Professional Documents
Culture Documents
MINISTARSTVO FINANCIJA/ M
FINANSIJA I TREZORA
DODACI UZ SMJERNICE
Institucije se u svom poslovanju suoavaju sa brojnim rizicima koji mogu uticati na ostvarenje
ciljeva. S obzirom da nije mogue u potpunosti ukloniti rizike iz poslovanja, naglasak se treba
staviti na upravljanje rizikom u smislu odgovora na rizik i ublaavanja nepovoljnih uticaja rizika.
Glavni cilj je da se ili smanji vjerovatnoa i/ili uticaj rizika ili da se osigura spremnost na rizike koji
se ne mogu lako kontrolisati.
Upravljanjem rizicima e se: smanjiti vjerovatnoa potecijalnih iznenaenja i pomoi u
pripremi odgovora na neeljene dogaaje i ishode, poboljati planiranje, pomoi u pogledu
informisanja, osigurati da se svi poznati rizici prate i/ili da se njima upravlja, ojaati odgovornost
svih uesnika u procesu upravljanja rizicima.
3
1. Uvod
Upravljanje rizicima je alat koji rukovodstvu pomae da predvidi izmijenjene okolnosti u
ekonomskom, drutvenom i politikom okruenju i reaguje na njih, te ini sastavni dio procesa
upravljanja.
predvide nepovoljne okolnosti ili dogaaji koji bi mogli sprijeiti ostvarenje ciljeva
institucije
usmjere postupci interne kontrole i ogranieni resursi prema kljunim podrujima
djelatnosti i sa njima povezanim rizicima.
To ne znai da upravljaka struktura do sada nije bila svjesna postojanja rizika, ali upravljanje
rizikom nije bilo sistemsko i kao takvo ne ispunjava zahtjeve koje postavlja sistem internih
finansijskih kontrola u skladu sa meunarodnim standardima za internu kontrolu.
4
1.1. Svrha Smjernica
Cilj Smjernica je ujednaiti praksu upravljanja rizicima i postaviti okvir unutar kojeg e svaka
institucija ugraditi i razvijati upravljanje rizicima prilagoeno svojim specifinostima. Efektivnim
upravljanjem rizicima ele se ojaati postojee strukture upravljanja, te u procese planiranja i
donoenja odluka ugraditi upravljanje rizicima kao standard.
Smjernice daju prikaz kljunih koraka za uspostavljanje upravljanja rizicima u institucijama koji
se zasnivaju na COSO okviru, razliite pristupe i opcije u njihovoj razradi prilikom uspostavljanja
upravljanja rizicima kako bi svaka institucija mogla odabrati nain i metode koje su za njih
najprihvatljivije.
6
2. Upravljanje rizicima kao dio sistema internih finansijskih kontrola
Razvoj sistema internih finansijskih kontrola u institucijama BiH podstie i razvoj upravljanja
rizicima.
Sistem internih finansijskih kontrola odreen je kao cjelokupan sistem finansijskih i drugih
kontrola uspostavljen od strane rukovodioca institucije sa ciljem uspjenog upravljanja i
ostvarenja zadataka. Sistem obuhvata tri komponente: finansijsko upravljanje i kontrolu, internu
reviziju i Centralnu harmonizacijsku jedinicu.
kontrolno okruenje
upravljanje rizicima
kontrolne aktivnosti
informacije i komunikacije
praenje i procjenu.
Zakon o finansiranju institucija BiH definie rizik kao vjerovatnou da e se desiti neki dogaaj,
koji moe da utie na ostvarivanje ciljeva organizacije.
Rizik se takoer moe definisati i kao prijetnja ostvarenju ciljeva, programa ili pruanja usluga
graanima.
1
Interna kontrola integrisani okvir (1992), Komitet sponzorskih organizacija Treadway komisije (eng. Committee
of Sponsoring Organisations of the Treadway Commission).
7
nepouzdano izvjetavanje,
nesposobnost reagovanja na promijenjene okolnosti na nain da se sprijei ili
smanji nepovoljni uinak na poslovanje institucije.
Ako institucije nemaju efektivan nain upravljanja rizicima, trokovi otklanjanja posljedica su
visoki.
Bolje odluivanje
Sve odluke nose sa sobom odreeni nivo neizvjesnosti, bez obzira da li se odnose na
uobiajene zadatke ili na nove ideje i mogunosti. Upravljanje rizicima pomae
rukovodiocima da svoje odluke usklade sa procjenom predvienih i nepredvienih
ishoda.
Poveanje efikasnosti
Prihvatanjem pristupa zasnovanog na rizicima, institucija moe bolje odluivati o
nainu unapreenja sistema, rasporeivanju sredstava i postizanju ravnotee
izmeu prihvatljivog nivoa rizika i trokova kontrole.
8
2.2. Upravljanje rizicima odgovornost upravljake strukture
Potrebno je uspostaviti sistemski pristup upravljanju rizicima na nivou institucije kao pomo u
blagovremenom reagovanju na rizike koji mogu sprijeiti ili oteati ostvarenje ciljeva institucije.
9
Proces upravljanja rizicima (postavljanje ciljeva, utvrivanje i procjena rizika, postupanje po
rizicima, praenje i izvjetavanje o rizicima) je odgovornost rukovodilaca na svim nivoima
upravljanja.
Broj zaduenih osoba i nivoa organizacione jedinice na kojoj e se formirati registri rizika zavisit
e od veliine organizacione jedinice i broja zaposlenih. Rukovodioci organizacione jedinice u
saradnji sa rukovodiocima unutar svoje organizacione jedinice (rukovodioci odsjeka, odjeljenja)
mogu odluiti da se registar rizika formira:
Na nivou svakog programa treba upravljati rizicima koji mogu uticati na ostvarenje ciljeva
programa, prikupljati podatke o utvrenim rizicima na nivou programa i voditi registre rizika za
odreeni program.
Ovo je posebno vano kada aktivnosti programa prelaze okvire organizacione jedinice (npr. kada
je vie organizacionih jedinica ukljueno u realizaciju odreenog programa).
Potrebno je naglasiti i vanost interne revizije ija je uloga nezavisna i objektivna procjena
adekvatnosti i efikasnosti procesa upravljanja rizicima i primjena internih kontrola kao odgovora
na rizike. Interna revizija, prilikom obavljanja revizija, procjenjuje efikasnost i efektivnost
procesa upravljanja rizicima, posebno efikasnost kontrolnih mehanizama.
Prilikom izrade svojih srednjoronih i godinjih planova interna revizija sarauje sa upravljakom
strukturom radi odreivanja sistema i procesa koji sa sobom nose odreene rizike i koje je
potrebno prioritetno revidirati. Interna revizija na taj nain prua podrku upravljakoj strukturi
u procesu upravljanja rizicima, ali je upravljaka struktura ta koja je odgovorna za upravljanje
rizicima.
Kada pomau rukovodstvu u uspostavljanju ili unapreenju procesa upravljanja rizikom, interni
revizori moraju se suzdrati od preuzimanja bilo kakve rukovodee odgovornosti za upravljanje
rizikom.
Interna revizija, za potrebe vrenja revizije, treba imati pravo pristupa registrima rizika kako bi
mogla procijeniti funkcionisanje cjelokupnog sistema internih kontrola, a preporuuje se i
uee predstavnika interne revizije na sastancima najvieg upravljakog nivoa u vezi sa
upravljanjem rizicima.
11
3. CIKLUS UPRAVLJANJA RIZICIMA
- postavljanje ciljeva
- utvrivanje i procjena rizika
- postupanje po riziku
- praenje i izvjetavanje
Na osnovu utvrenih ciljeva rukovodstvo razmatra dogaaje koji mogu ugroziti ostvarenje
ciljeva, te preduzima odreene radnje za upravljanje rizicima. Zato je vano da su ciljevi jasni i
jednoznani.
Ciljevi se mogu podijeliti na razliite naine, a jedna od podjela moe biti podjela na strateke
ciljeve (na nivou institucija to su opti i posebni ciljevi) i na operativne ciljeve vezane za
programe, operativne planove rada i poslovne procese.
12
Strateki ciljevi izvode se iz misije institucija, te se postavljaju tokom procesa
srednjoronog planiranja. Ovi ciljevi postavljaju se na period od nekoliko godina
(obino 3-5) za instituciju u cjelini.
Kroz proces srednjoronog planiranja institucije BiH utvruju svoje ciljeve, prioritete i strategije,
te definiu mjere za procjenu uspjenosti ostvarenja tih ciljeva.
Srednjorono planiranje se definie kao proces koji obuhvata utvrivanje vizije, misije, stratekih
ciljeva, naine ispunjavanja ciljeva, mjere procjene rezultata i sistem praenja rezultata.
Posebni ciljevi oekivani rezultati koji su posljedica niza specifinih aktivnosti usmjerenih
prema postizanju odreenog opteg cilja. Detaljniji su od opteg cilja, vremenski okvir za
provoenje im je krai, te pomau u definisanju njihovog naina ostvarivanja. Dakle, posebni
ciljevi proizilaze iz opteg cilja i upuuju na prioritete pri alokaciji resursa.
Ostvarenje stratekih ciljeva provodi se kroz poslovne procese, pa je stoga vano razmotriti
ciljeve na nivou poslovnih procesa i rizike vezane za njih.
13
Nakon to institucija utvrdi svoje strateke ciljeve, potrebno je razmotriti kljune procese koji e
doprinijeti ostvarenju stratekih ciljeva. Kao dio aktivnosti za provoenje finansijskog
upravljanja i kontrole, institucije utvruju najvanije poslovne procese. Zaduuju se osobe
odgovorne za odvijanje procesa na propisani nain, koje prate ostvarenje ciljeva poslovnih
procesa i upravljaju rizicima koji mogu uticati na ostvarenje ciljeva.
Proces upravljanja rizicima treba postati sastavni dio srednjoronog i godinjeg planiranja pri
emu je potrebno sagledati sve mogue rizike.
Interni i eksterni faktori utiu na pojavu rizika koji moe prijetiti uspjenom ostvarivanju ciljeva.
Da bi se olakalo prepoznavanje rizika i da bi se osigurala pokrivenost svih podruja rizika, moe
se koristiti podjela na pet glavnih tipova rizika iz sljedeih podruja:
1) Eksterno okruenje
2) Planiranje, procesi i sistemi
3) Zaposleni i organizacija
4) Zakonitost i ispravnost
5) Komunikacije i informacije.
Ovakva podjela rizika obuhvata eksterno i interno okruenje2 i predstavlja alat koji se moe
upotrijebiti u fazi utvrivanja rizika, a uzima u obzir sve aspekte rizika i sva potencijalna podruja
rizika. Podjela na tipove rizika je korisna pri analizi rizika, grupisanju rizika i izvjetavanju o
rizicima.
U nastavku se daje pregled glavnih tipova rizika i podruja koja se mogu uzeti u obzir prilikom
utvrivanja potencijalnih rizika. Svaka institucija moe prilagoditi ovakvu podjelu svom radnom
okruenju i specifinim aktivnostima.
2
Rizici navedeni pod brojem 2, 3, 4 i 5 predstavljaju rizike u internom okruenju.
14
Tipologija rizika
Glavni tipovi rizika Podruja koja treba uzeti u obzir kada se utvruju
potencijalni rizici
1. Rizici koji se odnose na eksterno - rizici makro okruenja (geopolitiki, ekonomski,
okruenje/ izvan institucije prirodne katastrofe i slino)
Eksterni
Prvi je pristup odozgo prema dolje, gdje se na najviem hijerarhijskom nivou razmatraju rizici
vezani za strateke ciljeve (opti i posebni ciljevi).
Drugi je pristup odozdo prema gore, koji ukljuuje sve organizacione jedinice institucije koje vre
procjenu rizika vezano za njihove godinje aktivnosti i poslovne procese.
Pri tome treba uzeti u obzir da e veina institucija, razvijajui sistem finansijskog upravljanja i
kontrola, sastaviti popis kljunih poslovnih procesa po organizacionim jedinicama sa definisanim
ciljevima u skladu sa usvojenim srednjoronim planovima.
15
Popisani poslovni procesi i usvojeni strateki dokumenti, te programi odnosno ciljevi sadrani u
tim dokumentima mogu posluiti kao polazna osnova za utvrivanje rizika.
Postoje razliite metode utvrivanja rizika, a najee se koriste podaci iz prethodnih perioda,
zajednike radionice, posebni upitnici i intervjui.
Podaci iz prethodnih perioda sa kojima raspolau rukovodioci ili podaci koje dobijaju iz drugih
izvora dragocjeni su za utvrivanje uestalosti javljanja i uticaja nepoeljnih dogaaja. To
ukljuuje podatke i analize o realizaciji planskih dokumenata (srednjoronih, operativnih i
finansijskih planova), te izvjetaje interne revizije, Ureda za reviziju institucija BiH i druge
izvjetaje u kojima se detaljnije obrazlau razlozi odstupanja od planova ili neizvrenja planova.
Upitnici
Ovo je tipina metoda samoprocjene kojom se svaki rizik razmatra prema unaprijed
pripremljenom upitniku. Rukovodioci organizacionih jedinica, zajedno sa ostalim rukovodiocima
unutar svojih organizacionih jedinica, mogu pripremiti vlastite upitnike koristei pregled glavnih
tipova rizika i podruja koja treba uzeti u obzir kada se utvruju potencijalni rizici, u skladu sa
Smjernicama. Prilikom pripreme navedenog upitnika, rukovodioci mogu koristiti informacije o
problemima i rizicima sa kojima su se ve suoavali. Ako se za utvrivanje rizika koriste
pripremljeni upitnici, oni se moraju redovno aurirati kako bi i dalje bili primjenjivi na
razmatrano podruje poslovanja.
Ova metoda se provodi organizovanjem radionica na svim nivoima institucije. Pristup se zasniva
na injenici da osobe sa razliitim iskustvom i znanjem pristupaju odreenom problemu na
drugaiji nain. Standardni brainstorming odvija se usmeno i podstie kreativnost uesnika. Pri
tome je vano da uesnici razmatraju rizike u odnosu na zajedniki postavljeni cilj. Ova metoda
vrlo je djelotvorna u smislu razmjene informacija i miljenja meu razliitim osobama i nivoima
institucije, kako bi se dolo do najboljih rjeenja. Preporuuje se da se koritenjem gore
navedenih metoda za utvrivanje rizika definiu najvaniji rizici o kojima e se raspraviti na
zajednikoj radionici.
Opis rizika je zavretak procesa utvrivanja rizika i poetak procesa procjene rizika.
Prije procjene rizika potrebno je jasno formulisati odnosno opisati utvreni rizik uzimajui u
obzir glavni uzrok rizika (definisati osnovni problem) i potencijalne posljedice rizika (efekat koji
ima na ciljeve/aktivnosti).
16
Primjer3 cilja sa razliitim opisom rizika:
Nakon to se utvrde, rizike je potrebno procijeniti kako bi se rangirali, utvrdili prioriteti i pruile
informacije za donoenje odluka o rizicima na koje se treba usmjeriti. Rizici se procjenjuju na
osnovu uticaja i vjerovatnoe.
Faktori rizika koji se mogu uzeti u obzir prilikom procjene vjerovatnoe i uestalosti su:
Dosadanja iskustva
Uvoenje novog procesa ili sistema
Nivo neizvjesnosti u okruenju
Raspolaganje pouzdanim informacijama i podacima
Adekvatnost nadzora ili praenja
Kadrovska popunjenost u smislu broja zaposlenih i njihovih kompetencija
Sloenost poslovanja (ili tehnologije), obima poslovanja, odnosno transakcija
Prepreke efikasnoj komunikaciji
Kvalitet infrastrukture
3
Primjer je preuzet iz dokumenta Evropske komisije: Risk management in the Commission, april 2008
17
3.3.1. Procjena uticaja rizika
Procjena uticaja obuhvata procjenu posljedica ako se rizik ostvari. Znai, procjena uticaja ne
uzima u obzir vjerovatnou, nego samo odgovara na pitanje ta e se dogoditi ako se odreeni
dogaaj ostvari. Uticaj se moe rangirati (ocijeniti): od jedan (1) do tri (3), gdje jedan (1) znai
procjenu da e taj dogaaj imati nizak uticaj, dok (3) znai da e dogaaj imati visok uticaj na
instituciju. Osim bodovanja, moe se dati opisna procjena uticaja, pa tako uticaj moe biti nizak,
umjeren ili visok.
U ovoj fazi se procjenjuje inherentni rizik, ne uzimajui u obzir postojanje bilo kakvih oblika
kontrole.
U dodatku 2 ovih smjernica daje se obrazac koji se moe koristiti prilikom utvrivanja i procjene
rizika.
Iz procjene uticaja i vjerovatnoe proizlazi procjena ukupne izloenosti riziku koja je potrebna
kako bi se utvrdili prioriteti, odnosno najznaajniji rizici kojima treba upravljati. Ukupna
izloenost riziku dobija se mnoenjem ocjene uticaja sa ocjenom vjerovatnoe. Tako se rizik sa
najveim uticajem i vjerovatnoom koji rangiramo ocjenom tri moe procijeniti sa najvie devet
bodova.
Izloenost riziku najee se prikazuje pomou matrice u kojoj se povezuju uticaj i vjerovatnoa,
a koja je prikazana u nastavku.
Visok
Neprihvatljivi rizici
Umjeren
UTICAJ
Nizak
Prihvatljivi rizici
U veini sluajeva rizici se ne mogu potpuno ukloniti i svaka aktivnost u sebi sadri mogui rizik.
Inherentni rizik je rizik ili skup rizika sa kojima se suoava institucija ne uzimajui u obzir
uspostavljene kontrole. To je vrsta rizika kod kojeg ne postoje kontrole i faktori koji ublaavaju
rizike. Ovi rizici nastaju usljed uobiajenih okolnosti i vrsta aktivnosti koje se provode, a mogu
biti interni i eksterni.
19
Rezidualni rizik je vrsta rizika kod kojeg se uzimaju u obzir postojee kontrole koje ublaavaju
rizik. Dakle, nakon preduzimanja odreenih radnji, rizik i dalje postoji, to ukazuje na to da se
rizik ne moe potpuno ukloniti.
Nakon to se procijene inherentni rizici i dobije lista najznaajnijih rizika, potrebno je odrediti
rezidualnu veliinu rizika. Pri tome se mora uzeti u obzir efikasnost i efektivnost postojeih
kontrola. Rukovodilac procjenjuje efikasnost postojeih kontrola putem stalnog praenja,
izvjetaja interne revizije i sl. Pri tome se moe utvrditi da nema odgovarajue kontrole, da
kontrole nisu efikasne u praksi ili da su potpuno efikasne.
Ozbiljan rezidualni
rizik
Inherentni rizik
Umjeren
Manji
Manji rezidualni
rizik
20
3.3.4. Prihvatanje rizika
U pojedinim sluajevima mogue je unaprijed utvrditi i izmjeriti prihvatljiv nivo rizika, na primjer
kod finansijskog efekta. Rukovodstvo odluuje o neprihvatanju finansijskog gubitka koji je vei
od odreenog iznosa budeta opredijeljenog za specifini program.
Pristup za procjenu rizika baziran na uticaju i vjerovatnoi treba koristiti na jednostavan nain.
Budui da se procjena uglavnom zasniva na subjektivnoj procjeni, ovaj pristup treba shvatiti
vie kao nain pokretanja rasprave o rizicima, a ne kao sredstvo za uspostavljanje preciznog
nivoa rizika. Vano je da se razumiju razlozi koji se kriju iza ocijenjenog rizika i da se na osnovu
te informacije utvrdi da li su potrebna dalja istraivanja.
Svaka institucija moe odrediti rizike koji e se smatrati kritinim odnosno neprihvatljivim.
Postoje etiri naina reagovanja na rizike, odnosno odgovora na rizike. Rizici se mogu izbjei,
prenijeti, smanjiti (ublaiti) i prihvatiti.
Izbjegavanje rizika
Neki se rizici mogu djelimino ili potpuno izbjei modifikovanjem aktivnosti, odnosno procesa,
pri emu treba istai da je ukidanje odreene aktivnosti ogranieno u javnom sektoru, jer su
poslovi i aktivnosti od znaaja za javni interes.
21
Prenoenje rizika
Najbolji odgovor na pojedine rizike moe biti njihovo prenoenje na treu stranu ili dijeljenje
rizika sa treom stranom. Ova je opcija posebno dobra za ublaavanje finansijskih rizika ili rizika
po imovinu. Tipian primjer prenosa rizika je koritenje osiguravajueg drutva kojem moemo
platiti preuzimanje rizika. Meutim, u sluaju kada obavljanje odreenih usluga povjerimo treoj
strani (outsourcing) treba naglasiti da, iako je upravljanje rizikom prenijeto, institucija i dalje
ostaje odgovorna za rizik. Takve se aktivnosti ugovaraju zato to unutar odreene organizacione
jedinice institucije ne postoje potrebna sredstva, vjetine i strunost za upravljanje rizikom.
Prihvatanje rizika
Jedan od odgovora na rizike moe biti prihvatanje rizika bez preduzimanja dodatnih mjera.
Dodatne aktivnosti se ne preduzimaju kada su njihovi trokovi nesrazmjerni u odnosu na
mogue koristi. U takvim sluajevima odgovor moe biti prihvatanje postojeeg nivoa rizika pri
emu institucija priprema plan aktivnosti za rjeavanje efekata koji mogu nastati u sluaju
ostvarenja rizika.
Smanjivanje/ublaavanje rizika
Postupci smanjivanja/ublaavanja rizika smatraju se uobiajenim odgovorom na rizike, to znai
da se preduzimaju aktivnosti i donose odluke kako bi se smanjila vjerovatnoa nastanka i/ili
uticaj rizika.
Aktivnosti koje institucija preduzima radi smanjivanja odnosno ublaavanja rizika su kontrolne
aktivnosti.
Svrha ublaavanja rizika je da se omogui nastavak obavljanja aktivnosti u kojoj se javlja rizik, uz
istovremeno preduzimanje mjera (kontrola) radi zadravanja rizika na prihvatljivom nivou. Uz
odgovor na rizike, potrebno je razmotriti da li se pri tome javljaju prilike za iskoritavanje
pozitivnog uticaja.
- Direktivne kontrole
Ove kontrole osiguravaju ostvarenje cilja koji se eli postii (zakoni i drugi propisi, planovi,
procedure i postupci, resursi potrebni za ostvarenje cilja). Primjeri ovih kontrola su jasna
definicija politika, postavljanje specifinih ciljeva, te odgovarajua obuka za osposobljavanje
zaposlenih.
- Preventivne kontrole
- Korektivne kontrole
Nakon to se utvrde rizici po kojima je potrebno postupati i odrede adekvatni naini postupanja,
potrebno je donijeti planove za smanjivanje odnosno ublaavanje rizika.
Radi donoenja efikasnih akcionih planova, treba u potpunosti analizirati i razumjeti uzrok rizika
(ustanoviti ta je osnovni problem).
Planovi u osnovi trebaju sadravati opis rizika, ciljeve koji se ele postii akcionim planom,
radnje koje treba preduzeti, zaduene osobe i rokove za provoenje. Akcioni plan moe
sadravati i druge znaajne informacije, kao to su sredstva potrebna za provoenje planova i
naine njihovog praenja.
Praenje je veoma vana faza u procesu upravljanja rizicima. Stoga je rukovodilac duan
provjeriti funkcioniu li predloene kontrolne aktivnosti u praksi i da li spreavaju odnosno
ublaavaju odreeni rizik.
23
3.4.3. Dokumentovanje rizika
Obrazac za utvrivanje i procjenu rizika sadri detaljne podatke o svim rizicima (procjenu
inherentnog rizika, procjenu efikasnosti postojeih kontrola, procjenu rezidualnog rizika) i nalazi
se u dodatku 2 Smjernica.
U registar rizika upisuju se oni rizici za koje je nivo rezidualnog rizika procijenjen kao
neprihvatljiv, te se predlae uvoenje dodatnih kontrolnih mehanizama, jer postojee kontrole
nisu dovoljno efikasne za postupanje po takvim rizicima.
Podaci iz registra rizika koriste se za izradu izvjetaja i kratkih informacija koji se dostavljaju
rukovodstvu institucije.
Registar rizika je interni dokument svake institucije, a izmeu ostalog sadri sljedee elemente:
Institucije zbog specifinosti poslovanja mogu proiriti registar rizika sa dodatnim podacima
(datum unosa podataka u registar, podruje na koje se rizik odnosi, i sl. )
Registar rizika je dokument koji se aurira po potrebi, a najmanje jednom godinje, kako bi se
provjerilo jesu li planirane mjere za ublaavanje rizika preduzete i da li su postigle oekivane
rezultate.
Osim kritinih rizika, u registru rizika mogu biti navedeni i ostali znaajni rizici koji zahtijevaju
praenje, te mogu biti od pomoi pri redovnom izvjetavanju.
Pojedinani rizici koje institucija utvruje nisu nezavisni jedni od drugih i obino se grupiu. Na
primjer, moda postoji vie rizika koji se mogu grupisati kao rizici u podruju resursa i drugi
rizici koji se mogu grupisati kao rizici sa aspekta zakonitosti i ispravnosti.
Neki rizici se odnose na vie ciljeva institucije. Kao pomo za grupisanje rizika moe posluiti
tipologija rizika.
24
Ovakvim grupisanjem se dobijaju oblasti rizika koje se dodjeljuju nadlenim rukovodiocima, a
oni prate svoju oblast, nadgledaju razvoj odgovarajueg kontrolnog okruenja i o tome
izvjetavaju.
Na taj nain e se unaprijediti komunikacija za svaku vrstu rizika. Sve navedeno moe biti osnova
za izradu strategije upravljanja rizicima institucije. Registar rizika se vodi na nivou organizacione
jedinice.
U daljem razvoju procesa upravljanja rizicima i u zavisnosti od potreba institucije moe se uvesti
jedinstveni registar rizika na nivou institucije. Na nivou institucije zaduuje se osoba za voenje i
auriranje registra rizika.
Upravljanje rizicima je kontinuirani proces koji obuhvata praenje utvrenih rizika kako bi se
blagovremeno uoile sve promjene vezane za rizike (npr. pojava novih rizika i moguih prilika
koje se javljaju uz rizike). Obzirom da se poslovno, ekonomsko i zakonodavno okruenje
neprestano mijenja, dolazi do promjene rizika i prioritetnih ciljeva. Zbog navedenog, rizike treba
redovno razmatrati i revidirati kako bi se zadrala efikasnost odgovora na rizik.
Takoer je potrebno obavljati stalne preglede kako bismo osigurali da su svi rizici povezani sa
ciljevima i da su svi ciljevi uzeti u obzir pri utvrivanju i auriranju rizika.
25
Rukovodioci organizacionih jedinica duni su izvjetavati o aktivnostima upravljanja rizicima u
svojoj organizacionoj jedinici.
26
4. Zakljuak
Za efikasno upravljanje rizicima potrebno je stvoriti i odravati radno okruenje koje prua
podrku u cilju:
Nakon to se pokrene proces upravljanja rizicima i ojaa svijest o vanosti upravljanja rizicima,
rukovodilac institucije moe donijeti strategiju upravljanja rizicima.
27
Dodatak 1
Pojam Definicija
B
Brainstorming/radionice Metoda nekritikog prikupljanja miljenja razliitih grupa
unutar institucije, koja se esto koristi kod utvrivanja i
procjene rizika na nivou jedne organizacione jedinice.
C
Ciklus upravljanja Sastoji se od sljedeih koraka:
rizicima - postavljanje ciljeva
- utvrivanje i procjena rizika
- postupanje po riziku
- praenje i izvjetavanje
Cilj Rezultat koji institucija eli ostvariti, odnosno eljeno budue
stanje ije se ostvarenje oekuje u odreenom periodu. Jedna od
podjela moe biti na strateke ciljeve i operativne ciljeve vezane
za operativne planove rada, programe i poslovne procese.
COSO Committee of Sponsoring Organisations of the Treadway
Commission - Komitet sponzorskih organizacija Treadway
komisije (Amerika Nacionalna komisija za izvjetavanje o
finansijskim prevarama).
Komitet je izradio izvjetaj Interna kontrola - Integrisani
okvir koji je poznat pod nazivom COSO model za internu
kontrolu. COSO je opteprihvaeni meunarodni model za
uspostavljanje, voenje i procjenu sistema internih kontrola,
kojeg ini pet meusobno povezanih komponenti: kontrolno
okruenje, procjena rizika, kontrolne aktivnosti, informacije i
komunikacije, praenje i procjena.
F
Finansijsko upravljanje i Sveobuhvatan sistem politika, procedura i aktivnosti koji
kontrola uspostavlja i za koji je odgovoran rukovodilac institucije.
Sistem finansijskog upravljanja i kontrole zasniva se na
upravljanju rizicima i daje razumno uvjeravanje da e ciljevi
institucije biti ostvareni na pravilan, ekonomian, efikasan i
efektivan nain.
Ovaj sistem obuhvata sve poslovne transakcije, a posebno one
koje su vezane za prihode/primitke, rashode/izdatke, postupke
nabavke i ugovaranja, povrate pogreno uplaenih iznosa,
imovinu i obaveze.
I
Inherentni rizik Nivo rizika u sluaju nepostojanja kontrola i faktora koji
ublaavaju rizike.
28
Interna revizija Nezavisna aktivnost koja procjenjuje sisteme internih kontrola,
daje nezavisno i objektivno struno miljenje i savjete za
unapreenje poslovanja; pomae instituciji u ostvarenju ciljeva
primjenom sistemskog i disciplinarnog pristupa vrednovanju i
poboljanju efikasnosti upravljanja rizikom, kontrola i procesa
upravljanja.
29
Postupanje po Razmatranje moguih mjera kojima se moe uticati na
rizicima/odgovor na rizike prihvatljivost rizika, to ukljuuje: izbjegavanje rizika,
prenoenje rizika i prihvatanje odnosno ublaavanje rizika
uvoenjem kontrolnih aktivnosti.
Praenje rizika Dio ciklusa upravljanja rizicima u kojem se provjerava da li u
praksi funkcioniu predloene kontrolne aktivnosti i da li
spreavaju odnosno ublaavaju odreeni rizik.
Prenoenje rizika Aktivnost ija je svrha prenos uticaja rizika sa vlasnika na treu
stranu.
Prihvatanje rizika Aktivnost kojom prihvatamo troak uticaja rizika ako se pojavi
u budunosti.
Procjena rizika Postupak kojim se na sistemski nain obavlja procjena i
odreuje vjerovatnoa i uticaj nepovoljnih uslova i/ili dogaaja
na ostvarenje cilja.
R
Registar rizika Pregled utvrenih rizika, procjene rizika na osnovu uticaja i
vjerovatnoe, potrebnih aktivnosti, odnosno kontrola koje e
smanjiti posljedice rizika, osoba koje su zaduene za
provoenje odreenih aktivnosti kao i rokova za njihovo
izvrenje. To je interni dokument svake institucije.
Rizik Vjerovatnoa da e se desiti neki dogaaj koji moe nepovoljno
uticati na ostvarivanje ciljeva institucije.
Rizik prilike Mogunost nekoritenja anse za poboljanje poslovnog
djelovanja.
Rezidualni rizik Rizik koji ostaje nakon preduzimanja radnji za smanjenje
uticaja i vjerovatnoe nepovoljnog dogaaja, ukljuujui
kontrolne aktivnosti u smislu reagovanja na rizik.
S
Smanjenje/ublaavanje Proces izbora i provoenja aktivnosti za ublaavanje rizika. Pod
rizika ublaavanjem rizika smatra se uspostavljanje odgovarajuih
kontrolnih aktivnosti.
Srednjorono planiranje Upravljaki proces kojim institucija odreuje smjer razvoja, te
u skladu s tim donosi odluke o rasporeivanju finansijskih,
materijalnih i ljudskih resursa. Kao rezultat planiranja donosi se
srednjoroni plan - dokument koji sadri viziju, misiju,
strateke ciljeve, naine ispunjavanja ciljeva (akte planiranja),
mjere procjene rezultata i sistem praenja postizanja rezultata.
T
Tipologija rizika Podjela na pet glavnih tipova rizika:
1) Vanjsko okruenje
2) Planiranje, procesi i sistemi
3) Zaposlenici i organizacija
4) Zakonitost i ispravnost
5) Informacije i komunikacije
U
Ublaavanje rizika Aktivnosti preduzete u svrhu smanjenja vjerovatnoe ostvarenja
rizika i negativnih posljedica povezanih sa rizikom.
30
Upravljanje rizicima Proces utvrivanja, procjenjivanja i praenja rizika, uzimajui u
obzir ciljeve institucije, te preduzimanja potrebnih aktivnosti,
posebno kroz primjenu finansijskog upravljanja i kontrole, a u
svrhu smanjenja rizika.
Uticaj Kvantitativna mjera posljedica nastanka dogaaja. Obino se
iskazuje kao visok, umjeren ili nizak uticaj.
Utvrivanje rizika Proces identifikacije dogaaja i odreivanje kljunih rizika koji
mogu ugroziti ostvarenje ciljeva institucije.
V
Vjerovatnoa Kvantitativna mjera mogunosti nastanka dogaaja. Obino se
iskazuje kao velika, srednja ili mala vjerovatnoa.
31
Naziv organizacione jedinice: Dodatak 2
Cilj: ..............................................................
Vjerovatnoa (1-3)
Vjerovatnoa (1-3)
Rizik i kratak opis rizika Pregled postojeih
(glavni uzrok rizika i kontrola (mjera)
Uticaj (1-3)
Uticaj (1-3)
Ukupno
Ukupno
potencijalne posljedice) vezanih za rizik
0 0
0 0
0 0
0 0
3
Naziv organizacione jedinice:* Dodatak 3
Registar rizika
vjerovatnoa
rizika sa izvrenje Odgovorna
Cilj kontrolnih Pregled planiranih
ukupno
uticaj
uzrokom i planiranih osoba
mehanizama za aktivnosti
potencijalnim aktivnosti
utvreni rizik (smanjiti, prenijeti ili
posljedicama)
izbjei rizik)**
* ako se registar rizika radi za odreeni program koji se odvija u vie organizacionih jedinica, umjesto naziva organizacione jedinice moe se navesti naziv programa
*** po potrebi registar rizika se moe proiriti dodatnim kolonama (datum unosa, podruje na koje se rizik odnosi, jesu li planirane aktivnosti izvrene i sl.)
Dodatak 4
Upitnik je zasnovan na tipologiji rizika koja je predstavljena u Smjernicama i slui kao vodi prilikom
utvrivanja rizika po poslovanje institucije. Glavni cilj upitnika je pomoi rukovodstvu i zaposlenicima da
sagledaju sve aspekte i podruja pri utvrivanju rizika. Svaka institucija moe ovaj upitnik prilagoditi
svojim specifinostima.
Postoje li rizici vezani za okolinu, koji mogu imati uticaja na djelatnost/ciljeve vae institucije
(elementarne nepogode, bolesti, itd.)?
Ukoliko je jedan od ciljeva/aktivnosti vae institucije direktno zavisan od politikih prioriteta i odluka
donesenih izvan institucije (npr. Parlamentarna skuptina BiH, Vijee ministara BiH, druge institucije itd.),
mogu li se prepoznati rizici koji bi mogli uticati na ostvarenje ciljeva u ovom kontekstu (npr. izostanak
dogovora o budetu, postavljanje ciljeva koji nemaju punu politiku podrku, odbijanje zakonodavnih
prijedloga, itd.)?
Da li realizacija ciljeva/aktivnosti vae institucije zavisi od vanjskih partnera (npr. druge institucije,
agencije, izvritelji usluga, konsultanti, itd.)? Da li postoje problemi u saradnji sa vanjskim partnerima ili
davaocima usluga?
Kako se to odraava na ciljeve/aktivnosti vae institucije? (npr. kanjenje u pripremi ili provoenju
odreenog programa ili projekta zbog neadekvatnog izvravanja aktivnosti davaoca usluga/radova, itd.)
Mogu li se identifikovati problemi ili potencijalni rizici vezani za strategiju i godinje planiranje, a koji bi
mogli uticati na poslovanje i postizanje cilja institucije (npr. provoenje pod uticajem nejasne strategije ili
ciljeva, odnosno nerealnih ili precijenjenih ciljeva, nedovoljno planiranje i priprema, nerealna oekivanja
razliitih aktera, nedostatak konzistentnosti, izmjena dugorone strategije i godinjih ciljeva, itd.)
3
2.2. Procesi:
Koji su glavni procesi i postupci u nadlenosti vae institucije? Postoje li problemi vezani za procese koji
bi mogli uticati na ciljeve/aktivnosti institucije (npr. uska grla u procesu, nepostojanje pisanih
procedura, nejasne procedure, itd.)?
Mogu li se prepoznati problemi ili mogui rizici u vezi sa finansijskim procedurama i budetskim
sredstvima, koji bi mogli uticati na ostvarenje ciljeva vae institucije (npr. nekoherentnost izmeu ciljeva i
raspoloivog budeta, nepouzdanost bitnih finansijskih podataka, itd.)?
Koji su glavni sistemi u vaoj instituciji? Postoje li problemi vezani za sisteme koji bi mogli uticati na
aktivnosti/ciljeve vae institucije (npr. zastarjeli sistemi, sigurnosni problemi podataka i sistema, prekidi
sistema, problemi zatite podataka, itd.)?
Mogu li se navesti problemi ili prepoznati mogui rizici vezani za ljudske resurse koji mogu uticati na
ostvarenje ciljeva/aktivnosti vae institucije (npr. nedovoljan ili prekomjeran broj zaposlenika, manjak
znanja i strunosti, prekomjerna zavisnost o zaposlenima na odreeno vrijeme, nedostatak motivacije
zaposlenika, itd.)?
Mogu li se identifikovati problemi ili mogui rizici vezani za etiko ponaanje u vaoj organizacionoj
jedinici, koji bi mogli uticati na vau instituciju i indirektno na ciljeve/aktivnosti (npr. sukob interesa,
diskriminacija, ponaanje koje nije u skladu sa etikim smjernicama, itd.)?
Mogu li se identifikovati problemi ili mogui rizici vezani za unutranju organizaciju koji mogu uticati na
djelatnosti/ciljeve institucije (npr. izostanak jasne linije izvjetavanja, neprimjerena podjela dunosti,
neadekvatna struktura upravljanja i mehanizmi nadzora, neadekvatno delegiranje ovlatenja, itd.)?
Mogu li se identifikovati problemi ili mogui rizici vezani za sigurnost zaposlenika, objekata i opreme
(npr. kontrola pristupa objektima i opremi, nedovoljna zatita od poara, nepostojanje planova vezanih
za sigurnost, itd.)
4. Rizici sa aspekta zakonitosti i pravilnosti
Koji su glavni propisi i pravila koji se odnose na ciljeve/aktivnosti vae institucije? Mogu li se
identifikovati specifini problemi ili mogui rizici povezani sa njima, a koji mogu uticati na ostvarivanje
ciljeva vae institucije (npr. nejasna pravila i propisi, pretjerano sloeni propisi, zastarjela i nedosljedna
pravila, itd.)?
Metode i kanali komuniciranja u vaoj organizacionoj jedinici su efikasni ili postoje odreeni problemi
odnosno potencijalni rizici koji bi mogli uticati na poslovanje ili izvrenje ciljeva vae institucije (npr.
neefikasna komunikacija sa vanjskim partnerima u pogledu ostvarenja ciljeva, nedovoljna komunikacija
izmeu institucija, nedjelotvorna komunikacija unutar institucije odnosno unutar organizacione jedinice,
naruena reputacija institucije zbog propusta u informisanju javnosti, itd.)?
Koje su najvanije informacije koje su potrebne za obavljanje poslovanja i postizanje ciljeva vae
institucije? Da li su te informacije pouzdane i blagovremene? Mogu li se identifikovati odreeni rizici u
ovom podruju (npr. informacije dobijate sa zakanjenjem, informacije su nepotpune, netane ili
nepouzdane, itd.)?
TIPOLOGIJA RIZIKA
Tipologija rizika
Glavni tipovi rizika Podruja koja treba uzeti u obzir kada se utvruju
potencijalni rizici