upravljanje rizicima za ljudske resurse
DESCRIPTION
HR Konferencija 2013TRANSCRIPT
Dr.sc. Zdenko AdelsbergerBluefield d.o.o.
Zagreb, [email protected]
www.bluefield.hrwww.kvalis.com
UPRAVLJANJE RIZICIMA ZA LJUDSKE RESURSE
UvodProblem sigurnosti ljudskih resursa predstavlja ne samo ljudsku i poslovnu potrebu već i zakonsku obavezu za svaki poslovni subjekt. Način pristupa provedbi aktivnosti vezanih za sigurnost ljudskih resursa temelji se na procjeni rizika u skladu sa zakonskom regulativom, ali i međunarodnim standardima. Međutim, za proaktivno upravljanje sigurnošću ljudskih resursa nužno je provoditi ne samo procjenu rizika već sveobuhvatno upravljanje rizicima. U izlaganju će se prikazati kritička analiza načina procjene rizika ljudskih resursa na temelju upravljanja rizicima prema međunarodnom standardu ISO 31000:2009, kao i nekih drugih međunarodnih dokumenata.
Ljudski resursi i sigurnost u organizacijama
Osobna sigurnost zaposlenika
Sigurnost da će zaposlenici ostvariti poslovne ciljeve
Ekvivalent?
Ljestvica ljudskih potreba prema Maslowu1. Fiziološke potrebe (primarne biološke potrebe: potreba za hranom, vodom,
kisikom, spavanjem, opstankom vrste, zaštita od ekstremnih temperatura, te potreba za izlučivanjem);
2. Potreba za sigurnošću (primarna psihološka potreba, a ogleda se u potrebama za stalnošću, redom, poretkom, strukturom i potrebi za predvidljivošću događaja u bližoj ili daljnjoj budućnosti);
3. Potreba za pripadanjem i ljubavlju;4. Potreba za samoostvarenjem;5. Potreba za samonadilaženjem, te6. Princip homeostaze (je princip po kome je najvažnija ravnoteža između potreba).
1. Potreba za resursima, okruženjem, okolišem;2. Potreba za sigurnošću;3. Potreba za lojalnošću i pripadanjem;4. Potreba za potvrđivanjem na tržištu;5. Potreba za poboljšanjem, te6. Princip homeostaze (ravnoteža potreba).
Modifikacija ljestvice Maslowa na kompanije
Abraham Harold Maslow (1.4.1908 - 8.6.1970) bio je američki psiholog koji je najbolje poznat po stvaranju „Maslowljevih hijerarhijskih potreba”, teorije psihološkog zdravlja utemeljen na ispunjavanju urođenih ljudskih potreba po prioritetu.
Značaj korporativnih rizika za poslovnu strukturu
POSLOVNI CILJEVI
STRATEGIJE
PROCESI
KORPORATIVNI RIZICI
Politika
MisijaVizija
Postižu se pomoću
Omogućuju
Umanjuju
Odgovorne za
Prijete
NESIGURNOST
Distribucija frekvencije pojave i veličine gubitaka
Veličina gubitaka
Fre
kven
cija
gu
bita
ka
Neočekivani gubici
Gubici za koje se planiraju (rezerviraju) sredstva oporavka
Katastrofalni gubici za koja nema
sredstava oporavka
Očekivani gubici
Poslovni proces i njegovi elementi prema ISO 9001:2008Sve poslove u nekoj organizaciji treba promatrati kao procese ili dijelove jednog ili više
poslovnih procesa.
Vrste poslovnih procesa u organizaciji
Procesi podrškeU
prav
ljanj
e lju
dski
m re
surs
ima
Upravljački procesi
Glavni procesiRezultati glavnih
procesa se prodaju na tržištu (zarađuju novac)
Ključni zahtjev i pitanje svih zainteresiranih strana
ZAHTJEV
Ispuniti sve planove i ostvariti ciljeve!
PITANJE
Kakva je sigurnost da će se ispuniti planovi
i ostvariti ciljevi?
Komponente sigurnosnog rješenja
TehničkeTehničke Organizacijske
Procjenarizika
Procjenarizika
PolitikePolitike
ProcedureProcedureSvjesnostSvjesnostLegitimnostLegitimnost
20% 80%SIGURNOSNO
RJEŠENJE
Definicija rizika prema ISO GUIDE 73:2009
Rizik je efekt nesigurnosti za ciljeve.NAPOMENA 1: pod efektom se smatra odstupanje od očekivanog — pozitivno i/ili negativno.
NAPOMENA 2: ciljevi mogu imati različite aspekte (npr. financijske, na zdravlje i sigurnost, ciljevi zaštite okoliša, informacijska sigurnost, itd.) i mogu imati različite razine (npr. strateški, organizacijski, projektni, produkata, procesni).
NAPOMENA 3: rizik je često karakteriziran u odnosu na kombinaciju potencijalnih događaja i posljedica koje se mogu dogoditi.
NAPOMENA: rizik je često izražen u iznosima kombinacije posljedice događaja (uključujući promjene uvjeta) i pridruženog ponavljanja (frekvencije) događaja.
NAPOMENA 5: nesigurnost je stanje, čak i djelomičnog, nedostatka informacija o događajima, posljedicama i frekvenciji.
Fizikalni princip rizika
Prijetnje• teroristička djelovanja;• kvar klimatizacije;• čestice/prašina iz zraka;• bombaški napad;• povreda zakonodavnih ili nadzornih
odredaba;• povreda ugovornih obveza;• ugrožavanje sredstava;• šteta nastala uslijed trećih strana;• uništenje planova kontinuiteta
poslovanja;• katastrofe (prirodne ili od ljudi);• otkrivanje informacija;
otkrivanje lozinki;• prekid poslovnih procesa;• zemljotres;• prisluškivanje;• zagađenje okoliša (i ostali oblici
prirodnih katastrofa ili nesreća koje uzrokuju ljudi);
• kvar opreme;• greške;• krivotvorenje zapisa;• požar;• poplava;• prijevara;
• kvar sistema;• zloporaba sistema (slučajna ili
namjerna);• krađa• neovlašteni pristup;• neovlaštena ili nenamjerna
promjena;• neovlašten fizički pristup;• neovlaštena upotreba materijala u
intelektualnom vlasništvu (Intellectual Property Rights - IPR);
• neovlaštena upotreba softvera;• neuspješne promjene;• vandalizam;• namjerna šteta;• ilegalna upotreba softvera;• ometanje;• prekid poslovnih aktivnosti i procesa;• munja;• gubitak zapisa;• gubitak usluga;• greška održavanja;• zloporaba resursa ili sredstava;
Potencijalan uzrok slučaja koji može naškoditi ciljevima (funkciji) objekta.
IZVORI PRIJETNJI
• UnutarnjiLjudi, organizacija, tehnologija, pravila, itd.
• VanjskiAntropogeni, tehničko-tehnološki, biološko-kemijski, prirodne sile
RanjivostRanjivost su sigurnosne slabosti povezane sa imovinom organizacije. Sama po sebi, ranjivost ne nanosi štetu, to je samo stanje ili niz stanja koje mogu prijetnji dozvoliti uzrokovanje štete na imovini ili poslovima koje ta imovina obavlja.
• Nedovoljno sigurnosno obučavanje• Nedostatak svjesnosti o sigurnosti• Nedostatak mehanizma praćenja• Nedostatak politika za ispravnu upotrebu …• Nemotivirano ili nezadovoljno osoblje • Nenadzirani rad vanjskog osoblja • Neodgovarajuća ili nebrižna upotreba kontrole fizičkog pristupa
zgradama, prostorijama i uredima • Nedostatak fizičke zaštite zgrada, vrata i prozora • Lokacija u području podložnom poplavi • Nedovoljno održavanje/neispravna ugradnja • Osjetljivost opreme na vlagu, prašinu, prljavštine • Nestabilna električka mreža• Nedostatak zaštite od prijenosnih kompjutera• Itd.
PRIMJERI NEKIH RANJIVOSTI
Posljedica
Rezultat interakcije prijetnje i ranjivosti, odnosno stanje kada je prijetnja iskoristila ranjivost i time dovela do pojave štete za organizaciju.
Šteta se uvijek mora izraziti u financijskim iznosima.
Primjeri posljedica:
• Gubitak profita• Gubitak ugleda (image)• Negativni utjecaj na okoliš• Itd.
Primjer prijetnji i ranjivosti ljudskih resursa
PRIJETNJA KOJA MOŽE ISKORISTITI RANJIVOST
RANJIVOST
Greška osoblja pratećih funkcija Nedovoljno sigurnosno obučavanje Korisnička greška Nedostatak svjesnosti o sigurnostiUporaba softvera na neovlašteni način Nedostatak mehanizma praćenjaUporaba mrežne opreme na neovlašteni način
Nedostatak politika za ispravnu uporabu telekomunikacijskih medija i slanje poruka
Neovlašteni pristup Ne uklanjanje prava pristupa nakon prestanka rada
Krađa Nikakav postupak koji osigurava povratak sredstava nakon prestanka rada
Krađa Nenadzirani rad vanjskog osoblja ili osoblja koje radi prekovremeno
Zloporaba opreme za obradu informacija Nemotivirano ili nezadovoljno osoblje
3D i 2D kvalitativna procjena rizika
RIZIK
Posljedice
RanjivostPrije
tnje
RIZIK
Posl
jedi
ce
Vjer
ojat
nost
a bRizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica
Primjer procjene rizika (kvalitativna metoda)Vjerojatnost i posljedice se mjere u skali 1-10.
1 = malo 10 = veliko
Rizik Vjerojatnost Posljedica
Vlasnik je imao saobraćajku, odsutan 6 tjedana 2-3 8
Vlasnik (80) će umrijeti 8 8
Vlasnik (35) će umrijeti 1 8
Otkaz novog zaposlenika 3 3
Zaposlenik se ozlijedio na poljoprivrednoj opremi 5 5
Usporedba kvalitativne i kvantitativne metode procjene rizika
Kvalitativna metoda
Sada VJERUJEMO
da je nivo rizika Х
MISLIM da je nivo rizika Х
Sada ZNAMO da je nivo rizika Х
Nivo rizika je Х
EKSPERT
ZA
PROCJENU
RIZIKA
VRHOVNAUPRAVA
Kvantitativna metoda
Kontrola rizika
Smanjenje obradom rizika
Preostali rizikUkupni rizik koji izaziva gubitke kroz incidente
Rizik
Nepoznati rizik
Vrijeme
Ukupni rizik prije implementacije zaštite(Ukupni nivo početne nesigurnosti IS)
Poznati rizik nakon implementacije zaštite(Željeni nivo nesigurnosti)
Poznati rizik prije implementacije zaštite(Početni nivo poznate nesigurnosti)
Period implementacije kontrola
Opcije za kontrolu rizika:1. Izbjegavanje rizika2. Transfer rizika3. Smanjenje rizika4. Prihvaćanje rizika
Matrica rizika i strategija upravljanja rizicima
Vjerojatnost incidenta
Posl
jedi
ca
Mala Velika
Mal
aVe
lika
PRIHVATI PRIHVATI
IZBJEGAVAJTRANSFERIRAJ
SMANJI
Neki od ključnih rizika u organizaciji
Definicija operativnog rizika prema sporazumu BASEL II
Operativni rizik je definiran kao rizik od gubitka koji proističe iz neadekvatnih ili neuspješnih internih procesa, ljudi i sistema ili iz vanjskih događaja.
Ova definicija uključuje zakonski rizik ali isključuje strateški i reputacijski rizik.
Zakonski rizik uključuje, ali nije ograničen na, izloženost globama, kaznama, kaznenim odštetama proisteklim iz aktivnosti supervizije kao i iz privatnih izvršenja.
Pojam “operativni rizik” – prvi puta je korišten 1995. godine (bankrot Baringsa)
Operativni rizik po vrstama uzroka
Uzrok Kategorija događajaLjudski faktor Neovlaštene aktivnosti, krađe i prevare zaposlenih, unutrašnji
sistem sigurnosti, odnosi prema zaposlenima, različitost i diskriminacija, ne odgovarajuća poslovna ili tržišna praksa
Procesi Sigurnost radnog okruženja, prikladnost, transparentnost i povjerljivost, greške u proizvodima i uslugama, selekcija, sponzorstvo i izloženost prema klijentu, savjetodavne aktivnosti, nezgode i opća sigurnost, upravljanje procesima, obuhvaćanje i izvršenje transakcija, nadzor i izvještavanje, prijem klijenata i adekvatnost dokumentacije
Sistemi Neadekvatnost, neefikasnost, loše funkcioniranje ili pad IT sistemaEksterni faktor Krađe i prijevare (od strane trećih lica), vanjski sistem sigurnosti,
druge namjerne aktivnosti, prirodne nepogode, katastrofe prouzrokovane ljudskim faktorom, politički i zakonski rizik(javne usluge/informacije) neraspoloživost dobavljača, poslovni partneri, prodavači i dobavljači
Tipovi poslovnih rizikaIzvor: Sacht, J. (2010). Business Risks Identified in South Africa. Personal discussion. Johannesburg
Nivoi vrsta rizika Spremnost za zaštitu
Rizici ljudskih resursa (kako vidi menadžment)
Loše zapošljavanje / izborNedostatak uspješnog planiranja Loše
upravljanje informacijamaVeliki izostanci
SabotažaLoša etika
Problemi naknadaNepotizam
Štrajkovi / sporoviProvjera kvalifikacija
Nedostatak poštivanja zakona / pravilaLoš leadership / upravljanje
Nedostatak vještinaZadržavanje zaposlenika
Podprocesi procesa upravljanja ljudskim resursima
Proces upravljanja ljudskim resursima
Podproces 1Prije zaposlenja
Podproces 2Tokom zaposlenja
Podproces 3Prekid ili promjena
Obvezna procjena
rizika
Obvezna procjena
rizika
Obvezna procjena
rizika
U slučaju promjene
radnog mjesta
Sigurnosni ciljevi za sigurnost ljudskih resursaPrilagodba ISO 27001:2005 (A.8) za univerzalnu primjenu
Period primjene
Sigurnosni ciljevi
Prema ISO 27001:2005 (A.8) Univerzalna primjena
Prije zaposlenja
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe.
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe,. . .
Tijekom zaposlenja
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške.
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji poslovnoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku poslovnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške.
Prekid ili promjena zaposlenja
Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja.
Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja.
Sigurnosne mjere za sigurnosne ciljeve ljudskih resursaSigurnosni ciljevi
Prije zaposlenja Tijekom zaposlenja Prekid ili promjena zaposlenja
Funkcije i odgovornostiPotrebno je odrediti i dokumentirati poslovne funkcije i odgovornosti zaposlenih, ugovornih suradnika i treće strane u skladu sa poslovnim politikama organizacije.
Odgovornosti upraveUprava treba zahtijevati od zaposlenika, ugovornih suradnika i korisnika treće strane aktivnosti u skladu s postojećim politikama i procedurama organizacije.
Odgovornosti za prekidOdgovornosti za prekid ili promjenu zaposlenja trebaju biti jasno određene i dodijeljene.
Odabir kandidataPotrebno je provjeriti sve kandidate za posao, ugovorne suradnike i korisnike treće strane u skladu s važećim zakonima, propisima i etikom, u skladu sa zahtjevima posla, kojima će se pristupati i mogućim rizicima.
Razina svijesti o poslovnojpolitici, obrazovanje i obučavanje Svi zaposlenici u organizaciji i, ako postoje, ugovorni suradnici i korisnici treće strane trebaju sudjelovati u primjerenom obučavanju u svrhu podizanja razine svijesti i redovitom obavješćivanju o politikama i procedurama organizacije koje se odnose na njihovu poslovnu funkciju.
Povrat imovineNakon prekida njihovog zaposlenja, ugovora ili sporazuma, svi zaposlenici, ugovorni suradnici i korisnici treće strane trebaju vratiti svu imovinu organizacije koja im je dana na korištenje.
Trajanje i uvjeti zaposlenjaKao dio ugovornih obveza, zaposlenici, ugovorni suradnici i korisnici treće strane trebaju dogovoriti i potpisati trajanje i uvjete ugovora o zaposlenju u kojem je potrebno navesti njihove odgovornosti i odgovornosti organizacije za obavljanje poslova.
Disciplinski procesTreba postojati formalni disciplinski proces za zaposlenike koji su ugrozili poslovne aktivnosti predviđene politikama i procedurama.
Ukidanje prava pristupaPrava pristupa svih zaposlenika, ugovornih suradnika i korisnika treće strane informacijama i opremi za poslovanje trebaju se ukinuti kodprekida zaposlenja, ugovora ili sporazuma ili prilagoditi nastalim promjenama.
Primjer dijela analize rizika za ljudske resurseAktivnosti Potencijalni rizik Potencijalni izvori prijetnji
Zapošljavanje • Diskriminatorna praksa• Unajmljivanje neprikladnog ili
nesigurnog kandidata• "Nepravedno" zapošljavanje
• Nekompletna provjera potencijalnih kandidata• Ne uzimanje u obzir lokalnih i nacionalnih zakona vezanih za
ljudska prava• Ne postojanje probnog perioda• Davanje nerealnih obećanja kandidatu• Ne potpisivanje ugovora o radu i izjave o poštivanju poslovnih
politika
Zaštita rada i sigurnost na radu
• Ekologija• Tjelesne povrede i smrt
• Nesigurni radni uvjeti i neprovođenje redovitih sigurnosnih provjera?
• Ne provodi se odgovarajuća obuka za osoblje• Ne korištenje odgovarajuće odjeće i sigurnosne opreme?• Ne postoje adekvatne politike i postupci
Nadzor zaposlenika
• Vrijeđanje i zlostavljanje (mobbing)• Ugled u zajednici• Odavanje osobnih podataka
• Nejasno napisane ovlasti i opisi za sva radna mjesta• Ne prate se parametri poštivanja opisa radnog mjesta• Ne postoji priručnik za zaposlenike• Ne organiziranje stalne obuke o poslovnim politikama i
postupcima• Ne osiguranje organizacijske imovine• Ne postojanje adekvatne politike i procedure protiv mobbing-a?
Odlazak zaposlenika
ImovinaUgled u zajedniciKompenzacija
• Postojanje organizacijska imovine i opreme koju zaposlenik koristi kod kuće (krađa)
• Nije osigurano deaktiviranje svih pristupnih kodova i lozinki
Aktualni standardi za rizike
Upravljanje rizicima se temelji na standardu ISO 31000:2009
Značenje elemenata procesa upravljanja rizicima
Komunikacija i konzultacija
Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.
Utvrđivanje konteksta Utvrđivanje eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.
Identifikacija rizika Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.
Analiza rizika Identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.
Vrednovanje rizika Usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.
Obrada rizika Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.
Praćenje i preispitivanje Neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
Integracija sigurnosti u organizaciju
CSO (Chief Security Officer) je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.
Premise poslovanja1) Mora se uvažavati nacionalna legislativa2) Moraju se uvažavati strukovni i ugovorni zahtjevi3) Trebaju (moraju se) uvažavati značajke: etno, lokalne, vjerske, itd.4) U globalnom poslovnom svijetu i tržištu je neprihvatljivo ne uvažavanje
sistema upravljanja (kao npr. ISO9001, ISO27001, ISO31000, ISO22301, ISO14001, OHSAS18001, ISO20000, HACCP, ISO22000, itd.)NAPOMENA: Certifikacijski sistemi upravljanja ima zahtjeve vezane za upravljanje ljudskim resursima.
ZaključakPlanirati upravljanje ljudskim resursima, ne uzimajući u obzir iskustvo, pristupe i zahtjeve međunarodnih/nacionalnih standarda (ISO/...) je neprihvatljivo i neprovedivo u bilo kojoj organizaciji ili dovodi do besmislenih i neracionalnih rješenja.
• Upravljanje ljudskim resursima u organizaciji jedan od ključnih procesa koji direktno utječe na sve ostale poslovne procese.
• Da bi se umanjila razina rizika koji su uvjetovani ljudskim resursima potrebno je s njima upravljati, odnosno držati ih na prihvatljivoj, dovoljno niskoj razini.
• Trenutno ne postoji neki standard koji je direktno usmjeren na upravljanje rizicima ljudskih resursa, ali je primjena ISO 31000 i dijelova ISO/IEC 27002 u tu svrhu opravdana
• Funkcionalno uvođenje upravljanja rizicima u organizaciju ima smisla kao dio ukupnog pristupa upravljanja svim vrstama rizika.
• Kod manjih firmi se upravljanje rizicima provodi kroz dodjeljivanje dodatnih funkcija nekim zaposlenicima koji se dodatno educiraju za poslove upravljanja rizicima, a u velikim organizacijama se to rješava formalnim uvođenjem nove organizacione jedinice (sektora).
Hvala
na
pažnji