HRVATSKA AGENCIJA ZA NADZOR FINANCIJSKIH USLUGA
Na temelju članka 15. točke 8. Zakona o Hrvatskoj agenciji za nadzor financijskih usluga (»Narodne novine« br. 140/05) Uprava Hrvatske agencije za nadzor financijskih usluga je na sjednici održanoj 17. prosinca 2009. godine donijela
I. UVODNE ODREDBE
1. Ciljevi, načela i opseg upravljanja rizicima
1.1. Ciljevi
Ovim Smjernicama Hrvatska agencija za nadzor financijskih usluga (u daljnjem tekstu: Agencija) pruža okvir za uspostavu sustava upravljanja rizicima u društvu za osiguranje odnosno u društvu za reosiguranje (u daljnjem tekstu: društvo) u skladu sa člankom 92. stavkom 4. Zakona o osiguranju (»Narodne novine« br. 151/05, 87/08 i 82/09, u daljnjem tekstu: Zakon) i člankom 29. stavcima 1. do 5. Zakona, člankom 146. stavkom 1. točkom 3. Zakona i člankom 150. Zakona, što omogućuje njihovu jednaku primjenu kod svih društava za osiguranje odnosno društava za reosiguranje kao subjekata nadzora.
Smjernice su postavljene na načelu prema kojem uprava društva mora u društvu razviti organizacijsku kulturu o rizicima kojima treba upravljati u svakodnevnom poslovanju.
U svrhu nadzora nad procesom upravljanja rizicima određuju se minimalni zahtjevi za upravljanje rizicima uzimajući u obzir raznovrsnost tržišta osiguranja kao i specifičnosti svakog društva. Navedeno omogućuje društvu procjenu i uspostavu sustava upravljanja rizicima prema kvantiteti, kvaliteti i načinu upravljanja rizicima.
Efikasan sustav upravljanja rizicima posebice je značajan za zaštitu osiguranika društva.
1.2. Upravljanje rizicima
Društvo uspostavlja sustav upravljanja rizicima razmjerno vrsti, opsegu i složenosti usluga i aktivnosti koje pruža i obavlja, a koji najmanje mora uključivati:
– strategije, politike, postupke i mjere upravljanja rizicima,
– organizacijski i operativni ustroj s definiranim ovlastima i odgovornostima za upravljanje rizicima, odnosno proces upravljanja rizicima,
– djelotvoran sustav unutarnjih kontrola,
– djelotvoran sustav unutarnje revizije.
Društvo je slobodno u okviru minimalnih standarda iz ovih Smjernica samo odlučiti koji konkretni sustav upravljanja rizicima je primjeren u ovisnosti o:
– specifičnom rizičnom profilu društva,
– vrsti i opsegu poslovanja društva,
– poslovnom modelu društva.
Minimalni zahtjevi ovih Smjernica ne sprječavaju društvo da uspostavi više standarde upravljanja rizicima.
1.3. Primjena Smjernica
Ove Smjernice primjenjuju društva za osiguranje, društva za reosiguranje i grupe osiguravatelja.
Odredbe ovih Smjernica na odgovarajući se način primjenjuju na podružnice društava iz trećih država koje su od Agencije dobile odobrenje za rad.
Ako minimalni zahtjevi iz ovih Smjernica nisu ispunjeni Agencija može na temelju članka 159. Zakona prema društvu i odgovornim osobama poduzeti odgovarajuće mjere u svrhu usklađenja poslovanja sa Zakonom i propisima donesenim na temelju Zakona.
1.4. Načelo razmjernosti
Minimalne zahtjeve kako je to definirano ovim Smjernicama treba ispuniti u skladu sa načelom razmjernosti. Prema načelu razmjernosti minimalni zahtjevi se konkretno ispunjavaju razmjerno specifičnim rizicima pojedinog društva, prirodi i opsegu poslovnih aktivnosti kao i složenosti poslovnog modela društva.
Kod primjene načela razmjernosti potrebno je uzeti u obzir načelo materijalnosti prema kojemu je u smislu ovih Smjernica samo materijalno značajan rizik relevantan.
Agencija procjenjuje primjerenost sustava upravljanja rizicima u skladu s načelom razmjernosti pri čemu se adekvatan proces upravljanja rizicima ogleda prije svega u jasno utvrđenoj metodologiji upravljanja rizicima, dokumentiranju informacija o rizicima, njihovoj vrsti, vjerojatnosti nastanka i procjeni učinaka, formiranju registara rizika, uvođenju sustava izvješćivanja o rizicima, imenovanju odgovornih osoba za praćenje rizika, izradi strategija upravljanja rizicima i slično.
2. Rizici
2.1. Definicija rizika
Rizikom, u smislu ovih Smjernica, smatra se nemogućnost postizanja cilja, odnosno opasnost da događaji, postupci i neiskorišteni potencijali imaju negativan utjecaj na postizanje ciljeva društva. Izraz rizik se tumači u kontekstu zadanog cilja pri čemu su moguća i negativna i pozitivna odstupanja od cilja. Negativna odstupanja od cilja u pravilu se manifestiraju kao gubici. Ove Smjernice odnose se na rizike koji predstavljaju negativna odstupanja od cilja.
Negativna odstupanja koja se odražavaju na financijski položaj, rezultate poslovanja ili novčani tok društva smatraju se značajnim rizikom. Radi ocjene svojstva značajnog rizika uprava društva mora sagledati ukupni rizični profil društva.
Svojstvo značajnog rizika potvrđuju rezultati:
– identifikacije rizika,
– analize rizika i ocjene rizika,
– mjerenja rizika koje društvo primjenjuje.
U odnosu na značajnost rizika, rizik se u prvom koraku procjenjuje kvalitativno, a zatim, društvo uzima u obzir utjecaj rizika na bilancu i izvanbilančne evidencije. Tek nakon procjene koja potvrđuje značajnost rizika prema mjerilima društva, potrebno je u drugom koraku kvantificirati rizik.
Implementacijom efikasnih kontrolnih i nadzornih mjera osigurava se sprječavanje nastanka grešaka koje bi dovele do neprihvatljivog preuzimanja rizika od strane društva tj. društvo mora za značajne rizike poduzeti i odgovarajuće mjere opreza.
2.2. Vrste rizika
Vrste rizika koje društvo u smislu ovih Smjernica treba uzeti u obzir su:
1. rizik osiguranja (engl. underwriting risk),
2. tržišni rizik,
3. kreditni rizik (uključujući i rizik države),
4. operativni rizik,
5. rizik likvidnosti,
6. koncentracijski rizik,
7. strateški rizik ili rizik poslovnog okruženja,
8. rizik ugleda.
1. Rizik osiguranja (engl. underwriting risk) odnosi se na rizik koji može nastati ako stvarne isplate šteta i naknada premašuju neto-knjigovodstveni iznos obveza iz osiguranja zbog slučajnosti, pogrešaka i/ili promjena okolnosti. Rizik osiguranja uključuje rizik nastupa štetnog događaja, rizik određivanja visine premije (tarifiranje), rizik oblikovanja pričuva te rizike reosiguranja.
2. Tržišni rizik odnosi se na rizik koji rezultira direktno ili indirektno od fluktuacija i/ili volatilnosti tržišnih cijena imovine, obveza i financijskih instrumenata, a uključuje valutni rizik, kamatni rizik, rizik nekretnina, rizik vlasničkih vrijednosnih papira, tržišni rizik likvidnosti i rizik derivata.
3. Kreditni rizik je rizik koji proizlazi iz promjene odnosno pada kreditne sposobnosti izdavatelja vrijednosnih papira, zajmoprimaca kao i drugih dužnika prema kojima društvo ima potraživanja.
4. Rizik koncentracije odnosi se na rizik koji proizlazi iz koncentracije izloženosti društva prema pojedinim osobama i grupama povezanih osoba te iz skupa izloženosti koje povezuju zajednički činitelji rizika, kao što su isti gospodarski sektor, odnosno geografsko područje, istovrsni poslovi, a koji ima značajan potencijal za nastanak štete ili gubitka.
5. Operativni rizik je rizik gubitaka zbog neadekvatnih ili pogrešnih unutarnjih poslovnih procesa odnosno događaja prouzročenih od pogrešaka zaposlenika, pogrešaka sustava, nastupa nepovoljnih vanjskih događaja te obuhvaća i pravni rizik, ali ne i strateški rizik i rizik ugleda.
6. Rizik likvidnosti je rizik nemogućnosti transformacije pojedinih oblika imovine u novac ili rizik nemogućnosti uravnoteženja kratkoročnih platežnih mogućnosti s jedne strane i kratkoročnih obveza s druge strane.
7. Strateški rizik ili rizik poslovnog okruženja je rizik koji rezultira iz strateških poslovnih odluka. Strateški rizik također uključuje i rizik koji rezultira iz neprilagođenosti poslovnih odluka promjenama u okruženju. Strateški rizik se u pravilu pojavljuje u svezi s drugim rizicima, ali se može pojaviti i kao samostalan rizik, a uključuje rizike konkurencije, rizike osiguranika, rizike promjena u industriji i rizike promjene u potražnji.
8. Rizik ugleda je rizik koji proizlazi od mogućeg negativnog utjecaja na ugled društva kao posljedica negativne javne percepcije (npr. od strane klijenata, poslovnih partnera, dioničara ili nadzornih tijela). Kao i strateški rizik, rizik ugleda u pravilu se pojavljuje s drugim rizicima, ali također može nastupiti i kao samostalan rizik.
Potrebno je da društvo u svojim izvještajima o upravljanju rizicima obuhvati i ocjeni sve prethodno navedene vrste rizika.
3. Odgovornost uprave društva, odnosno upravnog odbora društva
Uprava društva odnosno upravni odbor (dalje u tekstu samo kao uprava društva) odgovorna je za poslovanje društva u skladu sa Zakonom i podzakonskim aktima. Odgovornost uprave društva sastoji se od toga da ista o rizicima kojima je društvo u poslovanju izloženo mora biti informirana, da ih može identificirati i pratiti, procijeniti njihove značajne utjecaje na poslovanje društva te da mora donijeti odgovarajuće mjere radi ovladavanja istima. Uprava društva je odgovorna za uspješnu implementaciju efikasnog sustava upravljanja rizicima i razvoj istoga.
Odluke o identifikaciji, mjerenju i praćenju značajnih rizika donosi uprava društva, a odgovornost uprave društva nije moguće delegirati na drugu osobu odnosno tijelo.
Uprava društva je u smislu ovih Smjernica odgovorna za:
– donošenje Poslovne strategije i Strategije upravljanja rizicima,
– uspostavu odgovarajućeg organizacijskog okvira te donošenje internih politika i procedura za upravljanje rizicima, pri čemu se moraju uzeti u obzir i unutarnji i vanjski zahtjevi,
– definiranje tolerancije rizika i sposobnosti nosivosti rizika, pri čemu tolerancija rizika ovisi o sposobnosti nosivosti pojedinog rizika, prethodno definiranih kroz Strategiju; sposobnost nosivosti rizika objektivno je odrediva i ujedno predstavlja granicu tolerancije nosivosti rizika,
– postavljanje značajnih zahtjeva u odnosu na Strategiju pri čemu se zahtjevi u odnosu na Strategiju postavljaju prema profilu rizika, prema kapitalu i utvrđivanjem ograničenja (limita) rizika,
– kontinuirano nadziranje profila rizičnosti te uspostavu sustava ranog upozorenja kao i rješavanje ad hoc problema vezanih uz rizike koji primjerice mogu biti prekoračenja postavljenih ograničenja (limita) rizika.
II. PRAVILA ZA UPRAVLJANJE RIZICIMA
1. Uspostava i primjena sustava upravljanja rizicima
Sustav upravljanja rizicima podrazumijeva sveobuhvatno, strateško upravljanje rizikom koji obuhvaća utemeljene odluke uprave društva, tekuću analizu u okviru sustava ranog prepoznavanja rizika i operativne mjere za ovladavanje, kontrolu, uklanjanje i/ili financiranje rizika.
Upravljanje rizicima neizostavni je dio svakog poslovanja, a sastoji se od identifikacije različitih oblika rizika kojima su izloženi različiti poslovni subjekti, mjerenja rizika pomoću kvantitativnih metoda te definiranja postupaka kojima se provodi upravljanje.
Osnovni ciljevi sustava upravljanja rizicima su:
– razumijevanje rizika,
– osiguranje da rizici budu unutar limita postavljenih od uprave društva,
– osiguranje da odluke o rizicima budu u skladu sa strateškim ciljevima,
– osiguranje da odluke o rizicima budu jasne,
– osiguranje da povrat bude u skladu s rizikom,
– osiguranje da alokacije kapitala budu u skladu s rizikom te
– osiguranje da sustav nagrađivanja bude u skladu s tolerancijom rizika.
Cjelina sustava upravljanja rizicima očituje se u primijeni strategije rizika u potrebnom opsegu i svakodnevnom operativnom poslovanju, od »vrha do dna«, a o rizicima iz svakodnevnog operativnog poslovanja potrebno je izvještavati od »dna do vrha« društva, a prema čemu uprava društva definira specifični rizični profil društva.
Adekvatan sustav upravljanja rizicima obuhvaća sljedeća područja/poslovne funkcije:
1. strategiju upravljanja rizicima,
2. organizacijski okvir,
3. sustav ovladavanja i kontrole rizika,
4. unutarnju reviziju,
5. unutarnje kontrole.
2. Strategija upravljanja rizicima
Uprava društva donosi u pisanom obliku »Strategiju upravljanja rizicima« (dalje u tekstu: Strategija) u kojoj treba jasno odrediti i dokumentirati politiku preuzimanja rizika te ciljeve i osnovna načela preuzimanja i upravljanja rizicima. Bitan sadržaj Strategije je utvrđivanje tzv. tolerancije rizika, pod kojom se podrazumijeva spremnost društva da preuzme rizike. Strategija upravljanja rizicima odražava vrijednosti koje obilježavaju organizacijsku kulturu kao i stil rada te utječu na to kako se:
– implementiraju sastavni elementi sustava upravljanja rizikom širom organizacije,
– identificiraju i prihvaćaju rizici,
– upravlja rizicima.
Strategija treba opisati rizike koji proizlaze iz poslovne strategije na način da se u odnosu na strateški postavljene poslovne ciljeve društva (npr. vrsta posla, procjena troškova, rezultat poslovanja) u Strategiji navedu:
– rizici poslovnih očekivanja glede njihovog utjecaja na financijski položaj, poslovni rezultat i novčane tokove, kao i
– odgovarajuće smjernice za upravljanje tim rizicima na operativnoj razini društva za svakodnevno obavljanje poslova.
Ukoliko se planira širenje poslovanja na nova područja, uvođenje novih proizvoda osiguranja i izlazak na nova tržišta i slično, u Strategiji je potrebno ocijeniti utjecaj na rizični profil društva. Isto se odnosi na značajne promjene tržišnih parametara i procjena rizika (novih vrsta rizika kao primjerice terorizam, pandemija itd.).
Najmanje jednom godišnje, uprava društva preispituje Strategiju i njezinu usklađenost s rizičnim profilom društva, poslovnom strategijom i drugim značajnim okolnostima. Promjena i usklađenje Strategije potrebna je ako se znatnije promjeni rizični profil društva ili u slučaju drugih značajnih promjena.
Uprava društva Strategiju podnosi nadzornom odboru društva na usvajanje.
3. Organizacijski okvir
U cilju uspostave pravila o upravljanju rizicima, društvo osigurava da se poslovne aktivnosti obuhvaćene procesom upravljanja rizicima poduzimaju na temelju pisanih politika i procedura odnosno drugih internih akata društva.
Pri donošenju politika i procedura uzimaju se u obzir pravne, statutarne i strateški formulirane granice. Politikama i procedurama propisuju se okvirni zahtjevi organizacije društva, a posebice:
1) organizacijski ustroj;
2) operativnu strukturu uključujući i:
– organizaciju pri širenju poslovanja na nova područja i/ili uvođenju novih proizvoda,
– sustav poticaja i resurse,
– organizacijski razvoj;
3) uspostavu odgovarajućeg internog upravljačkog i nadzornog sustava uključujući i
– sposobnosti nosivosti rizika,
– identifikaciju rizika, analizu i mjerenje, upravljanje i nadziranje rizika,
– unutarnje kanale komunikacije,
– sustav izvještavanja;
4) zadatke i funkciju unutarnje revizije;
5) sustav unutarnje kontrole;
6) odluke o prijenosu izdvojenih poslova u okviru propisanog Zakonom (članak 73. – 75.);
7) planove u slučajevima kriznih situacija;
8) primjereno izvještavanje i dokumentiranje unutar sustava.
3.1. Organizacijski ustroj
Potrebno je uspostaviti jasnu podjelu nekompatibilnih poslovnih funkcija (npr. funkcija operativnog upravljanja rizicima i funkcija kontrole rizika), sve do upravljačke razine. Osobama odgovornima za utvrđivanje rizičnih pozicija ne smiju istovremeno i/ili posredno biti povjereni nadzor i kontrola istih. Ovo pravilo o podjeli funkcija mora biti hijerarhijski uspostavljeno.
Zadatke i odgovornosti potrebno je jasno definirati i uskladiti unutar organizacijskog ustroja.
Ako potpuno razdvajanje nekompatibilnih poslovnih funkcija nije primjereno zbog veličine društva, broja zaposlenika i/ili sličnih situacija, izbjegavanje sukoba interesa, društvo, u skladu sa svojom veličinom, osigurava na drugi način, ali uz uvjet konzistentnosti sa Strategijom.
Djelatnici ili poslovne jedinice koje obavljaju funkciju kontrole rizika, obavljaju svoj posao objektivno i neovisno i imaju pravo na neometan pristup svim relevantnim informacijama. Funkcija kontrole rizika je neovisna ako nije odgovorna za preuzimanje ili upravljanje rizicima na operativnoj razini. Funkcija kontrole rizika ne mora biti uspostavljena na razini uprave društva.
Glavni zadaci funkcije kontrole rizika odnose se na upravljanje rizicima, a obuhvaćaju sljedeće:
– mjerenje i upravljanje rizicima na razini portfelja,
– izvještavanje uprave društva o rizicima,
– izradu metodologija za mjerenje i ovladavanje rizicima,
– pripremu prijedloga strategije upravljanja svakim od navedenih rizika koji će uključivati i prijedloge postavljanja ograničenja (limita) i smjernica za svaki od rizika,
– izvještavanje grupe i vanjskih institucija o rizicima u skladu s njihovim zahtjevima,
– kontrola kvalitete podataka u internim sustavima društva.
Operativne poslovne jedinice nositelji su postupaka identifikacije i analize rizika, a posebice su odgovorne za postupanje sa svim značajnim rizicima u djelokrugu svoje nadležnosti, pri čemu obveze, odgovornosti i pravila o zastupanju i nadležnost pojedine poslovne jedinice za postupanje s rizicima trebaju biti jasno definirana i dokumentirana.
Materijalno značajne odluke i upute od strane upravljačkih razina nižih od razine uprave društva, kojima se krše procedure i politike društva potrebno je pisano dokumentirati, obrazložiti i dostaviti upravi društva na znanje.
3.2. Operativna struktura
Operativna struktura društva jasno je definirana i postavljena tako da podržava značajne funkcije organizacijskog ustroja sukladno Strategiji kako bi se omogućilo pobliže definiranje svih poslovnih procesa koji sadržavaju značajne rizike.
Za svaki poslovni proces koji sadržava rizik, uključujući i prijenos podataka i rezultata, potrebno je definirati odgovornosti. Svakim poslovnim procesom upravlja se tako da je uz minimalna odstupanja, omogućeno podržavanje i postizanje poslovnih ciljeva.
Operativna struktura, u skladu s internim zahtjevima, poslovnim aktivnostima i rizičnom profilu društva, zahtjeva adekvatne ljudske resurse. Djelatnici društva uključeni u proces upravljanja rizicima moraju biti kvalificirani i educirani tako da mogu identificirati i na odgovarajući način reagirati na rizike.
Poslovni procesi koji sadržavaju značajne rizike i koji su obuhvaćeni operativnom strukturom su:
– poslovi osiguranja,
– oblikovanje pričuva,
– upravljanje ulaganjima,
– reosiguranje odnosno retrocesija.
Svaki poslovni proces potrebno je definirati i analizirati po pojedinom procesnom koraku, odrediti potrebne ljudske i druge resurse, ulazne i izlazne zahtjeve, rizike poslovnog procesa te najmanje definirati kritične točke procesa koji će biti predmet internih kontrola. Svaki poslovni proces potrebno je dokumentirati odgovarajućim politikama, procedurama i ostalim internim aktima.
3.2.1. Upravljanje poslovima osiguranja
U okviru procesa upravljanja poslovima osiguranja obuhvaćeni su najmanje, sukladno načelu razmjernosti, sljedeći rizici: razvoj proizvoda i politika preuzimanja rizika, određivanje cijene premije osiguranja, politika prodaje, politika rješavanja šteta i procjena rizičnosti, kao i tržišni i konkurencijski rizik.
Poslovima osiguranja upravlja se na temelju politika i procedura ugovaranja osiguranja koje sadržavaju tehnička pravila (vrsta i zemljopisno porijeklo poslova) kao i ograničenja po osobi i kvantiteti pri čemu su isključenja jasno definirana.
Za određivanje cijene premije osiguranja u obzir se uzima dovoljan broj informacija o svim rizicima relevantnim za određivanje cijene premije,što je potrebno dokumentirati. Ako se utvrdi značajna nedostatnost premije osiguranja, društvo mora biti u mogućnosti obrazložiti tako određene cijene premija osiguranja. U okviru određivanja cijene premije potrebno je uz svaki proizvod izraditi odgovarajuće smjernice za prihvat.
Kod upravljanja potraživanjima društvo uspostavlja sustav praćenja naplate potraživanja od osiguranika pri čemu je potrebno dokumentirati politiku odnosno metodologiju izračuna ispravka vrijednosti za dospjela nenaplaćena potraživanja. Društvo vodi evidenciju o ukupnoj izloženosti prema pojedinom osiguraniku i s njim povezanim osobama. Za obračun ispravka vrijednosti uzima se u obzir broj dana kašnjenja i iznos dospjeloga duga.
Prilikom analiza pojedinih procesnih koraka upravljanja rizicima potrebno je obuhvatiti sve relevantne rizike (npr. broj storniranja, broj kršenja internih procedura i politika o ugovaranju/sklapanju ugovora o osiguranju).
3.2.2. Poslovni proces oblikovanja pričuva
Oblikovanje pričuva uključuje određivanje adekvatnih pričuva za obveze. Rizik oblikovanja pričuva kontrolira se u pogledu načina obračuna sukladno odredbama Zakona, kao i odredbama Pravilnika o minimalnim standardima, načinu obračuna i mjerilima za izračun tehničkih pričuva osiguranja, a uključuje i rizik ovlaštenog aktuara.
Društvo osigurava sustavno praćenje kvalitete ulaznih podataka obračuna, te u okviru završnih računa provodi dodatne testove adekvatnosti pričuva po pojedinoj vrsti osiguranja u osiguranju života. Društvo razvija i održava informacijski sustav na način da isti omogućava pristup svim podacima korištenim pri izračunu pričuva, uz istovremeno uspostavljanje sustava održavanja sigurnosti na način da je onemogućena retroaktivna izmjena podataka korištenih pri izračunu pričuva.
3.2.3. Poslovni proces upravljanja ulaganjima
Društvo uspostavlja jasnu operativnu i organizacijsku razdvojenost funkcije ulaganja od funkcije pozadinskih poslova, funkcije kontrole rizika sve do razine uprave društva. Operativno razdvajanje funkcije ulaganja od funkcije pozadinskih poslova uključuje uspostavljanje odgovarajućih sigurnosnih i radnih procedura, prava pristupa informacijskim tehnologijama i fizičku razdvojenost navedenih funkcija.
Proces upravljanja ulaganjima uspostavljen je na način propisan Zakonom odnosno odredbama Pravilnika o vrstama i obilježjima imovine za pokriće tehničkih pričuva, pravila za disperziju i ograničenje ulaganja imovine za pokriće tehničkih pričuva, njihovo vrednovanje, usklađenost, pravila za upotrebu izvedenih financijskih instrumenata te način i rok izvještavanja, a u cilju izbjegavanja rizika od donošenja loših odluka o ulaganjima, neadekvatne strukture portfelja, precijenjenosti imovine, pretjerane koncentracije ulaganja u određenu vrstu imovine.
Potrebno je definirati poslovni proces upravljanja ulaganjima u okviru kojega je potrebno najmanje obuhvatiti kreditni rizik, tržišni rizik, koncentracijski rizik, rizik valutne i ročne usklađenosti imovine i obveza.
Ulaganja se ugovaraju u skladu s tržišnim uvjetima pri čemu svako ulaganje mora zadovoljavati načela sigurnosti, tržišnosti i isplativosti.
3.2.4. Poslovni proces reosiguranja, odnosno retrocesije
Poslovni proces ugovaranja reosiguranja, odnosno retrocesije definiran je Zakonom i Pravilnikom o metodologiji za izračun vlastitih udjela društva za osiguranje odnosno društva za reosiguranje u tablicama maksimalnog pokrića i utvrđivanje najveće vjerojatne štete, a najmanje obuhvaća rizike premije, rizik gubitka reosiguravatelja te rizik politike reosiguranja.
Pri prijenosu viška rizika na reosiguranje, odnosno pri zaključenju ugovora o reosiguranju potrebno je jasno razraditi i sljedeća područja:
– prihvatljivost samopridržaja osiguranja za određenu vrstu posla te način određivanja istoga (na osnovi pojedinačnog ili agregiranog rizika),
– mogućnost multipliciranih događaja unutar perioda za koji se ugovora reosiguranje,
– izuzetke sadržane u ugovorima za reosiguranje, pokrivenost tih izuzetaka s izuzecima iz osnovnih ugovora o osiguranja te pokrivenost eventualno preostalih rizika,
– način korištenja alternativnih instrumenata za prijenos rizika, u dijelu proizvoda tržišta reosiguranja (retrocesija) kao i u dijelu proizvoda tržišta kapitala (sekuritizacija, derivativi, hedging),
– intervali provjere, u cilju ispitivanja dostatnosti samopridržaja odnosno da li su preuzete obveze društva u cijelosti pokrivene.
Potrebno je voditi aktivnu politiku reosiguranja posebice kod neživotnih osiguranja, a u cilju smanjenja rizika od ugovaranja nedovoljnog pokrića koje mogu dovesti do financijskih poteškoća u slučajevima nepredviđenih šteta ili velikih gubitaka.
3.2.5. Nova poslovna područja, novi proizvodi tržišta kapitala, nova tržišta osiguranja i reosiguranja
Društvo u sklopu sustava upravljanja rizicima obuhvaća i rizike koji proizlaze iz širenja poslovanja na nova područja, uvođenja novih proizvoda, izlaska na nova tržišta, uvođenja novih proizvoda na tržište kapitala, tržišta osiguranja i reosiguranja.
Navedeni rizici prethodno se ocjenjuju u odnosu na njegov utjecaj na ukupni rizični profil društva. Procjena očekivanog utjecaja na rizični profil društva odgovarajuće se dokumentira. Prije uporabe i prodaje novih proizvoda potrebna je prethodna formalna odluka uprave društva.
Po završetku razvoja proizvoda izrađuje se završno izvješće koje sadržava opća svojstva, izračun cijene, očekivani profit kao i osjetljivosti kod odstupanja od očekivanja. U svim slučajevima dokumentira se postupak donošenja odluke kao i rezultati zaključnog izvješća.
Nova područja poslovanja integriraju se u već postojeći sustav upravljanja rizicima, prema njihovoj visini rizika integrirati. Organizacija i proces upravljanja i kontrole prilagođavaju se na način da su izmjene zbog novih područja poslovanja dovoljno transparentne glede situacije rizika. Navedeno je potrebno dokumentirati u dovoljnoj mjeri i dati na znanje neovisnoj funkciji kontrole rizika.
3.2.6. Sustav poticaja i resursi
Struktura sustava poticanja i sustava nagrađivanja zaposlenika kao i alokacija financijskih, materijalnih i tehničkih resursa usklađeni su s ciljevima i svim promjenama Strategije.
Pri uspostavi sustava poticaja potrebno je voditi računa o sprječavanju mogućnost manipulacije dok negativni poticaji (kao na primjer sukob interesa, ulazak u visoko rizične pozicije) moraju biti onemogućeni.
Sustav nagrađivanja zaposlenika uspostavljen je na način da se varijabilne sastavnice istoga temelje na dugoročnim rezultatima društva. Nadalje, potrebno je na odgovarajući način uzeti u obzir značajne rizike i vremenski horizont.
Adekvatnost resursa (npr. proračunska sredstva, kvalificirano osoblje i tehnička oprema) koji stoje na raspolaganju pojedinim poslovnim jedinicama redovito se procjenjuju i na odgovarajući način dokumentiraju od strane odgovorne osobe društva (npr. voditelj poslovne jedinice), u odnosu na Strategiju i politike i procedure društva.
Informatički sustav (hardware i software) i odgovarajući procesi uspostavljeni su u cilju osiguravanja integriteta, raspoloživosti, točnosti i pouzdanosti podataka. U tom smislu Društvo se služi odgovarajućim međunarodnim standardima. Adekvatnost informatičkog sustava kao i sigurnosti informacijskog sustava redovno ocjenjuju stručne osobe društva odgovorne za isti.
Informatički sustav potrebno je testirati prije prve upotrebe i nakon bilo koje materijalno značajne izmjene. Izmjena je materijalno značajna ako je od velikog utjecaja na funkciju IT-sustava bez obzira na njen opseg, a što društvo mora odrediti i propisati. Stručne osobe odgovorne za informatički sustav moraju dati odobrenje za upotrebu testiranog informatičkog sustava kao i za sve njegove materijalno značajne izmjene.
3.2.7. Organizacijski razvoj
Organizacijski okvir, interno upravljanje i kontrola rizika moraju se u odgovarajućim vremenskim razdobljima prilagoditi promjenama u okolini. U tom smislu, potrebno je donijeti politike i procedure za razvoj organizacije.
4. Sustav ovladavanja i kontrole rizika
Efikasan sustav upravljanja i kontrole rizika uspostavlja se na način da je obuhvaćeno sljedeće:
1. koncept utvrđivanja sposobnosti nosivosti i limitiranja rizika,
2. proces kontrole rizika,
3. komunikacija unutar društva i organizacijska kultura,
4. izvještavanje o upravljanju rizicima,
5. osiguranje kvalitete, ovladavanje rizicima i sustav kontrola.
4.1. Koncept utvrđivanja sposobnosti nosivosti rizika i limitiranja rizika
Uprava društva odgovorna je za definiranje tolerancije rizika i nosivosti rizika, pri čemu tolerancija rizika ovisi o sposobnosti nosivosti pojedinog rizika, prethodno definiranih kroz Strategiju. Uprava društva odgovorna je za rizik koji društvo preuzima i način na koji se upravlja tim rizikom te je stoga dužna definirati toleranciju na rizike u okviru koncepta o sposobnosti nosivosti rizika (engl. Risk-Bearing Capacity Concept).
Koncept o sposobnosti nosivosti rizika objektivno je odrediv i ujedno predstavlja granicu tolerancije nosivosti rizika. Toleranciju na rizike treba definirati u svjetlu poslovnih ciljeva, strateškog usmjerenja i ukupne spremnosti na preuzimanje rizika. Tolerancija treba osigurati poslovanje na način da može podnijeti dulje razdoblje stresa.
Koncept o sposobnosti nosivosti rizika (engl. Risk-Bearing Capacity Concept) predstavlja potencijal prihvaćanja rizika (engl. risk-taking potential) (npr. ukupni kapital na raspolaganju za pokriće potencijalnih gubitaka) te opseg potencijala za prihvat rizika koji se može koristiti za pokriće svih značajnih rizika koje je društvo preuzelo, a izrađuje se na temelju specifičnog rizičnog profila društva.
Odgovarajuća sposobnost za nosivost rizika predstavlja, u užem smislu, sposobnost društva za apsorbiranje gubitaka nastalih od identificiranih rizika ne dovodeći u pitanje opstanak društva.
Društvo primjereno koristi konzervativne pretpostavke o utrživosti imovine i pristupu financiranju, kako onom osiguranom tako i onom neosiguranom u razdobljima stresa i kriza.
Ispunjenje Zakonom propisanih zahtjeva za kapitalnom adekvatnošću predstavlja minimalnu granicu u odnosu na potrebnu nosivost rizika društva, pri čemu društvo stalno preispituje da li je Zakonom tražena adekvatnost kapitala dovoljna za pokriće ukupnog rizika i ostvarenje strateških ciljeva društva.
Sposobnost nosivosti rizika uključuje najmanje:
– ispunjenje Zakonom propisanih zahtjeva za adekvatnosti kapitala, kao minimalni zahtjev
– procjene od strane trećih osoba, primjerice rejting agencija,
– interne ciljeve društva,
– računovodstvene zahtjeve.
Kao dio strateškog procesa, uprava društva određuje planske ciljeve u dijelu dobiti i kapitala te pribavlja pregled rizičnog profila društva baziranog na ekonomskoj procjeni do razine do koje je to tehnički izvedivo. U skladu s određenjem uprave društva za preuzimanje rizika, utvrđuje se udio potencijala za prihvat rizika u okviru nosivosti rizika koji bi u stvarnosti trebao biti korišten za pokriće rizika. To uključuje specifične politike za upravljanje rizikom poput: strukture i ročnosti imovine i obveza, raznolikosti i stabilnosti izvora financiranja, pristupa upravljanju unutar-dnevne likvidnosti, pretpostavki o likvidnosti i utrživosti imovine i slično.
Metode i pretpostavke korištene u izradi nosivosti rizika jasno su dokumentirane i obrazložene. Uprava društva odobrava i dokumentira pretpostavke korištene u određivanju potencijala za prihvat rizika. Visina obračunatog potrebnog iznosa uzima se u obzir u skladu s poslovnom strategijom, i prikazuje se prilikom ograničavanja rizika.
Na temelju koncepta sposobnosti nosivosti rizika, uspostavlja se konzistentan sustav ograničavanja rizika kojima se određena ograničenja, postavljena od strane uprave društva, prenose na najvažnije upravljačke jedinice organizacije društva. Iskorištenost ograničenja brojčano se iskazuje i agregira na razini cijelog društva te se uspoređuje s udjelom u potencijalu za prihvat rizika koji se koristi za pokriće tih rizika. Tijekom poslovne godine kontrolira se stvarno pokriće rizika uz pomoć brojčanih pokazatelja, a rezultati kontrole periodično se dostavljaju upravi društva. Izvješće o rezultatima kontrole izrađuje se od strane neovisnih funkcija, odnosno ne smiju ga izraditi osobe koje operativno upravljaju pokazateljima rizika.
Ograničenja su, uzimajući u obzir nosivost rizika, instrumenti za primjenu Strategije, čime se donositeljima odluka omogućava svjesno upuštanje u rizike usklađene sa sposobnošću nosivosti rizika.
Ograničenja se mogu postaviti na razini organizacijskih jedinica, proizvoda, premija kao i po vrstama rizika. Uprava društva dokumentira i zna obrazložiti do koje mjere i iz kojeg razloga su primijenjene metode alokacije najbolje za ispunjenje utvrđene Strategije. Odabrana ograničenja moraju biti konzistentna i s udjelom u potencijalu za prihvat rizika koji se namjerava koristiti za pokriće rizika.
Ograničenja se načelno postavljaju na svim relevantnim upravljačkim razinama i za sve vrste rizika obuhvaćenim u Smjernicama. Ograničenja se odabiru u odnosu na radno mjesto i poslovni proces te stoga na različitim upravljačkim razinama mogu biti različita. Odgovornost za utvrđivanje značajnih ograničenja za društvo snosi uprava društva. Ograničenja moraju – ako je moguće – biti kvantitativne naravi. Ako kvantitativno ograničenje svih rizika koji se pojavljuju tijekom poslovanja (npr. operativni rizik) radi veličine društva nije moguće, potrebno je uvesti postupke i kvalitativna pravila za organizaciju u cilju ograničavanja rizika. To su primjerice upute, planovi u krizi, edukacije itd.
Društvo postavlja ograničenja za sve poslove koji uključuju rizike te osigurava pojedinoj poslovnoj jedinici kontinuiranu i cjelovitu obaviještenost o ograničenjima relevantnim za tu poslovnu jedinicu kao i podatke o iskorištenosti postavljenih ograničenja.
Usklađenost s ograničenjima se kontrolira. U slučaju prekoračenja ograničenja sastavlja se izvješće koje sadržava opis prekoračenja ograničenja, obrazloženja za nastala prekoračenja kao i poduzete mjere.
Internim politikama i procedurama, za slučaj prekoračenja ograničenja potrebno je propisati:
– tko mora biti informiran,
– u kojem vremenskom roku,
– u kojem obliku te
– procedure koje se aktiviraju prekoračenjem limita – ograničenja (eskalacija).
Ograničenja se izvode iz sposobnosti nosivosti rizika. Njihovu iskorištenost kontrolira neovisna funkcija kontrole rizika, a rezultati kontrole se periodično prosljeđuju upravi društva pri čemu je potrebno obavijestiti upravu društva o trajanju i prekoračenju limita.
4.2. Proces kontrole rizika
Proces kontrole rizika, u smislu ovih Smjernica, sastoji se od sljedećih procesnih koraka:
1. identifikacija rizika;
2. analiza i procjena rizika;
3. ovladavanje rizicima i odabir instrumenata za upravljanje rizikom;
4. praćenje rizika.
4.2.1. Identifikacija rizika
Proces identifikacije rizika odvija se na sveobuhvatnom temelju za mjerenje svih rizika pri čemu je bitno da su obuhvaćeni svi rizici jer se upravljanje rizicima ne može odnositi na neidetificirane rizike.
Društvo jasno definira, klasificira i kontinuirano prati rizike kroz sve poslovne procese, u cijelom društvu, na svim funkcionalnim i hijerarhijskim razinama na strukturiran i sustavan način.
Društvo definira unutarnje i vanjske čimbenike kao pokretače rizika kao i referentne vrijednosti na koje rizici utječu (npr. vlastita sredstva, prihod od premije i drugi prihodi, a svakako moraju biti izabrani u odnosu na utjecaj rizika na gospodarsko i financijsko stanje društva te na prinos društva), specificira konkretne uzroke rizika te određuje granice značajne za procjene rizika.
Pri identifikaciji rizika uzimaju se u obzir svi materijalni pokretači rizika koji mogu imati utjecaj na stanje rizika u društvu i ako je to prihvatljivo i ako je matematičko-tehnički moguće, sve međuovisnosti među pokretačima rizika koje se redovito utvrđuju.
Kao pokretači rizika uzimaju se u obzir interni faktori kao što su interna organizacijska i operativna struktura, različite poslovne aktivnosti te vanjski faktori kao što su promjene specifične za industriju, promjene na tržištu kapitala, novi ili izmijenjeni zakonodavni zahtjevi te tehnički razvoj.
Metode koje se koriste pri identifikaciji rizika mogu biti:
– strukturirana procjena, primjerice procjena poslovnoga plana,
– scenarij – analiza,
– kontrolne liste,
– standardizirani upitnici,
– trend-analiza,
– procjena stručnjaka/radionice,
– intervjui,
– radionice,
– razgovor,
– Delfi metoda[1].
U cilju provedbe sveobuhvatne identifikacije rizika predlaže se kombinacija navedenih metoda u skladu s rizičnim profilom društva.
Identifikacija rizika započinje već u procesu strateškog planiranja, a usklađuje se s rizičnim profilom društva tako da se usklađenje ponovi najmanje jednom godišnje. Promjena strategije i ciljeva poslovanja zahtjeva i provjeru rezultata procesa identifikacije rizika u odnosu na izmjenu okvirnih uvjeta kao i usklađenje, ukoliko je potrebno.
Rezultati identifikacije rizika sistematizirano su utvrđeni i opisani u Katalogu rizika ili Registru rizika, koji najmanje moraju sadržavati podatke o:
– vrsti rizika,
– odgovornoj organizacijskoj jedinici,
– pokretačima rizika,
– referentnim vrijednostima na koje rizici utječu,
– međudjelovanju s drugim rizicima,
– pokrenutim mjerama i mjerama u tijeku,
– predvidivim budućim potencijalima rizika.
Identifikacija rizika provodi se u svim organizacijskim jedinicama društva.
4.2.2. Analiza i procjena rizika
Na temelju rezultata identifikacije rizika obavljaju se analiza i procjena rizika. Nakon postupka identifikacije rizika, provodi se postupak procjene rizika, što predstavlja mjerenje veličine potencijalnog gubitka kao i vjerojatnosti njegova pojavljivanja. Procjena obuhvaća i određivanje prioriteta jer određeni rizici, zbog veličine potencijalnih gubitaka koje mogu uzrokovati, traže veću pozornost od drugih.
Analiza i procjena rizika imaju za cilj kvantitativnu i kvalitativnu procjenu potencijalnih i stvarnih odstupanja od poslovnih ciljeva zbog pojedinačnog rizika odnosno sveukupnog rizika. Nadalje, potencijalna odstupanja procjenjuju se u odnosu na pokretače rizika.
Analiza rizika klasificira identificirane rizike po značajnosti, u prethodno definirane kategorije rizika društva. Analiza rizika pokazuje primijenjene referentne vrijednosti kao i međuodnose između identificiranih rizika.
Kako bi se analizirao i procijenio neki rizik, u odnosu na vrstu rizika (posebice u odnosu na mogućnost njegove kvantifikacije) i raspoloživu bazu podataka, procjenjuje se razina rizika i vjerojatnost njegovog nastupa, kao i međuodnos između značajnih rizika unutar definiranog vremenskog horizonta.
Postavljanjem prioriteta prema važnosti rizika i klasifikacije rizika prema kategorijama rizika i referentnim vrijednostima, društvo donosi odluku o metodi koja bi se primijenila za procjenu rizika. Pri tome je potrebno odrediti slučajne varijable i korespondirajuću distribuciju vjerojatnosti. Funkcija vjerojatnosti definira se na način da se odredi distribucija slučajnih varijabli na temelju povijesnih podataka. Ako se, u odnosu na raspoloživu bazu podataka, vrstu rizika ili druge čimbenike ne može koristiti matematička/statistička procedura za određivanje funkcije vjerojatnosti, vjerojatnost nastupa u postotku, određuje se prema procijeni stručnjaka.
Procjena rizika obavlja se nakon određivanja vjerojatnosti nastupa određenog događaja, i to metodama: analizom stabla pogreške (engl. The Fault Tree Analysis), analizom osjetljivosti i ABC analizom.
Metoda procjene rizika te učestalost moraju odgovarati svakom pojedinom riziku, pri čemu je potrebno omogućiti agregiranje rezultata i pri čemu društvo razvija konzistentne zahtjeve za podacima o značajnim rizicima koji se prikupljaju prema zahtjevima za postupanje s rizicima te u skladu s poslovnom i rizičnom strukturom društva. Metode i procedure koje se koriste za analizu i ocjenu rizika posebno se definiraju u odnosu na svaku pojedinu vrstu rizika. Analiza i procjena rizika mogu se provoditi na temelju kvalitativnih i kvantitativnih metoda kao što su primjerice upitnici, stres-testovi i scenario-analize.
Kod procjene, potrebno je također razlikovati bruto i neto ocjenu rizika. Bruto ocjena rizika se odnosi na ocjenu stanja prije primjene mjera za ovladavanje rizikom, a neto procjena rizika uzima u obzir postojeće mjere za ovladavanje rizikom.
Vremenski horizont za ocjenu rizika usklađen je s planiranim horizontom definiranim od strane društva kako bi se moglo konzistentno upravljati poduzetim mjerama, pri čemu se osigurava mogućnost da se vremenski horizont u posebnim okolnostima može prilagoditi novim čimbenicima. U svrhu usporedivosti kao vremenski horizont daje se prednost minimalnom standardu godišnjeg ocjenjivanja. Vremenski horizont za izračun zakonom propisanih granica solventnosti može se razlikovati od onoga za kapital angažiran za postupanje s rizicima.
Kako bi se razvile odgovarajuće mjere i strategije za ovladavanje rizicima, rizici se na temelju rezultata procjene kategoriziraju i redaju po značaju. Također se ocjenjuje cjelokupni rizik društva u odnosu na ocjenu pojedinačnih rizika pri čemu se uzima u obzir akumulacija/koncentracija i međuovisnosti unutar i između pojedinačnih rizika. Rizici se u utvrđenom razdoblju agregiraju prema poslovnim područjima i/ili vrstama rizika.
U prvom koraku, ocjena rizika mora uvijek biti kvalitativna. Kvantitativna ocjena provodi se nakon što se neki rizik definirao kao značajan. Kvalitativna ocjena koristi se samo ako je za neke vrste rizika kvantitativna ocjena nemoguća ili ekonomski nerazumna. U tom slučaju kvalitativna ocjena detaljno se obrazlaže.
Rezultat analize i procjene rizika su svi rizici u društvu koji su uzeti u obzir unutar raspoložive sposobnosti nosivosti rizika društva.
Rezultat analize i procjene su rizične (neto) pozicije na koje aktivno utječu mjere upravljanja rizicima pri čemu mjere imaju za cilj smanjenje vjerojatnosti nastupa (npr. uspostavom kontrola i ograničenja iznosa štete) ili ograničavanje iznosa gubitka (npr. prijenos rizika).
Potrebno je osigurati informiranost uprave društva o aktualnom rizičnom profilu odnosno o mogućim gubicima iz pojedinačnih rizika kako bi uprava društva mogla adekvatno reagirati poduzimanjem mjera upravljanja i izmjenama.
O procjeni odnosno preporukama za određene radnje uprave društva, bez odgode se obavještavaju poslovne jedinice.
4.2.3. Ovladavanje rizicima i odabir instrumenata ovladavanja
Razmatranje alternativa i odabir instrumenata za upravljanje rizicima sljedeći je korak nakon identifikacije i procjene rizika. Ovladavanje rizicima poznaje dva osnovna pristupa:
– kontrola rizika i
– financiranje rizika.
Kontrola rizika se temelji na minimiziranju rizika od gubitaka kojemu je društvo izloženo, a financiranje rizika se temelji na usklađivanju raspoloživih sredstava za pokrivanje gubitka koji proizlaze iz rizika koji preostaju nakon primjene tehnike kontrole rizika.
Četiri su osnovne tehnike sadržane u pristupima kontrole i financiranja rizika, a to su: izbjegavanje i smanjivanje rizika uključeni u tehniku kontrole, te zadržavanje i prijenos rizika kod financiranja rizika.
Ovladavanje rizicima dio je procesa upravljanja rizicima, a predstavlja donošenje mjera radi ovladavanja rizicima te obuhvaća proces razvoja i primjene strategija i koncepata koji imaju za cilj svjesno prihvaćanje ili izbjegavanje ili ograničavanje identificiranih i analiziranih rizika. Konkretne mjere za ovladavanjem rizika uključuju:
– povećane kontrole za smanjenje vjerojatnosti nastupa rizika ili
– povećanja reosigurateljne zaštite za ograničavanje iznosa štete.
Ovladavanje rizicima utemeljeno je na Strategiji, a provodi se od strane poslovnih jedinica društva koji imaju profitnu/troškovnu odgovornost, odnosno koje su odgovorne za svoj poslovni rezultat.
U okviru upravljanja rizicima, strateški ciljevi upravljanja rizicima (koji odgovaraju planiranim poslovnim ciljevima) trebaju se spustiti i podijeliti na sve relevantne poslovne jedinice te na operativno mjerljive pod-ciljeve.
Za provjeru postignute razine zadanog cilja koriste se brojčani pokazatelji pri čemu je potrebno osigurati odgovarajuće brojčane pokazatelje za sve razine ovladavanja rizicima, kao i za njihovu unutarnju usklađenost te usklađenost s postavljenim veličinama rizika na svakoj agregiranoj razini.
Korišteni brojčani pokazatelji odgovaraju pojedinoj organizacijskoj jedinici koja procjenjuje promatrane rizike, ali su isto tako usporedivi s drugim jedinicama unutar samoga društva. Djelovanje brojčanih pokazatelja reflektira se u izvještaju o rizicima pri čemu je djelovanje brojčanih pokazatelja rizika kao i pozadine za korištenje detaljno obrazloženo.
Strukturiranje, primjerice ulaganja ili (re-)osiguravateljnih poslova uz pomoć brojčanih pokazatelja u mnogome ovisi o organizacijskoj i operativnoj strukturi društva. Predmet ovladavanja rizicima definiran je na način »pogleda unaprijed« tj. svaki određeni pokazatelj ima smisla samo ako iz njega proizlazi jasno određena odgovornost iz operativnog postupanja s rizicima.
U ovladavanju rizicima primjenjuje se neto-procjena što obuhvaća usporedbu postojeće neto-rizične pozicije (aktualne) sa željenom neto-rizičnom pozicijom (ciljanom) a što ima za cilj određivanje aktivnosti potrebnih za unaprjeđenje postojećih mjera ili dodatnih mjera u postupanju s rizicima, uz uvjet da navedene aktivnosti budu usklađene sa Strategijom. Usklađenje se provodi najmanje jednom godišnje. U slučaju prekoračenja, bez odgode se obavještava uprava društva.
Ako se pojave značajne promjene u općem rizičnom profilu društva ili ako se pojavi značajna koncentracija pojedinačnih rizika, odgovorne organizacijske jedinice društva moraju identificirati pokretače rizika te ponovno preračunati pokazatelje rizika nakon poduzimanja mjera.
Ako se koriste pokazatelji za rizike unaprijed se definiraju kritične granice, a ako se one prekorače ili ako razvoj situacije vodi ka prekoračenju, potrebno je unaprijed definirati komunikacijske kanale izvještavanja odnosno povjeriti upravi društva daljnje poduzimanje postupaka. U sljedećem koraku, kada se dostigne određena kombinacija kriterija ili određenih pokazatelja rizika, ukazuje se na potencijalne (protu-)mjere za postupanje s rizicima kao i za postupanje u kriznim situacijama.
4.2.4. Praćenje rizika
Praćenje identificiranih i analiziranih rizika uključuje kontrolu: rizičnog profila, iskorištenosti ograničenja, primjene Strategije, sposobnosti nosivosti rizika društva, metoda i procedura relevantnih za rizike te postupanje s rizicima. Praćenje rizika podrazumijeva i primjereni proces dokumentiranja.
Praćenje rizika provodi se redovito i u skladu sa ukupnim rizičnim profilom društva, kao i u skladu s učestalošću i vrstom promjena u poslovnom okruženju.
Praćenje rizika provodi neovisna funkcija kontrole rizika pri čemu ona ne smije uključivati neku drugu funkciju upravljanja.
4.3. Komunikacija u društvu i organizacijska kultura
Uprava društva osigurava odgovarajući način i kanale komunikacije u društvu glede svih značajnih rizika za što se pretpostavlja uspostava organizacijske kulture rizika u društvu u kojoj je senzibilizirana svijest o rizicima svih djelatnika koji su u dodiru s rizicima te uspostavljena transparentnost rizika, a u kojoj se potiče dijalog o pitanjima glede upravljanja rizicima u društvu.
4.4. Izvješćivanje o upravljanju rizicima
U skladu sa člankom 92. stavkom 4. i člankom 29. stavkom 2. Zakona, društvo uspostavlja odgovarajući sustav izvješćivanja o upravljanju rizicima na način da u odgovarajućim vremenskim razdobljima uprava društva bude izviještena o ukupnom rizičnom profilu društva i o stupnju ostvarenja ciljeva upravljanja rizicima postavljenih u Strategiji (usporedba planirano/ostvareno) te razini do koje su postavljena ograničenja za preuzimanje rizika iskorištena.
Izvješće o upravljanju rizicima upravi društva jasno je i koncizno i sadržava opis i procjenu stanja upravljanja rizicima, kao i sljedeće:
– podatke o svim ugovornim odnosima s drugim različitim poslovnim subjektima za specijalne potrebe osiguranja, pri čemu se moraju navesti tvrtka i opseg prenesenih rizika kao i uvjeti za prijenos rizika,
– promjene (prošle i buduće) u metodama identifikacije, analize i ocjene rizika ako one imaju utjecaj na financijsku poziciju društva,
– značajne posljedice nastale uslijed internih promjena u društvu, implementiranih mjera za postupanje s rizicima ili promjena u poslovnoj politici,
– opise uzroka i posljedica iznenadnih i ekstremnih događaja.
Pri sastavljanju izvješća, potrebno je uzeti u obzir značaj rizika i organizacijski te operativni ustroj. Izvješće upravi društva izrađuje se najmanje jednom godišnje. U posebnim situacijama sastavljaju se izvanredni izvještaji.
Uprava društva, u svakom trenutku, treba znati obrazložiti Izvješće o upravljanja rizicima. Za preuzete rizike uprava društva treba znati objasniti koje su alternativne radnje postojale u trenutku donošenje odluke i iz kojeg razloga se preferiralo preuzimanje rizika. Alternativne radnje i mjere potrebno je dokumentirati.
4.5. Osiguranje kvalitete internim sustavom upravljanja i kontrole
Podaci, modeli i procedure, sustav upravljanja i kontrola te sve potrebne izmjene koje se koriste u upravljanju rizicima u društvu moraju biti sustavno vrednovani i dokumentirani na način da je i trećim osobama omogućen pregled i vrednovanje istih.
Svako društvo utvrđuje svoj individualni proces vrednovanja kojim se dokazuje: svrha, adekvatnost, kvaliteta, kompletnost i učinci podataka, modela i procedura.
5. Unutarnja revizija
Društvo je dužno sukladno člancima 145. do 150. Zakona organizirati poslovanje na način da ustroji efikasnu funkciju unutarnje revizije. Uvjeti za unutarnju reviziju iz ovih smjernica određeni su u odnosu na funkciju unutarnje revizije.
Unutarnja revizija samostalno, neovisno i objektivno ocjenjuje poslovne jedinice, procese, procedure i sustave u odnosu na upravljanje rizicima, kako bi se u ranoj fazi otkrili rizici, opasnosti i nedostaci, o čemu je dužna izvještavati upravu društva.
Unutarnja revizija nadgleda cjelokupno poslovanje društva radi ocjene sustava unutarnjih kontrola ugrađenih u poslovne procese, sve u svrhu ocjene ispravnosti, ekonomičnosti i efikasnosti korištenja materijalnih i ljudskih resursa. Izradom strateških i godišnjih planova unutarnje revizije utemeljenih na procjeni rizika, unutarnja revizija se bavi rizicima na način da ih identificira i procjenjuje te dokumentira podatke o rizicima za potrebe svojih aktivnosti. Planovi, metode i kvaliteta revizije redovito se provjeravaju i razvijaju.
Unutarnja revizija, procjenjujući adekvatnost i učinkovitost kontrolnih mehanizama u odnosu na sprječavanje i minimalizaciju rizika, u svojim revizorskim izvješćima u okviru nalaza ukazuje na rizike, odnosno na neželjene događaje koji se mogu aktivirati kao posljedica neadekvatnih ili neučinkovitih kontrolnih mehanizama.
Premda dio sustava unutarnjih kontrola, unutarnja revizija je po svojoj definiciji neovisna i objektivna funkcija, kako bi mogla procijeniti i dati stručno neovisno mišljenje o prikladnosti i djelotvornosti sustava financijskog upravljanja i kontrola u odnosu na:
– utvrđivanje, procjenu i upravljanje rizicima;
– usuglašenost sa zakonima i drugim propisima;
– pouzdanost i sveobuhvatnost financijskih i drugih aktivnosti;
– učinkovitost, djelotvornost i ekonomičnost poslovanja;
– zaštitu imovine i informacija;
– obavljanje zadaća i ostvarivanje ciljeva.
Unutarnja revizija mora svoje obveze ispuniti na objektivan i neovisan način te joj se mora omogućiti neograničen pristup i puno pravo pristupa podacima i reviziji. Kao dio upravljanja rizicima grupe, funkcija unutarnje revizije grupe treba nadopunjavati aktivnosti funkcije unutarnje revizije društava u grupi.
Pri izdvajanju funkcije interne revizije u skladu sa člankom 147. stavkom 4. Zakona, društvo mora osigurati da osoba zadužena za poslove unutarnje revizije ima dovoljna znanja kako bi se osiguralo pravilno obavljanje unutarnje revizije.
Pri ugovaranju funkcije unutarnje revizije s vanjskom osobom, planovi unutarnje revizije donose se u suradnji s djelatnikom društva koji osigurava urednu provedbu unutarnje revizije.
Uprava društva donosi procedure i politike u kojima propisuje obveze, odgovornosti, organizacijsko uključivanje, ovlaštenja i izvještajne obveze osoba kojima je povjerena unutarnja revizija kao i načela neovisnosti, podjelu funkcija te obvezu potpunog informiranja spram unutarnje revizije. Unutarnja revizija neodgodivo se obavještava o svim uputama i odlukama uprave društva koje bi bile u svezi s aktivnostima unutarnje revizije, kao i o svim promjenama koje bi mogle imati značajan utjecaj na organizaciju, procedure i financijsku poziciju društva.
Unutarnja revizija o svakoj reviziji izrađuje pisano izvješće koje se bez odgode podnosi upravi društva i nadzornom odboru društva. U slučaju da rezultati revizije ukazuju na teže nepravilnosti u radu pojedinih članova uprave društva, izvješće se odmah mora podnijeti upravi društva i nadzornom odboru radi informiranja svih članova uprave te nadzornog odbora. Internim se aktima unaprijed definira što su teže nepravilnosti. Interna revizija svoje nalaze kategorizira, primjerice prema težini nalaza, poslovnoj jedinici i prema vrsti nalaza.
Funkcija unutarnje revizije bez odgode izrađuje sveobuhvatno izvješće o svim revizijama obavljenim tijekom jedne poslovne godine koje podnosi upravi društva. Izvješće o obavljenim revizijama pruža informacije o identificiranim materijalnim nepravilnostima, klasifikaciji nepravilnosti, poduzetim mjerama te stanju nakon poduzetih mjera za otklanjanje nepravilnosti.
Unutarnja revizija i neovisna funkcija kontrole rizika redovito izmjenjuju informacije o situacijama i razvoju značajnim za upravljanje rizicima, a značajni sadržaji diskusije moraju biti dokumentirani.
Unutarnja revizija prati i dokumentira otklanjanje nepravilnosti uočenih u obavljenoj reviziji unutar određenog vremenskog perioda. U slučaju da nepravilnosti nisu pravovremeno otklonjene, donose se procedure za odgovarajuće postupanje.
6. Unutarnja kontrola
Radi osiguranja efikasnog funkcioniranja svih sastavnica sustava upravljanja rizicima, potrebno je uspostaviti odgovarajuće kontrole nad upravljanjem rizicima. Funkcioniranje je potrebno verificirati najmanje jednom godišnje. Kontrolne slabosti sustava moraju se ocijeniti i bez odgode otkloniti.
7. Upravljanje rizicima povezanim s ugovaranjem izdvojenih poslova
Na osnovi analize rizika, društvo ocjenjuje koje su aktivnosti i procesi prikladni za ugovaranje prijenosa izdvojenih poslova, s osnove upravljanja rizicima. Na temelju analize rizika uprava društva donosi odluku o ugovaranju prijenosa izdvojenih poslova. Pri analizi rizika uključuju se sve relevantne poslovne jedinice uključujući i unutarnju reviziju.
Kriteriji koji se uzimaju u obzir za izdvajanje određenih poslova, su uz ostalo i:
– jasna određenost poslova te obveza osobe koja preuzima na sebe obavljanja izdvojenih poslova,
– utemeljenost prava unutarnje i vanjske revizije na obaviještenost i provjeru (sukladno Zakonu o osiguranju),
– prava Agencije na obaviještenost, provjeru i mogućnosti kontrole,
– jasno određeno pravo za izdavanjem uputa od strane društva,
– jasna pravila glede osiguranja zaštite svih podataka, a posebno osobnih podataka,
– primjereni rokovi otkaza,
– mora se osigurati usklađenost tvrtke koja preuzima izdvojene poslove s nadzornom regulativom.
Osoba kojoj su povjereni izdvojeni poslovi, informira društvo o razvoju događaja koji utječu ili bi mogli imati utjecaj na izdvojene poslove.
Rizik povezan s izdvojenim poslovima se identificira, analizira i procjenjuje te se njime upravlja na odgovarajući način, a provedbu izdvojenih poslova potrebno je uredno nadzirati.
Ovo se posebice odnosi na operativne rizike. Nadzor nad provedbom izdvojenih poslova znači i redovitu procjenu ispunjenja ugovornih obveza osobe koja je preuzela obavljanje izdvojenih poslova uz pomoć prethodno određenih kriterija. Društvo osigurava jasno određenu odgovornost za praćenje i upravljanje izdvojenim poslovima. Ako društvo namjerava raskinuti ugovor o prijenosu obavljanja izdvojenih poslova, prethodno se poduzimaju mjere u cilju osiguranja kontinuiteta i kvalitete izdvojenih poslova.
8. Upravljanje kontinuitetom poslovanja
Proces upravljanja kontinuitetom poslovanja je proces koji treba osigurati kontinuitet poslovanja i koji ograničava gubitke u slučajevima znatnijeg narušavanja ili prekida poslovanja. U sklopu upravljanja kontinuitetom poslovanja društvo utvrđuje ključne/kritične poslovne aktivnosti, procese, sustave (uključujući i izdvojene poslove) i razinu usluge koju društvo mora održavati ili pravovremeno obnoviti te s tim u svezi:
– procijeniti utjecaj njihova narušavanja ili prekida na poslovanje društva i utvrditi s tim povezane rizike,
– odrediti prioritete, vremenski okvir i strategiju za održavanje/obnovu utvrđenih ključnih poslovnih aktivnosti, procesa, sustava i razine usluge.
Upravljanje kontinuitetom poslovanja sastavni je dio upravljanja operativnim rizikom i upravljanja rizikom u cjelini te se u tom smislu integriraju metode upravljanja operativnim rizikom u proces upravljanja kontinuitetom poslovanja.
8.1. Planovi postupanja u nepredviđenim i kriznim situacijama
Društvo donosi plan kontinuiteta poslovanja i plan za slučaj nepredviđenih okolnosti kojima se osigurava kontinuitet poslovanja odnosno pravodobna ponovna uspostava ključnih poslovnih aktivnosti, procesa, sustava i razine usluge te ograničuju gubici u slučajevima znatnijeg narušavanja ili prekida poslovanja. Cilj plana za postupanje u nepredviđenim i kriznim situacijama nastavak je obavljanja poslovnih aktivnosti u okviru definiranih procesa, te zaštita osoba i stvari kao i imovine koja se koristi u stvaranju vrijednosti.
Društvo redovito revidira plan kontinuiteta poslovanja i plan za slučaj nepredviđenih okolnosti u skladu s poslovnim promjenama, uključujući promjene u proizvodima, aktivnostima, procesima i sustavima, promjenama u okruženju te poslovnom strategijom i ciljevima kreditne institucije.
Društvo redovito i nakon revidiranja na odgovarajući način testira plan kontinuiteta poslovanja i plan za slučaj nepredviđenih okolnosti te dokumentira rezultate testiranja.
Društvo određuje mjere opreza za nastup nepredviđenih događaja te mjere za hitne i krizne situacije, kada kontinuitet najvažnijih procesa i sustava u društvu više nije moguć, a normalna organizacijska struktura ili struktura za donošenje odluka nije dovoljna za vladanjem istima.
Planovi za postupanje u nepredviđenim i kriznim situacijama stavljeni su na raspolaganje svim poslovnim jedinicama društva koje su u njega uključene.
8.2. Izvješćivanje u svezi s planiranjem kontinuiteta poslovanja
Društvo mora u sklopu sustava izvještavanja o izloženosti operativnom riziku izvještavati upravu društva i relevantne razine upravljanja društva o svim relevantnim činjenicama koje se odnose na planiranje kontinuiteta poslovanja, a osobito o testiranju plana kontinuiteta poslovanja i plana za slučaj nepredviđenih okolnosti i značajnijim promjenama u upravljanju kontinuitetom poslovanja.
U slučaju nastupa okolnosti koje zahtijevaju pokretanje plana kontinuiteta poslovanja i plana za slučaj nepredviđenih okolnosti, društvo je dužno bez odgađanja obavijestiti Agenciju o svim relevantnim činjenicama i okolnostima koje se na to odnose.
9. Uspostava sustava ranog upozorenja
Društvo uspostavlja sustav ranog upozorenja te u kontinuiranim razmacima provodi stres-testove posebice u dijelu rizika ulaganja te osigurateljno-tehničkih rizika kao i test njihovog utjecaja na financijski položaj i financijski rezultat te zakonom propisane odredbe vezane uz solventnost.
Provedba stres-testova omogućuje da društvo u svako doba ispunjava zahtjeve u pogledu solventnosti.
10. Dostupnost podataka i dokumentacije
Kompletne i točne informacije bitne za funkcioniranje procesa upravljanja rizicima moraju biti dostupne donositeljima odluka, odnosno upravi društva.
Dokumentacija uključuje sve materijalne formule, parametre, modele, procedure, aktivnosti, ograničenja, odluke i eventualno utvrđene nepravilnosti i posljedične zaključke. Značajne promjene sačinjene tijekom godine bez odgode se bilježe i prenose unutar društva. Cjelokupna dokumentacija je transparentna i dostupna unutar društva.
Za potrebe upravljanja rizicima koriste se minimalni podaci i informacije iz različitih korporativnih funkcija i znanstvenih disciplina, kao što su:
– prodaja,
– računovodstvo,
– korporativno planiranje, poslovni razvoj i vrednovanje društva,
– pohrana i backup podataka,
– upravljanje imovinom, uključujući informacije s tržišta kapitala,
– premije, razvoj proizvoda, aktuarska funkcija/struka,
– upravljanje štetama,
– upravljanje preuzimanjem osiguranja ili postupanje s tehničkim pričuvama u osiguranju,
– matematičke/statističke procedure.
III. PRIJELAZNE I ZAVRŠNE ODREDBE
Smjernice se donose na temelju članka 92. stavka 4. Zakona i obvezujuće su za sve obveznike navedene u članku 6. Zakona. Agencija može temeljem članka 156. Zakona provjeriti poštivanje pravila o upravljanju rizicima.
Obveznici ovih Smjernica moraju najkasnije do 30. lipnja 2010. uskladiti svoje poslovanje, strategiju, organizaciju te donijeti politike i procedure u skladu s odredbama ovih Smjernica.
Ove Smjernice se objavljuju u »Narodnim novinama« i stupaju na snagu danom objave.
Klasa: 011-02/09-04/75 Urbroj: 326-01-09-1 Zagreb, 17. siječnja 2009.
Član Uprave Ivan Vrljić, v. r.
[1]Delfi metoda kvalitativna je metoda istraživanja koja se koristi u prirodnim i društvenim znanostima u svrhu predviđanja trendova, istraživanja nedovoljno poznatih fenomena, rješavanja kompleksnih problema ili donošenja odluka. Delfi metoda efikasna je zbog nepristranosti sudionika jer se mišljenja i pretpostavke stručnjaka zasebno prikupljaju anketiranjem, tj. ispunjavanjem upitnika. Upitnik stručnjaci ispunjavanju neovisno jedan o drugome što ovoj metodi daje karakter nepristranosti. U prvoj fazi provedbe Delfi metodom pitanja se prezentiraju stručnjacima koji moraju na njih pismeno odgovoriti, odnosno ispuniti upitnik. Ispunjeni upitnici se obrade, a rezultati ankete šalju se anketiranim stručnjacima na ponovno mišljenje i reviziju. Obično se provode tri ili više serija obrade i prikupljanja primjedbi na obradu. Kada koordinator provedbe ankete zaključi da su sudionici više-manje iskazali svoje stavove, može se formirati grupa te nastaviti provedba kao grupni rad. Anketirani stručnjaci ne moraju ostvariti konsenzus, već njihova različita mišljenja i stavovi mogu poslužiti kao osnova za izradu različitih scenarija važnih radi identifikacije mogućih budućih događaja.
Izvor: http://narodne-novine.nn.hr/clanci/sluzbeni/2009_12_155_3859.html