Standardi kojima se definišu okviri upravljanja rizicima (COSO standard, ISO 31000)  daju pravce kako kompanije mogu da integrišu donošenje odluka na bazi rizika, i to u ključnim procesima uspostavljanja sistema kontrole, planiranja, izveštavanja, politika , vrednosti i kulture kompanije. Pored toga, postoje različite metodologije u oceni rizika npr. Delphi tehnika, Root-cause analiza, scenario analiza, BIA –business impact analiza, FMEA- Failure modes and effect analysis – analiza načina otkaza i posledica, Sneak analiza – „skrivena“, HAZOP –Hazard and operability study, HACCP – analiza opasnosti i kritičke kontrolne tačke , LOPA – Layers of protection Analysis-analiza zaštitnih nivoa, Failure tree –analiza stabla otkaza, cause –consequence analysis.

U svemu tome je ipak kljucno da svaka kompanija mora pronaći model upravljanja rizicima koji odgovara njenom poslovanju, kao i prilagođavanju same inicijative za koju se radi ocena rizika kako bi ostvarila svoje ciljeve i to: optimizacija troškova, održivost i rast prihoda, konkurentnost, učinkovitost marketinških kampanja i zaštitu brenda odnosno reputaciju. Bez obzira na to da li se radi kvantitativna ili kvalitativna ocena rizika, primena standardne metodologije mora postojati radi postizanja uporedivosti i lakšeg donošenja odluke.

Postoji nekoliko kategorija internih faktora kao prepoznatih grešaka koje kompanije dovode do veće neizvesnosti, a samim tim i veće izloženosti rizicima.  Počev od strukture i načina upravljanja, unutrašnjeg i spoljašnjeg konteksta, načina upravljanja informacijama i modeliranjem podataka,  rešavanja konfliktinih ciljeva (koji postoje po prirodi posla  u okviru organizacije, ali i među pojedincima), zatim same kulture i vrednosti pojedinaca i njihove usaglašenosti sa vrednostima kompanije, konfuznih autoriteta, manjka kompetencija zaposlenih, nejasnih ciljeva , targeta, manjka resursa (vreme, ljudi, budžet, opremljenost), neadekvatnih procedura, slabe komunikacije i slabog procesa planiranja.

Pored internih, postoje i eksterni tipovi rizika kojima je svaka kompanija u svom poslovanju izložena. Počev od zakonskih i regulatornih rizika, zatim rizika konkurencije,  makroekonomskih rizika, pa sve učestalijih rizika informacione bezbednosti (npr. cyber napada), zatim rizika regrutacije stručnih  kadrova, kojih tržište nema dovoljno, kao i rizika treće strane , odnosno sve većem spoljnom angažovanju firmi za razvoj (outsource) ,  umesto internog razvoja „in- house“  radi brzine i  optimizacije troškova i prenosa rizika, kao i rizika iz domena  društvene odgovornosti koji utiču na index integriteta kompanije. Svi ovi eksterni rizici  dodatno daju pritisak na već postojeće interne slabosti kompanije. Svakako ne treba izuzeti činjenicu da smo usled pandemije i kriznih ratnih situacija globalno izloženi rizicima kontinuiteta poslovanja, koji su se našli na radaru rizika svih kompanija.

Od stepena razvijenosti kompanije zavisi i model upravljanja rizicima, kojim se dolazi do  ocene rizika i  mera.

Imajući u vidu da uzrok rizika može biti sa više različitih mesta, kao i da uticaj rizika može da afektira više ciljeva,  od visine uticaja rizika usled neizvesnsti i  stepena primene mera, zavisi pristup risk analizi i bira se najslabija tačka u odnosu na koju se ocenjuje rizik i definišu mere.

Proaktivnost rizika podrazumeva da se rizik i plan mera za njegovo ublažavanje ili otklanjanje  identifikuje  i proceni unapred, a ne kada nastane problem i kad se rizik materijalizuje. Potreba za proaktivnošću nametnula je da se sagledavanje rizika sve više integriše i postaje deo “real time” poslovanja kompanije, gde svaka promena, zahteva preispitivanje postojećih rizika i mera.

Usaglašenost sa zakonima je prvi stepen uvođenja procesa upravljanja rizicima i kako sve što je propisano zakonom, može dovesti do rizika plaćanja kazni i penala, kompanije su se po prirodi stvari bavile upoznavanjem i praćenjem zakonske regulative sa ciljem minimiziranja tih rizika. Ali, ključni rizik kojem je svaka kompanija izložena jeste brzina praćenja i sprovođenja promena zakonske regulative.

Sledeći stepen zrelosti upravljanja rizicima u kompaniji je veza rizika sa core biznisom i njegova merljivost. To su  neizvesnosti koje proističu iz promena samog tržišta i konkurencije,  fleksibilnom načinu poslovanja koji može na to da odgovori i brzini odgovora na zahteve klijenata. Podjednako značajno je upravljanje kadrovima,  koja pored kontinuiranih aktivnosti motivisanja zaposlenih  otežanih sveprisutnijem načinu rada zaposlenih „na daljinu“, podrazumeva pronalaženje i novih modela benefita prilagodljiva  potrebama zaposlenih za kvalitetnijim načinom života.

Ono što je potvrdilo vrednost risk analize je početak  digitalnih transformacija kada su kompanije imale izazov da projektuju benefite i opravdanost investicija u rešenja sa kojima se do tada nisu imale iskustva, pa samim tim nisu mogle da očekivane benefite direktno vezuju na merljive finansijske projekcije,  pa je ocena vrednosti rizika („vallue at risk“) u projekciji, bila ključna u donošenju odluka o isplativosti investicije. Kasnijom utilizacijom tog rešenja se postepeno praćenje efekata mapiralo na konkretne realizovane rezultate tog ulaganja, vezujući se  direktno za merljive pokazatelje uspešnosti (KPI). U situaciji gde postoji velika neizvesnost, a direktno mapiranje na finansijske benefite nije moguće, projektovanje uticaja rizika je od velike važnosti. Takve situacije i potrebe za rizikovanjem  su deo naše svakodnevice  i deo su inovativnog razvoja.

Proaktivna risk analiza omogućava da kompanija uvek ima sačuvane rezerve kojima može da na fleksibilniji način i sa što manje gubitaka odgovori u slučaju da se neki rizik materijalizuje. I posledično da se u finansijskom planu projektuju prihodi, a planirani troškovi rasporede u skladu sa realizovanim, umanjenim prihodima.

Zadatak risk menadžera je da uvek ima „širu sliku“ u pristupu risk analize. Da optimizira mere, prepozna one koje rešavaju više rizika i time omogući optimizaciju troškova, da prepozna mesta iz kojih neizvesnost i potencijalni rizici proizilaze, a koji su važni za kompaniju, kao i da osigura primenu standardne metodologije rizika. To sa druge strane dovodi u izazov kompanije kakav profil risk menadžera traže? Osim znanja i iskustva, to podrazumeva više veština,  što u slučaju zapošljavanja neadekvatnih kadrova, može biti najveći rizik.

Izgradnja integriteta , poverenja, podrške su ključne za jednog dobrog risk menadžera u kompaniji.

Nekoliko ključnih saveta za efikasno upravljanje rizicima:

• Uspostavljanje veze rizika sa ciljevima kompanije – time se upravlja rizicima koji proizilaze iz neizvesnosti koje utiču na ostvarenje ciljeva. Uspostavljanjem te veze se onda lakše integriše risk proces u ostalim operativnim procesima kompanije (PMO, procedure, sistemi);
• Fokus na konflktne ciljeve koji nisu po prioritetu i važnosti usaglašeni unutar organizacije. Konfilkti između strategija, potom između organizacionih celina, različitih ciljeva, alokacije resursa, između samih zainteresovanih strana, kao i pojedinaca u kompaniji;
• Povezanost rizika koji može dovesti do toga da materijalizacija rizika jedne oblasti može višestruko povećati efekat i izloženost rizicima iz druge oblasti (domino efekat);
• Pretvaranje pretnji u šanse;
• Svi zaposleni u kompaniji su deo procesa upravljanja rizicima;
• Pre donošenje odluke o tretiranju rizika potrebno je napraviti presek nivoa rizika vs. troškova za rešavanje rizika;
• Troškove mera za tretiranje rizika odnosno ublažavanje efekata, sagledati prilikom izrade budžeta. Time se one posmatraju kao investicija, a pored toga minimiziranje rizika je izvesnije;
• Monitoring mera direktno afektira uspešnost i realizaciju KPI;
• Primena određenih mera u identifikovanom riziku može stvoriti nove rizike, što zahteva da se postojeći rizik modifikuje i preispitaju mere;
• Kontinuirani razvoj risk kulture – treninzi, usavršavanje.

Na kraju, kao zaključak, svi tipovi organizacija se suočavaju sa eksternim i internim faktorima i okolnostima koji dovode do toga da li će u uslovima neizvesnosti ostvariti svoje ciljeve. Upravljanje rizicima je iterativan proces i podrška je kompanijama u definisanju i postavljanju strategije i ostvarivanju ciljeva.

Promena modela poslovanja zahteva i promenu risk metodologije tako da se promenom tradicionalnog modela poslovanja za agilnije metode, preispituju i modeli upravljanja rizicima, radi održivosti stvaranja dodatne vrednosti sa ciljem  stvaranja „data- driven“ risk menadžmenta.

Iako često čujem u razgovoru sa vlasnicima kompanija da poznaju rizike kojima su izloženi, moj odgovor na to je da je to prvi korak, ali da upravljanje rizicima prvenstveno podrazumeva i njihovu merljivost, kao što kaže Piter Drucker „What gets measured, gets managed“.