Embed Size (px)
Citation preview
SLOVENSKI INŠTITUT ZA REVIZIJO LJUBLJANA
ZAKLJUČNO DELO ZA STROKOVNI NAZIV PREIZKUŠENI NOTRANJI
REVIZOR
PRIPRAVA NAČRTA VZPOSTAVITVE REGISTRA TVEGANJ V PODJETJU
MAJ 2012 PETRA IRENA FABIAN GREGORČIČ
KAZALO
1. UVOD ......................................................................................................................... 1
1.1 Predstavitev zadane naloge ................................................................................. 1
1.2 Predpostavke in omejitve ..................................................................................... 2
1.3 Izbrane metode proučevanja ................................................................................ 3
Teoretični del ......................................................................................................................... 3
2. OBVLADOVANJE TVEGANJ ...................................................................................... 3
2.1 Opredelitev tveganj in vrste tveganj ..................................................................... 3
2.2 Proces obvladovanja tveganj ............................................................................... 4
2.3 Register tveganj kot rezultat procesa obvladovanja tveganj ................................. 6
2.4 Vloga notranjega revizorja pri obvladovanju tveganj............................................. 8
3. NA TVEGANJIH ZASNOVANO NAČRTOVANJE NOTRANJEREVIZIJSKEGA DELOVANJA .................................................................................................................... 11
3.1 Na tveganjih zasnovano notranje revidiranje ...................................................... 11
3.2 Ocenitev kulture in zrelosti podjetja na področju tveganj .................................... 13
3.3 Prepoznavanje in ocenjevanje tveganj ............................................................... 13
3.4 Proces na tveganjih zasnovanega načrtovanja notranjerevizijskega delovanja .. 16
Praktični del ......................................................................................................................... 19
4. SVETOVALNI POSEL: NAČRT VZPOSTAVITVE REGISTRA TVEGANJ V PODJETJU ...................................................................................................................... 19
4.1 Načrtovanje izvedbe svetovalnega posla ........................................................... 20
4.2 Priprava delovnega programa ............................................................................ 21
4.3 Priprava načrta vzpostavitve registra tveganj v podjetju ..................................... 22
4.4 Poročilo o opravljenem svetovalnem poslu: Načrt vzpostavitve registra tveganj podjetja ......................................................................................................................... 29
5. SKLEP IN UGOTOVITVE .......................................................................................... 30
6. LITERATURA ............................................................................................................ 31
7. VIRI ........................................................................................................................... 34
8. PREGLED UPORABLJENIH TUJIH IZRAZOV ......................................................... 34
9. SEZNAM PRILOG..................................................................................................... 34
KAZALO SLIK Slika 1: Pregled zunanjih in notranjih dejavnikov po COSO s primeri ..................................... 4
Slika 2: Model COSO ERM (2004) ......................................................................................... 5
Slika 3: Register tveganj po predlogu Andrewa Chambersa .................................................. 7
Slika 4: Register tveganj po predlogu Milenke Čižman .......................................................... 7
Slika 5: Vloge notranjega revizorja pri obvladovanju tveganj .................................................. 9
Slika 6: Shematični prikaz procesa na tveganjih zasnovanega notranjega revidiranja ......... 12
Slika 7: Stopnje zrelosti podjetja na področju tveganj z značilnostmi ................................... 13
Slika 8: Primer matrike tveganj ............................................................................................ 15
Slika 9: Proces na tveganjih zasnovanega načrtovanja notranjerevizijskega delovanja ....... 19
Slika 10: Predlog matrike tveganj ......................................................................................... 28
KAZALO TABEL Tabela 1: Obseg svetovalnega posla ................................................................................... 21
Tabela 2: Predlog kriterijev za ocenjevanje verjetnosti tveganj ............................................ 26
Tabela 3: Predlog kriterijev za ocenjevanje vpliva tveganj ................................................... 26
Tabela 4: Predlog strukture vprašalnika za ocenjevanje tveganj .......................................... 27
SEZNAM UPORABLJENIH KRATIC COSO Commitee of Sponsoring Organizations of the Treadway Commission COSO ERM COSO Enterprise Risk Management — Integrated Framework ERM Enterprise Risk Management — celovito obvladovanje tveganj IIA Institute of Internal Auditors — Inštitut notranjih revizorjev IPPF International Professional Practices Framework — Mednarodni okvir
strokovnega ravnanja
1
1. UVOD
1.1 Predstavitev zadane naloge
Notranja revizija je, po opredelitvi Inštituta notranjih revizorjev (IIA), dejavnost, ki je namenjena povečevanju koristi in izboljševanju poslovanja organizacije1. Organizaciji z dajanjem zagotovil in svetovanjem pomaga uresničevati njene cilje (Pravila stroke, 2011, str. 1).
Da bi notranja revizija lahko uspešno in učinkovito opravljala svojo vlogo, mora biti njeno delovanje ustrezno načrtovano. Načrtovanje notranjerevizijske dejavnosti sodi med ključne naloge notranjerevizijskega predstojnika. Notranjerevizijski predstojnik mora vzpostaviti na tveganjih zasnovane načrte, ki določajo prednostni vrstni red pri delovanju, skladno s cilji podjetja, kar je zahteva Mednarodnih standardov strokovnega ravnanja pri notranjem revidiranju (v nadaljevanju Standardi) - Standard 2010, ki predstavljajo temeljni okvir za strokovno izvajanje notranjega revidiranja (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 10).
Kako vzpostaviti na tveganjih zasnovano načrtovanje notranjerevizijskega delovanja ?
Da bi lahko odgovorili na zastavljeno vprašanje, je potrebno začeti pri opredelitvi tveganj. Podjetje oziroma poslovodstvo2 podjetja pri svojem poslovanju stremi k doseganju zastavljenih ciljev. Nepredvidljivost poslovnega okolja lahko prepreči uresničitev postavljenih ciljev z nastopom okoliščin, ki jih imenujemo tveganja. Tveganje je v pojmovniku Standardov opredeljeno kot možnost pojavitve dogodka, ki bo vplival na doseganje ciljev (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 24). Če podjetje torej hoče dosegati zastavljene cilje, mora učinkovito zaznavati in obvladovati tveganja, za kar je v prvi vrsti odgovorno poslovodstvo. Poslovodstvo je odgovorno za uvedbo in vzdrževanje sistema obvladovanja tveganj v podjetju. Naloga notranjega revizorja pa je, da mu je pri tem v pomoč z ovrednotenjem uspešnosti in priporočili za izboljšanje upravljanja, ter s tem obvladovanja tveganj (Vezjak, 2009a, str. 1).
Vzpostavitev okvira obvladovanja tveganj v podjetju pa je ključnega pomena tudi za vzpostavitev na tveganjih zasnovanega načrtovanja notranjerevizijskega delovanja. Notranjerevizijski predstojnik mora namreč okvir obvladovanja tveganj v podjetju upoštevati pri načrtovanju svojega delovanja - pojasnilo Standarda 2010 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 10).
Okvir obvladovanja tveganj je proces prepoznavanja, proučevanja, ocenjevanja in nadziranja tveganj (Tušek, Žager, 2004, str. 13). Rezultat tega procesa pa je navadno seznam tveganj ali register tveganj. Register tveganj lahko opredelimo kot seznam tveganj, ki nastane na
1 V strokovni literaturi se izrazi podjetje, organizacija in družba pojavljajo kot sopomenke. Zastavljen cilj zaključnega dela je priprava projekta vzpostavitve registra tveganj v podjetju in priprava predloga načrta za vpeljavo na registru tveganj zasnovanega načrtovanja notranjerevizijske dejavnosti v podjetju, zato kjer koli strokovna literatura govori o eni izmed sopomenk, uporabljam izraz podjetje. V primeru citata je uporabljen izraz, ki je naveden v citiranem besedilu. 2 Poslovodstvo je organ ali ena ali več oseb, ki so pooblaščene za zastopanje in vodenje podjetja. Poslovodstvo delniške družbe predstavlja uprava (v dvotirnem sistemu upravljanja) ali upravni odbor (v enotirnem sistemu upravljanja) (Zakon o gospodarskih družbah, 2006).
2
osnovi prepoznavanja in ocenjevanja tveganj, ter na področju načrtovanja notranjerevizijske dejavnosti predstavlja stično točko med notranjim revidiranjem in sistemom (okvirom) obvladovanja tveganj.
Na uporabo registra tveganj, kot osnove za načrtovanje notranjerevizijske dejavnosti, napotujejo tudi Standardi, ki zahtevajo, da mora biti načrt delovanja zasnovan na olistinjeni oceni tveganja, ki se pridobi najmanj enkrat letno, pri tem pa je potrebno upoštevati prispevek poslovodstva in sveta - Standard št. 2010.A1 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 10).
Notranji revizor je torej v skladu s Standardi obvezen vzpostaviti na tveganjih zasnovano načrtovanje svojega delovanja ter pri tem upoštevati okvir obvladovanja tveganj v podjetju, vključno z določeno sprejemljivo stopnjo tveganja. Glavno odgovornost tako za uvedbo kot vzdrževanje sistema obvladovanja tveganj v podjetju in s tem tudi za register tveganj, nosi poslovodstvo. Ključna vloga notranjega revizorja pri obvladovanju tveganj je v podajanju zagotovila poslovodstvu, da je sistem obvladovanja tveganj uspešen in učinkovit ter, da se ključna tveganja obvladujejo na sprejemljivi ravni (stopnji) (IIA Position paper: The Role of Internal Auditing in Eterprise-wide Risk Management- odslej ERM PP, 2009, str. 3). Notranji revizor lahko na področju obvladovanja tveganj tudi svetuje, ne sme pa dejansko ravnati z njimi ter jih obvladovati, to je naloga poslovodstva (Vezjak, 2009a, str. 24). Notranji revizor mora pri razmejitvi odgovornosti in dolžnosti v zvezi z obvladovanjem tveganj zelo paziti, da ne bi omajal svoje neodvisnosti in nepristranskosti. IIA zato podaja seznam vlog notranjega revizorja v sistemu obvladovanja tveganj. Vloge se delijo na ključne aktivnosti, na aktivnosti, ki naj jih notranji revizor ne bi izvajal ter na aktivnosti, ki jih notranji revizor sme izvajati le ob upoštevanju zaščitnih ukrepov (ERM PP, 2009, str. 4).
Naloga notranjega revizorja pri pripravi načrta vzpostavitve registra tveganj kot osnove za načrtovanje notranjerevizijske dejavnosti sestoji iz dveh delov. Prvi del naloge predstavlja svetovalni posel: podpora poslovodstvu pri vzpostavitvi sistema obvladovanja tveganj v podjetju in s tem registra tveganj. Notranji revizor pri tem ne sme ogroziti svoje nepristranskosti in neodvisnosti, svojo svetovalno funkcijo lahko izvaja toliko časa, dokler ne pridobi dejanske vloge v procesu obvladovanja tveganj, kar je naloga poslovodstva, in dokler poslovodstvo v celoti podpira in prevzema odgovornost za obvladovanje tveganj (Istenič, 2011, str. 17). Drugi del naloge zajema vpeljavo načrtovanja dejavnosti na osnovi ocene tveganj v vzpostavljenem registru tveganj.
Namen zaključne naloge je proučiti in predstaviti možnosti ter načine vzpostavitve ustreznega okvira obvladovanja tveganj v podjetju in s tem registra tveganj.
Cilj zaključne naloge je priprava načrta vzpostavitve registra tveganj v podjetju na osnovi naročila poslovodstva, ki bo skladen s cilji podjetja in bo predstavljal ustrezen okvir obvladovanja tveganj v podjetju ter s tem primerno osnovo za načrtovanje notranjerevizijske dejavnosti.
1.2 Predpostavke in omejitve
Glavna predpostavka zaključnega dela je, da podjetje nima vzpostavljenega celovitega okvira obvladovanja tveganj in s tem tudi ne registra tveganj, poslovodstvu pa je v interesu, da tak okvir vzpostavi.
3
Predpostavljam tudi, da bodo z vzpostavitvijo registra tveganj v podjetju tveganja prepoznana in ocenjena, ter s tem razvrščena po pomembnosti in, da bo tako določena tudi sprejemljiva stopnja tveganja za podjetje. Tako vzpostavljeni register tveganj v podjetju bo ustrezna osnova za vpeljavo na tveganjih zasnovanega načrtovanja notranjerevizijske dejavnosti.
1.3 Izbrane metode proučevanja
Pri pripravi zaključne naloge sta bili uporabljeni teoretična in izkustvena metoda. Teoretična metoda združuje teoretično znanje, pridobljeno na dodiplomskem študiju in na Slovenskem inštitutu za revizijo ter pridobljeno s proučevanjem tuje in domače literature s področja notranjega revidiranja in obvladovanja tveganj. Izkustvena metoda pa zajema praktične izkušnje, pridobljene z delom na področju zunanje revizije ter z delom v notranji reviziji.
Zaključno delo je sestavljeno iz teoretičnega in praktičnega dela. V teoretičnem delu je bil uporabljen deskriptivni način z metodo kompilacije, v praktičnem delu pa metoda komparacije.
Teoretični del
2. OBVLADOVANJE TVEGANJ
2.1 Opredelitev tveganj in vrste tveganj
V strokovni literaturi obstaja vrsta opredelitev pojma tveganje. Pojmovnik Standardov tveganje opredeljuje kot možnost pojavitve dogodka, ki bo vplival na doseganje ciljev in se meri v izrazih vpliva in verjetnosti (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 24). Tveganja so dogodki, ki vplivajo na poslovanje podjetja oziroma na doseganje ciljev podjetja, bodisi z negativnim (tveganja) bodisi z pozitivnim vplivom (priložnosti), ali pa z obema. Tveganjem se ni moč izogniti, zato jih mora podjetje najprej identificirati in strukturirati, nato izmeriti ter oblikovati metode za njihovo obvladovanje ( Vuk, 2008, str. 115).
V teoriji in praksi obstajajo različne razvrstitve tveganj, še posebej pa se razlikuje njihovo združevanje v sorodne skupine. Kako se v podjetju tveganja razvrstijo in kako se skupine tveganj v podjetju poimenujejo, ni tako pomembno. Pomembno je, da podjetje prepoznava in zaznava tveganja ter, da je razumevanje skupin tveganj, v katere se le-ta združujejo, v podjetju enotno (Vezjak, 2009a, str. 6). Združevanje v sorodne skupine pripomore k boljšemu prepoznavanju predvsem pa k identifikaciji vseh pomembnih tveganj in priložnosti.
Pri prepoznavanju dogodkov ter z njimi povezanih tveganj in priložnosti in nato združevanju tveganj v sorodne skupine, je podjetju lahko v pomoč pregled zunanjih in notranjih dejavnikov po COSO3 s primeri (Enterprise Risk Management-Integrated Framework, 2004b, str. 46-47):
3 COSO-Commitee of Sponsoring Organizations of the Treadway Commission
4
Slika 1: Pregled zunanjih in notranjih dejavnikov po COSO s primeri
ZUNANJI DEJAVNIKI
Gospodarski dejavniki Naravno okolje Politični dejavniki Socialni dejavniki Tehnološki dejavniki
o razpoložljivost kapitala o izpusti in odpadki o spremembe v vladi o demografske spremembe o prekinitve
o razpoložljivost kreditov o energija o zakonodaja o obnašanje potrošnikov o elektronsko poslovanje
o koncentracija o naravne katastrofe o javna politika o družbena odgovornost o zunanji podatki
o likvidnost o trajnostni razvoj o predpisi o zasebnost o nove tehnologije
o finančni trgi o terorizem
o nezaposlenost
o konkurenca
o združitve/pripojitve
NOTRANJI DEJAVNIKI
Infrastruktura Osebje Proces Tehnologija
o razpoložljivost sredstev o sposobnosti zaposlenih o zmožnosti o celovitost podatkov
O zmogljivost sredstev o prevare o zasnove o razpoložljivost podatkov in sistema
o dostop do kapitala o zdravje in varnost o izvajanje o izbira sistema
o kompleksnost o odvisnost od dobaviteljev o razvoj
o uvajanje
o vzdrževanje
Vir: Enterprise Risk Management-Integrated Framework, 2004b, str. 46-47.
Možni dogodki in s tem tveganja se določijo na različnih nivojih odločanja, tako na ravni podjetja kot celote, kot tudi za posamezno področje.
2.2 Proces obvladovanja tveganj
Obvladovanje tveganj4 Standardi podrobneje opredeljujejo kot postopke prepoznavanja, ocenjevanja, ukrepanja in obvladovanja možnih dogodkov ali situacij, da bi se s tem utemeljeno zagotavljalo doseganje ciljev v podjetju (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 24).
Obvladovanje tveganj v podjetju je proces, ki mora biti vzpostavljen na vseh ravneh podjetja. V procesu sodelujejo vsi zaposleni, vendar pa je za prepoznavanje in upravljanje tveganj, ter s tem tudi za obvladovanje, v prvi vrsti odgovorno poslovodstvo. Poslovodstvo je tisto ki je odgovorno za vzpostavitev in delovanje okvira obvladovanja tveganj-celovitega obvladovanja tveganj, angleško Enterprise Risk Management oz. ERM (ERM PP, 2009, str. 6). Celovito obvladovanje tveganj je strukturiran, konsistenten in nepretrgan proces, ki se dogaja v celotnem podjetju, ter zajema prepoznavanje, ocenjevanje, odločanje o odzivih in poročanje o priložnostih in tveganjih, ki vplivajo na doseganje ciljev podjetja (ERM PP, 2009, str. 2).
4 Pri prevodu angleškega izraza "risk management " slovenska strokovna literatura ni enotna. Pojmovnik računovodstva, financ in revizije (Turk, 2002, str. 384 in 1038) izraz prevaja kot "obvladovanje tveganj". Standardi isti izraz prevajajo kot "ravnanje s tveganjem" (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 25). V nalogi uporabljam izraz obvladovanje tveganj, ki vključuje celovit nabor aktivnosti v zvezi s tveganji: upravljanje, ravnanje s tveganji in obvladovanje tveganj.
Proces celovitega obvladovanja tveganj vseb
• jasno postavljanje in seznanjanje
• določitev stopnje sprejemljivosti tveganj za podjetje;
• vzpostavitev primernega notranjega okolja, vključno z okvirom obvladovanja tveganj
• prepoznavanje potencialnih nevarnosti
• ocenjevanje tveganj (vpliva in verjetnosti nastanka nevarnosti)
• izbor in uvedba odzivov na tveganja;
• izvajanje obvladovanja in drugih odzivnih aktivnosti;
• dosledno sporočanje informacij o tveganjih na vseh ravneh podjetja;
• spremljanje in usklajevanje procesa obvladovanja tveganj v podjetju in njegovih izidov na najvišji ravni;
• nudenje zagotovil o učinkovitosti procesa obvladovanja tveganj.
V strokovni literaturi najdemo svetu splošno sprejet in priznan s strani IIA ERM5. Temeljna predpostavka modela jenegotovostjo in izziv za poslovodstvo je prav s tem zagotovili rast in predvsem priložnosti, ki lahko vrednost aliposlovodstvu v podjetju omogoča, da se uspešno spoprijema z negotovostmi ter znotraj njih tako s tveganji kot s priložnostmi in pri tem povečuje zmožnosti krepitve vrednostRisk Management-Integrated Framework
Model COSO ERM je upodobljenpovezavo med cilji, ki si jih podjetje obvladovanja tveganj, ki povedo kaj je potrebno za dosego ciljev,ravneh podjetja (tretja dimenzija)spodnje slike.
Slika 2: Model COSO ERM (2004)
Vir: Enterprise Risk Management
Celoten proces vzpostavitve okvirja zgornje slike, sestoji iz osmih stopenj.okolje podjetja, nato opredeliti realne, dosegljive in merljive cilje
5 COSO ERM - COSO Enterprise Risk Management
5
Proces celovitega obvladovanja tveganj vsebuje naslednje aktivnosti (ERM PP
jasno postavljanje in seznanjanje s cilji podjetja;
jemljivosti tveganj za podjetje;
vzpostavitev primernega notranjega okolja, vključno z okvirom obvladovanja tveganj
prepoznavanje potencialnih nevarnosti za doseganje ciljev podjetja
ocenjevanje tveganj (vpliva in verjetnosti nastanka nevarnosti);
izbor in uvedba odzivov na tveganja;
izvajanje obvladovanja in drugih odzivnih aktivnosti;
dosledno sporočanje informacij o tveganjih na vseh ravneh podjetja;
remljanje in usklajevanje procesa obvladovanja tveganj v podjetju in njegovih izidov
učinkovitosti procesa obvladovanja tveganj.
V strokovni literaturi najdemo različne modele-okvire celovitega obvladovanja tveganj. Vpriznan s strani IIA je okvir celotnega obvladovanja tveganj COSO
Temeljna predpostavka modela je obstoj podjetja. Vsa podjetja se srečujejo z negotovostjo in izziv za poslovodstvo je odločitev, koliko negotovosti sprejeti, da bi hkrati oz.
rast in predvsem obstoj podjetja. Negotovost prinašalahko vrednost ali razvrednotijo ali okrepijo. Okvir obvladovanja tveganj
odjetju omogoča, da se uspešno spoprijema z negotovostmi ter znotraj njih tako s tveganji kot s priložnostmi in pri tem povečuje zmožnosti krepitve vrednost
Integrated Framework, 2004b, str. 13).
upodobljen kot tridimenzionalna kocka, ki predstavlja neposredno jih podjetje prizadeva doseči (prva dimenzija)
, ki povedo kaj je potrebno za dosego ciljev, (druga dimenzija) na vseh tja dimenzija). Povezava med posameznimi dimenzijami je razvidna iz
Model COSO ERM (2004)
Enterprise Risk Management-Integrated Framework, 2004b, str. 23.
Celoten proces vzpostavitve okvirja obvladovanja tveganj po COSO ERM, kot je razvidno iz zgornje slike, sestoji iz osmih stopenj. Najprej je potrebno spoznati in razčleniti notranje okolje podjetja, nato opredeliti realne, dosegljive in merljive cilje ter prepoznati dejavnike
COSO Enterprise Risk Management — Integrated Framework
ERM PP, 2009, str. 3):
vzpostavitev primernega notranjega okolja, vključno z okvirom obvladovanja tveganj;
za doseganje ciljev podjetja;
dosledno sporočanje informacij o tveganjih na vseh ravneh podjetja;
remljanje in usklajevanje procesa obvladovanja tveganj v podjetju in njegovih izidov
celovitega obvladovanja tveganj. V je okvir celotnega obvladovanja tveganj COSO
Vsa podjetja se srečujejo z odločitev, koliko negotovosti sprejeti, da bi hkrati oz.
prinaša tako tveganja kot Okvir obvladovanja tveganj
odjetju omogoča, da se uspešno spoprijema z negotovostmi ter znotraj njih tako s tveganji kot s priložnostmi in pri tem povečuje zmožnosti krepitve vrednosti (Enterprise
kot tridimenzionalna kocka, ki predstavlja neposredno (prva dimenzija), in sestavinami
(druga dimenzija) na vseh nzijami je razvidna iz
obvladovanja tveganj po COSO ERM, kot je razvidno iz Najprej je potrebno spoznati in razčleniti notranje
ter prepoznati dejavnike
6
tveganj za dosego ciljev. Nadaljnji korak je ocenitev tveganj z vidika verjetnosti in vpliva, ter nato opredelitev primernih odzivov na tveganja v odvisnosti od izbrane stopnje sprejemljivosti tveganj. Potrebno je opredeliti tudi primerne mehanizme za učinkovito odzivanje na tveganja, zagotoviti, da je vzpostavljena zadovoljiva raven komuniciranja in pretoka informacij do zainteresiranih skupin v podjetju ter na končni stopnji zagotoviti ustrezen način spremljanja doseženih rezultatov (Berk, 2006, str. 87).
Model COSO ERM je primeren za vse vrste podjetij in za vse ravni v podjetju, vendar se ne sme uporabljati vedno na enak način, saj se podjetja in posamezne ravni v podjetju med seboj razlikujejo. Kako bodo uvedeni koncept in načela okvira, je odvisno od različnih dejavnikov: dejavnosti in velikosti podjetja, vodstvene filozofije in kulture podjetja, ter mnogih drugih (Enterprise Risk Management-Integrated Framework, 2004a, str. 3). Okvir obvladovanja tveganj je treba prilagoditi vsakemu posameznemu podjetju, model COSO ERM je pri tem samo v pomoč. Dejanski okvir za posamezno podjetje mora biti prilagojen njegovim potrebam in okoliščinam, v katerih posluje (Vezjak, 2008b, str. 14-15).
2.3 Register tveganj kot rezultat procesa obvladovanja tveganj
Register tveganj je orodje za obvladovanje tveganj. Obvladovanje tveganj kot proces prepoznavanja in opredelitev tveganj, ocenjevanja teh tveganj z vidika verjetnosti nastanka in vpliva ter oblikovanja primernih ukrepov za obvladovanje teh tveganj, predstavlja osnovo za nastanek registra tveganj. Osnovni namen registra tveganj je namreč prikaz navedenih faz procesa obvladovanja tveganj s seznamom tveganj, ocenami teh tveganj ter načrtom ukrepov njihovega obvladovanja (Pickett, 2003, str. 139). Register tveganj je torej evidenca tveganj, ocen tveganj, ukrepov za ublažitev tveganj, potrebnih dodatnih aktivnosti ter odgovornih oseb za celovito obvladovanje tveganj (Guide on Risk-based Internal Audit, 2007, str. 14).
Vsebina registra tveganj je odvisna od izbranega pristopa k evidentiranju in ocenjevanju tveganj, v osnovi pa naj bi vseboval (Ribič, 2008, str. 54 in Pickett, 2003, str. 139):
• ključne cilje,
• nabor identificiranih tveganj,
• opis in opredelitev tveganj,
• oceno tveganj in izračun stopnje tveganja,
• opis in oceno ustreznosti obstoječih kontrol,
• opredelitev ukrepov za obvladovanje tveganj,
• odgovorne osebe in roke izvedbe aktivnosti,
• pregledovanje in poročanje.
Običajno je register tveganj prikazan kot tabela. Tveganja so razvrščena glede na njihovo pomembnost oz. njihov vpliv na (ne)doseganje postavljenih ciljev. Spodnji sliki prikazujeta primera registra tveganj.
7
Slika 3: Register tveganj po predlogu Andrewa Chambersa
Tveganje
Bruto tveganje
Pristojnost Opis
kontrol Učinkovitost
kontrol
Neto/ preostalo tveganje
Aktivnost Odgovornost Datum
pregleda Vpliv
Verjetnost Vpliv
Verjetnost
Ocene od 1 do 5
Močne, ustrezne, šibke
Ocene od 1 do 5
Vir: Chambers, 2010, str. 125.
Slika 4: Register tveganj po predlogu Milenke Čižman
REGISTER TVEGANJ ZA …….
Zap. št.
Datum vnosa
Opis tveganja
Ocena tveganja
Stopnja tveganja
Ustreznost obstoječih
kontrol
Ukrepi obvladovanja tveganj Izvajalec-
odgovorna oseba
Rok za izvedbo
aktivnosti Verjetnost nastanka
Posledice-vpliv
nastanka
Opis obstoječih
kontrol
Potrebne aktivnosti-
ukrepi
1 2 3 4 5 6=4*5 7 8 9 10 11
Velika
Srednja Majhna
Velik Srednji Majhen
Velika Srednja Majhna
Primerne Manj
primerne Neprimerne
Vir: Prirejeno po Čižman, 2008, str. 162.
Izdelava registra tveganj ne zajema samo izdelave seznama tveganj z načrtom ukrepov obvladovanja, temveč tudi pripravo vsebinske podlage. Del registra tveganj naj bi bila tudi metodologija, ki je bila uporabljena pri njegovi izdelavi, vključno z orodji, ki se uporabljajo kot pomoč pri sestavi registra tveganj, kot so na primer matrike ocenjevanja izpostavljenosti tveganjem, vprašalniki in kartice tveganj. Metodologija naj bi zajemala tiste bistvene določbe, ki so pomembne pri pripravi registra tveganj (Čižman, 2008, str. 160-161):
• opredelitev namena upravljanja tveganj,
• dolžnost odzivanja poslovodstva in drugih zaposlenih,
• ovrednotenje in razvrščanje možnih sestavin tveganja in vzpostavitev primernega sistema za njihovo obvladovanje,
• opredelitev verjetnosti nastanka nepravilnosti pri izvajanju posameznih procesov in vpliva nepravilnosti na poslovanje,
8
• vrste tveganj v povezavi z vrstami izvajanja procesov in nalog, pri katerih se lahko pojavijo nepravilnosti,
• oceno pomembnosti posameznih tveganj,
• opredelitev stopnje sprejemljivosti tveganj; stopnje, ki jo je poslovodstvo pripravljeno sprejeti, preden sprejme ukrepe, potrebne za obvladovanje tveganj,
• pripravo analize stroškov in koristi (kolikšen strošek je še primeren za dosego neke stopnje obvladovanja tveganja — razmerje med stroški in koristmi),
• odzive na tveganja (zavarovanje tveganj, razpršitev tveganj, notranje kontrole za obvladovanje tveganj),
• potek upravljanja tveganj, izvajanje ukrepov za obvladovanje tveganj,
• dolžnost poslovodstva, da spremlja tveganja v registru tveganj (vključevanje novih tveganj, izločevanje tveganj, ki niso več aktualna),
• sprotno prilagajanje spremembam v poslovnem okolju (nove ocene tveganj, preverjanje in usklajevanje registra tveganj),
• opredelitev sistema notranjih kontrol,
• vzpostavitev ustreznih informacijskih sistemov, ki dajejo popolna, pravilna in pravočasna poročila o doseganju ciljev (določbe o obsegu in vrstah poročil, rokih in podobno),
• opredelitev hranjenja dokumentacije za posamezna področja.
2.4 Vloga notranjega revizorja pri obvladovanju tveganj
Standardi notranjemu revizorju nalagajo obvezo ovrednotenja uspešnosti obvladovanja tveganj ter obvezo prispevka k izboljšanju postopkov obvladovanja tveganj - Standard 2120 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 12). Ključna vloga notranjega revizorja pri obvladovanju tveganj, ki izhaja iz obveze v Standardih, je v podajanju zagotovila poslovodstvu, da je sistem obvladovanja tveganj uspešen in učinkovit ter, da se ključna tveganja obvladujejo na sprejemljivi ravni (stopnji) (IIA Position paper: The Role of Internal Auditing in Eterprise-wide Risk Management, 2009, str. 3). Kakšno vlogo pri obvladovanju tveganj v podjetju notranji revizor dejansko opravlja, je odvisno od odločitve poslovodstva in sveta6 podjetja. Vloga notranjega revizorja v okviru obvladovanja tveganj se sčasoma lahko spreminja ter tako (Pravila stroke: Svetovalni napotek 2120-1, 2009):
• ne vključuje nobene vloge ali
• vključuje revidiranje postopkov obvladovanja tveganj kot del notranjerevizijskega načrta ali
• vključuje ustvarjalno, nenehno podporo postopkom obvladovanja tveganj, kot so udeležba v nadzornih odborih, spremljevalno delovanje in poročanje o položaju ali
• vključuje vodenje in usklajevanje postopkov obvladovanja tveganj.
Ne glede na to kakšna je njegova vloga v okviru obvladovanja tveganj, mora notranji revizor pri opravljanju tako storitev dajanja zagotovil kot tudi storitev svetovanja paziti, da ne bi omajal svoje neodvisnosti in nepristranskosti. V ta namen je IIA izdala smernice, v katerih
6 Svet je v pojmovniku Standardov opredeljen kot upravljalni organ podjetja, npr. upravni svet,
nadzorni svet, predstojnik agencije ali zakonodajnega organa, svet upravljalcev ali skrbnikov nepridobitne organizacije ali drug označen organ organizacije, vključno z revizijskim odborom, kateremu poroča notranjerevizijski predstojnik (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 21).
9
opredeljuje vloge notranjega revizorja v okviru obvladovanja tveganj. Vloge notranjega revizorja deli na aktivnosti, ki jih ta lahko in mora izvajati — ključne vloge, na aktivnosti, ki naj
jih notranji revizor ne bi izvajal ter na aktivnosti, ki jih notranji revizor sme izvajati le ob upoštevanju zaščitnih ukrepov - varoval (ERM PP, 2009, str. 4). Spodnja slika prikazuje omenjene vloge notranjega revizorja z navedenimi aktivnostmi.
Slika 5: Vloge notranjega revizorja pri obvladovanju tveganj
Aktivnosti notranjega revizorja v okviru storitev dajanja zagotovil
Aktivnosti notranjega revizorja v okviru storitev svetovanja
Aktivnosti, za katere odgovarja poslovodstvo
Dajanje zagotovil o obvladovanju tveganj.
Spodbujanje prepoznavanja in ocenjevanja tveganj.
Določanje ravni sprejemljive stopnje tveganja.
Dajanje zagotovil o ustreznosti ocenjevanja in obvladovanja tveganj.
Svetovanje poslovodstvu pri določanju primernih ukrepov za obvladovanje tveganj.
Vzpostavitev in uvedba obvladovanja tveganj.
Ocenjevanje upravljanja tveganj. Koordiniranje aktivnosti, povezanih z uvajanjem celovitega obvladovanja tveganj.
Zagotavljanje ustreznosti obvladovanja tveganj.
Ocenjevanje poročanja o izpostavljenosti ključnim tveganjem.
Poročanje o tveganjih na ravni skupine podjetij.
Sprejemanje ukrepov za obvladovanje tveganj.
Pregledovanje in revidiranje obvladovanja ključnih tveganj.
Vzdrževanje in razvoj sistema obvladovanja tveganj.
Uresničevanje ukrepov za obvladovanje tveganj.
Podpora vzpostavitvi celovitega obvladovanja tveganj.
Odgovornost za obvladovanje tveganj.
Priprava predloga strategije obvladovanja tveganj, ki jo potrdi poslovodstvo.
Ključne vloge notranjega revizorja pri obvladovanju tveganj
Legitimne vloge notranjega revizorja z varovali
Nezaželene vloge notranjega revizorja
Vir: Prirejeno po Chambers, 2010, str. 116.
Vloga notranjega revizorja v okviru obvladovanja tveganj v podjetju pa je odvisna tudi od zrelosti podjetja na področju tveganj (ang. risk maturity). Podjetja z vidika zrelosti na področju tveganj lahko razvrstimo v pet kategorij (glej tudi poglavje 3.2) in v odvisnosti od teh tudi aktivnosti notranjega revizorja (Position Statement on Risk Based Internal Auditing, 2003):
• podjetje, ki se tveganj ne zaveda (ang. risk naive): vloga notranjega revizorja je promocija uvedbe sistema obvladovanja tveganj;
• podjetje, ki se tveganj zaveda (ang. risk aware): vloga notranjega revizorja je pomoč pri vzpostavitvi sistema obvladovanja tveganj,
• podjetje, ki je določilo strategijo obvladovanja tveganj (ang. risk defined): notranji revizor deluje kot pospeševalec razvoja celovitega obvladovanja tveganj predvsem s sodelovanjem pri prepoznavanju in ocenjevanju tveganj;
• podjetje, ki je razvilo celovit sistem obvladovanja tveganj (ang. risk managed): notranji revizor revidira procese obvladovanja tveganj;
• podjetje, ki je usposobljeno za obvladovanje tveganj (ang. risk enabled): revidiranje notranjega revizorja je osredotočeno na ocenjevanje sistema obvladovanja tveganj.
S časom se zrelost podjetja spreminja in s tem tudi vloga notranjega revizorja. Notranji revizor lahko v začetnih stopnjah uvedbe celovitega obvladovanja tveganj deluje celo kot projektni vodja. Z zviševanjem zrelosti podjetja pa se vloga notranjega revizorja v uvajanju
10
obvladovanja tveganj zmanjšuje. Osnovna naloga notranjega revizorja v okviru obvladovanja tveganj naj bi bila podaja zagotovila poslovodstvu, da je sistem obvladovanja tveganj uspešen in učinkovit. Z širitvijo aktivnosti preko njegove osnovne vloge na področje storitev svetovanja, mora notranji revizor uporabiti varovala, ki bodo pomagala zaščiti njegovo neodvisnost in nepristranskost storitev dajanja zagotovil. Med storitve svetovanja, ki jih notranji revizor lahko izvaja, spadajo (ERM PP, 2009, str. 5):
• omogočanje poslovodstvu, da razpolaga z orodji in tehnikami, ki jih notranja revizija uporablja pri analiziranju tveganj in kontrol;
• uvajanje celovitega obvladovanja tveganj v podjetje na osnovi strokovnega znanja in izkušenj s področja obvladovanja tveganj in kontrol ter poznavanja podjetja;
• svetovanje, vodenje in priprava delavnic, usposabljanje zaposlenih v podjetju o tveganjih in kontrolah, spodbujanje razvoja in uporabe skupnega jezika, okvira in razumevanja tveganj;
• prevzemanje osrednje vloge pri usklajevanju, spremljanju in poročanju o tveganjih;
• pomoč poslovodstvu pri iskanju in prepoznavanju najboljših načinov ublažitev tveganj.
Notranji revizor torej lahko razširi svoje aktivnosti na področje storitev svetovanja, vendar mora pri tem upoštevati določene pogoje - varovala. Med najpomembnejša varovala za ustrezno vključenost notranjega revizorja v obvladovanje tveganj lahko štejemo (ERM PP, 2009, str. 6):
• jasno mora biti, da obvladovanje tveganj ostaja odgovornost poslovodstva;
• odgovornost notranjega revizorja pri obvladovanju tveganj mora biti olistinjena v notranjerevizijski temeljni listini7 in potrjena s strani revizijskega odbora;
• notranji revizor ne sme obvladovati nobenega tveganja v imenu poslovodstva;
• notranji revizor lahko poslovodstvu svetuje, podpira njegove odločitve in ga seznanja z novimi izzivi, medtem ko je sprejemanje odločitev izključno v rokah poslovodstva;
• notranji revizor ne more dati neodvisnega zagotovila za nobeno področje obvladovanja tveganj, za katerega je odgovoren;
• vse kar ni storitev dajanja zagotovil, se šteje kot storitev svetovanja, kar pomeni, da je potrebno ravnati v skladu z določili Standardov, ki se nanašajo na storitve svetovanja notranjega revizorja.
Z ustrezno uporabo varoval lahko proces obvladovanja tveganj izboljša položaj notranje revizije in poveča njeno učinkovitost.
7 Notranjerevizijska temeljna listina je formalna listina, ki opredeljuje namen, pristojnost in nalogo
notranjerevizijskega izvajalca v okviru organizacije, vključno z naravo razmerij namenskega poročanja notranjerevizijskega predstojnika s svetom, ga pooblašča za dostop do razvidov, osebja in fizičnih pripomočkov, ki ustreza izvajanju posla in opredeljuje priložnosti notranjerevizijskega izvajalca - Pojasnilo Standarda 1000 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 3).
11
3. NA TVEGANJIH ZASNOVANO NAČRTOVANJE NOTRANJEREVIZIJSKEGA
DELOVANJA
3.1 Na tveganjih zasnovano notranje revidiranje
Vloga notranje revizije v podjetju se je v zadnjih letih bistveno spremenila. Vse bolj se širi na obvladovanje vseh vrst tveganj pri poslovanju in na področje upravljanja podjetja (Jagrič, 2004, str. 1). Posledica tega je tudi vpeljava na tveganjih zasnovanega notranjega revidiranja. Na tveganjih zasnovano notranje revidiranje in s tem vse aktivnosti notranjega revizorja temeljijo na razumevanju in analizi tveganj, ki jih je izpostavilo in ocenilo poslovodstvo (Position Statement on Risk Based Internal Auditing, 2003). K temu notranjega revizorja zavezujejo tudi Standardi, ki kot njegovo temeljno nalogo izpostavljajo pomoč pri uresničevanju ciljev podjetja z ovrednotenjem uspešnosti in priporočili za izboljšanje upravljanja, obvladovanja tveganj ter postopkov obvladovanja, z uporabo premišljenega in metodičnega načina – Standard 2100. Standardi od notranjega revizorja zahtevajo tudi ovrednotenje uspešnosti in prispevanje k izboljšavam postopkov obvladovanja tveganj - Standard 2120 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 12). Na tveganjih zasnovano notranje revidiranje je metodologija, ki zagotavlja, da celovito obvladovanje tveganj deluje tako, kot si je to zastavilo poslovodstvo (Griffiths, 2006b, str. 43) Cilj na tveganjih zasnovanega notranjega revidiranja je tako podaja neodvisnega zagotovila notranjega revizorja poslovodstvu, da je sistem obvladovanja tveganj uspešen in učinkovit ter, da se ključna tveganja obvladujejo na sprejemljivi ravni (stopnji). Neodvisno zagotovilo notranjega revizorja naj bi pokrilo naslednja tri področja (ERM PP, 2009):
• zasnove in delovanja sistema obvladovanja tveganj;
• obvladovanja ključnih tveganj vključno z preveritvijo učinkovitosti delovanja notranjih kontrol in ostalih odzivov na tveganja;
• zanesljivosti in ustreznosti ocenjevanja tveganj in poročanja o tveganjih in kontrolah.
Na tveganjih zasnovano notranje revidiranje zajema naslednje korake (Guide on Risk-based Internal Audit, 2007, str. 26):
• ocenjevanje kulture in zrelosti podjetja na področju tveganj;
• pripravo načrta notranjerevizijske dejavnosti;
• izvajanje načrtovanih revizij z namenom podaje zagotovila o obvladovanju tveganj ter poročanje o ugotovitvah in možnih izboljšavah.
Shematični prikaz procesa na tveganjih zasnovanega notranjega revidiranja je razviden iz spodnje slike.
12
Slika 6: Shematični prikaz procesa na tveganjih zasnovanega notranjega revidiranja
Poslovni cilji
Prepoznavanje tveganj, ki lahko ogrozijo doseganje poslovnih ciljev
Določitev stopnje sprejemljivosti tveganj
Ali vpeljani okvir obvladovanja tveganj omogoča ustrezno in učinkovito prepoznavanje, ocenjevanje, obvladovanje in poročanje o tveganjih-
zrelost podjetja na področju tveganj?
DA NE
Uporaba registra Pomoč poslovodstvu Možne tveganj podjetja pri prepoznavanju izboljšave tveganj
Določitev seznama tveganj
Razvrstitev tveganj in določitev prednostnih področij
Priprava na tveganjih zasnovanega načrta delovanja
Pregled ustreznosti obvladovanja tveganj za vsako izbrano področje
USTREZNO NEUSTREZNO Ovrednotenje okvira obvladovanja tveganj Pomoč pri prepoznavanju in ocenjevanju ali deluje tako, kot si je to zastavilo tveganj: poslovodstvo -tveganj pri delovanju -preostalega tveganja -ublažitvi tveganj
Podaja zagotovila o obvladovanju tveganj ter poročanje o ugotovitvah in
možnih izboljšavah
Vir: Prirejeno po Position Statement on Risk Based Internal Auditing, 2003.
13
3.2 Ocenitev kulture in zrelosti podjetja na področju tveganj
Podjetja se med seboj razlikujejo tako glede stopnje sprejemanja tveganj, kot tudi glede stopnje zrelosti na področju tveganj.
Stopnja sprejemanja (sprejemljivosti) tveganj podjetja je odvisna od kulture, ki na tem področju vlada v podjetju. Podjetja lahko z vidika sprejemanja tveganj uvrstimo med tista, ki so nagnjena h tveganjem in tista, ki niso. Notranji revizor mora ugotoviti, kakšen odnos ima podjetje do tveganj in ali je nagnjenost k tveganjem enaka na vseh ravneh podjetja.
Zrelost podjetja na področju tveganj se meri v stopnjah ter pove, do kakšne mere je podjetje seznanjeno s tveganji, in do kakšne mere je v podjetje uvedeno obvladovanje tveganj. Podjetja lahko s tega vidika razvrstimo v pet kategorij. Posamezne kategorije z značilnostmi prikazuje spodnja slika:
Slika 7: Stopnje zrelosti podjetja na področju tveganj z značilnostmi
ZRELOST PODJETJA NA PODROČJU TVEGANJ
ZNAČILNOSTI
Podjetje, ki se tveganj ne zaveda Podjetje nima formalnega pristopa k upravljanju tveganj.
Podjetje, ki se tveganj zaveda
Razpršen in po posameznih področjih različen pristop k upravljanju tveganj. Tveganja niso prepoznana po posameznih procesih, ampak samo po aktivnostih. S tveganji tudi niso seznanjeni na vseh ravneh podjetja. Podjetje nima registra tveganj.
Podjetje, ki je določilo strategijo obvladovanja tveganj
Strategija upravljanja tveganj je sprejeta. Z njo so seznanjeni na vseh ravneh podjetja. Podjetje je določilo tudi stopnjo sprejemljivosti tveganj. Tveganja so prepoznana in razvrščena, vendar še niso urejena v registru tveganj.
Podjetje, ki je razvilo celovit sistem obvladovanja tveganj
Podjetje je razvilo celovit okvir obvladovanja tveganj, ki zajema vse ravni v podjetju. Podjetje ima tveganja urejena v registru tveganj.
Podjetje, ki je usposobljeno za obvladovanje tveganj
Upravljanje tveganj in notranje kontrole so popolnoma vgrajene v delovanje podjetja. Podjetje je sposobno negotovosti, ki se pojavljajo na trgu, pretvoriti v priložnosti. Izpopolnjen register tveganj je primerna osnova za načrtovanje notranjerevizijske dejavnosti.
Vir: Guide on Risk-based Internal Audit,2007, str. 19; ERM PP,2009; Griffiths, 2006a, str. 24.
Vloga in s tem aktivnosti notranjega revizorja v okviru obvladovanja tveganj v podjetju, je odvisna tako od stopnje sprejemljivosti tveganj kot od stopnje zrelosti na področju tveganj. Aktivnosti, ki jih notranji revizor izvaja v okviru posamezne vloge, so opisane v poglavju 2.4: Vloga notranjega revizorja pri obvladovanju tveganj.
3.3 Prepoznavanje in ocenjevanje tveganj
3.3.1 Prepoznavanje tveganj Prepoznavanje tveganj, ki lahko ogrozijo doseganje ciljev podjetja, je eden ključnih korakov obvladovanja tveganj in s tem tudi vzpostavitve registra tveganj. Je naloga vseh zaposlenih v podjetju. Naloge se je potrebno lotiti na sistematičen način, da zagotovimo, da so zajeti vsi pomembni procesi znotraj podjetja ter vsa tveganja, ki izhajajo iz teh procesov.
Osnova za prepoznavanje tveganj je poleg poznavanja ciljev podjetja tudi poznavanje procesov znotraj podjetja (Toman Pfajfar, 2011, str. 28). Prepoznavanje tveganj torej zahteva podrobno poznavanje podjetja, tako trga na katerem podjetja posluje, kot zakonodajnega,
14
družbenega, političnega in kulturnega okolja v katerem deluje, kot tudi dobro razumevanje strateških in poslovnih ciljev, vključno s ključnimi dejavniki za uspeh, ter tveganji in priložnostmi, povezanimi z dosego teh ciljev (A risk management Standard, 2002, str. 5).
Podjetje za prepoznavanje tveganj uporablja različne tehnike skupaj z ustreznimi orodji. Pri tem mora upoštevati dogodke na ravni podjetja in na ravni posameznih aktivnosti ter pretekle in (možne) prihodnje dogodke (Vezjak, 2009b, str. 2). Tehnike so lahko preproste, ali pa zelo zapletene (Enterprise Risk Management-Integrated Framework, 2004b, str. 44-45):
• Popis dogodkov- podrobni seznami možnih dogodkov, ki se običajno pojavljajo v posamezni panogi ali v posameznem procesu/dejavnosti v različnih panogah;
• Notranje analize- Podrobna analiza informacij, ki je lahko del rutinskih opravil ali pa uporablja informacije drugih zainteresiranih skupin (na primer drugih poslovnih enot, kupcev ali dobaviteljev iz notranjih ali zunanjih virov);
• Stopnjevanje ali začetna opozorila- Opozorila poslovodstvu na področja, ki bodo mogoče zahtevala nadaljnjo ocenitev ali takojšen odziv ter primerjava sedanjih transakcij ali dogodkov z vnaprej opredeljenimi kriteriji;
• Vodenje delavnic in intervjujev ter vprašalniki- Strukturirane, usmerjene razprave za zbiranje znanj in izkušenj poslovodstva, zaposlenih in drugih zainteresiranih skupin o dogodkih, ki lahko vplivajo na doseganje ciljev podjetja ali enote;
• Analiza poteka procesa- Preiskuje kombinacijo vložkov, nalog in odgovornosti v procesu. Prouči notranje in zunanje dejavnike, ki vplivajo na vložke ali aktivnosti procesa. Prepozna dogodke, ki lahko vplivajo na doseganje ciljev procesa;
• Pokazatelj vodilnih dogodkov- Spremljanje podatkov, povezanih z dogodki, za prepoznavanje pogojev, ki dajejo povod za dogodek;
• Metodologije podatkov o škodnih dogodkih- Pregled podatkov o preteklih posameznih škodnih dogodkih, da se prepoznajo trendi in temeljni vzroki dogodkov. Pomoč pri ocenjevanju, ali je bolje odpraviti temeljni vzrok kot obravnavati posamezne dogodke.
Tehnike in način njihove uporabe, z vidika poglobljenosti, širine in časovnega okvira, se mora prilagoditi posamezni situaciji ali posameznemu podjetju.
Rezultat prepoznavanja tveganj je seznam tveganj, ki pa jih je potrebno še urediti - razvrstiti v ustrezne skupine. Določitev skupin oziroma kategorij tveganj je poljubna ter lahko izhaja iz (Vezjak, 2009b, str. 2):
• ciljev podjetja => od najvišjih strateških ciljev do ciljev enot, procesov ali aktivnosti;
• dejavnikov => notranjih in zunanjih (glej poglavje 2.1);
• drugih podlag => ena najpogostejših je delitev na finančna, operativna in tveganja neskladnosti;
kot je najbolj ustrezno za posamezno podjetje. Pomembna pa je tudi preučitev, kako tveganja vplivajo drug na drugega ter upoštevanje njihovega skupnega vpliva.
15
3.3.2 Ocenjevanje tveganj Naslednji korak obvladovanja tveganj je ocenjevanje tveganj, ki zajema (Toman Pfajfar, 2011, str. 29):
• merjenje oz. vrednotenje tveganj;
• razvrščanje tveganj po pomembnosti.
Tveganje se meri z vplivom in verjetnostjo. Verjetnost pomeni oceno možnosti pojavitve, vpliv pa oceno učinka pojavitve tveganega dogodka. Ocena (vrednost) tveganja predstavlja skupno oceno obeh elementov tveganja. Pri merjenju tako vpliva kot verjetnosti, lahko uporabimo kvalitativne opisne mere, kot so visok, srednji, nizek, ali pa kvantitativne mere, kot so numerične lestvice, deleži, pogostost in druga merila izražena z vrednostmi. Običajno se zaradi preglednosti in obvladljivosti uporabi grafični prikaz ocen tveganj v obliki matrike ali mape tveganj. Ena od različic tega orodja je prikazana na spodnji sliki.
Slika 8: Primer matrike tveganj
velik vpliv majhna verjetnost
velik vpliv
velika verjetnost
VPLIV
majhen vpliv majhna verjetnost
majhen vpliv velika verjetnost
VERJETNOST
Vir: Majič, 2009, str. 50.
Z uvrstitvijo ocen tveganj v matriko tveganj so tveganja tudi razvrščena po pomembnosti. Glede na položaj posameznega tveganja v matriki tveganj, lahko podjetje izbere obliko odziva na tveganje. Poznamo štiri vrste odzivov na tveganja (Vezjak, 2009b, str. 7):
• izogibanje tveganjem;
• zmanjševanje tveganj;
• prerazdelitev ali prenos tveganj;
• sprejem tveganj.
Podjetje se lahko odloči, da se bo določenemu tveganju izognilo, če koristi zmanjševanja tveganja ne presežejo s tem povezanih stroškov, ali pa v primerih tveganj z visoko verjetnostjo in velikim vplivom, ki lahko ogrozijo njegovo poslovanje in obstoj.
Najpogostejši odziv podjetja na tveganje so ukrepi za njegovo zmanjševanje na sprejemljivo raven, bodisi njegove verjetnosti bodisi njegovega vpliva ali obojega hkrati. Tak odziv je primeren za tveganja z veliko verjetnostjo in majhnim vplivom. Med ukrepi za zmanjševanje tveganj so najpomembnejše notranje kontrole.
Prerazdelitev ali prenos tveganja je pristop prenosa tveganja iz podjetja, ki je primeren za malo verjetna tveganja z velikim vplivom.
16
Tveganja, ki imajo majhen vpliv in so malo verjetna, podjetje lahko sprejme ter se z njihovim obvladovanjem ne ukvarja. Običajno so to tveganja, ki so znotraj sprejemljive stopnje tveganja podjetja.
Sprejemljiva stopnja tveganja (ang. risk appetite) je raven tveganja, ki ga je podjetje še pripravljeno sprejeti brez škode in vpliva na doseganje ciljev. Predstavlja tveganje, ki je dovolj majhno ali pa nepomembno, da lahko podjetje z njim normalno posluje in ga ne poskuša zmanjševati. Določi jo poslovodstvo podjetja, ki opredeli tako raven, do katere si podjetje lahko privošči, da se s tveganji ne ukvarja oziroma jih sprejema, kot tudi raven do katere tveganja prevzema, se pravi, da se nanje ustrezno odziva ter jih obvladuje (Vezjak, 2009d, str. 9). Sprejemljiva stopnja tveganja je odvisna od kulture podjetja, ki na področju tveganj vlada v podjetju (glej poglavje 3.2).
Tveganje, ki v podjetju obstaja, preden se uvedejo ukrepi obvladovanja (notranje kontrole), se imenuje tveganje pri delovanju ali svojstveno tveganje (ang. inherent risk). Določeno tveganje pa ostane tudi po uvedenih ukrepih obvladovanja, saj tveganja ni mogoče v celoti izločiti, vendar naj bi bilo to v za podjetje sprejemljivih mejah. To tveganje se imenuje preostalo tveganje (ang. residual risk).
Pri ocenjevanju tveganj podjetja uporabljajo kvalitativne in kvantitativne metode. Med najbolj razširjenimi kvalitativnimi metodami so intervjuji in delavnice, s pomočjo katerih se ocenjuje verjetnost in vpliv možnih dogodkov. Kvantitativne metode so bolj zapletene od kvalitativnih ter se uporabljajo kot njihova dopolnitev, mednje pa sodijo primerjalne analize, verjetnostni in neverjetnostni modeli (Enterprise Risk Management-Integrated Framework, 2004b, str. 52-53).
Prepoznana in ocenjena tveganja podjetje razvrsti v register tveganj, ki predstavlja osnovo za načrtovanje notranjerevizijske dejavnosti.
Podjetje mora poskrbeti, da vzpostavi način nenehnega prepoznavanja in ocenjevanja tveganj ter določanja potrebnih ukrepov. Zaradi potreb načrtovanja poslovanja in notranjerevizijske dejavnosti, pa je to v skladu s Standardi dolžno storiti vsaj enkrat letno.
3.4 Proces na tveganjih zasnovanega načrtovanja notranjerevizijskega delovanja
3.4.1 Načrtovanje notranjerevizijskega delovanja Načrtovanje notranjerevizijskega delovanja je ključna naloga notranjerevizijskega predstojnika. Standard 2010 od notranjerevizijskega predstojnika zahteva pripravo načrta delovanja notranjerevizijske dejavnosti skladno s cilji podjetja. Načrt notranjerevizijskega delovanja mora pregledati in odobriti tudi poslovodstvo in svet podjetja - Standard 2020 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 10).
Delovanje notranjerevizijske dejavnosti je potrebno načrtovati tako na daljši rok - v srednjeročnem načrtu, kot na krajši rok - v letnem ali obdobnem načrtu, da bi s tem zagotovili, da njihove aktivnosti pokrivajo ključna področja tveganj in notranjih kontrol (IPPF Practice Guide: Coordinating risk management and assurance-odslej IPPF PG, 2012; str. 6) . V načrtu je potrebno navesti naslednje informacije (Koletnik, 2007; str. 113; Vezjak, 2009c; str. 1) :
17
• vrsto, obseg in cilje načrtovanih poslov;
• časovni okvir (pričetek in trajanje posameznega posla);
• tveganja in procese, ki jih posamezen posel pokriva;
• potrebne kadre in druge prvine (delovna sredstva, storitve drugih in drugo);
• načrtovano višino stroškov delovanja notranjerevizijske dejavnosti.
Daljše kot je obdobje, za katero je pripravljen načrt delovanja notranjerevizijske dejavnosti, manj natančno so opredeljene informacije v načrtu. Posledično je potrebno vsebino srednjeročnega načrta vsaj enkrat letno, običajno ob pripravi načrta za naslednje poslovno leto, preveriti in po potrebi dopolniti. S tem zagotovimo prilagodljivost načrtov, ki tako temeljijo na najnovejših podatkih ter pokrivajo spremenjene prioritete in področja tveganj (IPPF PG, 2012, str. 6). V primeru, da med letom pride do bistvenih sprememb podlag, na katerih temelji letni načrt, mora notranjerevizijski predstojnik preučiti nujnost dopolnitev in sprememb načrta, ki pa jih morata pregledati in odobriti tudi poslovodstvo in svet.
3.4.2 Na tveganjih zasnovano načrtovanje notranjerevizijskega delovanja Na tveganjih zasnovano načrtovanje notranjerevizijskega delovanja preprosto pomeni, da se notranja revizija osredotoča na tista področja delovanja podjetja, ki so ključna za dosego s strani poslovodstva zastavljenih ciljev. (Pickett, 2006, str. 229). Običajno se izvaja v naslednjih korakih (Guide on Risk-based Internal Audit, 2007, str. 26):
• prepoznavanje tveganj in odzivov na tveganja, ki zahtevajo podajo neodvisnega zagotovila o obvladovanju na sprejemljivi ravni (stopnji) – priprava seznama tveganj in revizijskih področij;
• razvrščanje tveganj in ugotavljanje prednostnih področij revidiranja;
• povezava med tveganji in revizijskimi posli;
• priprava na tveganjih zasnovanega načrta delovanja;
• zagotovitev potrebnih kadrov in ostalih prvin;
• izpopolnitev seznama tveganj in revizijskih področij.
Notranjerevizijski predstojnik kot osnovo v procesu na tveganjih zasnovanega načrtovanja notranjerevizijskega delovanja uporabi register tveganj podjetja. Pri tem je potrebno izpostaviti, da je register tveganj primerna osnova za načrtovanje notranjerevizijske dejavnosti le, če je podjetje usposobljeno za obvladovanje tveganj (zrelo na področju tveganj - glej poglavje 3.2). To pomeni, da je poslovodstvo prepoznalo in ustrezno ocenilo vsa ključna tveganja, jih zbralo v registru tveganj ter sprejelo sprejemljivo stopnjo tveganja.
Pred pripravo načrta notranjerevizijskega delovanja, je potrebno najprej pripraviti seznam tveganj in revizijskih področij (ang. risk and audit universe). Gre v bistvu za razširjeni register tveganj podjetja z naslednjo vsebino (Griffiths, 2006a, str. 28):
• seznam tveganj in njihovih ocen, ki jih je pripravilo poslovodstvo;
• procese in cilje procesov, ki jih ta tveganja ogrožajo;
• lastnike procesov;
• revizijo, s katero bo podano zagotovilo o obvladovanju posameznega tveganja;
• podrobnosti o zadnji in naslednji reviziji;
• podrobnosti o vzpostavljenih notranjih kontrolah.
18
Naslednji korak je razvrstitev tveganj ter izločitev tveganj, za katere ni nujno potrebna podaja zagotovila poslovodstvu o obvladovanju tveganj. Preostala tveganja predstavljajo seznam tveganj, ki je osnova za oblikovanje načrta delovanja. Da pa bi se poslovodstvo zavedalo, da obvladuje vsa tveganja, je potrebno v revizijsko poročilo vključiti tudi izločena tveganja. Med ta tveganja sodijo (Griffiths, 2006a, str. 32):
• Tveganja znotraj sprejemljive stopnje tveganja, ki ne zahtevajo nadaljnje obravnave.
• Tveganja, ki so izven sprejemljive stopnje tveganja, vendar za katera poslovodstvo meni, da jih lahko sprejme ter ne zahtevajo nadaljnje obravnave.
• Tveganja, ki jih je poslovodstvo preneslo izven podjetja (npr. zavarovanje).
• Tveganja, za katera se je poslovodstvo odločilo, da se jim bo izognilo.
• Tveganja, katerih obvladovanje izvajajo drugi (npr. Zunanji revizorji, presojevalci sistema kakovosti...).
• Tveganja, za katera se je v predhodnih revizijah ugotovilo, da se ustrezno obvladujejo znotraj sprejemljive stopnje tveganja.
Tveganja z oceno nad sprejemljivo stopnjo tveganja torej predstavljajo nabor tveganj za katere je potrebna podaja zagotovila o ustreznem obvladovanju. Ker pa so zmogljivosti notranjerevizijske službe omejene (predvsem kadrovsko), le ta ni zmožna opraviti tako zahtevnega dela v enem letu, je potrebno ugotavljanje prednostnih področij revidiranja. Predmet notranjega revidiranja so lahko samo področja z najvišjim tveganjem ter področja, kjer je možno doseči največje koristi. V ta namen je potrebno vzpostaviti kriterije in razvrstiti tveganja glede na njihovo pomembnost za doseganje poslovnih ciljev. Pri tem lahko upoštevamo različne pristope: ocene verjetnosti, merila dejavnikov tveganj (statistična ali subjektivna) ali uteži (ponderje) kriterijev (Vezjak, 2009b, str. 10). Ključna tveganja je potrebno podrobneje razčleniti (izdelava profilov ali kartic tveganj) ter predstaviti v matriki tveganj.
Vendar pa morajo biti v načrt notranjerevizijske dejavnosti vključena tudi področja z manjšo ravnjo tveganja ter področja, ki še niso bila predmet notranje revizije (Pravila stroke: Svetovalni napotek 2010-2, 2009).
Zaradi ugotavljanja prednostnih področji revidiranja oz. ključnih tveganj, so tveganja in procesi razdrobljeni in ni možno izvesti revizije nekega zaokroženega področja. Zato je potrebno združiti tveganja in pripadajoče procese v zaokrožene celote na tak način, da bo možno izvesti posamezno revizijo.
V načrtu notranjerevizijskega delovanja so tako zbrani načrtovani posamezni posli v določenem obdobju. Vanj pa je potrebno vključiti tako posle zagotavljanja kot posle svetovanja.
Celoten proces na tveganjih zasnovanega načrtovanja notranjerevizijskega delovanja je prikazan na spodnji sliki.
19
Slika 9: Proces na tveganjih zasnovanega načrtovanja notranjerevizijskega delovanja
Vir: Griffiths, 2006a, str. 31.
Praktični del
4. SVETOVALNI POSEL: NAČRT VZPOSTAVITVE REGISTRA TVEGANJ V PODJETJU
Notranji revizorji v okviru svojega delovanja izvajajo storitve dajanja zagotovil in storitve svetovanja. Storitve svetovanja so po svoji naravi nasveti in so opravljene na posebno prošnjo naročnika posla. Narava in obseg posla svetovanja sta sporazumno določena z naročnikom storitve. Pri opravljanju storitev svetovanja mora notranji revizor paziti na ohranjanje nepristranskosti in ne prevzemanje poslovodskih nalog (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 2).
Register tveganj
Razvrščanje tveganj
Tveganja znotraj sprejemljive stopnje
Tveganja, ki ne zahtevajo revizije
v tem obdobju
Izbor tveganj
Povezava med tveganji in
revizijskimi posli
Rangiranje tveganj
Tveganja, ki zahtevajo zagotovilo
Sprejemljiva tveganja
Tveganja, katerih obvladovanje izvajajo drugi
Revizijska področja
Zagotovitev virov
Seznam tveganj in revizijskih
področij
Poročilo poslovodstvu
in svetu
Revizijski načrt
20
Pri izvedbi posameznega revizijskega posla je potrebno slediti določenim korakom, ki so:
• načrtovanje izvedbe revizijskega posla;
• izvajanje revizijskega posla;
• poročanje o ugotovitvah;
• spremljanje po reviziji.
4.1 Načrtovanje izvedbe svetovalnega posla
Notranji revizorji morajo razviti in olistiniti načrt vsakega posla, vključno s cilji in obsegom posla, potrebnim časom in razporeditvijo dejavnikov – Standard 2200. Z naročnikom svetovalnega posla se morajo sporazumeti o ciljih, obsegu, zadevnih nalogah in drugih pričakovanjih naročnika – Standard 2201.C1 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 14-15).
4.1.1 Cilj posla Pri vsakem poslu morajo biti opredeljeni cilji – Standard 2210 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 15). Cilj mora biti primerno zastavljen, da prinaša tisto, kar naročnik in notranjerevizijski predstojnik pričakujeta (Jagrič, 2009, str. 24).
Podjetja se soočajo z negotovostjo. Naloga poslovodstva podjetja je, da se odloča o tem, koliko negotovosti je pripravljeno sprejeti. Obvladovanje tveganj poslovodstvu omogoča uspešno obvladovanje negotovosti in z njo povezanih tveganj in priložnosti. Da bi poslovodstvo in s tem podjetje obvladovalo tveganja, mora vzpostaviti ustrezen sistem celovitega obvladovanja tveganj, ki zagotavlja, da so ključna tveganja, ki jim je podjetje izpostavljeno, prepoznana, ocenjena in obvladovana. Temeljni dokument sistematičnega obvladovanja tveganj je register tveganj. Je praktični pripomoček za obvladovanje tveganj, ter dokaz, da se poslovodstvo zaveda svoje odgovornosti na področju obvladovanja tveganj, da obvladuje poslovanje (Lesjak, 2010, str. 36).
Poslovodstvo podjetja želi vzpostaviti celovit okvir obvladovanja tveganj in s tem register tveganj. Na osnovi Naročila svetovalnega posla (v Prilogi 1) je bil določen cilj svetovalnega posla in sicer: priprava načrta vzpostavitve registra tveganj v podjetju, ki bo skladen s cilji podjetja ter bo predstavljal ustrezen okvir obvladovanja tveganj v podjetju ter s tem primerno osnovo za načrtovanje notranjerevizijske dejavnosti z naslednjo vsebino:
• Predlog postavitve in umestitve projektnega tima, ki bo odgovoren za koordinacijo in izvedbo projekta vzpostavitve ustreznega okvira obvladovanja tveganj in s tem registra tveganj v podjetju;
• Seznam korakov potrebnih za vzpostavitev ustreznega okvira obvladovanja tveganj in s tem registra tveganj v skladu z usmeritvami in metodologijo COSO ERM in cilji podjetja;
• Opredelitev posamezne faze iz prejšnje točke z navedbo zakaj je potrebna izvedba (namen), kaj je cilj, kako naj se izvede in kaj je rezultat posamezne faze;
• Predlog končne oblike registra tveganj.
21
4.1.2 Obseg posla Vzpostavljen obseg posla mora zadoščati za zadovoljitev ciljev posla – Standard 2220. Obseg in vsebina svetovalnega posla se dogovori z naročnikom - Standard 2201.C1 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 14-15).
Z obsegom posla notranji revizor opredeli proces in aktivnosti, na katere se nato nanašajo zaključki, ki jih poda. Obseg svetovalnega posla: Načrt vzpostavitve registra tveganj v podjetju je prikazan v spodnji tabeli.
Tabela 1: Obseg svetovalnega posla
PROCES AKTIVNOSTI
OCENA PORABLJENEGA
ČASA (ure)
DEJANSKO PORABLJEN ČAS
(ure)
Načrtovanje
Pripravljalne aktivnosti 6 8
Začetni sestanek s poslovodstvom 2 3
Začetno pregledovanje v okviru posla 18 16
Priprava delovnega programa 3 2
Izvedba Priprava predloga načrta vzpostavitve registra tveganj v podjetju 35 40
Poročanje
Vmesna in predhodna poročanja 2 3
Priprava osnutka poročila 12 16
Usklajevalni sestanek 2 3
Končno poročilo 8 6
Spremljanje napredovanja
Spremljanje izvedbe 8 10
SKUPAJ 96 107
4.2 Priprava delovnega programa
Notranji revizorji morajo razviti in olistiniti delovni program za dosego ciljev posla – Standard 2240. Delovni programi za posle svetovanja se lahko po obliki in vsebini razlikujejo glede na naravo teh poslov – Standard 2240.C1 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 16).
Delovni program je nadroben načrt vseh aktivnosti, ki jih mora notranji revizor opraviti pri posameznem revizijskem poslu. Odvisen je od vsebinskih, časovnih in stroškovnih značilnosti posameznega posla. Pri manjših poslih lahko izdelamo zgolj miselni načrt, kako bi delo smotrno opravili, pri obsežnejših poslih pa je potreben načrt za vsako notranjerevizijsko nalogo posebej. Pred izdelavo delovnega programa moramo nedvoumno opredeliti cilje in obseg posla (Koletnik, 2007, str. 153).
V delovnem programu svetovalnega posla: Načrt vzpostavitve registra tveganj v podjetju, ki je v celoti prikazan v Prilogi 2, so zapisane naslednje informacije:
• področje revizije;
• cilj revizije;
• obseg revizije;
• revizijska sodila in metoda vrednotenja;
• načrt izvajanja revizije;
• roki za izdelavo poročila;
• osebe, ki se jim pošlje poročilo;
• nadziranje posla.
22
4.3 Priprava načrta vzpostavitve registra tveganj v podjetju
Obvladovanje tveganj je proces, ki obsega več stopenj:
• opredelitev tveganj;
• ovrednotenje tveganj oziroma oceno tveganj;
• opredelitev notranjih kontrol v povezavi s tveganji;
• določanje odzivov na tveganja;
• oceno sprejemljivega tveganja.
Rezultat procesa je register tveganj podjetja: preglednica z evidentiranimi cilji, tveganji, verjetnostmi njihovega nastanka, možnimi posledicami, ukrepi in navedbo odgovornih oseb. Register tveganj ni dokument, ampak proces, ki zahteva redno spremljanje in ažuriranje.
Predlog načrta vzpostavitve registra tveganj v podjetju predstavljen v nadaljevanju, temelji na metodologiji COSO ERM (Jagrič, 2009, str. 94; Ribič, 2008, str. 60-61). Metodologija COSO ERM temelji na treh razsežnostih:
• ciljih podjetja;
• ciljih procesov;
• sestavinah notranjih kontrol.
Zagotavlja doseganje osnovnih ciljev podjetja na štirih področjih delovanja:
• strateškem področju – doseganje temeljnih poslovnih ciljev;
• področju delovanja – doseganje ciljev pri uspešnosti in učinkovitosti delovanja;
• področju poročanja – doseganje ciljev pri zanesljivosti računovodskega poročanja;
• področju predpisov – doseganje ciljev pri skladnosti z ustreznimi zakoni in drugimi predpisi.
Zajema osem temeljnih sestavin:
• notranje okolje podjetja – celotno področje organiziranosti podjetja in njegovih organov ter notranjih predpisov (pravilnikov, navodil, sklepov), ki v okviru zakonskih predpisov določajo organiziranost, pogoje in pravila za delovanje na posameznem področju ter pooblastila, pristojnosti in odgovornosti za izvajanje posameznih nalog;
• postavitev ciljev – na podlagi sprejete vizije in poslanstva podjetja, strateških in poslovnih ciljev podjetja ter zahtev iz zakonskih predpisov;
• prepoznavanje dogodkov – pri uresničevanju strategije in skladnosti s predpisi ter, delovanju in poročanju;
• ocenitev tveganj – z ovrednotenjem in pregledovanjem poslovanja, procesov, poslovnih aktivnosti.
• odziv na tveganja – z izboljševanjem postopkov, spremljanjem uresničevanja ciljev, zagotavljanjem odgovornosti in usklajenosti s koristmi podjetja z
• kontrolnimi aktivnostmi in z
• informiranjem in komuniciranjem ter
• nadziranjem .
23
V skladu s to metodologijo proces vzpostavitve registra tveganj obsega naslednje korake:
• opredelitev ciljev ter s temi cilji povezanih tveganj;
• ocenitev tveganj;
• določitev sprejemljive stopnje tveganja;
• določitev odzivov na tveganja;
• uvedbo ukrepov za obvladovanje tveganj.
Poleg navedenih korakov je za uspešno vpeljavo registra tveganj in s tem obvladovanja tveganj v podjetje, potrebno tudi:
• oblikovati projektni tim, ki bo proces speljal, vodil in usmerjal;
• sodelujoče v projektu seznaniti z osnovnimi pojmi s področja obvladovanja tveganj, s pomenom in namenom vzpostavitve procesa obvladovanja tveganj ter pomembnostjo njihovega angažiranja in sodelovanja v projektu;
• določiti vloge in odgovornosti sodelujočih v projektu.
4.3.1 Opredelitev ciljev ter s temi cilji povezanih tveganj Notranje okolje podjetja je tisto, ki vpliva na vse sestavine obvladovanja tveganj v podjetju. Vpliva na to, kako so postavljeni cilji podjetja, kako so strukturirane poslovne aktivnosti ter tudi na to, kako so tveganja prepoznana, ocenjena in kako so določeni odzivi na tveganja. Prav tako vpliva na oblikovanje in delovanje notranjih kontrol, na način informiranja in komuniciranja v podjetju ter tudi na aktivnosti spremljanja in nadziranja procesa obvladovanja tveganj. Najpomembnejši element notranjega okolja podjetja je poslovodstvo, ki bistveno vpliva tudi na njegove ostale elemente (Enterprise Risk Management-Integrated Framework, 2004b, str. 27).
Opredelitev notranjega okolja je na osnovi navedenega prva stopnja v procesu prepoznavanja tveganj, ki ogrožajo uresničitev ciljev podjetja. Ker je poslovodstvo njegov ključni člen, bo opredelitev notranjega okolja podjetja izvedena na osnovi intervjujev s poslovodstvom. Podlaga za izvedbo intervjujev bodo vprašalniki, pripravljeni na osnovi internih dokumentov podjetja o viziji in poslanstvu, organizacijskem sestavu, pristojnostih in odgovornostih, o ravnanju z zaposlenimi... Ugotovitve iz vprašalnikov bodo služile kot osnove za določitev politike obvladovanja tveganj ter kot pomoč pri pripravi izhodišč delavnice za določitev ciljev in popis poslovnih aktivnosti v podjetju.
Vzpostavitev obvladovanja tveganj v podjetju se prične z opredelitvijo poslovnih ciljev, ki zagotavljajo uresničevanje vizije podjetja. S postavitvijo poslovnih ciljev podjetja poslovodstvo začrta pot svojega delovanja, vendar uresničitev zastavljenih ciljev lahko preprečijo tveganja. Da bi poslovodstvo dosegalo zastavljene cilje, mora najprej opredeliti poslovne cilje podjetja, nadalje vzpostaviti poslovne aktivnosti, ki vodijo do teh ciljev ter prepoznati tveganja, ki uresničitev teh ciljev lahko ogrozijo.
24
Da bi zagotovili, da bodo prepoznana vsa tveganja, ki lahko ogrozijo uresničitev poslovnih ciljev, se je potrebno prepoznavanja tveganj lotiti na sistematičen in celovit način. Potrebno je izhajati iz poslovnih ciljev podjetja, ter na njihovi osnovi opredeliti poslovne aktivnosti, ki zagotavljajo uresničitev teh ciljev. V ta namen bo organizirana delavnica na ravni poslovodstva, vodij sektorjev in vodij področij. Eden od ciljev te delavnice bo na eni strani pregled strateških in drugih ciljev podjetja ter na drugi strani potrditev le teh tudi za namene obvladovanja tveganj v podjetju. Drugi cilj delavnice pa bo popis poslovnih aktivnosti, ki vodijo do uresničitve teh ciljev. Udeleženci delavnice bodo imeli na voljo gradivo, pripravljeno na osnovi preučitve notranjega okolja podjetja in ugotovitev iz intervjujev s poslovodstvom, z organizacijsko strukturo podjetja in popisom poslovnih procesov podjetja. Gradivo bo služilo kot opomnik in zagotovilo za popis vseh pomembnih poslovnih aktivnosti. Rezultat delavnice bo seznam poslovnih aktivnosti, ki zagotavljajo uresničitev poslovnih ciljev podjetja, strukturiran po posameznih ciljih.
Naslednji korak procesa prepoznavanja tveganj je identifikacija tveganj, ki ovirajo izpeljavo poslovnih aktivnosti za zagotavljanje uresničitve poslovnih ciljev podjetja. Identifikacija tveganj bo izvedena v okviru ločenih delavnic, kjer bo vsak od vodij področij s svojimi zaposlenimi pripravil sezname in opise tveganj. Na eni od delavnic bo sodelovalo tudi poslovodstvo in vodje sektorjev. Udeleženci delavnic bodo pred njihovim pričetkom prejeli pisno gradivo s povabilom k sodelovanju. Iz gradiva se bodo udeleženci predhodno seznanili z osnovnimi pojmi o obvladovanju tveganj ter seznamom poslovnih aktivnosti. Za lažjo in bolj učinkovito izvedbo delavnic bodo udeleženci v povabilu tudi poprošeni, naj razmislijo, katera tveganja ogrožajo navedene poslovne aktivnosti, pri identifikaciji tveganj pa naj si pomagajo z naslednjimi vprašanji:
Obstoj podjetja:
• Kaj lahko gre narobe?
• Kje bi nam lahko spodletelo?
• Kaj se mora zgoditi, da nam bo uspelo?
• Kje smo ranljivi? Kje so naše šibke točke?
• S kakšnimi problemi ali izgubami smo se srečali v preteklosti?
Poslovanje podjetja:
• Kako bi lahko kdo prekinil ali ogrozil naše poslovanje?
• Katere aktivnosti in procesi so najbolj kompleksni?
• Katere aktivnosti so pokrite z navodili?
• Katera tveganja v procesih so kritična za dosego najpomembnejših poslovnih ciljev?
• Za kaj porabimo največ denarja? Kaj predstavlja naš največji strošek?
• Katero vrsto premoženja moramo varovati?
• Kako vemo, če dosegamo cilje?
• Od katerih informacij smo najbolj odvisni oziroma katere informacije najbolj potrebujemo?
Zunanje okolje:
• Kateri zakonodaji smo najbolj izpostavljeni?
• Kaj predstavlja največje pravno tveganje?
• Česa si o nas ne želimo slišati v medijih?
25
Pri tem naj razmišljajo o tveganjih tako na ravni podjetja kot celote kot tudi na ravni posameznih procesov. Rezultat delavnice bo seznam neurejenih tveganj, ki ogrožajo uresničitev poslovnih aktivnosti in s tem tudi poslovnih ciljev podjetja, z opisi tveganj in lastnikom tveganja, na dveh ravneh.
Zadnji korak procesa prepoznavanja tveganj je razvrščanje ali kategorizacija tveganj. Tveganja, razvrščena v posamezne skupine, so pregledna in obvladljiva ter predstavljajo boljšo podlago za ocenjevanje tveganj. Tudi razvrstitev tveganj v posamezne skupine bo izvedena na delavnici na ravni poslovodstva, vodij sektorjev in vodij področij. Predlog razvrstitve tveganj (v celoti prikazan v prilogi 3), ki bo služil za koordiniranje razvrstitve tveganj na delavnici ter ocenitev kakovosti predhodno zbranih tveganj, tveganja razvršča v naslednje glavne skupine (Universal Business Risk Model™):
• tveganja okolja, so tveganja, ki jih povzročajo zunanji dejavniki, ki lahko vplivajo na izvedljivost in uresničevanje poslovne strategije in doseganje zastavljenih poslovnih ciljev.
• tveganja procesov vplivajo na zmožnost podjetja, da uresniči svoj poslovni model;
• tveganja informacij za odločanje so tveganja ustreznosti, zanesljivosti in pravilnosti informacij, ki se uporabljajo pri pripravljanju poslovnih in strateških načrtov poslovanja.
Predlog razvrstitve tveganj bo potrebno na delavnici kritično presoditi in ga po potrebi dopolniti ter posredovati v potrditev poslovodstvu. Na delavnici bodo predhodno ugotovljena tveganja pojasnjena, opisana in uvrščena v potrjeno razvrstitev tveganj na ravni podjetja ter na ravni posameznih procesov. Rezultat delavnice bo seznam tveganj, ki ogrožajo uresničitev poslovnih aktivnosti in s tem tudi poslovnih ciljev podjetja, razvrščenih v ustrezne skupine tveganj na dveh ravneh, na ravni podjetja kot celote in na ravni procesov.
4.3.2 Ocenitev tveganj Druga stopnja v procesu vzpostavitve obvladovanja tveganj je ocenitev tveganj. Tveganja se bodo ocenjevala z vidika verjetnosti njihovega nastanka in z vidika pomembnosti oz. vpliva, ki ga ima nastanek tveganja na podjetje. V ta namen bo pripravljen vprašalnik o tveganjih podjetja. V ocenjevanje tveganj bodo vključeni člani poslovodstva, vodje sektorjev in vodje področij. Pri ocenjevanju tveganj predlagam uporabo naslednje metodologije ocenjevanja:
• Ocenjujejo se tveganja, uvrščena v seznam tveganj, ki ogrožajo uresničitev poslovnih aktivnosti in s tem tudi poslovnih ciljev podjetja, razvrščenih v ustrezne skupine tveganj na dveh ravneh, na ravni podjetja kot celote in na ravni procesov.
• Tveganja se ocenjujejo ob predpostavki, da v podjetju ni vzpostavljenih nobenih notranjih kontrol in drugih postopkov za obvladovanje tveganj - tveganja pri delovanju.
• Tveganja se ocenjujejo na dveh nivojih: - na nivoju celotnega podjetja; - na nivoju posameznega poslovnega procesa;
• Tveganja se ocenjujejo na osnovi dveh kriterijev: - verjetnosti tveganja, ki pomeni verjetnost nastanka škodnega dogodka
zaradi tveganja, z uporabo kriterijev ocenitve prikazanih v Tabeli 2:
26
Tabela 2: Predlog kriterijev za ocenjevanje verjetnosti tveganj
VERJETNOST TVEGANJ
Ocena Opis
1 - skoraj neverjetno Verjetnost za nastanek škodnega dogodka od vključno 0 % do 20 %.
2 - malo verjetno Verjetnost za nastanek škodnega dogodka od vključno 20 % do 40 %.
3 - zmerno verjetno Verjetnost za nastanek škodnega dogodka od vključno 40 % do 60 %.
4 - verjetno Verjetnost za nastanek škodnega dogodka od vključno 60% do 80%.
5 - zelo verjetno Verjetnost za nastanek škodnega dogodka od vključno 80% do 100%.
- vpliva oz. pomembnosti tveganja, ki pomeni vrednost potencialnega škodnega dogodka, če se tveganje uresniči, z uporabo kriterijev ocenitve prikazanih v Tabeli 3:
Tabela 3: Predlog kriterijev za ocenjevanje vpliva tveganj
VPLIV TVEGANJ OZ. POMEMBNOST TVEGANJ
Ocena Opis
1 - nepomembno Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 250 EUR. Ljudje niso poškodovani, ni škode v okolju ter vpliva na strategijo ali poslovne aktivnosti.
2 - neznatno
Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 1.500 EUR. Poškodb ni, ali pa so minimalne, ni poklicnih obolenj, pride do minimalne gospodarske škode, minimalne škode v okolju ter minimalnega vpliva na strategijo ali poslovne aktivnosti.
3 - zmerno
Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 5.000 EUR. Poškodbe ljudi so manjše, pride do manj pomembnih poklicnih obolenj, manjše gospodarske škode, kratkotrajne škode v okolju ter manjšega vpliva na strategijo ali poslovne aktivnosti.
4 - pomembno
Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 25.000 EUR. Težje poškodbe ljudi, težje poklicne bolezni, pride do dalj časa trajajoče škode v okolju, večje gospodarske škode, manjše zaskrbljenosti lastnikov ter večjega vpliva na strategijo ali poslovne aktivnosti.
5 - zelo pomembno/ kritično
Tveganje z nastopom enega dogodka povzroči maksimalno škodo nad 25.000 EUR. Smrt, pride do nepovratne škode v okolju, ogromne gospodarske škode, uničenja poslovnih prostorov, negativne publicitete, zaskrbljenosti lastnikov ter znatnega vpliva na strategijo ali poslovne aktivnosti.
• Za posamezno tveganje se ugotovijo tudi kontrolne aktivnosti (vzpostavljene notranje kontrole), ki so že vpeljane za obvladovanje teh tveganj ter oceni njihovo delovanje z ocenami:
- 1 – slabe; - 2 – srednje; - 3 – dobre.
27
• Ocenjevanje se opravi z vprašalnikom s strukturo razvidno iz tabele 4:
Tabela 4: Predlog strukture vprašalnika za ocenjevanje tveganj
Vrsta tveganja
PODJETJE KOT CELOTA POSAMEZNI POSLOVNI PROCES
Verjetnost Pomembnost Vzpostavljene
notranje kontrole
Ocena delovanja notranjih kontrol
Verjetnost Pomembnost Vzpostavljene
notranje kontrole
Ocena delovanja notranjih kontrol
1. TVEGANJA OKOLJA
1.1.
1.2.
1.3.
...
2. TVEGANJA PROCESOV
2.1.
2.2.
2.3.
....
3. TVEGANJA POVEZANA Z INFORMACIJAMI POTREBNIMI ZA ODLOČANJE
3.1.
3.2.
3.3.
...
4. Tveganja, ki po mojem mnenju niso navedena v vprašalniku
4.1.
4.2.
4.3.
...
• Ocena posameznega tveganja je zmnožek ocene verjetnosti in ocene pomembnosti oziroma vpliva.
Metodologijo ocenjevanja tveganj je potrebno predhodno kritično presoditi in jo po potrebi dopolniti ter posredovati v potrditev poslovodstvu.
Ocenjena tveganja se z vsemi pripadajočimi podatki vpišejo v register tveganj. Predlog registra tveganj je predstavljen v Prilogi 4. Zaradi lažje ponazoritve pomembnosti tveganj, kot tudi zaradi določitve nadaljnjega ravnanja s tveganji, tveganja grafično prikažemo še v matriki tveganj. Matriko tveganj prikažemo v obliki semaforja, kjer barva polja pomeni pozornost, ki jo je potrebno nameniti posameznemu tveganju. Tveganja, ki so najvišje ocenjena, se pravi da so najpomembnejša in najverjetnejša, so razvrščena v rdeče polje ter zahtevajo največjo pozornost. Tveganja ocenjena z nižjimi vrednostmi so razvrščena v rumeno ali zeleno polje, kar pomeni, da zahtevajo manjšo pozornost. Predlog take matrike tveganj je prikazan v spodnji sliki.
28
Slika 10: Predlog matrike tveganj V
PL
IV O
Z.
PO
ME
MB
NO
ST
zelo pomembno/
kritično 5
10 15 20 25
pomembno 4 4 8 12 16 20
zmerno 3 3 6 9 12 15
neznatno 2 2 4 6 8 10
nepomembno 1 1 2 3 4 5
skoraj neverjetno malo verjetno zmerno verjetno verjetno zelo verjetno
1 2 3 4 5
VERJETNOST
sprejemljiva stopnja tveganja
Najvišje ocenjena tveganja, se podrobneje opredelijo še v profilu ali kartici tveganja, predlog je predstavljen v Prilogi 5.
Register tveganj, matrika tveganj in profili ali kartice najvišje ocenjenih tveganj so osnova za izvedbo vseh ostalih stopenj v okviru vzpostavitve obvladovanja tveganj v podjetju.
4.3.3 Določitev sprejemljive stopnje tveganja, odzivov na tveganja ter uvedba ukrepov za obvladovanje tveganj
Zaključne stopnje v okviru vzpostavitve obvladovanja tveganj v podjetju bodo prav tako izvedene v okviru delavnice, vendar le na ravni poslovodstva, z namenom potrditve in dopolnitve registra tveganj, matrike tveganj ter profilov ali kartic najvišje ocenjenih tveganj.
Prvi del delavnice bo namenjen določitvi sprejemljive stopnje tveganja za posamezno tveganje. Poslovodstvo bo za vsako posamezno tveganje določilo še dopustno tveganje, ki ga je pripravljeno sprejeti.
Drugi del delavnice bo namenjen pregledu vrzeli med dejanskim in še sprejemljivim tveganjem skupaj z že vzpostavljenimi aktivnosti za njegovo obvladovanje. Udeleženci delavnice se bodo za vsa tveganja, kjer obstaja vrzel, odločali o sprejetju ustreznih odzivov na tveganja:
•••• sprejetje tveganja;
•••• prenos tveganja na druge;
•••• uvedba kontrolnih aktivnosti za zmanjšanje tveganja;
•••• izogibanje tveganju.
in tudi o uvedbi popravljalnih ukrepov za obvladovanje teh tveganj - postavitev dodatnih notranjih kontrol. Preostalo tveganje, ki bo ostalo po postavitvi kontrolnih aktivnosti, se mora gibati znotraj sprejemljive stopnje tveganja.
29
Osnova za pregled vrzeli bo register tveganj in matrika tveganj, v pomoč pa bodo tudi profili ali kartice z najvišje ocenjenimi tveganji.
Ker je register tveganj proces, ki zahteva redno spremljanje in ažuriranje, je potrebno na delavnici sprejeti tudi strategijo obvladovanja tveganj, ki naj vsebuje:
• politiko obvladovanja tveganj,
• metodologijo obvladovanja tveganj (način dopolnjevanja registra tveganj, metodologijo ocenjevanja tveganj…).
Rezultat zadnje stopnje procesa vzpostavitve obvladovanja tveganj v podjetje bodo dopolnjeni register tveganj, matrika tveganj in profili ali kartice tveganj s sprejemljivo stopnjo tveganja in popravljalnimi ukrepi ter strategija obvladovanja tveganj.
4.4 Poročilo o opravljenem svetovalnem poslu: Načrt vzpostavitve registra tveganj
podjetja
Notranji revizor mora poročati o izsledkih opravljenih poslov – Standard 2400. Poročanje o napredku in izsledkih poslov svetovanja se po obliki in vsebini razlikuje glede na naravo posla in potrebe naročnika – Standard 2410.C1 (Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, 2011, str. 17-18).
Poročilo o izvedbi svetovalnega posla je v skladu z naročilom pripravljeno v obliki načrta potrebnih aktivnosti – faz procesa vzpostavitve registra tveganj v podjetju. Za vsako posamezno predlagano aktivnost - fazo vzpostavitve poročilo podaja: namen, cilj, način izvedbe in rezultat izvedbe aktivnosti - faze. Osnutek poročila je nastajal hkrati z izvajanjem notranjerevizijskega posla. Osnutek je bil nato poslan naročniku posla, s katerim je bil kasneje organiziran tudi usklajevalni sestanek. Po uskladitvi pripomb naročnika je bilo pripravljeno končno poročilo.
Končno poročilo svetovalnega posla Načrt vzpostavitve registra tveganj v podjetju obsega naslednje točke:
• prejemniki revizijskega poročila;
• revizijsko poročilo v vednost;
• področje revidiranja;
• cilji;
• uporabljena sodila, metode in tehnike;
• predlog načrta vzpostavitve registra tveganj v podjetju.
Celotno končno poročilo je razvidno iz Priloge 6.
30
5. SKLEP IN UGOTOVITVE
Notranja revizija je dejavnost, ki je namenjena povečevanju koristi in izboljševanju poslovanja podjetja. Kljub temu, da slovenske gospodarske družbe niso zakonsko zavezane k notranjemu revidiranju, menim, da je zaradi trenutnih gospodarskih in družbenih razmer, ustanovitev službe notranje revizije v podjetju lahko pomembna konkurenčna prednost podjetja.
Da notranja revizija dejansko pomeni konkurenčno prednost podjetja, je potrebno delovanje notranjerevizijske dejavnosti ustrezno načrtovati. Delovanje službe notranje revizije v podjetju pomeni dodano vrednost za podjetje le v primeru, če je načrtovano in izvajano na osnovi presoje ocene tveganj s strani poslovodstva. Samo na tej osnovi notranja revizija lahko poda oceno obvladovanja tveganj z ovrednotenjem uspešnosti in priporočili za izboljšanje obvladovanja.
Načrtovanje notranjerevizijske dejavnosti na tveganjih, ocenjenih s strani poslovodstva, pa je možno le v primeru, ko je v podjetju vzpostavljen in ustrezno delujoč sistem obvladovanja tveganj in podjetje razpolaga s popolnim in zanesljivim registrom tveganj. V primerih, ko temu ni tako, je naloga notranjega revizorja svetovanje za izboljšanje obvladovanja tveganj v podjetju, kar pomeni najprej spodbujanje k vzpostavitvi in nato svetovanje pri pripravi načrta vpeljave okvira obvladovanja tveganj v podjetju.
Uvedba sistema obvladovanja tveganj je zelo zahtevna naloga, ki zahteva sodelovanje vseh zaposlenih v podjetju ter zavzetost in željo poslovodstva, da tak projekt spelje in tudi vzdržuje. Ob tem je potrebno poudariti, da se sodelujoči v projektu navadno ne zavedajo pomena obvladovanja tveganj. Tako je naloga notranjega revizorja tudi izobraževanje in osveščanje na tem področju. Sodelujoči v projektu morajo razumeti svojo vlogo in nujnost svojega angažiranja ter pomen obvladovanja tveganj v podjetju. Seznanjeni morajo biti tudi s koristmi, ki jih obvladovanje tveganj prinaša. Vse skupaj prispeva k izboljševanju obvladovanja tveganj in posledično tudi k povečevanju koristi in izboljševanju poslovanja podjetja.
Za uvedbo in vzdrževanje sistema obvladovanja tveganj v podjetju je odgovorno poslovodstvo. Notranji revizor pa je tisti, ki s svojim poznavanjem podjetja, izkušnjami in znanjem lahko pomaga in je dolžan pomagati pri pripravi načrta vzpostavitve sistema obvladovanja tveganj v podjetju in s tem registra tveganj, ter pri izobraževanju in osveščanju zaposlenih na tem področju.
Z vzpostavitvijo sistema obvladovanja tveganj v podjetju bo notranji revizor dobil tudi osnovo za načrtovanje svoje dejavnosti. Z uresničitvijo načrtovanih poslov pa bo nato pomagal uresničiti cilje, ki jih je postavilo poslovodstvo.
31
6. LITERATURA
1. Katjuša Arko: Svetovanje notranjega revizorja pri pripravi ocene profila tveganosti banke. Zbornik referatov 13. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Rogaška Slatina 2010, strani 41-57.
2. Aleš Berk, Jožko Peterlin, Peter Ribarič:Obvladovanje tveganj: Skrivnost celovitega pristopa. GV založba, Ljubljana 2005, 280 strani.
3. Andrew Chambers: Tolley's Internal Auditor's Handbook. LexisNexis Butterworths, London 2005, 746 strani.
4. Andrew Chambers: Revizija poslovnih procesov. Gradivo za seminar. Slovenski inštitut za revizijo, Ljubljana 2010, 176 strani.
5. Andrew Chambers: Zagotavljanje kakovosti notranje revizije. Gradivo za seminar. Slovenski inštitut za revizijo, Ljubljana 2006, 128 strani.
6. Milenka Čižman: Register tveganj pri posrednih proračunskih uporabnikih. Revija za računovodstvo in finance Iks 11/08 (XXXV), strani 159-164).
7. Enterprise Risk Management-Integrated Framework. Application Techniques. The Committee of Sponsoring Organizations of the Treadway Commission, 2004a, 105 strani.
8. Enterprise Risk Management-Integrated Framework. Executive Summary. Framework. The Committee of Sponsoring Organizations of the Treadway Commission, 2004b, 125 strani.
9. David Griffiths: Risk based internal auditing. An introduction. Version 2.0.3, 2006a, 84 strani. [URL:http:// www.internalaudit.biz/files/introduction/Internalauditv2_0_3.pdf], 25. 8. 2011
10. David Griffiths: Risk based internal auditing. Three views on implementation. Version 1.0.1, 2006b, 62 strani. [URL:http://www.internalaudit.biz/files/introduction/Internalaudit20v1.1.pdf], 25. 8. 2011
11. Guide on Risk-based Internal Audit. The Institute of Chartered Accountants of India, 2007, 74 strani. [URL: http://220.227.161.86/20997guide_risbbasedIA.pdf], 25. 8. 2011
12. Andreja Istenič: Povezava notranjega revidiranja in obvladovanja tveganj v podjetju. Revija Revizor, Ljubljana, 2/11 (XXII), strani 7 -31.
13. Milan Jagrič: Izvajanje notranjerevizijskega posla. Gradivo za izobraževanje za pridobitev strokovnega naziva preizkušeni notranji revizor, Slovenski inštitut za revizijo, Ljubljana 2009, 197 strani. [http://sir.gpa.si/studijska_gradiva/posebni_del/notranji_revizor/notranja_revizija/gradiva/Jagrič.pdf], 6.5.2009
14. Milan Jagrič: Notranje revidiranje in obvladovanje tveganj. Zbornik referatov 37. simpozija o sodobnih metodah v računovodstvu, financah in reviziji, Zveza računovodij, finančnikov in revizorjev Slovenije, Portorož 2005, strani 181-200.
15. Milan Jagrič: Notranja revizija z novih zornih kotov. Zbornik referatov 36. simpozija o sodobnih metodah v računovodstvu, financah in reviziji, Zveza računovodij, finančnikov in revizorjev Slovenije, Portorož 2004, strani 151-164.
16. Milan Jagrič: Vpliv finančne krize in recesije na notranjerevizijske aktivnosti. Zbornik referatov 12. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Rogaška Slatina 2009, strani 35-46.
32
17. Franc Koletnik: Notranje revidiranje. Slovenski inštitut za revizijo, Ljubljana 2007, 306 strani.
18. Boža Korbar: Kako notranjerevizijski predstojnik zagotovi v načrtu revizije ¨prave revizijske cilje¨? Zbornik referatov 12. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Rogaška Slatina 2009, strani 151-165.
19. Irma Kovač: Obvladovanje tveganj v organizaciji in podpora notranje revizije. Zbornik referatov 11. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Portorož 2008, strani 167-193.
20. Cirila Kovačič, Tina Toman Pfajfar: Vloga notranjega revizorja pri vzpostavitvi sistema obvladovanja poslovnih tveganj. Zbornik referatov 10. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Portorož 2007, strani 133-154.
21. Rade Krajnović: Novi okvir obvladovanja operativnih tveganj na področju trgovanja v Faktor banki d.d.. Zbornik referatov 8. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Portorož 2005, strani 27-56.
22. Mira Lesjak: Upravljanje tveganj v proračunskih uporabnikih. Revija Revizor, Ljubljana, 1/10(XXI), strani 18-42.
23. Mojca Majič: IIA-CIA Learning System. Gradivo za izobraževanje za pridobitev strokovnega naziva preizkušeni notranji revizor, Slovenski inštitut za revizijo, Ljubljana 2009, 54 strani. [http://sir.gpa.si/studijska_gradiva/posebni_del/notranji_revizor/notranja_revizija/gradiva/Majič.pdf], 6.5.2009
24. Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju (veljavnost od 1.1.2011). Slovenski inštitut za revizijo, Ljubljana, 25 strani. [URL:http://www.si-revizija.si/notranji_revizorji/dokumenti/snr-2011.pdf], 20. 8. 2011
25. Borut Mozetič, Marina Vuk: Dokumentiranje notranjerevizijskih poslov. Delavnica. Slovenski inštitut za revizijo, Ljubljana 2010, 69 strani.
26. Damijan Mumel, Franc Koletnik: Kako drugim udeležencem v podjetju predstaviti koristi notranje revizije? Zbornik referatov 12. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Rogaška Slatina 2009, strani 47-55.
27. Spencer K.H. Pickett: Audit planning, a risk-based aproach. Hoboken, New Jersey: John Wiley & Sons, 2006, 288 strani.
28. Spencer K.H. Pickett: The internal auditing handbook. Hoboken, New Jersey: John Wiley & Sons, 2004, 786 strani.
29. IPPF Practice Guide: Coordinating risk management and assurance. The Institute of Internal Auditors, 2012, 11 strani. [URL:http://www.felaban.com/boletin_clain/77/Coordinating%20Risk.pdf] , 30. 4. 2012
30. Pravila stroke. Slovenski inštitut za revizijo, Ljubljana, 2 strani. [URL:http://www.si-revizija.si/notranji_revizorji/pravila_stroke.php] , 20. 8. 2011
31. IIA Position paper: The Role of Internal Auditing in Eterprise-wide Risk Management, The Institute of Internal Auditors, 2009, 8 strani. [URL:http://www.theiia.org/guidance/standards-and-guidance/ippf/position-papers] , 20. 8. 2011
32. Position Statement on Risk Based Internal Auditing. The Institute of Internal Auditors, 2003, 4 strani. [URL: http://www.iia.org.uk/en/Knowledge_Centre/IIA_UK_Ireland_guidance/UK_Ireland_Position_Statements.cfm] , 20. 8. 2011
33. Iztok Pustatičnik: Obvladovanje tveganj v nefinančnih organizacijah. Revija Revizor, Ljubljana, 2/07 (XVIII), strani 47 -64.
33
34. A Risk Management Standard. The institute of Risk Management, 2002, 14 strani. [URL: http://www.theirm.org/publications/documents/ARMS_2002_IRM.pdf] , 20. 8. 2011
35. Marija Ribič:Ravnanje s tveganji v lokalni skupnosti. Zbornik referatov 11. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Portorož 2008, strani 49-64.
36. Stephan Roudil: Notranjerevizijski postopek, temelječ na kontrolah, in notranjerevizijski postopek, temelječ na oceni tveganja - najboljše prakse. Gradivo za seminar. Slovenski inštitut za revizijo, Ljubljana 2006, 128 strani.
37. Marjeta Štrus: Obvladovanje tveganj in izjava o oceni notranjega nadzora javnih financ v občini. Revija Revizor, Ljubljana, 2/08 (IX), strani 7 -29.
38. Martina Toman Pfajfar: Izpolnjevanje standardov značilnosti in delovanja IIA. Gradivo za izobraževanje za pridobitev strokovnega naziva preizkušeni notranji revizor, Slovenski inštitut za revizijo, Ljubljana 2011, 34 strani. [URL: http://sir.gpa.si/studijska_gradiva/posebni_del/notranji_revizor-2012/pravila_o_ravnanju/gradivo/Toman_Pfajfar.pdf], 31.8.2011.
39. Boris Tušek, Lajoš Žager: Vloga notranjega revizorja pri ocenjevanju tveganj in ravnanju z njimi. Revija Revizor, Ljubljana, 2/04 (XV), strani 7 -23.
40. Ivan Turk: Pojmovnik računovodstva, financ in revizije. Slovenski inštitut za revizijo, Ljubljana 2002, 1081 strani.
41. Blanka Vezjak: Načrtovanje izvajanja notranjerevizijskega posla. Gradivo za izobraževanje za pridobitev strokovnega naziva preizkušeni notranji revizor, Slovenski inštitut za revizijo, Ljubljana 2009c, 14 strani. [http://sir.gpa.si/studijska_gradiva/posebni_del/notranji_revizor/notranja_revizija/gradiva/Vezjak.pdf], 6.5.2009
42. Blanka Vezjak: Načrtovanje notranjerevizijskega delovanja. Gradivo za izobraževanje za pridobitev strokovnega naziva preizkušeni notranji revizor, Slovenski inštitut za revizijo, Ljubljana 2009b, 14 strani. [http://sir.gpa.si/studijska_gradiva/posebni_del/notranji_revizor/notranja_revizija/gradiva/Vezjak.pdf], 6.5.2009
43. Blanka Vezjak: Neodvisnost in uveljavitev/okrepitev vloge notranje revizije. Zbornik referatov 11. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Portorož 2008a, strani 33-48.
44. Blanka Vezjak: Ocenjevanje tveganj. Revija za računovodstvo in finance Iks 6/09d (XXXVI), strani 7-11.
45. Blanka Vezjak: Tveganja pri poslovanju. Revija za računovodstvo in finance Iks 5/08b (XXXV), strani 11-17.
46. Blanka Vezjak: Vloga notranje revizije pri upravljanju, ravnanju s tveganji in njihovem obvladovanju. Gradivo za izobraževanje za pridobitev strokovnega naziva preizkušeni notranji revizor, Slovenski inštitut za revizijo, Ljubljana 2009a, 14 strani. [http://sir.gpa.si/studijska_gradiva/posebni_del/notranji_revizor/notranja_revizija/gradiva/Vezjak.pdf], 6.5.2009.
47. Luka Vremec: Okvir obvladovanja tveganja pri delovanju. Zbornik referatov 10. mednarodne konference o revidiranju in kontroli informacijskih sistemov, Slovenski inštitut za revizijo, Čatež 2002, strani 303-114.
48. Marina Vuk: Sprehod skozi prakso delovanja notranjerevizijske službe s praktičnimi primeri. Delavnica. Slovenski inštitut za revizijo, Ljubljana 2010, 57 strani.
34
49. Marina Vuk: Vloga notranjega revidiranja pri upravljanju poslovnih procesov. Zbornik referatov 11. letne konference notranjih revizorjev, Slovenski inštitut za revizijo, Portorož 2008, strani 113-127.
7. VIRI
1. Zakon o gospodarskih družbah (ZGD-1).Uradni list RS, št. 42/2006, (60/2006 popr.).
8. PREGLED UPORABLJENIH TUJIH IZRAZOV
• audit universe —revizijsko področje, revizijsko okolje • controls — notranje kontrole
• engagement — posel
• enterprise risk management (ERM) — celovito obvladovanje tveganj • identification — prepoznavanje
• impact — posledica, vpliv
• inherent risk — tveganje pri delovanju
• likelihood — verjetnost
• management — poslovodstvo
• risk — tveganje
• risk appetite — stopnja sprejemljivosti tveganj
• risk assessment —ocenjevanje tveganj • risk maturity of the organization — zrelost podjetja na področju tveganj
• risk mitigation — ublažitev tveganj
• risk register — register tveganj
• risk universe — seznam tveganj
• residual risk — preostalo tveganje
9. SEZNAM PRILOG
Priloga 1: Naročilo svetovalnega posla .................................................................................. 1
Priloga 2: Delovni program .................................................................................................... 2
Priloga 3: Predlog razvrstitve tveganj ..................................................................................... 5
Priloga 4: Predlog registra tveganj ......................................................................................... 6
Priloga 5: Predlog profila ali kartice tveganja ......................................................................... 7
Priloga 6: Revizijsko poročilo ................................................................................................. 8
1
Priloga 1: Naročilo svetovalnega posla
NAROČILO SVETOVALNEGA POSLA:
Načrt vzpostavitve registra tveganj v podjetju
Naročnik: Poslovodstvo
Številka dokumenta: NR 05-2012 : I./1
Datum: 13.3.2012
Vsebina posla oz. zadane naloge:
Poslovodstvo podjetja želi vzpostaviti celovit okvir obvladovanja tveganj in s tem register tveganj. V ta namen poslovodstvo v skladu s Pravilnikom o delovanju notranjerevizijske službe naroča pripravo načrta vzpostavitve registra tveganj v podjetju, ki bo skladen s cilji podjetja ter bo predstavljal ustrezen okvir obvladovanja tveganj v podjetju in primerno osnovo za načrtovanje notranjerevizijske dejavnosti.
Načrt vzpostavitve registra tveganj v podjetju naj vsebuje:
• Predlog postavitve in umestitve projektnega tima, ki bo odgovoren za koordinacijo in izvedbo projekta vzpostavitve ustreznega okvira obvladovanja tveganj in s tem registra tveganj v podjetju;
• Seznam korakov potrebnih za vzpostavitev ustreznega okvira obvladovanja tveganj in s tem registra tveganj v skladu z usmeritvami in metodologijo COSO ERM in cilji podjetja;
• Opredelitev posamezne faze iz prejšnje točke z navedbo zakaj je potrebna izvedba (namen), kaj je cilj, kako naj se izvede in kaj je rezultat posamezne faze;
• Predlog končne oblike registra tveganj.
Terminski plan z roki za izdelavo poročila
Roki za poročanje:
� 15.5.2012: Izdelava OSNUTKA poročila; � 18.5.2012: Izvedba USKLAJEVALNEGA SESTANKA z naročnikom; � 2.6.2012: Izdelava KONČNEGA POROČILA.
Poslovodstvo: Notranji revizor:
XXX Petra Irena Fabian Gregorčič
2
Priloga 2: Delovni program
NOTRANJA REVIZIJA: Svetovalni posel: Načrt vzpostavitve registra
tveganj v podjetju
Številka dokumenta: NR 05-2012 : I./2
Izdelal: Petra Irena Fabian Gregorčič
Datum: 13.4.2012
Delovni program NR
1. Področje revizije:
Notranja revizija bo potekala na osnovi Naročila svetovalnega posla NR 05-2012 : I./1 s strani poslovodstva, ki želi, da se pripravi načrt vzpostavitve registra tveganj v podjetju. Dogovorjeni svetovalni posel spada na področje svetovanja za izboljšanje ravnanja s tveganji.
2. Cilji revizije:
Na osnovi Naročila svetovalnega posla (v Prilogi 1) je bil določen cilj svetovalnega posla , dogovorjen in usklajen z naročnikom, in sicer: priprava načrta vzpostavitve registra tveganj v podjetju, ki bo skladen s cilji podjetja ter bo predstavljal ustrezen okvir obvladovanja tveganj v podjetju ter s tem primerno osnovo za načrtovanje notranjerevizijske dejavnosti z naslednjo vsebino:
• Predlog postavitve in umestitve projektnega tima, ki bo odgovoren za koordinacijo in izvedbo projekta vzpostavitve ustreznega okvira obvladovanja tveganj in s tem registra tveganj v podjetju;
• Seznam korakov potrebnih za vzpostavitev ustreznega okvira obvladovanja tveganj in s tem registra tveganj v skladu z usmeritvami in metodologijo COSO ERM in cilji podjetja;
• Opredelitev posamezne faze iz prejšnje točke z navedbo zakaj je potrebna izvedba (namen), kaj je cilj, kako naj se izvede in kaj je rezultat posamezne faze;
• Predlog končne oblike registra tveganj.
3
3. Obseg revizije:
PROCES AKTIVNOSTI
OCENA PORABLJENEGA
ČASA (ure)
Načrtovanje
Pripravljalne aktivnosti 6
Začetni sestanek s poslovodstvom 2
Začetno pregledovanje v okviru posla 18
Priprava delovnega programa 3
Izvedba Priprava predloga načrta vzpostavitve registra tveganj v podjetju 35
Poročanje
Vmesna in predhodna poročanja 2
Priprava osnutka poročila 12
Usklajevalni sestanek 2
Končno poročilo 8
Spremljanje napredovanja Spremljanje izvedbe 8
SKUPAJ 96
4. Revizijska sodila in metoda vrednotenja
Svetovalni posel bo izveden v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju.
Metoda vrednotenja, uporabljena pri pripravi načrta vzpostavitve registra tveganj v podjetju in s tem tudi sistema obvladovanja tveganj, bo metodologija COSO ERM .
Revizijska sodila pri pripravi načrta vzpostavitve registra tveganj v podjetju in s tem tudi sistema obvladovanja tveganj predstavljajo določbe naslednjih predpisov in dokumentov:
• Pravilnik o delovanju notranjerevizijske službe;
• Naročilo svetovalnega posla NR 05-2012 : I./1;
• interni dokumenti podjetja o viziji in poslanstvu, organizacijskem sestavu in poslovnih procesih, pristojnostih in odgovornostih, o ravnanju z zaposlenimi...
• dokumenti o strateških in drugih ciljih podjetja.
4
5. Načrt izvajanja revizije
PROCES IZVEDBENI NAČRT-AKTIVNOSTI ŠT.
REVIZIJSKIH UR
Načrtovanje
Pripravljalne aktivnosti
-opredelitev ciljev posla 1
-opredelitev obsega posla 2
-opredelitev časovnega razporeda 3
Začetni sestanek s poslovodstvom 2
Začetno pregledovanje v okviru posla
-pregledovanje strokovne literature 8
-proučevanje podjetja in internih dokumentov 4
-intervjuji z zaposlenimi 4
-pregledovanje podatkov 2
Priprava delovnega programa 3
Skupaj 29
Izvajanje
Priprava predloga načrta vzpostavitve registra tveganj
-priprava predloga sestave, postavitve in umestitve projektnega tima 4
-priprava seznama potrebnih korakov 10
-priprava opredelitve posameznega koraka 16
-priprava predloga končne oblike registra tveganj 5
Skupaj 35
Poročanje
Vmesna in predhodna poročanja 2
Osnutek poročila 12
Usklajevalni sestanek 2
Končno poročilo 8
Skupaj 24
Spremljanje napredovanja
Spremljanje izvedbe 8
Skupaj 8
SKUPAJ 96
6. Terminski plan z roki za izdelavo poročila
Predvideno trajanje svetovalnega posla je od 12.4. 2012 do 2.6.20112.
Roki za poročanje:
� 15.5.2012: Izdelava OSNUTKA poročila; � 18.5.2012: Izvedba USKLAJEVALNEGA SESTANKA z naročnikom; � 2.6.2012: Izdelava KONČNEGA POROČILA.
7. Osebe - prejemniki poročila
� Poslovodstvo podjetja-naročnik posla. � Vodje sektorjev, vodje področij – v vednost.
Datum: 13.4.2012 Podpis:
5
Priloga 3: Predlog razvrstitve tveganj
1. TVEGANJA OKOLJA
Politično tveganje Tveganja sprememb v panogi Tveganja tehnično-tehnološkega
Tveganja splošnih razmer, (konkurenca, kupci, dobavitelji, razvoja
naravnih nesreč… investitorji) Tveganja sprememb zakonodaje
2. TVEGANJA PROCESOV
Tveganja delovanja Tveganja inf. tehnologije Finančna tveganja
Tveganja poslovnih procesov Tveganje ustrezne inf. Infrastrukture
Tveganja zaposlenih Tveganja prekinitve delovanja Kreditno tveganje
Pravna tveganja Tveganja ustreznosti podatkov
Tveganja neusklajenosti z zakonodajo Tveganja dostopnosti podatkov Tržno tveganje
Likvidnostno tveganje
Tveganja pooblaščanja Tveganja integritete Valutno tveganje
Tveganja organizacije in vodenja Tveganja prevar Obrestno tveganje
Tveganja outsourcinga Tveganja zmot
Tveganja novih projektov Tveganja izgube ugleda
3. TVEGANJA INFORMACIJ ZA ODLOČANJE
Tveganja pri operativnem odločanju Tveganja pri poslovno-finančnem Tveganja pri strateškem odločanju
odločanju
Tveganje določanja cen Tveganja pri odločanju o zagotavljanju Tveganja pri postavljanju poslovne
Tveganja pogodbenih zavez kupcev strategije
Tveganja meril uspešnosti Tveganja pri odločanju stroškovni vrednosti Tveganja pri določanju portfelja
in kakovosti proizvodov in storitev proizvodov
Tveganja pri odločanju o denarnih Tveganja pri odločanju o
sredstvih organizacijski strukturi
Tveganja pri odločanju o delavnih Tveganja pri odločanju o
sredstvih razporejanju resursov
6
Pri
log
a 4
: P
redlo
g r
egis
tra
tveg
anj
Po
slo
vna
a
kti
vno
st
Op
is
po
slo
vne
a
kti
vno
sti
T
veg
an
je
Op
is
tve
ga
nja
L
as
tnik
tv
eg
an
ja
Sk
up
ina
tv
eg
an
ja
Šte
vilk
a
sk
up
ine
tv
eg
an
ja
Tve
ga
nje
pri
de
lova
nju
V
pe
lja
na
k
on
tro
lna
a
kti
vno
st
Oc
en
a
us
pe
šn
os
ti
de
lova
nja
k
on
tro
lne
a
kti
vno
sti
Sp
reje
mlj
iva
s
top
nja
tv
eg
an
ja
Po
pra
vlja
lni
uk
rep
i
Pre
os
talo
tve
ga
nje
Po
me
mb
no
st
Ve
rje
tno
st
Oc
en
a
Po
me
mb
no
st
Ve
rje
tno
st
Oc
en
a
Leg
end
a:
Po
slo
vna
akti
vno
st
Posl
ovn
e a
ktiv
nos
ti iz
sezn
ama p
repozn
anih
posl
ovn
ih a
ktiv
nost
i, ki
zagota
vlja
jo u
resn
ičite
v pos
lovn
ih c
iljev
podje
tja.
Op
is t
veg
anja
P
osl
edic
a, k
i nas
tane o
b ure
snič
itvi t
veganja
.
Las
tnik
tve
gan
ja
Last
nik
tve
ganja
je la
stni
k pro
cesa
. S
kup
ina
tveg
anja
S
kupin
a, v
kate
ro je
najb
olj
smis
eln
o v
klju
čiti
pre
pozn
ano t
veganje
.
Šte
vilk
a sk
up
ine
tveg
anja
Š
tevi
lka tve
ganja
iz r
azv
rstit
ve tve
ganj v
sku
pin
e.
Vp
elja
na
kon
tro
lna
akti
vno
st
Vpelja
na k
akr
šnako
li ak
tivnost
, ki
zm
anjš
uje
tve
ganje
.
Po
pra
vlja
lni u
krep
i D
odatn
o v
pelja
ne k
ont
roln
e a
ktiv
nost
i.
7
Priloga 5: Predlog profila ali kartice tveganja
Leto: TVEGANJE:
Številka skupine tveganja: Skupina tveganja:
Opis tveganja:
Lastnik tveganja:
Ocena tveganja: Uvrstitev v matriki tveganj:
Tveganje pri delovanju
Pomembnost Verjetnost Ocena
Preostalo tveganje
Pomembnost Verjetnost Ocena
Vpeljane kontrolne aktivnosti: Ocena uspešnosti delovanja kontrolne aktivnosti:
Podrobnejši opis tveganja:
Priporočila:
8
Priloga 6: Revizijsko poročilo
REVIZIJSKO POROČILO
Notranja revizija: Svetovalni posel: Načrt vzpostavitve registra tveganj v podjetju
Številka dokumenta: NR 05-2012 : V./1
Notranji revizor: Petra Irena Fabian Gregorčič
Obdobje izvajanja revizije: 12.4. - 1.6.2012
Prejemniki revizijskega poročila:
Poslovodstvo podjetja - naročnik posla
Revizijsko poročilo v vednost:
Vodje sektorjev Vodje področij
Področje revidiranja
Opravljen je bil notranjerevizijski svetovalni posel na osnovi Naročila svetovalnega posla NR 05-2012 : I./1 s strani poslovodstva, ki želi, da se pripravi načrt vzpostavitve registra tveganj v podjetju in s tem pristopi k uvajanju sistema celovitega obvladovanja tveganj v podjetju. Dogovorjeni svetovalni posel spada na področje svetovanja za izboljšanje ravnanja s tveganji.
Cilji
Na osnovi Naročila svetovalnega posla NR 05-2012 : I./1(v Prilogi 1) je bil določen cilj svetovalnega posla in sicer: priprava načrta vzpostavitve registra tveganj v podjetju, ki bo skladen s cilji podjetja ter bo predstavljal ustrezen okvir obvladovanja tveganj v podjetju ter s tem primerno osnovo za načrtovanje notranjerevizijske dejavnosti z naslednjo vsebino:
• Predlog sestave, postavitve in umestitve projektnega tima, ki bo odgovoren za koordinacijo in izvedbo projekta vzpostavitve ustreznega okvira obvladovanja tveganj in s tem registra tveganj v podjetju;
• Seznam korakov potrebnih za vzpostavitev ustreznega okvira obvladovanja tveganj in s tem registra tveganj v skladu z usmeritvami in metodologijo COSO ERM in cilji podjetja;
• Opredelitev posamezne faze iz prejšnje točke z navedbo zakaj je potrebna izvedba (namen), kaj je cilj, kako naj se izvede in kaj je rezultat posamezne faze;
• Predlog končne oblike registra tveganj.
9
Uporabljena sodila, metode in tehnike
Svetovalni posel je izveden v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju.
Metoda vrednotenja, uporabljena pri pripravi načrta vzpostavitve registra tveganj v podjetju in s tem tudi sistema obvladovanja tveganj, je metodologija COSO ERM .
Revizijska sodila pri pripravi načrta vzpostavitve registra tveganj v podjetju in s tem tudi sistema obvladovanja tveganj predstavljajo določbe naslednjih predpisov in dokumentov:
• Pravilnik o delovanju notranjerevizijske službe;
• Naročilo svetovalnega posla NR 05-2012 : I./1;
• interni dokumenti podjetja o viziji in poslanstvu, organizacijskem sestavu in poslovnih procesih, pristojnostih in odgovornostih, o ravnanju z zaposlenimi...
• dokumenti o strateških in drugih ciljih podjetja.
Pri izvedbi svetovalnega posla so bile uporabljene naslednje metode in tehnike:
• intervjuji z zaposlenimi;
• študij literature, proučevanje podjetja, pregled zunanjih in notranjih predpisov…;
• pregledovanje podatkov.
Načrt vzpostavitve registra tveganj v podjetju
Načrt vzpostavitve registra tveganj obsega naslednje faze:
1. priprava projekta; 2. določitev sestave in umestitve projektnega tima, ki bo odgovoren za koordinacijo in
izvedbo projekta; 3. opredelitev notranjega okolja podjetja; 4. opredelitev ciljev; 5. identifikacija s temi cilji povezanih tveganj; 6. razvrščanje tveganj; 7. ocenitev tveganj; 8. določitev sprejemljive stopnje tveganja, odzivov na tveganja in uvedba ukrepov za
obvladovanje tveganj; 9. vzpostavitev končne oblike registra tveganj; 10. sprejem strategije obvladovanja tveganj v podjetju.
10
1. FAZA: Priprava projekta
NAMEN Postaviti temelje za izpeljavo projekta vzpostavitve registra tveganj v podjetju in s tem sprejem strategije obvladovanja tveganj v podjetju.
CILJ Seznanjanje sodelujočih v projektu z osnovnimi pojmi s področja obvladovanja tveganj. Potrditev načrta vpeljave registra tveganj v podjetje ter določitev terminskega plana projekta.
NAČIN IZVEDBE Uvodni sestanek sodelujočih v projektu: poslovodstva, vodij sektorjev in vodij področij.
REZULTAT Sodelujoči v projektu so seznanjeni z osnovnimi pojmi s področja obvladovanja tveganj. Potrjen načrt vpeljave registra tveganj v podjetje ter sprejet terminski plan projekta.
2. FAZA: Določitev sestave in umestitev projektnega tima
NAMEN Določiti sestavo in umestitev projektnega tima v organizacijsko strukturo podjetja.
CILJ Oblikovanje projektnega tima, ki bo odgovoren za koordinacijo in izvedbo projekta. Določitev vlog in odgovornosti sodelujočih v projektu. Umestitev projektnega tima v organizacijsko strukturo podjetja.
NAČIN IZVEDBE Sestanek sodelujočih v projektu: poslovodstva, vodij sektorjev in vodij področij, na katerem se imenuje projektni tim ter določijo vloge in odgovornosti sodelujočih v projektu.
Osnova za izvedbo tega koraka je predlog umestitve projektnega tima in opredelitve vlog in odgovornosti v projektu:
• Projektni tim je direktno odgovoren poslovodstvu podjetja.
• Vloge in odgovornosti v projektu: - Projektni tim je odgovoren za koordinacijo in izvedbo projekta (pripraviti
register tveganj in strategijo obvladovanja tveganj). - Vodja projektnega tima vodi in koordinira delo tima in je odgovoren za
pravočasno in kakovostno izvedbo projekta. - Revizijski odbor podjetja je odgovoren za celovit nadzor nad delovanjem
sistema obvladovanja tveganj. V njegovi pristojnosti je potrditev strategije obvladovanja tveganj v podjetju in s tem registra tveganj s sprejemljivo stopnjo tveganja.
- Poslovodstvo je odgovorno za celovito delovanje sistema obvladovanja tveganj. V njegovi pristojnosti je odobritev strategije obvladovanja tveganj v podjetju in s tem registra tveganj s sprejemljivo stopnjo tveganja.
- Zaposleni sodelujejo pri prepoznavanju in ocenjevanju tveganj.
11
- Notranji revizor pripravi načrt vzpostavitve registra tveganj v podjetju in s tem sistema obvladovanja tveganj v podjetju. Je član projektnega tima v katerem predstavlja podporo vzpostavitvi sistema obvladovanja tveganj, v nobenem delu procesa pa ne odloča.
REZULTAT Imenovan projektni tim ter določene vloge in odgovornosti sodelujočih v projektu.
3. FAZA: Opredelitev notranjega okolja podjetja
NAMEN Spoznavanje notranjega okolja podjetja.
CILJ Priprava osnov za določitev politike obvladovanja tveganj in priprava izhodišč delavnice za določitev ciljev in popis poslovnih aktivnosti v podjetju.
NAČIN IZVEDBE Priprava vprašalnika na osnovi internih dokumentov podjetja o viziji in poslanstvu, organizacijskem sestavu, pristojnostih in odgovornostih, o ravnanju z zaposlenimi... ter izvedba intervjuja s poslovodstvom na osnovi pripravljenega vprašalnika.
REZULTAT Gradivo pripravljeno na osnovi preučitve notranjega okolja podjetja in ugotovitev iz intervjujev s poslovodstvom, z organizacijsko strukturo podjetja in popisom poslovnih procesov podjetja.
4. FAZA: Opredelitev ciljev
NAMEN Zagotovitev, da bodo prepoznana vsa tveganja, ki lahko ogrozijo uresničite poslovnih ciljev podjetja.
CILJ Pregled strateških in drugih ciljev podjetja ter potrditev teh tudi za namene obvladovanja tveganj v podjetju. Popis poslovnih aktivnosti, ki vodijo do teh ciljev.
NAČIN IZVEDBE Delavnica na ravni poslovodstva, vodij sektorjev in vodij področij.
REZULTAT Seznam poslovnih aktivnosti, ki zagotavljajo uresničitev poslovnih ciljev podjetja, strukturiran po posameznih ciljih.
12
5. FAZA: Identifikacija s temi cilji povezanih tveganj
NAMEN Identifikacija tveganj, ki ovirajo izpeljavo poslovnih aktivnosti za zagotavljanje uresničitve poslovnih ciljev podjetja.
CILJ Popis tveganj, ki ogrožajo izpeljavo poslovnih aktivnosti, ki vodijo do ciljev podjetja, na ravni podjetja kot celote ter na ravni posameznih procesov.
NAČIN IZVEDBE Priprava gradiva, ki ga udeleženci delavnic prejmejo v naprej, v katerem so obrazloženi osnovni pojmi o obvladovanju tveganj, naveden seznam prepoznanih poslovnih aktivnosti podjetja in podana prošnja udeležencem delavnic, naj razmislijo, katera tveganja ogrožajo navedene poslovne aktivnosti, pri identifikaciji tveganj pa naj si pomagajo z naslednjimi vprašanji:
Obstoj podjetja:
• Kaj lahko gre narobe?
• Kje bi nam lahko spodletelo?
• Kaj se mora zgoditi, da nam bo uspelo?
• Kje smo ranljivi? Kje so naše šibke točke?
• S kakšnimi problemi ali izgubami smo se srečali v preteklosti?
Poslovanje podjetja:
• Kako bi lahko kdo prekinil ali ogrozil naše poslovanje?
• Katere aktivnosti in procesi so najbolj kompleksni?
• Katere aktivnosti so pokrite z navodili?
• Katera tveganja v procesih so kritična za dosego najpomembnejših poslovnih ciljev?
• Za kaj porabimo največ denarja? Kaj predstavlja naš največji strošek?
• Katero vrsto premoženja moramo varovati?
• Kako vemo, če dosegamo cilje?
• Od katerih informacij smo najbolj odvisni oziroma katere informacije najbolj potrebujemo?
Zunanje okolje:
• Kateri zakonodaji smo najbolj izpostavljeni?
• Kaj predstavlja največje pravno tveganje?
• Česa si o nas ne želimo slišati v medijih?
Ločene delavnice vsakega od vodij področij s svojimi zaposlenimi ter poslovodstva z vodji sektorjev.
REZULTAT Neurejeni seznam tveganj z opisi tveganj in lastnikom tveganja, ki ogrožajo uresničitev poslovnih aktivnosti, ki zagotavljajo uresničitev poslovnih ciljev podjetja, na ravni podjetja kot celote ter na ravni posameznih procesov.
13
6. FAZA: Razvrščanje tveganj
NAMEN Zagotavljanje preglednosti in obvladljivosti tveganj ter boljše podlage za ocenjevanje tveganj.
CILJ Razvrstitev tveganj v urejene skupine tveganj, na ravni podjetja kot celote ter na ravni posameznih procesov.
NAČIN IZVEDBE Kritična presoja predloga razvrstitve tveganj v skupine, dopolnitev predloga in potrditev predloga razvrstitve tveganj v skupine s strani poslovodstva. Predlagana razvrstitev tveganja razvršča v naslednje glavne skupine (Universal Business Risk Model™):
• tveganja okolja, so tveganja, ki jih povzročajo zunanji dejavniki, ki lahko vplivajo na izvedljivost in uresničevanje poslovne strategije in doseganje zastavljenih poslovnih ciljev.
• tveganja procesov vplivajo na zmožnost podjetja, da uresniči svoj poslovni model;
• tveganja informacij za odločanje so tveganja ustreznosti, zanesljivosti in pravilnosti informacij, ki se uporabljajo pri pripravljanju poslovnih in strateških načrtov poslovanja.
Celoten predlog razvrstitve tveganj je razviden iz Priloge 3.
Delavnica na ravni poslovodstva, vodij sektorjev in vodij področij.
REZULTAT Seznam tveganj, ki ogrožajo uresničitev poslovnih aktivnosti in s tem tudi poslovnih ciljev podjetja, razvrščenih v ustrezne skupine tveganj, na ravni podjetja kot celote ter na ravni posameznih procesov.
7. FAZA: Ocenitev tveganj
NAMEN Zagotoviti ovrednotenje prepoznanih tveganj in vzpostavljenih kontrolnih aktivnosti za obvladovanje teh tveganj.
CILJ Oceniti vrednost prepoznanih tveganj z vidika verjetnosti in pomembnosti ter prepoznati obstoječe kontrolne aktivnosti – notranje kontrole ter oceniti njihovo delovanje.
NAČIN IZVEDBE Vprašalnik, ki ga izpolnijo poslovodstvo, vodje sektorjev in vodje področij.
Vprašalnik se pripravi na osnovi naslednje metodologije ocenjevanja:
• Ocenjujejo se tveganja, uvrščena v seznam tveganj, ki ogrožajo uresničitev poslovnih aktivnosti in s tem tudi poslovnih ciljev podjetja, razvrščenih v ustrezne skupine tveganj na dveh ravneh, na ravni podjetja kot celote in na ravni procesov.
14
• Tveganja se ocenjujejo ob predpostavki, da v podjetju ni vzpostavljenih nobenih notranjih kontrol in drugih postopkov za obvladovanje tveganj - tveganja pri delovanju.
• Tveganja se ocenjujejo na dveh nivojih: - na nivoju celotnega podjetja; - na nivoju posameznega poslovnega procesa;
• Tveganja se ocenjujejo na osnovi dveh kriterijev: - verjetnosti tveganja, ki pomeni verjetnost nastanka škodnega dogodka
zaradi tveganja, z uporabo kriterijev ocenitve prikazanih v spodnji tabeli:
VERJETNOST TVEGANJ
Ocena Opis
1 - skoraj neverjetno Verjetnost za nastanek škodnega dogodka od vključno 0 % do 20 %.
2 - malo verjetno Verjetnost za nastanek škodnega dogodka od vključno 20 % do 40 %.
3 - zmerno verjetno Verjetnost za nastanek škodnega dogodka od vključno 40 % do 60 %.
4 - verjetno Verjetnost za nastanek škodnega dogodka od vključno 60% do 80%.
5 - zelo verjetno Verjetnost za nastanek škodnega dogodka od vključno 80% do 100%.
- vpliva oz. pomembnosti tveganja, ki pomeni vrednost potencialnega
škodnega dogodka, če se tveganje uresniči, z uporabo kriterijev ocenitve prikazanih v spodnji tabeli:
VPLIV TVEGANJ OZ. POMEMBNOST TVEGANJ
Ocena Opis
1 - nepomembno Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 250 EUR. Ljudje niso poškodovani, ni škode v okolju ter vpliva na strategijo ali poslovne aktivnosti.
2 - neznatno
Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 1.500 EUR. Poškodb ni, ali pa so minimalne, ni poklicnih obolenj, pride do minimalne gospodarske škode, minimalne škode v okolju ter minimalnega vpliva na strategijo ali poslovne aktivnosti.
3 - zmerno
Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 5.000 EUR. Poškodbe ljudi so manjše, pride do manj pomembnih poklicnih obolenj, manjše gospodarske škode, kratkotrajne škode v okolju ter manjšega vpliva na strategijo ali poslovne aktivnosti.
4 - pomembno
Tveganje z nastopom enega dogodka povzroči maksimalno škodo do 25.000 EUR. Težje poškodbe ljudi, težje poklicne bolezni, pride do dalj časa trajajoče škode v okolju, večje gospodarske škode, manjše zaskrbljenosti lastnikov ter večjega vpliva na strategijo ali poslovne aktivnosti.
5 - zelo pomembno/ kritično
Tveganje z nastopom enega dogodka povzroči maksimalno škodo nad 25.000 EUR. Smrt, pride do nepovratne škode v okolju, ogromne gospodarske škode, uničenja poslovnih prostorov, negativne publicitete, zaskrbljenosti lastnikov ter znatnega vpliva na strategijo ali poslovne aktivnosti.
• kontrole), ki so že vpeljane za obvladovanje teh tveganj ter oceni njihovo delovanje z ocenami:
- 1 – slabe; - 2 – srednje; - 3 – dobre.
15
• Ocenjevanje se opravi z vprašalnikom s strukturo razvidno iz naslednje tabele:
Vrsta tveganja
PODJETJE KOT CELOTA POSAMEZNI POSLOVNI PROCES
Verjetnost Pomembnost Vzpostavljene
notranje kontrole
Ocena delovanja notranjih kontrol
Verjetnost Pomembnost Vzpostavljene
notranje kontrole
Ocena delovanja notranjih kontrol
1. TVEGANJA OKOLJA
1.1.
1.2.
1.3.
...
2 .TVEGANJA PROCESOV
2.1.
2.2.
2.3.
....
3. TVEGANJA POVEZANA Z INFORMACIJAMI POTREBNIMI ZA ODLOČANJE
3.1.
3.2.
3.3.
...
4. Tveganja, ki po mojem mnenju niso navedena v vprašalniku
4.1.
4.2.
4.3.
...
• Ocena posameznega tveganja je zmnožek ocene verjetnosti in ocene pomembnosti oziroma vpliva.
Metodologijo ocenjevanja tveganj je potrebno predhodno kritično presoditi in jo po potrebi dopolniti ter posredovati v potrditev poslovodstvu.
REZULTAT Register tveganj (predlog je razviden iz Priloge 4), profili ali kartice tveganj za najvišje ocenjena tveganja (predlog je razviden iz Priloge 5) in matrika tveganj, katere predlog je razviden iz spodnje slike.
16
VP
LIV
OZ
. P
OM
EM
BN
OS
T
zelo pomembno/
kritično 5
10 15 20 25
pomembno 4 4 8 12 16 20
zmerno 3 3 6 9 12 15
neznatno 2 2 4 6 8 10
nepomembno 1 1 2 3 4 5
skoraj neverjetno malo verjetno zmerno verjetno verjetno zelo verjetno
1 2 3 4 5
VERJETNOST
sprejemljiva stopnja tveganja
8. FAZA: Določitev sprejemljive stopnje tveganja, odzivov na tveganja in uvedba ukrepov za obvladovanje tveganj
NAMEN Določitev dokončne vsebine registra tveganj, matrike tveganj in profilov ali kartic najvišje ocenjenih tveganj.
CILJ Potrditev in dopolnitev registra tveganj, profilov ali kartic najvišje ocenjenih tveganj in matrike tveganj s sprejemljivo stopnjo tveganja in popravljalnimi ukrepi, ki obvladujejo prepoznana tveganja.
NAČIN IZVEDBE Delavnica na ravni poslovodstva.
REZULTAT Končna vsebina registra tveganj, profilov ali kartic najvišje ocenjenih tveganj in matrike tveganj.
9. FAZA: Vzpostavitev dokončne oblike registra tveganj
NAMEN Vzpostavitev dokončne oblike registra tveganj, matrike tveganj in profilov ali kartic najvišje ocenjenih tveganj.
CILJ Izdelava in oblikovanje registra tveganj, profilov ali kartic najvišje ocenjenih tveganj in matrike tveganj.
17
NAČIN IZVEDBE Delavnica projektnega tima.
REZULTAT Končna oblika registra tveganj, profilov ali kartic najvišje ocenjenih tveganj in matrike tveganj.
10. FAZA: Sprejem strategije obvladovanja tveganj
NAMEN Sprejem strategije obvladovanja tveganj v podjetju.
CILJ Postavitev celovitega sistema obvladovanja tveganj v podjetju z določitvijo procesa obvladovanja tveganj v prihodnje, terminskega plana in imenovanjem odgovornih za nadaljne aktivnosti.
NAČIN IZVEDBE Delavnica projektnega tima in poslovodstva.
REZULTAT Vzpostavljen celovit sistem obvladovanja tveganj v podjetju in tako tudi register tveganj.
Kraj in datum: Podpis:
Brezovica pri Ljubljani, dne 1.6.2012 Petra Irena Fabian Gregorčič
