskitegur – sündmus, tingimus või oht, mille esinemine soodustab riski realiseerumist või viib riski realiseerumiseni Riski mõju – sündmuste tagajärjed, mis võivad olla materiaalsed või mittemateriaalsed (rahaline kahju, mainekahju jm) Riski tõenäosus – riski realiseerumise sagedus Maandamismeede – meede, mis on suunatud riskiteguri maandamisele (põhimõte, sisekord, infosüsteem, tehnoloogiline lahendus vm) Kontrolltegevus – meetme rakendamisega seotud konkreetne tegevus, mida teostatakse kindla töötaja poolt ja kindlal viisil pidevalt, regulaarselt või vajaduse korral Riskihaldaja (riskiomanik) – isik, kes vastutab riski hindamise ja jälgimise eest ning koordineerib riski maandamisega seotud tegevusi Riskivõtja (riskihaldur) – isik, kes oma igapäevaste tegevustega on seotud riski juhtimisega ja kontrollmeetmete rakendamisega COSO ERM; EVR Riskijuhtimissüsteem 12

Riski tsükkel ► Risk on ebakindlate sündmuste mõju eesmärkide saavutamisele. ► Ebakindlad sündmused võivad (olla): § sisemised või välised; § loomulikud või inimtekkelised; § ettearvatavad või ettearvamatud; § toimuda otsuse või otsustamatuse ning tegevuse või tegevusetuse tõttu; § areneda kiiresti või aeglaselt. ► Riskitegur on sündmus, tingimus või oht, mille esinemine soodustab riski realiseerumist võib viia riski realiseerumiseni. ► Sündmustel on tagajärjed, mis võivad olla materiaalsed või mittemateriaalsed. ► Sündmuste tagajärgedel on soodne või ebasoodne mõju eesmärkide saavutamisele. COSO ERM 13 Riski tsükkel Eesmärk Sündmuse mõju Ebakindel sündmus Soodne / Ebasoodne Head / Halvad Sündmuse tagajärg Soovitav / Mittesoovitav

Riskijuhtimise põhimõtted 1. Lisandväärtus – riskijuhtimise protsess peab looma lisandväärtust 2. Vastavus eesmärkidele – riskijuhtimine peab toetama missiooni ja strateegilisi eesmärke 3. Integreeritus – riskijuhtimine on protsesside lahutamatu osa 4. Süsteemsus – riskijuhtimine peab olema süsteemne protsess 5. Preventiivsus – riskijuhtimine on põhiolemuselt preventiivne (hoida ära riskide negatiivseid tagajärgi ja/või vähendada realiseerumise tõenäosust) 6. Kõikehõlmavus – riskijuhtimine puudutab organisatsioonis kõike ja kõiki 7. Informeeritus – riskijuhtimises tuleb kasutada maksimaalselt parimat olemasolevat infot; riskiinfo tuleb teha teatavaks nendele, kes seda oma töös vajavad 8. Dokumenteeritus – riskide, kahjujuhtumite ja riskianalüüside info tuleb süstematiseerida ja arhiveerida 9. Ratsionaalsus – riski maandamise meetmed ei tohi kujuneda kallimaks kui riski realiseerumise võimalik mõju (kulu-kasu suhe) 10. Evolutsioon – riskijuhtimine peab arenema ajas koos organisatsiooni ja protsessidega 14

Riskijuhtimise erisused organisatsioonide lõikes (1) ► ► ► Tegevusvaldkonnast lähtuvad - Milline on konkreetse tegevusvaldkonna riskisuse ja reguleerituse tase? Eesmärgist lähtuvad - Millist eesmärki peab riskijuhtimine toetama ja mis on riskijuhtimise enda eesmärgid antud kontekstis? Riskikandmise võimest lähtuvad - Milliseid ja millise mõjuga riskide suudab organisatsioon taluda ning millisest hetkel alates ei suuda organisatsioon oma eesmärke enam täita? Protsessist lähtuvad - Millisel viisil ja milliste vahenditega riskijuhtimist on mõistlik üles ehitada? Olemasolevatest muudest tugifunktsioonidest lähtuvad - Kvaliteedijuhtimine, kontrollfunktsioonid, välised regulaatorid ja institutsioonid, siseaudit jt 15

Riskijuhtimise erisused organisatsioonide lõikes (2) ► ► Võimalikud spetsiifilised eesmärgid riskide juhtimiseks - Kahjude ennetamine - Varade kaitse - Ohutuse tagamine - Riskivõime mitte ületamine (pankroti vältimine) - Vastavuse tagamine - Ebakindluste vähendamine - Valmisolek kriisideks või hädaolukordadeks (toimepidevus) - Kulude teadlikkus ja juhtimine - Intsidentide juhtimine ja analüüs - Kvaliteedi tagamise lisakontroll Erinevate riskikategooriate juhtimisel on erinevad eesmärgid tulenevalt valmidusest 16

Riskide tuvastamise meetodid ► ► Riskide tuvastamise tehnikad - vooskeemid ja süsteemianalüüs - stsenaariumianalüüsid - auditid ja kontrollid - intsidentide analüüsid - valdkondlikud uuringud - otsustuspuud (probleemipuud) - SWOT analüüs - kogemus (teiste ja enda vigadest õppimine) - intervjuud - ajurünnakud - arutelud fookusgruppides - Küsimustikud Oluline on kriitiline mõtlemine ning erinevate valdkondade teadmiste ühendamine 17

Riskide analüüsi ja hindamise meetodid ► Riskide analüüsi ja hindamise meetodid - Kvalitatiivsed § Riski skaalad § Eksperthinnangud § Sisekontrollide hinnangud § Kontroll-lehed § Kalaluu (fishbone) diagramm § Otsustuspuu § Jne - Kvantitatiivsed § Krediidiriski hindamine § Value at Risk (tururisk) § Tundlikkuse analüüs / Tornado diagramm § Kindlustusriski hindamine (suurte arvude seadus) § Monte-Carlo § Jne 18

Riskijuhtimise dokumenteerimine ► ► Riskijuhtimise dokumentatsioon - riskijuhtimise põhimõtted ja protsess - organisatsiooni riskiuniversum ja trendid - riskide hindamise töötubade tulemused - ärimõjude analüüsid ja taasteplaanid - riskide analüüsi sisendid ja arvutuskäigud - ettepanekud riskide maandamiseks - maandamistegevuste kokkulepped - riskijuhtimise strateegia põhjendused ja otsused - intsidentide ja kahjujuhtumite analüüsid ja kokkuvõtted Dokumenteerimise mõte on eelkõige tagada vastutavus, ajas õppimine ja hinnangute parem kalibreerimine 19

Riskijuhtimise rollid (1) ► Nõukogu vastutab riskijuhtimise tõhususe jälgimise eest ning selleks: - kinnitab äriplaani ja strateegia ning seeläbi riskivalmiduse; - kinnitab eelarve ning seeläbi ootuspärase arengustsenaariumi; - hindab regulaarselt ettevõtte finantsseisundit ja seeläbi riskitaseme vastavust omaniku ootustele; - hindab auditikomiteelt saadud sisendi alusel, kas juhatus on rakendatud asjakohase ja tõhusa riskide juhtimise protsessi; - hindab auditikomiteelt saadud sisendi alusel, kas juhatus on rakendatud asjakohase ja tõhusa sisekontrollisüsteemi. ► Auditikomitee ülesanne on nõukogu nõustamine riskijuhtimise ja sisekontrolliga seotud küsimustes ning selleks: - käsitleb regulaarselt riskijuhtimise ja sisekontrolliga seotud teemasid; - tutvub juhatuselt, siseaudiitorilt, riskijuhilt ning välisaudiitorilt saadud informatsiooniga ning hindab selle põhjal riske ja eesmärkide saavutamiseks vajalike protsesside toimimist; - annab nõukogule aru juhatuse rakendatud riskide juhtimise protsessi toimimise ja tõhususe kohta; - annab nõukogule aru juhatuse rakendatud sisekontrollisüsteemi toimimise ja tõhususe osas. 20

Riskijuhtimise rollid (2) ► Juhatus vastutab tervikuna riskide juhtimise põhimõtete ja sisekontrollisüsteemi rakendamise ja toimimise eest ning selleks - töötab välja äriplaani, strateegia, eesmärgid ja mõõdikud; - korraldab eelarve koostamise, mis määrab riskivalmiduse ja –taluvuse; - juhib ettevõtet viisil, mis tagab kinnitatud strateegia, eesmärkide ja eelarve täitmise; - kinnitab riskide juhtimise põhimõtted ja vajadusel üksikute riskivaldkondade tegevuspõhimõtted (näiteks hanke- ja personalipoliitika jm); - jälgib, et ettevõtte tegevusega kaasnevad riskid on tuvastatud, hinnatud ja maandatud ning riskitase vastaks riskivalmidusele ja –taluvusele; - kinnitab ettevõtte juhtimiseks vajalikud poliitikad ja sisekorrad ning tagab nende täitmise üle regulaarse kontrolli; - arendab läbi juhtimistegevuste riske teadvustavat juhtimiskultuuri. 21

Riskijuhtimise rollid (3) ► Struktuuriüksuste juhid vastutavad oma vastutusvaldkonna riskide igapäevase juhtimise ja sisekontrollisüsteemi rakendamise ja toimimise eest ning selleks: - korraldavad tegevused viisil, mis tagab üksuse kinnitatud finants- ja tegevuseesmärkide saavutamise; - tagavad üksuse tegevuse kinnitatud riskivalmiduse ja -taluvuse piirides; - eskaleerivad võimalikke või prognoositavaid piirmäärade ületusi juhatusele; - kaardistavad regulaarselt oma valdkonnas esinevaid riske, hindavad neid ja rakendavad õigeaegselt asjakohased meetmed riskide maandamiseks, sh täites riskihaldaja või riskivõtja kohustusi või määrates nendeks allüksuse juhi või spetsialisti; - arendavad oma valdkonnas riske teadvustavat töökultuuri. ► Töötaja kohustuseks on lisaks eetika- ja käitumisreeglitest, töösisekorra eeskirjadest ning ametikoha ülesannetele, õigustele ja vastutusele teadvustada ja rakendada igapäevatöös riskide juhtimise põhimõtteid, sh tuua esile riske või nende ebapiisavat maadamist ja teha ettepanekuid riskide paremaks juhtimiseks. 22

Riskijuhtimise rollid (4) ► Riskijuhtimise ja/või siseauditi osakond toetab ettevõtte juhatust riskijuhtimise põhimõtete väljatöötamisel ja rakendamisel: - aitab välja töötada ühtsed ettevõtteülesed ja valdkondlikud riskijuhtimise põhimõtted ning defineerida nendega seotud rolle ja vastutusi; - koordineerib riskide juhtimise protsessi ning osaleb vajadusel detailsete riskide juhtimise raamistike väljatöötamisel konkreetsetes protsessides, valdkondades või üksustes; - aitab tuvastada ja kirjeldada riske, selgitada nende realiseerumise põhjuseid ning hinnata riske ja nende maandamiseks rakendatud meetmeid; - haldab riskide infosüsteemi, kuhu sisestatakse tuvastatud riskid ja nende realiseerumise põhjused, maandamismeetmed ja -tegevused ning riskihaldajad ja riskivõtjad; - korraldab koostöös juhatuse, juhtide ja riskide juhtimise töögrupiga riskiteadlikkuse tõstmiseks regulaarselt koolitusi, infopäevi ja muid tegevusi; - haldab riskiaruande koostamist ning annab regulaarselt juhatusele, nõukogule ja auditikomiteele aru olulistest riskidest ja riskitasemest, riskijuhtimise toimimisest ja selle küpsustasemest. 23

Riskijuhtimise protsess 1 A Riskide tuvastamine ülevalt alla 3 2 Riskikategooriad Strateegilised Finants Operatiivsed Vastavus 1 B Riskide tuvastamine alt ülesse Riskide tuvastamine 4 Riskide hindamine Kontrollide tuvastamine 5 Kontrollide hindamine 6 Parendusmeetmed § Riski kirjeldus § Riski hindamine § Kontrollmeetmed § Kontrolli ülesehitus § Meetmete (adekvaatsus) loomine, § Tagajärjed § Mõju kategooriad - Kirjeldus täiendamine või § Kontrolli § Seotud funktsioonid / - Eesmärgid - Vastutaja parendamine rakendamine Protsessid - Põhiprotsesside § Kontrolltegevused (mõjusus) § Riskitegurid toimimine - Kirjeldus § Riskihaldaja - Finants- ja - Kontrolli teostaja materiaalne vara § Riskivõtjad - Sagedus - Infovara - Keskkond - Ohutus ja turvalisus 7 - Maine Riskide jälgimine - Õigusrikkumine 8 Aruandlus 24

Riskijuhtimise praktiline olemus ► Lihtsustatult on riskijuhtimine põhjendatud ja kaalutletud riskide võtmine ning informeeritud otsuste tegemine (mitte ainult riskide vältimine, kuigi see üks riski maandamise viis). ► Riskijuhtimist ei tohiks vaadelda kui eraldiseisvat protsessi, vaid kui tegevuste lahutamatut osa. ► Riskijuhtimine on üks osa organisatsiooni sisekontrollisüsteemist. ► Pelgad reeglid ja sisekorrad selle kohta, mida teha ja mida mitte teha, sageli ei ole piisavad riskide maandamiseks, vaid nendel võib ka olla vastupidine efekt. ► Läbi riskijuhtimise on oluline luua keskkond, kus inimesed julgevad mõelda ja rääkida sellest, mis võib minna valesti ning mida ja kuidas tuleks teha, et seda vältida. ► Lisaks sellele, mida mitmed standardid ja juhendmaterjalide ütlevad, peaks riskijuhtimine aitama vähendada ainult „kõhutunde“ järgi otsustamist ning toetama faktidel põhineval otsustamist. ► Riskijuhtumine peaks edasi arenema mallipõhisest formaalsusest ning saama igapäevase otsustusprotsessi osaks. 25

Riskijuhtimise kasutegurid ► Ettevõtteülene terviklik ülevaade riskidest ja maandamismeetmetest ► Selgem vastutus riskide juhtimise ja kontrollide toimimise eest ► Parem ja ühtlasem teadlikkus riskidest ja maandamismeetmetest ► Eeldus kaitseliinide tõhusaks toimimiseks ► Kontrollide lihtsustamine, tõhustamine ja ühtlustamine ► Dubleerimise vähendamine ► Kahjujuhtumite ennetamine ja nende mõju minimeerimine ► Selgemad prioriteedid ja teadlikumad otsused (eesmärgid-riskid-ressursid) ► Töötajate üldise riskiteadlikkuse suurendamine ► Lihtsamini hallatav auditi- ja soovituste rakendamise protsess 26

Riskivalmiduse, riskitaluvuse ja riskivõime mõisted ► Riskivalmidus on riskide tase, mida organisatsioon on valmis vaikimis võtma, ilma et peetakse vajalikuks teha olulisi kulutusi nende maandamiseks (risk appetite). - Kas ja milliste riskide võtmine on aktsepteeritud? - Võimalik määratleda riskikategooriate kaupa või oluliste tegevusnäitajate kaupa ► Riskitaluvus on hinnanguline maksimaalne risk, mida organisatsioon suudab taluda kahjustamata oma eesmärkide saavutamist (risk tolerance). - Millises mahus risk võib realiseeruda tagades siiski, et organisatsioon suudab täita endale võetud eesmärgid? - Mõjutab paljusid organisatsiooni teisi protsesse, mh § Limiitide / volituste raamistikku § Organisatsioonipõhist riskide juhtimise mudelit (s. h eririskide poliitikad) § Kindlustust ja riski edasikandmise programme ► Riskivõime on hinnanguline maksimaalne konsolideeritud riskitase, mida organisatsioon suudab taluda kahjustamata oma jätkusuutlikkust (risk capacity). - Kas suudame oma kohustuste täitmiseks vajalikud vahendid leida või mitte? ► Riskiprofiil on organisatsiooni riskide kogum ja nende tase, mis võib olla seostatud kas riskivalmiduse, riskivõime või riskitaluvusega sõltuvalt eesmärgist. 27

Riskivalmiduse, riskitaluvuse ja riskivõime defineerimine ► Riskivalmiduse ja -taluvuse piiride määramisel lähtutakse omaniku poolt sõnastatud ootustest ja eesmärkidest ning ettevõtte juhatuse poolt ellu viidavast strateegiast. ► Ootuspärast arengustsenaariumi väljendatakse piirmääradena, näiteks oodatav EBITDA suurus ja/või kapitali tootlus, investeeringute maht ja/või osakaal, ettevõtte võlatase jms ning selle väljundiks on kinnitatud eelarve. ► Riskivalmidus väljendab juhatuse seisukohta, milliseid riske ja millises ulatuses ettevõte on valmis võtma eesmärkide saavutamiseks (näiteks Debt/EBITDA suhe 1, 5). ► Tegevustega kaasnevate operatiivsete riskide, näiteks hanke-, ohutus- või pettuseriski, ootuspärast riskiläve väljendatakse üheselt mõistetavate põhimõtetena. ► Riskivalmidust delegeeritakse planeerimis- ja eelarvestamise tegevuste, investeeringute otsustamise, projektijuhtimise ja hangete protsessi ning poliitikate, protseduuride ja kontrolltegevuste kaudu. ► Riskivalmidus ei ole konstantne, vaid muutub ajas vastavalt muutustele ettevõtte tegevuse eesmärkides, strateegias ja/või turutingimustes. ► Riskitaluvus sätestab piiri, mille ületamine või millest madalam tase ei ole ettevõtte eesmärke ja strateegiat silmas pidades vastuvõetav (näiteks eelarve täitmise minimaalne määr 90%). 28

Riskivalmiduse, riskitaluvuse ja riskivõime olemus A. Praegune olukord B. Planeeritud eesmärk ja tulemus C. Riskivõime ehk maksimaalne riskitase, mis ei kahjusta jätkusuutlikkust D. Parim võimalik tulemus Rahandusministeerium (2013). Riskijuhtimine. 29

Riskivalmiduse, riskitaluvuse ja riskivõime olemus Tõenäosus % Ootamatu kahju § Piisav kapital § Võimalike kahjude tuvastamine § Mõjude mõõtmine läbi hindamiste või modelleerimise § Mõjude vähendamine Oodatavad kahjud § Kahjude vähendamine § Tegevusefektiivsuse parandamine Ootamatu katastroofiline kahju § Harvad, kuid laastavad sündmused § Riski siirdamine § Toimepidevuse planeerimine Kahju 30

Risk ja kindlustus ► Kindla summa raha eest antakse teatud tõenäosuslik kahjujaotus edasi kindlustusseltsile. Sama saab teha kindlustusselts, andes osa sellest jaotusest edasikindlustusse. ► Alati ei pruugita anda kogu riski edasi. Isiku jaoks võib olla optimaalne jätta teatud summa või teatud % kahjust enda kanda. Kahjude tõenäosusjaotus ja omavastutus 31

Riskide põhikategooriad ► Strateegilised ja äririskid – risk, mis tuleneb mitteadekvaatsest strateegiast või äriotsustest, nende puudulikust elluviimisest, tegevuskeskkonna või klientide tegevuse muutumisele mitteadekvaatsest reageerimisest ► Finantsriskid – risk, et tegevuskeskkonnas toimuvad muutused vähendavad ettevõtte varasid, suurendavad kohustusi või vähendavad ettevõtte krediidikõlblikkust ja likviidsust ► Operatiivsed riskid – risk, et sisemised protsessid või süsteemid ei toimi või toimivad ebaadekvaatselt, põhjustatuna juhtimisvigadest, tehnilisest veast, personali tegevusest või tegevusetusest või välistest teguritest ► Vastavusriskid – risk, et ettevõtte tegevus on vastuolus väliste seaduste ja regulatsioonidega või ettevõttesiseste poliitikate ja tegevusjuhenditega NB! Sageli defineeritakse mainerisk eraldi kategooriana, kuid praktikas tuleneb võimalik maine kahjustumine tegevusest või tegevusetusest, mistõttu tasub maine küsimust käsitleda riski ühe võimaliku tagajärjena 32

Riskide alamkategooriad ► ► ► Strateegilised ja äririskid - Äririskid - Strateegilised riskid - Poliitilised riskid - Regulatiivsed riskid - Valitsemise riskid Finantsriskid - Tururiskid - Likviidsusriskid - Krediidiriskid Vastavusriskid - Väline vastavus - Sisemine vastavus ► 33 Operatiivsed riskid - Finantsarvestus - Hanked ja lepingud - Varahaldus - 0 hutus - Turvalisus - Keskkond - Personal - Protsessid - Pettus - Toimepidevus - Tehnoloogia ja IT

Riskide definitsioone ► ► ► Finantseerimisrisk – risk, mis tuleneb ressursi hankimisega seotud ebakindlusest Intressirisk – risk, mis tuleneb intressimäärade muutumisest Krediidirisk – risk, et tehingu vastaspool ei ole võimeline või ei soovi täita oma kohustusi Likviidsusrisk – risk, et ei suudata täita õigeaegselt või täies mahus oma tulevasi kohustusi Valuutarisk – risk, mis tuleneb valuutakursside muutumisest Tururisk – risk, mis tuleneb turuhindade muutumisest ebasoodsas suunas Juriidiline risk – risk, mis tuleneb mittevastavusest õigusaktidele, lepingutele, headele tavadele ja eetilistele normidele või nende valest tõlgendamisest Regulatiivne risk – risk, mis tuleneb muudatustest regulatiivses keskkonnas ja õigusaktides Kontrolli- ja juhtimisrisk – risk, mis tuleneb rakendatavate kontrollimehhanismide ja juhtimismeetmete ebaadekvaatsusest Protseduuririsk – risk, mis tuleneb ebaadekvaatsest protseduurireeglitest või nende ebaadekvaatsest täitmisest Personalirisk – risk, mis tuleneb personali pädevusest, lojaalsusest ja ametikohale sobivusest Maarisk – risk, mis tuleneb tehingu vastaspoole asukohariigi majanduslikust, poliitilisest või sotsiaalsest olukorrast 34

Kahjude allikad [CATEGORY NAME] [PERCENTAG E] [PERCENT AGE] [CATEGORY NAME] [PERCENT AGE] Booz & Company 2013 35

Üldised riskide juhtimise strateegiad (1) Ennetatavad riskid (kontrollitavad) Strateegilised riskid (osaliselt kontrollitavad) Välised riskid (kontrollimatud) Maandamistegevuse eesmärk § Väldi või vähenda kahjujuhtumite esinemise sagedust § Üldreeglina soovime ennetatavaid riske vältida, kuna need ei lisa väärtust § Vähenda ebakindlust ja kasuta ära võimalusi § Strateegilisi riske on vaja võtta tulu teenimiseks § Valmistu ootamatusteks ning loo ja hoia vajalik valmisolek § Välised riskid ei ole meie kontrolli all, aga peame neid teadvustama ja planeerima nendega toimetulemist Riskikategooriad § Operatiivsed riskid § Vastavusriskid § Finantsriskid (likviidsus, krediidirisk) § Strateegilised riskid § Operatiivsed riskid (investeeringud, projektid, personal) § Finantsriskid (kapital) § Operatiivsed riskid (toimepidevus, IT, tehnoloogia) § Finantsriskid (intress, valuuta, tururisk) Kontrollimudel ja juhtimine § Väärtuse ja eetilised suunised § Sisekorrad ja protseduurid § Volitused ja kohustuste lahusus § Kontrollide rakendamine § Aruandlus ja monitooring § § § 36 Strateegia elluviimine Ärikeskkonna jälgimine Konkurentsiuuringud Kliendiuuringud Riskiindikaatorid (KRId) Riskimudelid (Monte Carlo jm) Toimepidevuse plaanid Varusüsteemid Puhvrid (raha, varud vm) Stsenaariumi analüüsid Stressitestimine

Üldised riskide juhtimise strateegiad (2) Selgitus Näited Riski aktsepteerimine § Teadlik riski võtmine § Riski maandamismeetmeid ei rakendata § Riskid, mis riskihindamise tulemusel jäid riskivalmiduse piiridesse § Riskid, kus maandamistegevused on kallimad kui riskist tulenev kahju Riski maandamine § Tegevused riskist tuleneva mõju või riski realiseerumise tõenäosuse vähendamiseks § Ohtliku töökeskkonna risk maandamine • Töötajate eelnev juhendamine • Töökaitsevahendite kasutamine • Hoiatatavad sildid ohtlikes kohtades Riski siirdamine § Riski eest vastutuse ülekandmine teisele osapoolele § Peamised meetmed • Kindlustus • Garantii • Faktooring • Lepingutingimused Riski vältimine § Riskiga seotud tegevuse täielik vältimine § Projektist loobumine § Tegevusest loobumine § Teenuse sisseostmine 37

Riskide, riskitegurite ja meetmete kirjeldamine Risk Sündmused/Tegurid Tagajärjed Raudteeülekäigukohal jääb inimene rongi ette § Raudteeülekäigukohad ei § Inimene saab vigastada või vasta ohutusnõuetele hukkub § Jalakäija või jalgrattur eirab § Ettevõtte maine saab ohutusnõudeid kahjustada § Ohutusteavet ei koguta või see ei ole adekvaatne § Ülekäigukoha lume- ja jäätõrjet ei ole teostatud § § § Hanketingimused ei ole ratsionaalsed või läbimõeldud § Turu-uuring või tehniline dialoog on puudulik § Hanke objekti analüüs on puudulik § Hankealased kompetentsid on ebapiisavad § Hange kallineb (sh kasutus-, hooldus- jm kaasnevad kulud) § Tulemus ei vasta vajadustele § Hange nurjub või vaidlustatakse § Turu-uuringu läbiviimise juhis § Hankealased teabepäevad ja koolitused § Standardiseeritud HD põhjad ja vormid § Hankedokumentide kontrollprotseduur (hankekord, ametijuhendid) Hangelepingut ei sõlmita õigeaegselt § Hanke ettevalmistamist ei alustata õigeaegselt § Perioodiliste lepingute tähtaegu ei jälgita § Hangete läbiviimise võimekus ja ressursid on ebapiisavad § Hanke tulemused vaidlustatakse § Tootmine või teenuse osutamine on häiritud või katkeb § Hange kallineb (hankevälised ostud) § Saadakse rahalist kahju (leppetrahv, saamata jääv tulu) § Hankeplaan (puhver, hajutamine) § Eelarve ja hankeplaani ristvõrdlus § Hankekomisjon § Lepinguregister (teavitused) 38 Meetmed Ülekäikude ülevaatus Avaliku raudteeohutuse kava Juhtumite menetlemise kord HR teejärelevalve Lepingu täitmise järelevalve

Riski mõju hindamine p Hinnang Abikriteeriumid 9 -10 Väga oluline 1) eesmärgid - ühe või mitme põhieesmärgi mittetäitmine (avalik huvi, äri, finants) 2) põhiprotsesside toimimine - põhiprotsesside või raudteeliikluse ulatuslikud häired või pikaajaline katkestus (üle 48 h) 3) finants- ja materiaalne vara - majanduslik kahju või mõju üle 0, 7% varade väärtusest (üle 2 000 €) 4) infovara - ajaliselt SLA taset oluliselt ületav katkestus; andmete ulatuslik hävimine 5) keskkond - oluline ja ulatuslik keskkonnakahju (reostus jm) 6) ohutus ja turvalisus - surmajuhtumid ja/või rasked inimvigastused; tõsine oht ettevõtte varale ja töötajate turvalisusele 7) maine - oluline ja pikaajaline mainekahju (mitme kuu vältel) 8) õigusrikkumine - tegevusloa peatamine; ulatuslikud tegevuspiirangud; märkimisväärne rahatrahv; ettevõtte ja/või töötajate kriminaalkaristus 6 -8 Oluline 1) eesmärgid - põhieesmärkide hilisem täitmine või osaline mittetäitmine (avalik huvi, äri, finants) 2) põhiprotsesside toimimine - põhiprotsesside või raudteeliikluse häired või katkestus (12 -48 h) 3) finants- ja materiaalne vara - majanduslik kahju või mõju 0, 2 -0, 7% varade väärtusest (600 000 -2 000 €) 4) infovara - ajaliselt SLA taset ületavad tõsised häired või katkestus; andmete osaline hävimine 5) keskkond - keskkonnakahju (reostus jm) 6) ohutus ja turvalisus - inimvigastused; oht ettevõtte varale ja töötajate turvalisusele 7) maine - mainekahju (mitme nädala vältel) 8) õigusrikkumine - tegevuspiirangud; rahatrahv; töötajate väärteokaristus 39

Riski maatriks – vana lähenemine Väheoluline Mõõdukas MÕJU Oluline Väga oluline 10 9 8 7 6 5 4 3 2 1 2 3 4 5 6 7 8 9 10 Madal Mõõdukas Kõrge TÕENÄOSUS 40 Väga kõrge

Riski maatriks – uus lähenemine Väheoluline Mõõdukas MÕJU Oluline Väga oluline 10 9 8 7 6 5 4 3 2 1 2 3 4 5 6 7 8 9 10 Madal Mõõdukas Kõrge TÕENÄOSUS 41 Väga kõrge

Meetmete hindamine Adekvaatsus (osakaal 0, 35) Mõjusus (osakaal 0, 65) Puudub Mitterahuldav Rahuldav Hea 1 2 3 4 1, 00 1, 35 1, 70 2, 05 Ei ole rakendatud 1 Mitterahuldav 2 1, 65 2, 00 2, 35 2, 70 Rahuldav 3 2, 30 2, 65 3, 00 3, 35 Hea 4 2, 95 3, 30 3, 65 4, 00 42

Riskide ja meetmete hindamise tulemus Meetme(te) hinnang Riskihinnang Prioriteet Riski maandamiseks vajalike meetmete rakendamise tähtaeg Madal Tingimuslik Kriitiline 1 Kuni 2 kuud (puudub) 3 2 1 2 Kuni 6 kuud Kriitiline 3 2 1 3 Kuni 9 kuud Mitterahuldav 4 2 1 4 Kuni 12 kuud Rahuldav 4 4 3 5 Ei eelda täiendavaid meetmeid, riski jälgitakse perioodiliselt 43

Riskiregister (näitlik väljavõte) 44

Tavapärase riskide hindamise nõrkused Meetmed jäävad sageli umbmääraseks, samuti võib jääda ebaselgeks, kuidas neid rakendatakse Nr Risk Enne kontrolle (olemuslik risk) Meetmed Mõju Tõenäosus Hinnang Peale kontrolle (jääkrisk) Mõju Tõenäosus Hinnang 1 Suunatud hanked 8 6 48 Protseduurireeglid, hanketingimuste kooskõlastamine, majanduslike huvide deklareerimine 8 3 24 2 Volituste ületamine kuludokumentide kinnitamisel 4 8 32 Volituste piirmäärad, kohustuste lahusus 2 5 20 Hindajad ei pruugi tegelikkuses suuta eristada olemuslikku ja jääkriski Kui hästi hindajad suudavad, soovivad või on motiveeritud hindama? Olemuslik risk – riski olemuslik tase arvestamata kontrollmeetmeid Jääkrisk – riski tase peale kontrollmeetmete rakendamist 45

Riskide ja meetmete hindamise struktuur Strateegilised eesmärgid Tegevuseesmärgid (operatiivsed, aruandlus, vastavus) Väärtusahel Riskivõtja Risk võib olla seotud mitme tegevusega ehk riskil võib olla mitu riskivõtjat, kuid peaks olema üks riskihaldaja Risk 1 Tegur A Tegur B Risk 2 Tegur C Tegur D Erinevad sündmused või tingimused (riskitegurid) võivad viia sama riski realiseerumiseni või vastupidi ehk sama sündmus või tingimus võib viia erinevate riskide realiseerumiseni Meetme vastutaja Kontrolli teostaja Meede A Meede B Tegevus A 1 Tegevus B 2 Tegevus A 2 Sama maandamismeede võib olla seotud mitme riskiga ning ühe meetme raames võidakse teostada mitmeid kontrolltegevusi. Kontrollmeede? 46

Riskide ja intsidentide (juhtumite) seosed Intsident (juhtum) – olukord, mille puhul tekkis kahju, esines kahju tekkimise oht, rikuti kehtivaid nõudeid ja protseduurireegleid või esines tegevuse katkestus või süsteemirike 47

Riskide realiseerumise põhjused ► Olulised riskid on jäänud juhtkonna tähelepanu alt välja ja nendega ei ole arvestatud või tegevustega kaasnevaid riske on hinnatud ebaadekvaatselt ► Võtmetegevuste üle kontrolltegevuste puudulikkus või puudumine, nagu näiteks erinevate rollid on defineerimata, vastutus eristamata, nõusolekud antud liiga üldsõnaliselt, tehingud kinnitamata, operatsioonide edukuse ülevaated puudulikud ► Ebaadekvaatne riskide kommunikeerimine erinevate juhtimistasandite vahel ja esile kerkinud probleemidest mitte rääkimine ► Ebaselgelt määratud vastutus riskide juhtimise eest või vastutuse killustatus ► Toimunud intsidentidele mitte reageerimine ja neid põhjustanud asjaolude eiramine ► Ebaadekvaatsed või ebaefektiivsed auditi programmid ja järelevalve tegevused ► Optimistlikule, kuid sageli ühepoolsele või eksitavale infole otsustamisel liigse kaalu andmine ► Liigne kindlus otsuste vastuvõtmisel – subjektiivse otsusekindluse määrab sageli mõtetes loodud seoste loogilisus, mitte seda kinnitava info objektiivne kvaliteet ja hulk 48

Arutelupunkt Kui ilmateade ütles, et homme 95% tõenäosusega ei saja, aga tegelikult sajab, kas ilmateade oli vale? Kui riski realiseerumise tõenäosus on 5%, kas risk võib homme realiseeruda? 49

Kriisijuhtimine läbi tugeva valitsemiskultuuri § Nõukogu väljakutsed muutuvas keskkonnas § Vastupidavuse tunnused ja nende tugevdamine § Kriisijuhtimise põhitõed ja näited 50

Valitsemiskultuuri 5 kuldset reeglit 1. Eetika: organisatsioonis on kehtestatud eetiliselt käitumise reeglid 2. Strateegilised eesmärgid: organisatsioonil on tasakaalus saavutatavad asja- ja ajakohased eesmärgid (lühi - kesk - pikk) 3. Strateegiline juhtimine: läbipaistev protsesside kogum, millega viiakse ellu strateegilisi eesmärke 4. Organisatsioon: organisatsioon on struktureeritud läbi kontrollitud ülesannete ja vastutuse 5. Aruandlus: organisatsioonis on kehtestatud läbipaistev aruandlussüsteem (k. a sisemine kommunikatsioon) 51

Eetika ja väärtused ► ► ► ► Eetika osatähtsus on valitsemiskultuuris madal Eetikareeglid on sageli kehtestamata ja väga isikupõhised Maine tähtsust sageli organisatsioonis ei tunnetata Reeglid teistele ja omadele – omadele kehtivad teised reegleid (erandite loomine) Sageli on reeglid juhi põhised, mitte ei ole organisatsiooni põhised Mugavus on olulisem kui tegelikud vajadused Juhtide väärkäitumistest ei räägita – sageli teatakse, et kuskil on pandud/pannakse toime väärkäitumist, kuid sellest ei teavitata õigeid inimesi 52

Strateegia ja eesmärgid (1) ► ► ► ► Strateegiat ja/või eesmärke pole kas sõnastatud ja puuduvad või on puudulikult koostatud (liiga üldsõnalised) Eesmärke on loetletud väga palju, need pole selged või on hoopis omavahel vastuolus Strateegia koostamisel ei kaasata õigeid inimesi õigel ajal Strateegia jääb sageli ülejäänud organisatsioonile arusaamatuks – kas töötajad on üldse teadlikud eesmärkidest? Püstitatud eesmärkide ja tegelikult täidetavate ülesannete vahel puuduvad seosed Eesmärkide omavaheline seotus on puudulik (eesmärkide-riskide puu) Eesmärkide täitmise mõõtmine on puudulik või ei mõõdeta neid üldse 53

Strateegia ja eesmärgid (2) ► ► ► Ametlikult fikseeritud eesmärkide asemele on tulnud mitteformaalsed, eelmistega vastuolus olevad eesmärgid Kord sõnastatud eesmärgid on aja jooksul muutunud, käesolevaks ajaks aegunud Eesmärkide täitmine on muutunud omaette eesmärgiks Puudub arusaamine organisatsiooni missioonist ja visioonist ning minu panusest nendesse Strateegilisi eesmärgid on liiga palju finantsi poole kaldu ehk me mõõdame ainult rahaliselt mõõdetavaid eesmärke 54

Juhtimine (1) ► ► ► ► Riskijuhtimisele fookust ei panda või delegeeritakse juhtimine kaugele alla - Realiseerunud riskidest ei räägita - Riskide sisulist kontrollimist tegelikkuses ei toimu Keskastme juhtide juhtimisvõimekus on puudulik Keskastme juhtide kaasamine on puudulik Vastutus on hajutatud ja/või ei võta vastutust keegi Pikaajaline juht on ühtepidi kompetents kui ka risk Kehtib mentaliteet, et töötaja töötab juhi, mitte ettevõtte/organisatsiooni jaoks „Hippo“ juhid – juhid, kellel on alati õigus (autokraatlik juhtimisstiil) 55

Juhtimine (2) ► ► ► ► Kinnitatud reeglid ja tegelikkus on erinevad – meil on küll hulgaliselt kordasid, kuid paljud nendest tegelikkuses ei tööta või elavad oma elu Oluliseks peetakse ainult juhtimist ülevalt alla jättes tähelepanuta see kuidas juhitakse organisatsiooni läbi kõikide tasandite Juhid on pigem „BOSS“ tüüpi, mitte „LIIDER“ tüüpi Paljud juhid mitte ei kuula, vaid nad enam ei kuule! Organisatsioonisisene PROPAGANDA on nõrk Tulemus vs vastavus – kuidas me oma eesmärke saavutame Negatiivne tagasiside – ignoreerimine ja mitteaktsepteerimine 56

Juhtimine (3) ► ► ► Inimeste hindamine mingi arusaamatu väärtusmõõdupuu alusel versus faktide objektiivne kirjeldamine Kohtumõistmine versus probleemi lahendamisele suunatud orientatsioon Inimestesse üleolekuga suhtumine versus teiste inimeste kohtlemine ja respekteerimine enesele võrdsete indiviididena Dogmaatiline hoiak versus oma seisukoha katseline esitamine ja valmisolek võimalike vastuargumentide ja erinevate tõlgenduste või seisukohtade ärakuulamiseks Suhtumine, mis on külm, ükskõikne ja neutraalne versus empaatilise mõistmise väljendamine (teiste inimeste tunnetest arusaamine) Eelnimetatud aspektid määravad, milline on organisatsioonis koostööoskus, seega ka usaldus ja valmisolek info- ja teadmusjuhtimise põhimõtete järgimiseks. 57

Organisatsioon ► ► ► Organisatsiooni struktuur ei toeta eesmärkide täitmist Õigused ja vastutus on hajutatud ja/või üldse jaotamata Organisatsioonikultuur Organisatsiooni struktuuriga ei ole loodud formaalset süsteemi reeglitest, ülesannetest ja võimusuhetest – isegi kui need paigas on, siis võimusuhetes tekivad persoonipõhised erisused Organisatsiooni struktuuri vormistuslikud puudused (juhendid, reeglid, määrused, jne) Organisatsioon ei hinda ega mõõda järjepidevalt oma tegevusi (k. a kõrgema juhtimistasemete enesehindamine sisekontrollisüsteemi ja riskijuhtimise toimimise kohta) 58

Aruandlus ► ► ► Liiga palju on infovahetust takistavaid asjaolusid Eesmärkide täitmise jälgimine ei ole regulaarne Kogu organisatsioon ei ole alati ühes inforuumis Sageli on majandusaasta aruanne ainuke valitsemise aruandlusvorm Tulemusmõõdikuid hinnatakse vaid üks kord aastas Liiga palju aruandlust tippjuhtimise tasemel (liiga segmenteeritud ja detailne, mis viib fookuse ära üldiselt) 59

Kriisijuhtimine ► Kriisireguleerimine on organisatsiooni ohtude (riskid) kindlakstegemine ning meetodid (meetmed ja tegevused), mida organisatsioon kasutab nende ohtudega toimetulekuks. ► Kriisijuhtimine = riskijuhtimine ► Kriis makro või mikro tasemel 60

Kriisid Mikrotase ► Korruptsioon ja väärteod ► Juhtimiskriis ► Maksukeskkonna muutus ► Eriolukord ► Tehnoloogia kriis ► Maine ► Majanduslik rünne ► Küberrünne ► Boikott ja huvigrupid ► jne Makrotase ► Looduskatastroofid ► Tehnoloogilised kriisid ► Boikott ja huvigrupid ► Majanduslik rünne ► Juhtimis- või väärteokriis ► Pandeemia ► Poliitiline kriis ► jne 61

Kriisid meil ja mujal ► Johnson & Johnson Tylenol (1982) ► Ekspordikriis Venemaale (1997 -1998) ► Kinnisvaramull (2009 -2010) ► Volkswagen (2015) ► Danske (2018) ► M. V. Wool listeeria (2019) ► COVID 19 (2020) 62

Kriisijuhtimise kaks vaadet Kriis on kohal ► Määra töötajad ja isikud kes osalevad kriisijuhtimises ► Jaga võimalikult palju infot nende<ga kes kriisijuhtimisest osa võtavad ► Kommunikatsioon on oluline ► Kontrolli informatsiooni ► Selged vastutusvaldkonnad ja üks vastutaja ► Koosta lihtne ja arusaadav plaan konkreetse perioodi kohta ► KAHJU OHJAMNE ► Kuna muutujaid võib olla mitmeid siis ole paindlik ► Dokumenteeri kõik otsused ja eeldused mille baasil otsused tehakse ► OLE POSITIIVNE Kriis ei ole veel kohal ► Kaardista riskid ja meetmed ► Hinda riske ja meetmeid ► Koosta toimepidevuse ja taasteplaanid ► Kindlasti testi regulaarselt nende plaanide toimivust – veendu, et tegelikkus vastab sellele, mis kirjas ► Määra isikud ja töötajad kes peavad tagama, et need plaanid olemas ja tegelikkusega vastavuses oleks ► Kommunikatsioon on oluline – inimesed peavad teadma kuidas käituda „juhul kui“ ► OLE KONSERVATIIVNE 63

Ärimõju analüüs (1) ► ► BCI Good Practice Guidelines 2013 Ärimõju analüüs (BIA - Business Impact Analysis) on tegevuste ja neile äritegevuse katkemise poolt avalduda võiva mõju analüüsimise protsess Eelanalüüs - Ülevaade organisatsiooni toodetest ja teenustest ning nendega seotud protsessidest ja tegevustest - Kõigi toodete, teenuste, protsesside ja tegevuste maksimaalne lubatud töökatkestuse periood (MTPD - Maximum Tolerable Periood of Disruption) - Protsesside ja tegevuste ristsõltuvused - Järgnevast analüüsist kõrvale jäetavad tooted ja teenused Strateegiline ärimõju analüüs - Täpsustatud talitluspidevuse eesmärgid - Kooskõlastatud ja heaks kiidetud talitluspidevuse miinimumtase - Heaks kiidetud MTPD kõigi toodete ja teenuste jaoks - Aegkriitiliste toodete ja teenuste loetelu 64

Ärimõju analüüs (2) ► ► Taktikaline ärimõju analüüs - Aegkriitiliste toodete ja teenuste tagamiseks vajalikud kriitilised protsessid - Kriitiliste protsesside MTPD Tegevute ärimõju analüüs - Ülevaade välistest ja sisemistest ressurssidest, mis on aegkriitiliste toodete ja teenuste tagamiseks vajalikud § Inimesed § Hooned ja rahatised § IT, info, seadmed, materjalid ja muud vahendid § Tarnijad 65

Toimepidevuse strateegia ► ► ► ► Tegevuse hajutamine (diversification) - Tegevus toimub mitmes geograafilises asukohas (erineva riskiprofiiliga asukohas) Dubleerimine (replication) - Tegevust jätkatakse teises asukohas nn varukeskuses Ootereziim (standby) - Tegevust jätkatakse teises asukohas pärast vastavaid ettevalmistusi (infosüsteemide käivitamine, seadmete töörežiimi saavutamine jne) Taastamine pärast intsidenti (post incident acquisition) Do nothing Alltöövõtt (subcontracting) Kindlustamine (insurance) 66

Toimepidevuse plaani osad ► ► ► ► ► Objekt ja ulatus Eesmärk ja eeldused Kriisihalduse struktuur Kriisikomisjoni ülesanded Kriisikomisjoni koosseis Kriisikomisjoni liikmete vastutus Kriisikomisjoni kokkukutsumine Talitluspidevuse meetmete käivitamine Abi korraldamine ► ► ► ► 67 Kontaktide nimekiri Kriisistaabi asukoht (asukohad) Väline suhtlus (huvigrupid, partnerid, kliendid, avalikkus jt) Sisesuhtlus (töötajad, töötajate pereliikmed jt) Teiste valdkondade talitluspidevuse prioriteedid (kui on mitu talitluspidevuse plaani) Tegevuste loetelu (taastetööd jms) Tegevused tavaolukorda üleminekuks

Harjutamine, uuendamine ja täiendamine ► ► ► Diskussioon Kasutatakse mingis valdkonnas või aspektis lahenduse otsimiseks Lauaharjutus Diskussioon toimub etteantud stsenaariumi kohaselt etteantud ajaraamis. Simulatsioon (Command Post exercise) Harjutus toimub reaalsetel töökohtadel tavatööga paralleelselt või autonoomselt. Toimub reaalne kommunikatsioon reaalsete vahenditega ja reaalses keskkonnas. Live-harjutus Toimub reaalne sündmuse läbimängimine (nt evakuatsioon) ja hõlmab kogu organisatsiooni. Kulukas, tuleb arvestada seotud riskidega (reaalne teenuse katkestus, mainekahju). Test Konkreetse seadme või infosüsteemi taastamine. 68 ► ► Talitluspidevuse regulaarne üle vaatamine ja täiendamine peab olema integreeritud juhtimise protsessidesse (nt osa muudatuste juhtimisest). Muudatused on vajalikud või vajavad analüüsi: harjutuste tulemusel on selgunud puudused muudatused keskkonnas hindamise tulemused olulise mõjuga intsident ärimõju analüüsi tulemused on muutunud

Kriisis jäävad paremini ellu või kannavad vähem kahju need, kes on paremini ettevalmistunud ► Rahvusvaheline uuring ütleb, et juhtimiskultuuri mõju kriisijuhtimisse on tegelikult olulisem kui kindlustusest saadav majanduslik hüvitis. ► Ettevõtted ja organisatsioonid on just nii edukad kui edukalt nad suudavad juhtida oma riske ► Mikrotasemel kriiside juhtimise pädevus aitab paremini hakkama saada makrotasemel kriiside juhtimisega 69

Auditeerimine ja järelevalve § Kolme kaitseliini mudel § Auditikomitee vs siseaudiitor § Siseauditi korraldus ning nõukogu ja juhatuse rollid § Auditiliikide rakendamise näited § Välisaudiitori vastutusala 70

Kolme kaitseliini mudel (1) ► Kolme kaitseliini mudelis eristatakse kolme rühma või liini, mis on vajalikud, et tagada tõhus ja mõjus riskijuhtimine 1. kaitseliin ehk funktsioonid, mis võtavad ja juhivad riske ning rakendavad vajalikke meetmeid 2. kaitseliin ehk funktsioonid, mis jälgivad ja kontrollivad riske ning esimese kaitseliini rakendatud meetmete tõhusust ja toimimist 3. kaitseliin ehk funktsioonid, mis annavad sõltumatut kindlust ► Esimene kaitseliinina võtavad keskastme juhid riske ja juhivad neid - vastutavad oma valdkonnas tõhusa ja mõjusa sisekontrollisüsteemi toimimise eest - korraldavad riskijuhtimise ja kontrollitegevuste igapäevast elluviimist - tegelevad järjepidevalt protsessides ja kontrollides esinevate võimalike probleemidega - vastutavad vajalike parendustegevuste rakendamise eest ► Keskastme juhtkond toimib iseeneslikult esimese kaitseliinina, sest kontrollid on nende suuniste alusel süsteemidesse ja protsessidesse sisse kujundatud. 71

Kolme kaitseliini mudel (2) ► Teine kaitseliin kujundab ja/või jälgib esimese kaitseliini rakendatud kontrollmeetmeid - jälgib, et keskastme juhtkond kasutaks mõjusaid riskijuhtimismeetodeid - abistab riskiomanikke riskide määratlemisel ja asjakohase riskiga seotud teabe esitamisel kogu organisatsioonis - jälgib erinevaid spetsiifilisi riske, näiteks kehtivate seaduste ja määruste järgimist, keskkonnanõuete täitmist jne - jälgib finantsriske ja finantsaruandlusega seotud nõuete täitmist ► Teise kaitseliini funktsioonidel on esimese kaitseliini suhtes teatud sõltumatus, aga oma olemuselt on need juhtimisfunktsioonid. Teisel kaitseliinil on lubatud vajadusel otsene sekkumine sisekontrolli- ja riskijuhtimissüsteemide muutmisse ja arendamisse, mistõttu ei saa need juhtorganitele riskijuhtimise ja sisekontrolli kohta täiesti sõltumatut analüüsi pakkuda. Teise kaitseliini moodustavad näiteks: ohutus- ja turvalisus, keskkonnakaitse, kvaliteejuhtimine, õigusosakond, personaliosakond, IT-osakond, finantskontroller, sisekontrolliüksus ► ► 72

Kolme kaitseliini mudel (2) ► Kolmas kaitseliin annab kindlust, et ettevõtte valitsemine, riskijuhtimine ja sisekontroll on mõjusad, kontrollides muu hulgas esimese ja teise kaitseliini riskijuhtimise ja kontrolli alaste eesmärkide saavutamist - tegevuse tõhusus ja mõjusus, vara kaitse, aruandlusprotsesside usaldusväärsus ja terviklikkus ning seaduste, määruste, põhimõtete, kordade ja lepingutingimuste järgimine - riskijuhtimise ja sisekontrolli raamistiku osad, sealhulgas sisekontrollikeskkond - kõik organisatsiooni riskijuhtimise raamistiku osad (st riskide tuvastamine, hindamine ja nendele reageerimine), informatsioon ja teabevahetus ning seire - kogu ettevõte, selle osakonnad, tütarettevõtted, tegevusüksused ja funktsioonid, sealhulgas äriprotsessid 73

Kolme kaitseliini mudel (3) ► Soovitatavad praktikad - Igat kaitseliini peaks toetama asjakohased poliitikad ja rollide määratlused - Eri kaitseliinide riskijuhtimise ja kontrolli funktsioonid peaksid jagama oma teadmisi ja teavet, et kõigil funktsioonidel oleks lihtsam oma rolle tõhusalt täita - Kaitseliine ei tohiks ühendada ega koordineerida viisil, mis vähendab nende mõjusust - Olukordades, kus eri kaitseliinide funktsioonid on ühendatud, tuleks kõrgemat juhtorganit vastavast struktuurist ja selle mõjust teavitada - Siseauditita organisatsioonides peaks juhtkond ja/või kõrgem juhtorgan oma huvirühmadele teada andma ja selgitama, kuidas saada piisavat kindlust organisatsiooni valitsemise, riskijuhtimise ja kontrollistruktuuri mõjususe osas ► Siseauditi keelatud tegevused riskijuhtimise osas - Riskivalmiduse ja – taluvuse määratlemine - Riskijuhtimise protsessi kehtestamine ja sisseviimine - Riskide juhtimise tagamine - Vastutuse võtmine riski jõustumise tagajärgede osas - Vastutuse võtmine asjakohaste maandamismeetmete rakendamise eest - Vastutuse võtmine juhatuse asemel riskimeetmete rakendamisel 74

Kolme kaitseliini mudel (4) IIA. Three Lines of Defence 75

Kolme kaitseliini mudeli praktiline näide 76

Kombineeritud kindlus Kindluse andjad Riskid I liin Kontrollid Osak 1 Osak 2 II liin … Ohutus Turva III liin … Siseaudi t Välisaudit … Operatsiooni riskid Risk 1 Kontroll 1 P P Kontroll 2 Risk 2 O … O Kontroll 4 P … Annab kindlust P P P O P P Piisav kindlus Peaks andma kindlust Pw. C Moving forward with combined assurance 77 P O Ebapiisav kindlus

Siseauditi mõiste, lisatav väärtus ja ülesanne Mõiste ► Siseauditeerimine on sõltumatu, objektiivne, kindlust ja nõu andev tegevus, mis on kavandatud väärtuse lisamiseks ja organisatsiooni tegevuse täiustamiseks. Siseaudit aitab kaasa organisatsiooni eesmärkide saavutamisele kasutades süsteemset ja korrakohast lähenemist hindamaks ja täiustamaks riskide juhtimise, kontrolli- ja valitsemisprotsesside mõjusust. (IIA - The Institute of Internal Auditors) Lisatav väärtus ► Siseauditi funktsioon lisab väärtust organisatsioonile ja selle huvirühmadele, kui võtab arvesse strateegiaid, eesmärke ja riske, püüab pakkuda välja võimalusi valitsemise, riskijuhtimise ja kontrolliprotsesside tõhustamiseks ning annab objektiivselt asjakohast kindlust. (IIA) Ülesanne ► Hinnata majandustegevuses eksisteerivate riskide juhtimist, tegevuste ja kontrollsüsteemide efektiivsust, tõhusust ja mõjusust ning laiemalt juhtimisprotsessi tulemuslikkust. Nõustada ja toetada riski- ja protsessiomanikke tegevuste ja süsteemide parendamisel. 78

Siseauditi lisatav väärtus ► Selleks, et siseaudit saaks lisada organisatsioonile väärtust, tuleb järjepidevalt hinnata § millised teenuseid kliendid (huvigrupid) väärtustavad ja vajavad ning millised mitte? § kas ja kuidas selliseid teenuseid saab osutada? § mis on vajalik selleks, et teenuseid aktsepteeritava kvaliteediga osutada? ► Väärtust lisav siseaudit § annab huvigruppidele õigeaegset ja vajalikku informatsiooni selle kohta, kas organisatsiooni inimesed, kultuur, protsessid ja süsteemid võimaldavad või ei võimalda saavutada edu § annab õigeaegselt edasi kasulikku informatsiooni parendusvõimaluste ja –vajaduste kohta, mis võimaldab huvigruppidel teha vajalikke muudatusi 79

Siseauditi väärtuspakkumine 1. ► ► ► Kindlus = valitsemine, risk ja kontroll Asjatundlikkus = analüüsid, hinnangud, muutuste esilekutsumine Objektiivsus = ausameelsus, vastutavus, sõltumatus Kindlus SISEAUDITEERIMINE Asjatundlikkus Objektiivsus Audit Trail (R. Chambers) 80 2. Peamised huvigrupid § Auditikomitee § Nõukogu § Juhatus § Direktorid Muud huvigrupid § Keskastme juhid § Töötajad § Välisaudiitor § Aktsionärid § Regulaator § Avalikkus

Siseauditeerimine (1) ► Siseauditi roll on toetada organisatsiooni eesmärkide saavutamise, tõhustada ja parendada valitsemise, sisekontrolli ja riskijuhtimise protsesse ► Siseaudit korralduse põhialused - funktsionaalne alluvus nõukogule ja auditikomiteele ning administratiivne alluvus juhatusele - standardipõhisus (kutsetegevuse standard, aluspõhimõtted ja eetikakoodeks) - kvaliteedinõuded (kutsealane atesteerimine, kvaliteedi tagamise nõuded) ► Kvaliteedijuhtimissüsteemi audiitor ei ole siseaudiitor, vaid nende roll on pigem vastavuskontrolli teostamine Kvaliteediauditeerimist korraldab reeglina kvaliteedijuht ning kvaliteedisüsteemi auditeerimine ei allu siseauditeerimise standarditele, kuigi nende põhimõtted on sarnased ► 81

Siseauditeerimine (2) ► Siseauditi tegutseb riskipõhise tööplaani alusel ning peamiselt hindab - Valitsemisprotsesse § strateegiliste ja tegevusalaste otsuste vastuvõtmine § järelevalve riskijuhtimise ja kontrollide üle § organisatsioonis asjakohaste väärtuste ja eetika edendamine § organisatsioonis mõjusa tulemusjuhtimise ja vastutavuse tagamine § riskide ja kontrolliga seotud informatsiooni edastamine asjakohastele üksustele § tegevuse koordineerimine ja teabevahetus kõrgema juhtorgani, sise- ja välisaudiitorite, teiste kindlusandjate ning juhtkonna vahel - Riskivaldkondi ning kontrollide adekvaatsust ja mõjusust arvestades § organisatsiooni strateegiliste eesmärkide saavutamist § finants- ja tegevusalase informatsiooni usaldusväärsust ning täielikkust § tegevuse ja programmide mõjusust ning tõhusust § vara kaitset § vastavust seadustele, regulatsioonidele, poliitikatele, protseduuridele ja lepingutel 82

Siseauditeerimine (3) ► Siseauditi teenuste põhiliigitus - Kindlustandvad teenused § Hõlmavad siseaudiitori poolset objektiivset tõendusmaterjali hindamist eesmärgiga esitada arvamusi või järeldusi funktsiooni, protsessi, tegevuse, süsteemi või muu auditi objekti kohta § Kindlustandva töö olemuse ja ulatuse määratleb siseaudiitor arvestades juhatuse, nõukogu või auditikomitee ootusi - Nõuandvad teenused § Olemuslikult nõustavat laadi töövõtud ja neid osutatakse üldiselt tellija (juhatus, nõukogu, auditikomitee) soovil § Nõuandva teenuse sisu ja olemus määratletakse kokkuleppel tellijaga ► Auditeerimine on loogiline protsess, mis hõlmab mõtlemist ja seostest arusaamist ehk tuleb kasutada tervet mõistust ja seostamise oskust. Auditeerimine ei ole rutiinne töö. Auditeerimisel on oluline aru saada, miks mingeid asju tehakse ja miks neid asju tehakse vastaval viisil. Selleks, et olla hea audiitor peab aeg-ajalt kasutama kujutlusvõimet ja loovat lähenemist. ► ► 83

Siseauditi tegevuse alused (1) 1000 – EESMÄRK, ÕIGUSED JA KOHUSTUSED NING VASTUTUS ► Siseauditi funktsiooni eesmärk, õigused ja kohustused ning vastutus peavad olema määratletud põhimääruses ning olema kooskõlas siseauditi missiooniga ja rahvusvaheliste kutsetegevuse raampõhimõtete kohustuslike elementidega (siseauditeerimise kutsetegevuse aluspõhimõtted, eetikakoodeks, Standardid ja siseauditeerimise definitsioon). ► Siseauditi juht peab põhimääruse perioodiliselt üle vaatama ning esitama selle tippjuhtkonnale ja kõrgemale juhtorganile heakskiitmiseks. 1010 – KOHUSTUSLIKE JUHISTE TUNNUSTAMINE SISEAUDITI PÕHIMÄÄRUSES ► Siseauditi põhimääruses tuleb tunnustada siseauditeerimise kutsetegevuse aluspõhimõtete, eetikakoodeksi, Standardite ja siseauditeerimise definitsiooni kohustuslikku olemust. ► Siseauditi põhimääruse lõplik heakskiitja on kõrgem juhtorgan. Praktiline tõlgendus: ► Siseauditi põhimääruses on defineeritud siseauditi funktsiooni eesmärk volitused ja vastutus funktsiooni positsiooni organisatsioonis siseauditi juhi kõrgemale juhtorganile funktsionaalne alluvus volitused ligipääsuks töö tegemiseks vajalikele andmetele, personalile ja varadele siseauditi funktsiooni tegevusulatus 84

Siseauditi tegevuse alused (2) 1100 – SÕLTUMATUS JA OBJEKTIIVSUS ► Siseauditi funktsioon peab olema sõltumatu ja siseaudiitorid peavad oma töö tegemisel olema objektiivsed. Praktiline tõlgendus: ► Siseauditi juhil peab olema otsene ja piiramatu juurdepääs tippjuhtkonnale ning kõrgemale juhtorganile, mida on võimalik saavutada läbi kahese aruandlusliini. ► Objektiivsus nõuab, et siseaudiitorid ei alluta oma otsustusi auditit puudutavates küsimustes kellegi teise omadele. 1110 – ORGANISATSIOONILINE SÕLTUMATUS ► Siseauditi juht peab alluma vahetult sellisele tasandile organisatsioonis, mis võimaldab siseauditi funktsioonil oma kohustusi täita. Praktiline tõlgendus: ► Kõrgemale juhtorganile funktsionaalse alluvuse näideteks on kõrgema juhtorgani poolne siseauditi põhimääruse heakskiitmine riskipõhise siseauditi tööplaani heakskiitmine siseauditi eelarve ja ressursijaotuse plaani heakskiitmine siseauditi juhilt siseauditi funktsiooni tööplaani täitmise ja muu aruandluse saamine siseauditi juhi värbamist ning vabastamist puudutavate otsuste heakskiitmine siseauditi juhi tasustamise heakskiitmine juhtkonnalt ning siseauditi juhilt asjakohase info küsitlemine, et määrata kindlaks, kas eksisteerib asjakohatuid auditi ulatuse või ressursipiiranguid 85

Siseauditi põhimääruse väljavõte (1) Osakond oma põhiülesannete täitmiseks: analüüsib ja hindab finants- ja operatiivse informatsiooni usaldusväärtust, sh. raamatupidamise ja aruandluse korraldust; annab hinnangu rakendatavatele sisekontrollimehhanismidele ja nende võimele maandada riske ning teeb vajadusel ettevõtte ja seotud ettevõtete nõukogule ja juhatusele ettepanekuid sisekontrollisüsteemi täiustamiseks ja parendamiseks; analüüsib ja hindab tegevuste ja programmide mõjusust ja tõhusust; analüüsib ja hindab ettevõtte ja seotud ettevõtete töökorraldust ning teeb vajadusel ettepanekuid selle muutmiseks; hindab vara säilimise tagamiseks rakendatud meetmeid ning varade kasutamise säästlikkust, tõhusust ja mõjusust ettevõttes ja seotud ettevõtetes; koordineerib välisauditite läbiviimist lähtuvalt välisaudiitori valiku ja välisaudiitorilt ostetavate teenuste põhimõtetest; koostab ettevõtte prioriteetide ja eesmärkidega kooskõlas oleva riskipõhise tööplaani, arvestades juhatuse ettepanekutega, mis kooskõlastatakse auditikomiteega ning kinnitatakse nõukogu poolt; annab kord poolaastas ettevõtte nõukogule, auditikomiteele ja kord kvartalis juhatusele ülevaate perioodi jooksul ettevõttes läbiviidud audititest, tehtud tähelepanekutest ja järeldustest ning annab tagasisidet ettevõtte ja seotud ettevõtete majandustegevusele ja sisekontrollisüsteemile; koostab iga auditi või teostatud kontrolli kohta kirjaliku lõpparuande või memo; viib läbi pettusekahtluse korral ja kokkuleppel nõukoguga ja auditikomiteega ja/või juhatusega erakorralisi kontrolli- ja menetlustoiminguid ning kuriteokahtluse korral teeb eelnevalt nõukogu ja auditikomiteega ja/või juhatusega kooskõlastatult avaldusi politseile. Kokkuleppe ja kooskõlastamise kohustus ei kehti isikute suhtes, kelle tegevusega seoses eeltoodud toiminguid algatatakse. 86

Siseauditi põhimääruse väljavõte (2) Osakonna tööd juhib osakonna juhataja, kes koordineerib ja korraldab osakonna pädevusse kuuluvate ülesannete täitmist vastavalt regulatsioonidele, siseaudiitorite standarditele ja tegevusjuhistele, käesolevale põhimäärusele ja oma ametijuhendile. Osakonna juhatajaga sõlmib töölepingu juhatuse esimees nõukogu esimehe ettepanekul ja suunistel. Osakonna juhataja: vastutab Osakonnale pandud ülesannete täitmise eest ja annab sellest aru nõukogule, auditikomiteele ja kokkulepitud ülesannete osas juhatusele või nende poolt määratud isikule; määrab Osakonna tööjaotuse; teostab järelevalvet osakonna töötajate tööülesannete ja tööplaanide täitmise üle; kehtestab vastavalt vajadusele riskijuhtimise ja siseauditi osakonna töökorraldust reguleerivaid protseduure ja juhendmaterjale; täidab temale antud juhised ja korraldusi või teavitab nende täitmise takistustest nõukogu ja auditikomiteed ja/või juhatuse liikmeid; allkirjastab ja viseerib Osakonnas koostatud dokumendid; teeb nõukogu ja juhatuse esimehele ettepanekuid Osakonna organisatsioonilise struktuuri, töökorralduse korraldamise, Osakonna isikkoosseisu, töölepingute muutmise, töötasude ja lisatasude ning hoiatuste määramise kohta, mis kinnitatakse nõukogu esimehe poolt; osakonna isikkoosseisu suurenedes üle kahe töötaja määrab eelnevalt kooskõlastatult nõukogu esimehe ja juhatusega töötajate töölepingute tingimused, töötajate töötasude ja lisatasude suurused ning hoiatused; täidab muid ettevõtte nõukogu, auditikomitee pandud ja juhatuse tellitud ülesandeid, mis ei kahjusta sõltumatust ega objektiivsust. 87

Siseauditi protsess Info kogumine ja üldine analüüs Riskide hindamine ja võtmekontrollide selgitamine (riskiregister, täiendavad riskid ja/või riskitegurid) Auditi eesmärgid, kontrollküsimused ja protseduurid Võtmekontrollide adekvaatsuse hindamine Auditi elektrooniline kaust Riskide ja kontrollide register Auditi plaan Mõjususe test? TööTööpaberid Ei Jah Võtmekontrollide mõjususe testimine Meetmete staatusaruanne Tp-de tööleht Aruanne Jah Täiendav test? Ei Aruande arutelu juhatusega ja vastutavate isikutega Tähepanekute ja soovituste arutelu ning esialgsetes meetmetes kokku leppimine (vastutavad isikud) Lõpparuande või kokkuvõtte koostamine 88 Tähelepanekute selgitamine ja kirjeldamine (sh juurpõhjuste selgitamine)

Tähelepanekute süstematiseerimine (juurpõhjuste järgi) Juurdpõhjused ja vajalikud meetmed Esialgsed tähelepanekud 1 1 2 2 3 3 4 4 5 5 6 7 8 9 Kordab! 10 89

Tähelepaneku olulisus Kui olulise mõjuga on risk? RISKIHINNANG Kui olulise puudusega on tegemist? MADAL TINGIMUSLIK KRIITILINE (MITTERAHULDAV) KESKMINE OLULINE KRIITILINE MITTERAHULDAV (OLULISELT PARANDAMIST VAJAV) KESKMINE OLULINE VÄHENE KESKMINE MEETME(TE) HINNANG RAHULDAV (PARANDAMIST VAJAV) 90

Parendustegevustes kokkuleppimine – vana lähenemine Tähelepanekud Soovitused Kokkulepitud tegevuskava Juhtkonnapoolne kommenteerimine 91

Parendustegevustes kokkuleppimine – uus lähenemine Tähelepanekud Soovitused Kokkulepitud tegevuskava Juhtkonnapoolne kommenteerimine 92

Siseauditi tegevuse ulatus PÕHIFUNKTSIOONID 1. 0 Raudtee korrashoid 2. 0 STB süsteemide korrashoid 3. 0 Elektrivarustus TUGIFUNKTSIOONID 4. 0 Liikluskorraldus 2. 1. 1 STB seadmete ja 1. 1. 1 Rööbasteede seisukorra süsteemide seisukorra järelevalve ja korrashoid 3. 1. 1 Elektriseadmete ja veoalajaamade hooldus ja remont 1. 1. 2 Sildade ja truupide 2. 2. 1 Andmeside-võrgu (raudteerajatiste) järelevalve haldus ja hooldus 3. 1. 2 Kontaktvõrgu hooldus ja 4. 1. 2 Vedude ja veomahtude remont arvestus Materjalide vastuvõtmine, ladustamine ja väljastamine Raudtee intsidentide ja vahejuhtumite menetlemine 2. 2. 2 Side-magistraalide ja 1. 2. 1 Rööbasteede plaaniline fiiberoptiliste magistraalide teeremont ja hooldusremont haldus ja hooldus 3. 1. 3 Elektrivõrgu hooldus ja 4. 2. 1 Reisijate-veoalaste remont tegevuste korraldamine Pealisehituse materjalide tootmine (rööbaste kokkukeevitamine) Ohutus- ja transpordiriskide hindamine 1. 2. 2 Sildade ja truupide (raudteerajatiste) plaaniline remont ja hooldusremont 4. 1. 1 Liiklusgraafiku koostamine ja liikluse korraldamine 6. 0 Raudteeohutuse järelevalve 5. 0 Varustamine 2. 3. 1 Raadioside võrgu haldus 3. 2. 1 Äri- ja eraelektritarbijate 4. 3. 1 Jaama- ja manöövritöö ja hooldus elektriarvestus korraldamine 1. 3. 1 Rööbasteede remondi- 2. 3. 2 Veeremi kontroll- ja ja ehitustööde pardasüsteemide haldus ja projektijuhtimine hooldus 7. 0 Finantsarvestus ja planeerimine Regulatiivsete ohutusnõudete Raamatupidamisarvestus Materjalide varude, tootmise jälgimine ja nõuete (jooksev raamatupidamine, ja logistika planeerimine rakendamine maksuarvestus) 8. 0 Hankimine 12. 0 Tehnika- ja kinnisvara haldamine 11. 0 Turvalisuse tagamine Füüsilise, läbipääsu- ja tehniliste valvesüsteemide haldamine Tehnikapargi, sh eriveerimi ja high-rail tehnika, haldamine ja hooldamine Müügiarvete väljastamine (k. a debitoorse võlgnevuse Hangete läbiviimine juhtimine) Turvaalaste juhtumite menetlemine Sõidukite haldus ja hooldus Väljamaksete teostamine (k. a ostuarvete menetlemine) Pettuseriskide hindamine Kinnisvara haldamine Pealisehituse materjalide demontaaz, utiliseerimine ja Ohutusauditite läbiviimine realiseerimine Eelarvestamine ja controlling Päästerong Maakorraldus ja planeeringute menetlemine Hangete planeerimine ja ettevalmistamine 4. 4. 1 Piiriteenused Tehnika ja raudteeveeremi haldamine ja hooldamine Infrastruktuuri kasutustasu arvestus 2. 4. 1 STB seadmete komponentide haldus ja hooldus Finantsaruandlus 2. 4. 2 Tarkvara arendus ja konfigureerimine Investeeringute planeerimine 93

Auditi ulatus ja sügavus Sügavus Detailne kontroll Juurdlus Võtmekontrollide adekvaatsus ja mõjusus Audit Võtmekontrollide adekvaatsus Ülevaatus Ulatus Üksikud riskid Riskivaldkonnad Lean Auditing (J. Paterson) 94 Kõik riskid

Auditi lähenemisviis Vastavuse hindamine ► Vastavusauditi eesmärk on anda hinnang, kas auditeeritava tegevus, majandustehingud ja seda puudutav informatsioon on vastavuses ettenähtud regulatsioonidega. ► Tuleb välja valida vastavusnõuded, mis vastavad kahele põhitingimusele: § Vastavusnõue peab ühelt poolt olema piisavalt konkreetne ja selge, et see lubab tuvastada rikkumist; § Teiselt poolt peab vastavusnõue olema selline, mille eiramine võib kaasa tuua kahju. Tulemuse hindamine ► Lihtsustatult on tulemusauditi eesmärk hinnata, kas tehakse õigeid asju õigesti ja seejuures mõistlike kuludega. ► Üldiselt loominguline ja mõneti subjektiivne auditi liik. Olulised tegurid on eelkõige audiitori professionaalne hindamisvõime ja terve mõistus. ► Tulemusauditi lähenemisviisid: § Süsteemi toimimine – korralduse ja tegevuse hindamine (juhul kui ei mõõdeta tulemust); § Tulemuse hindamine – tegevuse oodatud ja tegelike tulemuste võrdlemine; § Probleemi analüüs – teadaoleva probleemi (kõrvalekalle kriteeriumist või eesmärgist) põhjuste analüüs. 95

Peamised auditiliigid (1) ► Siseauditi peamised objektid - valitsemise ja kontrollikeskkond - riskide määratlemise, hindamise ja juhtimise protsessid - kontrollipoliitikad, -protseduurid ja -tegevused - info- ja kommunikatsioonisüsteemide täielikkus ja õigsus - seire- ja hindamistegevused ► Vastavusaudit (compliance) hindab vastavust - püstitatud eesmärkidele - kinnitatud protseduurireeglitele, eeskirjadele ja juhenditele - kehtivatele õigusaktidele (ja heale tavale) ► Protsessiaudit keskendub konkreetsele protsessile või selle osadele - protsessi korraldus, ülesehitus ja reguleeritus - protsessi jälgimine ja tulemuse mõõtmine - protsessi seosed ja mõju - ressursside kasutamine - kvaliteet ja toimepidevuse tagamine - probleemi analüüs jm 96

Peamised auditiliigid (2) ► Juhtimisaudit - hindab ja analüüsib hea juhtimistava põhimõtetest lähtuvalt organisatsiooni või üksuse juhtimise korraldust, struktuuri, töökorraldust, ülesannete ja vastutuse jaotust, juhtimiskontrolle, tulemuste mõõtmist, ressursside planeerimist ja muid juhtimise aspekte ► Tulemusaudit (3 E audit) hindab, kas organisatsioon tegeleb õige asjaga ning kas seda tehakse õigesti ja mõistlike kuludega - Säästlikkust (economy) § Võrreldakse protsessi sisendit etteantud kriteeriumitega (soovitavalt välised). § Põhiküsimus: Kas vaadeldud asja, teenust vms oleks saanud väiksema ressursikuluga? - Tõhusust (efficiency) § Võrreldakse protsessi väljundit etteantud kriteeriumitega. § Põhiküsimus: Kas ressursse on kasutatud viisil, mis tagab kõige paremini soovitud mõju ehk pikaajaliste eesmärkide saavutamise? - Mõjusust (effectiveness) § Võrreldakse tulemust planeeritud mõjuga (tegelik mõju). § Põhiküsimus: Kas planeeritud eesmärk või soovitav mõju on saavutatud? 97

Peamised auditiliigid (3) ► Infotehnoloogia auditi (IT audit) - Arvutisüsteemide ja võrguaudit - IT paigalduse audit (sh ruumide füüsiline turve) - Süsteemiarenduse audit - IT juhtimise, halduse ja strateegia audit (raha ja plaanid) - IT protsessi audit (arendus, testimine, juurutamine, käitamine, hooldus, varundus, tugi, intsidendihaldus, seire) - Muudatuste halduse audit (plaanimine, juururamine, testimine jm) - Infoturbe audit - Turvatestimine - IT vastavusaudit (ISKE audit) 98

Auditikomitee tegevuse alused (Aud. S § 98) ► Auditikomitee on selle liikmed valinud, kinnitanud või nimetanud organi või isiku nõuandev organ, mille ülesandeks on jälgida ja analüüsida 1) rahandusinformatsiooni töötlemist (eelarvestamine, raamatupidamise korraldus) 2) riskijuhtimise ja sisekontrolli tõhusust 3) raamatupidamise aastaaruande või konsolideeritud aruande audiitorkontrolli protsessi 4) audiitorettevõtja ja seaduse alusel audiitorühingut esindava vandeaudiitori sõltumatust ja tegevuse vastavust nõuetele ► Auditikomitee kohustuseks anda selle liikmed valinud organile või nimetanud isikule ülevaade kohustusliku auditi tulemustest ja oma tööst ning teha ettepanekuid vähemalt järgmistes küsimustes 1) audiitorettevõtja nimetamine või tagasikutsumine 2) siseaudiitori nimetamine või tagasikutsumine 3) probleemide ja ebatõhususe vältimine või kõrvaldamine organisatsioonis 4) vastavus õigusaktidele ja kutsetegevuse heale tavale 99

Auditikomitee põhiülesanded ► Auditkomitee peamised ülesanded - aidata kaasa organisatsiooni sisekontrollisüsteemi parendamisele ja tõhustamisele - jälgida ja hinnata organisatsioonist välja suunatud aruandluse koostamise ja esitamise protsessi - jälgida ja hinnata organisatsiooni tegevuse kooskõla ja vastavust regulatsioonidele, heale tavale, eetilistele normidele - parandada informatsioonivahetust ja koostööd omanike, nõukogu, juhatuse, sise- ja välisaudiitorite vahel - lahendada võimalikke eriarvamusi siseaudiitori ja juhtkonna vahel - luua avatud ja usalduslik suhtluskeskkond siseaudiitoriga töö tulemuste ja esile kerkinud probleemide arutamiseks - toetada siseaudiitorit oluliste probleemide tõstatamisel ja käsitlemisel ning anda siseaudiitorile vajalikku kindlust põhiülesannete täitmiseks 100

Auditikomitee aastaplaan 101

Välisaudit ehk finantsaudit ► Välisauditi ehk finantsauditi eesmärk on hinnata finantsaruannetes kajastatud raamatupidamisandmete usaldusväärsust ja korrektsust ning tehtud tehingute seaduslikkust. ► Finantsauditi põhialused 1. Põhjendatud kindlustunne § Kindluse omandamine, et aruandes pole olulist viga (mitte absoluutne hinnang, vaid teatud tõenäosusega) 2. Olulisus § Auditi läbiviimisel määratakse oluline viga, mis mõjutab aruande kasutajat 3. Juhtkonna väited ehk “õigesti ja õiglaselt“ § Juhtkonnapoolsed konkreetselt sõnastatud või muul viisil tehtud esitused, mis sisalduvad raamatupidamisaruannetes § Finantsaudit kui varade, kohustuste, kulude ja tulude eelnimetatud väidetele vastavuse kontrollimine (juhtkond koostab raamatupidamisaruande kasutades väiteid ja audiitor kontrollib nende paikapidavust) 102

Finantsauditi juhtkonna väited ► Väited tehinguklasside ja sündmuste kohta: - toimumine – tehingud ja sündmused, mis on kajastatud, on toimunud ja puudutavad majandusüksust; - täielikkus – kõik tehingud ja sündmused, mis oleksid pidanud olema kajastatud, on kajastatud; - täpsus – kajastatud tehingute ja sündmustega seotud summad ja muud andmed on asjakohaselt kajastatud; - periodiseerimine – tehingud ja sündmused on kajastatud õiges arvestusperioodis; - klassifitseerimine – tehingud ja sündmused on kajastatud nõuetekohastel kontodel. ► Väited kontosaldode kohta perioodi lõpul: - olemasolu – varad, kohustised ja huvid omakapitalis on olemas; - õigused ja kohustused – majandusüksus on varade omanik või kontrollib õigusi varadele, ja kohustised on majandusüksuse kohustused; - täielikkus – kõik varad, kohustised ja huvid omakapitalis, mis oleksid pidanud olema kajastatud, on kajastatud; - väärtuse hindamine ja jaotus – varad, kohustised ja huvid omakapitalis sisalduvad finantsaruannetes asjakohastes summades ja sellest tulenevad mis tahes väärtuse hindamise või jaotuse korrigeerimised on asjakohaselt kajastatud. 103

Finantsauditi juhtkonna väited ► Väited esitusviisi ja informatsiooni avalikustamise kohta: - toimumine ning õigused ja kohustused – sündmused, tehingud ja muud asjaolud, mille kohta informatsiooni on avalikustatud, on toimunud ja puudutavad majandusüksust; - täielikkus – kogu avalikustatav informatsioon, mis oleks pidanud finantsaruannetes sisalduma, sisaldub neis; - klassifitseerimine ja arusaadavus – finantsinformatsioon on asjakohaselt esitatud ja kirjeldatud ning avalikustatud informatsioon on selgelt väljendatud; - täpsus ja väärtuse hindamine – finants- ja muu informatsioon on avalikustatud õiglaselt ja asjakohastes summades. 104

Auditi kindluse mudel Auditi kindlus = Olemuslik kindlus + Kontrollikindlus + Avastamiskindlus 95% kindlust = kindluse faktor 3 (1+1+1) Jah Ei Olemuslik risk? Olemuslik kindlus A = 0 A = 1. 0 Kontrollimeetmed testitud? Kontrollimeetmed toimivad? Ei Ei Jah Kontrollimeetmed testitud? Kontrollimeetmed toimivad? Jah Kontrollidest saadav kindlus A = 2. 3 A = 1. 3 Ei Ei Minimaalsed substantiivsed testid Ulatuslikud substantiivsed testid Minimaalsed substantiivsed testid Standardsed kontolltoimingud A = 0. 7 A = 3. 0 A = 0. 7 A = 2. 0 105

Auditi olulisuse määramine Aruande tasemel olulisus § 5 -10% tulumaksueelsest kasumist § 0, 5 -3% müügitulust § 1 -5% netovarast § 0, 25%-1, 5% bilansimahust Näide. Müügitulu on 50 mln eurot, kasum 5 mln eurot ja bilansimaht 20 mln eurot. Eeldatav võimaliku vea määr ei ületa 15%, tühiseks peetakse vigu, mis jäävad alla 5% olulisuse. a) auditi olulisus aruande tasemel 5 000 x 0, 1 = 500 000 b) läbiviimise olulisus 500 000 x 0, 85 = 425 000 c) vigade tuvastamise piir 500 000 x 0, 05 = 25 000 Valim = 5 000 / 425 000 * kindluse faktor 0, 7 = 8, 2 106

Sisekontrollisüsteem § Sisekontrollisüsteemi 17 põhimõtet § Sisekontrollisüsteemi funktsioonide rakendamise näited 107

Sisekontrollisüsteem seadustes ► Äriseadustik (§ 306 lg 7): Juhatus tagab vajalike abinõude rakendamise, eelkõige sisekontrolli korraldamise, et avastada võimalikult varakult ettevõtte tegutsemist ohustavad asjaolud. ► Vabariigi valitsuse seadus (§ 921): (1) Sisekontrolli süsteem on /…/ abinõude kompleks, mis tagab 1) õigusaktide järgimise; 2) vara kaitstuse raiskamise, ebasihipärase kasutamise, ebakompetentse juhtimise ja muust sarnasest tingitud kahju eest; 3) asutuse tegevuse otstarbekuse asutuse ülesannete täitmisel; 4) asutuse tegevusest tõese, õigeaegse ja usaldusväärse informatsiooni kogumise, säilitamise ja avaldamise. (2) Sisekontrollisüsteemi valitsusasutuses ja valitsusasutuse hallatavas riigiasutuses rakendab ja selle tulemuslikkuse eest vastutab asutuse juht. ► Lisaks RVS, KVS, RHS, Kindl. TS, KAS … 108

Sisekontrollisüsteemi mõiste ► Sisekontroll on terviklik protsess, mida rakendavad juhtkond ja töötajad ning mille eesmärk on anda mõistlikku kindlust strateegiliste ja tegevuseesmärkide saavutamise suhtes. ► Strateegilised eesmärgid on äristrateegia realiseerimisega seotud eesmärgid (turupositsioon, innovatsioon, tooted ja teenused, personal, finantseerimine jm). ► Tegevuseesmärgid on seotud protsessidega, mida rakendatakse strateegiliste eesmärkide saavutamist: § Operatiivsed eesmärgid hõlmavad ressursside kasutamise tõhusust ja mõjusust ning varade kaitstust; § Aruandluse eesmärgid on seotud operatiivse- ja finantsalase informatsioon olemasolu ja esitamisega (nii sisemine kui ka väline); § Vastavuse eesmärgid hõlmavad tegevustega seonduvaid seadusi, regulatsioone, poliitikaid ja protsesse. ► Sisekontroll peab andma mõistlikku kindlust, et riskid hoitakse aktsepteeritaval tasemel või et ei võeta põhjendamatuid riske. COSO - The Committee of Sponsoring Organizations of the Treadway Commission 109

Sisekontrollisüsteemi komponendid 1. Kontrollikeskkond – standardid, struktuurid, raamistikud, poliitikad, protseduurid, mis suunavad töötajaid ülesannete ja kohustuste täitmisel 2. Riskide hindamine – organisatsiooni tegevusega kaasnevate riskide tuvastamine, analüüs ja hindamine ning juhtimine 3. Kontrolltegevused – mehhanismid ja protseduurid, mille kaudu omandatakse mõistlikku kindlust, et eesmärgid saavutatakse 4. Informatsioon ja kommunikatsioon – asjakohane ja õigeaegne informatsioon ja kommunikatsioon, mis toetab kõikide komponentide koostoimet ja eesmärkide saavutamist 5. Monitooring – sisekontrollisüsteemi toimimise pidev ja eraldiseisev hindamine COSO - The Committee of Sponsoring Organizations of the Treadway Commission 110

Sisekontrollisüsteemi 17 põhimõtet Riskide hindamine Kontrollikeskkond 1. 2. 3. Ausus ja eetilised väärtused Kontrollid 6. Selged eesmärgid 7. Riskide kaardistus ja 11. Tehnoloogia kontrollimine analüüs Juhtimise sõltumatus Struktuurid, 8. vastutus, aruandlus 9. 4. Pühendumus ja pädevus 5. Määratud vastutus Pettuse ennetus 10. Kontrollide pidev arendamine 12. Korrad ja protseduurid Muutuste juhtimine 111 Info ja Kommunikatsioon 13. Info kogumine ja analüüs 14. Tõhus sisemine kommunikatsioon 15. Tõhus väline kommunikatsioon Monitooring 16. SKS süsteemi pidev hindamine 17. Pidev tagasiside kõrgemale juhtkonnale puuduste ja parenduste osas

Sisekontrollisüsteemi olulisemad funktsioonid ► ► ► Kohustuste lahusus Määratud volitused, õigused ja kohustused Kontrollid (IT põhised, füüsiline, controlling, jne) Koolitus Siseaudit Välisaudit (finantsaudit, tehingute seaduslikkuse kontroll jne) Vastavuskontroll Juhtimisaruandlus Riskide juhtimine Juhtimissüsteemid Dokumendihaldus Avatud kommunikatsioon (k. a väärtegudest teavitamise kanal) 112

Näited sisekontrollisüsteemi põhimõtete rakendamisest Eetika ja väärtused ► Väärtuste konkurss ► Väärtuste valimine ► Väärtuste lansseerimine ja infopäevad ► Väärtustel tugineva eetikareeglite koostamine ► Eetikareeglite tutvustamine ► Uute töötajate programm ► Põhimõte, et tegevus peab olema eeskujuks 113

Näited sisekontrollisüsteemi põhimõtete rakendamisest Eesmärkide seadmine ja nende täitmise monitooring ► Visiooni ja missiooni määramine ► Strateegiliste suundade valimine ► Strateegiliste suundade kooskõlastamine omaniku/asutaja ootustega ► Iga-aastane tegevuseesmärkide määramine ► Eesmärkide täitmise regulaarne jälgimine ► Riskipõhiste maandamismeetmete rakendamise sidumine töötajate isiklike eesmärkidega 114

Näited sisekontrollisüsteemi põhimõtete rakendamisest Juhtimine ja juhtimisaruandlus ► ► ► Regulaarne iga-aastane riskide ja kontrollide hindamine Regulaarne vastutusvaldkondade tegevuste ülevaatus juhatuses Iganädalane ettevõtteülene hankekoosolek (määratud töötajad kinnitavad hanke algatamise ja tulemuste kinnitamise enne juhatusse saatmist) Pidev sisekontrollisüsteemi komponentide arutelu ja ülevaatuse tegemine Auditikomitees (omaniku/asutaja esindajatele) Sisekontrollisüsteemi toimimise regulaarne hindamine (sh enesehindamine, riskide ja kontrollide hindamistulemuste muutuste analüüs, auditite tähelepanekute olulisuse analüüs ja muutus, soovituste rakendamise staatused, juhtumite ja intsidentide analüüs) Olulisemate riskide ülevaade juhatuses, Auditikomitees ja Nõukogus Juhtumite ja intsidentide laiem registreerimine (nt töövõtjapoolne lepingutingimuste rikkumine, ebaadekvaatsed hanketingimused, jne) Lepingute täitmise aruandlus finantsarvestusprogrammis ja lepingu lõpetamise aruanne Koordineeritud varade ja varude realiseerimise protseduur ja volitus Kogu juhtimisinfo on Power BI-s Hanke- ja investeeringuteplaani täitmise regulaarne aruandlus 115

Näited sisekontrollisüsteemi põhimõtete rakendamisest Muud initsiatiivid, mida kaaluda ► Konsultatsioon ja koostöö Korruptsioonivaba Eesti´ga ► Pettuse ja korruptsiooniriskide tuvastamine riskiregistris ► Regulaarne ostu- ja müügireskontro analüüs (k. a raha sihtotstarbe kasutamine) ► Koostöö loomine õiguskaitseametitega ► Pikaajalise koolitusplaani (korruptsiooniennetus ja riskide juhtimine) kehtestamine ► Vastutuste määramine ja hajutamine ► Pisteline taustakontroll töötajatele (lubatud ulatuses ja avalikud andmebaasid) ► Väärkäitumisest teavitamise ja menetlemise protsess ► Huvide konflikti vältimine ja huvide regulaarne deklareerimine 116

Kokkuvõte toimivatest sisekontrollisüsteemi komponentidest Tõhus sisekontrollisüsteem ► ► ► ► Regulaarne sisekontrollisüsteemi hindamine Tegevustel peavad olema selged ja konkreetsed kontrollid ning ära karda kontrollida Läbipaistvus ja põhjenda juhtimisotsuseid Dokumenteeri juhtimisotsused ja tegevused Selged vastutus Kõikidele ilma erandite kehtivad reeglid VÄÄRTUSPÕHINE JUHTIMINE – juhid peavad näitama eeskuju Infovahetus ja kommunikatsioon Süsteemne juhtimisaruandlus Selged eesmärgid Välista juhtimise monopol Kasuta võimalusel rotatsiooni (juhid, koostööpartnerid) (sunnib samal ajal tegelema ka laiemalt kompetentsi tõstmisega) Kaasake väliseid osapooli pettuste ja korruptsiooniennetusega seotud meetmete väljatöötamiseks Olge järjepidevad ja saage kindlus, et süsteem töötab reaalselt mitte ei eksisteeri ainult paberil 117

Harjutused § Harjutus 1: riski kirjeldamine § Harjutus 2: tähelepanekute süstematiseerimine 118

Täname osalemast! Lean Auditing (J. Paterson) 119