Upravljanje rizicima održivi razvoj i upravljanje rizicima

Franjo Potak

FRANJO POTAK Det Norske Veritas Adriatica d.o.o. franjo.potak@dnv.com

UPRAVLJANJE RIZICIMA ODRŽIVI RAZVOJ I UPRAVLJANJE RIZICIMA Stručni rad / Professional paper Sažetak Svjetska kriza 2008. godine i nestabilnosti koje se nastavljaju prouzrokovale su značajne promjene u našem poslovnom okruženju. Sigurnost na koju smo navikli nestala je. Kako se suočiti s izazovima poslovanja? Možemo li smanjiti rizike koje poslovno okruženje postavlja pred nas? O rizicima često razmišljamo svjesno ili nesvjesno. Jesmo li spremni njima upravljati? Poslovni rezultati se neminovno povezuju s uspješnim upravljanjem rizicima. Prepoznati rizike, ocijeniti ih, pokrenuti korektivne radnje na njihovom smanjenju, preuzeti odgovornost za preostali rizik i na kraju sve to preispitivati i poboljšavati bit će naša budućnost. Ključne riječi: održivi razvoj, rizici, korektivne radnje, odgovornost za rizike 1. UVOD Rizici u poslovanju su oduvijek postojali, a sada se svakim danom i povećavaju. Na ovim prostorima jedno vrijeme postojali su mehanizmi koji su donosili različita ograničenja, ali jednim dijelom i zaštitu od nekih rizika. Značajan dio današnjih poslovnih ljudi u Hrvatskoj je školovan i radno iskustvo stekao u ta vremena. U odnosu na postojeće rizike to može biti (a iskustvo pokazuje da jeste) slabost koja umanjuje kompetitivnost na tržištu. Sustavi upravljanja bi trebali biti pomoć u upravljanju procesima, povećanju njihove učinkovitosti i djelotvornosti, povećanju zadovoljstva kupaca i zainteresiranih strana, te smanjenju troškova i povećanju profita. Podaci pokazuju da nije uvijek tako. Norme sustava upravljanja sa svojim zahtjevima nisu uvijek na pravi način prepoznate za postizanje poslovnih ciljeva. Dio tvrtki ide na minimalno zadovoljenje postavljenih zahtjeva što nerijetko stvara njihovo nezadovoljstvo jer im „norma nije donijela željene benefite“. Pored normi koji u sebi imaju zahtjeve ISO organizacija je izdala i norme koje mogu služiti kao vodiči u ispunjenju zahtjeva, ali prvenstveno za neprekidno poboljšanje učinkovitosti sustava i procesa. Jedna od njih je ISO 9004:2009 Upravljanje u svrhu trajne uspješnosti organizacije – Pristup upravljanju kvalitetom (ISO 9004:2009 Managing for the sustained success of an organization -- A quality management approach[1]). Pojam „rizik“ se u ovoj normi spominje 21 put, a u dodatku koji služi za samoocjenjivanje Organizacije još 14 puta. Za usporedbu pojam „kvaliteta“ se u prvom dijelu spominje 18 puta, a u dijelu za samoocjenjivanje 12 puta. Ovo je jedan od indikatora na što bi se trebalo usredotočiti prilikom primjene navedene norme.

13. HRVATSKA KONFERENCIJA O KVALITETI I 4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 9. – 11. svibnja 2013. g. - 361 -

Franjo Potak

2. UPRAVLJANJE RIZIKOM Za upravljanje rizikom unutar sustava upravljanja potrebno je jasno povezivanje zahtjeva normi za certifikaciju (npr. ISO 9001[2], ISO 14001[3],…), preporuka normi (ISO 9004, ISO 14004[4],…) koje služe za pojašnjenje i/ili kao vodiči za primjenu normi za certifikaciju, normi koje su nastale za upravljanje rizicima (ISO 31000[5], ISO 31010[6]) i poznatih metoda. Potpuna implementiranost sustava upravljanja (kvalitetom, okolišem, informacijskom sigurnošću,..) u poslovne aktivnosti, a potpuna implementiranost upravljanja rizikom u sve procese navedenih sustava preduvjet su za postizanje dobrih poslovnih rezultata i konkurentnost na tržištu. 2.1 Što je rizik? Postoje brojene definicije rizika: • Rizik je mogućnost trpljenja gubitka, nezgode, nedostatka ili uništenja.[7] • Rizik je mogućnost realiziranja neželjenih, negativnih posljedica događaja. [8] • Kombinacija vjerojatnost nastanka opasnog događaja ili izloženosti i težinu ozljede ili narušenog zdravlja koji mogu biti uzrokovane u slučaju izloženosti [9] • Mjera vjerojatnosti i ozbiljnosti incidenta. [10] Analiza bilo koje definicije dovodi do zaključka da se radi o neželjenom događaju koji ima vjerojatnost i posljedicu. Postupanje prema rizicima u obavljanju svakodnevnih aktivnosti je većim dijelom naučeno. Takvim rizicima ne pridaje se veća pažnja, a pogotovo ne radi se analiza ili cijeli proces upravljanja rizikom. Odstupanja od te navike se javlja kada dolazi do aktivnosti koje se rjeđe obavljaju. Odlazak na godišnji odmor ponekad uključuju razmatranje pojedinih rizika (loše vrijeme, prometne prilike, opasnosti područja u koja se odlazi,..) i poduzimanje zaštitnih radnji (promjena vremena polaska, cijepljenje protiv određenih bolesti,..). Poslovne aktivnosti uključuju značajno veći broj sudionika u različitim procesima, a time i veću vjerojatnost pojave neželjenog događaja. Posljedice neželjenih događaja vode neminovno u povećane troškove. 2.2 Sagledavanje rizika u poslovnom okruženju i svijest prema riziku Uzimajući tvrtku kao osnovu iz koje se promatraju rizici, prema mjestu djelovanja uobičajeno se dijele na vanjske i unutrašnje. Od vanjskih rizika mogu se prepoznati: • Promjene na tržištu (konkurencija, zahtjevi korisnika) • Regulatorne zahtjeve (nacionalni, globalni) • Financijske prilike (pristup i cijena kapitala, porezi, poremećaji) • Dobavljači (pouzdanost, stabilnost) • Viša sila (ratovi, teroristički napadi, elementarne nepogode) Tvrtke nemaju utjecaj na vjerojatnost ovakvih rizika i stoga se treba orijentirati na umanjenje rizika ukoliko se takvi događaji pojave. Praćenjem trendova i informacija sa tržišta stječu se uvjeti za pravovremeno djelovanje i zaštitu od posljedica. Unutrašnji rizici mogu se podijeliti u nekoliko kategorija: • Upravljanje (opredijeljenost, kompetentnost, komunikacija, „soft skills“) • Ljudski resursi (dostupnost, stavovi, kompetentnost) • Tehnologija i infrastruktura (dostupne tehnologije, fizička sigurnost, logistika) • ICT (dostupnost, ranjivost, integriranost)

13. HRVATSKA KONFERENCIJA O KVALITETI I 4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 9. – 11. svibnja 2013. g. - 362 -

Franjo Potak

Očekivati da će se pravovremenim djelovanjem u potpunosti spriječiti pojava štete nije realna. Uobičajena terminologija kod rizika je ublažavanje posljedica, a to znači da će šteta biti manja od one koja bi nastala ako se ne poduzimaju nikakve radnje. Postavlja se pitanje kako iskoristiti navedene norme u smanjenju vjerojatnosti i/ili posljedica rizika. Mogu li navedene norme štititi sustav upravljanja od unutrašnjih i vanjskih rizika kao neki kišobran. Odgovor je potvrdan, ali pristup aktivnostima za postizanje takvog rezultata treba pristupiti sustavno. Potrebno je uvesti svijest o rizicima i posljedicama nedjelovanja. Slika 1 – Korištenje dostupnih normi u upravljanju rizicima

Prema normi ISO 14001 organizacija treba identificirati kratkoročne i dugoročne rizike, te razviti strategiju da ih ublaži. Posebno je potrebno razmotriti rizike povezane sa zainteresiranim stranama i njihovim potrebama, dobavljačima, infrastrukturom, promjenama tehnologije, inovacijama i dr. Gore prikazani kišobran bi trebalo što je moguće više raširiti i u kombinaciji s temeljnim normama smanjiti neplanirane gubitke. Saznanja postoje, ali identifikacija i ocjena rizika nije u punoj mjeri zaživjela. Postoje izolirani uspješni slučajevi upravljanja rizikom. Možda je nedostatak svijesti o riziku uzrok.

13. HRVATSKA KONFERENCIJA O KVALITETI I 4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 9. – 11. svibnja 2013. g. - 363 -

Franjo Potak

Slika 2 – Mogući uzrok nedostatnog upravljanja rizicima

Vjerojatnost nekog neželjenog događaja i moguće posljedice ne mogu se izmjeriti već samo procijeniti. Pristup tom procesu i nivo tolerancije prema riziku su različiti. Poslovanje i podaci o vjerojatnosti i posljedicama za različite djelatnosti i slučajeve se bitno razlikuju. Iz navedenog razloga potrebno je jasno definirati hoće li se koristiti kvantitativne ili kvalitativne metode. Timski rad i multidisciplinarnost ima ključnu ulogu u postizanju dobrih rezultata. Uspostava politike prema riziku, odgovornosti i ovlasti, te potrebnih resursa mora prethoditi identifikaciji rizika. 2.3 Identifikacija rizika Za identifikaciju rizika može se koristiti brainstorming, check lista ili neki drugi pristup. Nužno je svaki rizik detaljno opisati kako bi svima bilo jasno o čemu se radi sa stanovišta vjerojatnosti i posljedica. Rizike treba sagledati u svim procesima prema postavljenim kategorijama. Postoji mogućnost da će se isti ili slični rizici pojavljivati u različitim procesima. Rezultat ove aktivnosti trebao bi biti jedinstven popis rizika. 2.3 Analiza i ocjena rizika Kod analize i ocjene rizika mora biti jasno definiran nivo rizika prema zadanom mjerilu ili odabranoj metodi. Vrlo često se kod kvalitativne ocjene koriste matrice rizika[11]. Iz njih se na jednostavan način može vizualizirati vjerojatnost i posljedica određenog rizika. Slika 3 – Slika rizika

13. HRVATSKA KONFERENCIJA O KVALITETI I 4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 9. – 11. svibnja 2013. g. - 364 -

Franjo Potak

Na temelju analize i ocjene (slike rizika) donose se odluke koji rizici će biti tretirani, tj. za koje će biti poduzete određene radnje, a koji će (u tom vremenskom periodu) biti prihvaćeni i neće biti nikakvih aktivnosti. 2.3 Planiranje aktivnosti za smanjenje rizika Kod planiranja aktivnosti za smanjenje vjerojatnosti i/ili posljedice određenog rizika treba koristiti aktivnosti u razmjeru utjecaja rizika na poslovanje. Pristup je analogan onom kod postavljanja ciljeva i programa u sustavima upravljanja (SMART). Često se na početku za postizanje rezultata, koji će pospješiti upravljanje rizikom, odabiru rizici gdje će najveća postignuća biti ostvarena uz što manja ulaganja. Time se ohrabruje daljnja primjena metodologije s ciljem da upravljanje rizikom postane dnevna rutina. 2.3 Provedba planiranih aktivnosti i sagledavanje preostalog rizika Za složene aktivnosti biti će potrebno izraditi poseban plan, a jednostavne aktivnosti pratiti na uobičajen način. Nakon provedenih aktivnosti potrebno je ocijeniti učinkovitost provedenih radnji i ponovno napraviti ocjenu rizika s osnovnim pitanjem: Je li preostali rizik prihvatljiv? Ako je odgovor potvrdan, preostali rizik će se nadzirati u predviđenim intervalima. U slučaju negativnog odgovora moraju se provesti dodatne aktivnosti na smanjenju vjerojatnosti i/ili posljedica neželjenog događaja. 2.3 PDCA u upravljanju rizicima Upravljanje rizikom nije jednokratna aktivnost već dio procesa upravljanja organizacijom koji se ciklički ponavlja. Nužno je da postoji slika rizika[11] koja će upravi osigurati dostatne informacije za donošenje odluka. Time osiguravamo primjenu skoro svih principa na kojima je izgrađena norma ISO 9001. Slika 4 – Komunikacija o rizicima

13. HRVATSKA KONFERENCIJA O KVALITETI I 4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 9. – 11. svibnja 2013. g. - 365 -

Franjo Potak

3. ZAKLJUČAK Gotovo u svakoj tvrtki sa certificiranim sustavom upravljanja kvalitetom postoji popis odobrenih dobavljača, ali popis rizika gotovo je nemoguće pronaći. Da li zato što nije zahtjev norme? Ne, jer ni popis odobrenih dobavljača nije zahtjev norme. Radi se nedostatku svijesti o važnosti i mogućnostima u upravljanju rizicima. Organizacije ponekad i započnu s upravljanjem rizikom, ali ne uspiju osigurati ponavljanje ciklusa. Bez saznanja o slici rizika teško se mogu donijeti ispravne odluke. Upravljanje rizikom nije još jedan novi sustav, već sastavni dio postojećih procesa i sustava upravljanja bez kojeg će tvrtka biti daleko više izložena neželjenim utjecajima i u konačnici gubicima. LITERATURA [1] ISO 9004:2009 Managing for the sustained success of an organization -- A quality management approach [2] HRN EN ISO 9001:2009 Sustavi upravljanja kvalitetom – Zahtjevi [3] HRN EN ISO 14001:2009 Sustavi upravljanja okolišem – Zahtjevi s uputama za uporabu [4] ISO 14004:2004 Environmental management systems - General guidelines on principles, systems and support technique [5] ISO 31000:2009 Risk management — Principles and guidelines [6] ISO 31010:2009 Risk management – Risk assessment techniques [7] Webster's Third New International Dictionary 1981 [8] Rowe, William D. An Anatomy of Risk 1988 [9] OHSAS 18001: 2007 Occupational health and safety management systems – Requirements [10] DNV, Modern Safety Management Course, 2004 [11] DNV Risk Management, 2010

MANAGING RISKS SUSTAINABLE DEVELOPMENT AND MANAGING RISKS

Summary The world crisis started in 2008, and we are still facing its consequences. With the ensuing instability, it has caused big changes in our business environment. The security which we all are used to is gone. How are we to face the new business reality and challenges? Can we influence the risks we are facing in our business environment? We usually think about risks at a conscious and unconscious level. Are we ready to manage them? Business results are highly dependent on successful risk management. Our common future task will be to identify risks, rank them, initiate corrective actions, take responsibility for the remaining risks and, as a final point, review and improve according to the results achieved. Keywords: sustainable development, risks, corrective actions, risk responsibility

13. HRVATSKA KONFERENCIJA O KVALITETI I 4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 9. – 11. svibnja 2013. g. - 366 -