Zagreb, SAFU, 26. rujna 2012.

Upravljanje rizicima

Postižemo li optimalan uĉinak

sa resursima koji su nam

stavljeni na raspolaganje?

UVOD

• Što je rizik – vjerojatnost i učinak

• Postupanje sa rizicima

• Organizacija i upravljanje rizicima

• Praksa upravljanja rizicima

• Ostale novosti u novoj proceduri

• Vježba

RIZIK (I)

“Any event or issue that could occur and adversely

impact the achievement of the IPA political, strategic

and operational objectives. Lost opportunities are

also considered as risk”.

“Possible threat, an event (or complex of events),

activity (or complex of activities) or inactivity that may

cause loss of assets or reputation and threaten the

successful fulfillment of tasks set to the

organization.”

VJEROJATNOST

• “Mogućnost da se što potvrdi, dogodi ili ostvari”

(izvor: Hrvatski jezični portal)

• Do značajnije upotrebe ovog izraza dolazi sa razvojem

osiguravajućih društava (razvoj trgovine u 18. stoljeću)

• Oznaka:P (lat. probabilitas);matematički izraženo:0 ≤ P ≤ 1

• Niska – gotovo nemoguće ili postoji tek pokoji prethodni

slučaj ostvarenja rizika

• Srednja – postoje odreĎene prethodne indikacije da bi do

ostvarenja moglo doći

• Visoka – postoje jasne i učestale prethodne indikacije da

bi do ostvarenja moglo doći

UĈINAK

• Posljedica materijalizacije specifičnog rizika

• Učinak u smislu upravljanja rizicima je uvijek negativan jer

je došlo do posljedice koja ugrožava ostvarenje djelatnosti

organizacije, kao i kad se radi o propuštanju aktivnosti koja

bi rezultirala pozitivnim posljedicama.

• Nizak – procesi nisu nimalo ili su tek malo ugroženi

• Srednji – procesi su ugroženi, dodatna sredstva treba

uložiti da bi se ostvarili ciljevi

• Visok – procesi su jako ugroženi, treba uložiti znatna

sredstva; cilj možda nije moguće ostvariti

UĈINAK/VJEROJATNOST

Katastrofe

3-6

Institucionalni rizici

6+

1-2

Projektni rizici

3-6

Uĉin

ak

Vjerojatnost

Visoko

Nisko Velika

CILJ UPRAVLJANJA RIZICIMA

• Svesti rizike na prihvatljivu mjeru kroz:

a) smanjivanje vjerojatnosti realizacije

b) smanjivanje učinka ako se realiziraju; idealno:

c) istovremeno smanjiti vjerojatnost i učinak

• Sredstva uložena u upravljanje rizicima moraju biti

znatno manja od sredstava „spašenih” kroz upravljanje

rizicima.

• Potpuno, 100%-tno eliminiranje svih rizika nije isplativo

niti moguće.

• Upravljanje rizicima ne smije biti samo sebi svrha već

sredstvo ka cilju: ostvarenju djelatnosti organizacije.

POSTUPANJE SA RIZICIMA (I)

A) IZBJEGAVANJE RIZIKA

• Izmjena ili

• Obustava pojedinih aktivnosti i/ili ciljeva

organizacije – potrebne sustavne promjene,

restrukturiranje ili promjena tehnologije

B) PRIHVAĆANJE RIZIKA

• Razina rizika nije velika

• ProvoĎenje mjera u cilju ublažavanja rizika bi iziskivalo

više resursa nego što bi nastalo materijalizacijom rizika

• Stoga, ne poduzimamo ništa

POSTUPANJE SA RIZICIMA (II)

C) TRANSFER RIZIKA

• ProvoĎenje aktivnosti u cilju smanjenja vjerojatnosti ili

učinka putem podjele odgovornosti

• Rizik se prebacuje na treću stranu koja može kvalitetnije

ili ekonomičnije upravljati rizikom ili pak koja najjeftinije

može pretrpjeti posljedice.

D) UMANJENJE RIZIKA

• Uobičajen pristup rizicima

• Poduzimanje aktivnosti u cilju ublažavanja

učinka/vjerojatnosti rizika.

POSTUPANJE SA RIZICIMA (III)

Primjeri aktivnosti za umanjenje rizika:

• Poboljšanje pravnog okvira

• Pojednostavljenje ili razrada procedura

• Kontroliranje kvalitete

• Educiranje zaposlenika

• Poboljšanje kadrovske strukture

• Pribavljanje više potrebnih informacija kroz studije

izvedivosti/isplativosti; ankete ili upitnike

ORGANIZACIJA I UPRAVLJANJE RIZICIMA

• Upravljanje rizicima se u 20. stoljeću dovodi u kontekst sa

velikim sustavima i činjenicom raspolaganja proračunskim

sredstvima.

• PIFC (“Public Internal Financial Control”) (Zakon o

sustavu unutarnjih financijskih kontrola u javnom sektoru;

NN 141/06)

• COSO (Committee of Sponsoring Organizations of the

Treadway Commission)

• U IPA strukturi, uspostava i funkcioniranje sustava za

upravljanje rizicima je AKREDITACIJSKI KRITERIJ.

ORGANIZACIJA - „TKO JE TKO?”

1) Risk Manager

2) Risk Management Coordinator

3) Risk Management Panel

4) IPA Risk coordinator

Risk Manager – osoba za upravljanje rizicima (I)

• Odgovoran za koordinaciju upravljanja rizicima u svojoj

instituciji

• Saziva i vodi sastanak za upravljanje rizicima u svojoj

instituciji (2 puta godišnje, prije RMP, sastavlja se

zapisnik i ažurira RR) – sistemski pristup identifikacije

rizika

• Prikuplja i eskalira izvanredno identificirane rizike (Risk

Alert Form) koje šalje RMC ili IPA risk koordinatoru –

ad-hoc pristup identifikacije rizika

• Sudjeluje na Risk Management Panelu za svoju

komponentu

Risk Manager – osoba za upravljanje rizicima (II)

• Risk Manager NIJE odgovoran za odreĎivanje:

• Tko je odgovoran za suzbijanje pojedinog rizika

• Koje se mitigacijske mjere predlažu i provode

• Rokova za izvršenje mitigacijskih mjera

• Odgovornost za navedeno je na zaposlenicima u čijem

polju djelovanja se rizik javlja te njihovim nadreĎenima –

dakle onima koji imaju kontrolu nad rizičnim procesom.

• Uloga Risk Managera je da se pobrine da procedura

upravljanja rizicima bude poštovana i zbog svog iskustva

ima savjetodavnu ulogu.

Risk Management Coordinator - osoba za

koordinaciju upravljanja rizicima

• Saziva i vodi sastanak za upravljanje rizicima na razini

komponente (Risk Management Panel)

• Sakuplja Registre rizika, kao i Risk Alert Formove i Akcijske

planove

• Identificira i procjenjuje rizike u suradnji s Risk Managerima;

ažurira Registar

• Sastavlja/odobrava zapisnike s Risk Management Panela

• ProsljeĎuje ažurirani Registar, zapisnik i Akcijski plan svim

Risk Managerima, IPA Risk koordinatoru

• Aktivno sudjeluje u sastavljanju i nadziranju izvršenja

Akcijskih planova za visoke rizike

Risk Management Panel – sastanak osoba za

upravljanje rizicima

• Diskusija o rizicima identificiranim bilo sistemskim ili ad-

hoc pristupom, uz naglasak na visoko-rangirane rizike

• Diskusija o mitigacijskim mjerama i njihovom provoĎenju

• Sastavljanje konsolidiranog Registra rizika (uz registar

zatvorenih rizika) i motrenje razvoja rizika;

• Raspravljanje o Akcijskim planovima i poduzetim

mjerama

IPA Risk coordinator

• Koordinira upravljanje rizicima u svakoj IPA OS

• Raspravlja rizike iz Registara rizika na

NAO/(HOS/SPO)/RMC sastancima i osigurava suradnju

po pitanju rizika te analizira kvalitetu Registara rizika

• Analizira rizike i sastavlja godišnji izvještaj za NAO

27.9.2012.

INTEGRIRANJE PRAKSE UPRAVLJANJA RIZICIMA

• Odgovornost rukovoditelja: djelatnici moraju biti svjesni

rizika i njihova učinka na ostvarivanje ciljeva

organizacije.

• Neostvarivanje ciljeva organizacije ima negativne

implikacije i na rukovoditelje i na djelatnike.

• Rukovoditelji moraju promicati komunikacijsku i

poslovnu kulturu koja će osigurati protočnost informacija

potrebnih za donošenje odluka na svim razinama.

• Preventivna funkcija (Problem je rizik koji se materijalizirao –

kao takav više nije predmet procesa upravljanja rizicima)

• 5 koraka:

1) UtvrĎivanje ciljeva i pripadajućih rizika („Što želimo postići;

Što može poći po zlu i ugroziti ostvarenje cilja?”)

2) Procjena rizika i njihovo rangiranje („Je li rizik ozbiljan?”)

3) Odabir odgovora na rizik - planiranje aktivnosti postupanja po

rizicima („Što i kako učiniti da rizik umanjimo?”)

4) Provedba odgovora na rizik (mitigacijske aktivnosti)

5) Praćenje rizika i izvješćivanje o rizicima

UPRAVLJANJE RIZICIMA

PRAKSA – IPA SVE KOMPONENTE

PROCES UPRAVLJANJA RIZICIMA U IPA PROGRAMU

NDO (NAO)

IPA KOORDINATORI RIZIKA (priprema godišnje izvješće)

OSOBA ZADUŽENA ZA KOORDINACIJU RIZIKA NA RAZINI IPA KOMPONENTE (dostavlja

bilješke i registar rizika NDO/IPA koordinatoru rizika)

OSOBA ZADUŽENA ZA KOORDINACIJU RIZIKA NA RAZINI IPA

KOMPONENTE (SAZIVA SASTANAK VIJEĆA ZA PRAĆENJE RIZIKA)

OSOBE ZA UPRAVLJANJE RIZICIMA (dostavljaju registre rizika

osobama zaduženim za koordinaciju rizika na razini IPA komponente)

OSOBE ZA UPRAVLJANJE RIZICIMA (sazivaju sastanke u vezi upravljanja rizika na razini tijela unutar

operativne strukture – pripremaju bilješke i registar rizika)

PRAKSA – IPA KOMPONENTE III a, b, c (stara procedura)

PRAKSA – IPA KOMPONENTE III a, b, c (stara procedura)

• Functional area – područje u vašem poslovanju gdje se rizik

pojavljuje

• Risk trigger event – situacija koja dovodi do aktiviranja rizika

• Impact area – područje poslovanja na koje rizik ima utjecaj

• Comment on detected risks – detaljniji opis situacije rizika

• Recommended preventive/contingent actions (mitigacijske

mjere) – predložene mjere za ublažavanje rizika (navesti

način postupanja s rizikom; nije nužno ako je ublažavanje)

• Monitoring/reporting – ukratko o poduzetim mjerama i

izvorima iz kojih se vidi njihova učinkovitost.

PRAKSA – IPA KOMPONENTE III a, b, c (stara procedura)

PRAKSA – IPA KOMPONENTA I

Process, sub-process Risk ID

Risk trigger event, situation or factor

Risk owner

Existing controls

Effective-ness of the

control (yes / no)

Risk Assessment

New control ID

Activity to mitigate the risk

Deadline for activity implement

ation

Person responsible

for the implementation of the

action

Progress of implementation of the

action

Completed ?

(Yes / No)

Risk active / closed ?

Imp

act

Like

liho

od

Ris

k sc

ore

1 2 3 4 5 6 7 8 9 = 7*8

10 11 12 13 14 15 16

e.g. MP5.7 Post-project monitoring

1 e.g. Loss of necessary documentation, information, historical institutional memory necessary for post-project monitoring due to high staff turnover, internal rotation

Ms.Ana Smith

Institution's order for record keeping No....

yes 2 2 4 - - - - - - -

Internal regulation NO.... "Internal regulation for archiving"

ProcedureNo... "Post-project on-the-spot verifications"

2 e.g. Inadequate controls for timely detection ofirregularities, which may lead to situations when external audit or EC finds discrepancies in the Agency's checks

Mr.Alex Smith

Internal regulation No..... on the procedure for on-the-spot checks in post-project monitoring period

yes 2 3 6 1 Random check on the risk of the effectiveness of applied controls

21/12/2011

Mr.Tom Henks

Internal regulation No... "On procedure how to detect, appraise and report on irregularities detected during the post-project monitoring period"

Procedure "The post-project on-the-spot verifications"

PRAKSA – IPA KOMPONENTA I

• Process, sub-process – konkretan proces u vašem

poslovanju gdje se rizik pojavljuje

• Risk trigger event – situacija koja dovodi do aktiviranja rizika

• Risk owner – osoba koja ima direktne ovlasti nad procesom

poslovanja

• Existing controls – metode kontrole nad tim procesom koje su

već ugraĎene u proces

• Activity to mitigate risk (mitigacijske mjere) – predložene

mjere za ublažavanje rizika (navesti način postupanja s

rizikom; nije nužno ako je ublažavanje)

• Progress of implementation of the action – ukratko o napretku

glede poduzetih mjera (uz upućivanje na dokaze o

učinkovitosti)

PRAKSA – IPA KOMPONENTA I

RISK ALERT FORM

PROCESS / SUB-PROCESS

Name the process / sub-process to which the risk relates

DEPARTMENT / UNIT

Name the department / unit which owns the risk

RISK DETAILS

Risk trigger event, situation or factor: State the risk situation in the concern

Project (if relevant): Fill in the project No. and project title if the detected risk is referable to any specific project

Risk likelihood (1 to 3)

Risk impact (1 to 3)

Risk score Comment on identified risk and description

of potential consequences Necessary actions to prevent or mitigate the risk

Rate the

likelihood of the

risk occurring

Rate the impact of

the risk occurring

Determine partial

risk score

Add a brief description of the risk identified and its

likely impact on the unit/institution (e.g. scope,

resources, deliverables, timescale and/or budgets)

Suggest possible solutions by explaining preventive and contingent actions to

detected risk

SUPPORTING DOCUMENTATION

Supporting documentation (if any) for identified risk

Name:

Signature:

Date: DD/MM/YYYY

OSTALE NOVOSTI U NOVOJ

PROCEDURI

SISTEMSKI PRISTUP

Processes, sub-processes

Ris

k le

vel

of

the

su

b-p

roce

ss

Types of risks

e.g

. R

ele

van

ce

to

po

licy

req

uire

me

nts

e.g

. In

tern

al con

tro

l syste

m

/ p

roced

ure

s

e.g

. S

usta

inab

ility

of

institu

tio

n's

op

era

tio

ns

e.g

. In

tern

al o

rga

nis

atio

n

....

[1] [2] [3] [4] [5]

e.g. MP 2. 1 Financial Management and Accounting

MP2.1.1 Cash Flow Forecast H x x x

MP2.1.2 Budgetary Commitments M x x

MP2.1.3 Financial transfer of national co-financing (to IB) L

...

....

Appetite of risk type L M H L

• Potrebno je izraditi

mapu procesa u

koju stavljamo sve

procese i pod-

procese kojima se

naša institucija bavi

i koja se ažurira

jednom godišnje.

• Ocjenjujemo

procese kao

procese visokog,

srednjeg ili niskog

rizika

ODREĐUJEMO TIPOVE RIZIKA

Processes, sub-processes

Ris

k le

vel

of

the

su

b-p

roce

ss

Types of risks

e.g

. R

ele

van

ce

to

po

licy

req

uire

me

nts

e.g

. In

tern

al con

tro

l syste

m

/ p

roced

ure

s

e.g

. S

usta

inab

ility

of

institu

tio

n's

op

era

tio

ns

e.g

. In

tern

al o

rga

nis

atio

n

....

[1] [2] [3] [4] [5]

e.g. MP 2. 1 Financial Management and Accounting

MP2.1.1 Cash Flow Forecast H x x x

MP2.1.2 Budgetary Commitments M x x

MP2.1.3 Financial transfer of national co-financing (to IB) L

...

....

Appetite of risk type L M H L

• Potrebno je

ubaciti sve

primjenjive tipove

rizika koji mogu

utjecati na

procese naše

institucije.

• Popis je dio

priručnika ali ga

je moguće

modificirati

ovisno o stvarnoj

situaciji

ODREĐUJEMO APETIT RIZIKA PO TIPU

Processes, sub-processes

Ris

k le

vel

of

the

su

b-p

roce

ss

Types of risks

e.g

. R

ele

van

ce

to

po

licy

req

uire

me

nts

e.g

. In

tern

al con

tro

l syste

m

/ p

roced

ure

s

e.g

. S

usta

inab

ility

of

institu

tio

n's

op

era

tio

ns

e.g

. In

tern

al o

rga

nis

atio

n

....

[1] [2] [3] [4] [5]

e.g. MP 2. 1 Financial Management and Accounting

MP2.1.1 Cash Flow Forecast H x x x

MP2.1.2 Budgetary Commitments M x x

MP2.1.3 Financial transfer of national co-financing (to IB) L

...

....

Appetite of risk type L M H L

• Potrebno je definirati

u kojoj mjeri naša

institucija može biti

izložena riziku a da

ne mora poduzeti

mjere za njihovo

ublažavanje.

• Rangira se kao

visok, srednji, nizak,

s tim da je visok

apetit dobar (obrnuto

od razine rizika)

ODREĐUJEMO O ĈEMU TREBA SISTEMATSKI

RASPRAVLJATI

Processes, sub-processes

Ris

k le

vel

of

the

su

b-p

roce

ss

Types of risks

e.g

. R

ele

van

ce

to

po

licy

req

uire

me

nts

e.g

. In

tern

al con

tro

l syste

m

/ p

roced

ure

s

e.g

. S

usta

inab

ility

of

institu

tio

n's

op

era

tio

ns

e.g

. In

tern

al o

rga

nis

atio

n

....

[1] [2] [3] [4] [5]

e.g. MP 2. 1 Financial Management and Accounting

MP2.1.1 Cash Flow Forecast H x x x

MP2.1.2 Budgetary Commitments M x x

MP2.1.3 Financial transfer of national co-financing (to IB) L

...

....

Appetite of risk type L M H L

Stavljamo „X”:

a) gdje je razina

rizika VISOKA, a

apetit je NIZAK;

b) gdje je razina

rizika VISOKA a

apetit je SREDNJI;

c) gdje je razina

rizika SREDNJA a

apetit je NIZAK;

• Mapu procesa prireĎuje Risk Manager

• O pitanjima razine rizika procesa, tipova rizika

primjenjivih na proces i apetita po tipu rizika

raspravlja Risk Management Grupa

(NOVOST: potpunija forma Risk management meetinga

unutar institucije)

• Risk Management Grupa se sastoji od:

a) Risk Managera

b) Rukovoditelja

c) Internih revizora

d) Osobe zadužene za nepravilnosti

e) Svih drugih potrebnih djelatnika

Risk Management Grupa (I)

• Risk Management Grupa vrši:

a) Sistemsku analizu procesa

b) Identificira rizike

c) OdreĎuje njihovu razinu

d) Predlaže mjere za umanjenje

e) Ispunjava registar rizika

f) Vrši nadzor nad izvršenjem mjera za umanjenje

• Sastaje se dva puta godišnje, prije RMP (prvi i treći

kvartal, dok je RMP u drugom i četvrtom)

• Na prvom sastanku se vrši sistemska analiza rizika, a na

drugom nadzor nad mjerama

Risk Management Grupa (II)

VJEŽBA

Zadatak:

• Identificirati cilj i svrhu projekta (stvarnog ili

imaginarnog) i upisati ih na papir

• Identificirati 1-3 rizika koji se mogu pojaviti na tom

projektu

• Prilikom identifikacije rizika koristiti jednu od tehnika

kreativnog razmišljanja:

a) Brainstorming

b) Obrnuti brainstorming

c) Post mortem analiza

Glavne grupe rizika Područja u kojima se potencijalno identificiraju rizici

Vanjski 1. Rizici koji se

odnose na vanjsku

okolinu

- Rizici na makro nivou (geopolitički, ekonomski, više sile itd.)

- Političke odluke

- Vanjski partneri (agencije, konzultanti, media, poslovni

partneri)

Unutarnji

2. Rizici koji se

odnose na

planiranje, procese

i sustave

poslovanje

- Strategija, planiranje i politika, interne političke odluke

- Operativni procesi ( izgled dizajna i opisi)

- Financijski procesi i alokacija budžeta

- IT i drugi sustavi podrške

3. Rizici koji se

odnose na ljude i

organizacije

- Ljudski resursi (kadrovi, odgovornosti, suradnja)

- Etika i ponašanje unutar organizacije (prijevare, sukob

interesa)

- Interna organizacija (upravljanje, uloge i odgovornosti, misija)

- Sigurnost osoblja, zgrade i oprema

4. Rizici koji se

odnose na aspekte

zakonitosti i

nadzora

- Jasnoća, adekvatnost i koherentnost primjenjivih zakona,

regulative i pravila

- Druga potencijalna pitanja vezana uz zakonitost i regularnost

5. Rizici vezani uz

komunikaciju i

informacije

- Metode i kanali komunikacije

- Kvalitetne i pravovremene informacije

Pitanja

Kontakt

Sandro Čavrak

savjetnik

Ured za pripremu i provedbu projekata,

Odjel III

Osoba za upravljanje rizicima u SAFU

e-mail:sandro.cavrak@safu.hr