Uvođenje kontrolinga u sisteme upravljanja u zadnjih nekoliko godina dolazi sve više do izražaja. Razlog za to leži ne u novootkrivenom znanju ili tehnici upravljanja, već u sve većoj potrebi sveobuhvatnog pristupa sistemima upravljanja. Naime, kroz prethodne pristupe sistemima upravljanja revizijama ISO standarda do 2008 godine pažnja je bila usmjerena na prve ključne pristupe, među kojima je bio procesni pristup. To se naročito pokazalo objavom standarda ISO 9001:2000, kada je procesni pristup postao jedan od ključnih zahtjeva. Kako se u ovom trenutku ta tema smatra apsolvirana i više ne predstavlja kamen spoticanja kod implementacije sistema upravljanja prema ISO standardima, počinju se uključivati „nove“ tehnike upravljanja kojima se treba postići još veći efekt. Jedna od tih tema je u svakom slučaju kontroling, koji kao pojam i pristup upravljanju u organizaciji nije toliko nov, posebno ako se govori o velikim i uspješnim kompanijama.
Sam pojam kontroling, nalazi izvor u latinskom jeziku i to od riječi „contra“ i „rotolus“ – a znači zapis o izdanoj robi ili novcu koji je bio potreban radi kontrole. Prema latinskom jeziku s nazivom „counterroller“ označavali su se ljudi koji su izdavali zapise, vodili registre i provjeravale točnost. Prema engleskom jeziku „controlling“ ili „controllership“ nastali su etimološki iz riječi „control“ što označava upravljati, regulirati, uticati, itd. No u praksi, s točke gledišta organizacije pod kontrolingom se smatra takav oblik koji u sebi sadržava niz određenih podfunkcija koje se mogu smatrati instrumentima upravljanja i nadziranja. Kontroling se bitno razlikuje od pojma „kontrole“ kao podfunkcije menadžmenta. Istina, kontrola predstavlja glavni dio, odnosno područje kontrolinga. U kontekstu upravljanja, odnosno menadžmenta organizacije, kontroling predstavlja stručnu podršku odlučivanju, koordinaciju i integraciju. Kontroling je stručna pomoć menadžmentu kojim se povećava efikasnost i efektivnost upravljanja a time i sposobnost prilagođavanja promjenama unutar i izvan kompanije. Upravljačka koncepcija kontrolinga objedinjuje planiranje, kontrolu, analizu, informiranje, organizaciju i upravljanje ljudskim potencijalima. Pojednostavljeno, kontroling se može poistovjetiti sa točkom gledanja na cjelokupno poslovanje organizacije kroz naočale koje vide samo financijske tokove i aspekte, odnosno, sve aktivnosti se vide u samo u financijskoj domeni.
Sam pojam kontroling, nalazi izvor u latinskom jeziku i to od riječi „contra“ i „rotolus“ – a znači zapis o izdanoj robi ili novcu koji je bio potreban radi kontrole. Prema latinskom jeziku s nazivom „counterroller“ označavali su se ljudi koji su izdavali zapise, vodili registre i provjeravale točnost. Prema engleskom jeziku „controlling“ ili „controllership“ nastali su etimološki iz riječi „control“ što označava upravljati, regulirati, uticati, itd. No u praksi, s točke gledišta organizacije pod kontrolingom se smatra takav oblik koji u sebi sadržava niz određenih podfunkcija koje se mogu smatrati instrumentima upravljanja i nadziranja. Kontroling se bitno razlikuje od pojma „kontrole“ kao podfunkcije menadžmenta. Istina, kontrola predstavlja glavni dio, odnosno područje kontrolinga. U kontekstu upravljanja, odnosno menadžmenta organizacije, kontroling predstavlja stručnu podršku odlučivanju, koordinaciju i integraciju. Kontroling je stručna pomoć menadžmentu kojim se povećava efikasnost i efektivnost upravljanja a time i sposobnost prilagođavanja promjenama unutar i izvan kompanije. Upravljačka koncepcija kontrolinga objedinjuje planiranje, kontrolu, analizu, informiranje, organizaciju i upravljanje ljudskim potencijalima. Pojednostavljeno, kontroling se može poistovjetiti sa točkom gledanja na cjelokupno poslovanje organizacije kroz naočale koje vide samo financijske tokove i aspekte, odnosno, sve aktivnosti se vide u samo u financijskoj domeni.
Slika 1. Pozicija kontrolinga u kompaniji
Sa aspekta sistema upravljanja prema ISO standardima, kontroling je jedan od poslovnih procesa koji se dodaje na sve poznate poslovne procese u organizaciji.
Pri uspostavljanju procesa kontrolinga u organizaciju optimalno je da taj proces bude upravljan preko PDCA kruga. Mapirati poslovni proces kontrolinga u procesne korake, praktički nije moguće. Razlog za to leži u činjenici da se ne mogu propisati sukcesivni koraci procesa kontrolinga, jer pored nužnosti upotrebe niza alata i tehnika za provođenje kontrolinga nužna je određena kreativnost, kao i u svakom upravljačkom procesu. Ono što se u procesu kontrolinga može definirati to su ključne aktivnosti, pravila, resursi u pojedinim fazama PDCA kruga kojim će se upravljati proces.
Primjenom PDCA kruga za uspostavu, provođenje i poboljšanje procesa kontrolinga treba provesti kroz fazu P (Plan) slijedeće aktivnosti: definirati sva pravila i postupke izvođenja procesa kontrolinga, definirati opseg i ciljeve kontrolinga, predvidjeti očekivane rezultate i efekte kontrolinga, itd. U D (Do) fazi se proces obavlja u organizaciji. Tokom Do faze i nakon nje se u C (Check) fazi provodi provjera, odnosno mjerenje i uspoređenje dobiveni izmjerenih rezultata rada procesa s planiranim i očekivanim rezultatima u P fazi. U koliko se rezultati razlikuju tada se u A fazi (Act) provodi analiza zašto došlo do odstupanja, te se planiraju korektivne i/ili preventivne radnje da se u narednom ciklusu procesa kontrolinga smanje odstupanja. Pored potrebe planiranja i izvođenja korekcija uočenih (izmjerenih) nedostataka treba za slijedeći ciklus planirati i poboljšanja kojima bi se ubuduće postizali bolji rezultati rada procesa kontrolinga.
Planiranje i izvođenje procesa onako kako je planirano prema PDCA krugu u startu indirektno sadrži jednu pretpostavku: sve će se odvijati po planu, a odstupanja neće biti pretjerano velika, odnosno bit će u granicama prihvaćanja. Naravno da je odvijanje poslovanja uvjetovano nizom unutarnjih i vanjskih faktora koji se dijelom mogu predvidjeti, ali dijelom su nepredvidivi. U svakom slučaju, ne postoji nikakva garancija da će se planirani proces kontrolinga odvijati prema planu i da će dati baš sve očekivane rezultate. To je posljedica opće entropije u kojoj se odvija poslovanje. U tom slučaju se pred vlasnika procesa kontrolinga postavlja vrlo ozbiljan problem i pitanje: kako osigurati da se proces kontrolinga odvija po planu i da se od njega dobiju rezultati koji se i očekuju? Na to pitanje objektivan odgovor može dati samo upravljanje rizicima na procesu kontrolinga. Upravljanje rizicima nije sastavni dio PDCA kruga kontrolinga i kao takvo se posebno planira i provodi. U ovom radu će se posebna pažnja posvetiti upravljanju rizicima na procesu kontrolinga.
RIZICI PROCESA KONTROLINGA
Proces kontrolinga u organizaciji ima osnovne elemente kao i ostali poslovni procesi. Blok shema procesa kontrolinga je prikazana na slici 2.
Sa slike se vidi da se na ulazu nalaze jedan ili više zahtjeva. Ti zahtjevi su u pravilu od strane top menadžmenta organizacije i odnose se na željene rezultate procesa kontrolinga. Za obavljanje procesa nužni su nekakvi resursi, najčešće neke stručnjaci, ali i kvalitetan informacijski sistem.
Odvijanje procesa se provodi u skladu s nekim pravilima struke, zakona i uredbi, ali i propisanih i prihvaćenih metoda rada. Cjelokupno odvijanje procesa se mjeri praktički u svim dijelovima instrumentima i metodologijom koju si je organizacija propisala u P fazi PDCA kruga. Na izlazu procesa se nalazi zadovoljenje ulaznih zahtjeva. Npr. ako je na ulazu bio zahtjev da se iz procesa kontrolinga dobije pregled i analiza interakcija upravljanja financijskim resursima i ljudskim potencijalima, onda se to na izlazu procesa treba (mora) dobiti.
Pri uspostavljanju procesa kontrolinga u organizaciju optimalno je da taj proces bude upravljan preko PDCA kruga. Mapirati poslovni proces kontrolinga u procesne korake, praktički nije moguće. Razlog za to leži u činjenici da se ne mogu propisati sukcesivni koraci procesa kontrolinga, jer pored nužnosti upotrebe niza alata i tehnika za provođenje kontrolinga nužna je određena kreativnost, kao i u svakom upravljačkom procesu. Ono što se u procesu kontrolinga može definirati to su ključne aktivnosti, pravila, resursi u pojedinim fazama PDCA kruga kojim će se upravljati proces.
Primjenom PDCA kruga za uspostavu, provođenje i poboljšanje procesa kontrolinga treba provesti kroz fazu P (Plan) slijedeće aktivnosti: definirati sva pravila i postupke izvođenja procesa kontrolinga, definirati opseg i ciljeve kontrolinga, predvidjeti očekivane rezultate i efekte kontrolinga, itd. U D (Do) fazi se proces obavlja u organizaciji. Tokom Do faze i nakon nje se u C (Check) fazi provodi provjera, odnosno mjerenje i uspoređenje dobiveni izmjerenih rezultata rada procesa s planiranim i očekivanim rezultatima u P fazi. U koliko se rezultati razlikuju tada se u A fazi (Act) provodi analiza zašto došlo do odstupanja, te se planiraju korektivne i/ili preventivne radnje da se u narednom ciklusu procesa kontrolinga smanje odstupanja. Pored potrebe planiranja i izvođenja korekcija uočenih (izmjerenih) nedostataka treba za slijedeći ciklus planirati i poboljšanja kojima bi se ubuduće postizali bolji rezultati rada procesa kontrolinga.
Planiranje i izvođenje procesa onako kako je planirano prema PDCA krugu u startu indirektno sadrži jednu pretpostavku: sve će se odvijati po planu, a odstupanja neće biti pretjerano velika, odnosno bit će u granicama prihvaćanja. Naravno da je odvijanje poslovanja uvjetovano nizom unutarnjih i vanjskih faktora koji se dijelom mogu predvidjeti, ali dijelom su nepredvidivi. U svakom slučaju, ne postoji nikakva garancija da će se planirani proces kontrolinga odvijati prema planu i da će dati baš sve očekivane rezultate. To je posljedica opće entropije u kojoj se odvija poslovanje. U tom slučaju se pred vlasnika procesa kontrolinga postavlja vrlo ozbiljan problem i pitanje: kako osigurati da se proces kontrolinga odvija po planu i da se od njega dobiju rezultati koji se i očekuju? Na to pitanje objektivan odgovor može dati samo upravljanje rizicima na procesu kontrolinga. Upravljanje rizicima nije sastavni dio PDCA kruga kontrolinga i kao takvo se posebno planira i provodi. U ovom radu će se posebna pažnja posvetiti upravljanju rizicima na procesu kontrolinga.
RIZICI PROCESA KONTROLINGA
Proces kontrolinga u organizaciji ima osnovne elemente kao i ostali poslovni procesi. Blok shema procesa kontrolinga je prikazana na slici 2.
Sa slike se vidi da se na ulazu nalaze jedan ili više zahtjeva. Ti zahtjevi su u pravilu od strane top menadžmenta organizacije i odnose se na željene rezultate procesa kontrolinga. Za obavljanje procesa nužni su nekakvi resursi, najčešće neke stručnjaci, ali i kvalitetan informacijski sistem.
Odvijanje procesa se provodi u skladu s nekim pravilima struke, zakona i uredbi, ali i propisanih i prihvaćenih metoda rada. Cjelokupno odvijanje procesa se mjeri praktički u svim dijelovima instrumentima i metodologijom koju si je organizacija propisala u P fazi PDCA kruga. Na izlazu procesa se nalazi zadovoljenje ulaznih zahtjeva. Npr. ako je na ulazu bio zahtjev da se iz procesa kontrolinga dobije pregled i analiza interakcija upravljanja financijskim resursima i ljudskim potencijalima, onda se to na izlazu procesa treba (mora) dobiti.
Slika 2. Blok shema procesa kontrolinga
Sve elemente procesa kontrolinga definira i određuje organizacija, odnosno vlasnik procesa u suglasnosti s top menadžmentom i njihovim očekivanjima. Ne postoji nigdje nikakav propis kako se taj proces odvija te koje elemente ima. Top menadžment ima cilj upotrebe rezultata kontrolinga za donošenje strateških ali i operativnih odluka, kako za organizaciju i izvođenje poslova u organizaciji, tako i u smislu nastupa na tržištu, odnosa prema konkurenciji, itd. Ti rezultati koji se dobivaju na izlazu procesa kontrolinga moraju biti pouzdani i maksimalno zaštićeni od slučajnih, ali i namjernih grešaka. Taj zahtjev prema procesu kontrolinga se objektivno jedino može kontrolirano provesti kroz upravljanje rizicima, odnosno procjenom što, kako, kada, na kojem mjestu može ugroziti proces kontrolinga zbog čega bi se dobivali nepouzdani podaci na izlazu.
Općenito gledajući, postoji pet grupa problema koji mogu ugroziti točnost procesa, odnosno njegovih rezultata na izlazu. Te grupe problema su: loši ulazni zahtjevi, ne odgovarajući resursi, pravila koja se ne primjenjuju ili su ne odgovarajuća, loše planirana mjerenja, te na kraju kvaliteta, stručnost i iskustvo obavljanja poslova unutar procesa. Sve to može u većoj ili manjoj mjeri ugroziti kvalitetu izlaza iz procesa. Ta analiza i procjena točnosti funkcioniranja procesa, odnosno ugrožavanja točnosti rezultata može se provesti procjenom rizika, bolje rečeno upravljanjem rizicima na procesu kontrolinga. Blok shema ugrožavanja rezultata procesa kontrolinga prikazana je na slici 3.
Općenito gledajući, postoji pet grupa problema koji mogu ugroziti točnost procesa, odnosno njegovih rezultata na izlazu. Te grupe problema su: loši ulazni zahtjevi, ne odgovarajući resursi, pravila koja se ne primjenjuju ili su ne odgovarajuća, loše planirana mjerenja, te na kraju kvaliteta, stručnost i iskustvo obavljanja poslova unutar procesa. Sve to može u većoj ili manjoj mjeri ugroziti kvalitetu izlaza iz procesa. Ta analiza i procjena točnosti funkcioniranja procesa, odnosno ugrožavanja točnosti rezultata može se provesti procjenom rizika, bolje rečeno upravljanjem rizicima na procesu kontrolinga. Blok shema ugrožavanja rezultata procesa kontrolinga prikazana je na slici 3.
Slika 3. Blok shema ugrožavanja procesa kontrolinga
Može se pokazati na slici 3. da postoje dva ključna elementa koja mogu izazvati netočnost rezultata procesa kontrolinga. Jedno su prijetnje, kako vanjske, tako i unutarnje, te ranjivost procesa za kontrolinga.
Prijetnje su pojave koje mogu ugroziti pravilno funkcioniranje procesa kontrolinga, odnosno dobivanje ispravnih izlaznih rezultata. Izvori prijetnji mogu biti vanjski ili unutarnji s obzirom na mjesto nastajanja. U kategoriju vanjskih prijetnji mogu spadati npr. želja „neprijatelja“ da organizaciji pruži netočne podatke, da se izvana želi uticati na dobivanje krivih rezultata. Unutrašnje prijetnje u pravilu potiču od nelojalnih i nezadovoljnih zaposlenika kojima je između ostalog neki oblik „osvete“ pa nastoje svojim postupcima osujetiti pravilne rezultate procesa.
Ranjivost procesa kontrolinga se ogleda u slabostima procesa i njegovih elemenata da se odupru prijetnjama. Ranjivosti procesa su posljedica loše organizacije, loše planiranih ili provođenih mjera zaštite rada procesa itd. Krivac za ranjivost u pravilu je sama organizacija. Npr. ranjivost procesa kontrolinga je nekvalitetan informacijski sistem, nedovoljno educirani ili neiskusni ljudi koji rade u procesu kontrolinga, itd.
Ako prijetnja iskoristi ranjivost procesa kontrolinga kaže se da je došlo do sigurnosnog incidenta ako posljedica zbog incidenta izaziva štetu za organizaciju. Posljedica sigurnosnog incidenta kod procesa kontrolinga može biti netočan rezultat koji onda top menadžment koristi za donošenje (loših) odluka.
Kada se promatraju rizici nekog poslovnog procesa, tada se razlikuju dvije grupe: operativni rizici procesa i rizici aktivnosti u procesu. Operativni rizici poslovnog procesa su oni rizici koje određuje okruženje procesa i koje mu omogućava da se proces nesmetano odvija. Rizici aktivnosti procesa su rizici koji se odnose direktno na rizike pravilnog obavljanja bilo koje aktivnosti unutar procesa. Kod sveukupne analize rizika poslovnog procesa moraju se uzeti u obzir obadvije grupe, jer jednako mogu doprinijeti nesigurnosti funkcionalnih rezultata procesa.
PROCES ZA UPRAVLJANJE RIZICIMA
Problem rizika u organizaciji, u ostalom i u životu, je njegova promjenljivost s vremenom, i činjenica da nikada ne može biti 0, ali na sreću ni 100%, jer ako bi neki nepovoljan ishod bio siguran, tada nitko ne ulazi u njega svjesno. To znači da se odvijanje bilo kakvih procesnih aktivnosti odvija u uslovima veće ili manje entropije. U konačnici to znači da procijenjeni rizik u jednom trenutku u sljedećem više ne mora biti isti, ili da smanjeni neprihvatljivi rizik nakon toga zbog nekog razloga opet poprimi neprihvatljivi nivo. To ima za posljedicu da se kontinuirano mora provoditi kontrola rizika, a time i kontinuirano poduzimati aktivnosti da se rizici drže na prihvatljivom nivou. Prema prirodi problema, stalna kontrola i držanje rizika na prihvatljivom nivou je također poslovni proces.
Za razliku od niza drugih poslovnih procesa, proces za upravljanje rizicima može biti jedinstven za sve tipove organizacija, bez obzira na djelatnost i veličinu. Zbog toga za proces upravljanja rizicima postoji međunarodni standard ISO 31000:2009 (Risk management — Guidelines on principles and implementation of risk management). Standard ISO 31000 nije certifikacijski i predstavlja smjernice za uspostavu i poboljšanje procesa za upravljanje rizicima u organizaciji. On ne obavezuje organizacije da ga primjenjuju, ali kako je u njemu sadržana najbolja praksa i višegodišnja provjerenost od strane niza organizacija, može se postaviti pitanje: zašto izmišljati svoj proces upravljanja rizicima, kada postoji opće priznati, u praksi dokazan i prihvaćen proces? Blok shema procesa za upravljanje rizicima prema standardu ISO 31000:2009 prikazana je na slici 4.
Prijetnje su pojave koje mogu ugroziti pravilno funkcioniranje procesa kontrolinga, odnosno dobivanje ispravnih izlaznih rezultata. Izvori prijetnji mogu biti vanjski ili unutarnji s obzirom na mjesto nastajanja. U kategoriju vanjskih prijetnji mogu spadati npr. želja „neprijatelja“ da organizaciji pruži netočne podatke, da se izvana želi uticati na dobivanje krivih rezultata. Unutrašnje prijetnje u pravilu potiču od nelojalnih i nezadovoljnih zaposlenika kojima je između ostalog neki oblik „osvete“ pa nastoje svojim postupcima osujetiti pravilne rezultate procesa.
Ranjivost procesa kontrolinga se ogleda u slabostima procesa i njegovih elemenata da se odupru prijetnjama. Ranjivosti procesa su posljedica loše organizacije, loše planiranih ili provođenih mjera zaštite rada procesa itd. Krivac za ranjivost u pravilu je sama organizacija. Npr. ranjivost procesa kontrolinga je nekvalitetan informacijski sistem, nedovoljno educirani ili neiskusni ljudi koji rade u procesu kontrolinga, itd.
Ako prijetnja iskoristi ranjivost procesa kontrolinga kaže se da je došlo do sigurnosnog incidenta ako posljedica zbog incidenta izaziva štetu za organizaciju. Posljedica sigurnosnog incidenta kod procesa kontrolinga može biti netočan rezultat koji onda top menadžment koristi za donošenje (loših) odluka.
Kada se promatraju rizici nekog poslovnog procesa, tada se razlikuju dvije grupe: operativni rizici procesa i rizici aktivnosti u procesu. Operativni rizici poslovnog procesa su oni rizici koje određuje okruženje procesa i koje mu omogućava da se proces nesmetano odvija. Rizici aktivnosti procesa su rizici koji se odnose direktno na rizike pravilnog obavljanja bilo koje aktivnosti unutar procesa. Kod sveukupne analize rizika poslovnog procesa moraju se uzeti u obzir obadvije grupe, jer jednako mogu doprinijeti nesigurnosti funkcionalnih rezultata procesa.
PROCES ZA UPRAVLJANJE RIZICIMA
Problem rizika u organizaciji, u ostalom i u životu, je njegova promjenljivost s vremenom, i činjenica da nikada ne može biti 0, ali na sreću ni 100%, jer ako bi neki nepovoljan ishod bio siguran, tada nitko ne ulazi u njega svjesno. To znači da se odvijanje bilo kakvih procesnih aktivnosti odvija u uslovima veće ili manje entropije. U konačnici to znači da procijenjeni rizik u jednom trenutku u sljedećem više ne mora biti isti, ili da smanjeni neprihvatljivi rizik nakon toga zbog nekog razloga opet poprimi neprihvatljivi nivo. To ima za posljedicu da se kontinuirano mora provoditi kontrola rizika, a time i kontinuirano poduzimati aktivnosti da se rizici drže na prihvatljivom nivou. Prema prirodi problema, stalna kontrola i držanje rizika na prihvatljivom nivou je također poslovni proces.
Za razliku od niza drugih poslovnih procesa, proces za upravljanje rizicima može biti jedinstven za sve tipove organizacija, bez obzira na djelatnost i veličinu. Zbog toga za proces upravljanja rizicima postoji međunarodni standard ISO 31000:2009 (Risk management — Guidelines on principles and implementation of risk management). Standard ISO 31000 nije certifikacijski i predstavlja smjernice za uspostavu i poboljšanje procesa za upravljanje rizicima u organizaciji. On ne obavezuje organizacije da ga primjenjuju, ali kako je u njemu sadržana najbolja praksa i višegodišnja provjerenost od strane niza organizacija, može se postaviti pitanje: zašto izmišljati svoj proces upravljanja rizicima, kada postoji opće priznati, u praksi dokazan i prihvaćen proces? Blok shema procesa za upravljanje rizicima prema standardu ISO 31000:2009 prikazana je na slici 4.
Slika 4. Blok shema procesa za upravljanje rizicima prema ISO 31000:2009
Značenje i funkcija pojedinih elemenata procesa sa slike 4. je:
Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.
Utvrđivanje konteksta, eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.
Identifikacija rizika, gdje, kada, zašto i kako bi se događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.
Analiza rizika, identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.
Vrednovanje rizika, usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.
Obrada rizika, izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.
Praćenje i preispitivanje, neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
Procesom za upravljanje rizicima prema ISO 31000:2009 također se upravlja preko PDCA kruga. Aktivnosti po fazama PDCA kruga su prikazane u tabeli 1.
U kontekstu cjelokupne organizacije kompanije postavlja se između ostalih i pitanje gdje smjestiti proces za upravljanje rizicima i kako ga organizirati. Pored problema osiguranja sigurnosti odvijanja procesa kontrolinga u kompaniji kroz upravljanje rizicima na njemu, postoji još niz mjesta koja također trebaju (moraju) upravljati rizicima. To su npr. strateški i operativni rizici, rizici odvijanja svih ostalih poslovnih procesa, upravljanje aspektima životne sredine (ako kompanija ima ISO 14001), rizicima zdravlja i sigurnosti zaposlenika (OHSAS), informacijske sigurnosti (ISO 27001), itd. U svakom slučaju ovom problemu se treba pristupiti sistematski, jer je nedopustivo da postoji niz nepovezanih upravljanja rizicima u organizaciji, ali i razjedinjeno upravljanje sigurnošću u kompaniji. U tom smislu se treba prilagoditi organizaciona shema. Na slici 5. prikazan je primjer jednog od mogućih rješenja organizacije kompanije u kojoj se integralno pristupa problemu sigurnosti.
Značenje i funkcija pojedinih elemenata procesa sa slike 4. je:
Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.
Utvrđivanje konteksta, eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.
Identifikacija rizika, gdje, kada, zašto i kako bi se događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.
Analiza rizika, identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.
Vrednovanje rizika, usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.
Obrada rizika, izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.
Praćenje i preispitivanje, neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
Procesom za upravljanje rizicima prema ISO 31000:2009 također se upravlja preko PDCA kruga. Aktivnosti po fazama PDCA kruga su prikazane u tabeli 1.
U kontekstu cjelokupne organizacije kompanije postavlja se između ostalih i pitanje gdje smjestiti proces za upravljanje rizicima i kako ga organizirati. Pored problema osiguranja sigurnosti odvijanja procesa kontrolinga u kompaniji kroz upravljanje rizicima na njemu, postoji još niz mjesta koja također trebaju (moraju) upravljati rizicima. To su npr. strateški i operativni rizici, rizici odvijanja svih ostalih poslovnih procesa, upravljanje aspektima životne sredine (ako kompanija ima ISO 14001), rizicima zdravlja i sigurnosti zaposlenika (OHSAS), informacijske sigurnosti (ISO 27001), itd. U svakom slučaju ovom problemu se treba pristupiti sistematski, jer je nedopustivo da postoji niz nepovezanih upravljanja rizicima u organizaciji, ali i razjedinjeno upravljanje sigurnošću u kompaniji. U tom smislu se treba prilagoditi organizaciona shema. Na slici 5. prikazan je primjer jednog od mogućih rješenja organizacije kompanije u kojoj se integralno pristupa problemu sigurnosti.
Tabela 1. Faze PDCA kruga za ISO 31000:2009
| Faze procesa | Procesni koraci |
| Plan | Utvrđivanje konteksta Procjena rizika Plan obrade rizika Prihvaćanje preostalog rizika |
| Do | Implementacija plana obrade rizika (kontrola - sigurnosnih mjera) |
| Check | Kontinuirani monitoring i pregledi |
| Act | Održavanje i poboljšavanje procesa upravljanja rizicima |
Sa slike se može vidjeti da se u kompaniji u ovom slučaju treba organizirati odbor za sigurnost kojem predsjeda menadžer sigurnosti (CSO – Chief Security Officer). CSO je najviša izvršna korporacijska funkcija, odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti. Sa slike se može vidjeti i da se u kompaniji treba organizirati i tim za procjenu rizika, koji je odgovoran za formalno provođenje rizika po svim elementima koji su od interesa za kompaniju. Tim za procjenu rizika je direktno odgovoran odboru za sigurnost.
Slika 5. Blok shema organizacije sigurnosti u kompaniji
Ilustracija organizacije sistema sigurnosti u kompaniji od slučaja do slučaja se može manje ili više mijenjati, ali princip kako se to u većini slučajeva postavlja prikazan je na slici 4. To upućuje da tim za procjenu rizika koji se sastoji od iskusnih specijalista za procjenu rizika, te od eventualno vanjskih savjetnika uz pomoć zaposlenika vrše procjenu rizika na svim elementima sveukupne sigurnosti. Tu spadaju problemi procjene rizika od strateških, do procesnih i projektnih, do operativnih, aspekata okoliša, itd. Važna je činjenica da se procjena rizika i politika sigurnosti s ujednačenim kriterijima primjenjuje u svim slučajevima. Odbor za sigurnost je tijelo koje direktno upravlja s timom za procjenu rizika, odgovara vrhovnoj upravi kompanije, te ima osnovnu ulogu da u svakom trenutku zna za sve problematične točke sigurnosti u kompaniji, moguće posljedice, načine zaštite i poboljšanja sigurnosti, itd.
Zaključak
Uvođenje procesa kontrolinga u kontekstu modernog pristupa upravljanju organizacijom predstavlja nužnost. Ona je trenutno u glavnom prepoznata kod velikih kompanija, ali zbog svog značaja o nizu elemenata kontrolinga moraju se baviti i srednje, odnosno male kompanije. Uvođenje novog procesa kontrolinga u aktivnosti odlučivanja u organizaciji za sobom povlači i nužnost brige o pouzdanosti rezultata koji se dobivaju na izlazu iz procesa. Jedini objektivni i formalno dokumentirani način takve kontrole pouzdanosti izlaznih rezultata kontrolinga je upravljanje rizicima vezanim za planiranje i provođenje procesa.
Literatura
[1] ISO 310000:2009 Risk management - Guidelines on principles and implementation of risk management
[2] ISO 9001:2008 Quality management systems – Requirements
[3] Gleissner, Romeike, Riskmanagement, Haufe Mediengruppe, 2005, ISBN 3-448-06209-X, str. 407
[4] Monahan, Gregory, Enterprise Risk Management: A Methodology For Achieving Strategic Objectives (Wiley And Sas Business Series), Wiley, ISBN 9780470372333, 2008
[5] Kemp, Sid, Quality Management Demystified, McGraw-Hill, ISBN 9780071449083, 2006
Nema komentara:
Objavi komentar