Skladno z Zakonom o gospodarskih družbah sodi med odgovornosti uprave in nadzornega sveta tudi upravljanje tveganj.
V prispevku se bomo dotaknili:
- vprašanja, katere so odgovornosti, naloge in aktivnosti, ki jih morajo izvesti člani tako enega kot drugega organa, da lahko v primeru neželenih dogodkov, incidentov (imenovanih pogosto tudi škodnih dogodkov) ali prevar dokazujejo svojo dolžno skrbnost,
- kako te naloge in aktivnosti izvesti na način, ki organizaciji prinaša dodano vrednost in
- kakšne so najboljše prakse v svetu in pri nas.
Žal so to teme, za katero si člani uprav in nadzornih svetov pogosto vzamejo čas šele, ko do neželenega dejanja (bodisi prevare, vdora, ali kakšnih drugih neželenih dejanj in ravnanj, bodisi zaposlenih, bodisi zunanjih) že pride. V današnjem svetu praktično ni organizacije, ki bi bila imuna proti tovrstnim dogodkom. Zlasti vdori so področje, kjer se kriminaliteta izredno hitro širi, združbe so dobro organizirane in s pomočjo relativno cenovno ugodnih orodij uspejo vdreti praktično v vsako organizacijo.
Kaj lahko in morata s tem v zvezi storiti uprava in nadzorni svet?
Naloga nadzornega sveta je, da sodeluje pri sprejemanju strategije organizacije, tudi na področju upravljanja tveganj. To področje eksplicitno navaja tudi ZGD. To v praksi pomeni, da mora nadzorni svet povprašati, kako je to področje v organizaciji urejeno. V praksi se pogosto srečamo s situacijo, ko je v letnem poročilu lepo navedeno, kaj vse organizacija počne, potem pa skozi razgovore s ključnimi zaposlenimi vidimo, da tekst za letno poročilo sestavi finančni direktor, da gre v precejšnji meri za prilagoditev teksta kakšne druge organizacije in podobno.
Nadzorni svet mora upravo povprašati o konkretni vsebini strategije na področju upravljanja tveganj, katero metodologijo (orodje) uprava uporablja za upravljanje tveganj (zelo pogosto uporabljeni sta v svetu in pri nas COSO metodologija in ISO 31000). Nadzorni svet se mora opredeliti do nagnjenosti uprave k sprejemanju tveganj (o t.i. risk apetitu) in dogovoriti glede tolerance do tveganj. Opredeliti mora področja, o katerih mora uprava nemudoma poročati nadzornemu svetu (predsedniku ali vsem članom).
Kako ukrepe izvesti v praksi?
To v praksi pomeni, da je potrebno z uporabo ene od metodologij sistematično identificirati vsa ključna tveganja, s katerimi se srečuje organizacija, določiti, kakšen bo odziv organizacije na ta tveganja: bodisi izogib tveganjem (se npr. neke dejavnosti ne bomo šli), prenos (npr. na dobavitelja ali zavarovalnico), zmanjšanje izpostavljenosti tveganjem (z dodatnimi ukrepi v sami organizaciji) ali sprejem tveganja (ostane tako kot je, izpostavljenosti tveganju se uprava zaveda, o tem obvesti nadzorni svet, ki se mora s tem tudi strinjati).
Poslovni svet je neizogibno povezan s tveganji. Brez tveganj ne bi bilo donosov. Praviloma večje izpostavljanje tveganjem prinese večje dobičke, pa tudi večje izgube, nihanja v uspešnosti so večja kot pri organizacijah, ki se tveganjem izpostavljajo v manjši meri. Odločitev, v kolikšni meri se bo konkretna organizacija izpostavila tveganjem, je med drugim odvisna od:
- namena organizacije (npr. neprofitne organizacije se praviloma ne izpostavljajo tveganjem, razen v zelo omejenem obsegu, povezanim z osnovnimi dejavnostmi organizacije),
- zmožnostjo organizacije za sprejemanje tveganj (organizacija, ki ima visoke presežke kapitala, si lahko privošči večje izpostavljenosti tveganjem kot organizacija, ki posluje na meji),
- odnosom lastnikov do tveganj: v delniških družbah svoj odnos do tveganj družba komunicira preko letnega poročanja, saj letno poročilo vsebuje tudi obvezno poglavje o tveganjih. Posamični delničar se na podlagi teh javno dostopnih informacij odloča, ali je zanj posamezna naložba primerna ali ne.
Aktivnosti uprave na področju upravljanja tveganj
Ko uprava pripravi oceno izpostavljenosti tveganjem in strategijo upravljanja tveganj, jo uprava preda nadzornemu svetu v potrditev. Naloga uprave je, da ukrepe v nadaljevanju izvede in obdobno o stanju in izvedenih ukrepih poroča nadzornemu svetu. Ker se okolje, v katerem poslujejo organizacije, spreminja zelo hitro, je potrebno takšno analizo preveriti in posprotiti/ažurirati najmanj enkrat letno.
Osnova za to, da ukrepi v organizaciji delujejo, je primerno kontrolno okolje, to je odnos vodstva in zaposlenih do upravljanja tveganj in notranjih kontrol ter etičnosti poslovanja. Na vseh področjih tveganj, še zlasti pa na področju varnostnih tveganj, povezanih z vdori v informacijski sistem organizacije, je zelo pomembno tekoče izobraževanje zaposlenih, ki dviguje raven zavedanja zaposlenih in njihovo zmožnost prepoznavanja potencialnih vdorov. Kar 90% vdorov je namreč možno izvesti zaradi napake človeškega faktorja: današnje tehnologije varovanja sistemov so že tako razvite, da je pogosto brez zavedne ali nezavedne pomoči vsaj enega od zaposlenih večji vdor težje izvesti, zato se v veliki meri napadalci poslužujejo socialnega inženiringa. Uprava je odgovorna, da poskrbi za stalno izobraževanje in usposabljanje zaposlenih, tudi na način, da organizacija sama najame strokovnjake, ki skušajo vdreti v sistem in na ta način preverja pripravljenost organizacije in zaposlenih na takšna dejanja. Pomembno je tudi, da organizacija definira aktivnosti, ki se bodo izvedle, v kolikor bo do udejanja tveganj prišlo: določiti je potrebno skupino, ki se v takem primeru skliče: sestava te skupine mora biti takšna, da pokrije vsa tveganja, ki se v primeru udejanja posameznega tveganja pojavijo. Na primer v ekipo, ki se aktivira v primeru vdora v informacijski sistem družbe, naj bodo vključeni predstavnik najvišjega vodstva, strokovnjak za odnose z javnostmi, strokovnjak za informacijsko varnost, strokovnjak za preiskovanje prevar, skrbnik informacijskega sistema, notranji revizor, po potrebi pravnik, pa tudi kadrovnik in še kdo. Pomembno je, da razmislimo o vseh vidikih škodnega dogodka (vpliv na stranke, zaposlene, regulatorna odgovornost organizacije, povezana zlasti s pravočasnim in celovitim poročanjem, idr.). To je potrebno narediti vnaprej. Ko namreč do škodnega dogodka pride, je takojšnje in pravilno ukrepanje ključno in lahko bistveno omeji posledice. V manjših organizacijah je zato pomembno, da se strokovnjaki, ki jih organizacija ne zaposluje, poiščejo vnaprej, sklene naj se okvirna pogodba (ali pismo o nameri), saj ob nastanku prevare časa za skrbni izbor strokovnjaka ni.
Kako te naloge in aktivnosti izvesti na način, ki organizaciji prinaša dodano vrednost?
Upravljanje tveganj je področje, ki zahteva stalno skrb in aktivnosti. Povezati ga moramo s cilji organizacije in identificirati vsa področja, faktorje, ki lahko ogrozijo doseganje ciljev. V nadaljevanju se oceni, ali ukrepi, ki bi bili potrebni za zmanjševanje izpostavljenosti tveganjem, stanejo manj, kot znašajo ocenjene koristi zmanjševanja tveganj. Na ta način upravljanje tveganj dejansko povečuje donosnost organizacije in/ali zmanjšuje nihanja v poslovnem rezultatu organizacije. Poleg tega sistematično upravljanje tveganj prinaša tudi komunikacijo o tveganjih, ki pogosto pokaže na stanje, ko so pogledi posameznih odločevalcev na tveganje diametralno nasprotni. Pogovori in delavnice o tveganjih pripomorejo, da odločevalci izmenjajo poglede na tveganja in ocene posameznih tveganj in sprejmejo skupno odločitev o tem, kakšno izpostavljanje je primerno, da to ni prepuščeno posamezniku. Ne samo, da se nagnjenost k tveganjem posameznika lahko zelo razlikuje od nagnjenosti k tveganjem ostalih odločevalcev in organizacije kot celote, pogosto je problem tudi v tem, da posameznik nima vseh informacij, zaradi česar se njegova posamična ocena lahko pomembno razlikuje od ocene, ki jo izdela organizacije kot celota.
Poskrbite za lastno varnost!
Četudi boste imeli izdelan in delujoč sistem upravljanja tveganj to seveda ne pomeni, da se tveganja ne bodo več udejanjala. Pomeni pa, da boste lahko v primeru, da bo do tega prišlo, kot član poslovodstva ali organa nadzora dokazovali, da ste napravili vse, kar se od vas pričakuje kot skrbno ravnanje, s čimer se izognete tudi potencialni osebni (kazenski in materialni odgovornosti, pa tudi moralni). Zato se sistematično upravljanje tveganj še kako splača.
O avtorici:
Polona Pergar Guzaj, preizkušena notranja revizorka, CIA, CFSA, CRMA, CFE, direktorica družbe 4E, pomoč pri upravljanju organizacij in obvladovanju prevar d.o.o., predsednica Slovenskega inštituta IIA in podpredsednica slovenskega odseka ACFE (Združenja preizkušenih preiskovalcev prevar ACFE Slovenija)
Prispevek je bil objavljen v reviji Pod lupo 2015. Izdajatelj revije je Detektivsko varnostna agencija d.o.o.