Dr.sc. Zdenko AdelsbergerBluefield d.o.o.

Zagreb, Hrvatskazdenko@bluefield.hr

www.bluefield.hrwww.kvalis.com

UPRAVLJANJE RIZICIMA ZA LJUDSKE RESURSE

UvodProblem sigurnosti ljudskih resursa predstavlja ne samo ljudsku i poslovnu potrebu već i zakonsku obavezu za svaki poslovni subjekt. Način pristupa provedbi aktivnosti vezanih za sigurnost ljudskih resursa temelji se na procjeni rizika u skladu sa zakonskom regulativom, ali i međunarodnim standardima. Međutim, za proaktivno upravljanje sigurnošću ljudskih resursa nužno je provoditi ne samo procjenu rizika već sveobuhvatno upravljanje rizicima. U izlaganju će se prikazati kritička analiza načina procjene rizika ljudskih resursa na temelju upravljanja rizicima prema međunarodnom standardu ISO 31000:2009, kao i nekih drugih međunarodnih dokumenata.

Ljudski resursi i sigurnost u organizacijama

Osobna sigurnost zaposlenika

Sigurnost da će zaposlenici ostvariti poslovne ciljeve

Ekvivalent?

Ljestvica ljudskih potreba prema Maslowu1. Fiziološke potrebe (primarne biološke potrebe: potreba za hranom, vodom,

kisikom, spavanjem, opstankom vrste, zaštita od ekstremnih temperatura, te potreba za izlučivanjem);

2. Potreba za sigurnošću (primarna psihološka potreba, a ogleda se u potrebama za stalnošću, redom, poretkom, strukturom i potrebi za predvidljivošću događaja u bližoj ili daljnjoj budućnosti);

3. Potreba za pripadanjem i ljubavlju;4. Potreba za samoostvarenjem;5. Potreba za samonadilaženjem, te6. Princip homeostaze (je princip po kome je najvažnija ravnoteža između potreba).

1. Potreba za resursima, okruženjem, okolišem;2. Potreba za sigurnošću;3. Potreba za lojalnošću i pripadanjem;4. Potreba za potvrđivanjem na tržištu;5. Potreba za poboljšanjem, te6. Princip homeostaze (ravnoteža potreba).

Modifikacija ljestvice Maslowa na kompanije

Abraham Harold Maslow (1.4.1908 - 8.6.1970) bio je američki psiholog koji je najbolje poznat po stvaranju „Maslowljevih hijerarhijskih potreba”, teorije psihološkog zdravlja utemeljen na ispunjavanju urođenih ljudskih potreba po prioritetu.

Značaj korporativnih rizika za poslovnu strukturu

POSLOVNI CILJEVI

STRATEGIJE

PROCESI

KORPORATIVNI RIZICI

Politika

MisijaVizija

Postižu se pomoću

Omogućuju

Umanjuju

Odgovorne za

Prijete

NESIGURNOST

Distribucija frekvencije pojave i veličine gubitaka

Veličina gubitaka

Fre

kven

cija

gu

bita

ka

Neočekivani gubici

Gubici za koje se planiraju (rezerviraju) sredstva oporavka

Katastrofalni gubici za koja nema

sredstava oporavka

Očekivani gubici

Poslovni proces i njegovi elementi prema ISO 9001:2008Sve poslove u nekoj organizaciji treba promatrati kao procese ili dijelove jednog ili više

poslovnih procesa.

Vrste poslovnih procesa u organizaciji

Procesi podrškeU

prav

ljanj

e lju

dski

m re

surs

ima

Upravljački procesi

Glavni procesiRezultati glavnih

procesa se prodaju na tržištu (zarađuju novac)

Ključni zahtjev i pitanje svih zainteresiranih strana

ZAHTJEV

Ispuniti sve planove i ostvariti ciljeve!

PITANJE

Kakva je sigurnost da će se ispuniti planovi

i ostvariti ciljevi?

Komponente sigurnosnog rješenja

TehničkeTehničke Organizacijske

Procjenarizika

Procjenarizika

PolitikePolitike

ProcedureProcedureSvjesnostSvjesnostLegitimnostLegitimnost

20% 80%SIGURNOSNO

RJEŠENJE

Definicija rizika prema ISO GUIDE 73:2009

Rizik je efekt nesigurnosti za ciljeve.NAPOMENA 1: pod efektom se smatra odstupanje od očekivanog — pozitivno i/ili negativno.

NAPOMENA 2: ciljevi mogu imati različite aspekte (npr. financijske, na zdravlje i sigurnost, ciljevi zaštite okoliša, informacijska sigurnost, itd.) i mogu imati različite razine (npr. strateški, organizacijski, projektni, produkata, procesni).

NAPOMENA 3: rizik je često karakteriziran u odnosu na kombinaciju potencijalnih događaja i posljedica koje se mogu dogoditi.

NAPOMENA: rizik je često izražen u iznosima kombinacije posljedice događaja (uključujući promjene uvjeta) i pridruženog ponavljanja (frekvencije) događaja.

NAPOMENA 5: nesigurnost je stanje, čak i djelomičnog, nedostatka informacija o događajima, posljedicama i frekvenciji.

Fizikalni princip rizika

Prijetnje• teroristička djelovanja;• kvar klimatizacije;• čestice/prašina iz zraka;• bombaški napad;• povreda zakonodavnih ili nadzornih

odredaba;• povreda ugovornih obveza;• ugrožavanje sredstava;• šteta nastala uslijed trećih strana;• uništenje planova kontinuiteta

poslovanja;• katastrofe (prirodne ili od ljudi);• otkrivanje informacija;

otkrivanje lozinki;• prekid poslovnih procesa;• zemljotres;• prisluškivanje;• zagađenje okoliša (i ostali oblici

prirodnih katastrofa ili nesreća koje uzrokuju ljudi);

• kvar opreme;• greške;• krivotvorenje zapisa;• požar;• poplava;• prijevara;

• kvar sistema;• zloporaba sistema (slučajna ili

namjerna);• krađa• neovlašteni pristup;• neovlaštena ili nenamjerna

promjena;• neovlašten fizički pristup;• neovlaštena upotreba materijala u

intelektualnom vlasništvu (Intellectual Property Rights - IPR);

• neovlaštena upotreba softvera;• neuspješne promjene;• vandalizam;• namjerna šteta;• ilegalna upotreba softvera;• ometanje;• prekid poslovnih aktivnosti i procesa;• munja;• gubitak zapisa;• gubitak usluga;• greška održavanja;• zloporaba resursa ili sredstava;

Potencijalan uzrok slučaja koji može naškoditi ciljevima (funkciji) objekta.

IZVORI PRIJETNJI

• UnutarnjiLjudi, organizacija, tehnologija, pravila, itd.

• VanjskiAntropogeni, tehničko-tehnološki, biološko-kemijski, prirodne sile

RanjivostRanjivost su sigurnosne slabosti povezane sa imovinom organizacije. Sama po sebi, ranjivost ne nanosi štetu, to je samo stanje ili niz stanja koje mogu prijetnji dozvoliti uzrokovanje štete na imovini ili poslovima koje ta imovina obavlja.

• Nedovoljno sigurnosno obučavanje• Nedostatak svjesnosti o sigurnosti• Nedostatak mehanizma praćenja• Nedostatak politika za ispravnu upotrebu …• Nemotivirano ili nezadovoljno osoblje • Nenadzirani rad vanjskog osoblja • Neodgovarajuća ili nebrižna upotreba kontrole fizičkog pristupa

zgradama, prostorijama i uredima • Nedostatak fizičke zaštite zgrada, vrata i prozora • Lokacija u području podložnom poplavi • Nedovoljno održavanje/neispravna ugradnja • Osjetljivost opreme na vlagu, prašinu, prljavštine • Nestabilna električka mreža• Nedostatak zaštite od prijenosnih kompjutera• Itd.

PRIMJERI NEKIH RANJIVOSTI

Posljedica

Rezultat interakcije prijetnje i ranjivosti, odnosno stanje kada je prijetnja iskoristila ranjivost i time dovela do pojave štete za organizaciju.

Šteta se uvijek mora izraziti u financijskim iznosima.

Primjeri posljedica:

• Gubitak profita• Gubitak ugleda (image)• Negativni utjecaj na okoliš• Itd.

Primjer prijetnji i ranjivosti ljudskih resursa

PRIJETNJA KOJA MOŽE ISKORISTITI RANJIVOST

RANJIVOST

Greška osoblja pratećih funkcija Nedovoljno sigurnosno obučavanje Korisnička greška Nedostatak svjesnosti o sigurnostiUporaba softvera na neovlašteni način Nedostatak mehanizma praćenjaUporaba mrežne opreme na neovlašteni način

Nedostatak politika za ispravnu uporabu telekomunikacijskih medija i slanje poruka

Neovlašteni pristup Ne uklanjanje prava pristupa nakon prestanka rada

Krađa Nikakav postupak koji osigurava povratak sredstava nakon prestanka rada

Krađa Nenadzirani rad vanjskog osoblja ili osoblja koje radi prekovremeno

Zloporaba opreme za obradu informacija Nemotivirano ili nezadovoljno osoblje

3D i 2D kvalitativna procjena rizika

RIZIK

Posljedice

RanjivostPrije

tnje

RIZIK

Posl

jedi

ce

Vjer

ojat

nost

a bRizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica

Primjer procjene rizika (kvalitativna metoda)Vjerojatnost i posljedice se mjere u skali 1-10.

1 = malo 10 = veliko

Rizik Vjerojatnost Posljedica

Vlasnik je imao saobraćajku, odsutan 6 tjedana 2-3 8

Vlasnik (80) će umrijeti 8 8

Vlasnik (35) će umrijeti 1 8

Otkaz novog zaposlenika 3 3

Zaposlenik se ozlijedio na poljoprivrednoj opremi 5 5

Usporedba kvalitativne i kvantitativne metode procjene rizika

Kvalitativna metoda

Sada VJERUJEMO

da je nivo rizika Х

MISLIM da je nivo rizika Х

Sada ZNAMO da je nivo rizika Х

Nivo rizika je Х

EKSPERT

ZA

PROCJENU

RIZIKA

VRHOVNAUPRAVA

Kvantitativna metoda

Kontrola rizika

Smanjenje obradom rizika

Preostali rizikUkupni rizik koji izaziva gubitke kroz incidente

Rizik

Nepoznati rizik

Vrijeme

Ukupni rizik prije implementacije zaštite(Ukupni nivo početne nesigurnosti IS)

Poznati rizik nakon implementacije zaštite(Željeni nivo nesigurnosti)

Poznati rizik prije implementacije zaštite(Početni nivo poznate nesigurnosti)

Period implementacije kontrola

Opcije za kontrolu rizika:1. Izbjegavanje rizika2. Transfer rizika3. Smanjenje rizika4. Prihvaćanje rizika

Matrica rizika i strategija upravljanja rizicima

Vjerojatnost incidenta

Posl

jedi

ca

Mala Velika

Mal

aVe

lika

PRIHVATI PRIHVATI

IZBJEGAVAJTRANSFERIRAJ

SMANJI

Neki od ključnih rizika u organizaciji

Definicija operativnog rizika prema sporazumu BASEL II

Operativni rizik je definiran kao rizik od gubitka koji proističe iz neadekvatnih ili neuspješnih internih procesa, ljudi i sistema ili iz vanjskih događaja.

Ova definicija uključuje zakonski rizik ali isključuje strateški i reputacijski rizik.

Zakonski rizik uključuje, ali nije ograničen na, izloženost globama, kaznama, kaznenim odštetama proisteklim iz aktivnosti supervizije kao i iz privatnih izvršenja.

Pojam “operativni rizik” – prvi puta je korišten 1995. godine (bankrot Baringsa)

Operativni rizik po vrstama uzroka

Uzrok Kategorija događajaLjudski faktor Neovlaštene aktivnosti, krađe i prevare zaposlenih, unutrašnji

sistem sigurnosti, odnosi prema zaposlenima, različitost i diskriminacija, ne odgovarajuća poslovna ili tržišna praksa

Procesi Sigurnost radnog okruženja, prikladnost, transparentnost i povjerljivost, greške u proizvodima i uslugama, selekcija, sponzorstvo i izloženost prema klijentu, savjetodavne aktivnosti, nezgode i opća sigurnost, upravljanje procesima, obuhvaćanje i izvršenje transakcija, nadzor i izvještavanje, prijem klijenata i adekvatnost dokumentacije

Sistemi Neadekvatnost, neefikasnost, loše funkcioniranje ili pad IT sistemaEksterni faktor Krađe i prijevare (od strane trećih lica), vanjski sistem sigurnosti,

druge namjerne aktivnosti, prirodne nepogode, katastrofe prouzrokovane ljudskim faktorom, politički i zakonski rizik(javne usluge/informacije) neraspoloživost dobavljača, poslovni partneri, prodavači i dobavljači

Tipovi poslovnih rizikaIzvor: Sacht, J. (2010). Business Risks Identified in South Africa. Personal discussion. Johannesburg

Nivoi vrsta rizika Spremnost za zaštitu

Rizici ljudskih resursa (kako vidi menadžment)

Loše zapošljavanje / izborNedostatak uspješnog planiranja Loše

upravljanje informacijamaVeliki izostanci

SabotažaLoša etika

Problemi naknadaNepotizam

Štrajkovi / sporoviProvjera kvalifikacija

Nedostatak poštivanja zakona / pravilaLoš leadership / upravljanje

Nedostatak vještinaZadržavanje zaposlenika

Podprocesi procesa upravljanja ljudskim resursima

Proces upravljanja ljudskim resursima

Podproces 1Prije zaposlenja

Podproces 2Tokom zaposlenja

Podproces 3Prekid ili promjena

Obvezna procjena

rizika

Obvezna procjena

rizika

Obvezna procjena

rizika

U slučaju promjene

radnog mjesta

Sigurnosni ciljevi za sigurnost ljudskih resursaPrilagodba ISO 27001:2005 (A.8) za univerzalnu primjenu

Period primjene

Sigurnosni ciljevi

Prema ISO 27001:2005 (A.8) Univerzalna primjena

Prije zaposlenja

Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe.

Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe,. . .

Tijekom zaposlenja

Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške.

Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji poslovnoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku poslovnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške.

Prekid ili promjena zaposlenja

Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja.

Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja.

Sigurnosne mjere za sigurnosne ciljeve ljudskih resursaSigurnosni ciljevi

Prije zaposlenja Tijekom zaposlenja Prekid ili promjena zaposlenja

Funkcije i odgovornostiPotrebno je odrediti i dokumentirati poslovne funkcije i odgovornosti zaposlenih, ugovornih suradnika i treće strane u skladu sa poslovnim politikama organizacije.

Odgovornosti upraveUprava treba zahtijevati od zaposlenika, ugovornih suradnika i korisnika treće strane aktivnosti u skladu s postojećim politikama i procedurama organizacije.

Odgovornosti za prekidOdgovornosti za prekid ili promjenu zaposlenja trebaju biti jasno određene i dodijeljene.

Odabir kandidataPotrebno je provjeriti sve kandidate za posao, ugovorne suradnike i korisnike treće strane u skladu s važećim zakonima, propisima i etikom, u skladu sa zahtjevima posla, kojima će se pristupati i mogućim rizicima.

Razina svijesti o poslovnojpolitici, obrazovanje i obučavanje Svi zaposlenici u organizaciji i, ako postoje, ugovorni suradnici i korisnici treće strane trebaju sudjelovati u primjerenom obučavanju u svrhu podizanja razine svijesti i redovitom obavješćivanju o politikama i procedurama organizacije koje se odnose na njihovu poslovnu funkciju.

Povrat imovineNakon prekida njihovog zaposlenja, ugovora ili sporazuma, svi zaposlenici, ugovorni suradnici i korisnici treće strane trebaju vratiti svu imovinu organizacije koja im je dana na korištenje.

Trajanje i uvjeti zaposlenjaKao dio ugovornih obveza, zaposlenici, ugovorni suradnici i korisnici treće strane trebaju dogovoriti i potpisati trajanje i uvjete ugovora o zaposlenju u kojem je potrebno navesti njihove odgovornosti i odgovornosti organizacije za obavljanje poslova.

Disciplinski procesTreba postojati formalni disciplinski proces za zaposlenike koji su ugrozili poslovne aktivnosti predviđene politikama i procedurama.

Ukidanje prava pristupaPrava pristupa svih zaposlenika, ugovornih suradnika i korisnika treće strane informacijama i opremi za poslovanje trebaju se ukinuti kodprekida zaposlenja, ugovora ili sporazuma ili prilagoditi nastalim promjenama.

Primjer dijela analize rizika za ljudske resurseAktivnosti Potencijalni rizik Potencijalni izvori prijetnji

Zapošljavanje • Diskriminatorna praksa• Unajmljivanje neprikladnog ili

nesigurnog kandidata• "Nepravedno" zapošljavanje

• Nekompletna provjera potencijalnih kandidata• Ne uzimanje u obzir lokalnih i nacionalnih zakona vezanih za

ljudska prava• Ne postojanje probnog perioda• Davanje nerealnih obećanja kandidatu• Ne potpisivanje ugovora o radu i izjave o poštivanju poslovnih

politika

Zaštita rada i sigurnost na radu

• Ekologija• Tjelesne povrede i smrt

• Nesigurni radni uvjeti i neprovođenje redovitih sigurnosnih provjera?

• Ne provodi se odgovarajuća obuka za osoblje• Ne korištenje odgovarajuće odjeće i sigurnosne opreme?• Ne postoje adekvatne politike i postupci

Nadzor zaposlenika

• Vrijeđanje i zlostavljanje (mobbing)• Ugled u zajednici• Odavanje osobnih podataka

• Nejasno napisane ovlasti i opisi za sva radna mjesta• Ne prate se parametri poštivanja opisa radnog mjesta• Ne postoji priručnik za zaposlenike• Ne organiziranje stalne obuke o poslovnim politikama i

postupcima• Ne osiguranje organizacijske imovine• Ne postojanje adekvatne politike i procedure protiv mobbing-a?

Odlazak zaposlenika

ImovinaUgled u zajedniciKompenzacija

• Postojanje organizacijska imovine i opreme koju zaposlenik koristi kod kuće (krađa)

• Nije osigurano deaktiviranje svih pristupnih kodova i lozinki

Aktualni standardi za rizike

Upravljanje rizicima se temelji na standardu ISO 31000:2009

Značenje elemenata procesa upravljanja rizicima

Komunikacija i konzultacija

Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.

Utvrđivanje konteksta Utvrđivanje eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.

Identifikacija rizika Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.

Analiza rizika Identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.

Vrednovanje rizika Usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.

Obrada rizika Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.

Praćenje i preispitivanje Neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.

Integracija sigurnosti u organizaciju

CSO (Chief Security Officer) je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.

Premise poslovanja1) Mora se uvažavati nacionalna legislativa2) Moraju se uvažavati strukovni i ugovorni zahtjevi3) Trebaju (moraju se) uvažavati značajke: etno, lokalne, vjerske, itd.4) U globalnom poslovnom svijetu i tržištu je neprihvatljivo ne uvažavanje

sistema upravljanja (kao npr. ISO9001, ISO27001, ISO31000, ISO22301, ISO14001, OHSAS18001, ISO20000, HACCP, ISO22000, itd.)NAPOMENA: Certifikacijski sistemi upravljanja ima zahtjeve vezane za upravljanje ljudskim resursima.

ZaključakPlanirati upravljanje ljudskim resursima, ne uzimajući u obzir iskustvo, pristupe i zahtjeve međunarodnih/nacionalnih standarda (ISO/...) je neprihvatljivo i neprovedivo u bilo kojoj organizaciji ili dovodi do besmislenih i neracionalnih rješenja.

• Upravljanje ljudskim resursima u organizaciji jedan od ključnih procesa koji direktno utječe na sve ostale poslovne procese.

• Da bi se umanjila razina rizika koji su uvjetovani ljudskim resursima potrebno je s njima upravljati, odnosno držati ih na prihvatljivoj, dovoljno niskoj razini.

• Trenutno ne postoji neki standard koji je direktno usmjeren na upravljanje rizicima ljudskih resursa, ali je primjena ISO 31000 i dijelova ISO/IEC 27002 u tu svrhu opravdana

• Funkcionalno uvođenje upravljanja rizicima u organizaciju ima smisla kao dio ukupnog pristupa upravljanja svim vrstama rizika.

• Kod manjih firmi se upravljanje rizicima provodi kroz dodjeljivanje dodatnih funkcija nekim zaposlenicima koji se dodatno educiraju za poslove upravljanja rizicima, a u velikim organizacijama se to rješava formalnim uvođenjem nove organizacione jedinice (sektora).

Hvala

na

pažnji