Pot do registra tveganj, ki odraža kar se da realno stanje tveganj, je dolga in zahtevna. Običajno pa se začne z zavedanjem o prisotnosti tveganj in njihovem možnem vplivu na poslovni izid, ali pa je povod zanjo neprijeten dogodek, ki je pustil občutne posledice na poslovanju, kot se je zgodilo v primeru pandemije covid-19.
Seveda se na tej poti odvijajo bolj ali manj tipični uvodni koraki v proces upravljanja tveganj. Sprejme se politika, ki na višji ravni formalizira vse aspekte upravljanja tveganj in zagotavlja podlago za nadaljnje aktivnosti. Zatem sledijo koraki, ko so oblikovanje in sprejetje metodologije izvajanja posameznih faz, dokumentiranje obsega, dodeljevanje in dopolnjevanje pooblastil in opisov nalog akterjev, začetno izobraževanje, izvajanje prepoznave, ovrednotenja in razvrščanja tveganj ter priprava dokumentiranega seznama tveganj, ki mu radi rečemo register tveganj.
Kako dolgo je register tveganj uporaben?
Register tveganj vsebuje koristne podatke, ki so rezultat prej opisane poti in predstavlja pomemben mejnik na njej. Za marsikatero organizacijo je ustrezno in pregledno urejen register tveganj tudi končni cilj, saj je razlog, da ima ta močan občutek varnosti. Pomislite: imate popoln seznam tveganj, tveganja so ocenjena in kategorizirana, da je vsem takoj vidno, katera izmed njih so najbolj nevarna, če se uresničijo. Ocene tveganja imate tudi označene s prav lepo izbranimi barvami. Vodstvo je na videz zadovoljno, saj ste mu pripravili dvainštirideset strani dolgo poročilo in prav nihče izmed njih ni imel pripomb. Krasno, mar ne?
Ali je register tveganj v tej fazi zares uporaben ali ne, je seveda drugo vprašanje. Če ga pustite takšnega, kot je, je uporaben verjetno le kratko obdobje, in še to v primeru, da se poslovno ni kaj bistveno spremenilo.
V časih, ko so hitre spremembe postale edina stalnica, pa je eno leto star register tveganj najbrž vreden zelo malo. Dobre prakse upravljanja tveganj in praktično vsi standardi namreč zagovarjajo načelo, da je treba izvajati redne in izredne preglede naših tveganj.
Kdaj pogosto moramo register tveganj pregledovati in posodabljati?
Pogostost rednega pregledovanja si praviloma določimo sami glede na specifike poslovanja. Pri tem upoštevamo branžo, v kateri smo, poslovno in družbeno okolje, v katero smo vpeti in vse druge faktorje, ki bi lahko imeli vpliv na ‘zastaranje’ naših informacij o prepoznanih tveganjih.
V praksi se veliko organizacij odloči, da bodo tveganja pregledovali enkrat letno. Za nekatere je to najbrž čisto prava odločitev, za druge pa je enoletno obdobje pregledovanja lahko absolutno predolgo.
Bolj zanimiva je zahteva po izrednem pregledovanju registra tveganj. V katerih primerih bi morali izvesti izreden pregled? Dobra praksa pravi nekako takole: tveganja moramo pregledati ob večji spremembi obsega ali oblike poslovanja, poslovnega okolja, predpisov, ob večjih neželenih dogodkih (tveganjih, ki so se uresničila ali so se skoraj uresničila) in ob drugih situacijah, ki bi lahko spremenile našo sliko tveganj.
Primeri vzrokov za izredni pregled registra tveganj
Naj naštejem nekaj tipičnih primerov, ko je tveganja potrebno vzeti pod drobnogled.
Spremembe obsega organizacije
Poslovni svet je že nekaj časa precej dinamičen; družbe se združujejo in razdružujejo. V primeru, ko se širimo, na primer pripojimo družbo, se nam lahko poveča tudi obseg tveganj. Z novimi ljudmi, lokacijami, procesi in izdelki običajno pridejo tudi nova in pogosto nepoznana tveganja. Zato je pregled registra tveganj eden pomembnejših korakov, v veliko primerih že v času planiranja spremembe obsega.
Spremembe v delovanju
Ob uvajanju novih izdelkov ali storitev, ob uvajanju novih procesov in postopkov, ob zagonu novih projektov, ob vstopu na nove trge ali ob pojavu konkurence, se moramo pravi čas vprašati, katera nova tveganja bodo prišla s temi spremembami.
Spremembe zakonodaje
Na zakonodajo neposredno ne moremo vplivati. Večje spremembe v zakonih so verjetno napovedane pravočasno, kakšna se pa lahko zgodi tudi ‘čez noč’. Izkušnje nam povedo, da tudi dolgo napovedane spremembe v zakonih lahko predstavljajo ‘presenečenje’, ko pridejo v veljavo. Ljudje smo namreč nagnjeni k prelaganju obveznosti, dokler niso dovolj blizu roka izvedbe.
Primeri sprememb v zakonodaji, ki so bistveno vplivale na register tveganj velikega števila podjetij, so:
• Sprememba davka na dodano vrednost, kjer je bilo nekaj neznank na področju finančnih tveganj zaradi obsežnosti in prepletenosti vplivov
• Uveljavitev Splošne uredbe EU o varstvu podatkov (GDPR), kjer so se pojavila številna nova tveganja v zvezi z obdelavo osebnih podatkov
• Sprejetje zakonov in predpisov s področja kritične infrastrukture, ki nekaterim organizacijam nalagajo nove odgovornosti in s tem vpeljujejo nova tveganja, o katerih smo pisali tule.
Pojav pandemije
Nedavni pojav pandemije je vplival na poslovanje domala v vseh kotičkih sveta in ima še danes izredno močne posledice na večino organizacij. Udejanjila so se nova tveganja, ki si jih morda ob prejšnjem rednem pregledovanju registra tveganj nismo mogli niti predstavljati.
Ta izredna situacija vsekakor narekuje izreden pregled registra tveganj. Potrebno je razmišljati o novih in skoraj nepredstavljivih tveganjih, kot so nerazpoložljivost osebja zaradi obvezne karantene, pomanjkanje osebja zaradi nedelujočega javnega prometa, tudi o črnih scenarijih, kot je izguba osebja zaradi smrti.
Nova tveganja zahtevajo tudi povsem nove ukrepe, s katerimi velikokrat nimamo nobenih izkušenj, kot so nabava zaščitne opreme, reorganizacija poslovnih prostorov, uvedba dela na daljavo in podobni.
Namen pregleda registra tveganj
Glavni cilji pregleda tveganj so:
• Ugotovitev, katera obstoječa tveganja so nespremenjena.
• Ugotovitev, katera obstoječa tveganja so se spremenila in jih je potrebno ponovno ovrednotiti.
• Prepoznavanje novih tveganj, torej tistih, ki jih v registru nimamo, a so glede na nove okoliščine relevantna. Tudi ta tveganja moramo pripeljati skozi celoten proces ovrednotenja in razvrščanja, da dobijo svoje ustrezno mesto v registru.
• Odstranitev tveganj, ki morda niso več relevantna.
• Vsem novim in nesprejemljivim spremenjenim tveganjem zmanjšati vpliv na sprejemljivo raven ali kako drugače ukrepati.
Spremljanje tveganj v realnem času
Register tveganj je najbolj uporaben takrat, ko vsebuje tekoče in ažurne podatke o tveganjih in ko vsa tveganja ves čas budno spremljate. Vse pričakovane spremembe se v zelo kratkem času odrazijo na registru tveganj. Informacije o tveganjih so žive, lahko rečemo, da tveganja spremljamo v realnem času.
To zmanjšuje potrebo po periodičnih pregledih, saj skoraj vse spremembe ujamemo sproti. Tudi morebitni izredni pregledi so veliko bolj učinkoviti, ker register tveganj ne vsebuje balasta v obliki zastarelih in neveljavnih informacij.
Spremljanje tveganj na tak način je seveda težje doseči. Zagotovo sta predpogoja visoko razvita kultura upravljanja tveganj in visoka stopnja integracije upravljanja tveganj v same poslovne procese. Veliko pa je odvisno tudi od uporabe pravih orodij za podporo upravljanju tveganj.
Platforma SBR je osredotočena na izpolnjevanje ključne zahteve po spremljanju tveganj v vsakem trenutku. To dosega z možnostjo enostavnega vključevanja širokega nabora ljudi, ki specifična tveganja poznajo in imajo pooblastila. Za tveganja v registru omogoča opcijsko upravljanje parametrov tveganj, kot so njihova inherentna ocena, trenutna ocena, ciljna ocena, učinkovitost obvladovanja, nosilci, naloge in pomembni roki. Za vsako tveganje se lahko spremlja neomejeno število indikatorjev (ključni indikatorji tveganja), ki na grafičen način prikazujejo trende in opozarjajo na morebitne nepričakovane oziroma neželene situacije. Na ta način se bistveno zmanjšuje potreba po izrednem pregledovanju registra tveganj. Ko pa do izrednega pregleda pride, je ta izredno učinkovit.