SAP Global
SAP MAG 58, lipanj 2008.
Kontaktirajte SAP online ili
nazovite +(01)-4820-400
 
     
 

naslovnica | pošalji članak | ispis

Upravljanje rizicima: GRC Risk Management rješenja

Okrenimo se sada Governance, Risk and Compliance Risk Management rješenju. Osvrnut ćemo se na 4 općenita koraka u procesu upravljanja rizikom kako bi objasnili funkcionalnosti rješenja.

Pripremio: Mario Semialjac, mario.semialjac@sap.com

 

Slika D – 4 koraka procesa upravljanja rizikom

Planiranje
Proces upravljanja rizicima započinje s planiranjem.  Ono se uobičajeno izvodi na slijedeći način:
1 – Uspostava kataloga rizika i aktivnosti za poduzeće.
Koji su glavni rizici koji mogu imati utjecaja na naše poslovanje, a koje treba popratiti?
Koji poslovni procesi ili aktivnosti su“vrijedni” praćenja iz perspektive upravljanja rizicima?
Koji su ciljeve poduzeća i kako usuglasiti rizike s tim ciljevima? Kako se ti ciljevi razlikuju od jednog do drugog poslovnog područja?
I na kraju imamo prilagođen sadržaj vezan uz rizike specifičan za pojedino poduzeće.  SAP GRC Audit te partneri koji pokrivaju područje upravljanja rizicima: Deloitte, Protiviti, te PWC, mogu prema potrebi pomoći u ovom procesu te imaju sadržaj vezan uz rizike specifičan za pojedinu industriju.
2 – Slijedeći korak je identificirati ključne indikatore rizika (Key Risk Indicators - KRI) za svaki od glavnih rizika. 
Pragovi (gornje tolerancije) KRI-ova mogu se postaviti korištenjem prilagodljivih poslovnih pravila.  Neki tipični primjeri uključuju kada KRI prijeđe određenu postavljenu granicu (npr. ozljede na radu >3/mjesečno), zatim KRI na temelju razine povećanja/smanjenja u % (npr. 5% povećanja broja neplaniranih zaustavljanja proizvodnje), ili KRI na temelju % određenog događaja u odnosu na jedinicu proizvoda/prometa (npr. >0.5% pritužbi korisnika po isporučenom proizvodu).
Osim toga, višestruki KRI-ovi mogu se definirati za praćenje rizika ako je to potrebno (npr. KRI koji prati visoke stope kala, rastura i loma istovremeno kada je stopa točnosti isporuke od dobavljača naročito niska, jer to može rezultirati rizikom prekida kontinuiteta nabavnog lanca.)
3 – I na kraju, treba dokumentirati koliki se rizik može snositi tj. do koje granice će ići svaka pojedina poslovna linija poslovanja te poduzeće u cjelini.
Koliki gubitak poduzeće može apsorbirati temeljem trenutne kapitalizacije? Ovo se može računati po poslovnim linijama, geografskim obilježjima, te na razini cijelog poduzeća. Ovo je važno jer mogu postojati dijelovi poslovanja gdje želimo preuzimati više rizika – na primjer nova linija proizvoda - dok će se druge poslovne linije (“krave muzare”) tretirati na konzervativniji način.

Slika E - Planiranje i usuglašavanje o ključnim rizicima i okviru prihvatljivih granica

Identifikacija i analiza rizika
Nakon što je završena faza planiranja, slijedeći korak je identifikacija i analiza rizika.
Cilj je identificirati sve ključne rizike neovisno gdje postoje – interno ili eksterno – te ih analizirati na temelju kvalitativnih i kvantitativnih metoda.
1 – Za najveći mogući broj rizika preferira se automatska identifikacija rizika temeljem KRI-ova postavljenih u poslovnom operativnom sustavu.
Kao što je ranije spomenuto, kad je KRI koji je postavljen u izvornoj aplikaciji dosegnut, SAP GRC Risk Management workflow započinje ili obavijesnu uzbunu (alert) ili ponovnu procjenu rizika kod koje nositelj rizika ažurira detalje rizika kako bi reflektirao novonastale uvjete.
Korištenjem ovog pristupa identifikacija rizika ugrađena je u postojeće poslovne procese umjesto kreiranja zasebnih procesa za identifikaciju rizika.
2- Naravno, nije moguće automatski identificirati sve rizike. SAP GRC Risk Management ima ugrađene user‑friendly samoprocjene kao i mogućnosti kolaborativnih anketa koje se mogu koristiti da bi se sakupilo informacije o tipu rizika, utjecaju, vjerojatnosti, vremenskom okviru, te o strategiji/troškovima izbjegavanja rizika.
Usmjerene aktivnosti lako se prate i olakšavaju procjenu rizika koju treba obaviti. To je naročito važno za osobe koje nisu profesionalci na području rizika, a pružena je i workflow podrška da olakša teret timu za upravljanje rizicima te osigura praćenje progresa.  Osim kroz portal, ove informacije mogu se sakupljati i kroz Adobe Interaktivne Formulare, Excel, ili Word te putem e-maila kako bi se osigurao brži odziv i usvajanje procedura od strane linija poslovanja koje su involvirane
3 – Nakon identifikacije rizika oni se prioritetiziraju korištenjem standardnog pristupa takozvanih mapa užarenosti (engl. “heat map”).  Heat map može se prilagoditi kako bi zadovoljio specifične definicije i kategorije poduzeća.
Tako se na temelju usporedbe Heat mapa rizika u različitim točkama u vremenu prikazuju i lako identificiraju bilo kakve promjene u uvjetima rizika.

Slika F – Identifikacija i analiza

Odgovor na rizik
Treći korak je odgovor na rizik. Kada smo identificirali kritične rizike moramo imati strategiju za primjeren odgovor (gledati, istraživati, transferirati, delegirati, izbjeći). Naravno, pojedine strategije odgovora na rizike koje se koriste u poduzećima mogu se prilagođavati. Jedan rizik u sklopu SAP GRC Risk Managementa može imati višestruke odgovore. Svaki dokumentirani odgovor ima svoje troškove, vlasnika, status, te workflow podsjetnik postavljen da uz odgovarajuću učestalost podsjeća na potrebu ažuriranja progresa.
No kako se odlučiti na koje rizike odgovoriti, a koje od njih prihvatiti?
1 – Adresiranje pojedinih rizika neće uvijek moći razriješiti najprioritetnije probleme. Umjesto toga, krucijalni izazovi često su rezultat nemogućnosti točnog identificiranja što se dogodilo kada nastupe višestruki rizici istodobno, a povrh toga stupe u međusobnu interakciju, te kombinirajući se međusobno postaju opasni rizici.
Na primjer, veliki proizvođač potrošačkih proizvoda ima slijedeće iskustvo: Marketinška grupa radila je prekovremeno da razvije novu oglašavačku kampanju kako bi odgovorila na lansiranje novog proizvoda konkurencije. Ipak, marketinški odjel nije bio svjestan da je ključni rezervni dobavljač propao te je nabavni odjel nastojao pronaći zamjenu. Nabavni odjel nije bio zabrinut što će potraga potrajati nekoliko tjedana, budući je prema povijesnim podacima primarni dobavljač bio u mogućnosti pokriti tražene nabavke. No odjel nabave nije imao nikakve informacije o novoj marketinškoj kampanji. I kakav je bio rezultat? Kreirana marketinška kampanja postigla je ogroman uspjeh i potražnja za proizvodom je iznimno skočila, i to baš u vrijeme kada je konkurencija lansirala novi proizvod. Nažalost, glavni dobavljač nije mogao pokriti dodatnu potražnju, a police na prodajnim mjestima brzo su se ispraznile što je natjeralo kupce da kupuju konkurentski proizvod kao zamjenu. Strategija se poduzeću vratila u glavu kao bumerang, a naučena lekcija skupo je plaćena.
Jasno da ovakvi rizici imaju korelacije i treba ih tretirati skupa, a ne zasebno. Ali u pristupu zasebnih silosa nitko nije trebao preglednost koja seže izvan granica poduzeća kako bi povezao ove korelirane stvari.
2- Slijedeće što treba spomenuti jeste da linije poslovanja trebaju alate pomoću kojih učinkovito mogu izbjeći rizike.
Često operativno već postoje alati za korištenje pri izbjegavanju rizika – SAP i SAP partnerske aplikacije kao što su EH&S, xEM, ERP, itd. igraju ključnu ulogu i u izbjegavanju rizika na operativnoj razini i pružaju mogućnosti praćenja KRI-ova.
3 – Uz mogućnost praćenja odgovora moguće je nadzirati status raspoloživih odgovora na rizike (kao što su draft verzija, potvrđeno, u tijeku, izvršeno), pratiti troškove odgovora, te čak imati višestruke odgovore na raspolaganju za samo jedan rizik.
Ovo je očigledno kritična stavka da bi se vlasnicima rizika osigurala odgovarajuća podrška i potrebni kapital kako bi se učinkovito izbjegli rizici iz vlastite domene odgovornosti.

Slika G - Strategije za rješavanje rizika

Nadziranje rizika
I posljednji korak je nadziranje rizika. Jasno je da poslovanje treba proaktivno praćenje vezano uz vlastite procese za upravljanje rizicima, a SAP aplikacije pružaju podršku ovim zahtjevima na nekoliko načina.
1- Jedan aspekt nadzora jesu prikazi (dashboarding) – prikazi pružaju uvid za informiranije poslovno upravljanje odgovarajući na pitanja kao što su:
Gdje i kada se pojavljuju top rizici?
Kako su se mijenjale razine rizika za ključne aktivnosti/poslovne prilike?
Da li su nastupili incidenti/gubici?
Da li ocjenjujemo naše rizike sukladno politici poduzeća?

Ovi prikazi također pružaju jedinstveno mjesto pristupa za korisnike koji od poslovnih aplikacija koriste samo izvještavanje (npr. uprava). Dobivaju se sve relevantne informacije o upravljanju rizicima, te se mogu krojiti po mjeri određene uloge ili poslovne jedinice.
Osim toga za SAP CPM proizvod planirano je inkorporiranje podataka o rizicima iz GRC Risk Management aplikacija kako bi se omogućilo strateško upravljanje i planiranje prilagođeno na temelju podataka o rizicima poslovanja.  Kao što je slučaj i sa svim ostalim SAP funkcionalnostima, SAP zadržava pravo promjene planova.

2- Ugraditi pogled na rizik u postavljanje kontrolnih limita
Uz SOX (Sarbanes-Oxley Act) i druge regulative koje stvaraju brige managementu, trenutni pristup “checklisti” kakav koristi većina dovela je od toga da su neki procesi previše kontrolirani, a istodobno drugi se premalo kontroliraju. Pristup temeljen na rizicima rezultira učinkovitijim korištenjem resursa te boljim usuglašavanjem razine kontrole s istinskom vrijednošću rizika.
3 – Baza podataka incidenata i gubitaka
Javlja se potreba dokumentiranja “rizika koji su se dogodili“ ili “vanjskih čimbenika“ (čak i ako ih se još ne prati kao rizike u sustavu), skupa s uzročnicima, povezanim troškovima te vlasnicima rizika.
Protokom vremena baza podataka postat će bogatstvo informacija, te će biti moguće dodati naučene lekcije u 1) procjenu vjerojatnosti da će se određeni rizik zbilja dogoditi, kao i 2) stvoriti katalog pripremljenih odgovora na rizike.
Osim toga ova baza podataka gubitaka/događaja može se hraniti ili povezati s drugim SAP aplikacijama gdje ti događaji nastaju (npr. EH&S za informacije o ozljedama na radu, s GTS-om za informacije o broju učinjenih carinskih prekršaja itd.).

Slika H – Kako ostati informiran i nadzirati rizike

 

 
 

Copyright/Trademark  |  Privacy  |  Impressum