Autor: Finantsuudised.ee • 30. august 2023

Järgneb intervjuu Kuldar Ojanguga.

Millised on Teie riskijuhtimise alased kogemused ja teadmised?

Olen lõpetanud Tallinna Tehnikaülikooli majandusteaduskonna. Töökogemus panganduses on mul alates 1994. aastast. Riskijuhtimisalased teadmised ja kogemused pärinevad valdavalt pangatööst, kus enamus minu ameteid on olnud seotud riskide juhtimisega.

Olen töötanud siseaudiitorina aastaid Hansapangas/Swedbankis ja siseauditi üksuse juhina viis aastat Swedbank Eestis. Suur osa sellest tööst hõlmas panga sisekontrollisüsteemi ja riskijuhtimise hindamist Swedbank Eestis, aga ka üksustes, mis asusid teistes riikides.

SEB Pangas töötan riskijuhina viimased seitse ja pool aastat, kus minu tööks on pakkuda nii krediidiriski kui mitte-finantsriskide (operatsiooniriskide) juhtimise alast tuge panga erinevatele üksustele.

Swedbanki ja SEBi vahelisel ajal olin pikemat või lühemat aega erinevate valdkondade ettevõtetes auditikomitee liige ning selle tegevuse kaudu olen saanud aimu ka teiste sektorite ettevõtete riskijuhtimisest.

Mida mõistetakse ettevõtte riskide juhtimise all? Mida see täpsemalt tähendab?

Ettevõtte riskide juhtimine on äritegevuse lahutamatu osa, kus riskide juhtimisega on kaetud ettevõtte kõik olulised tegevused – alates strateegia loomisest kuni igapäevaste äri- ja tugitegevusteni.

Kirjandusest ja internetist leiab riskide juhtimise mõistele veidi omavahel vastukäivaid definitsioone (enterprise risk management). Lihtsustatult öeldes tähendab ettevõtte riskide juhtimine seda, et organisatsioonis on olemas ühtne riskikultuur, meetodid, protsessid ja tööriistad selleks, et tuvastada, hinnata ja maandada ettevõte eesmärke ohustavaid riske tasemele, mis on ettevõttele vastuvõetav. See tähendab, et ettevõttes teatakse, millised on ettevõte tegevusaladest tulenevalt võimalikud kriitilised riskid, teatakse, kuidas neid riske tuvastada, kuidas hinnata nende riskide mõju ning osatakse neid riske maandada.

Miks on oluline ettevõttes tegeleda riskide juhtimisega?

Ennekõike tuleks riskide juhtimisega tegeleda seetõttu, et riskidega mittetegelemine või nende mittejuhtimine võib saada ettevõttele (üle jõu käivalt) väga kulukaks. See tähendab, et kui mõni kriitiline risk realiseerub ehk päriselt juhtub midagi halba, võib kahjude korvamine ettevõttele väga kalliks maksma minna.

Reeglina on ettevõtetes olemas nii enda kogemusest kui teistelt õpitud teadmine, et kui kriitilised riskid ei ole juhitud, siis on ettevõte avatud ootamatutele sündmustele, mis võivad halvata tegevuse või soovitud eesmärkide saavutamise, võib tekkida varaline kahju, mainekahju või on ohustatud töötajate ja klientide tervis või elu.

Mitmetes valdkondades on riskide juhtimine seadusandlusest ja/või regulaatorite poolt seatud kohustus. Näiteks on krediidiasutustel terve hulk väliseid reegleid, mis ütlevad, kuidas tuleb tegeleda ühte või teist tüüpi riskide juhtimisega. Samas, olles panganduses töötanud alates 1994. aastast, tean ma, et pankades hakati riskijuhtimisele mõtlema ja riske juhtima palju varem ja palju laiemalt, kui regulatsioonid seda otseselt nõudma hakkasid.

Kelle roll ja vastutus on ettevõttes riskide juhtimine?

Kõikidel on roll riskide juhtimises – alates tippjuhtkonnast, kes paneb paika riskide juhtimise strateegilise vaate, keskastme juhid, kes peavad aru saama enda valdkonnaga seotud riskidest ja oskama neid maandada ning lõpetades kõikide töötajatega, kes peavad teadma, millised on ettevõtte reeglid ja käitumistavad (ka reeglid ja käitumistavad on mh riskide juhtimise vahendiks) ning kelle poole pöörduda, kui märgatakse erisusi.

Suuremates ettevõtetes on olemas riskijuhtimise üksused, aga see ei tähenda, et riskide juhtimine on puhtalt riskijuhtimise üksuste erahuvi. Riskide juhtimise ja maandamise eest vastutavad riskide omanikud ehk erinevate tasandite juhid. Riskijuhtide tööks on enamasti olla oma teadmiste ja kogemustega abiks riskijuhtimise raamistiku loomisel ning toetada ettevõtte töötajaid riskide teemadel.

Milline on Teie kogemus, kas ettevõtetes mõistetakse riskijuhtimise vajalikkust? Või tuleb seda ikka selgitada?

Minu kogemus tuleb peamiselt pangandusest, kus mõistetakse väga hästi riskijuhtimise vajalikkust ja väärtust. Lisaks olen olnud varasemalt mitmete auditikomiteede liige. Kui ettevõttes on auditikomitee, siis saadakse seal väga hästi aru riskijuhtimise vajalikkusest. Aga nii pankade kui auditikomiteed omavate ettevõtete puhul räägime Eesti mõttes ikkagi suurettevõtetest. Formaliseeritum lähenemine riskide juhtimisele ongi Eestis just suuremates ettevõtetes.

Väiksemates ettevõtetes üldiselt ei ole eraldi riskide juhtimise üksust või spetsialisti. Kuid see ei tähenda, et seal riske ei juhita. Lihtsalt kõiki tegevusi, mis suuremal või vähemal määral aitavad riske juhtida, ei nimetata alati riskide juhtimiseks. Samas inimesed lähtudes oma kogemusest ja teistelt õpitu põhjal reeglina teavad, millised on nende ettevõtte kriitilised riskid ehk mis ja kuidas saab valesti minna ning kuidas on mõistlik neid probleeme ennetada.

Samas on riskijuhtimise alaste teadmiste pidev ajakohasena hoidmine (koolitused, kogemuste vahetamised jmt) vajalik nii suurte kui väiksemate ettevõtete juhtidele ja töötajatele.

Millised on suurimad riskid ettevõttes, millega finantsjuhid kokku puutuvad? Mõned näited.

Oleneb hästi palju jällegi ettevõtte tegevusalast, suurusest ja ettevõtte töökorraldusest. Tüüpilised riskid, millega finantsjuhid kokku puutuvad on reeglina finantsriskid – krediidirisk, likviidsusrisk, tururisk. Kuid samas on ka mitte-finantsriske, millega vähemalt omas valdkonnas, kui mitte ettevõtte üleselt finantsjuhid kokku puutuvad.

Ma tean asutusi, kus finantsjuhi töökohustuste hulgas on näiteks kriisijuhtimine, hangetega seotud riskide juhtimine jms. Reeglina oodatakse finantsjuhilt ka näiteks ettevõtte strateegia ja äri planeerimisel finantsriskidega seotud sisendit.

Viimaste aastate mõjutusena saab kindlasti välja tuua ka energiakriisist tulenevad riskid, valuutadega seotud riskid ja turgude ning toormetega seotud riskid.

Milline peaks olema finantsjuhi roll ettevõtte riskijuhtimises?

Ma usun, et reeglina on omanike ja ettevõtte juhi ootus finantsjuhile, et ta hoiaks kontrolli all finantsriskid – likviidsusrisk (et ettevõte suudaks igal ajahetkel teiste eest oma rahalisi kohustusi täita), krediidirisk (et ettevõte ei kannataks ülemäärast rahalist kahju klientide/ostjate poolt tasumata arvete näol) jmt. Samuti oodatakse sageli finantsijuhilt, et ta hoiaks silma peal ka enda valdkonna compliance riskidel (et tegevus vastaks välistele regulatsioonidele).

Arvestades viimasel aja sagenenud pettuseid, mida pannakse toime nii eraisikute kui ettevõtete vastu, peaks finantsjuht olema teadlik selliste pettuse toimepanemise viisidest, millega rünnatakse näiteks ettevõtete raamatupidajaid või teisi töötajaid, kellel on palju olulist infot ning õigused ja ligipääsud ettevõtte varadele ja rahalistele vahenditele. Tasub olla teadlik, kuidas selliste pettuste vastu oma ettevõtet ja töötajaid kaitsta. Nii pankade esindajad kui Eesti politsei teevad pettuste ärahoidmiseks õnneks väga head teavitustööd.

Finantsjuht võiks oma käitumise ja hoiakuga olla töötajatele eeskujuks, kuidas ettevõttes korrektselt ja riskiteadlikult tööd teha. Ma usun, et väga palju sõltub siin ettevõtte tegevusalast ning töökorraldusest.

Millised on suurimad vead, mida finantsjuhid saavad riskijuhtimises teha? Millised võivad olla nende vigade tagajärjed?

Finantsjuhid siin liiga palju teistest juhtidest ei eristu. Usun, et kõikidele juhtidel on kasuks, kui nad teavad, millised riskijuhtimise tegevused on neile kohustuslikud tulenevalt välistest nõuetest, millised on ettevõtte enda sisesed nõuded. On oluline, et nad saavad nendest nõuetest sisuliselt aru ja mõistavad, miks mingit riskijuhtimise tegevust on vaja teha. Elu on dünaamiline ja see tähendab, et nii ettevõtte enda, kui välisest keskkonnast tulenevad riskid on pidevas muutumises. Seega on oluline hoida ennast arengutega kursis ning riskijuhtimise tegevusi õigeaegselt planeerida ja teostada.

Kas ja millisel juhul saab finantsjuht ise olla ettevõttele risk?

Ma arvan, et saab. Väga otsene näide, kus finantsjuht kas teadmatusest või ekslikult jättis mõne temale pandud riskikontrolli tegevuse tegemata. Aga ka olukord, kus finantsjuht teadlikult paneb toime pettuse (õnneks viimasel ajal aina vähem) või võimaldab seda teha mõnel kolmandal osapoolel.

Kui kiiresti muutub riskijuhtimise valdkond? Kui palju ja kui tihti peaksid finantsjuhid oma teadmisi värskendama?

Erinevad riskide juhtimise valdkonnad muutuvad erineva kiirusega. Näiteks tundub mulle, et krediidirisk pankades on laias laastus olnud sama loogikaga ajast, kui pangad on laene andnud, tagatisi võtnud ja klientide maksevõimet hinnanud. Muidugi tuleb ka siin juurde uusi nõudeid ja nõuete täpsustusi.

Aga näiteks sellised valdkonnad nagu küberriskid, andmekaitse -ja jätkusuutlikkusega seotud riskid ja nende juhtimine on väga kiiresti arenemas.

Seega finantsjuhid võiksid enda teadmisi uuendada lähtuvalt sellest, milliste riskide juhtimise eest nad oma ettevõttes vastutavad või osalevad ja kui kiired on nende vastutusalas olevate riskide juhtimise muudatused.

Mis on esmane ja olulisim samm, mida ettevõttes riskijuhtimise osas tuleks teha, kui sellega ei ole seni teadlikult tegeletud?

Hea riskikultuuri loomine. Ei ole niivõrd oluline, et ettevõttes oleks palgal eraldi riskijuht ja oleks olemas detailsed kirjalikud riskijuhtimise juhendid.

Palju olulisem on, kuidas juhid ja töötajad päriselt käituvad ettevõtte eesmärkide nimel töötades. Mulle meeldib üks ettevõtte kultuuri kohta kuuldud arvamus ühelt konverentsilt, kus esineja defineeris inimeste sisemist kultuuri nii, et see on käitumine, mida inimene endale lubab, kui ta arvab, et keegi pealt ei vaata.

Sama kehtib minu arvates ka riskijuhtimise kultuuri kohta. Me peame töötajatele selgitama, millist käitumist me nendelt ootame, peame maha võtma töötajate hirmud, et nad julgeksid vigadest ja muudest anomaaliatest oma juhtidele teada anda ja juhid peavad oma tegeliku käitumisega eeskuju näitama.

Kui meil näiteks on majas kokkulepe, et me ei tee töökohas ja tööajal siivutuid nalju, kuid mõni juht sellest kokkuleppest kinni ei pea, siis varem või hiljem leidub talle järgijaid ja selline kokkulepe enam ei toimi.

Rohkem selleteemalisi teadmisi saad järgmistel koolitustel:

Finantsjuhtimise arenguprogramm

Riskijuhtimine