Upravljanje rizicima
Što je rizik?
Upravo ste kupili svježu salatu na placu? Pijete kavu u najdražem kafiću? Čekate tramvaj? Krećete na dugo putovanje automobilom? Bavite se slobodnim penjanjem? Volite roniti? Vikendom skačete padobranom? Želite uvesti novi proizvod? Trebate novi izvor financiranja? Tražite nova tržišta? Potreban Vam je pristup internetu i e-pošti?
U svakoj od ovih aktivnosti suočeni ste s mogućnošću da se nađete u ne baš poželjnoj situaciji koja se može i ne mora ostvariti, a nije ju uvijek lako prepoznati ili predvidjeti. Upravo taj efekt neizvjesnosti za Vaš cilj naziva se rizik (prema normi ISO 31000). Rizici su nezaobilazni dio ljudskih aktivnosti i svakog posla. Uvijek su povezani s neizvjesnošću, što vrijedi za naš svakodnevni život, ali i svaki poslovni sustav. Oni su funkcija imovine, prijetnje, ranjivosti, vjerojatnosti i mogućih posljedica. Imovina je sve što poslovni sustav posjeduje i što za njega ima neku poslovnu vrijednost. To može biti materijalna imovina, financijska imovina, informacije, procesi, ugled, zaposlenici itd. Prijetnje su mogućnosti da dođe do ugrožavanja imovine, a njihovi izvori mogu biti unutarnji i vanjski. Ranjivosti su slabost uslijed neiskustva, nedovoljnog poznavanja, nedostatka ili niske razine zaštite imovine. Rizici postoje u svakom poslovnom sustavu. Pojavljuju se od misije, vizije, određivanja i realizacije poslovnih ciljeva, preko poslovnih procesa, do ostvarenja ili neostvarenja ovih odrednica. Uvijek postoji niz prijetnji sa svojim izvorima, koje mogu izazvati negativne događaje i rezultirati određenim, neželjenim posljedicama. Da se one ne dese, nužno je poduzimati adekvatne mjere postupanja s rizicima. Postoji više načina kategorizacije rizika a mogu biti specifični za pojedinu branšu na koju se odnose. Ponekad su kategorije određene regulatornim, zakonskim ili zahtjevima industrije, a nerijetko su prilagođene prema potrebi. Npr. industrija osiguranja rizike može podijeliti na financijske i nefinancijske, osnovne i posebne, statičke i dinamičke, osigurljive i neosigurljive, rizike prilike, hazardne i neizvjesne i sl. Rizici se mogu kategorizirati prema okolini gdje nastaju: vanjski i unutarnji, itd.
Ukoliko neki poslovni sustav nema dobro strateško planiranje ili ga uopće ne provodi, nije definirao svoju viziju i misiju, nema svoje jasne ciljeve, evidentno je da se radi o strateškim rizicima. Ako ne percipira stalne promjene u svojoj okolini koje se dešavaju zbog razvoja tehnologije, uvjeta poslovanja, rastućih ekoloških zahtjeva, promjena kod konkurencije, to su rizici okoline. Ukoliko poslovni sustav ne prati dovoljno dobro neprestane promjene na tržištu, ne prilagođava mu svoje proizvode i usluge, loše je odredio svoje niše, ima lošu politiku cijena ili je loše odabrao svoje kupce, radi se o tržišnim rizicima. U slučaju da se koriste nepovoljni krediti, očito da je na sceni kreditni rizik. Ako neko svoje poslovanje nije prilagodio aktualnim zakonima, propisima ili normama, već ih netransparentno koristi ili čak krši, postoje rizici zbog nesukladnosti. Rizici se pojavljuju u vođenju projekata, kadrovskoj politici, a izraziti su prilikom upotrebe informacijskih tehnologija.
Ćurak, M. i Jakovčević, D., Osiguranje i rizici, RRIF plus, Zagreb, 2007
Drljača M., Bešker M.: Održivi uspjeh i upravljanje rizicima poslovanja, Zagreb, 2010.
Mr.Sc. Zoran Wittine, Rizici i upravljanje rizicima u međunarodnom poslovanju
Što je to upravljanje rizicima?
Upravljanje rizicima čini skup procesa koji se provode sa svrhom povećanja vjerojatnost da će se u slučaju pojave prijetnji, otkloniti ili umanjiti nepovoljne situacije i njihove posljedice. Neki od ciljeva procesa upravljanja rizikom mogu biti maksimiziranje vrijednosti tvrtke, očuvanje poslovne funkcije i egzistencije tvrtke nakon nastanka štete, usklađenost sa zakonskim propisima, minimiziranje neizvjesnosti vezanih za veće katastrofe i rizike. Svi rizici kojima je neki poslovni sustav izložen ne mogu se prepoznati niti u potpunosti otkloniti ali se pronalaženjem razumnog odnosa između različitih aspekata opasnosti, mogućih posljedica i mjera za kontrolu i smanjenje mogu svesti na prihvatljivu razinu. Postoji više načina upravljanja rizicima a opće prihvaćena norma za ovo područje je ISO/IEC 3100. Normom su određene faze (skup aktivnosti) u procesu upravljanja rizicima kao i njihov međuodnos.
Postavljanjem konteksta u kojem organizacija posluje, jasno se iskazuju njeni ciljevi, definiraju vanjski (npr. PESTLE analiza) i unutarnje parametri (npr. SWOT analiza) o kojima treba voditi računa u upravljanju rizicima te se postavljaju opseg i kriteriji za procjenu rizika.
Identifikacija rizika provodi se prepoznavanjem svih mogućih rizika i njihovih izvora. Cilj ove faze je doći do liste onih događaja koji bi u negativnom smislu mogli utjecati na ostvarivanje poslovnih ciljeva. Važno je identificirati sve potencijalne rizike, jer oni koji se ne prepoznaju u ovoj fazi, biti će u narednim koracima isključeni iz daljnjeg postupka upravljanja rizicima.
Analiza rizika uključuje razumijevanje identificiranih rizika. Razmatraju se uzroci i izvori rizika, njihove pozitivne i negativne posljedica te vjerojatnosti pojave. Također, potrebno je identificirati i čimbenike koji utječu na posljedice i vjerojatnost. U analizi rizika nužno je prepoznati i sve druge atributa rizika, jer neki događaj može imati više
posljedica i može utjecati na više ciljeva. Pri analizi rizika potrebno je uzeti u obzir i postojeće mjere postupanja s rizicima (kontrole), ako one postoje, te odrediti njihovu efikasnost i učinkovitost.
Vrednovanje rizika U fazi vrednovanja rizika donose se odluke o izboru onih rizika koji zahtijevaju obradu te prioritete implementacije predviđenih kontrola. Odluke se donose na osnovi rezultata analize rizika. Vrednovanje rizika uključuje uspoređivanje razine određenog rizika ustanovljenog tijekom faze analize, s kriterijima ustanovljenim tijekom utvrđivanja konteksta u kojem se promatra pojava rizika.
Postupanje s rizicima uključuje izbor i implementaciju jedne ili više mogućnosti utjecanja na rizik poput
- smanjenja rizika – implementacija kontrola kojima se umanjuje identificirani rizik
- prenošenja rizika – rizik se prenosi na treću stranu, npr. osiguravajuću kuću ili dobavljača;
- prihvaćanja rizika – rizik se prihvaća bez implementacije novih kontrola;
- izbjegavanja rizika – prekidanje ili nepokretanje aktivnosti unutar poslovnog sustava koje mogu izazvati određeni rizik.
Nakon implementacije poduzetih mjera, ostaje rizik kojeg nazivamo rezidualnim rizikom. To je rizik koji podrazumijeva sve one prijetnje i ranjivosti za koje se smatra da ne zahtijevaju dodatni tretman u pogledu njegovog smanjenja. Također, rezidualni rizik može nastati kao posljedica „trošak-korist“ analize kojom je ustanovljeno da bi troškovi implementacije eventualnih mjera nisu isplativi. Upravljanje rizicima jedna je od temeljnih obveza upravljačkog rukovodstva.
Kako Vam ZIH može pomoći?
Za svakog korisnika ZIH ima individualiziran pristup ovisno o njegovim potrebama. U skladu s tim organiziramo radionice s upravljačkim timovima, a uz stručno vođenje naših konzultanata i primjenu referentnih svjetskih preporuka pomažemo korisnicima da uspješno provedu procese procjene rizika ili da uvedu i usvoje proces upravljanja rizicima.
U tom pogledu, nudimo Vam sljedeću konzultantske uslugu:
- Upravljanje poslovnim rizicima
Edukacije iz navedenog područja:
- Upravljanje poslovnim rizicima
- COMPLIANCE MANAGEMENT AKADEMIJA
- Certified ISO 31000 Foundation (PECB)
- Certified ISO 31000 Risk Manager (PECB)
- Certified ISO 31000 Lead Risk Manager (PECB)
- Risk Assessment using Ebios Method (PECB)
- Risk Assessment using the Mehari Method (PECB)
Možda Vas interesiraju i ove naše usluge i edukacije:
Zašto ZIH?
ZIH ima više od 20 godina bogatog iskustva u oblikovanja suvremene organizacije sustava upravljanja rizikom te pomno prati razvoj i primjenu normi koje se odnose na ovu tematiku (poput ISO 31000, ISO 27005). Također je uspješno proveo niz procjena poslovnih rizika, rizika upotrebe informacijskih tehnologija i rizika informacijske sigurnosti.
