Smjernice Za Upravljanje Rizicima U Javnom Sektoru FBiH 42 - 22-BOS

Број 42 - Страна 98 СЛУЖБЕНЕ НОВИНЕ ФЕДЕРАЦИЈЕ БиХ Сриједа, 1. 6. 2022.
Rizici procijenjeni u skladu sa ovim Smjernicama bit će od

pomoći i internim revizorima prilikom njihove procjene rizika za
SMJERNICE potrebe planiranja interne revizije. Naime, procjena rizika i
ZA UPRAVLJANJE RIZICIMA U JAVNOM SEKTORU U planiranje interne revizije provodi se u skladu sa Priručnikom za
FEDERACIJI BOSNE I HERCEGOVINE procjenu rizika i planiranje interne revizije u javnom sektoru u
Sarajevo, maj 2022. godine Federaciji BiH, 1 međutim postojeće registre rizika na nivou
Sadržaj organizacije koje sačinjava rukovodstvo interni revizori moraju
1. UVOD uzeti u obzir jer predstavljaju temelj od kojeg se polazi prilikom
Svrha Smjernica identifikovanja rizičnih procesa.
2. VAŽNOST UPRAVLJANJA RIZICIMA Ove Smjernice detaljnije uređuju:
2.1. Šta su rizici i zašto je važno upravljati rizicima - kako organizovati i provoditi upravljanje rizicima u
2.2. Priroda rizika i faze u ciklusu upravljanja rizicima organizaciji;
2.3. Kategorije i potkategorije rizika - koje analize provoditi i na koji način kako bi se utvrdili
2.4 Vremenska dimenzija upravljanja rizikom uzroci rizika, donijele odluke o načinu postupanja po
3. PROVOĐENJE UPRAVLJANJA RIZICIMA U ORGANIZA- rizicima, utvrdili indikatori za praćenje rizika i
CIJI - kako dokumentirati i pratiti proces upravljanja
3.1. Obaveza rukovodioca organizacije rizicima.
3.1.1. Interni akt o provođenju upravljanja rizicima u organizaciji Registar rizika, čija je struktura i metodologija popunjavanja
3.1.2. Pristup elektronskom registru rizika sastavni dio ovih Smjernica je informatizovan u okviru
3.1.3. Izvještavanje o upravljanju rizicima softverskog rješenja za javne interne finansijske kontrole u javnom
3.1.4. Imenovanje osobe zadužene za koordinaciju aktivnosti na sektoru Federacije BiH (Aplikacija PIFC). Pored registra rizika i
upravljanju rizicima svi drugi propisani obrasci koji treba da olakšaju unapređenje
3.2. Obaveza rukovodilaca organizacionih jedinica u organizaciji sistema internih kontrola su objedinjeni u novom softverskom
3.3. Obaveze internih revizora rješenju, što će umnogome olakšati proces upravljanja rizicima u
4. KORACI U UPRAVLJANJU RIZICIMA U ORGANIZACIJI organizacijama u Federaciji BiH.
4.1. Faza 1. Utvrđivanje rizika Objavom ovih smjernica prestaje primjena Smjernica za
4.2. Faza 2: Procjena rizika upravljanje rizicima u javnom sektoru u Federaciji Bosne i
4.3. Faza 3: Odgovori na rizik/mjere Hercegovine ("Službene novine FBiH", broj: 65/18).
5. PREGLEDI/AŽURIRANJE RIZIKA 2. VAŽNOST UPRAVLJANJA RIZICIMA
6. ZAKLJUČAK 2.1. Šta su rizici i zašto je važno upravljati rizicima
1. UVOD Važnost procesa upravljanja rizicima u organizacijama
Svrha Smjernica javnog sektora u Federaciji BiH proizlazi iz definicije finansijskog
Prve Smjernice za upravljanje rizicima u javnom sektoru u upravljanja i kontrole u Zakonu o finansijskom upravljanju i
Federaciji Bosne i Hercegovine koje je Federalno ministarstvo kontroli u javnom sektoru u Federaciji Bosne i Hercegovine (u
finansija objavilo 2018. godine ("Službene novine Federacije daljem tekstu: Zakon o FUK): "Finansijsko upravljanje i kontrola
BiH", broj 65/18), poslužile su kao temelj za uspostavu sistemskog je sveobuhvatan sistem internih kontrola koji uspostavljaju i za
upravljanja rizicima u organizacijama javnog sektora u Federaciji koji su odgovorni rukovodioci korisnika javnih sredstava, a kojim
BiH. Ovim Smjernicama je detaljno razrađena metodologija se upravljajući rizicima osigurava razumno uvjeravanje da će se
procjene i upravljanja rizicima i date upute korisnicima kako da u ostvarivanju ciljeva budžetska i druga sredstva koristiti pravilno,
upravljanje rizicima ugrade u svakodnevni rad i poslovanje, a ekonomično, efikasno i efektivno". 2
Centralna harmonizacijska jedinica Federalnog ministarstva Zakon o FUK definira rizik kao "mogućnost da će se desiti
finansija (u daljem tekstu: CHJ FMF) je u periodu koji je slijedio neki događaj koji može utjecati na ostvarivanje ciljeva
pratila realizaciju navedenih Smjernica i prikupljala povratne organizacije, a karakterizira ga vjerovatnoća dešavanja događaja i
informacije od korisnika kako bi procijenila adekvatnost rezultirajući utjecaj ukoliko se on desi". 3
metodološkog akta i potrebe prakse za ažuriranjem, u skladu sa Rizici su konstantno prisutni u svakodnevnom obavljanju
stepenom provođenja i razvoja procesa upravljanja rizicima kod poslovnih aktivnosti i vršenju dodijeljenih zadataka. Vrlo često se
korisnika. bavimo rizicima i upravljamo njima, a da toga nismo ni svjesni.
Ažurirane Smjernice za upravljanje rizicima u javnom Kada razmišljamo o tome kako ostvariti neki od utvrđenih ciljeva
sektoru u Federaciji BiH (u daljem tekstu Smjernice), nastale su u organizacije, a prevladati ili izbjeći probleme koji predstavljaju
svrhu daljnjeg unapređenja kvalitete upravljanja rizicima u prijetnju tome, mi ustvari upravljamo rizicima. Međutim, takav
organizacijama javnog sektora u Federaciji BiH, a služe kao pristup upravljanju rizicima je ad hoc pristup, jer se ne odvija
operativno uputstvo kako organizovati i provoditi upravljanje sistematično, po utvrđenoj metodologiji na nivou cijele
rizicima, te dokumentirati ovaj proces u organizaciji. organizacije. Naime, upravljanje rizicima je proces koji se odvija
Smjernice su namijenjene rukovodiocima organizacija i kontinuirano, zahtijeva angažovanje što većeg broja učesnika i
rukovodiocima osnovnih organizacionih jedinica u organizaciji, njihovu profesionalnost i odgovornost, kao i primjenu propisane
koji imaju primarnu odgovornost i zadaću u upravljanju rizicima. metodologije. Cilj ovog procesa je realizirati ciljeve organizacije,
Smjernice su također namijenjene osobama zaduženim za a rizike izbjeći, odnosno umanjiti njihov utjecaj, s obzirom da
koordinaciju aktivnosti u uspostavljanju procesa upravljanja najveći broj rizika nije moguće u potpunosti ukloniti. Pored
rizicima, te osobama zaduženim za prikupljanje informacija o navedenog, upravljanje rizicima u javnom sektoru ima za cilj
rizicima po pojedinim organizacionim jedinicama, kao i smanjenje/otklanjanje rizika i posljedica i za građane, kao
koordinatorima za finansijsko upravljanje i kontrolu.
1
"Službene novine Federacije BiH", broj 106/14 3
Član 3. tačka 19) Zakona o FUK
2
Član 3. tačka 6) Zakona o finansijskom upravljanju i kontroli u javnom sektoru u
Federaciji Bosne i Hercegovine ("Službene novine Federacije BiH", broj 38/16)
Сриједа, 1. 6. 2022. СЛУЖБЕНЕ НОВИНЕ ФЕДЕРАЦИЈЕ БиХ Број 42 - Страна 99
korisnike usluga i za poslovanje organizacije u smislu izgubljenih Dakle, kao što prethodna slika pokazuje, upravljanje rizicima
resursa i ostalih nepovoljnih učinaka. treba posmatrati kao kontinuirani ciklični proces koji nikada u
Rizike treba razmatrati isključivo kao buduće događaje potpunosti ne završava iz razloga što su rizici dinamični po svojoj
koji su prijetnja ostvarenju ciljeva, programa ili pružanja prirodi i podložni promjenama kroz vrijeme, a posljednja faza
kvalitetnih usluga građanima, međutim, rizici su također i ponovno prethodi prvoj fazi, jer odgovorno rukovodstvo u
propuštene prilike za poboljšanje poslovanja, prilagođavanje kontinuitetu preispituje postojeće rizike i razmišlja o novima.
promijenjenim okolnostima i očekivanjima građana. Proces upravljanja rizicima po svojoj prirodi nosi određeni
U praksi rizici često ostaju sekundarno pitanje sve dok nivo subjektivnosti zbog različitih pristupa pojedinaca prema
organizacija ne propusti neke prilike ili dok se pod utjecajem rizicima. Upravo zbog toga, a u svrhu objektivnijeg pristupa, u tom
unutrašnjih ili vanjskih faktora ne aktiviraju potencijalni rizici i na je procesu potrebno učešće većeg broja zaposlenih i kvalitetni
vidjelo izađu neriješene slabosti u radu i poslovanju. ulazni podaci sa pratećim analizama kako bi se utvrdili uzroci
Pravovremeno uočiti rizike i poduzeti odgovarajuće mjere rizika, procijenila izloženost riziku, te odredile adekvatne mjere za
znači izbjeći i sve one negativne finansijske učinke koji će se javiti postupanje po rizicima.
za saniranje problema aktiviranih rizika. Rukovodstvo koje ne Analize raspoloživih podataka se provode putem
upravlja rizicima plaća cijenu njihovih posljedica, a u javnom brainstorminga ili nekog drugog vida razmjene informacija u
sektoru krajnju cijenu plaćaju i građani, kao porezni obveznici. organizaciji. Rezultati do kojih se dođe tokom navedene analize se
Zbog toga je neophodno o rizicima razmišljati blagovremeno mogu povezivati sa postojećim podacima ili npr. dokumentima u
i na sistematičan način upravljati njima uz aktivno učešće svih elektronskom obliku u Registru rizika. Analize podataka, raznih
zaposlenih. Pritom ne smijemo zaboraviti bitnu vezu između izvještaja, informacionih sistema, regulative i slično, na primjer
upravljanja rizicima i planiranja – kvalitetnije upravljanje rizicima izračuni za kvantifikaciju utjecaja rizika, mogu se raditi u Excel
podrazumijeva kvalitetnije planove, a time i efikasnije tabelama uz mogućnost povezivanja postojećih podataka ili
ostvarivanje ciljeva organizacije. dokumenata u elektronskom obliku.
2.2. Priroda rizika i faze u ciklusu upravljanja rizicima Faze u procesu upravljanja rizicima, koraci i analize koje je
potrebno provoditi, te dokumentiranje podataka u Registru rizika
Svaki rizik obuhvata tri osnovna elementa: (1) događaj, (2) detaljno su objašnjeni u Poglavlju 4. ovih Smjernica.
vjerovatnoću i (3) utjecaj.
Rizični događaji su budući događaji koji mogu ugroziti 2.3. Kategorije i potkategorije rizika
realizaciju ciljeva (strateških, operativnih, ciljeva programa, Postoje brojne kategorizacije rizika. Preporučena lista
projekata, aktivnosti), dovesti do finansijskih gubitaka ili šteta, kategorija rizika koja je primjenjiva za sve organizacije u javnom
rezultirati zloupotrebom sredstava, neovlaštenim korištenjem ili sektoru u Federaciji BiH je sljedeća:
otuđenjem imovine, dovesti do nezadovoljstva građana i drugih - Strateški rizici – rizici koji mogu značajno utjecati na
zainteresovanih strana (npr. partnerskih organizacija, kreditora) i ostvarivanje strateških ciljeva organizacije, odnosno
slično. dugoročnih i srednjoročnih ciljeva, strateških prioriteta
Vjerovatnoća je vjerovatnoća nastanka ili procjena organizacija, prioriteta pojedinih funkcija ili resora u
mogućnosti da se rizik dogodi. Može se iskazati kvalitativno skladu s odlukama vlada (npr. u području zdravstva,
(opisno) korištenjem skale (gotovo sigurno, vjerovatno, moguće, pravosuđa, stabilnosti javnih finansija i sl.). Strateški
malo vjerovatno, gotovo sigurno se neće dogoditi) i kvantitativno rizici usmjereni su na različite zainteresovane strane
(brojčano) korištenjem procenata ili drugog brojčanog izraza za kao što su npr. kreditori, građani, poslovni subjekti i sl.
iskazivanje mogućnosti pojave rizika (npr. vjerovatnoća je 50% da - Pravni rizici (rizici neusklađenosti) – rizici vezani uz
se rizik dogodi). usklađenost poslovanja sa zakonima i drugom
Utjecaj rizika su posljedice koje mogu nastati ako se rizik regulativom, usklađenost regulative različitih nivoa
ostvari. Utjecaj se može iskazati kvalitativno (opisno) korištenjem vlasti, dosljednost u propisima, preciznost i jasnoću
skale (katastrofalan, velik, umjeren, mali, beznačajan) i propisa, usklađenost domaćeg zakonodavstva sa
kvantificirati (brojčano iskazati), na primjer: procjena finansijskih međunarodnom pravnom praksom, poštivanje
šteta, gubitaka, broj ljudskih žrtava i slično ako se rizik dogodi. standarda (normi) u pružanju usluga i sl.
Upravljanje rizicima je cjelokupan proces koji se sastoji od - Operativni rizici – rizici vezani za provođenje fun-
četiri međusobno povezane faze: (1) utvrđivanje rizika, (2) kcija, procesa i aktivnosti u organizaciji, za kvalitetu
procjena rizika, (3) postupanje po rizicima, (4) praćenje i pruženih usluga i zadovoljstvo krajnjih korisnika,
izvještavanje o rizicima. administrativne postupke i njihovu funkcionalnost,
adekvatnost procedura i rokova, funkcionalnost opre-
me koja se koristi u radu uključujući i IT sisteme,
kvalitetu nabavljenih roba/radova/usluga; sposobnost i
pouzdanost poslovnih partnera (dobavljača),
profesionalizam, etičnost i kompetencije zaposlenih,
zaštitu ljudi, imovine i drugih resursa od gubitaka,
oštećenja, zloupotrebe i sl.
- Finansijski rizici – rizici vezani uz finansijsku sta-
bilnost i likvidnost, te kvalitetu upravljanja prihodima
i rashodima u budžetu/finansijskom planu organizacije.
Pobrojane kategorije se mogu podijeliti u potkategorije.
Ispod su prikazani primjeri nekih rizika potkategorija u
okviru najvažnijih navedenih kategorija, koji se najčešće javljaju u
upravljanju rizicima u javnom sektoru u Federaciji BiH.
Tabela 1. Najvažnije kategorije rizika s potkategorijama 1 2.4 Vremenska dimenzija upravljanja rizikom
Kategorije i potkategorije Opis nekih od primjera rizika koji se vežu uz kategoriju i
rizika potkategoriju rizika Upravljanje rizikom može se posmatrati iz dvije vremenske
Strateški rizici dimenzije.
Makroekonomski Promjene ekonomskih uslova - Kratkoročno: Suočavanje s trenutnim aktivnostima i
Politički Nemogućnost realizacije političkih ciljeva i/ili prioriteta vlada
neposrednom budućnošću do 12 mjeseci;
Finansijska sredstva Nedostatak sredstava za velike kapitalne projekte ili povećane
potrebe određenih funkcija (transport, industrija i sl.) - Dugoročno: Suočavanje s bilo čim dužim od 12
Promjene prioriteta Nemogućnost organizacija da pravovremeno odgovore na mjeseci.
promjene u prioritetima poslovanja i određenim trendovima
koji nisu na vrijeme prepoznati (demografske promjene,
Kratkoročna dimenzija upravljanja rizika odnosi na rizike
promjene u poreznom sistemu, klimatske promjene i koji se mogu javiti u kraćem vremenskom periodu, na primjer
elementarne nepogode -poplave, klizišta, suše; migrantska rizici kvarova dotrajale opreme (u zdravstvu, policiji i slično). Ova
kriza, zdravstvena kriza i sl.)
Konkurentnost Djelovanje konkurenata ili novih učesnika na tržištu,
dimenzija rizika odnosi se i na poduzimanje kratkoročnih mjera
onemogućavanje razvoja konkurencije na domaćem tržištu i (brzih reakcija) na ublažavanje posljedica rizika. Na primjer,
učešća privrednih subjekata na međunarodnom tržištu kratkoročna mjera za rizik zaostataka u rješavanju drugostepenih
Pravni rizici – rizici
neusklađenosti predmeta može biti zapošljavanje osoba na određeno vrijeme da se
Regulatorna usklađenost Zakoni koji se često mijenjaju, nejasni i neprecizni zakoni ubrza rješavanje predmeta i izbjegnu dodatni troškovi sudskih
Etika i integritet Prevara, nezakonite ili neetičke radnje postupaka i presuda na teret budžeta (pri čemu je trošak
Nepridržavanje zakona, propisa i pravila
Pravni sporovi
zapošljavanja na određeno vrijeme manji od troškova sudskih
Kvaliteta proizvoda/usluge Proizvodnja/isporuka proizvoda/usluga koji ne odgovaraju
kvaliteti, ne poštuju se standardi (norme) postupaka i presuda na teret budžeta.) Dugoročna dimenzija
Javna nabavka Nepoštivanje zakonskih odredbi i drugih propisa, upravljanja ovim rizikom može uključiti izmjene i dopune zakona
komplikovanost procedura, kašnjenja postupaka, žalbe,
povećanje troškova, nije ostvarena "vrijednost za novac"
i druge regulative koja zbog nedorečenosti uzrokuje različita
Operativni rizici postupanja i neusklađenost zbog čega dolazi do žalbi i gomilanja
Klijenti (građani) Usluge građanima i drugim stranama loše kvalitete, drugostepenih predmeta.
administrativna opterećenja, kašnjenja u obradi zahtjeva,
neuspjeh u zadovoljavanju potreba klijenata (građana)
Dugoročna dimenzija upravljanja rizicima može uključivati
Efikasnost Neefikasna realizacija poslovnih procesa, propust da se traži i utvrđivanje i procjenu rizika koji se mogu javiti u dužem
maksimalni ishod s istim resursima, puno ručne obrade vremenskom periodu i mjere za njihovo ublažavanje (na primjer
Okoliš
podataka i prijenosa podataka
Okolišni incidenti
rizici vezani uz finansijsku održivost velikih kapitalnih investicija
Oprema Kvar opreme ili loša kvaliteta opreme u javnom sektoru – izgradnja cesta, autocesta, sportskih objekata;
Zdravlje i sigurnost Zdravstveni i sigurnosni incidenti koji štete zaposlenicima rizici vezani uz adekvatnost visine koncesijskih naknada u
IT Kvar IT sistema ili cyber-napad; gubitak podataka, greške i ugovorima o koncesijama sklopljenim na duži vremenski period i
kašnjenja u obradi podataka
Zaposlenici Nemogućnost zapošljavanja ili gubitak kvalificiranog osoblja
slično).
Sigurnost Kršenja sigurnosti na radnom mjestu ili u cijelom poslovnom 3. PROVOĐENJE UPRAVLJANJA RIZICIMA U
prostoru organizacije, ugrožavanje života i imovine
Dobavljači/vanjski partneri Nedostatak pristupa ključnim materijalima, neuspjeh
ORGANIZACIJI
dobavljača da isporuče usluge/robu/ radove na vrijeme u 3.1. Obaveza rukovodioca organizacije
odgovarajućoj količini, kvaliteti i cijeni; pad transportne i
logističke mreže Rukovodilac organizacije odgovoran je za postavljanje i
Tehnologija Razvoj/primjena novih tehnologija ostvarivanje ciljeva organizacije, kao i uspostavljanje efektivnog
Finansijski rizici upravljanja rizicima koji će pomoći u ostvarivanju postavljenih
Kredit Neuspjeh klijenata ili partnera da izvrše plaćanje
Kurs Nestabilnost deviznih kurseva
ciljeva organizacije na čijem je čelu.
Kamatna stopa Promjenjivost kamatnih stopa 3.1.1. Interni akt o provođenju upravljanja rizicima u
Ulaganja Nestabilnost finansijskog tržišta i utjecaj na ulaganja organizaciji
Prihodi Smanjenje prognoziranih prihoda; neefektivno prikupljanje
prihoda S obzirom na važnost upravljanja rizicima u organizaciji,
Lista kategorija rizika bi trebala pomoći da se istaknu faktori bilo bi korisno da se u organizaciji donese interni akt o provođenju
rizika. upravljanja rizicima kojim će se:
Faktori rizika ili pokretači rizika su oni elementi u - zadužiti rukovodioci/zaposleni u organizacionim
poslovanju organizacije, okruženju, tehnologiji i slično koji jedinicama u vezi s upravljanjem rizicima;
uzrokuju pojavu rizičnih događaja. - zadužiti rukovodioci/zaposleni koji imaju pristup
Faktori ili uzroci rizika utvrđuju se postavljanjem pitanja: Registru rizika i obavezni su unositi podatke u Registar
"Zašto može da se dogodi eventualni negativan događaj?". rizika;
Tabela 2. Primjeri faktora ili uzroka rizika - definirati rokovi za izvještavanje o statusu rizika;
Rizik Faktori /pokretači ili uzroci - utvrditi pokazatelji učinka i prihvatljivi nivo rizika gdje
Prihodi od taksi i naknada Takse i naknade plaćaju se nakon što se izda rješenje za je primjenjivo, te
nisu u potpunosti naplaćenilicencu/dozvolu
- zadužiti osoba za koordinaciju aktivnosti na
(nije naplaćeno 20 % Nema sankcija za neplaćanje
prihoda) Pravilnik o uslovima za izdavanje licenci/dozvola ne upravljanju rizicima u organizaciji, ako se procijeni
uslovljava izdavanje rješenja prethodnom uplatom potrebnim.
naknade i takse
3.1.2. Pristup elektronskom registru rizika
Višestruko finansiranje iste Kasno se donose odluke vlade za dodjelu sredstava pa dio
osnove iz grantova (cca 10 korisnika već realizira i finansira aktivnosti iz drugih Rukovodilac organizacije u kojoj postoji elektronski registar
% ukupno isplaćenih izvora (vlastitih sredstava ili budžetskih sredstava sa rizika, odredit će lice/lica u organizaciji koje će imati pristup
grantova) drugih nivoa i sl.) elektronskom registru rizika i obavezu unošenja podataka. Broj
Ne prate se podaci o finansiranju korisnika iz budžeta
drugih nivoa vlasti zaduženih osoba zavisit će od veličine organizacije, broja
zaposlenih, organizacione strukture u organizaciji i iznosa
1
Kategorije rizika i potkategorije daju se kao primjer koji pokriva javni sektor i
komercijalne aktivnosti pravnih lica javnog sektora. Mogu se mijenjati prema
potrebi.
odobrenog budžeta. Pristup elektronskom registru rizika mogu - koordinacija procesa upravljanja rizicima u
imati: organizaciji u skladu sa Smjernicama,
- svi rukovodioci osnovnih organizacionih jedinica; - poticanje kulture upravljanja rizicima i davanje
- rukovodioci unutrašnjih organizacionih jedinica (npr. podrške rukovodiocima/zaposlenim u organizaciji u
odsjeka) gdje se procijeni primjerenim; procesu upravljanja rizicima na nivou njihove
- voditelji programa/velikih kapitalnih investicijskih organizacione jedinice,
projekata; - pratiti da li se registar rizika sačinjava i ažurira u skladu
- interni revizori iz jedinice za internu reviziju koji su s propisanom metodologijom i utvrđenim rokovima,
nadležni za tu organizaciju (sa mogućnošću uvida). - priprema po potrebi izvještaj o statusu najznačajnijih
Upravljanje rizicima se provodi u svim organizacionim rizika za sastanke/kolegij i/ili rukovodioca
jedinicama i odnosi se na sve programske aktivnosti. organizacije,
Na nivou svakog programa treba upravljati rizicima koji - priprema objedinjeni izvještaj o upravljanju rizicima na
mogu utjecati na ostvarenje ciljeva programa, prikupljati podatke nivou organizacije za rukovodioca organizacije.
o utvrđenim rizicima na nivou programa i takve podatke unijeti u Ukoliko je osoba odgovorna za koordinaciju aktivnosti na
registar rizika. upravljanju rizicima u organizaciji ujedno i rukovodilac neke
Ovo je posebno važno kada aktivnosti programa prelaze organizacione jedinice, bit će odgovorna za upravljanje rizicima i
okvire organizacione jedinice (npr. kada je više organizacionih u svojoj organizacionoj jedinici u skladu s tačkom 3.3. ovog
jedinica uključeno u realizaciju određenog programa). Poglavlja.
3.1.3. Izvještavanje o upravljanju rizicima 3.2. Obaveza rukovodilaca organizacionih jedinica u
a) izvještavanje o upravljanju rizicima unutar organizacije organizaciji
Rukovodilac organizacije treba biti blagovremeno Proces upravljanja rizicima (postavljanje ciljeva,
obavještavan o upravljanju rizicima za rizike za koje je procijenjen utvrđivanje i procjena rizika, postupanje po rizicima,
najveći utjecaj na poslovanje organizacije (najznačajniji rizici), praćenje i izvještavanje o rizicima) je odgovornost
naročito kada nivo izloženosti takvim rizicima izlazi izvan rukovodilaca na svim nivoima upravljanja.
prihvatljivog nivoa rizika. Rukovodioci na različitim nivoima upravljanja, u skladu sa
Rukovodilac organizacije propisat će rokove izvještavanja. Zakonom o FUK, te dodijeljenim ovlaštenjima i odgovornostima,
Minimalno, rukovodilac organizacije treba biti obaviješten odgovorni su za ispunjavanje ciljeva u okviru svojih nadležnosti, a
najmanje jednom godišnje o upravljanju rizicima s najvećim time i za upravljanje rizicima koji mogu utjecati na ostvarivanje tih
utjecajem na poslovanje organizacije, a mogu se po potrebi ciljeva.
odrediti i učestaliji intervali izvještavanja o upravljanju rizicima Rukovodilac organizacije utvrđuje odgovornosti nižeg
(mjesečno, kvartalno i sl.). rukovodstva u procesu upravljanja rizicima. U tom smislu,
Izvještaj o najznačajnijim rizicima 1 za rukovodioca rukovodioci organizacionih jedinica su odgovorni za:
organizacije sadrži minimalno podatke o: - utvrđivanje rizika vezanih za ciljeve iz srednjoročnih
- rizicima koji su procijenjeni s najvećim utjecajem na planova, operativnih planova i poslovnih procesa koji
poslovanje organizacije su u nadležnosti organizacione jedinice kojom
- uzrocima najznačajnijih rizika rukovode,
- statusu provođenja mjera za smanjivanje najznačajnijih - analizu uzroka utvrđenih rizika i procjenu vjerovatnoće
rizika nastanka rizika i njihov utjecaj,
- nivou izloženosti rizicima i odstupanja od prihvatljivih - utvrđivanje načina postupanja po rizicima i praćenje
nivoa rizika, gdje je primjenjivo. realizacije predloženih mjera,
Iako se izvještavanje o rizicima za rukovodioca treba vršiti - dokumentiranje podataka o rizicima u registar rizika,
najmanje jednom godišnje, o najznačajnijim rizicima i mjerama za - ažuriranje rizika,
njihovo rješavanje treba redovno razgovarati na kolegiju najvišeg - izvještavanje rukovodioca o statusu rizika u skladu s
upravljačkog nivoa. potrebama i rokovima za izvještavanje.
b) izvještavanje o upravljanju rizicima prema CHJ FMF Rukovodioci organizacionih jedinica u kojima je interna
revizija provela revizije i/ili pružila savjetodavne usluge, prilikom
Organizacije javnog sektora će o upravljanju rizicima ažuriranja podataka u registru rizika, obavezni su uzeti u obzir:
izvještavati CHJ FMF u okviru Godišnjeg izvještaja o - podatke o rizicima iz konačnih revizijskih izvještaja
funkcioniranju sistema finansijskog upravljanja i kontrole koji (utvrđeni rizici, uzroci rizika, nivo izloženosti
korisnici dostavljaju CHJ FMF u skladu sa članom 14. Zakona o rezidualnim rizicima, preporuke/mjere za smanjenje
FUK. rizika, rokovi za provedbu) i
3.1.4. Imenovanje osobe zadužene za koordinaciju aktivnosti - podatke o provedenim revizorskim preporukama
na upravljanju rizicima (provedene mjere/aktivnosti za smanjenje rizika,
Rukovodilac organizacije može imenovati osobu zaduženu procjena izloženosti rizicima nakon provedenih mjera
za koordinaciju aktivnosti na upravljanju rizicima na nivou koja bi trebala biti manja).
organizacije. Za koordinaciju aktivnosti na upravljanju rizicima 3.3. Obaveze internih revizora
može se imenovati koordinator za FUK ili osoba zadužena za Po pitanju rizika, interna revizija ima ulogu da nezavisno i
koordinaciju izrade srednjoročnih i godišnjih planova rada u objektivno procjenjuje adekvatnost i efikasnost procesa
organizaciji ili neka druga osoba koja je kompetentna za upravljanja rizicima, kao i adekvatnost, efikasnost i efektivnost
obavljanje ovih poslova. kontrolnih mehanizama kao odgovora na rizike.
Zadaci osobe zadužene za koordinaciju aktivnosti na Kada sačinjavaju strateške i godišnje planove rada interne
upravljanju rizicima su: revizije, interni revizori ih trebaju temeljiti na procjeni rizika
1
Ukoliko korisnik registar rizika vodi u elektronskoj formi/aplikaciji, izvještaj se
rukovodiocu dostavlja u formi izvoda iz registra koji sadrži navedene podatke.
rukovodstva. Međutim, treba napomenuti da, u odnosu na Polazna osnova za utvrđivanje rizika su ciljevi sadržani u
upravljanje rizicima koje ove Smjernice uređuju, interna revizija strategijama, srednjoročnim i godišnjim planovima rada/poslo-
vrši vlastitu procjenu rizika za potrebe obavljanja internih revizija vanja, zatim budžetskim programima, programima kapitalnih
u organizaciji. investicija i slično. Za utvrđene rizike mora se provesti analiza
Interna revizija u organizacijama u kojima je uspostavljena njihovih uzroka (okolnosti, situacija, problema u poslovanju i
ili u kojima vrši funkciju interne revizije, kod izrade strateških i okruženju koje mogu uzrokovati pojavu rizika).
godišnjih planova rada obavezna je uzeti u obzir podatke o Rizici su najčešće spoj više povezanih uzroka, često
rizicima iz registra rizika organizacije kako prilikom svoje međusobno uslovljenih, a utvrđeni i dobro analizirani uzroci rizika
dodatne, nezavisne procjene cjelokupnog procesa upravljanja omogućit će i bolju procjenu rizika i određivanje mjera za
rizicima u organizaciji, tako i kod vršenja pojedinačnih revizija i rješavanje rizika. Utvrđeni rizici, kratak opis uzroka i posljedica
procjene funkcioniranja sistema internih kontrola, te davanje rizika evidentiraju se u Prilogu 1 ovih smjernica 1, a analize uzroka
preporuka za uspostavljanje ili unapređenje postojećih kontrola, a rizika provode se izvan registra rizika.
u cilju smanjenja utvrđenih rizika. Koraci za provođenje:
Preporuke interne revizije sadržane u revizorskim Korak 1.1. Odaberite cilj/proces/aktivnost/projekt
izvještajima najčešće su usmjerene na jačanje postojećih
kontrolnih mehanizama ili uvođenje novih kontrola, za čije je Prvi korak utvrđivanja rizika je utvrđivanje ili odabiranje
provođenje zadužena upravljačka struktura, zbog čega je veoma procesa, aktivnosti ili projekta za koji se utvrđuju rizici. Aktivnosti
bitna saradnja interne revizije i rukovodstva radi određivanja iz ovog koraka će inicirati rukovodioci organizacionih jedinica uz
sistema i procesa koji sa sobom nose najznačajnije rizike i koje je saradnju sa osobama zaduženim za koordinaciju aktivnosti na
potrebno prioritetno revidirati. Zbog toga se preporučuje učešće upravljanju rizicima. Za određivanje ciljeva, procesa, aktivnosti i
predstavnika interne revizije na sastancima najvišeg upravljačkog projekta mogu se koristiti planski dokumenti i mape poslovnih
nivoa u vezi sa upravljanjem rizicima, što omogućava da je interna procesa.
revizija blagovremeno upoznata o rizicima i trendovima u Korak 1.2. Identifikujte ciljeve
poslovanju koji su od interesa rukovodstvu, te da usmjeri svoje Ciljevi se preuzimaju iz već usvojenih planskih dokumenta
resurse na prioritetna područja i pruži podršku rukovodstvu u kao što su usvojene strategije, srednjoročni i godišnji planovi rada.
procesu upravljanja rizicima. Ciljevi se utvrđuju i za nivo programa iz budžetskih zahtjeva, kao
Interna revizija na taj način pruža podršku rukovodstvu u i programa kapitalnih investicija i slično.
uspostavljanju ili unapređenju procesa upravljanja rizicima, Pored toga, ciljevi se utvrđuju i u odnosu na poslovne
međutim uvijek treba imati u vidu da je rukovodstvo to koje je procese koji se odvijaju u organizaciji. Za utvrđivanje ciljeva na
odgovorno za upravljanje rizicima na nivou organizacije. Iz tog nivou procesa koriste se utvrđeni ciljevi iz opisa i popisa poslovnih
razloga, kada pomažu rukovodstvu pri uspostavljanju ili procesa, odnosno iz mape poslovnih procesa. Za utvrđivanje rizika
unapređenju procesa upravljanja rizikom, interni revizori se mogu koristiti ciljevi iz operativnih planskih dokumenata kao
moraju se suzdržati od preuzimanja bilo kakve rukovodeće što su planovi nabavki, planovi investicijskog održavanja, planovi
odgovornosti za upravljanje rizikom. zapošljavanja, planovi stručnog usavršavanja, programi utroška i
4. KORACI U UPRAVLJANJU RIZICIMA U slično.
ORGANIZACIJI Korak 1.3. Utvrdite rizični događaj
4.1. Faza 1. Utvrđivanje rizika
Nakon što se utvrde ciljevi pojedinih organizacionih jedinica
Utvrđivanje rizika
ili organizacije u cjelini, potrebno je utvrditi rizične događaje koji
mogu ugroziti realizaciju identifikovanih ciljeva. To su događaji
PROCES CILJ RIZIK KATEGORIJA UZROK UTJECAJ/POSLJEDICA
RIZIKA RIZIKA RIZIKA koji mogu: dovesti do finansijskih gubitaka ili štete za
organizaciju; rezultirati zloupotrebom sredstava, neovlaštenim
Kratak opis faze korištenjem ili otuđenjem imovine organizacije; dovesti do
Utvrđivanje rizika uključuje utvrđivanje i opis rizičnog nezadovoljstva građana i drugih korisnika javnih usluga ili
događaja, te analizu uzroka rizika. Rizične događaje treba zainteresovanih strana (partnerskih organizacija, kreditora,
razmatrati kao buduće događaje koji mogu: dobavljača i slično); naštetiti ugledu organizacije i sl.
- ugroziti ostvarenje strateških i/ili operativnih ciljeva, Za utvrđivanje rizika najčešće se koriste dva pristupa:
programa, projekata, aktivnosti; a) pristup odozgo prema dolje, gdje se na najvišem
- izazvati nezadovoljstvo građana i drugih rukovodećem nivou razmatraju strateški, pravni i
zainteresovanih strana (partnerskih organizacija, finansijski rizici koji se onda spuštaju na rizike na
kreditora, dobavljača i slično); nivou operativnih ciljeva.
- dovesti do finansijskih gubitaka ili štete za b) pristup odozdo prema gore, koji uključuje sve zapo-
organizaciju; slenike u organizacionoj jedinici i sve organizacione
- rezultirati zloupotrebom sredstava, neovlaštenim jedinice da bi se utvrdili operativni rizici vezani za
korištenjem ili otuđenjem imovine; njihove godišnje aktivnosti i poslovne procese.
- naštetiti ugledu organizacije i smanjiti povjerenje
javnosti i slično.
1
Navedene podatke potrebno je unijeti i u elektronski registar rizika u aplikaciji
PIFC
Korak 1.4. Opišite rizik – utvrdite uzroke rizičnog događaja
Utvrđene rizike je potrebno opisati. Važno je rizik opisati
precizno kako bi se izbjegle situacije pogrešnog tumačenja ili
nerazumijevanje rizika. Utvrđeni rizici se opisuju uzimajući u
obzir uzroke rizika i potencijalne posljedice rizika, a potencijalne
posljedice rizika su zapravo efekti koje rizični događaj može imati
na realizaciju ciljeva, procesa ili aktivnosti u organizaciji. Kada se
utvrđuju uzroci rizika potrebno je posebno obratiti pažnju na
temeljni/glavni uzrok rizika, jer on pokreće druge uzroke. Opisu
rizika prethodi analiza temeljnog/glavnog uzroka rizika, o čemu će
biti više govora u nastavku.
1.4.1. Identifikacija i analiza temeljnog uzroka rizika
U praksi je poželjna kombinacija ova dva pristupa, jer
olakšava utvrđivanje rizika na nivou cijele organizacije i njenih Na rizik se ne može adekvatno odgovoriti ukoliko se
pojedinih dijelova. Na koji će se način vršiti utvrđivanje rizika prethodno ne utvrdi temeljni uzrok i ne riješi efikasnim kontrolnim
zavisi od specifičnosti organizacione jedinice i strukture cijele mjerama. Zbog toga je potrebno prepoznati i rješavati uzroke
organizacije: rizika. U tu svrhu treba provesti analizu temeljnih uzroka rizika
- Za utvrđivanje rizika treba uzeti u obzir prethodno koja se vrši postavljanjem niza pitanja kako bismo došli do
iskustvo - analizirati i podatke iz prethodnih perioda odgovora zašto se neki rizični događaj može dogoditi, uslijed kojih
najčešće sadržane u raznim izvještajima kao što su okolnosti ili situacija i dr.
izvještaji o realizaciji planskih dokumenata (srednjo- Analiza temeljnog uzroka bavi se "uzrocima uzroka".
ročnih, operativnih i finansijskih planova), izvještaji Cilj je kroz nekoliko koraka doći do temeljnih/glavnih uzroka
interne revizije, izvještaji Ureda za reviziju institucija rizika, koji se mogu posmatrati kao pokretači ostalih uzroka zbog
u Federaciji BiH i druge vrste vanjske revizije, kao i kojih neki rizik može nastati. Važno je da se utvrđivanje uzroka
ostali izvještaji koji mogu biti korisni za utvrđivanje fokusira na glavni razlog zbog kojih mogu nastati rizici, a ne
učestalosti javljanja i utjecaja nepoželjnih događaja; na njihove posljedice. Za to će biti potrebno postavljati niz pitanja
- Za utvrđivanje rizika mogu se koristiti i upitnici. "zašto?" (metoda poznata kao 5x "zašto") da bi se mogli utvrditi
Rukovodioci osnovnih organizacionih jedinica zajedno "uzroci uzroka".
sa svojim zaposlenima mogu pripremiti vlastite Kako provesti analizu uzroka rizika?
upitnike koristeći kategorije rizika i područja koja treba Prikupite podatke. Mora se prikupiti što više podataka o
uzeti u obzir kada se utvrđuju potencijalni rizici, u rizičnim događajima i što ih može uzrokovati, odnosno koje
skladu sa ovim Smjernicama. Prilikom pripreme okolnosti i situacije povećavaju vjerovatnoću pojave rizika. To se
upitnika, rukovodioci mogu koristiti informacije o postiže razgovorima, raspravama i razmjenama ideja, te
problemima i rizicima sa kojima su se već suočavali. konzistentnim postavljanjem pitanja "zašto" se nešto može
Ako se za utvrđivanje rizika koriste upitnici oni se dogoditi kako bi se došlo do glavnih uzroka rizika. Prikupljanje
moraju redovno ažurirati kako bi bilo primjenjivi za podataka zahtijeva učešće većeg broja zaposlenih, koji su
razmatrano područje poslovanja. odgovorni ili učestvuju u realizaciji određenog cilja, kako bi se
- Djelotvoran način razmjene informacija i mišljenja problem sagledao cjelovitije.
među različitim osobama i nivoima organizacije za Grafički/slikovito prikažite uzroke rizičnih događaja.
utvrđivanja rizika može se postići organizacijom Grafički prikaz uzroka rizika pomaže prikazati faktore koje rizik
zajedničkih radionica tzv. "brainstorming". Ovaj se čini vjerovatnijim ili opasnijim. Više prikupljenih i analiziranih
pristup zasniva na činjenici da osobe sa različitim podataka osigurat će kvalitetniju analizu uzroka rizika, a grafički
iskustvom i znanjem pristupaju određenom problemu prikaz u obliku sekvencijalnog dijagrama koji odražava logiku
na drugačiji način. Standardni brainstorming odvija se između uzroka rizika i rizičnog događaj pomaže bolje razumjeti
usmeno i podstiče kreativnost učesnika, ali je rizik i njegove uzroke. Grafički prikaz uzroka rizika započinje sa
neophodno bitna saznanja sa brainstorminga potencijalnim problemom (rizikom) s gornje ili desne strane i
dokumentovati. Pri tome je važno da učesnici analizira uzroke prema dole ili lijevo dok se ne utvrde temeljni
razmatraju rizike u odnosu na zajednički postavljeni uzroci (vidi primjere dolje).
cilj. Preporučuje se da se korištenjem prethodno Mapirajte uzroke sve dok ne bude dovoljno detaljnih
navedenih metoda (analize podataka iz prethodnih podataka da se utvrde temeljni uzroci rizika, koji su pokretači
perioda i upitnici) definiraju najvažniji rizici o kojima drugih uzroka. Lista uzroka rizika može se koristiti za razvoj
će se raspraviti na zajedničkoj radionici. kontrolnih listi, kreiranje preporučenih aktivnosti ili za
uspostavljanje politike za smanjenje efekata rizičnog događaja od
strane rukovodilaca i revizora. Informacije se mogu koristiti za
raspravu o ključnim uzročnim faktorima, odnosima između
glavnih uzroka i ostalih uzroka, te potencijalnim rješenjima.
Budući da su informacije o uzrocima rizika posložene tako da
odgovore na pitanja šta, kako i zašto dovodi do rizičnih događaja,
postaje razumljivije i obrazloženje potrebe njihovog rješavanja.
Primjeri analize uzroka rizika mogućnost preciznog tumačenja uzroka rizika, onda je pouzdanost
visoka. Da bi zaposleni imali ovakvu sposobnost potrebno je da
dobro poznaju organizaciju, nadležnosti, poslovne procese i
ciljeve svoje organizacione jedinice, odnosno organizacije.
Kvalitetna analiza glavnih uzroka osigurat će razumijevanje
uzroka rizika i njihove međusobne povezanosti. Pouzdanost
analize temeljnog uzroka raste kako se utvrđuje više temeljnih
uzroka zbog veće vjerovatnoće identificiranja najznačajnijeg (ili
pravog/pravih) uzroka.
Prednosti analize temeljnog uzroka su velike, jer se može
provoditi na različitim nivoima u različito vrijeme tokom
provođenja aktivnosti. Ona služi da se dodatno utvrde izvori rizika
i poboljša skup opcija dostupnih za ublažavanje ili analizu.
4.2. Faza 2: Procjena rizika
OCJENA REZIDUALNOG
OCJENA INHERENTNOG
RIZIKA
RIZIKA
(uzimajući u obzir
(Rizik ocijenjen u odsustvu
provedene interne kontrole /
bilo kakvih kontrola)
mjere za ublažavanje )
ADEK-
VATNO-
POSTO-
ST
JEĆE
POSTO-
MJERE
0VJEROV JEĆIH VJERO-
UTJECAJ OCJENA ZA UTJECAJ OCJENA
ATNOĆA UKUPNO MJERA VATNO- UKUPNO
(1-5) RIZIKA UBLA- (1-5) RIZIKA
(1-5) ZA ĆA (1-5)
ŽAVANJE
UBLA-
/ KON-
ŽAVANJE
TROLE
/ KONT-
ROLE
Kratak opis faze

Za utvrđene rizike potrebno je izvršiti procjenu utjecaja,
vjerovatnoće nastanka i ukupne izloženosti riziku. Procjena rizika
uključuje:
a) kvalificiranje rizika – rangiranje rizika prema
vjerovatnoći nastanka i utjecaja, odnosno rangu
ukupne izloženosti riziku
b) kvantificiranje rizika – procjena mjerljivih utjecaja
rizika (najčešće to uključuje procjenu finansijskih
učinaka šteta, gubitaka i sl.).
Razlikujemo procjene dvije vrste rizika: inherentnog
rizika i rezidualnog rizika.
Inherentni rizik je rizik sa kojim bi se organizacija suočila
1.4.2. Korištenje rezultata analize uzroka rizika i njena da uopće nema uspostavljenih kontrola. Procjena inherentnog
pouzdanost rizika služi da se pokaže ozbiljnost rizika u slučaju da nema
Analiza glavnih uzroka rizika pomoći će razjasniti okruženje kontrola i kritičnost postojećih kontrola.
rizika i odrediti pristupe za ublažavanje rizika, a pomoći će i Rezidualni rizik je rizik koji preostaje nakon primjene
reviziji internih kontrola i drugih mjera ublažavanja rizika u smislu postojećih kontrola. Nivo izloženosti rezidualnom riziku zavisi o
njihove adekvatnosti. adekvatnosti i funkcionalnosti postojećih kontrola - što su one
Analiza glavnih uzroka je pouzdana onoliko koliko je dobra bolje, to će nivo izloženosti rezidualnom riziku biti manji i
sposobnost zaposlenih da razaznaju stvarne uzročne faktore rizika. obrnuto.
Ako oni znaju i mogu analizirati okruženje rizika i imaju
Rezidualni rizik
Inherentni rizik Adekvatnost
(preostali rizik uz postojeće
Rizik (bez postojanja ikakvih kontrola) Postojeće kontrole postojećih
kontrola)
kontrola
Vjerovatnoća Utjecaj Ukupno Vjerovatnoća Utjecaj Ukupno
1.Prijave za apliciranje
Višestruko finansiranje istih Zadovoljavaju 9
25 (kritičan 2. Kriteriji za dodjelu sredstava
troškova iz transfera 5 5 ća uz potrebu 3 3 (srednji
nivo) 3. Ugovori o dodjeli sredstava sa korisnicima
(izvršenje budžeta) poboljšanja nivo)
4. Kontrole namjenskog trošenja
1. Detaljna specifikacija uslova kvalitete kod
tenderske dokumentacije.
25 Zadovoljavaju 9
Nabavljena roba / radovi loše 2. Evaluacija ponuda po jasnim kriterijima.
5 5 (kritičan ća, uz potrebu 3 3 (srednji
kvalitete (javna nabavka) 3. Ugovor sa dobavljačem – odredbe o
nivo) poboljšanja nivo
uslovima kvalitete, garanciji i povratu novca
za nekvalitetnu isporuku.
1.Prostorni plan kantona
Zadovoljavaju
25 2. Izdavanje dozvola za gradnju sa prethodno 9
ća,
Nelegalna gradnja 5 5 (kritičan prikupljenim mišljenjima i saglasnostima 3 3 (srednji
uz potrebu
nivo) 3. Inspekcijski nadzor gradnje nivo)
poboljšanja
4. Kazne za nelegalnu gradnju
Nezadovoljav
10 ajuća 8
Korištenja službenih 1. Pravilnik o uslovima korištenja službenih
5 2 (srednji ne kontroliše 4 2 (srednji
automobila za privatne svrhe automobila
nivo) se primjena nivo)
Pravilnika
Npr. u slučaju da ne postoje nikakve kontrole kod dodjele Procjena ukupne izloženosti riziku
transfera, postoji visok nivo inherentnog rizika da bi krajnji
korisnici sredstava mogli s istim projektima aplicirati za dodjelu Ukupna izloženost riziku dobije se množenjem
sredstava iz više budžeta i da sa istim troškovima pravdaju procijenjenog nivoa utjecaja rizika i procijenjenog nivoa
korištenje kod različitih izvora finansiranja (federalni budžet, vjerovatnoće nastanka rizika, odnosno predstavlja umnožak ocjena
kantonalni budžet, općinski budžet). Primjeri kontrola koje dodijeljenih procijenjenim nivoima utjecaja i vjerovatnoće rizika.
umanjuju taj rizik (postojeće kontrole) su: prijave za aplikaciju Procjena ukupne izloženosti riziku prikazuje se u obliku
koje traže specifikaciju izvora finansiranja projekta; kriteriji za matrice 5 x 5 kako je prikazano u nastavku:
Matrica rangiranja rizika
dodjelu sredstava koji isključuju mogućnosti višestrukog 5 Nizak Srednji Visok prioritet Kritičan Kritičan
finansiranja istih troškova; ugovori o dodjeli sredstava koji sadrže prioritet prioritet prioritet prioritet
4 Nizak Srednji Visok prioritet Visok prioritet Kritičan
odredbe o ukupnoj vrijednosti projekta, izvorima finansiranja i prioritet prioritet prioritet
iznosima, te specifikacije troškova koji se finansiraju, odredbe o 3 Nizak Srednji Srednji Visok prioritet Visok prioritet
povratu sredstava ako se utvrdi nenamjensko trošenje i slično. Uz Vjer- prioritet prioritet prioritet
ovatnoća 2 Nizak Nizak prioritet Srednji Srednji prioritet Srednji prioritet
uslov da ove kontrole postoje i da su adekvatne, smanjuje se nivo prioritet prioritet
inherentnog rizika, a rizik koji preostaje i uz funkcioniranje 1 Nizak Nizak prioritet Nizak prioritet Nizak prioritet Nizak prioritet
navedenih kontrola predstavlja rezidualni rizik. prioritet
1 2 3 4 5
Procjena utjecaja rizika Utjecaj
Procjena utjecaja obuhvata procjenu eventualnih posljedica Vjerovatnoća i utjecaj ne moraju obavezno imati istu važnost
koje se mogu javiti ako se rizik ostvari i odgovara na pitanje: koje u matrici vjerovatnoća/utjecaj rizika. Pri korištenju ovog alata
su posljedice ako dođe do pojave rizika? vjerovatnoća se može ocijeniti manje važnom od utjecaja (ili
Za procjenu i rangiranje utjecaja koristi se sljedeća skala: posljedice) da bi tako organizacija izrazila svoju zabrinutost zbog
Utjecaj Bodovna Kriteriji/primjeri rizika koji imaju veliki utjecaj. U procjeni rizika veći naglasak
skala treba biti posvećen utjecaju.
Katastrofalan 5 Veliki problem bez oporavka od njega. Značajna šteta Za uspješnu kvalifikaciju rizika se moraju osigurati detaljniji
kredibilitetu organizacije. Potpuni gubitak sposobnosti i pouzdaniji podaci, procijeniti ukupna izloženost riziku i odrediti
ostvarivanja ključnog programa.
prioriteti s obzirom na utjecaj rizika:
Velik 4 Događaj za koji je potrebno veliko prilagođavanje
načina pružanja usluge. Značajan događaj s dugim
- Izvori podataka trebaju biti dovoljno validni da bi se ti
periodom oporavka. Neuspjeh u ispunjenju velike podaci mogli uključiti u procjenu rizika. Detaljniji i
obaveze. pouzdaniji podaci povećavaju šanse da će kvalifikacija
Umjeren 3 Za oporavak od događaja je potrebna saradnja među rizika biti validna.
organizacionim jedinicama. Može izazvati medijsku - Kad se kvalificiraju rizici i kad više rizika ima jednak
pažnju.
stepen utjecaja, među njima se moraju odrediti
Mali 2 Može se riješiti na nivou organizacione jedinice, ali
zahtijeva da se obavijesti najviše rukovodstvo. prioriteti uzimajući u obzir rizike koji su najveća
Kašnjenje u finansiranju ili promjena kriterija neposredna prijetnja i rizike koji će imati utjecaj
finansiranja. Zainteresovana strana ili klijent bi to mnogo kasnije.
primijetili. Glavno pravilo: Procijenite utjecaj i odredite prioritete za
Beznačajan 1 Mogu se rješavati interno. Nema medijske pažnje. djelovanje počevši od najvišeg rizika.
Nema interesa ili postoji upravljivi interes
zainteresovanih strana ili klijenta.
Procjena rizika evidentira se u Prilogu 2 ovih smjernica.
Procjena vjerovatnoće nastanka rizika Koraci za provođenje:
Procjena vjerovatnoće odnosi se na procjenu mogućnosti Korak 2.1. Procijenite inherentni rizik – početna
nastanka rizičnog događaja, odnosno procjenu da se neki rizik procjena rizika
ostvari. Procjenjuje se koliko je vjerovatno da se neki rizik (u Procjena inherentnog rizika služi da se pokaže ozbiljnost
pravilu štetni događaj) ostvari. rizika u slučaju da nema kontrola i kritičnosti postojećih kontrola.
Za procjenu i rangiranje vjerovatnoće koristi se sljedeća Kod procjene inherentnog rizika polazite od pretpostavke da
skala: kontrola uopće nema, odnosno radi se procjena izloženosti riziku
Bodovna
u situaciji odsutnosti kontrola i mjera za ublažavanje rizika.
Vjerovatnoća OPISNI POKAZATELJI Korak 2.2. Utvrdite postojeće mjere za ublažavanje
skala
Očekuje se da će se dogoditi. 80% do 100% ili rizika
Gotovo
sigurno
5 Sigurno će se dogoditi ove fiskalne jednom godišnje Nakon što se procijeni inherentni rizik, utvrđuje se što se sve
godine ili tokom sljedeće tri godine. ili češće u trenutnom poslovanju poduzima, koje mjere i kontrole se
Očekujemo da će se to dogoditi. Bilo 61% do 79% ili
Vjerovatno 4
bi iznenađujuće da se to ne dogodi. jednom u 2 godine
provode da se spriječi konkretan rizik i njegove posljedice. Ovo
Jednako vjerovatno da će se dogoditi podrazumijeva postojanje jasnih internih procedura, uputstava,
Moguće 3 i da neće. Ne očekuje se da će se
40% do 60% ili instrukcija kojima se propisuju zaduženja, odgovornosti, rokovi i
jednom u 3 godine
dogoditi, ali postoji šansa. kontrole koje se provode, postojanje kontrola integriranih u
Malo Ne predviđa se. Nema zabrinutosti 11% do 39% ili informacionim sistemima koji se koriste u poslovanju organizacije
2
vjerovatno da će se to dogoditi. jednom u 5 godina
(na primjer: ISFU, BPMIS, COP, PIMIS) i slično.
Bilo bi iznenađujuće da se to dogodi.
Gotovo
Morala bi se dogoditi kombinacija
0 do 10% ili Korak 2.3. Procijenite adekvatnost postojećih kontrola
sigurno se 1
malo vjerovatnih događaja da bi se to
jednom u 10 Sljedeći korak je procjena adekvatnosti postojećih kontrola.
neće dogoditi godina
moglo dogoditi. Potrebno je procijeniti da li su sadašnje (postojeće) mjere i kontrole
dovoljno adekvatne i funkcionalne u sprečavanju rizika i njegovih
posljedica. U procjeni adekvatnosti kontrola trebaju se uzeti u Tabela 4. Primjer kvantifikacije rizika višestrukog
obzir utvrđeni uzroci rizika i procijeniti da li i kako postojeće finansiranja iste osnove iz transfera
kontrole djeluju na utvrđene uzroke rizika. Dobro provedene Rizik Faktori rizika – uzroci Vjerova Finansijski
analize uzroka rizika omogućit će i lakšu procjenu postojećih tnoća utjecaj
kontrola u smislu njihove adekvatnosti i funkcionalnosti da Višestruko finansiranje iste Finansiranje aktivnosti Gotovo 10 % od ukupno
osnove iz transfera koje su korisnici već sigurno doznačenih
spriječe pojavu rizika, tako da djeluju, odnosno eliminiraju uzroke realizirali i finansirali iz sredstava za već
rizika. drugih izvora finansirane
Korak 2.4. Procijenite rezidualni rizik (budžetskih sredstava sa aktivnosti
Rezidualni rizik je rizik koji preostaje nakon primjene drugih nivoa vlasti) 10 % x
1.500.000 KM*
postojećih kontrola. Procjena rezidualnog rizika ovisi o procjeni
Ukupna procjena 150.000 KM
adekvatnosti i funkcionalnosti postojećih kontrola. Procjena finansijskog utjecaja rizika
rezidualnog rizika, kao i inherentnog, uključuje procjenu utjecaja, (gotovo je sigurno da ćemo
vjerovatnoće i ukupne izloženosti riziku. U procjenu rezidualnog dio troškova platiti
rizika potrebno je uključiti veći broj zaposlenih kako bi se izbjegla korisnicima, a da su oni iste
subjektivna procjena rizika. te troškove naplatili iz
budžeta drugih)
Korak 2.5. Kvantificirajte rizik - procijenite finansijske
efekte visokih rizika *Izračun (iznosi su proizvoljno uzeti za primjer):
Za rizike koji su na osnovu kvalifikacijske analize (procjene Na primjer, ukupna sredstva za transfere na godišnjem nivou
vjerovatnoće i utjecaja) rangirani kao rizici visokog prioriteta u budžetu Ministarstva XY iznose 5.000.000 KM. Prema
rješavanja provodi se i procjena kvantifikacije utjecaja rizika. To prethodnim iskustvima 30% od navedenog iznosa dodijeli se
se najčešće odnosi na procjenu finansijskih šteta i gubitaka, korisnicima koji su već realizirali i finansirali aktivnosti dijelom iz
dodatnih troškova, gubici prihoda i slično ako se rizici aktiviraju, vlastitih sredstava, a dijelom iz budžeta drugih nivoa vlasti. U
a tu svrhu provodi se kvantitativna analiza. okviru 30 % navedenog iznosa, prema prethodno obavljenim
naknadnim kontrolama, proizlazi da 10% troškova koje
2.5.1. Kvantitativna analiza za procjenu utjecaja rizika refundiramo korisnicima, oni iste te troškove već naplate iz
Kvantitativna analiza provodi se postavljanjem pitanja "Šta budžeta drugih nivoa vlasti. Dakle, u ovom proizvoljnom primjeru,
ako se rizik dogodi?" i koristi se za procjenu šansi postizanja možemo zaključiti da je gotovo sigurno da ćemo imati slučajeve
ciljeva sa što manje nepovoljnih učinaka i da se opravdaju dodatna višestrukog finansiranja istog osnova iz transfera (vjerovatnoća je
sredstva koja mogu biti potrebna ako se rizici aktiviraju. gotovo sigurna), a finansijski utjecaj ovog rizika procjenjuje se na
Podaci za kvantitativnu analizu utjecaja rizika uključuju 150.000 KM (10 % od 1.500.000 KM)
podatke o troškovima, prihodima, historijske podatke o prošlim Izračun finansijskog utjecaja:
događajima i bilo kakvu statistiku kojom organizacija raspolaže, a Ukupna sredstava za transfere na godišnjem nivou =
može pomoći u procjeni mjerljivih efekata rizika. Analize se 5.000.000 KM
provode kroz razgovore među zaposlenicima, procjene očekivane 30 % ukupnih sredstava za transfere dodijeli se korisnicima
monetarne vrijednosti, analize više varijanti odluka koje se za već realizirane i finansirane aktivnosti = 5.000.000 KM x 30 %
naslanjaju jedna na drugu (tzv. "stabla odluke"), evaluacije = 1.500.000 KM
programa, izrade scenarij-analiza i slično. 10 % troškova koje smo refundirali korisnicima, oni su iste
Primjeri za kvantificiranje rizika već naplatili iz budžeta drugih nivoa vlasti = 1.500.000 KM x 10
% = 150.000 KM
Tabela 3. Primjer kvantifikacije rizika većih troškova Ovakva procjena rizika argumentovano pokazuje potrebe za
kapitalnog projekta od inicijalno planiranih jačanjem sistema kontrola i prethodnih i naknadnih da bi se ovaj
Faktori rizika – Finansijski
Rizik Vjerovatnoća gotovo siguran rizik izbjegao i njegove finansijske posljedice.
uzroci utjecaj
Penali za
Tabela 5. Primjer kvantifikacije rizika nenaplaćenih prihoda
neiskorištena i naknada
kreditna Rizik Faktori rizika – Vjerovatnoća Finansijski
80%
Kašnjenje u otkupu sredstava 2% uzroci utjecaj
(na osnovu prošlog iskustva
zemljišta za 2 godine (2 mil. KM x Prihodi od taksi i naknada nisu Dio korisnika 80% 5% od ukupnih
i pregleda)
2% godišnje u potpunosti naplaćeni kojima su izdana (na osnovu godišnjih
Kapitalna x 2 godine)= rješenja za prošlih prihoda od
investicija 80.000 KM licence/dozvole iskustva) taksi i naknada
premašuje 70% 2 mil. KM x ne plati naknade i 5% x
početni budžet (prosječni broj odgođenih 2% godišnje takse 5.000.000 KM
Kašnjenje u javnoj
za 10% javnih nabavki i prosječno x 0,5 Ukupna procjena finansijskog 250.000 KM
nabavci šest mjeseci
kašnjenje za projekte godine)= utjecaja rizika (iznos prihoda
izgradnje mostova) 20.000 KM koji nećemo naplatiti – velika
Kašnjenje zbog vjerovatnoća)
50% 2 mil. KM x
klizišta i dodatnih
na osnovu prijašnjeg 5% 4.3. Faza 3: Odgovori na rizik/mjere
radova tri mjeseca i
iskustva 100.000 KM
5% dodatnih troškova MJERE/ODGOVORI ZA UBLAŽAVANJE REZIDUALNOG RIZIKA
VEZA S DRUGIM
Ukupna 200.000 KM VRSTA DODATNE REZUL-
POT- VLAS-
ORGANIZACIONI
REBNI NIK
procjena (10% ODGOVORA MJERE ZA TAT
RESUR- ZADAT-
ROK M JEDINICAMA / PRIORITET
finansijskog početnog NA RIZIK UBLAŽAVANJE MJERE ORGANIZACIJA-
SI KA
MA
utjecaja rizika budžeta)
Kratak opis faze
Cilj upravljanja rizicima je smanjiti vjerovatnoću nastupanja
potencijalnog rizičnog događaja i njegov negativan utjecaj na
ostvarivanje ciljeva organizacije. To se postiže izborom
odgovarajućeg odgovora na rizik.
Postoje četiri načina reagovanja na rizike, odnosno odgovora procedura rada), izmjene i dopune izvještaja, uvođenje novih ili
na rizike. Rizici se mogu: smanjiti (ublažiti), prenijeti, izbjeći i integriranje postojećih baza podataka/evidencija i druge mjere.
prihvatiti. Dodatne mjere trebaju biti usmjerene na uzroke rizika i
Kada postoji nekoliko alternativnih načina kao odgovora na konkretno opisane tako da je razumljivo na koji način će
rizike, ova faza uključuje i analizu za odlučivanje o izboru mjera smanjiti ili riješiti uzroke rizika. Dodatne mjere moraju biti
koje će biti optimalan ili najprikladniji način odgovora. srazmjerne riziku, odnosno ne smiju koštati više od koristi zbog
Smanjivanje/ublažavanje rizika njihovog uvođenja. Kontrolnim mjerama se ne treba usložnjavati i
dodatno komplikovati provođenje internih kontrola tako da uzima
Postupci smanjivanja/ublažavanja rizika smatraju se dosta vremena ili košta puno, a da su koristi od toga male ili
uobičajenim odgovorom na rizike, što znači da se poduzimaju neznatne.
aktivnosti i donose odluke kako bi se smanjila vjerovatnoća Korak 3.2. Navedite izlazni rezultat dodatnih mjera za
nastanka i/ili utjecaj rizika. Aktivnosti koje organizacija poduzima ublažavanja rizika
radi smanjivanja odnosno ublažavanja rizika su kontrolne Ukratko navedite što će biti izlazni rezultat dodatnih mjera
aktivnosti. Svrha ublažavanja rizika je da se omogući nastavak za ublažavanje rizika, odnosno na koji način će se materijalizirati
obavljanja aktivnosti u kojoj se javlja rizik, uz istovremeno provedba mjere (automatizacija kontrola, novi izvještaj,
poduzimanje mjera (kontrola) radi zadržavanja rizika na izmijenjen zakon, vanjska usluga, nabavka funkcionalnije opreme
prihvatljivom nivou. i sl.). Npr. dodatna mjera može biti izmjena ili dopuna odredbe u
Prenošenje rizika nekom zakonu, u prethodnom koraku detaljno ćete opisati sadržaj
Prenošenje rizika podrazumijeva prijenos rizika trećoj strani izmjene zakona, odnosno što se konkretno i kako predlaže
ili dijeljenje rizika s trećom stranom, a karakteristično je za rizike izmijeniti, a u ovom koraku dovoljno je kratko napisati "izmjena
povezane s imovinom ili ljudima. U javnom sektoru se ne zakona" jer to će biti izlazni rezultat predložene mjere.
primjenjuje često, uglavnom su to slučajevi npr. osiguranja Korak 3.3. Procijenite potrebne resurse
imovine od rizika oštećenja (na primjer osiguranje automobila od Važno je procijeniti da li su potrebna dodatna sredstva i
šteta kod osiguravajućih društava ili prenošenje rizika u vezi IT ukoliko jesu, koliko je to sredstava za provođenje novih planiranih
sigurnosti na vanjskog pružaoca IT usluga i sl.). Prenošenje rizika kontrolnih aktivnosti i mjera za ublažavanje rizika. Procjena se
na treću stranu je odluka koju treba donijeti uz prethodno odnosi na ljudske resurse i finansijska sredstava. Potrebno je
razumijevanje prirode takvog rizika, pravilnog odabira partnera uporediti i analizirati iznos dodatnih troškova i korist od uvođenja
(npr. osiguravajuće kuće) koji je najsposobniji njime učinkovito novih kontrolnih mjera kako bi se procijenila opravdanost
upravljati, te analize troškova prenošenja rizika (npr. troškovi uvođenja novih mjera.
premije osiguranja). U slučaju kada obavljanje određenih usluga Korak 3.4. Odredite ko je zadužen za realizaciju mjere
povjerimo trećoj strani (outsourcing) treba naglasiti da, iako je Odredite organizacionu jedinicu i rukovodioca
upravljanje rizikom preneseno, organizacija i dalje ostaje organizacione jedinice zadužene i odgovorne za provođenje mjera.
odgovorna za rizik. Takve se aktivnosti ugovaraju zato što unutar Odgovornost za provođenje kontrolnih aktivnosti i mjera se
organizacije ne postoje potrebna sredstva, vještine i stručnost za utvrđuje internim procedurama ili nekim drugim internim aktom.
upravljanje rizikom. Internim aktom se određuje organizaciona jedinica u kojoj će se
odvijati kontrolne aktivnosti, ali se u isto vrijeme dodjeljuju
Izbjegavanje rizika
odgovornosti svakom radnom mjestu za pojedine kontrolne
Izbjegavanje rizika bi bilo najbolji odgovor na rizik, aktivnosti. Za realizaciju i dosljednu primjenu kontrolnih mjera
međutim najčešće ga nije moguće primijeniti. Neki se rizici mogu odgovoran je rukovodilac osnovne organizacione jedinice.
djelimično ili potpuno izbjeći modifikovanjem ili ukidanjem Korak 3.5. Odredite rok
aktivnosti, odnosno poslovnih procesa. Međutim, to je u javnom Odredite rok za provođenje mjere. Svaka mjera i aktivnost
sektoru ograničeno, jer poslovni procesi i aktivnosti proizlaze iz koja se provodi s ciljem ublažavanja rizika mora imati utvrđen rok
nadležnosti organizacija i utvrđeni su propisima, pravilnicima o ili dinamiku provođenja, a rokovi moraju biti razumni i usklađeni.
unutrašnjoj organizaciji, statutima i dr. Korak 3.6. Navedite povezane sisteme, organizacione
Prihvatanje rizika jedinice
Jedan od odgovora na rizike može biti prihvatanje rizika bez Provođenje mjera za ublažavanje rizika može biti vezana
poduzimanja dodatnih mjera. Dodatne aktivnosti u smislu aktivnost ili uvjetovana sa aktivnostima u drugim poslovnim
kontrolnih mjera se ne poduzimaju kada su njihovi troškovi sistemima i procesima u više organizacionih jedinica u organizaciji
nesrazmjerni u odnosu na moguće koristi. U takvim slučajevima ili izvan organizacije, koje o tome trebaju biti upoznate. U takvim
odgovor može biti prihvatanje postojećeg nivoa rizika pri čemu slučajevima potrebno je u registru rizika navesti povezane procese
organizacija priprema plan aktivnosti za rješavanje efekata koji i sisteme, te organizacione jedinice u čijoj su nadležnosti.
mogu nastati u slučaju ostvarenja rizika. Ovaj vid odgovora na Rukovodilac organizacione jedinice zadužene za provođenje
rizik se primjenjuje u slučajevima kada je ocjena ukupne mjere treba osigurati da su rukovodioci organizacionih jedinica
izloženosti riziku niska. povezanih sa provođenjem mjere na vrijeme upoznati i s njima
Mjere za ublažavanje rizika evidentiraju se u Prilogu 3 ovih koordinirati aktivnosti na realizaciji mjera za ublažavanje rizika.
smjernica. Korak 3.7. Odredite prioritet u smislu hitnosti provedbe
mjere
Koraci za provođenje: Prioritet u smislu hitnosti provedbe mjera određuje se u
Korak 3.1. Utvrdite i opišite dodatne mjere za odnosu na procjenu ukupne izloženosti riziku i u odnosu na ostale
ublažavanje rizika identificirane rizike i procjenu njihove ukupne izloženosti.
Utvrdite dodatne mjere koje će se poduzeti za rješavanje Odgovori na rizike koji su ocijenjeni sa višom ocjenom ukupne
preostalog - rezidualnog rizika. Najčešći odgovor na rizike bit će izloženosti riziku bi u pravilu trebalo da imaju prioritet u odnosu
smanjenje ili ublažavanje rizika što će zahtijevati uvođenje novih na druge rizike.
ili izmjenu postojećih kontrola, nadogradnju ili izmjenu
informacionih sistema, automatizaciju kontrola, donošenje nove ili
izmjenu postojeće regulative (zakona, pravilnika, odluka,
3.7.1 Analiza za odlučivanje
Ukupni Ukupni
Analiza za odlučivanje koristi se kada postoji nekoliko Sce Broj Prosječno troškovi troškovi
Razlika ukupnog
troška za vijek Godišnja razlika
alternativnih načina kao odgovora na rizike i neizvjestan trend nari automo vrijeme u Marka Marka
korištenja ukupnog troška
budućih događaja. Organizacije sa velikim bazama podataka i koje o bila upotrebi A
(u KM)
B
(u KM)
(u KM)
donose odluke s dugoročnim utjecajem na troškove i prihode imaju 227.500 187.500
na raspolaganju klasične analize očekivane monetarne vrijednosti 1 5 70% (5 X (5 X 40.000 8.000
(OMV – eng. EMV Expected Monetary Value). 45.500) 37.500)
Metoda OMV provodi se kroz nekoliko koraka:

Razlika ukupnog
- definirajte problem; Prosječ- Ukupni Ukupni
Razlika
troška za 5 auta
Godišnja
- utvrdite alternativne načine rješavanja koje trebate Sce- Broj
nari automo
no vrije- troškovi troškovi
ukupnog
troška za
Marka A i 4 auta
razlika
razmotriti; me u Marke A Marka B Marka B za vijek
o bila 4 automobila (ušteda)
upotrebi (u KM) (u KM) korištenja
- identificirajte relevantne buduće događaje koji bi se (u KM)
(u KM)
mogli dogoditi i izvan su kontrole donosilaca odluke; 182.000
150.000 32.000 77.500 15.500
(5x45.000) –
- izračunajte očekivanu monetarnu vrijednost za svaku 2 4 80%
(4 X 45.500)
(4 X
37.500)
(182.000-
150.000) (4x37.500)
(77.500 /
5)
alternativu; U ovom hipotetskom primjeru organizacija ima u budžetu
- odaberite alternativu s najboljom očekivanom 100.000 KM za nabavku novih automobila i za taj iznos može
monetarnom vrijednošću. kupiti 5 automobila -Opcija A (jedinična nabavna vrijednost je
Primjer: 20.000 KM) ili 4 automobila -Opcija B (jedinična nabavna
Smanjenje troškova je uvijek jedan od glavnih ciljeva u vrijednost je 25.000 KM).
javnom sektoru. Međutim taj cilj nosi rizik da se kod nabavke nove Ako kupi 4 automobila iz Opcije B umjesto 5 automobila iz
opreme fokusiramo samo na najnižu nabavnu cijenu, ne Opcije A, godišnja ušteda na ukupnim troškovima iznosi 15.500
analizirajući i sagledavajući buduće troškove. Posljedica ovog KM, što pomnoženo sa 5 godina koliko se procjenjuje vijek
rizika može biti da ono što se činilo kao najpovoljnija opcija korištenja automobila daje ukupnu uštedu troškova u iznosu od
(najniža nabavna cijena) na kraju, kada se uzmu u obzir svi budući 77.500 KM.
troškovi bude najskuplja varijanta. Da bi se izbjegao takav rizik ili S obzirom na procijenjenu uštedu ukupnih troškova za vijek
da bi se procijenio utjecaj takvih rizika, organizacije moraju korištenja automobila, iz analize proizlazi da je bolje kupiti 4
prethodno provesti analize dostupnih podataka. automobila iz Opcije B nego 5 automobila iz Opcije A, premda je
Npr. u slučaju nabavke novih automobila organizacije mogu nabavna vrijednost automobila iz Opcije A manja od nabavne
provesti dodatne analize kako bi u okviru uslova nabavke i vrijednosti automobila iz Opcije B.
korištenja automobila propisanih važećim propisima i internim 4.4. Faza 4: Praćenje i izvještavanje o rizicima
aktima, utvrdile optimalne kombinacije kod nabavke automobila, IZVJEŠTAVANJE, PRAĆENJE, PROCJENA REZIDUALNOG PRIHVATLJIVI NIVO
poštujući maksimalno određen broj automobila po korisniku i KONTROLE RIZIKA NAKON PROVOĐENJA
MJERA ZA UBLAŽAVANJE
RIZIKA
maksimalne nabavne cijene po klasama vozila. Organizacije NAP- KO- PREO- OČEKIVANI VJEROVA- UTJE- UKUP- OCJE- MAKSIMUM RIZIKA KOJI
REDAK MEN- STALE DATUM TNOĆA CAJ NO NA JE ORGANIZACIJA
trebaju utvrditi optimalnu kombinaciju automobila za što trebaju (%) TARI AKTIV- ZAVRŠETKA (1-5) (1-5) RIZI- SPREMNA DA PREUZME
I PRO- NOSTI KA
analizirati nabavne cijene, vrijednost vozila nakon proteka vijeka BLEMI
korištenja (vrijednost po kojoj se vozilo može prodati i nakon
proteka vijeka korištenja), godišnje troškove amortizacije, Kratak opis faze
troškove održavanja, troškove dodatnih popravaka, troškove Praćenje i izvještavanje o rizicima uključuje praćenje
osiguranja, odnosno analizirati puni raspon troškova, te rasporede provedbe mjera za smanjenje rizika i praćenje izloženosti
korištenja, učestalost ad hoc putovanja, neiskorišteno vrijeme u riziku. Izloženost riziku može biti smanjena, povećana ili
garaži i slično. nepromijenjena, ovisno o tome da li su mjere adekvatne, da li su
Red.
Automobil provedene i koliko cjelovito, te da li su nastale nove okolnosti koje
br.
Opis Opcija A Opcija B
(u KM) (u KM)
utječu na rizike i traže nove preglede rizika i nove procjene.
1. Jedinična nabavna cijena automobila 20.000 25.000 Ova faza uključuje i praćenje stanja i trendova izloženosti
Preostala vrijednost automobila nakon proteka vijeka korištenja riziku u odnosu na nivo prihvatljivog rizika za funkcije i
2.
(prodajna vrijednost automobila nakon vijeka korištenja) 2.500 5.000
Godišnji trošak amortizacije
procese za koje su prethodno uspostavljeni pokazatelji učinka,
3. njihove ciljane vrijednosti i rasponi vrijednosti te odstupanja koja
(linearna metoda - stopa amortizacije 20 % X nabavna vrijednost) 4.000 5.000
4.
Godišnji trošak održavanja jesu ili nisu prihvatljiva. Izvještavanje o rizicima uključuje
(procjena) 3.000 1.000
Godišnji troškovi popravaka izvještavanje o provedenim mjerama i statusu izloženosti riziku
5.
(procjena) 2.000 2.000 koje se priprema za rukovodstvo. Izvještaj o rizicima može biti
6.
Godišnji trošak osiguranja
(procjena) 1.000 1.000
sastavni dio redovnih kolegija rukovodstva. Određivanje
Godišnje pokriće troškova iz osiguranje prihvatljivog nivoa rizika predstavlja određivanje prihvatljivih
7.
(procjena) -400 - 500 vrijednosti i/ili raspona odstupanja od postavljenih ili ciljanih
Ukupni godišnji trošak
8.
(red. br. 3+4+5+6-7) 9.600 8.500
vrijednosti pokazatelja učinka.
Ukupni troškovi za vijek korištenja Praćenje rizika evidentira se u Prilogu 4 ovih smjernica.
9.
(red.br.8 X 5 godina) 48.000 42.500
Ukupni troškovi za vijek korištenja umanjeni za prodajnu Koraci za provođenje:
10. vrijednost nakon proteka vijeka korištenja
(red.br. 9 – 2 ) 45.500 37.500
Korak 4.1. Procijenite napredak aktivnosti na ublaža-
Razlika u ukupnim troškovima umanjenim za prodajnu vrijednost vanju rizika
11.
(45.500 KM – 37.500 KM) 8.000 Prvi korak je procjena postotka realizacije mjere planirane za
ublažavanje rizika (npr. 100 % za mjeru koja je u potpunosti
provedena) u vrijeme izrade izvještaja i njen utjecaj na smanjenje
rizika.
Procjenu realizacije mjere provodi organizaciona jedinica Registar rizika omogućava korisnicima da prate vrijednosti
zadužena za provedbu mjere na način da utvrđuje da li se mjera pokazatelja učinka i uspoređuju ih sa prihvatljivim nivoima rizika.
provela u cijelosti (100 %) ili parcijalno i u kojem procentu od Praćenje prihvatljivih nivoa rizika korisno je i za izvještavanje o
ukupno planirane realizacije. uspješnosti upravljanja rizicima.
Korak 4.2. Navedite komentare i obrazložite probleme u Primjeri pokazatelja učinka i rasponi prihvatljivog nivoa
realizaciji mjera rizika mogu se odrediti npr. za sljedeća područja:
Za mjere koje nisu provedene u cijelosti ili čije provođenje (1) planiranje i izvršavanje rashoda za plaće
kasni, potrebno je navesti i obrazložiti razloge neprovođenja ili (2) upravljanje potraživanjima i zalihama
kašnjenja u provođenju. (3) pravovremenost transfera
Korak 4.3. Navedite preostale aktivnosti (4) vremenski raspored i pokriće obaveza (obračunati
Navesti i opisati koje su preostale aktivnosti za provođenje rashodi) u odnosu na isplate.
mjera za ublažavanje ili smanjivanje rizika. Tabela 6. Primjeri ključnih pokazatelja učinka:
Korak 4.4. Navedite očekivani datum završetka Ključni
Navesti očekivani datum završetka za preostale aktivnosti, pokazatelj Formula: Tumačenje
učinka - KPU
odnosno datum do kada se planiraju završiti mjere s čijim se
Plaće i lični Postotak prvobitno Osigurati planiranje rashoda za
provođenjem kasni. Ako se radi o mjerama koje je potrebno troškovi odobrenog zaposlene u skladu sa stvarnim
provoditi kontinuirano, to je potrebno navesti. budžeta/prijavljenih potrebama, spriječiti prenamjene
Korak 4.5. Procijenite rezidualni rizik nakon provođenja rashoda sredstva planiranih na plaćama na
mjera za ublažavanje rizika druge kategorije rashoda.
Procijeniti rezidualni rizik (vjerovatnoću, utjecaj, ukupnu Efikasnost Obaveze prema Održavanje optimalnog nivoa zaliha,
upravljanja dobavljačima, sprječavanje zaostalih potraživanja i
izloženost riziku) nakon što su provedene mjere za ublažavanje gotovinom potraživanja ograničavanje potraživanja.
rizika. Ukoliko su mjere bile adekvatne i provedene u potpunosti, Pravovremenost Kvartalna Osiguravanje nesmetanog obavljanja
ukupna izloženost riziku trebala bi biti niža. transfera plaćanja/godišnji javnih usluga.
Korak 4.6. Usporedite sa nivoom rizika koje je budžetirani prijenosi
organizacija spremna prihvatiti Pravovremeno Tromjesečni novčani Obaveze i obračunati rashodi moraju
Prihvatljivi nivo rizika je nivo rizika kojeg rukovodstvo izvršavanje odljev/obaveze biti plaćeni unutar budžetske godine.
obaveza (obračunati rashodi)
može i spremno je prihvatiti. Prihvatljiv nivo rizika određuje se
za aktivnosti i procese za koje su prethodno uspostavljeni mjerljivi Primjer 1: Prihvatljivi nivo rizika za rashode za zaposlene
pokazatelji učinka i njihove ciljane vrijednosti ili rasponi Npr. pokazatelj odstupanja izvršenja rashoda za zaposlene u
vrijednosti. Rezidualni rizik nakon provođenja mjera za odnosu na originalni plan ne bi trebao biti veći/manji (+/-) 5% u
ublažavanje rizika je potrebno uporediti sa ranije utvrđenim odnosu na prvobitno usvojeni budžet za plaće. Prihvatljivi nivo
prihvatljivim nivoom rizika. Na taj način utvrđujemo efikasnost rizika je odstupanje za dodatnih +/- 1% u opravdanim slučajevima,
utvrđenih i provedenih mjera. a sve što izlazi izvan tog okvira smatra se neprihvatljivim rizikom.
Primjer 2: Prihvatljivi nivo rizika za pravovremenost
4.6.1. Određivanje prihvatljivog nivoa rizika i praćenje realizacije rashoda za transfere
pokazatelja učinaka Npr. korisnik postavlja cilj da se 90% ukupnih rashoda za
Određivanje prihvatljivog nivoa rizika predstavlja određi- kapitalne transfere izvrši u prva tri kvartala godine, a preostalih
vanje prihvatljivih raspona odstupanja od postavljenih ili ciljanih 10% u zadnjem kvartalu godine. Prihvatljivi nivo rizika je (+/-) 5%
vrijednosti pokazatelja učinka. Rukovodioci organizacionih odstupanja od ciljanog postotka od 10% izvršenja kapitalnih
jedinica i zaposlenici trebaju usaglasiti i razumjeti odabrane transfera u zadnjem kvartalu godine.
pokazatelje učinka, utvrđene raspone prihvatljivih odstupanja i Praćenje vrijednosti obaveznih pokazatelja učinka i
njihov značaj kako bi se omogućilo brzo korektivno djelovanje. uspoređivanje sa prihvatljivim nivoom rizika podržava kvalitetniju
Konačnu potvrdu i saglasnost na odabrane pokazatelje učinka i pripremu i izvršavanje budžeta, pruža osnovu za poređenja,
predložene raspone prihvatljivih odstupanja rukovodioci osnovnih kontinuirano nadgledanje poslovanja, omogućava pravovremeno
organizacionih jedinica trebaju dobiti od strane rukovodioca utvrđivanje odstupanja i poduzimanje korektivnih radnji.
organizacije. Korisnici za svoje specifične funkcije i procese mogu
Pokazatelji učinka trebaju se temeljiti na poslovnim odrediti i posebne pokazatelje učinka po istoj metodologiji
ciljevima i planovima. Svaki pokazatelj treba imati jasan cilj, odnosno prema sljedećim koracima:
odnosno razlog zašto je odabran i u koju svrhu se koristi. Treba 1. uspostaviti/definirati posebne pokazatelje;
odrediti metode za izračunavanje, mjerenje ili posmatranje 2. odrediti pravila za prikupljanje i procjenu podataka i
vrijednosti svakog pokazatelja i izvora podataka na osnovu kojih 3. odrediti ciljane vrijednosti pokazatelja i prihvatljive
se izračunava. Svaki pokazatelj treba imati unaprijed određene raspone (toleranciju rizika ili prihvatljivi nivo rizika).
projekcije vrijednosti ili raspona vrijednosti na koje se cilja, zadane 5. PREGLEDI/AŽURIRANJE RIZIKA
kriterije za upozorenja kada vrijednosti izlaze iz okvira
prihvatljivih i postupak koji slijedi kada se upozorenja aktiviraju i Ključno za svaki kvalitetan pregled rizika je da se
ukazuju da se problem razvija. Odstupanja izvan zadanih kriterija prihvati da se radi o sveobuhvatnom ispitivanju, a ne pregledu
(ciljanih ili prihvatljivih vrijednosti) mogu se u izvještajima pojedinog izolovanog rizičnog događaja. Cilj pregleda rizika
označiti uz pomoć boja, na primjer crvena za područja visokog je ponovna evaluacija okruženja rizika, rizičnih događaja i
rizika, žuta za područja srednjeg rizika, a zelena za područja niskog njihove relativne vjerojatnoće i utjecaja.
rizika kako bi se bolje signalizirala ozbiljnost problema. Pregledi rizika se provode u redovnim intervalima, ali i kada
Procjena rizika i praćenje pokazatelja učinka pružaju se planiraju promjene ili se promjene dogode. Promjene u
informacije za pokretanje aktivnosti na ispravljanju potencijalnih poslovanju ili u okruženju u kojem se poslovanje organizacija
problema. Rano bavljenje problemima omogućava rukovodiocu odvija ne moraju biti dramatične, već samo dovoljne za promjenu
da poduzme mjere kako bi spriječio neuspjeh ili barem ublažio klime u kojoj se događaju rizici. Što se tiče redovnih intervala oni
rizik. su vezani uz redovan ciklus izvještavanja o rizicima, što može
zavisiti i o rasporedu provođenja i obimu aktivnosti/projekata.
Pregledi rizika najčešće uključuju provođenje sastanka rezultatima analize dosadašnjih mjera/odgovora na rizike, treba
unutar organizacije sa rukovodstvom i zaposlenicima, a po potrebi predložiti nove ili modificirati postojeće, te ažurirati ili izraditi
i sa vanjskim zainteresovanim stranama vezanim za rizik (kao što nove planove za provođenje.
su banke i druge kreditne organizacije, dobavljači/izvođači Korak 5.4. Izvijestite o ažuriranom statusu rizika
kapitalnih investicija/projekata, donatori sredstava i slično). Informacije o novootkrivenim rizicima moraju se prenijeti
Promjene u okruženju i poslovanju organizacija su stalne, pa odgovornim osobama koje po tome trebaju donijeti odluke i unijeti
pregledi rizika služe da organizacije pregledaju rizike u svjetlu podatke u registar rizika. Informacije o novootkrivenim rizicima i
novih informacija, promjena u okruženju i proteka vremena u ažuriranom statusu ranije utvrđenih rizika moraju se prenijeti
kojem su se promijenili uslovi u odnosu na koje su rizici početno onima kojima su potrebne i koji ih mogu primijeniti, kako bi se
procijenjeni. promijenili prioriteti i načini odgovora na rizike. Oni koji su
Pregledi rizika provode se i nakon provedenih internih odgovorni za provođenje trebaju biti svjesni onoga što je planirano
revizija i izrađenih finalnih revizijskih izvještaja u kojima su i kako se promijenio pristup rizicima zbog nastalih promjena ili
sadržane informacije o rizicima, procjeni izloženosti rizicima, te promjena koje će tek uslijediti.
preporuke i prijedlozi mjera za smanjivanje rizika. Pouzdanost pregleda rizika
Pregledi rizika pomažu organizacijama kod:
- donošenja odluka o novim planovima, jer daju Pouzdanost pregleda rizika zavisi od pouzdanosti
smjernice koje su odluke kod prethodnih planova bile cjelokupnog procesa upravljanja rizikom i bit će visoka samo ako
efektivne; se primjenjuje konzistentno. Ako se pregledi provode u redovnim
- procjene adekvatnosti postojećih odgovora na rizike i intervalima i ako se provode konzistentno kako se promjene
utvrđivanja novih prikladnijih za nove okolnosti i dešavaju ili planiraju, tada će njihova pouzdanost biti visoka. Ako
buduće aktivnosti i se, međutim, provode ad hoc, tada će postojati značajno niži nivo
- analiza i donošenja odluka o preraspodjeli finansijskih pouzdanosti.
sredstava, izradi srednjoročnih projekcija Pregledi rizika zasnivaju se na mnogo većem skupu podataka
budžeta/finansijskog plana i slično. nego što je to slučaj sa početnim ili izvornim procjenama rizika, a
Pregledi rizika polaze od ranije utvrđenih lista rizičnih rukovodstvu i zaposlenicima je proces poznatiji pa su time
događaja, procjene vjerovatnoće i utjecaja. Rezultat pregleda osigurani i određeni preduslovi za kvalitetnije podatke. Također,
rizika su ažurirani podaci o rizicima, uključujući sve promjene što je izvorna analiza rizika detaljnija, to će na kraju biti i obimniji
rizičnih događaja, promjene u procjeni vjerovatnoće i utjecaja, te pregled rizika.
odgovora na rizike. 6. ZAKLJUČAK
Koraci za provođenje: Da bi upravljanje rizicima bilo efikasan alat za organizacije
Koraci u pregledu rizika u najvećoj mjeri predstavljaju javnog sektora, ono ne smije biti svedeno na ad hoc razmišljanje o
proces upravljanja rizikom smanjenog obima i uključuju ponovnu pojedinim rizicima u povremenim situacijama, već treba biti
identifikaciju rizika, ponovno kvalificiranje i kvantificiranje, te "podignuto" na nivo cijele organizacije i obuhvatati sve
ponovnu procjenu odgovora na rizike. organizacione jedinice. Upravljanje rizicima je kontinuirani proces
Korak 5.1. Identificirajte rizike koji se kroz faze stalno razvija i unaprjeđuje i kao takav treba biti
Ponovno identificirajte rizike pomoću "brainstorminga" sastavni dio rada i poslovanja organizacije. Zbog toga je
razmjene ideja među rukovodstvom i zaposlenicima, te na osnovu neophodan jedinstveni sistematski pristup njegovom razvoju, kako
dosadašnjih iskustava, analize relevantne dokumentacije i slično. na nivou cijelog javnog sektora u Federaciji BiH tako i na nivou
Pregled rizika može uključivati i evaluaciju efektivnosti izvornog pojedinačnog korisnika. Cilj je da se na osnovu jedinstvenog
procesa za identifikaciju rizika. metodološkog akta i prateće aplikacije PIFC razvije kultura
Korak 5.2. Procijenite rizike upravljanja rizicima kod korisnika i poveća stepen kvalitete
- Kvalificirajte rizike. Procijenite vjerovatnoću i utjecaj planiranja i donošenja odluka u organizaciji i unaprijedi
za svaki novootkriveni rizični događaj, kao i za rizike ostvarivanje ciljeva organizacije.
utvrđene u prethodnim pregledima ili tokom izvornog Upravljanje rizicima za korisnike jeste zakonska obaveza, ali
postupka identifikacije rizika. Pregled rizika može je istovremeno i koristan alat, za koji je neophodno adekvatno
uključivati i evaluaciju efektivnosti kvalificiranja radno okruženje i stjecanje i razvoj vještina za upravljanje rizicima
rizika u prethodnim postupcima. kod rukovodilaca i zaposlenih, kao i kontinuirana komunikacija o
- Kvantificirajte rizike. Za visokorangirane novootkri- rizicima u organizaciji. Za razumijevanje značaja upravljanja
vene rizike procijenite njihov potencijalni finansijski rizicima treba shvatiti nužnost korelacije sa ostalim segmentima
utjecaj. Takve će informacije pomoći za planiranje COSO: upravljanje rizicima u organizaciji se nadovezuje na
finansijskih sredstava za nepredviđene okolnosti, te za razvijeno kontrolno okruženje i postojeće mape poslovnih procesa,
planiranje sredstava za provođenje mjera/odgovora da a produkt dobrog upravljanja rizicima vidljiv je u poboljšanim
se rizici smanje. Kod pregleda rizika, ako se utvrdi kontrolnim aktivnostima. S druge strane, njegova veza sa
potreba, može se pregledati i validnost kvantifikacije segmentom informacija i komunikacija ogleda se u potrebi za
visokorangiranih rizika utvrđenih i kvantificiranih u stalnom formalnom i neformalnom razmjenom informacija o
prethodnim postupcima. rizicima, a sve je u konačnici predmet preispitivanja interne
Korak 5.3. Procijenite dosadašnje odgovore na rizik i revizije i drugih oblika procjene i praćenja koji pokazuju da li se
odredite nove kada je potrebno kod korisnika proces upravljanja rizicima odvija na sistematičan i
Ovo je najobimniji korak u pregledu rizika, jer uključuje produktivan način.
analizu i ispitivanje svakog dosadašnjeg odgovora na rizik koji je Broj 10-45-1-3524/22
identificiran u prethodnom periodu i utvrđivanje nivoa uspjeha, 20. maja 2022. godine Ministrica
potencijala za budući uspjeh i bilo kakvih posljedica povezanih s Sarajevo Jelka Milićević, s. r.
provođenjem odgovora, odnosno mjera za rizik. U skladu s

Smjernice Za Upravljanje Rizicima U Javnom Sektoru FBiH 42 - 22-BOS

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Smjernice Za Upravljanje Rizicima U Javnom Sektoru FBiH 42 - 22-BOS

Uploaded by

Copyright:

Available Formats

Број 42 - Страна 98 СЛУЖБЕНЕ НОВИНЕ ФЕДЕРАЦИЈЕ БиХ Сриједа, 1. 6. 2022.

Rizici procijenjeni u skladu sa ovim Smjernicama bit će od

Kratak opis faze

Metoda OMV provodi se kroz nekoliko koraka:

You might also like