Sustav upravljanja, upravljanje rizicima i praćenje usklađenosti poslovanja su pojmovi koji nisu novost u poslovnom svijetu i u velikim svjetskim kompanijama. Pojmovi se odavno koriste u svim društvima u Hrvatskoj koja predstavljaju svoje strane organizacije “majke”, a polako i još uvijek na mala vrata ulaze i u ostala društva na hrvatskom tržištu i u javni sektor. Izvanredne situacije, kao što su potresi, poplave i pandemija, stavljaju u fokus ovu tematiku te se poduzetnicima sve češće postavlja pitanje na koji način upravljaju rizicima i koliko su otporni na rizike poslovanja.

Sustav upravljanja

Kako pojedina pravna osoba raste i proširuje svoje poslovanje, postaje sve svjesnija kako je nužno da prepozna rizike u svojem poslovanju, uspostavi sustav kojim će upravljati prepoznatim rizicima i općenito poslovanjem, a sve u skladu s relevantnom regulativom za poslovanje te pravne osobe.

Pojedino društvo je dužno osigurati da odgovornost za koordinaciju i provedbu sustava upravljanja, kao i minimalni zahtjevi za organizaciju, budu jasno određeni i dodijeljeni kako na razini uprave društva tako i na ostalim funkcionalnim razinama.

Osnovni zahtjevi sustava upravljanja su:

  • poslovni ciljevi,
  • razborita organizacija,
  • jasne odgovornosti i ovlasti,
  • odbori,
  • interni akti,
  • komunikacija,
  • sustav upravljanja rizicima,
  • upravljanje kapitalom,
  • sustav unutarnjih kontrola,
  • informacijska sigurnost,
  • prilagodljivost,
  • dokumentiranost,
  • korporativna kultura usmjerena na rizike.

Kako bi sustav upravljanja uspješno funkcionirao na razini pojedinog društva nužno je odrediti ciljeve, postaviti jasnu i transparentnu raspodjelu uloga i odgovornosti (uprava, nadzorni odbor, funkcije unutar društva), uz pridržavanje odredbi Zakona o trgovačkim društvima i relevantnih zakonskih odredbi za pojedinu granu industrije (primjerice, Zakon o kreditnim institucijama, Zakon o osiguranju, Zakon o tržištu kapitala), uspostava sustava upravljanja rizicima, praćenje i usklađivanje s relevantnom regulativom, standardima u poslovanju, tržišnim i društvenim normama, uz razvoj korporativne kulture rizika

Kulturu rizika Hrvatska narodna banka definira Odluci o upravljanju rizicima kao opću svjesnost o rizicima na svim razinama, odnos i ponašanje radnika prema riziku i u vezi s rizikom i upravljanjem rizikom, uzimajući u obzir sklonost preuzimanju rizika.

Upravljanje rizicima

Rizik predstavlja neki neizvjestan događaj ili stanje u budućnosti, koji ima pozitivan ili negativan utjecaj na ciljeve poslovanja.

Prema ISO standardu 31000:2018, rizik je učinak neizvjesnosti na ciljeve. Ciljevi mogu biti financijski, sociološki, sigurnosni, strateški, operativni ili organizacijski.

Kada govorimo o riziku, obično govorimo o izvoru rizika, potencijalnom događaju, posljedicama i vjerojatnosti da će se određeni događaj zaista dogoditi. Ovisno o tome koliko je pojedino društvo spremno preuzeti rizika prilikom poslovanja, može se govoriti o sklonosti preuzimanju rizika.

Rizike je moguće razvrstati u neke opće kategorije koji se dalje dijele na tipove rizika. Npr. tržišni rizik, kreditni rizik, poslovni rizik, operativni rizik, reputacijski rizik, regulatorni rizik, strateški rizik. Rizik usklađenosti se često svrstava u pravni rizik, a pravni rizik se najčešće smatra dijelom operativnom rizika, odnosno rizik od gubitaka zbog ljudi, procesa, sustava ili vanjskih okolnosti.

Temelj za učinkovito upravljanje rizicima je zajedničko razumijevanje rizika, jasna organizacijska struktura i sveobuhvatno definirani procesi upravljanja rizicima.

Društvo bi trebalo za sve rizike uspostaviti sveobuhvatan proces upravljanja rizicima koji uključuje: identifikaciju rizika, procjenu rizika, odgovor na rizik i kontrolne aktivnosti, praćenje rizika i izvještavanje o riziku.

upravljanje rizicima

Proces procjene najznačajnijih rizika je periodična analiza svih rizika koji se mogu i koji se ne mogu kvantificirati kako bi se identificirale i sanirale značajne prijetnje financijskom rezultatu, operativnoj održivosti ili ispunjenju ključnih strateških ciljeva. Procjena rizika pomaže svakoj organizaciji da procjeni vjerojatnost i ozbiljnost pojedine situacije te se koncentrira na prioritete.

Testiranje ključnih kontrola jedan je od najvažnijih elemenata osiguravanja učinkovitog sustava upravljanja operativnim rizicima.

Compliance/Praćenje usklađenosti poslovanja

Compliance, kao jedan od elemenata sustave unutarnje kontrole se može na hrvatski prevesti kao praćenje usklađenosti poslovanja, iako to ne bi bio u potpunosti točan i precizan prijevod engleski riječi compliance, pa se tako često i u hrvatskom jeziku jednostavno koristi riječ compliance.

Funkcija u društvu koja prati usklađenost poslovanja se najčešće naziva compliance officer ili povjerenik za praćenje usklađenosti poslovanja.

Compliance podrazumijeva praćenje i nadzor usklađenosti poslovanja sa svima zakonskim i podzakonskim aktima, etičkim pravilima i smjernicama, društvenim i tržišnim normama i standardima, kodeksima prakse i ponašanja te ujedno usklađenost interne organizacije s ciljevima (misijom i vizijom) i vrijednostima na kojima se temelji određeno poslovanje.

Pravna osoba kroz edukacije, osposobljavanje zaposlenika, praćenje kompetencija i vrijednosti zaposlenika, interne akte, pravila, procedure, razne procjene rizika i interne kontrole, uspostavlja sustav koji upravlja rizikom usklađenosti.

Da bi to funkcioniralo na zamišljeni način u pravnoj osobi mora prije svega biti uspostavljena kultura etičnog ponašanja.

Sustav unutarnjih kontrola

Kod kreditnih institucija i osiguravajućih društava sustav unutarnjih kontrola čine tri zakonski propisane ključne funkcije: funkcija upravljanja rizicima, funkcija praćenja usklađenosti i interna revizija. Sve tri funkcije identificiraju određene rizike sa svoje perspektive, utvrđuju određene nepravilnosti i daju preporuke.

Specifično je za funkciju upravljanja rizicima i funkciju praćenja usklađenosti da oni obično reagiraju unaprijed, prije nego što se određeni događaj dogodi, i time preveniraju određene troškove, kazne i negativne posljedice te smanjuju ili izbjegavaju rizike za poslovanje. Kod funkcije praćenja usklađenosti je pri tome od posebne važnosti kontinuirana edukacija, uključenost u poslovne procese i razgovor s članovima uprave, nadzornog odbora i zaposlenicima.

Od ključne važnosti je za uspješan sustav upravljanja rizicima da navedene tri funkcije surađuju, uspoređuju rizike te sebi skrate posao i osiguraju uspješnije upravljanje rizicima. Navedeno se u praksi najčešće naziva sustav GRC (Governance and Risk Management and Compliance).

Što bi to značilo u praksi?

Uzmimo kao primjer iz prakse situaciju da je poduzetnik u narednih pet godina postavio cilj da se računi plaćaju na vrijeme te da se odgovara kupcima na njihove prigovore i upite na vrijeme (najčešći zakonski rok je 15 dana).

Pretpostavka je da je navedeno potrebno definirati internim aktima (npr. provjera kompetencija i vrijednosti koje se traže od zaposlenika, kontinuirana edukacija, sistematizacija radnih mjesta s jasnim opisom uloga i odgovornosti za pojedino radno mjesto, pravilnik o uvjetima za obavljanje poslova člana uprave, praćenje računa i prigovora u informatičkom sustavu, i sl.).

Funkcija za praćenje usklađenosti i funkcija za upravljanje rizicima redovito, godišnje testiraju ranije utvrđene rizike i scenarije rizika te su prilikom testiranja opisanog rizika utvrdili kako na razini društva ne postoji jasno i transparentno razgraničenje uloga i odgovornosti, kako određeni radnici i direktori imaju isti opis poslova, kako jedan naziv radnog mjesta vrijedi u različitim organizacijskih jedinicama.

Funkcije su utvrdile da se definiranim rizikom ne upravlja na potreban način što je u nekim slučajevima kada regulativa zahtjeva jasnu definiciju uloga i odgovornosti ili uvjeta za imenovanje i postupanje, regulatorni rizik. Primjerice, kada zakon definira da se račun mora platiti u određenom vremenu i da se na prigovor potrošača mora odgovoriti u zakonski određenom vremenu.

Posljedice neadekvatnog upravljanja

Dodatno je utvrđeno kako niti opis unutarnje kontrole nije odgovarajući, odnosno da organizacijska jedinica za ljudske resurse nema jasno definirane interne akte kojima bi utvrdila sve potrebno, kako nema sve organizirano i pohranjeno na lako dostupnom mjestu i kako komunikacija o ulogama i odgovornostima nije poduzeta.

Kao posljedica navedenog, određeni poslovi se uopće ne obavljaju ili se ne obavljaju u određenom vremenskom periodu. Nitko od zaposlenika se ne smatra nadležnim i odgovornim za pojedine zadaće. Navedeni primjer za pojedinu pravnu osobu predstavlja situaciju kada može doći do nepotrebnog troška zbog plaćanja kamata. Može se pokrenuti sudski postupak protiv pravne osobe te pravna osoba može izgubiti dobar ugled u odnosu na svoje dobavljače i klijente, kao i platiti određene kazne jer nije poduzela određenu radnju u zakonski određenom vremenu.

O utvrđenom su funkcije izvijestile funkciju interne revizije koja je zadužena za kontrolu efektivnosti aktivnosti kojima se upravlja pojedinim rizikom. Interna revizija na osnovu zaključenog uopće ne mora niti provoditi test efektivnosti. Ako ga i provede, u okviru petogodišnjeg plana vjerojatnost, je da će kontrole rizika biti ocijenjene kao ne-efektivne.

Funkcije o utvrđenom izvještavaju upravu i nadzorni odbor koji u konačnici donose odluku o preuzimanju rizika ili preporuku o upravljanju istim, odnosno poduzimanju aktivnosti u svrhu izbjegavanja rizika.

Zaključak

Možemo zaključiti da ovakav sustav upravljanja rizicima, odnosno Governance & Risk & Compliance sustav (GRC):

  • smanjuje nepotrebne troškove,
  • smanjuje sudske postupke i novčane kazne,
  • osigurava produktivno i učinkovito provođenje poslovnih aktivnosti,
  • omogućuje bolju kvalitetu i protok informacija na brz i efikasan način,
  • djeluje pozitivno na ugled na tržištu.

Autori:

Aleksandra Mrkonjić Bosak, Senior Compliance Officer, Allianz d.d.

Marija Bošković Batarelo, direktor, Parser compliance d.o.o.