Upravljanje rizicima za ljudske resurse

1,422 views

Published on

HR Konferencija 2013

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,422
On SlideShare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Upravljanje rizicima za ljudske resurse

  1. 1. UPRAVLJANJE RIZICIMA ZA LJUDSKE RESURSE Dr.sc. Zdenko Adelsberger Bluefield d.o.o. Zagreb, Hrvatska zdenko@bluefield.hr www.bluefield.hr www.kvalis.com
  2. 2. Uvod Problem sigurnosti ljudskih resursa predstavlja ne samo ljudsku i poslovnu potrebu ved i zakonsku obavezu za svaki poslovni subjekt. Način pristupa provedbi aktivnosti vezanih za sigurnost ljudskih resursa temelji se na procjeni rizika u skladu sa zakonskom regulativom, ali i međunarodnim standardima. Međutim, za proaktivno upravljanje sigurnošdu ljudskih resursa nužno je provoditi ne samo procjenu rizika ved sveobuhvatno upravljanje rizicima. U izlaganju de se prikazati kritička analiza načina procjene rizika ljudskih resursa na temelju upravljanja rizicima prema međunarodnom standardu ISO 31000:2009, kao i nekih drugih međunarodnih dokumenata.
  3. 3. Ljudski resursi i sigurnost u organizacijama Osobna sigurnost zaposlenika Sigurnost da de zaposlenici ostvariti poslovne ciljeve
  4. 4. Ekvivalent?
  5. 5. Ljestvica ljudskih potreba prema Maslowu 1. Fiziološke potrebe (primarne biološke potrebe: potreba za hranom, vodom, kisikom, spavanjem, opstankom vrste, zaštita od ekstremnih temperatura, te potreba za izlučivanjem); 2. Potreba za sigurnošću (primarna psihološka potreba, a ogleda se u potrebama za stalnošću, redom, poretkom, strukturom i potrebi za predvidljivošću događaja u bližoj ili daljnjoj budućnosti); 3. Potreba za pripadanjem i ljubavlju; 4. Potreba za samoostvarenjem; 5. Potreba za samonadilaženjem, te 6. Princip homeostaze (je princip po kome je najvažnija ravnoteža između potreba). Modifikacija ljestvice Maslowa na kompanije 1. 2. 3. 4. 5. 6. Potreba za resursima, okruženjem, okolišem; Potreba za sigurnošću; Potreba za lojalnošću i pripadanjem; Potreba za potvrđivanjem na tržištu; Potreba za poboljšanjem, te Princip homeostaze (ravnoteža potreba). Abraham Harold Maslow (1.4.1908 - 8.6.1970) bio je američki psiholog koji je najbolje poznat po stvaranju „Maslowljevih hijerarhijskih potreba‖, teorije psihološkog zdravlja utemeljen na ispunjavanju urođenih ljudskih potreba po prioritetu.
  6. 6. Značaj korporativnih rizika za poslovnu strukturu Misija Vizija Politika POSLOVNI CILJEVI Prijete Postižu se pomodu STRATEGIJE KORPORATIVNI RIZICI Odgovorne za NESIGURNOST Omoguduju PROCESI Umanjuju
  7. 7. Distribucija frekvencije pojave i veličine gubitaka Frekvencija gubitaka Očekivani gubici Neočekivani gubici Gubici za koje se planiraju (rezerviraju) sredstva oporavka Katastrofalni gubici za koja nema sredstava oporavka Veličina gubitaka
  8. 8. Poslovni proces i njegovi elementi prema ISO 9001:2008 Sve poslove u nekoj organizaciji treba promatrati kao procese ili dijelove jednog ili više poslovnih procesa.
  9. 9. Glavni procesi Procesi podrške Upravljanje ljudskim resursima Vrste poslovnih procesa u organizaciji Upravljački procesi Rezultati glavnih procesa se prodaju na tržištu (zarađuju novac)
  10. 10. Ključni zahtjev i pitanje svih zainteresiranih strana ZAHTJEV Ispuniti sve planove i ostvariti ciljeve! PITANJE Kakva je sigurnost da de se ispuniti planovi i ostvariti ciljevi?
  11. 11. Komponente sigurnosnog rješenja 20% SIGURNOSNO RJEŠENJE 80% Procjena rizika Tehničke Legitimnost Organizacijske Svjesnost Politike Procedure
  12. 12. Definicija rizika prema ISO GUIDE 73:2009 Rizik je efekt nesigurnosti za ciljeve. NAPOMENA 1: pod efektom se smatra odstupanje od očekivanog — pozitivno i/ili negativno. NAPOMENA 2: ciljevi mogu imati različite aspekte (npr. financijske, na zdravlje i sigurnost, ciljevi zaštite okoliša, informacijska sigurnost, itd.) i mogu imati različite razine (npr. strateški, organizacijski, projektni, produkata, procesni). NAPOMENA 3: rizik je često karakteriziran u odnosu na kombinaciju potencijalnih događaja i posljedica koje se mogu dogoditi. NAPOMENA: rizik je često izražen u iznosima kombinacije posljedice događaja (uključujući promjene uvjeta) i pridruženog ponavljanja (frekvencije) događaja. NAPOMENA 5: nesigurnost je stanje, čak i djelomičnog, nedostatka informacija o događajima, posljedicama i frekvenciji.
  13. 13. Fizikalni princip rizika
  14. 14. Prijetnje Potencijalan uzrok slučaja koji može naškoditi ciljevima (funkciji) objekta. IZVORI PRIJETNJI • Unutarnji Ljudi, organizacija, tehnologija, pravila, itd. • Vanjski Antropogeni, tehničkotehnološki, biološko-kemijski, prirodne sile • • • • • • • • • • • • • • • • • • • • • teroristička djelovanja; kvar klimatizacije; čestice/prašina iz zraka; bombaški napad; povreda zakonodavnih ili nadzornih odredaba; povreda ugovornih obveza; ugrožavanje sredstava; šteta nastala uslijed tredih strana; uništenje planova kontinuiteta poslovanja; katastrofe (prirodne ili od ljudi); otkrivanje informacija; otkrivanje lozinki; prekid poslovnih procesa; zemljotres; prisluškivanje; zagađenje okoliša (i ostali oblici prirodnih katastrofa ili nesreda koje uzrokuju ljudi); kvar opreme; greške; krivotvorenje zapisa; požar; poplava; prijevara; • kvar sistema; • zloporaba sistema (slučajna ili namjerna); • krađa • neovlašteni pristup; • neovlaštena ili nenamjerna promjena; • neovlašten fizički pristup; • neovlaštena upotreba materijala u intelektualnom vlasništvu (Intellectual Property Rights - IPR); • neovlaštena upotreba softvera; • neuspješne promjene; • vandalizam; • namjerna šteta; • ilegalna upotreba softvera; • ometanje; • prekid poslovnih aktivnosti i procesa; • munja; • gubitak zapisa; • gubitak usluga; • greška održavanja; • zloporaba resursa ili sredstava;
  15. 15. Ranjivost Ranjivost su sigurnosne slabosti povezane sa imovinom organizacije. Sama po sebi, ranjivost ne nanosi štetu, to je samo stanje ili niz stanja koje mogu prijetnji dozvoliti uzrokovanje štete na imovini ili poslovima koje ta imovina obavlja. PRIMJERI NEKIH RANJIVOSTI • • • • • • • • • • • • • • Nedovoljno sigurnosno obučavanje Nedostatak svjesnosti o sigurnosti Nedostatak mehanizma pradenja Nedostatak politika za ispravnu upotrebu … Nemotivirano ili nezadovoljno osoblje Nenadzirani rad vanjskog osoblja Neodgovarajuda ili nebrižna upotreba kontrole fizičkog pristupa zgradama, prostorijama i uredima Nedostatak fizičke zaštite zgrada, vrata i prozora Lokacija u području podložnom poplavi Nedovoljno održavanje/neispravna ugradnja Osjetljivost opreme na vlagu, prašinu, prljavštine Nestabilna električka mreža Nedostatak zaštite od prijenosnih kompjutera Itd.
  16. 16. Posljedica Rezultat interakcije prijetnje i ranjivosti, odnosno stanje kada je prijetnja iskoristila ranjivost i time dovela do pojave štete za organizaciju. Šteta se uvijek mora izraziti u financijskim iznosima. Primjeri posljedica: • • • • Gubitak profita Gubitak ugleda (image) Negativni utjecaj na okoliš Itd.
  17. 17. Primjer prijetnji i ranjivosti ljudskih resursa PRIJETNJA KOJA MOŽE ISKORISTITI RANJIVOST RANJIVOST Greška osoblja pratedih funkcija Nedovoljno sigurnosno obučavanje Korisnička greška Nedostatak svjesnosti o sigurnosti Uporaba softvera na neovlašteni način Nedostatak mehanizma pradenja Uporaba mrežne opreme na neovlašteni način Nedostatak politika za ispravnu uporabu telekomunikacijskih medija i slanje poruka Neovlašteni pristup Ne uklanjanje prava pristupa nakon prestanka rada Krađa Nikakav postupak koji osigurava povratak sredstava nakon prestanka rada Krađa Nenadzirani rad vanjskog osoblja ili osoblja koje radi prekovremeno Zloporaba opreme za obradu informacija Nemotivirano ili nezadovoljno osoblje
  18. 18. RIZIK Posljedice RIZIK Vjerojatnost 3D i 2D kvalitativna procjena rizika Posljedice a Rizik = Prijetnja & Ranjivost & Posljedica b Rizik = Vjerojatnost & Posljedica
  19. 19. Primjer procjene rizika (kvalitativna metoda) Vjerojatnost i posljedice se mjere u skali 1-10. 1 = malo 10 = veliko Rizik Vjerojatnost Posljedica 2-3 8 Vlasnik (80) de umrijeti 8 8 Vlasnik (35) de umrijeti 1 8 Otkaz novog zaposlenika 3 3 Zaposlenik se ozlijedio na poljoprivrednoj opremi 5 5 Vlasnik je imao saobradajku, odsutan 6 tjedana
  20. 20. Usporedba kvalitativne i kvantitativne metode procjene rizika Kvantitativna metoda Nivo rizika je Х Sada ZNAMO da je nivo rizika Х Sada VJERUJEMO da je nivo rizika Х MISLIM da je nivo rizika Х Kvalitativna metoda
  21. 21. Kontrola rizika Rizik Ukupni rizik prije implementacije zaštite (Ukupni nivo početne nesigurnosti IS) Poznati rizik prije implementacije zaštite (Početni nivo poznate nesigurnosti) Poznati rizik nakon implementacije zaštite (Željeni nivo nesigurnosti) Smanjenje obradom rizika Opcije za kontrolu rizika: 1. Izbjegavanje rizika 2. Transfer rizika 3. Smanjenje rizika 4. Prihvadanje rizika Preostali rizik Ukupni rizik koji izaziva gubitke kroz incidente Nepoznati rizik Vrijeme Period implementacije kontrola
  22. 22. Velika Matrica rizika i strategija upravljanja rizicima Posljedica TRANSFERIRAJ IZBJEGAVAJ SMANJI PRIHVATI Mala PRIHVATI Velika Mala Vjerojatnost incidenta
  23. 23. Neki od ključnih rizika u organizaciji
  24. 24. Definicija operativnog rizika prema sporazumu BASEL II Operativni rizik je definiran kao rizik od gubitka koji proističe iz neadekvatnih ili neuspješnih internih procesa, ljudi i sistema ili iz vanjskih događaja. Ova definicija uključuje zakonski rizik ali isključuje strateški i reputacijski rizik. Zakonski rizik uključuje, ali nije ograničen na, izloženost globama, kaznama, kaznenim odštetama proisteklim iz aktivnosti supervizije kao i iz privatnih izvršenja. Pojam ―operativni rizik‖ – prvi puta je korišten 1995. godine (bankrot Baringsa)
  25. 25. Operativni rizik po vrstama uzroka Uzrok Ljudski faktor Procesi Sistemi Eksterni faktor Kategorija događaja Neovlaštene aktivnosti, krađe i prevare zaposlenih, unutrašnji sistem sigurnosti, odnosi prema zaposlenima, različitost i diskriminacija, ne odgovarajuća poslovna ili tržišna praksa Sigurnost radnog okruženja, prikladnost, transparentnost i povjerljivost, greške u proizvodima i uslugama, selekcija, sponzorstvo i izloženost prema klijentu, savjetodavne aktivnosti, nezgode i opća sigurnost, upravljanje procesima, obuhvaćanje i izvršenje transakcija, nadzor i izvještavanje, prijem klijenata i adekvatnost dokumentacije Neadekvatnost, neefikasnost, loše funkcioniranje ili pad IT sistema Krađe i prijevare (od strane trećih lica), vanjski sistem sigurnosti, druge namjerne aktivnosti, prirodne nepogode, katastrofe prouzrokovane ljudskim faktorom, politički i zakonski rizik (javne usluge/informacije) neraspoloživost dobavljača, poslovni partneri, prodavači i dobavljači
  26. 26. Tipovi poslovnih rizika Izvor: Sacht, J. (2010). Business Risks Identified in South Africa. Personal discussion. Johannesburg Nivoi vrsta rizika Spremnost za zaštitu
  27. 27. Rizici ljudskih resursa (kako vidi menadžment) Loše zapošljavanje / izbor Nedostatak uspješnog planiranja Loše upravljanje informacijama Veliki izostanci Sabotaža Loša etika Problemi naknada Nepotizam Štrajkovi / sporovi Provjera kvalifikacija Nedostatak poštivanja zakona / pravila Loš leadership / upravljanje Nedostatak vještina Zadržavanje zaposlenika
  28. 28. Podprocesi procesa upravljanja ljudskim resursima Proces upravljanja ljudskim resursima Podproces 1 Prije zaposlenja Podproces 2 Tokom zaposlenja Podproces 3 Prekid ili promjena U slučaju promjene radnog mjesta Obvezna procjena rizika Obvezna procjena rizika Obvezna procjena rizika
  29. 29. Sigurnosni ciljevi za sigurnost ljudskih resursa Prilagodba ISO 27001:2005 (A.8) za univerzalnu primjenu Period primjene Sigurnosni ciljevi Prema ISO 27001:2005 (A.8) Univerzalna primjena Prije zaposlenja Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe. Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe, ... Tijekom zaposlenja Osigurati zaposlenicima, ugovornim suradnicima i tredoj strani razumijevanje prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške. Osigurati zaposlenicima, ugovornim suradnicima i tredoj strani razumijevanje prijetnji poslovnoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku poslovnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške. Prekid ili promjena zaposlenja Osigurati zaposlenicima, ugovornim suradnicima i korisnicima trede strane uredno napuštanje organizacije ili promjenu zaposlenja. Osigurati zaposlenicima, ugovornim suradnicima i korisnicima trede strane uredno napuštanje organizacije ili promjenu zaposlenja.
  30. 30. Sigurnosne mjere za sigurnosne ciljeve ljudskih resursa Sigurnosni ciljevi Prije zaposlenja Tijekom zaposlenja Prekid ili promjena zaposlenja Funkcije i odgovornosti Odgovornosti uprave Odgovornosti za prekid Potrebno je odrediti i dokumentirati poslovne funkcije i odgovornosti zaposlenih, ugovornih suradnika i trede strane u skladu sa poslovnim politikama organizacije. Uprava treba zahtijevati od zaposlenika, ugovornih suradnika i korisnika trede strane aktivnosti u skladu s postojedim politikama i procedurama organizacije. Odgovornosti za prekid ili promjenu zaposlenja trebaju biti jasno određene i dodijeljene. Odabir kandidata Razina svijesti o poslovnoj Povrat imovine Potrebno je provjeriti sve kandidate za posao, ugovorne suradnike i korisnike trede strane u skladu s važedim zakonima, propisima i etikom, u skladu sa zahtjevima posla, kojima de se pristupati i mogudim rizicima. politici, obrazovanje i obučavanje Svi zaposlenici u organizaciji i, ako postoje, ugovorni suradnici i korisnici trede strane trebaju sudjelovati u primjerenom obučavanju u svrhu podizanja razine svijesti i redovitom obavješdivanju o politikama i procedurama organizacije koje se odnose na njihovu poslovnu funkciju. Nakon prekida njihovog zaposlenja, ugovora ili sporazuma, svi zaposlenici, ugovorni suradnici i korisnici trede strane trebaju vratiti svu imovinu organizacije koja im je dana na korištenje. Trajanje i uvjeti zaposlenja Disciplinski proces Ukidanje prava pristupa Kao dio ugovornih obveza, zaposlenici, ugovorni suradnici i korisnici trede strane trebaju dogovoriti i potpisati trajanje i uvjete ugovora o zaposlenju u kojem je potrebno navesti njihove odgovornosti i odgovornosti organizacije za obavljanje poslova. Treba postojati formalni disciplinski proces za zaposlenike koji su ugrozili poslovne aktivnosti predviđene politikama i procedurama. Prava pristupa svih zaposlenika, ugovornih suradnika i korisnika trede strane informacijama i opremi za poslovanje trebaju se ukinuti kod prekida zaposlenja, ugovora ili sporazuma ili prilagoditi nastalim promjenama.
  31. 31. Primjer dijela analize rizika za ljudske resurse Aktivnosti Potencijalni rizik Potencijalni izvori prijetnji Zapošljavanje • Diskriminatorna praksa • Unajmljivanje neprikladnog ili nesigurnog kandidata • "Nepravedno" zapošljavanje • Nekompletna provjera potencijalnih kandidata • Ne uzimanje u obzir lokalnih i nacionalnih zakona vezanih za ljudska prava • Ne postojanje probnog perioda • Davanje nerealnih obedanja kandidatu • Ne potpisivanje ugovora o radu i izjave o poštivanju poslovnih politika Zaštita rada i sigurnost na radu • Ekologija • Tjelesne povrede i smrt • Nesigurni radni uvjeti i neprovođenje redovitih sigurnosnih provjera? • Ne provodi se odgovarajuća obuka za osoblje • Ne korištenje odgovarajuće odjeće i sigurnosne opreme? • Ne postoje adekvatne politike i postupci Nadzor zaposlenika • Vrijeđanje i zlostavljanje (mobbing) • Ugled u zajednici • Odavanje osobnih podataka • Nejasno napisane ovlasti i opisi za sva radna mjesta • Ne prate se parametri poštivanja opisa radnog mjesta • Ne postoji priručnik za zaposlenike • Ne organiziranje stalne obuke o poslovnim politikama i postupcima • Ne osiguranje organizacijske imovine • Ne postojanje adekvatne politike i procedure protiv mobbing-a? Odlazak zaposlenika Imovina Ugled u zajednici Kompenzacija • Postojanje organizacijska imovine i opreme koju zaposlenik koristi kod kuće (krađa) • Nije osigurano deaktiviranje svih pristupnih kodova i lozinki
  32. 32. Aktualni standardi za rizike
  33. 33. Upravljanje rizicima se temelji na standardu ISO 31000:2009
  34. 34. Značenje elemenata procesa upravljanja rizicima Komunikacija i konzultacija Utvrđivanje konteksta Identifikacija rizika Analiza rizika Vrednovanje rizika Obrada rizika Pradenje i preispitivanje Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline. Utvrđivanje eksternog, internog i konteksta upravljanja rizikom u kojem de se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima de se procjenjivati rizik i definirati struktura analize. Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti, umanjiti, odložiti ili povedati postizanje ciljeva. Identifikacija i procjena postojedih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti. Usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omoguduje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima. Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povedanje potencijalnih koristi i smanjenje potencijalnih troškova. Neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
  35. 35. Integracija sigurnosti u organizaciju CSO (Chief Security Officer) je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.
  36. 36. Premise poslovanja 1) 2) 3) 4) Mora se uvažavati nacionalna legislativa Moraju se uvažavati strukovni i ugovorni zahtjevi Trebaju (moraju se) uvažavati značajke: etno, lokalne, vjerske, itd. U globalnom poslovnom svijetu i tržištu je neprihvatljivo ne uvažavanje sistema upravljanja (kao npr. ISO9001, ISO27001, ISO31000, ISO22301, ISO14001, OHSAS18001, ISO20000, HACCP, ISO22000, itd.) NAPOMENA: Certifikacijski sistemi upravljanja ima zahtjeve vezane za upravljanje ljudskim resursima. Zaključak Planirati upravljanje ljudskim resursima, ne uzimajući u obzir iskustvo, pristupe i zahtjeve međunarodnih/nacionalnih standarda (ISO/...) je neprihvatljivo i neprovedivo u bilo kojoj organizaciji ili dovodi do besmislenih i neracionalnih rješenja.
  37. 37. • Upravljanje ljudskim resursima u organizaciji jedan od ključnih procesa koji direktno utječe na sve ostale poslovne procese. • Da bi se umanjila razina rizika koji su uvjetovani ljudskim resursima potrebno je s njima upravljati, odnosno držati ih na prihvatljivoj, dovoljno niskoj razini. • Trenutno ne postoji neki standard koji je direktno usmjeren na upravljanje rizicima ljudskih resursa, ali je primjena ISO 31000 i dijelova ISO/IEC 27002 u tu svrhu opravdana • Funkcionalno uvođenje upravljanja rizicima u organizaciju ima smisla kao dio ukupnog pristupa upravljanja svim vrstama rizika. • Kod manjih firmi se upravljanje rizicima provodi kroz dodjeljivanje dodatnih funkcija nekim zaposlenicima koji se dodatno educiraju za poslove upravljanja rizicima, a u velikim organizacijama se to rješava formalnim uvođenjem nove organizacione jedinice (sektora).

×