Professional Documents
Culture Documents
Mr Zdenko Adelsberger
Abstract: Implementation and application processes for risk management, based on the standard
ISO 31000:2009 has become virtually an integral part of the requirements of implementation of
each management system. A number of ambiguities in the implementation and continues to create
problems of many consultants and teams for implementation. However, a particular problem
relates to the process of auditing process to risk management. About the subject has little or no
overall published texts. The importance of auditing and optimization, and improving processes for
managing risks is especially important because on the basis of the results of this process in the
organization make strategic decisions and plan for significant resources. On the other hand,
because of the bad results of conducting such a process can generate enormous damage to the
organization. To get the performance very effective risk management process is one of important
factors is the auditing of the process. In this study points out the main problems and features of the
audit process.
Key words: risk management, audit, process management
1) Mr. Zdenko Adelsberger, Bluefield d.o.o., Trnsko 7B, Zagreb, Hrvatska, mail: zadelsbe@zg.t-com.hr
upravljanja rizicima. Očekujuće da će to biti ISO Značenje pojedinih blokova u shemi na slici 1 je:
31000 (odnosno ISO 27005 za ISMS). Neka to
bude službena odluka organizacije – ISO 31000. Komunikacija i konzultacija s internim i
Sada se postavljaju neka pitanja: kako to napraviti? eksternim ulagačima – zainteresiranim stranama,
Tko to može uraditi? Kako provjeravati da je takva kako je primjereno, na svakom stupnju procesa
implementacija zadovoljavajuća? itd. upravljanja rizikom i razmatranje procesa kao
cjeline.
2. Proces upravljanja rizicima
Utvrđivanje konteksta (eksternog i internog)
Tko god pročita standard ISO 31000 i makar malo upravljanja rizikom u kojem će se odvijati ostatak
analizira problematiku može odmah zaključiti da je procesa. Treba utvrditi kriterije prema kojima će se
to potpuno novo područje znanja i iskustva za procjenjivati rizik i definirati struktura analize.
menadžere, auditore i konzultante koji su te
poslove radili u okviru QMS-a, EMS-a, OHSAS-a, Identifikacija rizika gdje, kada, zašto i kako bi
HACCP-a itd. Njihova znanja i iskustva su malo događaji mogli spriječiti, umanjiti, odložiti ili
korisna za ovaj standard. Razlog je u tome što su povećati postizanje ciljeva.
sve to znanja i iskustva u području upravljanja
sistemima, a ISO 31000 je orjentiran na jedno usko Analiza rizika je identifikacija i procjena
područje u kojem vlada znanje i iskustvo druge postojećih kontrola. Određivanje posljedica i
struke: upravljanja rizicima. Moglo bi se reći da je vjerojatnosti i zatim razine rizika. Ova analiza
to neka vrsta „tehnološkog― standarda koji se bavi treba razmotriti područje potencijalnih posljedica i
pitanjem kako prepoznati, smanjiti i održavati kako bi se one mogle pojaviti.
niski nivo rizika u bilo kojem području u kojem se
primjenjuje. Uz to, standard ne definira nikakve Vrednovanje rizika je usporedba procijenjenih
metote za te aktivnosti, već samo okruženje kojim razina rizika s prethodno utvrđenim kriterijima i
se mogu postići postavljeni ciljevi. Metode razmatranje ravnoteže između potencijalnih koristi
otkrivanja i prepoznavanja, ranjivosti, prijetnji i i nepovoljnih rezultata. To omogućuje donošenje
posljedica, donošenja odluka itd. nisu sastavni dio odluka o opsegu i prirodi potrebnih obrada i o
standarda. To je prepušteno korisnicima da prioritetima.
odaberu prema području gdje bi se primjenio
proces za upravljanje rizicima. Razlog? Pa, te Obrada rizika predstavlja izradu i primjenu
metode se mogu toliko razlikovati od područja do specifičnih troškovno učinkovitih strategija i
područja primjene, da je praktički nemoguće sve to akcijskih planova za povećanje potencijalnih
skupiti na jednom mjestu. Blok shema procesa za koristi i smanjenje potencijalnih troškova.
upravljanje rizicima je prikazana na slici 1.
Praćenje i preispitivanje je neophodno zbog
uvida učinkovitost svih koraka procesa upravljanja
rizikom. To je važno za neprekidno poboljšavanje.
Potrebno je pratiti rizike i učinkovitost mjera
obrade kako bi se osiguralo da promjena uvjeta ne
mijenja prioritete.
A-61
namijenjen za provedbu eksternog i internog audita rizika i upravljanje rizicima u okvirima
mogu se auditirati sistemi, procesi i proizvodi. S koje je uspostavila organizacija kroz
druge strane, uvođenje procesa upravljanja svoju ustrukturu upravljanja ERM.
rizicima automatski se on uključuje među ostale e) Provjeriti okvir ERM-a i izvještavanje o
poslovne procese u organizaciji, i to u grupu internim kontrolama za gornje točke (a-
upravljačkih procesa. Time automatski postaju d), te osiguranje da su te dvije stavke
predmet audita. No, ako i ne gledamo standard ISO formalno dokumentirane i o tome
19011, rezultati procesa upravljanja rizicima daju izvještavane zainteresirane strane.
podatke koji diretno utiču na donošenje strateških
odluka u organizaciji, koje mogu dovesti do Na slici 2. je prikazana blok shema međusobnih
značajnih troškova i investicija. Pa zar vrhovna odnosa pojedinih faktora koji određuju okvir za
uprava nema potrebu da imaju sigurnost kako je upravljanje rizicima. U pojedinim skučajevima,
proces upravljanja rizicima upravo ono što žele. Ja prvenstveno0 zavisno od djelatnosti organizacije
sam uvjeren da ima. U svakom slučaju kako god se može se okvir proširivati, ili smanjivati, u
pogleda, audit procesa upravljanja rizicima je zavisnosti od realne slike funkcioniranja
izuzetno važan korak. organizacije u tržišnom okruženju.
Upravljanje rizikom mora biti dio glavnih 4. Model zrelosti upravljanja rizicima –
aktivnosti korporativnog života koji se dotiče svih
aspekata svih vrsta organizacija. Jedan od načina RMMM (Risk Management Maturity
da se dobije uvid u upravljanje rizikom je prolaz Model)
kroz sljedećih pet koraka:
a) Analizirati upravljanje rizicima u Uloga audita u upravljanju rizicima varira od
najširem obliku, što se obično naziva organizacije do organizacije ali i na različitim
upravljanje rizikom poduzeća dijelovima organizacije. Zato je izuzetno važno da
b) provjeriti usklađenost ERM-a (Enterprise autit timovi ne provode jednu jedinstvenu
Risk Management) i okvira za interpretaciju te uloge bez ocjene potreba i
upravljanje rizikom koji uključuje utjecaj mogućnosti u svim slučajevima. Jedan od načina
zainteresiranih strana i korporativni ugled da razmotri uloga audita u upravljanju rizicima je
organizacije. prolaz kroz sljedećih pet koraka:
c) Korištenje strategije formiranja i 1. Prepoznati razinu zrelosti upravljanja rizicima
provedbe procesa kojim se omogućava unutar organizacije i pokušati da se kroz
razumjevanje rizika za upravu i svih prepoznatu razinu zrelosti definiraju ciljevi
sudionika organizacije.
audita.
d) Provjeriti uspostavljene cikluse
operativnih rizika za ostvarenje poslovnih 2. Započeti audit na postojećoj razini zrelosti te
ciljeva, identifikaciju rizika, procjenu osigurati dobru potporu i pomoć audit tima
A-62
kod postavljanja strukture i pristupa auditu u Za prikazane modele na slikama 2 i 3 treba
ranoj fazi. napraviti ček liste za slijedeće komponente za
3. Kako organizacije sazrijeva, stvoriti mozaik ERM:
A. Zainteresirane strane
pojedinih uloga u organizaciji za upravljanje
B. Poslovni rizik
rizikom te osigurati da su revizijske uloge C. Regulatorni rizik
jasno utvrđene u ovim okvirima. D. Korporativna strategija
4. Postaviti veći naglasak na osiguranje ciljeva. E. Zrelost rizika
5. Mjerenje napredka ERM-a u odnosu osoblje, F. Uprava ERM
načine njihovog reagiranja pojave u praksi G. Platforma podrške ERM-a
vezano za rizike. H. Odbor za audit
I. Preopterećeni upravljanja rizicima
Na slici 3. je prikazan kompletan model ocjene J. Integracija
zrelosti procesa za upravljanje rizicima. K. Risk apetiti
A-63
Bodovi za pristup auditu
Referenca Literatura:
Točka Naziv Bodova % za akcioni [1] ISO 31000:2009, Risk management —
plan Principles and guidelines
A [2] ISO GUIDE 73:2009, Risk management —
B Vocabulary
C [3] ISO 19011:2002, Guidelines for quality and/or
D environmental management systems auditing
E [4] Michael P. Cangemi and Tommie Singleton,
F MANAGING THE AUDIT FUNCTION: A
G CORPORATE AUDIT DEPARTMENT
H PROCEDURES GUIDE, Third Edition, John
I Wiley & Sons, ISBN:0471281190
[5] K H Spencer Pickett, THE ESSENTIAL
J
HANDBOOK OF INTERNAL AUDITING,
Ukupno bodova za pristup auditu:
John Wiley & Sons Ltd, ISBN 978-0-470-
01316-8
[6] Curtis C. Verschoor, AUDIT COMMITTEE
6. Zaključak ESSENTIALS, John Wiley & Sons, Inc.,
ISBN 978-0-471-69959-0
Svaki korak audita u ove dvije faze (RMFM i [7] Engineers, Ctr for Chemical Process Safety of
RMMM) predstavlja relativno ozbiljan problem, the American Inst of Chem, GUIDELINES
odnosno bolje rečeno, potrebnu stručnost i znanja i FOR AUDITING PROCESS SAFETY
iskustva auditora, koji treba da donese konačnu MANAGEMENT SYSTEMS, ISBN
ocjenu o stanju procesa za upravljanje rizicima. 9780816905560
Cjelokupno to znanje se praktički ogleda kroz [8] George Christodoulakis, Stephen Satchell,
stvaranje primjerenih ček lista. THE ANALYTICS OF RISK MODEL
VALIDATION, Elsevier Ltd., ISBN: 978-0-
Odluka vrhovne uprave da pristupi formalno 7506-8158-2
upravljanju rizicima prema standardu ISO [9] CHRISTOPHER L. CULP, The Risk
31000:2009 predstavlja stratešku odluku. Management Process, John Wiley & Sons,
Provođenje te odluke i kasnije poboljšanje dovodi Inc., ISBN 0-471-40554-X.
obvezno do potrebe auditiranja procesa upravljanja [10] Dennis M. Ahern, Aaron Clouse, Richard
rizicima. Loš (nestručni) odnos prema procjeni Turner, CMMI® DISTILLED: A
rizika, kao jednom najkritičnijih faza procesa može PRACTICAL INTRODUCTION TO
dovesti do značajnih gubitaka u organizaciji ili do INTEGRATED PROCESS
nepotrebnih troškova za implementaciju IMPROVEMENT, Addison Wesley, ISBN 0-
sigurnosnih mjera, a da njih efekt ničim nije 321-18613-3
opravdan. Zato audit procesa upravljanja rizicima
mora dati pouzdanu ocjenu koliko je dobro
uspostavljen proces, ali i šta treba poduzeti da se
proces poboljša. Samo provođenje audita procesa
za upravljanje rizicima zahtjeva da auditor dobro
poznaje problematiku upravljanja rizicima, da ima
potrebna znanja vezana za ocjenu zrelosti
upravljanja procesima.
A-64