AUDITIRANJE PROCESA ZA UPRAVLJANJE RIZICIMA

PREMA ISO 31000:2009

AUDITING PROCESS TO RISK MANAGEMENT

ACCORDING TO ISO 31000:2009

Mr Zdenko Adelsberger

Rezime: Implementacija i primjena procesa za upravljanje rizicima, baziranom na standardu ISO

31000:2009 postao je praktički sastavni dio zahtjeva implementacije svakog sistema upravljanja.
Niz nejasnoća pri implementaciji i dalje stvara probleme mnogim konzultantima, ali i timovima za
implementaciju. No, poseban problem se odnosi na proces auditiranja procesa za upravljanje
rizicima. O toj temi ima jako malo ili u opće nema radova. Važnost auditiranja i optimizacije te
poboljšanja procesa za upravljanje rizicima je posebno značajno jer se na bazi rezultata tog
procesa donose u organizaciji strateške odluke i planiraju značajna sredstva. S druge strane, zbog
loših rezultata provođenja takvog procesa mogu se generirati ogromne štete za organizaciju. Da
bi se dobili efektni rezultati primjene procesa upravljanja rizicima jedan od bitnih faktora je i
auditiranje tog procesa. U okviru ovog rada se ukazuje na glavne probleme i značajke audita tog
procesa.
Ključne reči: upravljanje rizicima, audit, upravljanje procesima

Abstract: Implementation and application processes for risk management, based on the standard
ISO 31000:2009 has become virtually an integral part of the requirements of implementation of
each management system. A number of ambiguities in the implementation and continues to create
problems of many consultants and teams for implementation. However, a particular problem
relates to the process of auditing process to risk management. About the subject has little or no
overall published texts. The importance of auditing and optimization, and improving processes for
managing risks is especially important because on the basis of the results of this process in the
organization make strategic decisions and plan for significant resources. On the other hand,
because of the bad results of conducting such a process can generate enormous damage to the
organization. To get the performance very effective risk management process is one of important
factors is the auditing of the process. In this study points out the main problems and features of the
audit process.
Key words: risk management, audit, process management

1. UVOD rezultat najbolje prakse u području upravljanja

Pojava konačne verzije standarda ISO 31000:2009
koja opisuje i definira proces za upravljanje
rizicima može izazvati značajni uticaj na promjenu
svih ostalih standarda za sisteme upravljanja.
Jedino u području ISMS kojeg definirara standard
ISO 27001:2005 neće biti značajne promjene, jer
sve što se nalazi u ISO 31000 je već detaljno i
specijalistički primjenjeno u standardu ISO
27005:2008 koji se bavi problemom upravljanja
rizicima u području informacijske sigurnosti.
Jedna od značajki standarda ISO 31000 je da se
prema njemu nemože vršiti certifikacija, jer taj
standard nije skup zahtjeva koje se mora ispuniti
ako se želi implementirati i poboljšavati sistem za
upravljanje rizicima. Standard ISO 31000 je
rizicima i ima višegodišnju potvrdu u praksi kroz
nacionalnu normu AS/NZ 4360:2004 koja je i bila
osnova za ISO 31000. Drugim riječima, primjeniti
proces za upravljanje rizicima prema normi ISO
31000 nikog ništa ne obvezuje. Moguće je izmisliti
vlastiti proces za upravljanje rizicima u okviru
implementacije QMS-a, EMS-a, ISMS-a, itd. No,
problem se pojavljuje u racionalnosti takve odluke
i pitanju: zašto izmišljati nešto novo kada cijeli
svijet smatra da je predloženi proces za upravljanje
rizicima prema ISO 31000 upravo ono što je
potrebno.
Kada neka organizacija odluči da će
implementirati upravljanje rizicima u svoj
svakodnevni život, prvo se donosti odluka na koji
način će se vršiti organizacija čitavog sustava

1) Mr. Zdenko Adelsberger, Bluefield d.o.o., Trnsko 7B, Zagreb, Hrvatska, mail: zadelsbe@zg.t-com.hr
upravljanja rizicima. Očekujuće da će to biti ISO
31000 (odnosno ISO 27005 za ISMS). Neka to
bude službena odluka organizacije – ISO 31000.
Sada se postavljaju neka pitanja: kako to napraviti?
Tko to može uraditi? Kako provjeravati da je takva
implementacija zadovoljavajuća? itd.
2. Proces upravljanja rizicima
Tko god pročita standard ISO 31000 i makar malo
analizira problematiku može odmah zaključiti da je
to potpuno novo područje znanja i iskustva za
menadžere, auditore i konzultante koji su te
poslove radili u okviru QMS-a, EMS-a, OHSAS-a,
HACCP-a itd. Njihova znanja i iskustva su malo
korisna za ovaj standard. Razlog je u tome što su
sve to znanja i iskustva u području upravljanja
sistemima, a ISO 31000 je orjentiran na jedno usko
područje u kojem vlada znanje i iskustvo druge
struke: upravljanja rizicima. Moglo bi se reći da je
to neka vrsta „tehnološkog― standarda koji se bavi
pitanjem kako prepoznati, smanjiti i održavati
niski nivo rizika u bilo kojem području u kojem se
primjenjuje. Uz to, standard ne definira nikakve
metote za te aktivnosti, već samo okruženje kojim
se mogu postići postavljeni ciljevi. Metode
otkrivanja i prepoznavanja, ranjivosti, prijetnji i
posljedica, donošenja odluka itd. nisu sastavni dio
standarda. To je prepušteno korisnicima da
odaberu prema području gdje bi se primjenio
proces za upravljanje rizicima. Razlog? Pa, te
metode se mogu toliko razlikovati od područja do
područja primjene, da je praktički nemoguće sve to
skupiti na jednom mjestu. Blok shema procesa za
upravljanje rizicima je prikazana na slici 1.
Slika 1 – Blok shema procesa za upravljanje
rizicima prema ISO 31000:2009
A-61
Značenje pojedinih blokova u shemi na slici 1 je:
Komunikacija i konzultacija s internim i
eksternim ulagačima – zainteresiranim stranama,
kako je primjereno, na svakom stupnju procesa
upravljanja rizikom i razmatranje procesa kao
cjeline.
Utvrđivanje konteksta (eksternog i internog)
upravljanja rizikom u kojem će se odvijati ostatak
procesa. Treba utvrditi kriterije prema kojima će se
procjenjivati rizik i definirati struktura analize.
Identifikacija rizika gdje, kada, zašto i kako bi
događaji mogli spriječiti, umanjiti, odložiti ili
povećati postizanje ciljeva.
Analiza rizika je identifikacija i procjena
postojećih kontrola. Određivanje posljedica i
vjerojatnosti i zatim razine rizika. Ova analiza
treba razmotriti područje potencijalnih posljedica i
kako bi se one mogle pojaviti.
Vrednovanje rizika je usporedba procijenjenih
razina rizika s prethodno utvrđenim kriterijima i
razmatranje ravnoteže između potencijalnih koristi
i nepovoljnih rezultata. To omogućuje donošenje
odluka o opsegu i prirodi potrebnih obrada i o
prioritetima.
Obrada rizika predstavlja izradu i primjenu
specifičnih troškovno učinkovitih strategija i
akcijskih planova za povećanje potencijalnih
koristi i smanjenje potencijalnih troškova.
Praćenje i preispitivanje je neophodno zbog
uvida učinkovitost svih koraka procesa upravljanja
rizikom. To je važno za neprekidno poboljšavanje.
Potrebno je pratiti rizike i učinkovitost mjera
obrade kako bi se osiguralo da promjena uvjeta ne
mijenja prioritete.
Kada se napravi implementacija procesa
upravljanja rizicima prema ISO 31000 postavlja se
pitanje, treba li ga auditirati kada to nije
certifikacijski standard? Naime, kod drugih
sistema upravljanja (QMS, ISMS, EMS, itd) sve se
bazira na zadovoljavanju eksplicitnih zahtjeva
definiranih u pojedinim standardima (9001, 27001,
14001, itd). Interni i vanjski auditori kroz postupke
audita nalaze potvrdu da li je sistenm u skladu sa
zahtjevima ili nije. U konačnici, vanjskim auditom
se dobiva ili produžava certifikat, a internim
auditom se dobiva realna osnova za poboljšanje
sistema. Odgovor na pitanje 'treba li auditirati
proces upravljanja rizicima' je: da, treba (mora) se
vršiti auditiranje procesa za upravljanje rizicima.
Naime, prema standardu ISO 19011 koji je
namijenjen za provedbu eksternog i internog audita
mogu se auditirati sistemi, procesi i proizvodi. S
druge strane, uvođenje procesa upravljanja
rizicima automatski se on uključuje među ostale
poslovne procese u organizaciji, i to u grupu
upravljačkih procesa. Time automatski postaju
predmet audita. No, ako i ne gledamo standard ISO
19011, rezultati procesa upravljanja rizicima daju
podatke koji diretno utiču na donošenje strateških
odluka u organizaciji, koje mogu dovesti do
značajnih troškova i investicija. Pa zar vrhovna
uprava nema potrebu da imaju sigurnost kako je
proces upravljanja rizicima upravo ono što žele. Ja
sam uvjeren da ima. U svakom slučaju kako god se
pogleda, audit procesa upravljanja rizicima je
izuzetno važan korak.
Odmah treba reći da auditiranje procesa za
upravljanje rizicima trebaju raditi profesionalci,
ljudi koji dobro znaju probleme upravljanja
rizicima, a da se i ne govori da bi trebali imati i
neki osobni certifikat iz tog područja.
Pretpostavimo da postoji takav profesionalac,
pogledajmo malo što bi to trebalo auditirati kod
precesa za upravljanje rizicima. Kao prvo postoji
nekoliko važnih područja tijekom procesa
auditiranja koje se trebaju provjeriti, kako kroz
dokumentaciju, tako i kroz rezultate njihovog rada
u praksi. Područja audita procesa za upravljanje
rizicima su model okvira za upravljanje rizicima i
model zreolsti upravljanja rizicima.
3. Model okvira za upravljanje rizicima –
RMFM (Risk Management Framework
Model)
Upravljanje rizikom mora biti dio glavnih
aktivnosti korporativnog života koji se dotiče svih
aspekata svih vrsta organizacija. Jedan od načina
da se dobije uvid u upravljanje rizikom je prolaz
kroz sljedećih pet koraka:
a) Analizirati upravljanje rizicima u
najširem obliku, što se obično naziva
upravljanje rizikom poduzeća
b) provjeriti usklađenost ERM-a (Enterprise
Risk Management) i okvira za
upravljanje rizikom koji uključuje utjecaj
zainteresiranih strana i korporativni ugled
organizacije.
c) Korištenje strategije formiranja i 1. Prepoznati razinu zrelosti upravljanja rizicima
provedbe procesa kojim se omogućava
razumjevanje rizika za upravu i svih
sudionika organizacije.
d) Provjeriti uspostavljene cikluse
operativnih rizika za ostvarenje poslovnih
ciljeva, identifikaciju rizika, procjenu
A-62
rizika i upravljanje rizicima u okvirima
koje je uspostavila organizacija kroz
svoju ustrukturu upravljanja ERM.
e) Provjeriti okvir ERM-a i izvještavanje o
internim kontrolama za gornje točke (a-
d), te osiguranje da su te dvije stavke
formalno dokumentirane i o tome
izvještavane zainteresirane strane.
Na slici 2. je prikazana blok shema međusobnih
odnosa pojedinih faktora koji određuju okvir za
upravljanje rizicima. U pojedinim skučajevima,
prvenstveno0 zavisno od djelatnosti organizacije
može se okvir proširivati, ili smanjivati, u
zavisnosti od realne slike funkcioniranja
organizacije u tržišnom okruženju.
Slika 2 –Shema međusobnih odnosa modela
okvira za upravljanje rizicima (KIP = Ključni
Indikator Performasi)
4. Model zrelosti upravljanja rizicima –
RMMM (Risk Management Maturity
Model)
Uloga audita u upravljanju rizicima varira od
organizacije do organizacije ali i na različitim
dijelovima organizacije. Zato je izuzetno važno da
autit timovi ne provode jednu jedinstvenu
interpretaciju te uloge bez ocjene potreba i
mogućnosti u svim slučajevima. Jedan od načina
da razmotri uloga audita u upravljanju rizicima je
prolaz kroz sljedećih pet koraka:
unutar organizacije i pokušati da se kroz
prepoznatu razinu zrelosti definiraju ciljevi
audita.
2. Započeti audit na postojećoj razini zrelosti te
osigurati dobru potporu i pomoć audit tima
 kod postavljanja strukture i pristupa auditu u Za prikazane modele na slikama 2 i 3 treba
ranoj fazi. napraviti ček liste za slijedeće komponente za
3. Kako organizacije sazrijeva, stvoriti mozaik ERM:
A. Zainteresirane strane
pojedinih uloga u organizaciji za upravljanje
B. Poslovni rizik
rizikom te osigurati da su revizijske uloge C. Regulatorni rizik
jasno utvrđene u ovim okvirima. D. Korporativna strategija
4. Postaviti veći naglasak na osiguranje ciljeva. E. Zrelost rizika
5. Mjerenje napredka ERM-a u odnosu osoblje, F. Uprava ERM
načine njihovog reagiranja pojave u praksi G. Platforma podrške ERM-a
vezano za rizike. H. Odbor za audit
I. Preopterećeni upravljanja rizicima
Na slici 3. je prikazan kompletan model ocjene J. Integracija
zrelosti procesa za upravljanje rizicima. K. Risk apetiti

U tom slučaju se konačni rezultati audita

postavljaju u tablicu preglega koja služi za ocjenu I
analizu ERM-a. Primjer pregleda rezultata audita
ERM-a je prikazan u tablici 2.

Bodovi za komponente ERM proces

Referenca
Točka Naziv Bodova % za akcioni
plan
A
B
C
D
Slika 3. Model ocjene zrelosti upravljanja E
rizicima (CEO=Chief executive officer, CRO= F
Chief Risk Officer, CAE=Chief Audit Executive ) G
H
5. Praktično provođenje audita I
J
Na temelju gore prikazanih modela koji se K
primjenjuju za auditiranje procesa za upravljanje Ukupno bodova za ERM:
rizicima praktično provođenje audita se odvija Tablica 2 – Zbirna lista bodova za audit ERM-a
kroz primjenu odgovarajućih ček lista s
primjerenim pitanjima i odgovarajućim Pored stvaranja ček lista za komponente ERM
vrednovanjem odgovora. To vrednovanje se može procesa stvara se i niz ček lista za ocjenu pristupa
napraviti npr. prema kriteriju: 1 bod za slučaj da auditu. Po formi ček lista je ista kao što je
nije ispunjen kriterij, 5 za slučaj da je kriterij prikazano u tablici 1, međutim grupe pitanja su po
djelomično ispunjen, te 10 bodava za slučaj točkama:
potpunog ispunjenja kriterija. Primjer ček liste za A. Pristup auditu
jedanu komponentu ERM-a prikazan je u Tablici B. Konzalting
1. C. Osiguranje
D. Nezavisnost
Točka ERM Bodovi E. Preliminarna održivost
Dokaz Akcija
x komponenta (1-10) F. Dokazi audita
x.1 Pitanje 1 G. Registar poslovnog rizika
x.2 Pitanje 2 H. Osiguranje menadžmenta
…. I. Osiguranje audita
x.N Pitanje N J. SIC (Statement on Internal Control)
Ukupno bodova: Bodova: %:
Tablica 1 – Primjer izgleda ček liste za Rezultati za ove ček liste se također upisuju u
ocjenjivanje komponente ERM-a zbirni izvještaj, kao što je prikazano u tablici 3.

A-63
 Bodovi za pristup auditu
Referenca Literatura:
Točka Naziv Bodova % za akcioni [1] ISO 31000:2009, Risk management —
plan Principles and guidelines
A [2] ISO GUIDE 73:2009, Risk management —
B Vocabulary
C [3] ISO 19011:2002, Guidelines for quality and/or
D environmental management systems auditing
E [4] Michael P. Cangemi and Tommie Singleton,
F MANAGING THE AUDIT FUNCTION: A
G CORPORATE AUDIT DEPARTMENT
H PROCEDURES GUIDE, Third Edition, John
I Wiley & Sons, ISBN:0471281190
[5] K H Spencer Pickett, THE ESSENTIAL
J
HANDBOOK OF INTERNAL AUDITING,
Ukupno bodova za pristup auditu:
John Wiley & Sons Ltd, ISBN 978-0-470-
01316-8
[6] Curtis C. Verschoor, AUDIT COMMITTEE
6. Zaključak ESSENTIALS, John Wiley & Sons, Inc.,
ISBN 978-0-471-69959-0
Svaki korak audita u ove dvije faze (RMFM i [7] Engineers, Ctr for Chemical Process Safety of
RMMM) predstavlja relativno ozbiljan problem, the American Inst of Chem, GUIDELINES
odnosno bolje rečeno, potrebnu stručnost i znanja i FOR AUDITING PROCESS SAFETY
iskustva auditora, koji treba da donese konačnu MANAGEMENT SYSTEMS, ISBN
ocjenu o stanju procesa za upravljanje rizicima. 9780816905560
Cjelokupno to znanje se praktički ogleda kroz [8] George Christodoulakis, Stephen Satchell,
stvaranje primjerenih ček lista. THE ANALYTICS OF RISK MODEL
VALIDATION, Elsevier Ltd., ISBN: 978-0-
Odluka vrhovne uprave da pristupi formalno 7506-8158-2
upravljanju rizicima prema standardu ISO [9] CHRISTOPHER L. CULP, The Risk
31000:2009 predstavlja stratešku odluku. Management Process, John Wiley & Sons,
Provođenje te odluke i kasnije poboljšanje dovodi Inc., ISBN 0-471-40554-X.
obvezno do potrebe auditiranja procesa upravljanja [10] Dennis M. Ahern, Aaron Clouse, Richard
rizicima. Loš (nestručni) odnos prema procjeni Turner, CMMI® DISTILLED: A
rizika, kao jednom najkritičnijih faza procesa može PRACTICAL INTRODUCTION TO
dovesti do značajnih gubitaka u organizaciji ili do INTEGRATED PROCESS
nepotrebnih troškova za implementaciju IMPROVEMENT, Addison Wesley, ISBN 0-
sigurnosnih mjera, a da njih efekt ničim nije 321-18613-3
opravdan. Zato audit procesa upravljanja rizicima
mora dati pouzdanu ocjenu koliko je dobro
uspostavljen proces, ali i šta treba poduzeti da se
proces poboljša. Samo provođenje audita procesa
za upravljanje rizicima zahtjeva da auditor dobro
poznaje problematiku upravljanja rizicima, da ima
potrebna znanja vezana za ocjenu zrelosti
upravljanja procesima.

Rad je objavljen u Zborniku radova:

„FESTIVAL KVALITETA 2010―, 19-21. Maj 2010, Kragujevac, ISBN: 978-86-86663-52-8

A-64