U najširem smislu, rizik (risk) predstavlja mogućnost dešavanja nekog gubitka ili štete. Rizikom također nazivamo nekoga ili nešto što predstavlja stvarnu ili potencijalnu opasnost. Kad govorimo o riziku kojima su izložene organizacije/poduzeća (što je u fokusu ovog teksta), onda uglavnom mislimo na prijetnje kapitalu i zaradi poduzeća. Tim slijedom, Risk management (upravljanje rizikom) poduzeća je proces identifikacije, procjene i kontrole prijetnji kapitalu i zaradi organizacije.
Rizici proizlaze iz različitih izvora, uključujući financijsku neizvjesnost, tehnološke probleme, pravne obveze, strateške greške managementa, greške uposlenika, prirodne katastrofe i nesreće…
Cilj uspješnog risk managmenta -a nije situacija u kojoj rizik uopće ne postoji, i to iz najmanje 2 razloga: a) situacija u kojoj nema nikakvog rizika jednostavno – ne postoji b) ako bi se organizacija željela maksimalno približiti situaciji bez rizika, vrlo vjerojatno bi gubici od prilika koje je pri tome propustila nadmašili koristi od potpunog izbjegavanja rizika.
Sveobuhvatni pristup risk management – u
Sveobuhvatni (holistički) pristup u upravljanju rizikom često se naziva enterprise risk management (ERM). Uz eksterne i interne prijetnje poduzeću, ERM se fokusira na razumijevanje i predviđanje rizika u čitavoj organizaciji, uključujući i rizike gubitka od propuštenih prilika. Za razliku od “tradicionalnog risk managementa” koji organizaciju dijeli na odvojene “silose” i promatra rizike koji su specifični za te dijelove organizacije, ERM ima širi pogled na čitavu organizaciju i međusobne veze između različitih rizika.
Smisao upravljanja rizikom nije, dakle, potpuno izbjegavanje rizika. Risk management je proces u kojem organizacija identificira i razumije kojim rizicima je izložena, te zatim odabire koje rizike želi potpuno izbjeći, a koje želi prihvatiti i kontrolirati.
Npr. pravni rizik nepoštivanja zakona ili osude zbog neplaćanja poreza, velika većina organizacija želi potpuno izbjeći. S druge strane, financijski rizik koji proizlazi od neplaćanja računa našeg kupca (ako smo poduzeće koje prodaje proizvode ili usluge) ili nevraćanja kredita (ako smo financijska institucija koja pozajmljuje novac), organizacije generalno prihvaćaju, s tim što ga pokušavaju kontrolirati i ograničiti.
Potpuno neprihvaćanje i izbjegavanje financijskog rizika iz ovih primjera značilo bi da poduzeće uopće ne prodaje proizvode i usluge, a financijske institucije ne pozajmljuju novac. Proizlazi da bi potpuno izbjegavanje rizika sa sobom nosilo veliki trošak propuštenih prilika i dovelo bi u pitanje smisao postojanja organizacije.
Koliko rizika onda može biti prihvaćeno?
Risk apetit i tolerancija na rizik
Risk management organizacije treba biti usklađen i povezan sa strategijom organizacije, a tu vezu management organizacije izražava kroz risk apetit.
Risk apetit (engl. risk appetite) je količina rizika koju je organizacija spremna prihvatiti da bi ostvarila svoje ciljeve. Što su preduvjeti da organizacija odredi svoj risk apetit?
Prvi preduvjet bi bio da organizacija zna kojim rizicima je uopće izložena (identifikacija). Drugi je da je organizacija u stanju izmjeriti količinu rizika. Vjerojatno smo čuli uzrečicu da “ne možemo upravljati nečim što ne možemo izmjeriti“. To je posebno validno u risk managementu. Konačno, misija, vizija i strategija organizacije ( ukupni kontekst u kojem se upravlja rizikom) moraju biti jasni.
Ako je risk apetit količina rizika koji je organizacija spremna prihvatiti, što je onda tolerancija na rizik? Tolerancija na rizik (engl. risk tolerance) je prihvatljivi otklon od risk apetita. To je količina rizika koji je organizacija još uvijek voljna prihvatiti, iako je veća od risk apetita.
Slikovit primjer koji se ponekad navodi je vožnja i ograničenje brzine. Recimo da je ograničenje brzine 60 km/h, ali da bi smo ostvarili svoj cilj, ipak vozimo do 70 km/h. To predstavlja naš risk apetit.
Ako nam se baš žuri, znamo da možemo na relativno siguran način ubrzati dodatnih 10 km/h, a da pri tome “prođemo” samo s kaznom za brzinu, i izbjegnemo gubitak vozačke dozvole. Ovaj otklon od 10 km/h iznad risk apetita, nazivamo tolerancijom na rizik.
Za sve brzine iznad 80 km/h slijede teže kazne, oduzimanje vozačke dozvole, mogućnosti prometne nezgode su veće i takve rizike odlučujemo izbjeći. Dakle, područje tolerancije na rizik je zadnja granica prihvatljivosti rizika, i sve rizike mimo naše tolerancije trudimo se izbjeći.
Risk management proces
Postoje različiti radovi, publikacije i knjige koji govore o procesu risk management -a. Jedan od izvora je ISO 31000 standard – Risk Management, koji definira risk management proces u 5 koraka:
- identifikacija rizika
- analiziranje vjerojatnoće i utjecaja svakog od rizika
- prioritizacija rizika u ovisnosti o poslovnim ciljevima
- tretman ili odgovor na rizike
- monitoring rezultata i prilagodba (ako je potrebno)
Koraci u risk managementu su prilično jasni na papiru. U praksi, upravljanje rizikom organizacije je složen i dinamičan proces. Mnogo toga ovisi o sposobnosti razumijevanja i mjerenja rizika s kojima se organizacija susreće. Adekvatna procjena vjerojatnoće da će se neki događaj rizika desiti i utjecaj koji će imati na organizaciju i njezine ciljeve, preduvjet je za određivanje tretmana tih rizika.
Tretmani rizika (odnosno strategije upravljanja rizikom) generalno se svode na:
- prihvaćanje rizika
- izbjegavanje rizika
Kada govorimo o riziku koji prihvaćamo, možemo imati :
- prihvaćanje bez ograničanja (ako se rizik smatra potpuno prihvatljivim)
- prihvaćanje uz ograničenje (mitigaciju) rizika
- prijenos rizika na treću stranu (plaćamo trećoj strani da prihvati čitav ili jedan dio rizika)
Vrste rizika
Postoje različite klasifikacije vrsta rizika. Jedna od njih rizike dijeli u četiri skupine:
- strateški rizik (uključuje i reputacijski, i rizik odnosa s klijentima…)
- financijski rizik (kreditni rizik, tržišni rizik,…)
- rizik usklađenosti (compliance) i governance rizik
- operativni rizik ( cyber i drugi rizici povezani sa IT, pravni rizici, rizici pogrešaka i nesreća)
Iako različiti, na sve ove rizike može se primijeniti generalni koraci u risk management procesu navedeni u prethodnom poglavlju.
Važnost risk managmenta
Čini se da upravljanje rizikom, u najširem smislu, nikad nije bilo važnije. Od rizika pandemije koja je nedavno paralizirala svijet, rizika zagušenja u opskrbnim lancima, rizika inflacijeInflacija je povećanje opće razine cijena u određenom vre..., tržišnih rizika povezanih sa podizanjem kamatnih stopa… One organizacije i pojedinci koji su uspješno identificirali i razumjeli rizike, te odredili i implementirali adekvatne strategije upravljanja tim rizicima, u velikoj su prednosti.
Organizacije pridaju različitu razinu važnosti procesima upravljanja rizicima. Prirodno, financijske organizacije čiji se biznis zasniva na preuzimanju rizika, kao što su banke i osiguravajuće kuće, poklanjaju veliku pažnju risk management-u. Ta pažnje je uvjetovana suštinskom potrebom i regulatornim zahtjevima koji se pred financijske institucije postavljaju.
Financijske institucije imaju posebne organizacijske dijelove (kontrolne funkcije) koje se bave upravljanjem rizikom. Također, standard je da financijske institucije imaju člana uprave zaduženog za upravljanje rizikom (CRO – Chief Risk Officer).
S druge strane, nefinancijske organizacije nemaju, za što vjerojatno nema ni potrebe, velike specijalizirane organizacijske dijelove odgovorne za risk management. To je jednim dijelom zato što glavna svrha tih organizacija najčešće i nije preuzimanje rizika. Drugi razlog je što je rizike u nefinancijskim organizacijama teško kvantificirati i dosljedno mjeriti.
Međutim, to ne znači da rizika nema, već naprotiv – one rizike koje je teško izmjeriti najizazovniji su za upravljanje. Zato tvrtke sve više posežu ili za uspostavljanjem internih odjela, alata i praksi za upravljanje rizikom, ili za traženjem eksternih kompanija koje im, uz naknadu, pomažu u upravljanju rizicima.
Dok god postoji neizvjesnost, postojati će i rizici, a time i potreba da se tim rizicima upravlja. Stoga je velika vjerojatnoća da će risk management kao profesija imati važnu ulogu i u budućnosti.
Autor: Uredništvo Financa.ba
Prilikom preuzimanja teksta obvezno navesti link (poveznicu) na originalni članak.