pišu: prof. dr. sc. Danijela Miloš Sprčić Ekonomski fakultet – Zagreb i dr. sc. Ivana Dvorski Lacković Fakultet organizacije i informatike
Za učinkovito dugoročno upravljanje rizicima treba pratiti promjene u okolini poduzeća i redovito ažurirati registar i mapu poslovnih rizika. Zbog visoke dinamike poslovne okoline nužno ih je reevaluirati najmanje jedanput na godinu, što omogućuje da se otkriju novi i ažurira status dotadašnjih rizika, mjera i strategija upravljanja.
Integrirano upravljanje rizicima (engl. enterprise risk management, ERM) strateški je pristup upravljanju svim rizicima kojima je poduzeće izloženo, pri čemu se podrazumijeva da su ti rizici međusobno povezani i da se njihove korelacije procjenjuju uz analizu unutarnjeg i vanjskog konteksta nastanka rizika. ERM se upotrebljava kao alat strateškog upravljanja u dugoročnom planiranju i odlučivanju.
Glavni je cilj njegove primjene očuvanje i povećanje vrijednosti te zaštita svih interesnih skupina poduzeća. Premda se intenzivno razvija od početka 21. stoljeća, tek tijekom pandemije koronavirusne bolesti COVID-19 doista se shvatilo koliko je važno primjenjivati ga jer tada su se mnoga poduzeća suočila s dotad nepoznatim vrstama rizika i potrebom odgovora na njih, kao i preoblikovanja postojećih poslovnih stategija. Rat u Ukrajini, porast cijena energenata, volatilnost tržišnih cijena, suočavanje s rizicima povezanima s ljudskim potencijalima, geopolitički i kibernetički rizici samo su neke od vrsta rizika koje utječu na poduzeća oslabljena utjecajem globalne pandemije. Rezultati istraživanja koja smo 2015., 2019. i potkraj 2022. provele u velikim poduzećima i onima čije dionice kotiraju na Zagrebačkoj burzi sugeriraju porast broja poduzeća koja primjenjuju ERM te naprednije tehnike i metode upravljanja rizicima. Ipak, i dalje znatan udio velikih i izlistanih poduzeća njima ne upravlja primjereno.
S obzirom na to da primjena ERM-a zahtijeva ulaganje financijskih, materijalnih i ljudskih potencijala, a postojeće smjernice integriranog upravljanja rizicima odnose se primarno na velika poduzeća, cilj je osvijestiti vlasnike i menadžere malih poduzeća o važnosti upravljanja poslovnim rizicima te im dati osnovne smjernice kako da što uspješnije u svoje poslovanje uvedu strateški pristup upravljanja rizicima da bi kvalitetnije i sigurnije upravljali svojim poslovanjem.
Što je rizik i je li svaki loš
Rizik je moguće definirati kao prostor između potpune sigurnosti i potpune neizvjesnosti ishoda nekog događaja. Za njega je karakteristično da možemo procijeniti vjerojatnost pojavljivanja nekog događaja i učinak koji on ima na poduzeće. Premda većina pojedinaca rizik percipira u negativnom kontekstu, u poslovnom smislu rizik nije uvijek nužno loš. Naime, izloženost pojedinim rizicima može biti i prilika za poduzeće da unaprijedi poslovanje. Stoga upravljanje rizicima treba promatrati kao alat koji omogućava poduzećima iskorištavanje prilika u svrhu povećanja njegove vrijednosti, i to ne samo za njegove vlasnike već i za sve dionike poduzeća.
Kojim se rizicima mora upravljati
Glavne vrste rizika kojima su sva poduzeća izložena obuhvaćaju strateške, financijske i operativne. Strateški rizici povezani su sa strateškim izborima poduzeća, odnosno to su rizici koji mogu utjecati na poslovnu strategiju i strateške ciljeve poduzeća. Mogu biti povezani s odlukama koje se odnose na temeljne proizvode i usluge koje poduzeće pruža; mogu biti povezani i s odlukama o dugoročnim izvorima financiranja, odnosu prema konkurenciji ili društvenim kretanjima te općenito s odlukama koje proizlaze iz okoline poduzeća. Glavni su primjeri takvih rizika geopolitički rizici, rizici koji proizlaze iz makroekonomske okoline, okolišni rizici, društveno-kulturni rizik, regulatorni rizik, rizici povezani s tehnologijom i digitalnom transformacijom, rizik inovacija, rizik nabavnog lanca, intelektualni rizik, reputacijski rizik, rizik gubitka ključnih kupaca te rizik prekomjerne ekspanzije. Danas su posebno naglašeni ESG rizici, koji su već obuhvaćeni vrstama strateških rizika poput okolišnih i društveno-kulturnih. Treba im dodati još rizike upravljanja kako bi spektar rizika povezan s ESG-om bio potpun, a koji svakako ulaze u kategoriju strateških rizika. Tu su također rizici povezani s prelaskom na niskougljično gospodarstvo, tzv. tranzicijski rizici, koji su relevantni i za mnoga mala poduzeća.
Financijski rizici odnose se na gubitke i pad vrijednosti koji proizlaze iz promjene cijena financijske i materijalne imovine, tržišnih kamatnih stopa, deviznog tečaja te nemogućnosti partnera da izvrši svoje ugovorne obveze. Ti događaji smanjuju primitke ili povećavaju izdatke, što narušava novčane tokove poduzeća. Primjeri su financijskih rizika valutni, kamatni i cjenovni rizik, rizik likvidnosti te kreditni rizik.
Operativni rizici jesu rizici gubitka koji proizlaze iz neadekvatnih ili neuspjelih unutarnjih procesa, ljudskog faktora, sustava ili eksternih događaja. Konkretno, odnose se na niz različitih događaja, poput namjernih ili nenamjernih pogrešaka zaposlenika, kibernetičke nesigurnosti, prirodnih katastrofa, pogrešaka u informacijskom sustavu poduzeća ili propusta u unutarnjim procedurama.
Identifikacijom rizika nastoje se prepoznati različiti izvori i vrste rizika te predvidjeti razvoj budućih događaja, kao i njihovi mogući uzroci i posljedice. Cilj identifikacije rizika jest izraditi registar rizika koji se temelji na događajima koji mogu imati velike posljedice na poslovanje i određenu vjerojatnost nastupanja. Registar bi trebao uključivati rizike koje poduzeće kontrolira, ali i one koji su izvan kontrole poduzeća, rizike koji su otprije poznati te nove rizike koji su otkriveni pri identifikaciji.
Što podrazumijeva proces ERM-a
Kad poduzeća uvode ERM, mogu se koristiti standardiziranim okvirima uvođenja sustava upravljanja rizicima poput COSO ERM-a (izdanja iz 2004. ili 2017.) ili ISO-a 31000 (izdanje iz 2018.). Ti okviri pružaju smjernice što bi procesom integriranog upravljanja rizicima trebalo biti obuhvaćeno, ali daju poduzećima i slobodu da sama procijene kako konkretno navedene smjernice primijeniti u vlastitoj organizaciji. Važno je da poduzeća pristupe primjeni ERM-a analizirajući kako prilagoditi preporuke standarda vlastitim resursima radi postizanja najboljeg učinka, ali i kako povezati ERM s misijom, vizijom te organizacijskom kulturom i vrijednostima poduzeća. Važnost povezivanja upravljanja rizicima s organizacijskom kulturom i vrijednostima poduzeća upućuje na to da je integrirano upravljanje rizicima neodjeljivo od cjelokupnoga upravljačkog sustava poduzeća i njegova je vitalna snaga te strateški alat menadžmenta. Integracija sustava ERM-a u organizacijsku kulturu planiranjem, uspostavljanjem okvira, politika i procedura te edukacijom zaposlenika omogućuje uključivanje cijele organizacije u upravljanje rizicima.
Za mala poduzeća najbolje je kombinirati aktivnosti predviđene okvirima COSO ERM iz 2004. i 2017. Prema COSO ERM-u (2004.), postoji osam glavnih aktivnosti koje poduzeća moraju provoditi kako bi strateški upravljala rizicima, a COSO ERM (2017.) dodaje da je ključno proces ERM-a povezati sa strateškim ciljevima poduzeća. Da bi se to postiglo u praksi malih poduzeća, to znači da među svim njegovim zaposlenicima treba njegovati kulturu razumijevanja rizika i aktivnosti koje svaki od njih može provoditi kako bi razina izloženosti poduzeća bila prihvatljiva. Prihvatljivu razinu rizika određuje menadžment i ona se definira kao sklonost poduzeća riziku (engl. risk appetite) te određuje kojim rizicima poduzeće mora biti izloženo i koliko kako bi se postigli strateški i operativni ciljevi poduzeća. Iznimno je važno pravodobno i transparentno komuniciranje svih zaposlenika poduzeća o ciljevima poduzeća, uočenim rizicima i aktivnostima koje će se provoditi kako bi se pojedinim rizikom upravljalo te imenovanje osobe zadužene za provedbu te aktivnosti. Bez obzira na to je li poduzeće veliko ili malo, odgovornost za upravljanje pojedinim vrstama rizika odnosno cijelim sustavom upravljanja rizicima trebala bi biti jasno definirana. Pojedinim područjima i vrstama rizika upravljaju stručnjaci za to područje koji se još nazivaju ‘vlasnicima rizika‘ (engl. risk owner), a sustavom integriranog upravljanja rizicima upravlja glavni menadžer rizika (engl. chief risk officer), što u slučaju malih poduzeća može biti i direktor odnosno vlasnik poduzeća.
Kako procjenjivati rizike
Kvalitativne i kvantitativne metode dvije su glavne skupine metoda kojima je moguće procjenjivati izloženost poduzeća rizicima. Kvalitativne se temelje na subjektivnim procjenama vjerojatnosti pojavljivanja i učinka rizičnog događaja na poduzeće. S obzirom na njihovu jednostavnost i brzinu primjene, jasnoću i razumljivost za zaposlenike poduzeća koji su uključeni u procjenu te bogatstvo informacija koje pružaju, te se metode preporučuju kao prvi izbor za mala poduzeća. Kvalitativne metode koje su posebno korisne za mala poduzeća jesu samoprocjena rizika, metoda oluje mozgova (engl. brainstorming), intervjuiranje zaposlenika te analiza povijesnih rizičnih događaja. Vrlo je kvalitetan i koristan alat izrada mape rizika, tj. dvodimenzionalni prikaz rizika kojima je poduzeće izloženo na temelju procjene o učestalosti pojavljivanja i važnosti događaja u slučaju pojavljivanja. Korištenjem takva vizualnog alata olakšano je razumijevanje izloženosti poduzeća različitim vrstama rizika među svim zaposlenicima i poboljšana je komunikacija o rizicima. Kvantitativne metode temelje se na objektivnim podatcima i statističko-matematičkim modelima na temelju kojih se procjenjuju vjerojatnost i učinak rizičnog događaja. Primjeri kvantitavnih metoda rizični su novčani tokovi (engl. cash-flow-at-risk, CFaR), analiza scenarija i analiza osjetljivosti. S obzirom na njihovu složenost, o uvođenju kvantitativnih metoda procjene rizika moguće je razmisliti u kasnijim fazama, nakon što malo poduzeće uvede ERM te procijeni omjer koristi i troškova uvođenja kvantitativnih metoda i njihove primijenjivosti u svakodnevnom poslovanju, ili kad poduzeće naraste pa su mu potrebne složenije metode procjene rizika.
Koliko treba uložiti
Odluka o uvođenju sustava integriranog upravljanja rizicima vrhunska je strateška odluka poduzeća. Zbog porasta složenosti poslovanja i globalne okoline u kojem mala poduzeća posluju važno je da u poduzeću bude razvijena svijest o rizicima kojima je ono izloženo, da se oni kontinuirano prepoznaju i procjenjuju te da se njima upravlja. Ti postupci ne moraju biti ni skupi ni složeni, nego dovoljno fleksibilni da malim poduzećima omoguće da razumiju kako rizični faktori iz vanjske i unutarnje okoline djeluju na ostvarivanje njihovih strateških ciljeva te da što agilnije odgovore na njih. Za učinkovito dugoročno upravljanje rizicima treba pratiti promjene u okolini poduzeća te redovito ažurirati registar i mapu rizika. Zbog visoke dinamike poslovne okoline – koja proizlazi iz sve češćih promjena ekonomskih, političkih, tehnoloških i drugih čimbenika – poslovne rizike nužno je reevaluirati najmanje jedanput na godinu, što omogućuje da se otkriju novi i ažurira status dotadašnjih rizika, mjera i strategija upravljanja radi provedbe učinkovite strategije ERM-a.
Osam glavnih aktivnosti: Što poduzeća moraju činiti kako bi strateški upravljala rizicima
- Analiza unutarnje okoline uključuje stajalište o riziku, filozofiju upravljanja rizicima, sklonost riziku, integritet i etičke vrijednosti
- Postavljanje ciljeva koji podupiru misiju poduzeća i toleranciju na rizik
- Identifikacija događaja u kojima se prepoznaju unutarnji i vanjski događaji koji mogu utjecati na postizanje ciljeva poduzeća te koja osigurava razlikovanje prilika i prijetnji
- Procjena rizika uključuje analizu rizika kako bi se utvrdila vjerojatnost pojave i učinak kao osnova za odlučivanje o strategiji upravljanja rizicima
- Odgovor na rizik, odnosno odabir među različitim opcijama kao što su izbjegavanje, prihvaćanje, smanjenje ili prijenos rizika
- Kontrolne aktivnosti, odnosno politika i postupci uspostavljeni za učinkovitu provedbu upravljanja rizicima
- Informiranje i komuniciranje, odnosno identifikacija, prikupljanje i dostava relevantnih informacija u određenom obliku i rokovima koji korisnicima omogućuju izvršavanje odgovornosti
- Nadzor i kontinuirano praćenje te unaprjeđivanje cijelog procesa, što se postiže stalnim upravljačkim aktivnostima, vrednovanjem ili njihovom kombinacijom
* prema sustavu COSO ERM (2004.