Sustav upravljanja, upravljanje rizicima i compliance (GRC)

Posted on

Sustav upravljanja, upravljanje rizicima i praćenje usklađenosti poslovanja su pojmovi koji nisu novost u poslovnom svijetu i u velikim svjetskim kompanijama. Pojmovi se odavno koriste u svim društvima u Hrvatskoj koja predstavljaju svoje strane organizacije “majke”, a polako i još uvijek na mala vrata ulaze i u ostala društva na hrvatskom tržištu i u javni sektor. Izvanredne situacije, kao što su potresi, poplave i pandemija, stavljaju u fokus ovu tematiku te se poduzetnicima sve češće postavlja pitanje na koji način upravljaju rizicima i koliko su otporni na rizike poslovanja.

Sustav upravljanja

Kako pojedina pravna osoba raste i proširuje svoje poslovanje, postaje sve svjesnija kako je nužno da prepozna rizike u svojem poslovanju, uspostavi sustav kojim će upravljati prepoznatim rizicima i općenito poslovanjem, a sve u skladu s relevantnom regulativom za poslovanje te pravne osobe.

Pojedino društvo je dužno osigurati da odgovornost za koordinaciju i provedbu sustava upravljanja, kao i minimalni zahtjevi za organizaciju, budu jasno određeni i dodijeljeni kako na razini uprave društva tako i na ostalim funkcionalnim razinama.

Osnovni zahtjevi sustava upravljanja su:

  • poslovni ciljevi,
  • razborita organizacija,
  • jasne odgovornosti i ovlasti,
  • odbori,
  • interni akti,
  • komunikacija,
  • sustav upravljanja rizicima,
  • upravljanje kapitalom,
  • sustav unutarnjih kontrola,
  • informacijska sigurnost,
  • prilagodljivost,
  • dokumentiranost,
  • korporativna kultura usmjerena na rizike.

Kako bi sustav upravljanja uspješno funkcionirao na razini pojedinog društva nužno je odrediti ciljeve, postaviti jasnu i transparentnu raspodjelu uloga i odgovornosti (uprava, nadzorni odbor, funkcije unutar društva), uz pridržavanje odredbi Zakona o trgovačkim društvima i relevantnih zakonskih odredbi za pojedinu granu industrije (primjerice, Zakon o kreditnim institucijamaZakon o osiguranjuZakon o tržištu kapitala), uspostava sustava upravljanja rizicima, praćenje i usklađivanje s relevantnom regulativom, standardima u poslovanju, tržišnim i društvenim normama, uz razvoj korporativne kulture rizika

Kulturu rizika Hrvatska narodna banka definira Odluci o upravljanju rizicima kao opću svjesnost o rizicima na svim razinama, odnos i ponašanje radnika prema riziku i u vezi s rizikom i upravljanjem rizikom, uzimajući u obzir sklonost preuzimanju rizika.

Upravljanje rizicima

Rizik predstavlja neki neizvjestan događaj ili stanje u budućnosti, koji ima pozitivan ili negativan utjecaj na ciljeve poslovanja.

Prema ISO standardu 31000:2018, rizik je učinak neizvjesnosti na ciljeve. Ciljevi mogu biti financijski, sociološki, sigurnosni, strateški, operativni ili organizacijski.

Kada govorimo o riziku, obično govorimo o izvoru rizika, potencijalnom događaju, posljedicama i vjerojatnosti da će se određeni događaj zaista dogoditi. Ovisno o tome koliko je pojedino društvo spremno preuzeti rizika prilikom poslovanja, može se govoriti o sklonosti preuzimanju rizika.

Rizike je moguće razvrstati u neke opće kategorije koji se dalje dijele na tipove rizika. Npr. tržišni rizik, kreditni rizik, poslovni rizik, operativni rizik, reputacijski rizik, regulatorni rizik, strateški rizik. Rizik usklađenosti se često svrstava u pravni rizik, a pravni rizik se najčešće smatra dijelom operativnom rizika, odnosno rizik od gubitaka zbog ljudi, procesa, sustava ili vanjskih okolnosti.

Temelj za učinkovito upravljanje rizicima je zajedničko razumijevanje rizika, jasna organizacijska struktura i sveobuhvatno definirani procesi upravljanja rizicima.

Društvo bi trebalo za sve rizike uspostaviti sveobuhvatan proces upravljanja rizicima koji uključuje: identifikaciju rizika, procjenu rizika, odgovor na rizik i kontrolne aktivnosti, praćenje rizika i izvještavanje o riziku.

Proces procjene najznačajnijih rizika je periodična analiza svih rizika koji se mogu i koji se ne mogu kvantificirati kako bi se identificirale i sanirale značajne prijetnje financijskom rezultatu, operativnoj održivosti ili ispunjenju ključnih strateških ciljeva. Procjena rizika pomaže svakoj organizaciji da procjeni vjerojatnost i ozbiljnost pojedine situacije te se koncentrira na prioritete.

Testiranje ključnih kontrola jedan je od najvažnijih elemenata osiguravanja učinkovitog sustava upravljanja operativnim rizicima.

Compliance/Praćenje usklađenosti poslovanja

Compliance, kao jedan od elemenata sustave unutarnje kontrole se može na hrvatski prevesti kao praćenje usklađenosti poslovanja, iako to ne bi bio u potpunosti točan i precizan prijevod engleski riječi compliance, pa se tako često i u hrvatskom jeziku jednostavno koristi riječ compliance.

Funkcija u društvu koja prati usklađenost poslovanja se najčešće naziva compliance officer ili povjerenik za praćenje usklađenosti poslovanja.

Compliance podrazumijeva praćenje i nadzor usklađenosti poslovanja sa svima zakonskim i podzakonskim aktima, etičkim pravilima i smjernicama, društvenim i tržišnim normama i standardima, kodeksima prakse i ponašanja te ujedno usklađenost interne organizacije s ciljevima (misijom i vizijom) i vrijednostima na kojima se temelji određeno poslovanje.

Pravna osoba kroz edukacije, osposobljavanje zaposlenika, praćenje kompetencija i vrijednosti zaposlenika, interne akte, pravila, procedure, razne procjene rizika i interne kontrole, uspostavlja sustav koji upravlja rizikom usklađenosti.

Da bi to funkcioniralo na zamišljeni način u pravnoj osobi mora prije svega biti uspostavljena kultura etičnog ponašanja.

Sustav unutarnjih kontrola

Kod kreditnih institucija i osiguravajućih društava sustav unutarnjih kontrola čine tri zakonski propisane ključne funkcije: funkcija upravljanja rizicima, funkcija praćenja usklađenosti i interna revizija. Sve tri funkcije identificiraju određene rizike sa svoje perspektive, utvrđuju određene nepravilnosti i daju preporuke.

Specifično je za funkciju upravljanja rizicima i funkciju praćenja usklađenosti da oni obično reagiraju unaprijed, prije nego što se određeni događaj dogodi, i time preveniraju određene troškove, kazne i negativne posljedice te smanjuju ili izbjegavaju rizike za poslovanje. Kod funkcije praćenja usklađenosti je pri tome od posebne važnosti kontinuirana edukacija, uključenost u poslovne procese i razgovor s članovima uprave, nadzornog odbora i zaposlenicima.

Od ključne važnosti je za uspješan sustav upravljanja rizicima da navedene tri funkcije surađuju, uspoređuju rizike te sebi skrate posao i osiguraju uspješnije upravljanje rizicima. Navedeno se u praksi najčešće naziva sustav GRC (Governance and Risk Management and Compliance).

Što bi to značilo u praksi?

Uzmimo kao primjer iz prakse situaciju da je poduzetnik u narednih pet godina postavio cilj da se računi plaćaju na vrijeme te da se odgovara kupcima na njihove prigovore i upite na vrijeme (najčešći zakonski rok je 15 dana).

Pretpostavka je da je navedeno potrebno definirati internim aktima (npr. provjera kompetencija i vrijednosti koje se traže od zaposlenika, kontinuirana edukacija, sistematizacija radnih mjesta s jasnim opisom uloga i odgovornosti za pojedino radno mjesto, pravilnik o uvjetima za obavljanje poslova člana uprave, praćenje računa i prigovora u informatičkom sustavu, i sl.).

Funkcija za praćenje usklađenosti i funkcija za upravljanje rizicima redovito, godišnje testiraju ranije utvrđene rizike i scenarije rizika te su prilikom testiranja opisanog rizika utvrdili kako na razini društva ne postoji jasno i transparentno razgraničenje uloga i odgovornosti, kako određeni radnici i direktori imaju isti opis poslova, kako jedan naziv radnog mjesta vrijedi u različitim organizacijskih jedinicama.

Funkcije su utvrdile da se definiranim rizikom ne upravlja na potreban način što je u nekim slučajevima kada regulativa zahtjeva jasnu definiciju uloga i odgovornosti ili uvjeta za imenovanje i postupanje, regulatorni rizik. Primjerice, kada zakon definira da se račun mora platiti u određenom vremenu i da se na prigovor potrošača mora odgovoriti u zakonski određenom vremenu.

Posljedice neadekvatnog upravljanja

Dodatno je utvrđeno kako niti opis unutarnje kontrole nije odgovarajući, odnosno da organizacijska jedinica za ljudske resurse nema jasno definirane interne akte kojima bi utvrdila sve potrebno, kako nema sve organizirano i pohranjeno na lako dostupnom mjestu i kako komunikacija o ulogama i odgovornostima nije poduzeta.

Kao posljedica navedenog, određeni poslovi se uopće ne obavljaju ili se ne obavljaju u određenom vremenskom periodu. Nitko od zaposlenika se ne smatra nadležnim i odgovornim za pojedine zadaće. Navedeni primjer za pojedinu pravnu osobu predstavlja situaciju kada može doći do nepotrebnog troška zbog plaćanja kamata. Može se pokrenuti sudski postupak protiv pravne osobe te pravna osoba može izgubiti dobar ugled u odnosu na svoje dobavljače i klijente, kao i platiti određene kazne jer nije poduzela određenu radnju u zakonski određenom vremenu.

O utvrđenom su funkcije izvijestile funkciju interne revizije koja je zadužena za kontrolu efektivnosti aktivnosti kojima se upravlja pojedinim rizikom. Interna revizija na osnovu zaključenog uopće ne mora niti provoditi test efektivnosti. Ako ga i provede, u okviru petogodišnjeg plana vjerojatnost, je da će kontrole rizika biti ocijenjene kao ne-efektivne.

Funkcije o utvrđenom izvještavaju upravu i nadzorni odbor koji u konačnici donose odluku o preuzimanju rizika ili preporuku o upravljanju istim, odnosno poduzimanju aktivnosti u svrhu izbjegavanja rizika.

Zaključak

Možemo zaključiti da ovakav sustav upravljanja rizicima, odnosno Governance & Risk & Compliance sustav (GRC):

  • smanjuje nepotrebne troškove,
  • smanjuje sudske postupke i novčane kazne,
  • osigurava produktivno i učinkovito provođenje poslovnih aktivnosti,
  • omogućuje bolju kvalitetu i protok informacija na brz i efikasan način,
  • djeluje pozitivno na ugled na tržištu.

Izvor: parser.hr

Autori:

Aleksandra Mrkonjić Bosak, Senior Compliance Officer, Allianz d.d.

Marija Bošković Batarelo, direktor, Parser compliance d.o.o.

Osnovni Compliance pojmovi

Posted on

U svom svakodnevnom poslovanju, Službenik za usklađenost susreće se s nizom pojmova, a neki od njih nalaze se dalje u tekstu ovoga članka.

Audit / Revizija – radnje koje provodi treća neovisna strana ili interni revizor s ciljem ispitivanja točnosti, potpunosti, vjerodostojnosti, zakonitosti i objektivnosti određenih pojava i procesa tvrtke.

Accountability / Odgovornost – preuzimanje odgovornosti za određene radnje i postupke.

Code of conduct / Kodeks ponašanja ­– definira prihvatljivo ponašanje unutar tvrtke, čije kršenje rezultira disciplinskom mjerom.

Compliance /Usklađenost – Usklađenost je proces kojim se planira, organizira, kontrolira i vode aktivnosti koje osiguravaju poštivanje zakona i drugih pozitivnih propisa.

Chief Compliance Officer – odgovorna osoba za nadziranje cjelokupne usklađenosti unutar organizacije i osiguravanje poštivanja zakona, regulatornih zahtjeva i internih akata.

Compliance automation / Automatizacija usklađenosti – aplikacija koja koristi značajke i tehnologiju umjetne inteligencije radi pojednostavljenja postupka usklađenosti.

Compliance culture / Kultura usklađenosti – predstavlja vrijednosti, pridržavanja, uvjerenja i ponašanja u vezi s upravljanjem tvrtke, jamstva za usklađenost te definira zahtjeve potrebne za uspješnu usklađenost.

Compliance Program / Program usklađenosti – osigurava poštivanje zakona i ostalih pozitivnih propisa unutar tvrtke.

Compliance risk / Rizik usklađenosti – je rizik izloženosti zakonskim kaznama, financijskim sankcijama, materijalnom gubitku s kojim se tvrtka suočava prilikom ne postupanja u skladu s industrijskim i zakonskim propisima te internim aktima.

Compliance Framework –  skup smjernica koje detaljno opisuju proces tvrtke za pridržavanje s utvrđenim propisima, specifikacijama i zakonodavstvom.

Compliance Audit / Revizija usklađenosti – sveobuhvatni pregled tvrtke koja se pridržava regulatornih smjernica. Revizori pregledavaju interne akte, postupke upravljanja rizikom tijekom revizije usklađenosti.

Compliance Burden / Teret usklađenosti – trošak usklađenosti iskazan u novcu, vremenu i složenosti posla.

Corporate Governance / Korporativno upravljanje – skup pravila i postupka koji se odnose na način na koji tvrtke djeluju i na način na koji se reguliraju.

Certified Compliance and Ethics Professional (CCEP) / Certificirani stručnjak za usklađenost i etiku – osoba koja posjeduje odgovarajuće znanje i stručnost za provođenje usklađenosti u tvrtki te promiče organizacijski integritet kroz pravilan i učinkovit program usklađenosti.

Compliance Validation / – Potvrda usklađenosti – postupak utvrđivanja uspješnosti provođenja plana usklađenosti.

Ethical culutre / Kultura etičnosti – uključuje vrijednosti i uvjerenja u ponašanju.

Fraud / Prevara – namjerno laganje ili varanje drugih s ciljem stjecanja dobiti ili interesa za što nemate pravo.

Governance / Upravljanje – skup postupaka i radnji koje daju ovlast za donošenje odluka i kontrolu nad tvrtkom.

Governance, Risk and Compliance (GRC) / Upravljanje, rizik i usklađenost – kombinacija navedenih područja unutar tvrtke koji su se razvili zbog međusobne ovisnosti.

Internal control / Unutarnja kontrola – skup postupaka i radnji koja se uspostavlja unutar tvrtke radi povećanja njezine vrijednosti i minimiziranje rizika.

Regulatory Compliance / Regulatorna ili Zakonska usklađenost – pridržavanje zakonskih propisa koji su relevantni za poslovanje tvrtke. Kršenje takvih propisa rezultira zakonskom kaznom, uključujući i novčanu kaznu.

Risk Assessment / Procjena rizika – postupa identificiranja varijabli koje mogu negativno utjecati na uredno poslovanje tvrtke.

Risk Exposure / Izloženost riziku – predstavlja kvantificirani potencijal gubitak u poslovanju, izračunava se množenjem vjerojatnosti da će se događaj desiti s potencijalnim gubicima.  

Transparency / Transparentnost – u upravljačkom smislu jest iskrenost i otvorenost, obično se smatra nosiocem uspješnog korporativnog upravljanja.

Whistleblower / Zviždač ili prijavitelj nepravilnosti – osoba koja otkriva i/ili prijavljuje nezakonite radnje tvrtke u kojoj je zaposlen.

izvor:www.ivangazic.eu

1 6 7 8