Mõned mõtted riskihalduse kohta

Aastal 2009 olen kirjutanud sellise jutu
====
Käesolev kirjatükk sai tegelikult alguse sellest, et ma lugesin Cyberi raamatut "Infosüsteemide turve - Turvarisk". Kirjutasin selle kohta ka lugemissoovituse, kuid ma lubasin, et ei avalda seda enne, kui raamatu autorid on seda näinud ja mingi tagasiside andnud. Samas ei takista see mul avaldamast mõningaid omi mõtteid selle kohta.

Nimelt olen ma üsna veendunud, et kogu riskihalduse temaatika algab ja lõppeb inimliku faktoriga. Minu esmane kokkupuude sellega oli kusagil 90-ndate esimeses pooles, kui ma töötasin ühes firmas turvamehena. Nimelt alahindasid nad (minu arvates) riske ja tulemuseks oli kolm tapetud müügimeest. Loomulikult huvitas mind, miks nii ja ma üritasin ettevaatlikult põhjuseid uurida. Põhjused sain ma küll teada, kuid seal juures teenisin firma töötajate hulgas välja hüüdnime "midagi enamat, kui turvamees" :)

Sellest ajast alates olen ma näinud sadu juhtumeid (mis enamasti õnneks küll nii traagiliselt ei lõppenud), kus peamiseks põhjuseks on ebapiisav või ebapädev riskihaldus. Nende juhtumite põhjal on mul tekkinud (ilmselt mitte täielik) nimekiri asjadest, mis põhjustavad seda ebapädevust või ebapiisavust. Kuid... Näitlikustamise huvides konstrueerin mingi väga lihtsa näite ja vaadakem seda koos.

Näide: Eksperdid prognoosivad, et tornaadode arv Kariibi mere ümbruses järgmisel suvel kolmekordistub.

Keskmine inimene (sh ka keskmine firmajuht) loeb ja teeb selle peale "ah-ah" ning sinna paika see asi jääb... Samas tekib küsimus - miks?

Teadmiste puudumine Eestimaisel inimesel puudub enamasti igasugune arusaam, mis on tornaado või miks teda kartma peaks. Siia juurde võiks muidugi kirjutada terve traktaadi Zeitgeisti olemusest ja sellest, miks igavene koolireform paha on või sellest, miks kooliõpilased ei peaks saama kaasa rääkida õppeainete sisus või nimekirjas, kuid jäägu see mõnele teisele teha...

Eelnevaga on väga tihedalt seotud
Taustateadmiste puudumine Mida antud juhul tähendab "suvi" - kas see on kolm kuud või hoopis üheksa kuud... Samuti on küsimus, mida võiks absoluutarvudes tähendada "kolmekordistub" - kes see on nüüd siis kolm või hoopis kolmkümmend...

Seostamisoskuse puudumine Isegi juhul, kui inimene saab aru, mis on tornaado ja millised on selle võimalikud tagajärjed, ei taju ta selle seoseid enda või oma firmaga. Eraisikuna on ju lihtne - mul ei ole järgmisel suvel plaanis Kariibi mere piirkonda reisida, järelikult see mind ei puuduta. Samas ettevõtte juht peab lisaks oma isiklikule positsioonile vaatama ka seoseid oma firma osas - millised tarnijad või kauba saajad asuvad selles piirkonnas, kuidas tarneahela katkemine minu firmat mõjutab...

Liigne optimism Isegi juhul, kui inimene mõistab, et ta on selle nähtusega seotud, arvab ta et "minuga seda ju ei juhtu"...

Tagajärgede mittemõistmine Hüva, tornaadod on, nad tekitavad kahju, võib juhtuda, et isegi tarneahelad katkevad... mis siis? Meil on ju kindlustus ja eks me siis ostame (või müüme) teises kohas. Ma olen selle loogikaga täiesti nõus. Samas kas kindlustus katab tarnija kadumise ja uue tarnija leidmisega seonduvad kulud? Pealegi ei ole kahjustatud tarnija ainult ühe firma tarnija - ka kõik teised hakkavad ju uusi tarnijaid otsima ning kas nende teiste tarnijate ressurss peab kasvavale nõudlusele vastu või millist hinda nad oma kauba eest küsima hakkavad...

Raha Raha või õigemini selle puudumine on on põhjenduseks liigagi paljudel juhtudel. Mingil määral on see kindlasti õigustatud põhjendus - riskianalüüs on töömahukas (ja palju raha tahtev) ettevõtmine. Samas ei ole ma sugugi kindel, kas ettevõtjate hinnang kuluva raha osas pole mitte üle pakutud. Samuti pole ma kindel, kas nad tajuvad seda ohtu, mis tekib riskianalüüsi tegemata jätmisel.

Samas võib see viidata ka puudulikule prioriteetide seadmisele Teisisõnu - esmaseks prioriteediks on millegi tegemine (raha teenimine) ja kõik muu jäetakse tahaplaanile. Probleemidega tegeletakse alles siis, kui nad näkku hüppavad... Põhimõtteliselt on see arusaadav käitumine, ainuke "aga" tekib siis, kui mingi probleem väga akuutseks muutub - siis järsku selgub, et sellise probleemi tekkimist oleks pidanud juba varem ette nägema ja praegusel hetkel sellega tegelemine on ülimalt kallis või ei anna üldse mingit tulemust.

Milleks rääkida arvutiturbe ja infosüsteemide riskihalduse kontekstis jumal teab kus ähvardavatest tornaadodest. Põhjus on tegelikult väga lihtne - arvutid ja infosüsteemid on kordades keerukamad ja täiesti gobaalsed. Infosüsteem koosneb tuhandetest või isegi miljonitest komponentidest. Kujutage ette, kui keerukaks muutub siin teadmiste hankimine, seoste loomine või tagajärgede tajumine. Ja kujutage ette, mida tähendab kõikide nende teadmiste, seoste ja tajude haldamine...  Asi muutub suurusjärkude võrra keerukamaks, kui see infosüsteem pannakse otsaga internetti. Siin on miljoneid osapooli ja... internet on ülemaailmne. Piltlikult öeldes tuuakse Kariibi meri koos tornaadodega koju kätte.

Mis siis teha, et asja paremaks muuta? Ega mul tegelikult väga head rohtu pakkuda ei ole. Aitab ainult lai silmaring ja mõõdukalt eluterve paranoia :) Just nimelt mõõdukas ja eluterve, et mitte teise äärmusesse - paanikaosakonna - hulka langeda.

Mis aga puudutab sissejuhatuses kõne all olnud raamatut, siis soovitan seda lugeda - eriti tema neljandat ja viiendat peatükki.