Kada se pogleda situacija u organizacijama, veći dio njih govore o procjeni rizika i važnosti za moderne trendove upravljanja. Iz iskustva znam da nakon takvih izjava na prvo pitanje, "što vi to procjenjujete i zašto?", uglavnom prestaje diskusija bez pravih odgovora. Na temelju toga se može svatko zapitati, ako se nezna što se procjenjuje, kako se onda može napraviti efikasna procjena rizika?
Zbog toga sam smatrao da nije na odmet reći nekoliko riječi o procjeni rizika i njenom značaju za organizaciju. Svaka organizacija bi trebala procijeniti prijetnje koje mogu imati posljedice za nju, a zatim odrediti rizik za njih. Zbog praktičnosti, ali i stvarne potrebe, može se pokazati da je dovoljno uzeti u obzir samo nekoliko prijetnji u odnosu na sve potencijalne. To je važno naglasiti, jer se inače može desiti da se poslovno okruženje nepotrebno bavi analizama i procjenama niza potencijalnih prijetnji, a objektivno nema značaja za organizaciju.
Na dalje, treba biti svjestan i činjenice da rizici mogu predstavljati priliku za organizaciju. Naime, uvijek postoje rizici koji su uključeni u poslovanje. Nekada ti rizici mogu predstavljati pravu priliku ako se s njima pravilno upravlja. Ako organizacija iz provedene procjene rizika stvori pozitivnu perspektivu, gdje rizik ne utječe direktno na cijenu proizvoda (usluge), onda to može imati vrlo pozitivan učinak na poslovanje. Znači, u nekim slučajevima rizici mogu imati i dobre strane.
Većina organizacija ima manji ili veći broj zaposlenika koji se bave problemom rizika na nekom nivou, dijelom ili cijelo radno vrijeme. Međutim, mnogi nemaju formalni sustav upravljanja rizicima, već imaju tendenciju da su aktivnosti vezane za rizike reaktivne, a ne da se temelje na potencijalnim rizicima koji bi se eventualno dogodili u budućnosti. Zato nije presudno pitanje zašto su rizici važni za poslovanje, već pitanje zašto je važno implementirati formalni sustav upravljanja rizicima.
Praktički sve norme svoju implementaciju, ali i kasnije održavanje u funkciji i poboljšanje sustava temelje na upravljanju rizicima. To je jasno za ISO 14001, OHSAS 18001, ISO 22000, ISO 27001 itd. No, i nova revizija norme ISO 9001:2008 govori o tome da se pri implementaciji sustava za upravljanje kvalitetom mora voditi računa o poslovnom okruženju i rizicima koji pri tome postoje.
Upravljanje rizicima je proces kojim se identificiraju, procjenjuju i obrađuju rizici pomoću konzistentnih i ponovljivih postupaka i metoda za dijelove ili cijelu organizaciju. Upravljanje rizicima ne nastoji u potpunosti eliminirati rizike, jer je to praktički nemoguće, već stvoriti okruženje u kojem se mogu donijeti optimalne poslovne odluke uzimajući u obzir identificirane rizike i posljedice koje oni mogu izazvati.
Kakva je korist od toga? U svakom slučaju glavna korist se ogleda u tome da je menadžment organizacije donio odluku na temelju objektivnih i usporedivih podataka, a ne na temelju subjektivnih zaključaka i intuicije. Proces upravljanja rizicima identificira u kojem smjeru i kojim intenzitetom resursi trebaju biti angažirani da bi se ublažile posljedice neprihvatljivih rizika. Poznatao je da se nakon provedene procjene rizika i analize posljedica za organizaciju mogu poduzeti četiri akcije vezane za objektivno smanjenje posljedica: prihvaćanja rizika - takav kakav je (pa šta bude), prijenos rizika na nekoga (osiguravajuća kuća, itd), zabrana pojave hazarda - odnosno situacije da se pojave rizici (npr. zabrana uporabe interneta u produkcijskoj mreži, zabrana pristupa neovlaštenima, itd), te konačno smanjenje rizika na prihvatljivi nivo primjenom jedne ili više sigurnosnih mjera.
Što se u biti postiže s upravljanjem rizicima? U svakom slučaju, može se pokazati da se upravljanjem rizicima smanjuje potencijalna šteta koju može imati organizacija u koliko dođe do realizacije rizika. Ta se šteta izražava uvijek u financijskom iznosu i ide na račun smanjenja dobiti. Pravilno upravljanje rizicima, prema tome direktno utječe na smanjenje gubitaka - troškova, odnosno povećanje vjerojatnosti da će i dobit biti veća.
Najpoznatija norma koja se koristi za upravljanje rizicima je još uvijek "AS/NZS 4360:2004 - Standard for Risk Management" u kojem se nalazi definiran proces i njegovo okruženja za upravljanje rizicima. Ta norma je poslužila kao više nego dobar temelj za međunarodnu normu "ISO/FDIS 31000 Risk management - Principles and guidelines" koja se očekuje polovicom 2009 godine da bude formalno objavljena u konačnoj verziji. ISO je već objavio verziju norme specijaliziranu za područje ISMS: "ISO 27005:2008 Information technology - Security techniques - Information security risk management" u kojoj je detaljno opisan proces upravljanja rizicima za ISMS. Razlike između FDIS verzije 31000 i ISO 27005:2008 su minorne i može se slobodno reći potpuno jednako se tretira proces upravljanja rizicima, a to je potpuno sukladno nacionalnoj normi AS/NZS 4360:2004.
U skoroj budućnosti svakako treba očekivati ozbiljno uključivanje norme za upravljanje rizicima među ostale sustave upravljanja u organizacijama.