MINISTARSTVO POMORSTVA, PROMETA I INFRASTRUKTURE UPRAVA ZA PRORACUN I FINANCUE UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA SInZba za financijsko upravljanje i kontrole (0% 20092012) Voditelj za 6nancijsko upravljanje i kontrole mr.sc. Zorica LuiSik KLASA: 470-0 1/12-01/24 UltBROJ: 530-01-18-12-1 Zagreb, 20. rujna 2012. U@Q je mijenjena najvikrn ruko&htar. osfalim rukovoditefjimu, imenovanim kaordinutorima rn r f z i k te svim skxfbenicimu ra MinisImsfvy podr&m jeditsicama (lm% kapetmije) i proracacmkim brisnicima u nadlezplapti ovog lwiniscmstva (Agemije i imaiski hiclrogrqf.ski institosf}. UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) SADRŽAJ 1. UVOD ................................................................................................................................. 3 2. ORGANIZACIJSKE PRETPOSTAVKE ........................................................................... 5 2.1. Odgovornosti i zaduženja ............................................................................................ 5 2.1.1. Rukovoditelji na svim razinama upravljanja (razine razdjela i glava u razdjelu) 5 2.1.2. Osoba odgovorna za koordinaciju uspostave procesa upravljanja rizicima ......... 6 2.1.3. Osobe zadužene za prikupljanje informacija o utvrđenim rizicima i njihovo evidentiranje u registar rizika.............................................................................................. 6 2.1.4. Zaposlenici ........................................................................................................... 7 2.1.5. Služba za financijsko upravljanje i kontrole ........................................................ 8 2.1.6. Unutarnja revizija ................................................................................................. 8 2.1.7. Stručni kolegij ...................................................................................................... 8 2.2. 3. 4. Ciljevi .......................................................................................................................... 9 PROVEDBA PROCESA UPRAVLJANJA RIZICIMA .................................................. 10 3.1. Aktivnosti i koraci u procesu upravljanja rizicima .................................................... 10 3.2. Provedba aktivnosti i koraka u procesu upravljanja rizicima .................................... 11 3.2.1. Utvrđivanje rizika ............................................................................................... 11 3.2.2. Procjena rizika i rangiranje po prioritetima........................................................ 15 3.2.3. Odabir odgovora na rizik i načina postupanja po rizicima................................. 20 3.2.4. Praćenje .............................................................................................................. 23 3.2.5. Izvješćivanje ....................................................................................................... 23 PREGLED POJMOVA ..................................................................................................... 26 DODACI: 1. Tipologija rizika 2 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 1. UVOD Zakon o sustavu unutarnjih financijskih kontrola u javnom sektoru uređuje sustav unutarnjih financijskih kontrola koji obuhvaća financijsko upravljanje i kontrole te unutarnju reviziju1. Svrha financijskog upravljanja i kontrola jest poboljšanje financijskog upravljanja i odlučivanja radi postizanja općih ciljeva, kao što su: a) obavljanje poslovanja na pravilan, etičan, ekonomičan, učinkovit i djelotvoran način, b) usklađenost poslovanja sa zakonima, propisima, politikama, planovima i postupcima, c) zaštita imovine i drugih resursa od gubitaka uzrokovanih lošim upravljanjem, neopravdanim trošenjem i korištenjem, te od nepravilnosti i prijevara, d) jačanje odgovornosti za uspješno ostvarenje zadaća, e) pravodobno financijsko izvješćivanje i praćenje rezultata poslovanja. Financijsko upravljanje i kontrole provode se putem međusobno povezanih komponenata2 u svim ustrojstvenim jedinicama i na svim razinama korisnika proračuna, a obuhvaćaju sva sredstva korisnika neovisno o izvorima iz kojih potječu i neovisno o tome tko su krajnji korisnici sredstava. Čelnik korisnika proračuna odgovoran je za provođenje financijskog upravljanja i kontrola primjenom komponenata financijskog upravljanja i kontrola. Jedna od komponenti za provedbu financijskog upravljanja i kontrola je i upravljanje rizicima3; to je cjelokupan proces utvrđivanja, procjenjivanja i praćenja rizika, uzimajući u obzir ciljeve korisnika proračuna, te poduzimanja potrebnih radnji, a u svrhu smanjenja rizika. Razvojem sustava odgovornosti za rezultate sve više jača potreba za učinkovitom provedbom procesa upravljanja rizicima, odnosno za uspostavom organizacijskih pretpostavki, razvojem metodologije rada i modela izvješćivanja vezano za upravljanje rizicima. Svrha upravljanja rizicima je uvođenje djelotvornih prethodnih kontrola kako bi se u granicama utvrđenih nadležnosti, ovlasti i odgovornosti postigla razumna razina sigurnosti da će se postavljeni ciljevi ostvariti, odnosno kako bi se smanjio opseg neizvjesnosti koje bi mogle biti prijetnja poslovnoj uspješnosti te da će se sva raspoloživa sredstva trošiti zakonito, namjensko i svrhovito primjenom načela vrijednost za novac. 1 Unutarnja revizija, prilikom obavljanja revizija, procjenjuje učinkovitost i djelotvornost procesa upravljanja rizicima, osobito adekvatnost, primjenu i djelotvornost kontrolnih mehanizama. 2 To su kontrolno okruženje, upravljanje rizicima, kontrolne aktivnosti, informacije i komunikacije i praćenje i procjena. Ove su komponente utvrđene u skladu s INTOSAI smjernicama za standarde unutarnje kontrole za javni sektor koje se temelje na COSO modelu unutarnje kontrole. 3 Ova je komponenta razvijena na remelju COSO okvira za upravljanje rizicima koji predstavlja nadogradnju COSO modela unutarnje kontrole. Također, Europska komisija je za provedbu upravljanja rizicima u svojim službama razvila metodologiju temeljenu na COSO okviru za upravljanje rizicima. 3 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Implementiranjem procesa upravljanja rizicima u procese planiranja i upravljanje poslovnim procesima poboljšati će se kvaliteta odlučivanja, učinkovitost, predviđanje i optimiziranje raspoloživih sredstava, povjerenje u upravljački sustav i pozitivna organizacijska kultura. Ove Upute (vodič kroz proces) izrađene su na temelju okvira koje je postavilo Ministarstvo financija u Smjernicama za provedbu procesa upravljanja rizicima kod korisnika proračuna (2009), a obveza njihove primjene proizlazi iz Zakona o sustavu unutarnjih financijskih kontrola u javnom sektoru. U prilogu ovih Uputa nalazi se pregled pojmova s objašnjenjima. 4 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 2. ORGANIZACIJSKE PRETPOSTAVKE Osnovni preduvjeti za uvođenje sustava upravljanja rizicima jesu implementirani elementi kontrolnog okruženja, osobito: a) imenovanje osobe odgovorne za koordinaciju uspostave procesa upravljanja rizicima na razini Ministarstva b) imenovanje osoba zaduženih za prikupljanje informacija o rizicima po pojednim ustrojstvenim jedinicama i donošenje odluka o ustrojavanju registra rizika c) jasno definirani odnosi i suradnja s područnim jedinicama i proračunskim korisnicima u nadležnosti Ministarstva d) definirani ciljevi kroz čitavu organizaciju e) dobro isplanirani svi koraci (aktivnosti) potrebni za ispunjavanje ciljeva f) utvrđeni potrebni resursi po pojedinoj aktivnosti g) jasna raspodjela odgovorosti za pojedine ciljeve 2.1. Odgovornosti i zaduženja 2.1.1. Rukovoditelji na svim razinama upravljanja (razine razdjela i glava u razdjelu) Za zakonito namjensko i svrhovito korištenje proračunskih sredstava iz svih izvora financiranja i organizaciju korištenja sredstava, podjelu poslova, zadataka i odgovornosti u svrhu postizanja određenih ciljeva, u Ministarstvu i kod područnih jedinica i korisnika proračuna koji su u nadležnosti Ministarstva, odgovorni su ministar i drugi rukovoditelji u skladu s njihovim područjem nadležnosti i odlukama o prijenosu ovlasti i odgovornosti. Da bi se ciljevi ostvarivali po planu, u okviru proračuna i u skladu sa zakonima i propisima, rukovoditelji na svim razinama upravljanja odgovorni su za djelotvorno upravljanje rizicima kako bi se smanjio opseg neizvjesnosti koje bi mogle biti prijetnja poslovnoj uspješnosti te time i za uvođenje prikladnih i učinkovitih prethodnih kontrola u svrhu usmjeravanja poslovanja u željenom pravcu. U tom smislu rukovoditelji sudjeluju u procesu upravljanja rizicima, a osobito prilikom procjene rizika te donošenja odluka o odgovoru na rizike i postupanju po rizicima. Kako ostvarenje strateških i programskih ciljeva često prelazi granice širih ustrojstvenih jedinica u Ministarstvu uključujući područne jedinice i proračunske korisnike u nadležnosti Ministarstva, a odgovornost za ostvarenje pojedinog cilja dodjeljuje se jednoj osobi (rukovoditelju najviše razine u Ministarstvu), svi su rukovoditelji obvezni, sukladno dodijeljenoj odgovornosti za postizanje određenih ciljeva definirati odgovarajuće linije 5 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) izvješćivanja te pratiti i izvješćivati o upravljanju rizicima na način kako je to opisano pod točkom 3.2.4. i 3.2.5. ovih Uputa. 2.1.2. Osoba odgovorna za koordinaciju uspostave procesa upravljanja rizicima Ministar donosi odluku o imenovanju osobe odgovorne za koordinaciju uspostave procesa upravljanja rizicima na razini Ministarstva. Osoba odgovorna za koordinaciju uspostave procesa upravljanja rizicima na razini Ministarstva zadužena je: a) upoznati ostale rukovoditelje o potrebi uvođenja upravljanja rizicima u Ministarstvu te sa Smjernicama za provedbu procesa upravljanja rizicima, b) poticati kulturu upravljanja rizicima i davati podršku rukovoditeljima u djelotvornom upravljanju rizicima jačanjem svijesti višeg rukovodstva o potrebi sustavnog upravljanja rizicima, c) u suradnji s rukovoditeljima ustrojstvenih jedinica pokrenuti aktivnosti na uvođenju procesa upravljanja rizicima i odrediti rokove za pojedine aktivnosti, d) pripremiti objedinjeno izvješće o upravljanju rizicima na razini Ministarstva pomorstva, prometa i infrastrukture i dostaviti ga ministru, e) na razini viših ustrojstvenih jedinica (uprave) omogućiti potrebnu izobrazbu te upoznati koordinatore za rizike o provođenju izobrazbe. Osoba odgovorna za koordinaciju uspostave procesa upravljanja rizicima vlasnik je procesa upravljanja rizicima te je zadužena poticati njegovo izvršenje u svim ustrojstvenim jedinicama; stoga, ovim Uputama, određuje kako se proces treba provoditi te ima dopuštenje za njegovo mijenjanje i obavljanje nadzora nad provedbom procesa. 2.1.3. Osobe zadužene za prikupljanje informacija o utvrđenim rizicima i njihovo evidentiranje u registar rizika Rukovoditelji uprava u Ministarstvu imenuju osobe zadužene za prikupljanje podataka o utvrđenim rizicima i njihovo evidentiranje u registar rizika (dalje u tekstu: koordinatori za rizike) za svoju ustrojstvenu jedinicu. Također, rukovoditelji uprava u Ministarstvu donose odluke o ustrojavanju registara rizika za ustrojstvene jedinice, čiji je sastavni dio obrazac registra rizika, sadržaja i forme koju propisuje Ministarstvo financija. O veličini ustrojstvene jedinice u Ministarstvu i broju zaposlenika ovisit će i broj imenovanih osoba i razina ustrojstvene jedinice na kojoj će se ustrojiti registri rizika. Rukovoditelj 6 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) šire ustrojstvene jedinice u suradnji s ostalim rukovoditeljima unutar svoje ustrojstvene jedinice može odlučiti da se registar rizika ustroji: a) samo na razini šire ustrojstvene jedinice (uprava) b) na razini manjih, užih ustrojstvenih jedinica (sektora, područnih jedinica – lučkih kapetanija) Koordinatori za rizike zaduženi su za: a) prikupljanje podataka o utvrđenim rizicima i njihovo evidentiranje u registar rizika, te za ažuriranje registra rizika b) dostavljanje Službi za financijsko upravljanje i kontrole polugodišnjeg izvješća o aktivnostima u upravljanju rizicima u svojoj ustrojstvenoj jedinici c) prisustvovanje izobrazbi koju organizira Središnja harmonizacijska jedinica Ministarstva financija Važno je naglasiti da koordinator za rizike nikako nije osoba koja sama provodi aktivnosti i korake u procesu upravljanja rizicima; koordinator za rizike dokumentira podatke o rizicima u za to predviđene dokumente, ali do podataka dolazi isključivo u suradnji s ostalim zaposlenicima i rukovodstvom. Također, koordinator za rizike osigurava kontinuirano postupanje pokretanjem aktivnosti iz procesa upravljanja rizicima. Na isti način Agencija za obalni linijski pomorski promet, Agencija za vodne putove, Agencija za sigurnost željezničkog prometa, Agencija za istraživanje nesreća i ozbiljnih nezgoda zrakoplova i Hrvatski hidrografski institut, koji su u nadležnosti Ministarstva trebaju imati imenovane koordinatore za rizike koji izrađuju izvješće o upravljanju rizicima i posredstvom koordinatora za uspostavu procesa upravljanja rizicima proračunskog korisnika u nadležnosti Ministarstva, izvješće dostavljaju koordinatoru za rizike nadležne ustrojstvene jedinice u Ministarstvu. Rukovoditelj Uprave u čijoj su nadležnosti područne jedinice Ministarstva, može odrediti da se na razini područnih jedinica imenuje koordinator za rizike ili da poslove koordinacije obavlja koordinator za rizike nadležne Uprave. 2.1.4. Zaposlenici U procesu upravljanja rizicima sudjeluju svi zaposlenici Ministarstva. U svakodnevnom obavljanju poslova oni uočavaju rizike koji ugrožavaju ostvarivanje postavljenih ciljeva te o uočenim rizicima trebaju izvjestiti, na za to predviđenom obrascu, koordinatora za rizike koji vodi registar rizika. 7 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Koordinator za rizike će upoznati sve zaposlenike sa sadržajem Obrasca za utvrđivanje i procjenu rizika te putem e-maila ili drugi prikladan način povremeno ukazivati na obvezu razmatranja rizičnih situacija i prijavu rizika za koje će se na zajedničkim sastancima s rukovodstvom vršiti procjena i daljnje postupanje, kako je opisano u poglavlju 3. ovih Uputa. 2.1.5. Služba za financijsko upravljanje i kontrole Poslove koordinacije uspostave i razvoja financijskog upravljanja i kontrola u Ministarstvu pomorstva, prometa i infrastrukture, stavljene u nadležnost Uprave za proračun i financije, operativno provodi Služba za financijsko upravljanje i kontrole, prema smjernicama voditelja za financijsko upravljanje i kontrole. S tim u vezi, Služba za fnancijsko upravljanje i kontrole operativno provodi poslove vezane za: a) koordinaciju uspostave procesa upravljanja rizicima, a) izradu metodologije upravljanja rizicima, b) podršku i pomoć koordinatorima za rizike prilikom provedbe procesa upravljanja rizicima te uspostave kontrolnih mehanizama c) nadzor nad provedbom procesa upravljanja rizicima d) praćenje provedbe preporuka unutarnje revizije za ublažavanje/otklanjanje rizika te distribuciju prijedloga kontrolnih aktivnosti koje daje unutarnja revizija određenim revidiranim subjektima, svim koordinatorima za rizike e) analizu i objedinjavanje izvješća o upravljanju rizicima 2.1.6. Unutarnja revizija Uloga unutarnje revizije je neovisna i objektivna procjena procesa upravljanja rizicima, odnosno adekvatnosti, primjene i djelotvornosti postavljenih kontrola kao odgovora na rizike. Unutarnja revizija, u svojim revizijskim izvješćima u okviru nalaza upućuje na rizike, odnosno na neželjene događaje koji se mogu aktivirati kao posljedica neprikladnih ili neučinkovitih kontrolnih mehanizama te daje preporuke za poboljšanje gdje je to prikladno. 2.1.7. Stručni kolegij Stručni kolegij kao stručno i savjetodavno tijelo ministra informira se o izuzetno značajnim rizicima navedenim u izvješću o upravljanju rizicima. 8 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 2.2. Ciljevi Polazna osnova za utvrđivanje rizika su ciljevi, počevši od strateških, programskih i operativnih do ciljeva pojedinih poslovnih procesa. Za postavljanje i realizaciju ciljeva odgovorni su rukovoditelji u skladu s nadležnostima i odlukama o dodjeli ovlasti i odgovornosti. Strateški ciljevi postavljaju se tijekom procesa strateškog planiranja (opći i posebni). Strateški plan je općenit dokument, koji zahtjeva dodatnu razradu i predstavlja osnovu za postavljanje operativnih ciljeva. Strateški plan razrađuje se putem godišnjeg plana rada i programa te se realizira kroz poslovne procese. Iz ovog proizlazi povezanost između operativnih, programskih i strateških ciljeva, a tako i ciljeva poslovnih procesa te je osobito važno utvrditi i razmotriti najvažnije poslovne procese koji će doprinijeti ostvarenju strateških ciljeva. Isto tako, u Ministarstvu, područnim jedinicama i korisnicima proračuna u nadležnosti Ministarstva provode se poslovni procesi koji predstavljaju procese podrške i nisu direktno vezani za ostvarenje navedenih ciljeva, ali su neophodni za funkcioniranje i uredno izvršavanje svakodnevnih zadaća. Za svaki od poslovnih procesa, mora se odrediti osoba zadužena za upravljanje određenim poslovnim procesom, odnosno njegov vlasnik koji će kreirati i usmjeravati aktivnosti u provedbi procesa u smjeru ostvarenja cilja tog procesa te brinuti o odvijanju procesa na propisani način i obavljati nadzor nad provedbom procesa, a sudionici u procesu odgovorni su za provedbu pojednih aktivnosti na način kako to odredi vlasnik procesa. Osim godišnjeg plana rada, postoji još niz operativnih planova za koje obveza izrade proizlazi iz posebnih propisa, a to su: plan nabave, plan prijema u državnu službu, plan izobrazbe, plan korištenja državnih potpora i sl. Ovi planski dokumenti su povezani s financijskim planom i godišnjim planom rada te su u funkciji realizacije ciljeva programa odnosno ciljeva iz godišnjeg plana rada. 9 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 3. PROVEDBA PROCESA UPRAVLJANJA RIZICIMA Upravljanje rizicima je proces utvrđivanja, procjenjivanja i praćenja rizika, uzimajući u obzir ciljeve organizacije te poduzimanja potrebnih aktivnosti, posebice kroz primjenu financijskog upravljanja i kontrola, a u svrhu smanjenja rizika. Cilj ovog procesa je smanjiti opseg neizvjesnosti koje bi mogle biti prijetnja poslovnoj uspješnosti. Proces upravljanja rizicima je sastavni dio procesa planiranja i upravljanja poslovnim procesima; stoga je potrebno provoditi ovaj proces prilikom izrade strateškog plana, financijskog plana i godišnjeg plana rada te u svrhu unaprijeđenja poslovnih procesa odnosno prilikom uvođenja novih poslovnih procesa. U provedbu procesa upravljanja rizicima, prema ovim Uputama, uključeni su rukovoditelji na svim razinama hijerarhijske ljestvice u Ministarstvu, područnim jedinicama u nadležnosti Ministarstva te proračunskim korisnicima u nadležnosti Ministarstva. Pravila po kojima se mora odvijati pojedni procesni korak opisana su u ovim Uputama. Proračunski korisnici u nadležnosti Ministarstva dužni su izvješćivati o upravljanju rizicima osobe odgovorne za realizaciju strateških ciljeva i provedbu načina ostvarenja, odnosno osobe odgovorne za program u proračunu u skladu sa svojom ulogom u realizaciji ciljeva i provedbi načina ostvarenja, odnosno u skladu sa svojom ulogom u realizaciji programa. 3.1. Aktivnosti i koraci u procesu upravljanja rizicima Po definiciji, poslovni proces je skup aktivnosti koje su međusobno povezane ili su u međudjelovanju te koje uz pomoć odgovarajućih resursa, ulazne veličine pretvaraju u izlazne, a sve u skladu s pravilima po kojima se mora obaviti određeni procesni korak. Tako je i proces upravljanja rizicima skup aktivnosti koji zahtjeva određene ljudske, vremenske i financijske resurse i čija je početna ulazna veličina cilj, a izlazna registar rizika i gdje je to prikladno, akcijski plan odnosno izvješće o upravljanju rizicima. Razradom pojednih aktivnosti može se doći do najnižeg nivoa dekompozicije procesa, a za potrebe najvišeg rukovodstva koristiti će se nivo dekompozicije prikazan na slici 1. temeljen na okviru koje je postavilo Ministarstvo financija u Smjernicama za provedbu procesa upravljanja rizicima kod korisnika proračuna. 10 UPUTE ZA P PROVEDBU P PROCESA UP PRAVLJANJA RIZICIMA S Služba za fina ancijsko upraavljanje i kon ntrole (oz. 20 0092012) Slika 1. Aktivnosti A i kooraci u processu upravljanja rizicima Izvor: Sm mjernice za prrovedbu proceesa upravljanjaa rizicima kod d korisnika prooračuna (MF 2009) 3.2. Provedba a aktivnostti i koraka a u processu upravljanja riziccima 3.2.1. Utvrđivan nje rizika Temeljnni dokumennt koji nasttaje u ovoj fazi (odno osno prvi dio d dokumeenta) je Obrrazac za utvrđivaanje i procjeenu rizika prikazan p na slici 2. Slika 2. Obrazac O za utvvrđivanje i proocjenu rizika Cilj: ............................................................... Sudionici u procjeni rizzika: Ukupno 0 0 0 0 0 0 0 0 Izvor: htttp://www.mfin.hr/hr/upravlljanje-rizicimaa-1-2 egled postojećih ko ontrola (mjera)veza anih uz Pre r rizik Vj Vjerojatnost j t t (1-3) (1 3) Ukupno Vjerojatnost (1-3) Učinak (1-3) Rizik i kratak opis rizika (glavni uzrok rizikka i p potencijalne posljedice) Učinak (1-3) Procjena a rezidualne (preostale e) razine rizika Procjena a inherentne razin ne rizika 11 UPUTE ZA P PROVEDBU P PROCESA UP PRAVLJANJA RIZICIMA S Služba za fina ancijsko upraavljanje i kon ntrole (oz. 20 0092012) U ovoj fazi potrebnno je identiificirati rizikke i popuniiti rubrike koje k se odnoose na cilj te t rizik i kratak opis rizika. Koraci koje je potrrebno podu uzeti kako bi se ova aktivnost uspješno u realiziraala prikazanni su slikom m 3. te su opiisani u teksttu u nastavkku. Koordinnator za rizzike dužan je j upoznatii zaposlenik ke sa sadržžajem obrassca za utvrđ đivanje i procjenuu rizika, a svaki zapooslenik, kadd naiđe na rizičnu situuaciju/e dužžan je uočeeni rizik upisati u Obrazac i dostaviti gaa koordinattoru za rizik ke. Slika 3. Utvrđivanje U riizika Utvvrđivannje ciljeeva Što ćemo ć p poduze eti Sttrateški Način ostvaarenja Pro ogramski Opperativni Aktivnosti i projektti Aktivnostti u g.p.r. Što treeba saččuvati od o rizikka Kontrolni ciljevi za načine ostvarenja Kontrolni ciljevi za aktivnosti i projekte Kontrolni z ciljevi za aktivnostti iz g.p.r. Kontrrolni ciljevvi za aktivno osti u proccesu Aktivnostti u procesuu Prrocesni R R R R Izvor: Sm mjernice za prrovedbu proceesa upravljanjaa rizicima kod d korisnika prooračuna (MF 2009) 3.2.1.1. Utvrditi ciljeve i akktivnosti (faaze) koje jee potrebno realizirati u svrhu ostvarenja cilja 4 c : Polaznaa osnova za utvrđivanjee rizika su ciljevi a) b) c) d) Posebni ciljjevi iz strateeškog planaa P C Ciljevi iz goodišnjeg plaana rada C Ciljevi proggrama iz finnancijskog plana p C Ciljevi posllovnih proceesa 4 Ciljevi (sstrateški i opeerativni) moraju biti međusobno usklađe eni i povezani. 12 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Nakon što rukovodstvo odredi ciljeve, razmatra se što će se poduzeti u svrhu njihova ostvarenja. Tako se prilikom izrade strateškog plana5 utvrđuju opći i posebni ciljevi i načini ostvarenja; prilikom izrade godišnjeg plana rada6 utvrđuju se, između ostalog, ciljevi koji su vezani uz opće i posebne ciljeve sadržane u strateškim planovima za trogodišnje razdoblje te aktivnosti koje će se poduzeti u svrhu realizacije postavljenih ciljeva; prilikom izrade financijskog plana7 utvrđuju se ciljevi programa, programi, odnosno aktivnosti i projekti te su također utvrđene aktivnosti koje se provode u pojedinom poslovnom procesu, odnosno utvrđuju se aktivnosti prilikom uvođenja novih poslovnih procesa. 3.2.1.2. Definirati kontrolne ciljeve pojedinih aktivnosti (faza) Svrha ovog koraka je da se: a) prepozna ono što je potrebno osigurati da bi se aktivnost uspješno realizirala b) utvrde ključni čimbenici uspjeha u svakoj aktivnosti c) prepozna što je bitno sačuvati od rizika u pojedinoj aktivnosti Načini ostvarenja iz strateškog plana, aktivnosti iz godišnjeg plana rada, aktivnosti i projekti iz financijskog plana i aktivnosti koje se poduzimaju u pojedinom poslovnom procesu moraju se uspješno realizirati kako bi se ostvarili ciljevi iz planskih dokumenta odnosno ciljevi poslovnih procesa. Zato je važno odrediti što je to potrebno osigurati da bi se načini ostvarenja, aktivnosti iz godišnjeg plana rada, aktivnosti i projekti te procesne aktivnosti uspješno provodile. U tu svrhu, u odnosu na načine ostvarenja iz strateškog plana, aktivnosti iz godišnjeg plana rada, aktivnosti i projekte iz financijskog plana i aktivnosti u poslovnim procesima, razmatra se što je potrebno sačuvati od rizika da bi se to uspješno realiziralo i u tom smislu definiraju se kontrolni ciljevi (poželjno u formi „Osigurati da...“). 3.2.1.3. Utvrditi rizike Nakon što su utvrđeni kontrolni ciljevi za načine ostvarenja, aktivnosti i projekte, aktivnosti iz godišnjeg plana rada i procesne aktivnosti, utvrđuju se rizici koji bi mogli ugroziti ostvarenje navedenih elemenata planskih dokumenata odnosno elemenata poslovnih procesa te su to rizici posebnih, programskih, operativnih odnosno procesnih ciljeva. 5 U skladu s rokovima utvrđenim Zakonom o proračunu, odnosno Uputom Ministarstva financija za izradu strateškog plana. 6 Prijedlog godišnjeg plana rada utvrđuje se najkasnije 20 dana prije isteka roka za podnošenje zahtjeva za osiguranje sredstava za iduću proračunsku godinu, a donosi se najkasnije do kraja tekuće godine za iduću godinu. 7 U skladu s rokovima utvrđenim Zakonom o proračunu, odnosno Uputom Ministarstva financija za izradu financijskih planova. 13 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Metode za utvrđivanje rizika su: a) Prethodno iskustvo (rukovoditelji širih ustrojstvenih jedinica zajedno s ostalim rukovoditeljima unutar svojih ustrojstvenih jedinica trebaju koristiti podatke i analize o realizaciji planskih dokumenata, revizijska izvješća i druga izvješća u kojima se objašnjavaju razlozi odstupanja od planova...) b) Upitnici (rukovoditelji širih ustrojstvenih jedinica zajedno s ostalim rukovoditeljima unutar svojih ustrojstvenih jedinica pripremaju vlastite upitnike za samoprocjenu koristeći pregled glavnih skupina rizika i područja koje treba uzeti u obzir) c) Zajedničke radionice (rukovoditelji širih ustrojstvenih jedinica zajedno s ostalim rukovoditeljima unutar svojih ustrojstvenih jedinica i zaposlenicima trebaju održavati zajedničke radionice u svrhu razmatranja rizika, koristeći osobito asocijacije na imovinu, prijevare i nepravilnosti, ljude, zaštitu zdravlja i života, reputaciju..., a u odnosu na zajedničke ciljeve...) Kako bi se u obzir uzeli svi aspekti i područja pri utvrđivanju rizika, korisno je služiti se tabelarnim prikazom „Tipologije rizika“8 koja se može koristiti za izradu upitnika i na zajedničkim radionicama, a dana je kao prilog ovoj Uputi. Prema tipologiji razlikujemo dvije glavne grupe rizika: rizike iz okruženja i unutarnje rizike koji se odnose na planiranje, procese i sustave, zaposlenike i organizaciju, zakonitost i ispravnost te komunikacije i informacije. Ove grupe rizika su dalje razrađene na područja koja treba uzeti u obzir kada se utvrđuju potencijalni rizici i dani su prijedlozi pitanja koja se trebaju postaviti u svrhu identifikacije rizika, kao i pregled asocijacija na rizike. Rizici koji se moraju uvijek uzeti u obzir, odnose se na: a) Rizik od prijevare, namjernih nepravilnosti i stjecanja koristi ili namjerno prikrivanje istih b) Rizici koji mogu imati za posljedicu gubitak zdravlja i života 8 Tipologija rizika je predstavljena u smjernicama Ministarstva financija za provedbu procesa upravljanja rizicima kod korisnika proračuna (2009), te je u svrhu lakšeg snalaženja i bolje preglednosti dorađena i uobličena u tablicu. 14 UPUTE ZA P PROVEDBU P PROCESA UP PRAVLJANJA RIZICIMA S Služba za fina ancijsko upraavljanje i kon ntrole (oz. 20 0092012) 3.2.1.4. Opisati rizike r uzimaajući u obziir uzrok i po osljedicu n način da iz opisa rizzika bude raazvidno o kojem k se Identificcirane rizikke, potrebnoo je opisti na događajju radi, koji je njegov uzrok u i kojaa bi mogla biti b njegova posljedica. Ovo je važno zato da različitee osobe ne bi različito shvatile istti rizik; te aako se nako on nekog vremenaa ne sjetim mo što smo pod tim riizikom misslili; isto taako olakšavva grupiranjje rizika prilikom m izrade izvvješća o riziccima 3.2.2. Procjena rizika i ran ngiranje poo prioritetim ma Temeljnni dokumennt koji nastaje u ovoj fazi (odnossno drugi dio d dokumeenta) je Obrazac za utvrđivaanje i procjeenu rizika prikazan p na slici 2. U ovoj fazi potreebno je za identificiraane rizike procjeniti p u učinak i vvjerojatnost njihova nastankka prvo za inherentnu razinu, a potom tem meljem procj cjene djelottvornosti po ostojećih mjera koje k ublažuuju inherenntni rizik, potrebno je procjenitti učinak i vjerojatno ost i za reziduallnu razinu rizika. r Temeljeem procjenna izloženoosti rizicim ma popunjav vju se preoostale rubrrike u Obrrascu za utvrđivaanje i procjeenu rizika. Odnos inherentne i i rezidualnee razine rizzika prikazaan je slikom m 4. a koraaci koje je potrebno p poduzetti kako bi see ova aktivnnost uspješnno realiziralaa opisani suu u tekstu u nastavku. Slika 4. Odnos O inherenntne i reziduallne razine rizikka inh herentni rizik reziduallni rizik ko ontrole/mjere Izvor: Sm mjernice za prrovedbu proceesa upravljanjaa rizicima kod d korisnika prooračuna (MF 2009) 15 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Da bi se procjenila izloženost rizicima koiste se tablice i matrice prikazane na slikama 5 – 8: a) b) c) d) Tablica-prijedlog za procjenu učinka (posljedice) Tablica-prijedlog za procjenu vjerojatnosti Matrica koja povezuje učinak i vjerojatnost Matrica za određivanje rezidualne razine rizika Prilikom procjene rizika neizbježan je značajan udio subjektivizma procjenitelja rizika; posljedica toga mogu biti različitosti u procjeni odnosno da nekoliko procjenitelja rizika na istom objektu procjene dobiju različite nivoe rizika. Stoga je neophodno da rizike procjenjuje više osoba kako bi se postigao zajednički stav. U tom smislu, minimalan je zahtjev da koordinator za rizike u suradnji s rukovodećim službenikom i osobom koja je uočila rizik razmatra opis rizika, radi procjenu rizika i popunjava ostatak obrasca, a najpoželjnija opcija je procjenu rizika raditi na zajedničkim sastancima/radionicama za više osoba. 3.2.2.1. Procjeniti učinak rizika (inherentna razina) Procijeniti učinak inherentnog rizika znači procjeniti značajnost posljedice ako se rizik ostvari; pritom se postavlja pitanje što će se dogoditi ako se određeni događaj ostvari. Učinak se boduje ocjenama 1 – 3 ili opisno: malen, umjeren ili velik. Kao pomoćni materijal za procjenu učinka može se koristiti tablica prikazana na slici 5. koja sadrži opise i tumačenja za usmjeravanje prilikom ocjenjivanja učinka opisno ili ocjenom (velik učinak – ocjena 3, umjeren učinak – ocjena 2, malen učinak – ocjena 1) Slika 5. Tablica -prijedlog za procjenu učinka (posljedice) Učinak Ocjena Velik 3 Umjeren 2 Malen 1 Opis Prekid svih osnovnih programa/usluga Gubitak značajne imovine Ozbiljne štete za okoliš Smrt Značajan gubitak povjerenja javnosti Pritisak javnosti za smjenu čelnika Prekid nekih osnovnih programa/usluga Gubitak imovine Izvjesne štetne posljedice za okoliš Teške ozljede Djelomičan gubitak povjerenja javnosti Negativan stav javnosti u medijima Kašnjenja u rokovima kod manje značajnih projekata/usluga Gubitak imovine (male vrijednosti) Privremene štetne posljedice za okoliš Tretman kao prva pomoć Usporeno stjecanje povjerenja javnosti Djelomično negativan stav javnosti Prihvaćeno tumačenje U slučaju pojave rizika, aktivnosti su značajno narušene i potrebna su znatna dodatna sredstva kako bi se ostvarili postavljeni ciljevi. Alternativno, ovu kategoriju treba upotrijebiti pri opisivanju situacija kada nije moguće postići utvrđene ciljeve. U slučaju pojave rizika, aktivnosti su značajno narušene s mogućom potrebom za dodatnim sredstvima, kako bi se omogućilo i dalje nesmetano ostvarivanje postavljenih ciljeva U slučaju pojave rizika, radovi i planirane akcije nisu narušene ili su vrlo malo narušene, te nema potrebe za dodatnim sredstvima Izvor: Smjernice za provedbu procesa upravljanja rizicima kod korisnika proračuna (MF 2009) 16 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 3.2.2.2. Procjeniti vjerojatnost pojave rizika (inherentna razina) Procijeniti vjerojatnost identificiranog inherentnog rizika znači procjeniti kolika je vjerajatnost da se neki rizik ostvari. Vjerojatnost se boduje ocjenama 1 – 3 ili opisno: niska, srednja ili visoka. Kao pomoćni materijal za procjenu vjerojatnosti može se koristiti tablica prikazana na slici 6. koja sadrži opise za usmjeravanje prilikom ocjenjivanja vjerojatnosti opisno ili ocjenom (visoka vjerojatnost – ocjena 3, srednja vjerojatnost – ocjena 2, niska vjerojatnost – ocjena 1) Slika 6. Tablica -prijedlog za procjenu vjerojatnosti Vjerojatnost Ocjena Opis Visoka 3 Očekuje se da će se ovaj događaj javiti u većini slučajeva. Vjerojatnost nastupanja rizika temelji se na jasnim i učestalim dokazima ili spoznaji o već nastalim situacijama. Srednja 2 Događaj se ponekad može dogoditi. Vjerojatnost nastupanja rizika temelji se na dokazu ili spoznaji o već nastalim takvim situacijama. Niska 1 Nastanak događaja nije vjerojatan:Vjerojatnost nastupanja rizika je praktički nemoguća ili postoje neki rijetki praktični slučajevi ili spoznaje o takvim situacijama. Izvor: Smjernice za provedbu procesa upravljanja rizicima kod korisnika proračuna (MF 2009) 3.2.2.3. Procijenti ukupnu izloženost riziku (inherentna razina) Procjena ukupne izloženosti riziku potrebna je kako bi se utvrdili prioriteti, odnosno najznačajniji rizici kojima treba upravljati. Rezultat ukupne izloženosti riziku je rezultat umnoška ocjena učinka i vjerojatnosti nastanka pojedinog rizika. Ocjene učinka i vjerojatnosti ukupne izloženosti rizicima unose se se u drugi dio Obrasca za utvrđivanje i procjenu rizika, odnosno u za to predviđene rubrike, kako je prikazano na slici 2. ovih Uputa. Podatke o ocjenama i ukupnoj izloženosti inherentnim rizicima u Obrazac za utvrđivanje i procjenu rizika unosi koordinator za rizike temeljem dogovora o ocjenama između rukovodstva i zaposlenika. Za prikaz ukupne izloženosti riziku kao pomoćni materijal može se koristiti matrica koja povezuje učinak i vjerojatnost prikazana na slici 7. prema kojoj rezultat ukupne izloženosti riziku može biti 1, 2, 3, 4, 6 ili 9. 17 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Velik (3) 3 6 9 Umjeren (2) 2 4 6 Malen (1) UČINAK Slika 7. Matrica koja povezuje učinak i vjerojatnost 1 2 3 Niska (1) Srednja (2) Visoka (3) VJEROJATNOST Izvor: Smjernice za provedbu procesa upravljanja rizicima kod korisnika proračuna (MF 2009) 3.2.2.4. Procijeniti djelotvornost postojećih kontrola Prilikom procjene djelotvornosti kontrola uzimaju se u obzir postojeće kontrole kojima se smanjuje vjerojatnost da će se neki (inherentni) rizik aktivirati i koje, isto tako, mogu utjecati na učinak rizika. Do rezultata procjene djelotvornosti postojećih kontrolnih mehanizama rukovodstvo dolazi temeljem: a) Praćenja (detaljnije opisano pod točkom 3.2.4.) b) Izvješća unutarnje revizije 3.2.2.5. Odrediti rezidualnu razinu rizika Rezultati procjene djelotvornosti kontrola mogu se kretati od toga da: a) nema odgovarajuće kontrole b) uspostavljene su odgovarajuće kontrole, koje: 1) nisu dosljedno primjenjene u praksi (niska) 18 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 2) postojeće kontrole su djelotvorne, ali postoji prostor za poboljšanje odnosno uvođenje dodatnih kontrola (srednja) 3) postojeće kontrole su djelotvorne (visoka) Potrebno je istaknuti da se u većini slučajeva rizici ne mogu potpuno ukloniti i da svaka aktivnost sadrži u sebi mogući rizik te da kontrole ocjenjene kao djelotvorne pružaju samo razumnu sigurnost da će se postavljeni ciljevi ostvariti. Rezultati procjene kontrola navedeni pod a) ne utječu na učinak i vjerojatnost inherentnog rizika te je rezidualni rizik jednak inherentnom riziku; pod b) mogu utjecati na učinak i vjerojatnost nastanka inherentnog rizika i u tom smislu treba procijeniti učinak i vjerojatnost rezidualnog rizika. Za određivanje rezidualne razine rizika, kao pomoćni materijal može se koristiti matrica prikazana na slici 8. Visok rezidualni rizik Umjeren Malen Inherentni rizik Velik Slika 8. Matrica za određivanje rezidualne razine rizika Malen rezidualni rizik Visoka Srednja Niska Djelotvornost kontrola Izvor: Smjernice za provedbu procesa upravljanja rizicima kod korisnika proračuna (MF 2009) 19 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Podatke o postojećim kontrolama, ocjenama i ukupnoj izloženosti rezidualnim rizicima u Obrazac za utvrđivanje i procjenu rizika unosi koordinator za rizike temeljem podataka koje dobiva od rukovodstva. 3.2.2.6. Popuniti obrazac za utvrđivanje i procjenu rizika po prioritetima U Obrazac za utvrđivanje i procjenu rizika unose se rezultati provedbe prethodnih koraka, odnosno podaci kao što su: opis rizika, rezultati procjene inherentnog rizika, pregled postojećih kontrola i rezultati procjene rezidualnog rizika. Nakon što su uneseni podaci o rizicima u Obrazac za utvrđivanje i procjenu rizika, važno je i potrebno Obrazac ažurirati odnosno, rizike rangirati po prioritetima, od najznačajnih prema onima s najnižim ocjenama značajnosti odnosno rezultata izloženosti rezidualnom riziku. 3.2.3. Odabir odgovora na rizik i načina postupanja po rizicima Nakon popunjavanja obrasca za utvrđivanje i procjenu rizika, popunjava se radni dokument obrazac Registar rizika, sadržaja i forme kako je prikazano na slici 9. Slika 9. Obrazac Registar rizika Pregled postojećih kontrolnih mehanizama uz utvrđeni rizik ukupno Rizik (kratak opis rizika s uzrokom i potencijalnim posljedicama) Vjerojatnost Cilj Učinak Rezidualna razina rizika Sažetak odgovora na rizik Rok za izvršenje Sažetak planiranih planiranih radnji radnji (smanjiti, prenijeti ili izbjeći rizik)** Odgovorna osoba Izvor: http://www.mfin.hr/hr/upravljanje-rizicima-1-2 Koordinator za rizike priprema prvi dio obrasca registar rizika na temelju podataka iz Obrasca za utvrđivanje i procjenu rizika, te u suradnji s rukovodstvom popunjava preostali dio obrasca, koji sadrži rubrike za unos podataka o odgovoru na rizik, radnjama koje će se poduzeti, rokovima za realizaciju dogovorenih radnji i odgovornim osobama. 20 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 3.2.3.1. Odabrati odgovore na rizike i način postupanja po rizicima Rukovoditelji donose odluku o odgovoru na rizik; odgovor na rizik mora se obrazložiti, osobito u slučaju ako se rizik prihvaća; istovremeno je važno razmotriti javljaju li se prilike za iskorištavanje pozitivnog učinka. Temeljem trenutačne rezidualne razine rizika i odluke o odgovoru na rizik odlučuje se da li su potrebne dodatne mjere za daljnje smanjivanje izloženosti riziku. Važno je usmjeriti se na kritične rizike (neprihvatljive za Ministarstvo) Rizici se mogu: a) izbjeći (potpuno ili djelomično modificiranjem aktivnosti), b) prenijeti (prenošenje trećoj strani ili dijeljenje s rizika s trećom stranom – osiguravajuće društvo, outsourcing...; rizik se prenosi onom tko ga može najbolje kontrolirati), c) prihvatiti (bez poduzimanja dodatnih radnji u cilju smanjivanja ili otklanjanja rizika;odluka o prihvaćanju može se donijeti ako su mogućnosti za poduzimanje nekih mjera vezanih uz neki rizik ograničene ili troškovi poduzimanja aktivnosti premašuju koristi ili troškove štete) d) smanjiti (ublažiti) (poduzimanjem kontrolnih aktivnosti) 3.2.3.2. Popuniti obrazac Registar rizika Temeljem podataka iz Obrasca za utvrđivanje i procjenu rizika i podataka koje daje rukovodstvo, koordinator za rizike popunjava obrazac Registar rizika. Preporuka je da registri rizika sadrže 10 – 15 najznačajnijih rizika šire ustrojstvene jedinice (uprave). Uzimaju se u obzir rizici za koje je rezidualna razina procijenjena kao neprihvatljiva te se predlaže uvođenje dodatnih kontrolnih mehanizama jer postojeće kontrole nisu dovoljno učinkovite; mogu se navesti i ostali značajni rizici koji zahtjevaju praćenje. Rizici koji se prihvaćaju unose se u obrazac Reagistar rizika, te se u slučaju da su mogućnosti za poduzimanje određenih mjera u vezi s nekim rizicima ograničene ili su troškovi poduzimanja radnji nerazmjerni u odnosu na moguće koristi, priprema planove postupanja (detaljnije pod točkom 3.2.3.3.). Registar rizika razmatra se i ažurira po potrebi u svrhu provjere da li su planirane mjere poduzete i da li su postigle očekivane rezultate; poželjno je najmanje kvartalno na sastancima s rukovoditeljima za rizike iz registra razmotriti aktivnosti kojima se oni rješavaju. Pojedinačni rizici nisu neovisni jedni o drugima te ih je potrebno grupirati npr. kao “rizici u području resursa, rizici u području zakonitosti i ispravnosti...” a kao pomoćni materijal, da bi se rizici adekvatno grupirali, koristi se “Tipologija rizika”. 21 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 3.2.3.3. Izraditi akcijski plan U svrhu djelotvornog postupanja po rizicima izrađuju se akcijski planovi: a) Plan postupanja za smanjivanje odnosno ublažavanje rizika b) Plan postupanja za rješavanje učinaka koji će se pojaviti u slučaju ostvarena rizika koji se prihvaćaju Plan postupanja za smanjivanje odnosno ublažavanje rizika, prikazan na slici 10. donosi se u slučaju kada upravljanje rizicima zahtjeva dodatni napor i potrebno vrijeme te zahtjeva detaljno organiziranje i planiranje (pr. izmjena zakona, novi IT sustav...); u slučajevima kada rizik može biti riješen odmah ili u kratkom roku nije potreban akcijski plan. Slika 10. Plan postupanja za smanjivanje odnosno ublažavanje rizika Naziv ustrojstvene jedinice: Akcijski plan postupanja za smanjivanje odnosno ublažavanje rizika Cilj: .............................................................. Rizik i detaljan opis rizika (glavni uzrok rizika, događaj i potencijalne posljedice) r.br. Detaljan opis radnji koje je potrebno poduzeti Zadužene osobe za riješavanje rizika/mjere koju je potrebno poduzeti Rokovi Sredstva Opis načina provedbe po potrebna za nadzora provedbe fazama i realizaciju plana plana konačni datum 1 ... Izvor: Smjernice za provedbu procesa upravljanja rizicima kod korisnika proračuna (MF 2009) U slučaju da rukovodstvo donese odluku da prihvaća određeni rizik i da se neće poduzeti nikakve mjere, potrebno je donijeti Plan postupanja za rješavanje učinaka koji će se pojaviti u slučaju ostvarenja rizika koji se prihvaćaju (prikazan na slici 11.) Slika 11. Plan postupanja za rješavanje učinaka koji će se pojaviti u slučaju ostvarenja rizika koji se prihvaćaju Naziv ustrojstvene jedinice: Akcijski plan postupanja za rješavanje učinaka koji će se pojaviti u slučaju ostvarenja rizika koji se prihvaćaju Rizik: .............................................................. r.br. Opis učinka Detaljan opis radnji koje je Zadužene osobe za potrebno poduzeti poduzimanje radnji Rokovi provedbe Sredstva potrebna za po fazama i realizaciju plana konačni datum 1 ... Izvor: Smjernice za provedbu procesa upravljanja rizicima kod korisnika proračuna (MF 2009) 22 Opis načina nadzora provedbe plana UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 3.2.4. Praćenje Praćenje je najvažnija faza u provedbi procesa upravljanja rizicima te su rukovoditelji dužni provjeravati da li predložene kontrolne aktivnosti funkcioniraju u praksi i sprječavaju li odnosno ublažavaju li određeni rizik; također, važno je uzeti u obzir da se promjenom ciljeva i promjenama u okruženju mjenjaju i rizici. U skladu s rezultatima praćenja, potrebno je redovito ažurirati Registre rizika i Akcijske planove, a također i voditi popis (posebni registar) uklonjenih rizika. 3.2.4.1. Pratiti djelotvornost kontrolnih aktivnosti i provedbu akcijskih planova Nakon što su ustrojeni Registri rizika i dokumentirani podaci o najznačajnijim rizicima u Registre rizika, Registre rizika i podatke iz Registra rizika treba kontinuirano pregledavati u svrhu provjere da li su planirane mjere poduzete i funkcioniraju li kontrole onako kako je to rukovodstvo zamislilo, odnosno da li su djelotvorne, kako bi se utvrdile situacije u kojima su potrebne druge radnje. 3.2.4.2. Kontinuirano pratiti i pregledavati utvrđene rizike i provedbu akcijskih planova Kako bi se pravodobno uočile sve promjene vezano za rizike važno je osigurati kontinuitet u provedbi procesa upravljanja rizicima, a naročito u okolnostima stalnih promjena u okruženju i prioritetima, pri čemu se mijenjaju i ciljevi. S promjenom ciljeva i promjenom okolnosti u poslovanju javljaju se novi rizici i značaj prethodno utvrđenih i procijenjenih rizika. 3.2.5. 3.2.5.1. Izvješćivanje Izvješćivanje o aktivnostima vezanim uz upravljanje rizicima proračunskih korisnika u nadležnosti Ministarstva U svrhu djelotvornog postupanja u upravljanju rizicima i sveobuhvatnog razmatranja rizika u odnosu na zajedničke ciljeve, neophodna je uključenost proračunskih korisnika u nadležnosti Ministarstva te s tim u vezi uspostava linija izvješćivanja u skladu s dodjeljenim odgovornostima za ostvarenje zajedničkih ciljeva. Proračunski korisnici u nadležnosti Ministarstva dužni su izvješćivati o upravljanju rizicima i o najznačajnijim rizicima, osobe odgovorne za realizaciju strateških ciljeva i provedbu načina ostvarenja, odnosno osobe odgovorne za program u proračunu u skladu sa svojom ulogom u 23 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) realizaciji ciljeva i provedbi načina ostvarenja, odnosno u skladu sa svojom ulogom u realizaciji programa. Izvješća se podnose odgovornim osobama posredstvom nadležne ustrojstvene jedinice u Ministarstvu, a imenovani koordinator za rizike nadležne ustrojstvene jedinice presliku istog izvješća dostavlja Službi za financijsko upravljanje i kontrole 3.2.5.2. Izvješćivati o aktivnostima vezanim uz upravljanje rizicima Službu za FMC Izvješća širih ustrojstvenih jedinica šalju se osobi odgovornoj za koordinaciju uspostave procesa upravljanja rizicima, koja priprema objedinjeno izvješće o upravljanju rizicima. Ukoliko se čelnik šire ustrojstvene jedinice – uprave odluči za decentralizirani pristup upravljanja rizicima dostavljat će, polugodišnje, jedinstveno i cjelovito (na razini šire ustrojstvene jedinice - uprave) izvješće o praćenju rizika, Službi za financijsko upravljanje i kontrole u Upravi za proračun i financije. Izvješćuje se polugodišnje, a rokovi za dostavu izvješća Službi za financijsko upravljanje kontrole su 15.07. tekuće godine za prvo polugodište i 15.01. tekuće godine za drugo polugodište prethodne godine. Temeljna podloga za izradu izvješća su Registri rizika koje je potrebno kontinuirano pregledavati i ažurirati. U izvješće se unose svi podaci, neovisno o tome da li su sadržani u prethodno dostavljenim izvješćima. Služba za financijsko upravljanje i kontrole objedinjuje izvješće o upravljanju rizicima na razini Ministarstva, pri čemu osigurava da su svi rizici odgovarajuće grupirani (po ciljevima, po programima, po tipologiji...) i izrađeni portfelji rizika. Osoba imenovana za koordinaciju uspostave upravljanja rizicima dostavlja objedinjeno izvješće o upravljanju rizicima ministru, čelnicima unutarnjih ustrojstvenih jedinica i imenovanim koordinatorima za rizike te se na taj način osigurava dijeljenje saznanja o rizicima i rezultata među rukovoditeljima i ustrojstvenim jedinicama. Osoba imenovana za koordinaciju uspostave procesa upravljanja rizicima o izuzetno značajnim rizicima navedenim u izvješću o upravljanju rizicima dužna je upoznati Stručni kolegij Ministarstva i osigurati zabilješku o istom. 3.2.5.3. Izvješće o upravljanju rizicima Koordinatori za rizike širih ustrojstvenih jedinica u Ministarstvu i koordinatori za rizike proračunskih korisnika u nadležnosti Ministarstva pripremaju izvješće o upravljanju rizicima sadržaja i forme kako je prikazano na slici 12. ovih Uputa. 24 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Slika 12. Obrazac izvješća o upravljanju rizicima Naziv ustrojstvene jedinice/proračunskog korisnika u nadležnosti Ministarstva: Izvješće o upravljanju rizicima Aktivnosti poduzete na uspostavi procesa upravljanja rizicima r.br. Opis aktivnosti 1 2 3 ... Datum poduzimanja aktivnosti Aktivnosti vezane uz upravljanje rizicima na razini uprave r.br. Opis aktivnosti 1 2 3 ... Datum poduzimanja aktivnosti Najznačajniji rizici Cilj r.br. (planski dokument/program) 1 2 3 ... Opis rizika opis utjecaja na ostvarenje cilja Rok za izvršenje planiranih radnji Odgovorna osoba Poduzete aktivnosti na sprečavanju/ublažavanju rizika, Obrazloženje odgovora na rizik i detaljan opis planiranih radnji (smanjiti, prenijeti ili izbjeći rizik) Rok za izvršenje planiranih radnji Odgovorna osoba Poduzete aktivnosti na sprečavanju/ublažavanju rizika, Detaljan opis planiranih radnji Rok za izvršenje planiranih radnji Odgovorna osoba Poduzete aktivnosti Obrazloženje odgovora na rizik i detaljan opis planiranih radnji (smanjiti, prenijeti ili izbjeći rizik) Najznačajniji novonastali rizici koji su se pojavili nakon ažuriranja registra rizika Cilj r.br. (planski dokument/program) 1 2 3 ... Opis rizika opis utjecaja na ostvarenje cilja Rizici na koje se nije moglo djelovati na planirani način Cilj r.br. (planski dokument/program) 1 2 3 ... Opis rizika opis utjecaja na ostvarenje cilja Izvor: Smjernice za provedbu procesa upravljanja rizicima kod korisnika proračuna (MF 2009) Sažeci i objedinjeno izvješće o upravljanju rizicima će obuhvatiti podatke iz izvješća širih ustrojstvenih jedinica: a) aktivnostima poduzetim na uspostavi procesa upravljanja rizicima, b) o aktivnostima vezanim uz upravljanje rizicima na razini širih ustrojstvenih jedinica, c) o najznačajnijim rizicima i najznačajnijim novonastalim rizicima koji su se pojavili nakon redovitog ažuriranja registra rizika, d) o njihovu utjecaju na ostvarenje ciljeva, e) o poduzetim aktivnostima na sprečavanju/ublažavanju rizika, f) o rizicima na koje se nije moglo djelovati na planirani način 25 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) 4. PREGLED POJMOVA Brainstorming/radionice Metoda nekritičkog prikupljanja mišljenja različitih grupa; često se koristi kod utvrđivanja i procjene rizika na razini jedne organizacijske jedinice. Pristup se temelji na činjenici da različite osobe s različitim iskustvom i znanjem određenom problemu različito pristupaju. Cilj Rezultat koji korisnik proračuna želi ostvariti, odnosno željeno buduće stanje čije se ostvarenje očekuje u određenom razdoblju. Jedna od podjela može biti na strateške ciljeve i operativne ciljeve vezane uz operativne planove rada, programe i poslovne procese. Cilj procesa upravljanja rizicima „Smanjiti opseg neizvjesnosti koje bi mogle biti prijetnja poslovnoj uspješnosti“. COSO Committee of Sponsoring Organisations of the Treadway Commission Odbor pokroviteljskih organizacija koje podupiru Povjerenstvo kongresnika Treadway-a (Američka Nacionalna komisija za izvješćivanje o financijskim prijevarama). Odbor je objavio prvi sveobuhvatni izvještaj o internoj kontroli Internal Control – Integrated Framework «Unutarnja kontrola - Integrirani okvir» koji je poznat pod nazivom «COSO model za unutarnju kontrolu“. Svrha tog izvještaja bila je kod najviših razina menadžmenta podići razinu svijesti o potrebi provedbe aktivnosti interne kontrole kao važne komponente upravljanja poslovanjem. Upravljanje rizicima uspostavlja se i razvija na temeljima COSO okvira za upravljanje rizicima koji predstavlja nadogradnju COSO modela unutarnje kontrole. 26 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Detektivne kontrole Detektivne kontrole signaliziraju mogućnost nastanka nepravilnosti; uvode se u svrhu otkrivanja i utvrđivanja prilika u kojima su se neželjeni događaji javili; to su kontrolne aktivnosti, postupci i procedure koje otkrivaju pogreške, prijevare i ostale neželjene događaje. Primjeri detektivnih kontrola uključuju provjeru zaliha ili imovine, fizičko brojenje zaliha i utvrđivanje zastarjelih zaliha češće inventure (čime se otkriva jesu li zalihe ili imovina neovlašteno uklonjene), priprema izvješća i usklađivanje s poslovnim knjigama (čime se mogu otkriti neovlaštene transakcije), usklađivanje Izvatka otvorenih stavaka dobivenog od dobavljača s evidentiranim plaćanjima, preglede nakon provedbe neke radnje, provjera na licu mjesta, potvrde nakon plaćanja..., Direktivne kontrole Uspostavljaju se u svrhu poticanja radnji potrebnih za ostvarivanje ciljeva, ukazuju na smijer kretanja. Odnose se na usklade sa zakonskim regulativama te ostalim standardima i propisima struke. Usmjeravaju određeni proces u željenom smjeru, odnosno osiguravaju ostvarenje cilja koji se želi postići. Kao primjer direktivne kontrole mogu se navesti: jasna definicija politika, zakoni i drugi propisi, planovi, procedure i postupci, resursi potrebni za ostvarenje cilja, postavljanje specifičnih ciljeva te odgovarajuće osposobljavanje i ekipiranje, propisivanje IT sigurnosne politike, uspostava pravila za procjenu rizika i sl. Djelotvornost (efikasnost) Razina ostvarivanja ciljeva odnosno omjer planiranog i ostvarenog učinka neke aktivnosti. Ekonomičnost Smanjenje troškova resursa koji se koriste u obavljanju neke aktivnosti na najmanju mjeru, uz osiguranje primjerene kvalitete. 27 između UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Inherentna razina rizika Razina rizika u slučaju nepostojanja kontrola i faktora koji ublažuju rizike (razina rizika bez uspostavljenih kontrola). INTOSAI International Organisation of Supreme Audit Institutions Međunarodna organizacija vrhovnih revizijskih institucija. Izbjegavanje rizika Poslovna odluka o neuključivanju ili o povlačenju iz rizične situacije Izjava o misiji Izjava kojom se navodi glavni razlog postojanja i djelovanja organizacije, a sastoji se od područja djelovanja, organizacijskih vrijednosti i ciljeva; to je ono zbog čega institucija postoji, a regulirano je propisima. Kontrola Kontrola je svaka aktivnost koju poduzima rukovodstvo u svrhu upravljanja rizicima i povećanja vjerojatnosti da će se postavljeni ciljevi ostvariti, odnosno mjera kojom će se ublažiti ili otkloniti utjecaj rizika. Kontrolne aktivnosti Prema odredbi Zakona o sustavu unutarnjih financijskih kontrola, kontrolne aktivnosti temelje se na pisanim pravilima i načelima, postupcima i drugim mjerama koje se uspostavljaju radi ostvarenja ciljeva korisnika proračuna smanjenjem rizika na prihvatljivu razinu. U kontekstu upravljanja rizicima kontrolne aktivnosti se mogu podijeliti na direktivne, preventivne, detektivne i korektivne. 28 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Korektivne kontrole Uvode se u svrhu korekcije učinaka, odnosno ispravaka problema identificiranih detektivnim kontrolama. To su kontrolne aktivnosti, postupci te procedure koje ispravljaju pogreške, prijevare i ostale neželjene događaje. Prilikom provedbe korektivnih postupaka potrebno je definirati uzrok problema, propisati način korigiranja pogreške te provesti modifikaciju sustava. Kao primjere korektivnih kontrola možemo navesti slijedeće: ispravak knjiženja, otpuštanje radnika kojima se dokazala manipulativna okolnost, oblikovanje ugovornih uvjeta kojima se omogućuje povrat više plaćenih iznosa i slično. Kritični rizici Rizici koje jedan korisnik proračuna smatra neprihvatljivim, primjerice, ako ugrožava ostvarenje ključnih ciljeva korisnika proračuna, ako može uzrokovati znatnu štetu interesnim skupinama (građani, Vlada RH, Europska komisija, drugi korisnici proračuna itd.), ako je posljedica rizika povreda zakona i propisa, ako može uzrokovati značajne financijske gubitke, ako dovodi u pitanje sigurnost zaposlenika korisnika proračuna ili ako u bilo kojem slučaju ozbiljno utječe na ugled korisnika proračuna. Metode utvrđivanja rizika Utvrđivanje rizika može se provoditi na različite načine: korištenjem podataka iz prethodnih razdoblja, održavanjem radionica, pomoću posebnih upitnika te provođenjem intervjua Misija Glavni razlog postojanja i djelovanja, sastoji se od područja djelovanja i vrijednosti i ciljeva koji se žele ostvariti; to je ono zbog čega institucija postoji, a regulirano je propisima. 29 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Načela dobrog financijskog upravljanja Načela ekonomičnosti i učinkovotosti zahtjevaju da se uz minimalne resurse postignu maksimalni rezultati odnosno postizanje najboljeg odnosa između upotrijebljenih resursa i postignutih rezultata. Načelo djelotvornosti zahtjeva postizanje specifičnih ciljeva i predviđenih rezultata. Nepravilnost Može se klasificirati kao: a) slučajna pogreška, b) nepravilnost za koju nisu propisane prekršajne odredbe, c) nepravilnost koja ima obilježje prekršaja, d) sumnja na kazneno djelo. Operativni ciljevi Utvrđuju se na temelju strateških ciljeva, užeg su opsega, kratkoročni su i određuju željene ili očekivane rezultate nižih organizacijskih jedinica, odnosno pojedinih poslovnih procesa. Opis rizika Opis rizika završetak je procesa utvrđivanja rizika i početak procesa procjene rizika. Prije procjene rizika potrebno je jasno formulirati odnosno opisati utvrđeni rizik uzimajući u obzir glavni uzrok rizika (što je osnovni problem) te potencijalne posljedice rizika (učinak na ciljeve/aktivnosti). PIFC (Public Internal Financial Control) Sustav unutarnjih financijskih kontrola u javnom sektoru je cjelokupan sustav financijskih i drugih kontrola uspostavljen od čelnika korisnika proračuna s ciljem uspješnog upravljanja i ostvarenja zadaća korisnika proračuna. Sustav unutarnjih financijskih kontrola u javnom sektoru sastoji se od dva osnovna elementa: a) financijskog upravljanja i kontrola, b) unutarnje revizije 30 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Planiranje u nepredviđenim situacijama, (engl. Contingency planning) Plan djelovanja u slučaju nastanka nepovoljnog događaja niske razine vjerojatnosti i visokog učinka po djelovanje organizacije (npr.nestanak električne energije ili kvar na serveru). Svrha plana je održavanje standarda javnih usluga i djelovanje organizacije u skladu s programom rada. Portfelj rizika Portfelj rizika je evidencija skupine rizika koji se pojavljuju ili mogu pojaviti u jednoj organizaciji tijekom poslovanja. Grupiranjem rizika dobit će se portfelji rizika koji će se dodijeliti odgovarajućim rukovoditeljima, a oni će pratiti svoj portfelj, nadgledati razvoj i postojanje odgovarajućega kontrolnog okruženja te o tome izvješćivati (primjerice vezano za područje resursa ili zakonitost i ispravnost). Tako grupirani rizici mogu se odnositi na više ciljeva. Kao pomoć u grupiranju može se koristiti „Tipologija rizika“. Poslovni proces Skup aktivnosti koje su međusobno povezane ili su u međudjelovanju, te koje ulazne veličine pretvaraju u izlazne. U javnom sektoru, skup povezanih aktivnosti za čije se provođenje koriste resursi korisnika proračuna i čiji je krajnji cilj zadovoljenje potreba i zahtjeva poreznih obveznika za uslugama odgovarajuće kvalitete u određenom vremenskom razdoblju. Postupanje po rizicima/odgovor na rizike Postupanje po rizicima je razmatranje mogućih mjera kojima se može utjecati na prihvatljivost rizika. To može uključiti izbjegavanje rizika, prenošenje rizika, prihvaćanje rizika odnosno ublažavanje rizika uvođenjem kontrolnih aktivnosti. 31 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Praćenje rizika Praćenje je dio ciklusa upravljanja rizicima u kojem se provjerava funkcioniraju li u praksi predložene kontrolne aktivnosti i sprječavaju li odnosno ublažavaju li određeni rizik. Prenošenje rizika Aktivnost čija je svrha prijenos učinka rizika s vlasnika na drugu osobu. Primjer prijenosa rizika je polica osiguranja, kod koje vlasnik rizika prenosi učinak rizika na osiguravajuće društvo. Preventivne kontrole Oblikovane su u svrhu spriječavanja pogrešaka, nepravilnosti, prijevara; proaktivne su i naglašavaju kvalitetu odvijanja poslovanja. Kao primjeri, mogu se navesti: podjela dužnosti, provjera računske točnosti prije plaćanja, postojanje procedura za ovlaštenja i odobrenja, fizička kontrola pristupa imovini, aplikacijama... Prihvaćanje rizika Odluka kojom prihvaćamo trošak učinka rizika ako se materijalizira u budućnosti. Procjena rizika Postupak kojim se na sustavan način obavlja procjena i određuje vjerojatnost i učinak nepovoljnih uvjeta i/ili događaja po ostvarenje cilja. Registar rizika Pregled utvrđenih rizika, procjene rizika na temelju učinka i vjerojatnosti, potrebnih aktivnosti, odnosno kontrola koje će smanjiti posljedice rizika, osoba koje su zadužene za provođenje određenih aktivnosti kao i rokova za njihovo izvršenje. To je interni dokument svakog korisnika proračuna. 32 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Rezidualni rizik Rizik koji ostaje nakon što rukovodstvo poduzme radnje za smanjenje učinka i vjerojatnosti nepovoljnog događaja, uključujući kontrolne aktivnosti u smislu reagiranja na rizik (razina rizika nakon što rukovodstvo kontrolama smanji učinak i vjerojatnost inherentnoh rizika). Rizik Rizik je mogućnost nastanka događaja koji mogu nepovoljno utjecati na ostvarenje ciljeva, odnosno prijetnja ostvarenju ciljeva, programa ili pružanja usluga građanima; isto tako rizik se može promatrati u pozitivnom smislu i to kao izgubljene mogućnosti odnosno mogućnosti nekorištenja šanse za poboljšanje. Dakle, rizik su svi čimbenici koji mogu pozitivno ili negativno utjecati na ostvarenje cilja, a karakterizira ga vjerojatnost ili mogućnost nastanka događaja i učinak ili posljedica koja će se pojaviti nastankom događaja. Primjeri rizika u javnom sektoru: a) Neekonomično, neučinkovito ili nedjelotvorno upravljanje javnim sredstvima b) Nepravilno i nezakonito poslovanje c) Neodgovorno poslovanje, nepravilnosti i prijevare s posljedicom gubitka imovine d) Nepouzdano izvješćivanje e) Nesposobnost reagiranja na promijenjene okolnosti ili nesposobnost upravljanja u prominjenjenim okolnostima na način koji spriječava ili maksimalno smanjuje nepovoljne učinke na pružanje javnih usluga f) Sve ono što može naštetiti ugledu korisnika proračuna i smanjiti povjerenje javnosti Rizik prilike Rizik prilike je mogućnost nekorištenja poboljšanje poslovnog djelovanja. 33 šanse za UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Strateški ciljevi Definiraju željene rezultate i proizlaze iz misije poslovanja, a nastaju tijekom procesa strateškog planiranja; u pravilu su višegodišnji i određuju očekivane rezultate. Strateško planiranje Upravljački proces kojim organizacija određuje svoj smjer razvoja, te u skladu s tim donosi odluke o raspoređivanju financijskih, materijalnih i ljudskih resursa. Kao rezultat planiranja donosi se strateški plan dokument koji sadrži viziju, strateške ciljeve, načine ispunjavanja ciljeva (akte planiranja), mjere procjene rezultata i sustav praćenja postizanja rezultata. Smanjenje/tretiranje ublažavanje rizika Proces izbora i provedbe aktivnosti za ublažavanje rizika. Pod tretiranjem rizika smatra se uspostava odgovarajućih kontrolnih aktivnosti, kako bi se smanjila vjerojatnost nastanka negativne posljedice povezane s rizikom ili oboje. Tipologija rizika Podjela na pet glavnih skupina rizika: a) b) c) d) e) Vanjsko okruženje Planiranje, procesi i sustavi Zaposlenici i organizacija Zakonitost i ispravnost Komunikacije i informacije Ovakvu tipologiju rizika koristi Europska komisija i Nacionalni fond Ministarstva financija u priručniku za upravljanje rizicima vezano uz sustav upravljanja i korištenja sredstava Europske unije. 34 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Upravljanje rizicima Upravljanje rizicima je proces utvrđivanja, procjenjivanja i praćenja rizika, uzimajući u obzir ciljeve organizacije, te poduzimanja potrebnih aktivnosti, posebice kroz primjenu financijskog upravljanja i kontrola, a u svrhu smanjenja ili otklanjanja rizika. Sastavni je dio procesa planiranja i upravljanja poslovnim procesima, pa je tako aktivnosti vezane za upravljanje rizicima važno provoditi tijekom izrade strateškog, financijskog i godišnjeg plana rada te ostalih operativnih planova. Utvrđivanje rizika Proces identifikacije događaja i određivanje ključnih rizika koji mogu ugroziti ostvarenje organizacijskih ciljeva Učinak Kvantitativna mjera posljedice nastanka događaja. Obično se iskazuje kao velik, srednji ili malen učinak. Učinkovitost Maksimalno povećanje outputa ili ishoda/rezultata aktivnosti u odnosu na dane inpute; odnosno najbolji omjer između rezultata i sredstava korištenih za njihovo ostvarenje. Ublažavanje rizika (tretiranje rizika) Aktivnosti poduzete u svrhu smanjenja vjerojatnosti, negativne posljedice, ili oboje, povezano s rizikom. Vizija Pretpostavlja sliku idealne dugoročni smjer i razvoj. 35 budućnosti; ukazuje na UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) Vjerojatnost Kvantitativna mjera za mogućnost nastanka događaja. Obično se iskazuje kao niska, srednja ili visoka vjerojatnost. Vlasnik procesa Za svaki poslovni proces treba biti određena osoba – vlasnik procesa, koja će odrediti kako se proces treba provoditi; to može bi samo jedna osoba. Vlasnik procesa upravljanja rizicima Koordinator uspostave procesa upravljanja rizicima na razini Ministarstva. Zakon o sustavu unutarnjih financijskih kontrola u javnom sektoru Ovim se Zakonom uređuje sustav unutarnjih financijskih kontrola koji obuhvaća financijsko upravljanje i kontrole te unutarnju reviziju u javnom sektoru Republike Hrvatske. Za provedbu koordinacije ovog sustava zadužena je Središnja harmonizacijska jedinica Ministarstva financija. 36 UPUTE ZA PROVEDBU PROCESA UPRAVLJANJA RIZICIMA Služba za financijsko upravljanje i kontrole (oz. 20092012) PRILOG „Tipologija rizika“ 37 Tipologija rizika koja je predstavljena u Smjernicama za provedbu procesa upravljanja rizicima MF, dorađena; uzima u obzir sve aspekte i područja pri utvrđivanju rizika Glavne skupine rizika Vanjske Rizici koji se odnose na vanjsko okruženje/ izvan korisnika proračuna Područja koja treba uzeti u obzir kada se utvrđuju potencijalni rizici ‐ makro okruženje (geopolitički, ekonomski, prirodne katastrofe i slično) Pitanja koje je potrebno postaviti: ‐ Možete li identificirati potencijalne rizike ili probleme vezane uz geopolitičke, makroekonomske i društvene sredine u kojoj djeluje vaša institucija i koji mogu utjecati na bilo koju vašu djelatnost/ciljeve? Postoje li rizici vezani uz okoliš, koji mogu imati utjecaja na vaše djelatnosti/ciljeve? Asocijacije ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ promjene u okruženju (gospodarsko, društveno, političko) nesposobnost reagiranja na promjenjene okolnosti dinamično tržište politička nestabilnost ratovi socijalni nemiri prosvjedi financijska kriza tečaj promjene cijena, kamatnih stopa, deviznog kursa i vrijednosti novca poslovne veze u pogođenoj zoni konkurencija terorizam promjene eko‐sistema elementarne nepogode globalno zagrijavanje bolesti, epidemije pad telekomunikacija demografske promjene 1 ‐ političke odluke i prioriteti izvan korisnika proračuna (Hrvatski sabor, Vlada RH, Europska komisija i slično) ‐ Jedan od vaših ciljeva/aktivnosti izravno je ovisan o političkim prioritetima i odlukama donesenim izvan institucije (npr. Vlada RH, Hrvatski sabor, drugi korisnici proračuna itd.). Možete li prepoznati rizike koji bi mogli utjecati na ostvarenje vaših ciljeva u ovom kontekstu? ‐ ‐ ‐ ‐ ‐ ‐ ‐ Unutarnje Rizici koji se odnose na planiranje, procese i sustave ‐ vanjski partneri (građani, drugi korisnici proračuna, agencije, vanjski izvršitelji usluga, konzultanti, mediji i slično) ‐ strategija, planiranje i politike, uključujući interne političke odluke ‐ Jeste li za realizaciju ciljeva/aktivnosti ovisni o vanjskim partnerima (npr. drugi korisnici proračuna, agencije, vanjski izvršitelji usluga, konzultanti itd..)? Imate li kakvih problema u suradnji s vanjskim partnerima ili pružateljima usluga? Kako se to odražava na vaše ciljeve/aktivnosti? Možete li identificirati probleme ili potencijalne rizike vezane uz strategiju i godišnje planiranje, a koji bi mogli utjecati na vaše poslovanje i postizanje cilja? ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ nedostatak sporazuma o proračunu, postavljanje ciljeva koji nemaju punu političku podršku propisi i regulatorna tijela odbijanje zakonodavnih prijedloga izmjenjeni prioriteti i važnost pojedinih djelova poslovanja obustava pristupa prirodnim resursima kašnjenje u pripremi ili provedbi određenog programa projekta zbog slabe provedbe aktivnosti davatelja usluga/radova prekid normalnog poslovanja narušavanje reputacije poslovne veze dobavljači provedba pod utjecajem nejasne strategije ili ciljeva odnosno nerealnih ili precijenjenih ciljeva struktura organizacije nedostatno planiranje i priprema očekivanja među različitim dionicima nedostatak konzistentnosti izmenu dugoročne strategije i godišnjih ciljeva kretanje u neželjenom smjeru, nepostizanje ciljeva izmjenjeni prioriteti i važnost pojedinih djelova poslovanja izgubljene, propuštene mogućnosti (prilike) opasnost preuzimanja mogućnosti neekonomično, neučinkovito ili 2 ‐ operativni procesi (dizajn i opis procesa) ‐ ‐ financijski procesi i dodjela proračunskih sredstava ‐ Koji su glavni procesi i postupci u Vašoj nadležnosti? Imate li kakvih problema vezanih uz procese koji bi mogli utjecati na vaše ciljeve/aktivnosti? Možete li prepoznati probleme ili moguće rizike u vezi s financijskim procedurama i proračunskim sredstvima, što bi moglo utjecati na ostvarenje vaših ciljeva? ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ IT i ostali sustavi podrške ‐ Koji su glavni sustavi u vašem korisniku proračuna? Imate li kakvih problema povezanih s njima koji bi mogli utjecati na vaše aktivnosti/ciljeve? ‐ ‐ ‐ ‐ ‐ ‐ ‐ nedjelotvorno upravljanje javnim sredstvima planiranje proces i tehnološki dizajn izvršenje tehnolohije i kontinuitet neadekvatni ili neuspješni interni procesi nepostojanje pisanih procedura nejasne procedure okruženje procesa pravilnost obavljanja aktvnosti nefunkcionalni rezultati procesa dobavljači i partneri zadovoljstvo građana znanje i intelektualni kapital "uska grla" u procesu nekoherentnost izmenu ciljeva i raspoloživog proračuna bitni financijski podaci nepouzdani neekonomično, neučinkovito ili nedjelotvorno upravljanje javnim sredstvima rizici koji uzrokuju značajne financijske gubitke zastarjeli sustavi sigurnosni problemi podataka i sustava gubitak podataka greške operatora prekidi sustava kvarovi problemi zaštite podataka 3 Rizici koji se odnose na zaposlenike i organizaciju ‐ ‐ zaposlenici ( kompetentnost, odgovornost, suradnja) Možete li navesti probleme ili prepoznati moguće rizike vezane uz ljudske potencijale koji mogu utjecati na ostvarenje ciljeva/aktivnosti? ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ etika i ponašanje unutar organizacije („ton s vrha“, prijevare, sukob interesa i slično) ‐ ‐ ‐ interna organizacija (upravljanje, uloge i odgovornosti, delegiranje itd.) sigurnost zaposlenika, objekata i opreme te životne sredine ‐ ‐ Možete li identificirati probleme ili moguće rizike vezane uz organizacijsko i etično ponašanje u vašoj ustrojstvenoj jedinici koji bi mogli utjecati na vašu organizaciju i, posredno, na vaše ciljeve/aktivnosti? ‐ ‐ ‐ ‐ ‐ Možete li identificirati probleme ili moguće rizike vezane uz internu organizaciju, a koji mogu utjecati na vaše djelatnosti/ciljeve? ‐ ‐ ‐ ‐ ‐ ‐ Možete li identificirati probleme ili moguće rizike vezane uz sigurnost zaposlenika, objekata i opreme? ‐ ‐ ‐ ‐ ‐ ‐ ‐ vještine i sposobnosti rukovodstvo spremnost na promjene nedostatan broj zaposlenika, znanja i stručnosti prekomjerna ovisnost o zaposlenima na odreneno vrijeme ili kooperantima visoka fluktuacija zaposlenika rizici koji dovode u pitanje sigurnost zaposlenika propusti koji mogu dovesti di domino‐ efekta s dalekosežnim posljedicama komunikacija sukob interesa curenje povjerljivih informacija diskriminacija ponašanje nije u skladu s etičkim smjernicama prijevare i zlouporabe korupcija krađa izostanak jasne linije izvješćivanja neprimjerena podjela dužnosti neadekvatna struktura upravljanja i mehanizmi nadzora neadekvatno delegiranje ovlasti kontrola pristupa prostorijama nedovoljna zaštita od požara nepostojanje planova vezanih uz sigurnost povrede gubitak zdravlja i života požari 4 ‐ Rizici s aspekta zakonitosti i ispravnosti Rizici koji se odnose na komunikaciju i informiranje ‐ jasnoća, prikladnost i jedinstvenost postojećih zakona, propisa i pravila i ostali mogući ishodi koji se odnose na zakonitost i pravilnost ‐ metode i kanali komuniciranja ‐ Koji su glavni propisi i pravila koja se odnose na vaše ciljeve/aktivnosti? Možete li identificirati specifične probleme ili moguće rizike povezane s njima, a koji mogu utjecati na ostvarivanje vaših ciljeva? Metode i kanali komuniciranja u vašoj upravi/službi/odjelu djelotvorni su ili postoje odreneni problemi odnosno potencijalni rizici koji bi mogli utjecati na vaše poslovanje ili izvršenje ciljeva? ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ kvaliteta i pravodobnost informacija ‐ Koje su najvažnije informacije koje su vam potrebne za obavljanje vašeg poslovanja i postizanje ciljeva? Te informacije su obično pouzdane i pravodobne ili možete identificirati odrenene rizike u ovom području? ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ nejasna pravila i propisi nerazgovijetni i pretjerano složeni propisi zastarjela i nedosljedna pravila nepravilno i nezakonito poslovanje povreda zakona i propisa prijevara, namjerne nepravilnosti i stjecanje koristi, namjerno prikrivanje neučinkovita komunikacija s vanjskim partnerima u pogledu ostvarenja ciljeva nedostatna komunikacija izmenu korisnika proračuna nedjelotvorna komunikacija unutar korisnika proračuna odnosno unutar ustrojstvene jedinice reputacija korisnika proračuna zbog manjkavih priopćenja za javnost šteta ugledu vanjsko izvješćivanje i objavljivanje smanjeno povjerenje javnosti IT sigurnost informacije dobivate sa zakašnjenjem informacije su nepotpune netočne ili nepouzdane relevantnost podataka i integritet cjelovitos obrade podataka ugovorne obveze 5
© Copyright 2024 Paperzz