View
5
Download
0
Category
Preview:
Citation preview
Na osnovu člana 4. Pravilnika o provođenju finansijskog upravljanja i kontrole u javnom sektoru u Federaciji Bosne i Hercegovine („Službene novine Federacije BiH“, broj: 6/17) Federalno ministarstvo financija/finansija objavljuje
SMJERNICE ZA UPRAVLJANJE RIZICIMA U JAVNOM SEKTORU
U FEDERACIJI BOSNE I HERCEGOVINE
Uvod
Potreba za donošenjem Smjernica za upravljanje rizicima proizašla je iz namjere da se ojača sistem internih kontrola kod korisnika javnih sredstava u Federaciji Bosne i Hercegovine (FBiH), nakon što je za javni sektor u FBiH donesen Zakon o finansijskom upravljanju i kontroli u javnom sektoru u Federaciji Bosne i Hercegovine1, a na osnovu njega i Pravilnik o provođenju finansijskog upravljanja i kontrole u javnom sektoru u Federaciji Bosne i Hercegovine2 i Standardi interne kontrole u javnom sektoru u Federaciji Bosne i Hercegovine3 .
Standardi interne kontrole strukturirani su prema komponentama COSO modela4 tako da uključuju pet sljedećih komponenti:
- kontrolno okruženje - upravljanje rizicima - kontrolne aktivnosti - informacije i komunikacije - praćenje i procjenu.
Namjera Federalnog ministarstva finansija/financija je da putem ovih Smjernica rukovodiocima i zaposlenima kod korisnika javnih sredstava približe:
- šta je upravljanje rizicima i zašto je značajno za poslovanje korisnika javnih sredstava,
- šta je potrebno uraditi da se rizicima upravlja sistematično i učinkovito,- ko je nadležan (i u kojem segmentu) da se osigura da upravljanje rizicima
predstavlja dio upravljačkih procesa.
Upravljanje rizikom se definira kao cjelokupan proces utvrđivanja, procjenjivanja i praćenja rizika za ostvarenje ciljeva korisnika javnih sredstava, kao i poduzimanje
1 „Službene novine Federacije BiH“, broj: 38/162 „Službene novine Federacije BiH“, broj: 6/173 „Službene novine Federacije BiH“, broj: 75/164 COSO model predstavlja općeprihvaćeni međunarodni model za uspostavljanje, vođenje i procjenu sistema
internih kontrola, kojeg čini pet međusobno povezanih komponenti: kontrolno okruženje, procjena rizika, kontrolne aktivnosti, informacije i komunikacije, praćenje i procjena. Skraćenica COSO stoji za Komitet sponzorskih organizacija Treadway komisije (eng. Committee of Sponsoring Organisations of the Treadway Commission).
1
potrebnih aktivnosti, posebno kroz sistem finansijskog upravljanja i kontrola u svrhu smanjenja rizika.
Upravljanje rizikom je kontinuirana aktivnost koja obuhvata utvrđivanje rizika, procjenu njihove vjerovatnoće i utjecaja, poduzimanje mjera kao odgovor na rizike, dokumentovanje podataka o najznačajnijim rizicima i praćenje i izvještavanje o rizicima. To je proces kojeg provodi rukovodilac korisnika javnih sredstava u cijeloj organizaciji sa ciljem identifikovanja potencijalnih događaja koji mogu negativno utjecati na korisnika javnih sredstava kako bi se sveli na granice prihvatljivog.
Smjernice su namijenjene rukovodiocima korisnika javnih sredstava, imenovanim koordinatorima za finansijsko upravljanje i kontrolu i svim zaposlenim u organizaciji u onoj mjeri u kojoj su uključeni u planiranje, donošenje odluka, osmišljavanje, provođenje i praćenje kontrolnih aktivnosti, odnosno ocjenu i izvještavanje o sistemu finansijskog upravljanja i kontrole. Smjernice uključuju i primjere rizika do kojih može doći u javnom sektoru, kao i praktične alate za uspješno upravljanje rizicima u organizaciji.
Terminologija korištena u Smjernicama usklađena je sa korištenim terminima Zakona o finansijskom upravljanju i kontroli u javnom sektoru u FBiH i Standardima interne kontrole u javnom sektoru Federacije BiH.
2
Upravljanje rizicima kao dio sistema internih finansijskih kontrola
1. Upravljanje rizicima je upravljački alat i važan dio sistema internih kontrola5. Ciljevi sistema internih kontrola su uređeno, etično, ekonomično, efikasno i efektivno poslovanje, ispunjavanje preuzetih odgovornosti, usklađenost sa primjenjivim propisima, te čuvanje resursa od gubitka, zloupotrebe i štete. Poslovanje organizacija u javnom sektoru izloženo je brojnim rizicima, zbog čega je odgovornost rukovodstva korisnika javnih sredstava da u okviru sistema internih kontrola osiguraju identifikovanje i procjenu rizika, poduzimanje odgovarajućih mjera i praćenje i izvještavanje o rizicima u svojim organizacijama.
2. Svrha Smjernica je da pomogne u razvoju sistematičnog pristupa i
ujednačavanju prakse u upravljanju rizicima. Primjena Smjernica ima za cilj da stvori preduslove za poboljšanje postojeće prakse upravljanja i omogući integrisanje upravljanja rizicima u svakodnevnu praksu planiranja i donošenja odluka. Smjernice obrađuju navedene elemente sa primjerima iz prakse.
3. Smjernice na jedinstven način uređuju organizacijske preduslove i sistematičan pristup upravljanju rizicima. To znači da se od svih organizacija koje su u obavezi uvoditi i razvijati nove elemente finansijskog upravljanja i kontrole (FUK) očekuje da prate iste korake u procesu uvođenja i razvoja upravljanja rizicima. U isto vrijeme, Smjernice su deskriptivne u pogledu klasifikacije rizika, faktora i pokazatelja rizičnosti, njihovog utjecaja i vjerovatnoće. U praksi to podrazumijeva da svaka organizacija treba prilagoditi sadržaj iz ovih Smjernica svojim okolnostima i potrebama.
4. Smjernice su namijenjene rukovodiocima i zaposlenima u korisnicima javnih sredstava u FBiH koji su dužni primjenjivati odredbe Zakona o FUK-u u javnom sektoru u FBiH u pogledu uspostave i unapređenja sistema internih kontrola. Efektivno upravljanje rizicima u kombinaciji sa mjerama u skladu sa standardima internih kontrola iz ostalih komponenti COSO okvira treba osigurati rukovodiocu korisnika javnih sredstava razumno uvjeravanje da će se ciljevi organizacije ostvariti.
Važnost i koristi upravljanja rizicima
5. Kvalitet procesa upravljanja rizicima u organizaciji predmet je interesa rukovodstva i zaposlenih u organizaciji, upravljačkih struktura, internih i eksternih revizora. Viši zahtjevi u pogledu transparentnosti i izvještavanja znače da poslovanje korisnika javnih sredstava sve više postaje predmet interesa poreznih obveznika i korisnika njihovih usluga, te medija i društva u cjelini. U tom kontekstu treba razmatrati i neke od koristi upravljanja rizicima predstavljene u sljedećoj tabeli:
Kvalitetnije Sve odluke nose sa sobom određeni nivo neizvjesnosti, 5 Komponenta 2 COSO okvira, za detaljne zahtjeve u pogledu upravljanja rizikom vidjeti Standard 6, Standardi interne kontrole u javnom sektoru u Federaciji BiH.
3
planiranje i odlučivanje
bez obzira da li se odnose na uobičajene zadatke ili na nove ideje i mogućnosti. Upravljanje rizicima zahtijeva razmišljanje „unaprijed.“
Prikupljanje i analiza informacija potrebnih za upravljanje rizicima povećava kvalitet ulaznih podataka za planiranje i donošenje odluka. Na taj način, upravljanje rizicima pomaže rukovodiocima da svoje odluke usklade sa što objektivnijom procjenom mogućih ishoda.
Povećanje ekonomičnosti, efikasnosti i efektivnosti
S obzirom da veže rizike uz ciljeve organizacije koji su formulisani u strategijama, budžetima i planovima, upravljanje rizicima omogućava organizaciji da optimalno rasporedi resurse i osigura ispunjavanje svog mandata u pravo vrijeme, na pravi način i uz minimalan trošak sa odgovarajućom kvalitetom.
Unapređenje kvaliteta pružanja usluga građanima
Smanjuju se šokovi i „iznenađenja“ i izbjegavaju pritužbe/žalbe korisnika usluga čime se štiti reputacija organizacije. Gradi se povjerenje u upravljački sistem. Pružaju se kvalitetnije usluge, jer se veći naglasak stavlja na potrebe i interese korisnika usluga.
Podrška upravljačkoj odgovornosti
Upravljanje rizicima važan je dio upravljačkog procesa kod svakog korisnika kojim se unapređuje proces ukupnog upravljanja. Rukovodioci u bilo kojem momentu imaju razumno uvjerenje da poslovanje organizacije nije ugroženo i u boljoj su poziciji da preuzmu upravljačku odgovornost za odluke. Interne kontrole i resursi usmjeravaju se prema ključnim područjima poslovanja i njima povezanim rizicima.
Razvoj pozitivne organizacione kulture
Razvijanje organizacione kulture koja neće izbjegavati odgovornost prema rizicima kojima je izložena.
Tabela 1 - Prednosti sistematičnog pristupa upravljanju rizicima
Definicija rizika
6. Rizik je mogućnost nastanka događaja koji će imati posljedice na ostvarivanje ciljeva. Rizikom se smatraju i neiskorištene prilike ili mogućnosti za poboljšanje poslovanja. Shodno tome, rizici su potencijalni neželjeni događaji koji mogu:
- ugroziti ostvarivanje strateških i operativnih ciljeva organizacije, programa i projekata, sistema i aktivnosti;
- narušiti kvalitet usluga građanima ili drugim zainteresovanim stranama i izazvati njihovo nezadovoljstvo;
- ugroziti reputaciju organizacije i povjerenje građana u nju; - izložiti organizaciju negativnim finansijskim učincima kao posljedice
gubitaka uslijed nenamjenskog, neekonomičnog, neefikasnog i
4
neefektivnog raspolaganja sredstvima ili nadoknada šteta iz propusta u poslovanju;
- ugroziti profesionalizam i primjereno (etično) ponašanje u obavljanju poslova;
- rezultirati zloupotrebama sredstava, neovlaštenim korištenjem ili otuđenjem imovine ili informacija;
- nepovoljno utjecati na sposobnost organizacije da upravlja izmijenjenim okolnostima na način da umanji ili spriječi njihove negativne efekte na poslovanje organizacije.
Strateški i operativni rizici
7. Ne postoji univerzalno primjenjiva jednoobrazna klasifikacija po kojoj se rizici mogu svrstati u kategorije. Pristup klasifikaciji rizika zavisit će u najvećoj mjeri od specifičnosti poslovanja svake organizacije. U isto vrijeme, korisna je generička podjela rizika na kategorije strateških i operativnih rizika. Ovakva podjela omogućava da se sistematično sagleda potencijalno neograničen broj rizika i da se lakše utvrdi koji će se nivo rukovodstva primarno baviti kojom kategorijom rizika.
8. Strateški rizici su rizici vezani za ostvarenje srednjoročnih i dugoročnih ciljeva i strateških prioriteta organizacije ili resora. To su rizici čije posljedice su usmjerene na šire interesne grupe, građane i krajnje korisnike usluga, povjerioce i sl. Upravljanje strateškim rizicima treba biti sastavni dio donošenja ključnih odluka na najvišem upravljačkom nivou u okviru procesa strateškog/srednjoročnog planiranja i praćenja i evaluacije provođenja usvojenih planova.
9. Primjeri strateških rizika, po oblastima u kojima se mogu javiti, uključuju:
a. Provođenje politika organizacije: Rizici vezani uz neuspjehe u realizaciji javnih politika u nadležnosti organizacije
b. Finansijski: Rizici vezani uz sposobnost organizacije da osigura dugoročnu finansijsku održivost, ispuni svoje dugoročne finansijske obaveze, finansijski efekti predloženih odluka, investicijskih projekata, datih garancija i slično
c. Socijalni: Rizici vezani uz promjene u demografskim i socioekonomskim trendovima korisnika usluga i sposobnost organizacije da odgovori na njih
d. Reputacijski: Rizici vezani za prevaru, korupciju ili zloupotrebu koji podrivaju povjerenje građana u organizacije javnog sektora
e. Tehnološki: Rizici vezani uz tehnološke promjene i sposobnost organizacije da odgovori na njih i da ih koristi za rješavanje zahtjeva korisnika usluga / građana
f. Zakonodavstvo: Rizici vezani uz aktuelne ili potencijalne promjene nacionalnog ili evropskog prava, koji dobivaju na značaju s obzirom na pregovarački proces s Evropskom unijom
5
g. Okoliš: Rizici vezani uz promjene u okolišu, klimatske promjene (poplave/suše) i njihove utjecaje na životnu sredinu i kvalitet života građana, trendovi energetske efikasnosti, zagađenja, recikliranja, odlaganja otpada i sl.
h. Konkurentnost: Konkurentnost usluga (u smislu troškova i kvaliteta, npr. privatni /javni vrtići) i sposobnost organizacije da pruži vrijednost korisnicima usluga
i. Korisnici/građani: Rizici vezani uz neispunjavanje sadašnjih i budućih potreba/očekivanja građana
10.Operativni rizici su rizici vezani uz provođenje aktivnosti i procesa unutar pojedinačnih organizacija. Radi se o rizicima koji se generalno odnose na poslovanje organizacije i to u okvirima zadanih rokova, u skladu sa pokazateljima realizacije ciljeva, u skladu sa željenim kvalitetom usluge, u skladu sa primjenjivim zakonima i procedurama i slično. Upravljanje operativnim rizicima dio su redovnog poslovanja i predstavljaju odgovornost rukovodilaca nadležnih za programe, aktivnosti i procese, odnosno rukovodilaca organizacionih jedinica unutar kojih se ti programi, aktivnosti i procesi provode.
11.Primjeri operativnih rizika, po oblastima u kojima se mogu javiti, uključuju:
a. Kompetentnost i etičnost zaposlenih: Rizici vezani uz profesionalizam i etičnost zaposlenika u obavljanju poslova/pružanju usluga, rizici vezani uz zapošljavanja, obuke, unapređivanja, nagrađivanja i discipliniranja
b. Finansijski: Rizici vezani uz propuste u finansijskom poslovanju, finansijsko planiranje i izvršavanje finansijskog plana, ažurnost naplate potraživanja i isplate obaveza, kontrolu obaveza i sl.
c. Regulatorni: Rizici vezani uz povrede propisa, tužbe, eksterne inspekcijed. Zaštita ljudi, imovine i drugih resursa: Rizici vezani uz
sigurnost/zdravlje zaposlenika/korisnika usluga, rizici vezani uz zaštitu imovine (postrojenja, oprema, vozila i sl.) od krađa, požara, neracionalnog postupanja i slično
e. Dobavljači/vanjski partneri: Rizici vezani uz neuspjeh dobavljača/vanjskih partnera u realizaciji ugovora za pružanje usluga, radova, isporuku proizvoda u odnosu na ugovorenu cijenu, kvalitet, specifikaciju i sl.
f. Tehnološki: Operativni rizici vezani uz sigurnost IT sistema, opreme, podataka i sl.
12. Iako je podjela rizika na strateške i operativne korisna, treba voditi računa da se ove dvije kategorije rizika ne mogu promatrati izolovano jedna od druge. Međusobna povezanost strateških i operativnih rizika proizlazi iz činjenice da operativni rizici mogu biti uzrok ili posljedica strateških rizika i obrnuto. O uzročno-posljedičnim vezama i korelacijama između strateških i operativnih rizika potrebno je voditi računa u svim fazama upravljanja rizicima.
6
Inherentni i rezidualni rizik
13.Sa tehničke strane, bitno je podcrtati razliku između dvije vrste rizika: inherentnog i rezidualnog rizika.
14. Inherentni rizik je rizik ili skup rizika sa kojima se organizacija suočava ne uzimajući u obzir uspostavljene kontrole. To je vrsta rizika kod kojeg ne postoje kontrole i faktori koji ublažavaju rizike. Ovi rizici nastaju uslijed uobičajenih okolnosti i vrsta aktivnosti koje se provode, a mogu biti interni i eksterni.
15.Rezidualni rizik je vrsta rizika kod kojeg se uzimaju u obzir postojeće kontrole koje ublažavaju rizik. Dakle, nakon poduzimanja određenih radnji, rizik i dalje postoji, što ukazuje na to da se rizik ne može potpuno ukloniti. Nakon što se procijene inherentni rizici i dobije lista najznačajnijih rizika, potrebno je odrediti rezidualnu veličinu rizika. Pri tome se mora uzeti u obzir efikasnost i efektivnost postojećih kontrola. Rukovodilac procjenjuje efikasnost postojećih kontrola putem stalnog praćenja, izvještaja interne i eksterne revizije i sl. Pri tome se može utvrditi da nema odgovarajuće kontrole, da kontrole nisu efikasne u praksi ili da su potpuno efikasne.
Sistematičan pristup i ciklus upravljanja rizicima
16.Upravljanje rizicima podrazumijeva da korisnici javnih sredstava sistematično i najmanje jednom godišnje formalno utvrde i procjene rizike, pripreme plan za postupanje po riziku i osiguraju stalno praćenje najznačajnijih rizika kako bi mogli pravovremeno reagovati kroz preventivne ili korektivne aktivnosti.
17.Sistematičan pristup upravljanju rizicima podrazumijeva četiri međusobno povezana koraka:
A. utvrđivanje rizika B. procjenu utjecaja i vjerovatnoće nastanka rizika C. postupanje po rizicima koje pruža razumno uvjeravanje da rizici
neće ugroziti ostvarivanje postavljenih ciljeva D. praćenje i izvještavanje o rizicima
18. Ilustracija 1 prikazuje cikličnu prirodu i povezanost ovih koraka u okviru sistematičnog pristupa upravljanju rizicima. Upravljanje rizicima treba posmatrati kao kontinuirani proces, jer su rizici po svojoj prirodi dinamični i podložni promjenama kroz vrijeme, zbog čega proces upravljanja rizicima nikada u potpunosti ne završava.
7
Ilustracija 1 - Primjer ciklusa upravljanja rizicima
19.Upravljanje rizicima po svojoj prirodi nosi određenu subjektivnost zbog različitog poimanja pojedinaca u organizaciji u pogledu okolnosti u kojima posluje. U cilju postizanja objektivnijeg pristupa, upravljanje rizicima u fazama utvrđivanja i procjene zahtijeva što kvalitetnije ulazne podatke i analize.
A. Utvrđivanje rizika
Pristupi prilikom utvrđivanja rizika
20.Dva su osnovna pristupa koja se mogu koristiti za utvrđivanje rizika:
a) pristup „odozgo prema dole“
b) pristup „odozdo prema gore“
21.Pristup „odozgo prema dole“ najčešće se koristi za utvrđivanje strateških rizika, odnosno rizika vezanih uz realizaciju strateških ciljeva, prioritete u poslovanju i sl.
22.Pristup „odozdo prema gore“ najčešće se koristi za utvrđivanje operativnih rizika za koje su odgovorni rukovodioci organizacionih jedinica nadležnih za aktivnosti i poslovne procese. Informacije o operativnim rizicima mogu biti korisne za procjenu strateških rizika, ali treba voditi računa da te informacije ne prevladavaju u odnosu na informacije o strateškim rizicima.
8
23.Utvrđivanje rizika na cjelovit način zahtijeva kombinaciju oba pristupa. Pristup „odozgo prema dole“ sa nivoa najvišeg rukovodstva je važan za utvrđivanje strateških rizika jer pomaže da se izbjegnu situacije velikog broja utvrđenih, najčešće operativnih rizika, što je često praksa ako se za utvrđivanje rizika po strateške ciljeve koristi isključivo pristup „odozdo prema gore“. Međutim, rukovodioci organizacionih jedinica zaduženi za provođenje procesa/aktivnosti trebaju također biti uključeni u utvrđivanje rizika jer će na taj način omogućiti da se najviši nivo rukovodstva informiše o potencijalnim operativnim rizicima koji mogu utjecati na realizaciju strateških ciljeva. Preporuka je da se koristi kombinacija oba pristupa za utvrđivanje rizika čime se olakšava utvrđivanje rizika kako strateških (na nivou organizacije u cjelini) tako i operativnih rizika (na nivou pojedinih organizacionih jedinica i pojedinih procesa/aktivnosti).
Metode za utvrđivanje rizika
24.Za utvrđivanje rizika mogu se koristiti različite metode, od kojih su najčešće:
a) analiza podataka/informacija (npr. planski dokumenti, izvještaji i regulativa)
b) upitnici za utvrđivanje rizika
c) zajednički sastanci/radionice
25.Rizici se mogu utvrditi analizom planskih dokumenata, finansijskih i nefinansijskih izvještaja i zakonodavnog okvira prema primjerima dokumenata iz ilustracije 2 ispod. Ovakva analiza polučit će ažurirani pregled strateških i operativnih rizika, bez obzira da li su oni već utvrđeni u okviru samih planskih dokumenata ili se naknadno utvrđuju na temelju nove analize. Ujedno, analiza će pomoći razumijevanju odnosa između strateških i operativnih rizika koji utječu na ostvarenje ciljeva i prioriteta.
9
Ilustracija 2 - Primjeri izvora informacija (dokumenata) za potrebe utvrđivanje rizika
26.Upitnici za utvrđivanje rizika - za utvrđivanje strateških i operativnih rizika mogu se koristiti različiti upitnici koje organizacije mogu razraditi u skladu sa potrebama i specifičnostima u djelokrugu, odnosno poslovanju. Svrha upitnika je prikupljanje informacije od rukovodilaca, zaposlenih, korisnika usluga, građana, organizacija sa kojima se zajednički provode programi, projekti, aktivnosti i slično za potrebe utvrđivanja strateških i operativnih rizika.
27.Zajednički sastanci/radionice - prikupljene informacije o rizicima korisno je raspraviti na zajedničkim sastancima na različitim nivoima organizacije, s ciljem da se prikupljene informacije dodatno rasprave između uposlenika sa različitim iskustvima i saznanjima, te upotpune i određenim novim saznanjima do kojih se može doći kroz zajedničke rasprave. Standardni pristup održavanju zajedničkih sastanaka (engl. brainstorming) je poticanje kreativne razmjene ideja između učesnika. Pri tome je važno da učesnici razmatraju rizike u odnosu na zajednički postavljeni cilj. Ova metoda vrlo je djelotvorna u smislu razmjene informacija i mišljenja među različitim osobama i nivoima organizacije, kako bi se došlo do najboljih rješenja. Preporuka je da se rezultati razmjene ideja dokumentuju.
28.Uloge i odgovornosti, odnosno zaduženja u postupku identifikacije rizika ilustrativno su prikazana na Ilustraciji 3.
10
Ilustracija 3 - Pristupi i metode u postupku identifikacije rizika
Opis rizika
29.Opis rizika je završetak procesa utvrđivanja rizika i početak procesa procjene rizika. Utvrđene rizike potrebno je opisati na način da opis rizika obavezno sadrži informacije o:
- uzrocima rizika i- posljedicama rizika.
30.Detaljnije informacije o uzrocima i posljedicama rizika omogućit će kvalitetniju i objektivniju procjenu rizika, kao i utvrđivanje mjera za ublažavanje rizika. Primjer opisa rizika predstavljen je u tabeli 2 ispod.
Aktivnost/cilj: „Implementirati novi IT sistem za praćenje rezultata naknadnih kontrola do kraja 2017.“Opis rizika Komentar„Nemogućnost implementacije novog IT sistema za praćenje rezultata naknadnih kontrola do kraja 2017. godine.“
NIJE U REDU: Formulacija rizika je samo opis stanja suprotnog od cilja.
„Nedostatak zaposlenih.“ NIJE U REDU: Ne pruža nikakve informacije o uzroku rizika ili o potencijalnim posljedicama na aktivnosti/ciljeve.
„Nedostatak osposobljenih zaposlenih može uzrokovati kašnjenja u
BOLJE: Spomenuta je posljedica rizika po ostvarivanje cilja, ali nije dovoljno
11
implementaciji.“ precizna. Međutim, nema informacija o uzroku rizika.
„Nedostatak osposobljenih zaposlenih može dovesti do značajnog kašnjenja prilikom uvođenja projekta (po procjeni, oko 10-12 mjeseci). To je djelimično zbog nedovoljne edukacije osoblja.“
IDEALNO: Postoji kvantificirana procjena potencijalne posljedice rizika po ostvarivanje cilja i identifikovan je uzrok.
Tabela 2 - Ilustrativni primjeri opisa rizika
31.Ne postoji optimalan broj rizika koji bi trebalo identifikovati u fazi utvrđivanja rizika. Preporučuje se, međutim, da zbog zahtjevnih procedura vezanih za opisivanje i dalju analizu rizika, organizacije odrede razuman broj rizika koje mogu adekvatno procijeniti u skladu sa raspoloživim kapacitetima.
B. Procjena rizika
32.Nakon što se utvrde, rizike je potrebno procijeniti kako bi se rangirali, utvrdili prioriteti i pružile informacije za donošenje odluka o najznačajnijim rizicima na koje se treba usmjeriti. Procjena rizika uključuje procjenu utjecaja i vjerovatnoće nastanka rizika.
33.Kvalitetan opis rizika koji uključuje analizu uzroka i posljedica predstavlja polaznu osnovu za procjenu rizika. Informacije o uzrocima rizika omogućavaju lakšu procjenu vjerovatnoće nastanka rizika i utvrđivanje mjera za ublažavanje rizika koje će biti usmjerene na otklanjanje njegovog uzroka. Informacije o mogućim posljedicama rizika koriste se za utvrđivanje utjecaja rizika.
34.Za potrebe objektivnije procjene rizika, preporuka je da se analiza utvrđenih uzroka i posljedica rizika dopuni sa dodatnim informacijama u vidu analiza pokazatelja rizika i faktora rizičnosti.
35.Pokazatelji rizika su postojeća saznanja koja ukazuju da su određene situacije rizične. Veći broj pokazatelja rizika svojstven određenom području ukazuje na veću vjerovatnoću da je situacija rizična. Prepoznati pokazatelji rizika omogućavaju donošenje kvalitetnijih odluka o poduzimanju mjera. Pokazatelji rizika posebno su svojstveni za rizike prevara i nepravilnosti.
36.Faktori rizičnosti uključuju karakteristike, događaje, okolnosti, trendove vezane uz organizaciju, njeno poslovanje i okruženje koji ne moraju nužno biti u direktnoj uzročno-posljedičnoj vezi s rizicima, ali kroz korelacijske odnose mogu povećati vjerovatnost nastanka i utjecaja rizika6.
6 Na primjer, trend porasta prenesenih obaveza ili trend porasta nenaplaćenih potraživanja ukazuje na veću vjerovatnoću nastanka rizika finansijskih gubitaka ili čak rizika dugoročne finansijske neodrživosti. Jednako tako, česte izmjene regulative povećavaju vjerovatnoću rizika određenih propusta u njenoj primjeni uslijed nepoznavanja i nemogućnosti praćenja svih pitanja od strane organizacije.
12
37.Utvrđene faktore rizičnosti potrebno je razmatrati u zavisnosti jednih od drugih, jer više faktora rizičnosti i pokazatelja rizika mogu u konačnici rezultirati značajnim utjecajem i/ili velikom vjerovatnoćom da će se rizik ostvariti.
38.Analiza pokazatelja rizika i faktora rizičnosti zahtijeva aktivno prikupljanje i razmatranje informacija iz različitih izvora podataka, uključujući analize statističkih pokazatelja, informacija iz finansijskih i nefinansijskih izvještaja, zapažanja o stanjima, informacija iz baza podataka kojima raspolaže organizacija (računovodstveni sistemi, kadrovske evidencije, evidencije imovine i sl.), informacija od drugih organizacija i subjekata sa kojima se sarađuje, od građana (žalbe, pritužbe i sl.), otvorenih izvora informacija (novine, TV, Internet).
39.Analiza određenih faktora rizika, kao što su na primjer analize trendova porasta ili smanjenja određenih finansijskih pokazatelja (npr. trend porasta neplaćenih obaveza, nenaplaćenih potraživanja, pada prihoda, trend porasta pritužbi, sudskih troškova i ostalo – zavisno od specifičnosti u poslovanju) osigurat će objektivniju podlogu za procjenu finansijskih učinaka, odnosno iskazivanje utjecaja rizika u finansijskim iznosima.
Procjena utjecaja
40.Procjenu utjecaja rizika treba iskazati kroz određene nivoe, pri čemu se najčešće koristi podjela na nizak, srednji i visok nivo.
41.Utvrđeni nivoi utjecaja rizika iskazuju se na određenoj bodovnoj skali (na primjer, nizak nivo utjecaja = 1 bod; srednji nivo utjecaja = 2 boda; visok nivo utjecaja = 3 boda). Bodovna skala koristi se za potrebe izračuna, odnosno procjene ukupne izloženosti riziku.
42.Preporuka je da se utjecaj rizika iskaže po područjima na koje će se rizik odraziti. Primjer iskazivanja nivoa utjecaja rizika po područjima prikazan je u Tabeli 3 uz napomenu da je primjer ilustrativan i da područja na koja će rizik utjecati mogu biti brojnija i raznovrsnija).
PODRUČJA NA KOJA ĆE
RIZIK UTJECATI
UTJECAJ
Nizak (1 bod) Srednji (2 boda) Visok (3 boda)
Finansijski / imovina
Finansijski utjecaj je manji od xxx,xxx.xx
KM
Finansijski utjecaj je viši od xxx,xxx.xx KM a manji od zzz,zzz.zz
KM
Finansijski utjecaj je viši od zzz,zzz.zz
KM
Reputacija (integritet i
odgovornost)
Neće biti napretka u stvaranju
povjerenja javnosti
Djelimičan gubitak povjerenja javnosti
Značajan gubitak povjerenja javnosti
Kontinuitet poslovanja
Ograničen i minimalan prekid
Značajan prekid poslovanja u
Prekid normalnog poslovanja
13
poslovanja
Moguće je odmah nastaviti poslovanje
određenom broju organizacionih
jedinica
Poslovanje je moguće nastaviti relativno
brzo
cjelokupne organizacije
Poslovanje je moguće nastaviti tek
nakon dužeg vremena
Tabela 3 - Primjer procjene utjecaja rizika
43.Gdje je moguće, utjecaj rizika treba iskazati u finansijskim iznosima (npr. procijenjeni finansijski iznosi gubitaka, penala, neostvarenih prihoda, potencijalnih obaveza, sudskih troškova i sl.).
Procjena vjerovatnoće
44.Procjenu vjerovatnoće treba iskazati kroz određene nivoe vjerovatnoće pri čemu se najčešće koristi podjela na tri (3) nivoa: nizak, srednji i visok nivo vjerovatnoće.
45.Utvrđenim nivoima vjerovatnoće nastanka rizika pripisuje se određena bodovna skala (na primjer, niska vjerovatnoća = 1 bod; srednja vjerovatnoća = 2 boda; visoka vjerovatnoća = 3 boda). Bodovna skala koristi se za potrebe izračuna, odnosno procjene ukupne izloženosti riziku.
46. Vjerovatnoća rizika može biti iskazana opisno ili sa procijenjenim postotkom vjerovatnoće.
NAČIN OPISAVJEROVATNOĆA
Niska (1 bod) Srednja (2 boda) Visoka (3 boda)
Opisni prikaz Nije vjerovatno da će se dogoditi
Događaj se može ponekad realizirati
Očekuje se realizacija događaja
Prikaz sa procjenom postotka
vjerovatnoće
Vjerovatnoća manja od 5%
Vjerovatnoća viša od 5%, ali manja od
25%
Vjerovatnoća viša od 25%
Tabela 4 - Primjer procjene vjerovatnoće nastanka rizika
Ukupna izloženost riziku
47.Ukupna izloženost riziku predstavlja umnožak procijenjenog nivoa utjecaja rizika i procijenjenog nivoa vjerovatnoće nastanka rizika. Najčešće se koristi matrica 3x3 koja se prikazuje na sljedećoj ilustraciji7.
7 Moguće je koristiti tabele sa više ljestvica, tj. 4x4 ili 5x5, koje za rezultat imaju matricu sa 16, 25 ili više polja. Bez obzira na broj polja u matrici, potrebno je obratiti pažnju da većina rizika ne završi u srednjoj kategoriji.
14
VJER
OVA
TNO
ĆA
VISOKA srednji rizik(3x1)
visok rizik(3x2)
visok rizik(3x3)
SREDNJA nizak rizik (2x1)
srednji rizik(2x2)
visok rizik(2x3)
NISKA nizak rizik (1x1)
nizak rizik (1x2)
srednji rizik(1x3)
NIZAK SREDNJI VISOK
UTJECAJ
Ilustracija 4 - Primjer matrice za procjenu ukupne izloženosti riziku
48.Ukupna izloženost riziku također se iskazuje kroz određene nivoe, pri čemu se najčešće koriste tri nivoa (prikazano u Tabeli 5 ispod):
nizak ili prihvatljiv nivo ukupne izloženosti riziku, srednji ili podnošljiv nivo ukupne izloženosti riziku, visok ili neprihvatljiv nivo ukupne izloženosti riziku.
Nivo ukupne izloženosti
riziku
Raspon rezultataVjerovatnoća x
utjecajPrioritet rješavanja
Nizak (prihvatljiv)
1 – 2Nizak prioritet rješavanja – rizik ne zahtijeva visok stepen pažnje, ali zahtijeva povremeno praćenje
Srednji(podnošljiv)
3 – 4Srednji prioritet rješavanja – rizik zahtijeva određeni stepen pažnje, mjere za ublažavanje i redovno praćenje (npr. dva puta godišnje ili češće, ako postoji potreba)
Visok(neprihvatljiv)
6 – 9
Visok prioritet rješavanja – rizik zahtijeva visok stepen pažnje, mjere za ublažavanje, ukoliko je potrebno uključivanje i drugih organizacija u ublažavanje rizika, rizik zahtijeva kontinuirano praćenje u intervalima koji se ocijene prikladnim
Tabela 5 - Nivo ukupne izloženosti riziku
Utvrđivanje prioritetnih rizika
49.Kvalitetna procjena, temeljena na objektivnoj analizi uzorka, posljedica, faktora i pokazatelja rizika, rezultirat će jasnim prioritetima među procijenjenim rizicima. Prioritetni rizici su oni čija je ukupna izloženost riziku procijenjena kao najviša.
50.Za strateške rizike zaduženo je najviše rukovodstvo, dok su za operativne rizike zaduženi rukovodioci organizacionih jedinica.
15
51.Efektivno upravljanje rizicima, uzimajući u obzir zahtjeve dokumentovanja, praćenja i izvještavanja o rizicima, nalaže da broj prioritetnih rizika kojima se bavi najviše rukovodstvo organizacije bude sveden na razumnu mjeru. U pravilu, naglasak najvišeg rukovodstva treba staviti na strateške rizike, operativne rizike koji utječu na aktiviranje strateških rizika, te rizike od prevara i nepravilnosti kojima će se baviti rukovodstvo organizacije. Ostali prioritetni operativni rizici trebaju biti u fokusu rukovodilaca organizacionih cjelina u čijoj su operativnoj nadležnosti.
16
C. Postupanje po rizicima
52.Mjere koje će se poduzeti u vezi s pojedinačnim rizicima prvenstveno zavise od vrste i utvrđenih uzroka rizika.
53.Mjere za rješavanje ili ublažavanje strateških rizika zahtijevaju odluke na nivou strategija, politika, zakonodavnog i/ili institucionalnog okvira. Rizici na operativnom nivou najčešće zahtijevaju odluke višeg rukovodstva o pravilima i procedurama, te o unapređenjima sistema i procesa.
54.Praksa je pokazala da mogu postojati određeni prioritetni rizici kojima je organizacija izložena, a za koje su mogućnosti postupanja unutar organizacije ograničene. To se posebno odnosi na strateške rizike sistemske prirode koji se javljaju iz međusektorskih odnosa u javnom sektoru. Pod tim okolnostima, mjere postupanja po riziku zahtijevat će angažman više nadležnih organizacija.
55.Postoje četiri generička (tipska) načina postupanja po rizicima sa negativnim posljedicama:
Smanjivanje/ublažavanje rizika Prenošenje rizika Izbjegavanje rizika Prihvaćanje rizika
56.Smanjivanje/ublažavanje rizika podrazumijeva poduzimanje mjera kako bi se smanjila vjerovatnoća nastanka ili/i utjecaj rizika. Mjere koje organizacija poduzima uključuju primjenu elemenata sistema internih kontrola u cilju stavljanja rizika pod kontrolu i nastavka obavljanja aktivnosti bez ugrožavanja ostvarenja cilja. Ukoliko odluči smanjiti pojedine rizike, rukovodstvo treba odrediti mjere, rokove i odgovorne osobe za njihovo izvršenje.
57.Prenošenje rizika podrazumijeva prijenos rizika trećoj strani ili dijeljenje rizika s trećom stranom. Prenošenje rizika na treću stranu je odluka koju treba donijeti uz prethodno razumijevanje prirode takvog rizika, pravilnog odabira partnera koji je najsposobniji njime učinkovito upravljati, te analize troškova prenošenja rizika (na primjer, troškovi premije osiguranja). Ovaj vid postupanja po rizicima je karakterističan za rizike povezane s imovinom ili ljudima i rizike koji proizlaze iz javno-privatnih partnerstava.
58. Izbjegavanje rizika provodi se djelimičnim/potpunim modificiranjem ili ukidanjem aktivnosti odnosno procesa koji je izložen riziku. Ovaj vid postupanja karakterističan je na primjer za rizike koji se javljaju kod reorganizacije postojećih ili uvođenja novih programa, projekata, sistema, procesa i/ili aktivnosti kada se procijeni da su posljedice rizika neprihvatljive. Podrazumijeva promjene plana upravljanja projektom kako bi se izbjegli nepovoljni rizici (npr. preciznije definiranje zahtjeva, poboljšanje komunikacije, uključivanje eksperata i sl.),
17
odvajanje projektnih ciljeva od rizičnih utjecaja ili modificiranje ciljeva izloženih rizicima (npr. produženje roka ili smanjenje obima projekta).
59.Prihvatanje rizika jedna je od opcija onda kada su mogućnosti za sprječavanje ili izbjegavanje rizika ograničene ili troškovi poduzimanja mjera mogu biti nerazmjerni u odnosu na moguće koristi. Prihvatanje rizika ne znači nepoduzimanje odgovarajućih aktivnosti. Za rizike koji se prihvataju, potrebno je na primjer izraditi planove postupanja i stvoriti određene rezerve (u novcu, resursima ili vremenu) koji će biti aktivirani u slučaju ostvarenja rizika. Ovaj vid postupanja karakterističan je na primjer za rizike od prirodnih katastrofa.
60.Osim mjera usmjerenih na negativne posljedice rizika, treba razmatrati i mjere koje su usmjerene na korištenje pozitivnih učinaka, odnosno spriječiti situacije koje predstavljaju potencijalno “izgubljene prilike”. Ove mjere uključuju:
- stvaranje uslova da se potencijalne pozitivne prilike zaista ostvare, na primjer stvaranje uslova za finansiranje putem sredstava Evropske unije, povećanje resursa, optimizaciju troškova, osiguranje bolje kvalitete od planirane i slično;
- uključivanje zainteresovanih strana u korištenje prilika, na primjer malih i srednjih poduzetnika, javnih preduzeća, potencijalnih partnera iz privatnog sektora i drugih koji su najsposobniji iskoristiti te prilike;
- stvaranje okolnosti kroz povećanje vjerovatnoće i/ili utjecaja pozitivnih učinaka.
61.U praksi, rukovodioci će često primijeniti kombinaciju ovih pristupa. Na primjer, u vezi sa zaštitom od požara mogu se donijeti interna pravila i procedure o baratanju otvorenim plamenom (ublažavanje), osiguranje zgrade (prenošenje), korištenje vatrostalnih vrata (izbjegavanje). Također se i prihvata određeni rizik da do požara može doći zbog prirodne katastrofe.
18
D. Praćenje i izvještavanje o rizicima
Dokumentovanje procesa upravljanja rizicima
62.Korake provedene u procesu upravljanja rizicima potrebno je dokumentovati. Ciljevi dokumentovanja su:
- osigurati evidenciju i razmjenu informacija o rizicima i planiranim mjerama,
- pružiti polaznu tačku i olakšati aktivnosti u narednom ciklusu upravljanja rizicima,
- pružiti sveobuhvatne podatke neophodne za provođenje planiranih aktivnosti,
- omogućiti kontinuirano praćenje, pregled i izvještavanje rukovodstva,- pokazati da je proces adekvatno proveden.
63.Za potrebe dokumentovanja procesa upravljanja rizicima koriste se:- Obrasci za utvrđivanje i procjenu rizika (Prilog 1)- Registri rizika (Prilog 2)- Obrasci za praćenje statusa rizika (Prilog 3)
64.U obrascima za utvrđivanje i procjenu riziku dokumentuju se rizici, njihovi uzroci i posljedice i podaci o obavljenoj procjeni rizika.
65.Ukoliko se za procjenu riziku koriste analize faktora rizičnosti, pokazatelja rizika, iskazuju finansijski učinci rizika, te utjecaj rizika iskazuje po područjima na koja se može rizik odraziti, tada se obrasci za utvrđivanje i procjenu rizika mogu proširiti s dodatnim kolonama u svrhu dokumentovanja ovih podataka.
66.Registri rizika se popunjavaju podacima iz obrazaca za utvrđivanje i procjenu rizika i informacijama o mjerama, rokovima i odgovornim licima za postupanje po rizicima. Organizacije mogu dopuniti registre rizika sa dodatnim kolonama u skladu sa svojim specifičnostima, a preporuka je da registri rizika minimalno sadrže sljedeće informacije:
- rizik, - kratak opis rizika (uključujući uzrok i posljedice), - ukupna izloženost riziku (utjecaj i vjerovatnoća), - mjere za postupanje po riziku, - odgovorna lica za provođenje mjera i- rok za provođenje mjera.
67.Na nivou organizacije formira se minimalno jedan registar rizika u koji se unose strateški rizici, operativni rizici koji imaju utjecaj i/ili su povezani sa strateškim rizicima, kao i operativni rizici za koje se procijeni (s obzirom na njihove učinke) da ih je potrebno pratiti na nivou organizacije.
19
68.Registar rizika može se, u zavisnosti od specifičnosti i potreba organizacije i detaljnije razraditi u odnosu na podatke navedene u tački 66.
69.Registri operativnih rizika mogu se uspostavljati na nivou pojedinačnih organizacijskih jedinica (na primjer na nivou pojedinih sektora u ministarstvima) ili na nivou pojedinih programa/projekata, u zavisnosti od specifičnosti i potreba organizacije.
70.Podaci iz registra rizika služe za potrebe praćenja i izvještavanja rukovodstva. Registri rizika se ažuriraju po potrebi, a najmanje jednom godišnje, u sklopu redovnog godišnjeg ciklusa upravljanja rizicima, u cilju praćenja provođenja planiranih mjera za ublažavanje rizika i njihove učinkovitosti.
71.Podaci za ažuriranje registara rizika mogu se prikupljati putem obrasca za praćenje statusa rizika. Prilikom ažuriranja registra rizika unose se i podaci o novonastalim rizicima.
72.Obrazac za praćenje statusa rizika sadrži sljedeće podatke:
- status realizacije mjera za ublažavanje rizika (provedeno, djelimično provedeno ili neprovedeno)
- obrazloženje ako su mjere djelimično provedene ili nisu provedene- nova procjena ukupne izloženosti riziku- status rizika (manja, veća ili nepromijenjena izloženost riziku)- nove mjere za ublažavanje rizika, rokovi i odgovorne osobe za provođenje
u slučaju povećane izloženosti riziku
73.Obrazac za praćenje statusa rizika popunjava se podacima koji se prikupljaju kroz praćenje i izvještavanje o rizicima.
74.Dokumentovanje procesa upravljanja rizicima treba biti u funkciji učinkovitog upravljanja rizicima i zato organizacije mogu prilagođavati navedene obrasce prema svojim potrebama i specifičnostima.
75.Praćenje podrazumijeva praćenje provođenja mjera za ublažavanje rizika i praćenje izloženosti riziku (izloženost može biti veća, manja ili nepromijenjena).
76. Izvještavanje o realizaciji mjera koje se odnose na smanjenje strateških rizika treba biti sastavni dio izvještaja o realizaciji strateških ciljeva, odnosno odluka i kapitalnih projekata uz koje su ti rizici vezani. U zavisnosti od specifičnosti poslovanja i procjene rizika, mogu se pripremiti i posebni izvještaji.
77.Praćenje i izvještavanje o strateškim rizicima može se provoditi i u okviru redovnih kolegija rukovodilaca organizacije, a praćenje i izvještavanje o operativnim rizicima u okviru redovnih sastanaka rukovodstva nadležnih organizacionih jedinica.
20
78.Na sastancima rukovodstva može se raspravljati o adekvatnosti poduzetih mjera za ublažavanje rizika, mogu se predlagati i donositi odluke o novim mjerama za smanjenje izloženosti riziku, o rokovima i odgovornim osobama za izvršavanje potrebnih mjera.
Uloge i odgovornosti za uspostavljanje i jačanje upravljanja rizicima
79.Važno je istaknuti razliku između aktivnosti potrebnih za uspostavljanje procesa upravljanja rizicima na nivou cijelog korisnika javnih sredstava i za koje je zaduženo lice odgovorno za koordinaciju uspostavljanja procesa, od aktivnosti koje se odnose na proces upravljanja rizicima (utvrđivanje i procjena rizika, postupanje po rizicima, praćenje i izvještavanje o rizicima) i za koje su odgovorni rukovodioci na svim nivoima upravljanja.
80.Rukovodilac korisnika javnih sredstava odgovoran je za određivanje i ostvarivanje ciljeva korisnika javnih sredstava, kao i za uspostavljanje djelotvornog sistema upravljanja rizicima koji će pomoći u ostvarenju postavljenih ciljeva.
81.Rukovodioci na različitim nivoima upravljanja, u skladu sa dodijeljenim ovlaštenjima i odgovornostima, odgovorni su za ispunjavanje ciljeva u okviru svojih nadležnosti, a time i za upravljanje rizicima u predmetnim oblastima.
82.S obzirom na to da je upravljanje rizicima dio planiranih aktivnosti vezanih uz uspostavljanje finansijskog upravljanja i kontrole, koordinacija aktivnosti za uspostavljanje procesa upravljanja rizicima može se povjeriti koordinatoru za finansijsko upravljanje i kontrolu ili, prema procjeni rukovodioca, nekom drugom rukovodiocu najvišeg upravljačkog nivoa, na primjer sekretaru organizacije.
83.Poslovi koordinacije uspostave procesa upravljanja rizicima podrazumijevaju: poticanje kulture upravljanja rizicima u organizaciji i pružanje podrške
rukovodiocima u djelotvornom upravljanju rizicima kroz jačanje svijesti višeg rukovodstva o potrebi sistematičnog upravljanja rizicima,
upoznavanje svih rukovodilaca o potrebi uvođenja upravljanja rizicima u svojoj organizaciji, kao i upoznavanje sa Smjernicama za upravljanje rizicima i drugim relevantnim metodološkim dokumentima, u saradnji sa Centralnom harmonizacijskom jedinicom FMF,
omogućavanje interne edukacije o upravljanju rizicima zaposlenima na nivou osnovnih organizacionih jedinica.
u saradnji s rukovodiocima osnovnih organizacionih jedinica, pokretanje aktivnosti na uvođenju procesa upravljanja rizicima i određivanje rokova za pojedine aktivnosti i praćenje napretka u okviru redovne procjene i godišnje samoprocjene stanja sistema internih kontrola.
21
84.Osim uspostavljanja upravljanja rizicima na nivou osnovnih organizacionih jedinica, važno je sistematičan pristup upravljanju rizicima osigurati i u okviru programskog planiranja. Ovo je posebno važno onda kada aktivnosti/projekti u okviru programa prelaze okvire jedne organizacione jedinice.
85.Rukovodioci odgovorni za program trebaju upravljati rizicima koji mogu utjecati na ostvarenje ciljeva programa. Po potrebi, rukovodilac odgovoran za program u saradnji sa rukovodiocem osnovne organizacione jedinice može donijeti:
odluku o imenovanju lica zaduženog za prikupljanje podataka o utvrđenim rizicima na nivou programa,
odluku o uspostavljanju registra rizika za određeni program.
86.Ulogu u procesu upravljanja rizicima ima i interna revizija. Uloga interne revizije, definirana Standardima i Metodologijom rada, je nezavisna i objektivna procjena adekvatnosti i učinkovitosti procesa upravljanja rizicima i postavljenih kontrola kao odgovora na rizike. Interna revizija na taj način pruža podršku upravljačkoj strukturi u procesu upravljanja rizicima, ali je upravljačka struktura ta koja je odgovorna za upravljanje rizicima. Uloga i odgovornost interne revizije u odnosu na uspostavljanje, funkcioniranje i unapređenje okvira za upravljanje rizicima detaljno su opisane u Priručniku za procjenu rizika i planiranje interne revizije u javnom sektoru u Federaciji Bosne i Hercegovine („Službene novine FBiH“, broj: 106/14).
87.Prilikom izrade svojih strateških i godišnjih planova, interna revizija sarađuje sa upravljačkom strukturom radi određivanja sistema, programa, aktivnosti i procesa koje je potrebno prioritetno revidirati, a koji uz sebe vežu određene rizike o kojima imaju spoznaje upravljačka struktura i interna revizija. Procjenjujući adekvatnost i učinkovitost kontrolnih mehanizama u odnosu na najznačajnije rizike, interna revizija u svojim izvještajima u okviru nalaza upućuje na rizike koji se mogu aktivirati kao posljedica neodgovarajućih ili neefikasnih kontrolnih mehanizama. Preporuke interne revizije sadržane u revizorskim izvještajima najčešće su usmjerene prema jačanju postojećih kontrolnih mehanizama ili uvođenju novih kontrola. Budući da je za provođenje preporuka interne revizije zadužena upravljačka struktura, njihovom realizacijom upravljačka struktura pruža sigurnost da su poduzete potrebne radnje za smanjenje rizika.
88. Interna revizija, za potrebe obavljanja svojih zadataka, treba imati pravo pristupa cjelokupnoj dokumentaciji organizacije uključujući registre rizika kako bi mogla procijeniti funkcioniranje cjelokupnog sistema internih kontrola, a bilo bi poželjno i učestvovanje predstavnika interne revizije na sastancima najvišeg upravljačkog nivoa u vezi s upravljanjem rizicima. To predstavlja jedan vid garancije da će se resursi interne revizije usmjeriti prema procjeni upravljanja najznačajnijim rizicima i da će interna revizija, oslanjajući svoju procjenu rizika za potrebe interne revizije na procjeni rizika organizacije, pružiti podršku naporima
22
rukovodstva u unapređivanju ukupnog okvira za upravljanje rizicima u organizaciji.
M I N I S T R I C A
Jelka Milićević
Broj: 10-14-7-2781/18
Sarajevo, 24.04.2018. godine
23
Prilog 1 – Obrazac za utvrđivanje i procjenu rizika
A) Obrazac za utvrđivanje i procjenu rizika – minimalni elementi
Utvrđivanje rizika Procjena rizikaRizik Uzrok Posljedica Utjecaj Vjerovatnoća Ukupna
izloženost riziku
B) Obrazac za utvrđivanje i procjenu rizika – proširena verzija(dodatni podaci o faktorima rizičnosti, pokazateljima rizika, finansijskim učincima i području utjecaja rizika)
Utvrđivanje rizika Procjena rizikaRizik Uzrok Posljedica Faktori
rizičnostiPokazatelji
rizikaUčinak Vjerovatnoć
aUkupna
izloženost s finansijskim
učinkom
Područje učinka/ utjecaja
24
Prilog 2 – Obrazac registra rizika
Obrazac registra rizika za nivo organizacije
Rizik Vrsta
Strateški/
operativni
Opis rizika
(uzrok i posljedice)
Ukupna izloženost
riziku
Mjere za postupanje po riziku Odgovorne osobe za
provođenje mjera
Rok za provođenje
mjera
25
Prilog 3 – Obrazac za praćenje statusa rizika
Praćenje statusa rizika za period ________________(npr. 01.01.2017. – 31.12.2017.)
Rizik Prethodna
procjena rizika
Mjere za ublažavanje
rizika
Status provođe
nja mjera*
Obrazloženje za
neprovedene ili djelimično provedene
mjere
Nova procjena
rizika
Status izloženosti
riziku
Nove mjere za ublažavanje rizika
Rokovi Odgovorna lica
Napomene:
* Mjere za ublažavanje rizika mogu biti u statusu: provedene, djelimično provedene ili neprovedene. Za neprovedene ili djelimično provedene mjere potrebno je dostaviti i obrazloženje razloga neprovođenja ili djelimičnog provođenja mjera.
** Status rizika odnosi se na nivo izloženosti riziku koja u zavisnosti jesu li mjere za ublažavanje rizika provedene i koliko cjelovito, te jesu li nastupile nove okolnosti koje mogu utjecati na nivo izloženosti riziku (nivo izloženosti riziku može biti smanjen, povećan ili nepromijenjen).
Na osnovu podataka sadržanih u obrascu za praćenje statusa rizika ažuriraju se podaci u registru rizika.
26
Recommended