Razvoj lokalnih usluga socijalne zastite grada Pancevo
Upravljanje rizicima za ljudske resurse
1. UPRAVLJANJE RIZICIMA
ZA LJUDSKE RESURSE
Dr.sc. Zdenko Adelsberger
Bluefield d.o.o.
Zagreb, Hrvatska
zdenko@bluefield.hr
www.bluefield.hr
www.kvalis.com
2. Uvod
Problem sigurnosti ljudskih resursa predstavlja ne samo ljudsku i
poslovnu potrebu ved i zakonsku obavezu za svaki poslovni
subjekt. Način pristupa provedbi aktivnosti vezanih za sigurnost
ljudskih resursa temelji se na procjeni rizika u skladu sa
zakonskom regulativom, ali i međunarodnim standardima.
Međutim, za proaktivno upravljanje sigurnošdu ljudskih resursa
nužno je provoditi ne samo procjenu rizika ved sveobuhvatno
upravljanje rizicima.
U izlaganju de se prikazati kritička analiza načina procjene rizika
ljudskih resursa na temelju upravljanja rizicima prema
međunarodnom standardu ISO 31000:2009, kao i nekih drugih
međunarodnih dokumenata.
3. Ljudski resursi i sigurnost u organizacijama
Osobna sigurnost
zaposlenika
Sigurnost da de zaposlenici
ostvariti poslovne ciljeve
5. Ljestvica ljudskih potreba prema Maslowu
1. Fiziološke potrebe (primarne biološke potrebe: potreba za hranom, vodom,
kisikom, spavanjem, opstankom vrste, zaštita od ekstremnih temperatura, te
potreba za izlučivanjem);
2. Potreba za sigurnošću (primarna psihološka potreba, a ogleda se u potrebama za
stalnošću, redom, poretkom, strukturom i potrebi za predvidljivošću događaja u
bližoj ili daljnjoj budućnosti);
3. Potreba za pripadanjem i ljubavlju;
4. Potreba za samoostvarenjem;
5. Potreba za samonadilaženjem, te
6. Princip homeostaze (je princip po kome je najvažnija ravnoteža između potreba).
Modifikacija ljestvice Maslowa na kompanije
1.
2.
3.
4.
5.
6.
Potreba za resursima, okruženjem, okolišem;
Potreba za sigurnošću;
Potreba za lojalnošću i pripadanjem;
Potreba za potvrđivanjem na tržištu;
Potreba za poboljšanjem, te
Princip homeostaze (ravnoteža potreba).
Abraham Harold Maslow (1.4.1908 - 8.6.1970) bio je američki psiholog koji je najbolje poznat po stvaranju „Maslowljevih hijerarhijskih potreba‖,
teorije psihološkog zdravlja utemeljen na ispunjavanju urođenih ljudskih potreba po prioritetu.
6. Značaj korporativnih rizika za poslovnu strukturu
Misija
Vizija
Politika
POSLOVNI CILJEVI
Prijete
Postižu se pomodu
STRATEGIJE
KORPORATIVNI
RIZICI
Odgovorne za
NESIGURNOST
Omoguduju
PROCESI
Umanjuju
7. Distribucija frekvencije pojave i veličine gubitaka
Frekvencija gubitaka
Očekivani
gubici
Neočekivani gubici
Gubici za koje se planiraju
(rezerviraju) sredstva oporavka
Katastrofalni gubici
za koja nema
sredstava oporavka
Veličina gubitaka
8. Poslovni proces i njegovi elementi prema ISO 9001:2008
Sve poslove u nekoj organizaciji treba promatrati kao procese ili dijelove jednog ili više
poslovnih procesa.
9. Glavni procesi
Procesi podrške
Upravljanje ljudskim resursima
Vrste poslovnih procesa u organizaciji
Upravljački procesi
Rezultati glavnih
procesa se
prodaju na tržištu
(zarađuju novac)
10. Ključni zahtjev i pitanje svih zainteresiranih strana
ZAHTJEV
Ispuniti sve planove i
ostvariti ciljeve!
PITANJE
Kakva je sigurnost da
de se ispuniti planovi
i ostvariti ciljevi?
12. Definicija rizika prema ISO GUIDE 73:2009
Rizik je efekt nesigurnosti za ciljeve.
NAPOMENA 1: pod efektom se smatra odstupanje od očekivanog — pozitivno i/ili
negativno.
NAPOMENA 2: ciljevi mogu imati različite aspekte (npr. financijske, na zdravlje i
sigurnost, ciljevi zaštite okoliša, informacijska sigurnost, itd.) i mogu imati različite razine
(npr. strateški, organizacijski, projektni, produkata, procesni).
NAPOMENA 3: rizik je često karakteriziran u odnosu na kombinaciju potencijalnih
događaja i posljedica koje se mogu dogoditi.
NAPOMENA: rizik je često izražen u iznosima kombinacije posljedice događaja
(uključujući promjene uvjeta) i pridruženog ponavljanja (frekvencije) događaja.
NAPOMENA 5: nesigurnost je stanje, čak i djelomičnog, nedostatka informacija o
događajima, posljedicama i frekvenciji.
14. Prijetnje
Potencijalan uzrok
slučaja koji može
naškoditi ciljevima
(funkciji) objekta.
IZVORI PRIJETNJI
• Unutarnji
Ljudi, organizacija,
tehnologija, pravila, itd.
• Vanjski
Antropogeni, tehničkotehnološki, biološko-kemijski,
prirodne sile
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
teroristička djelovanja;
kvar klimatizacije;
čestice/prašina iz zraka;
bombaški napad;
povreda zakonodavnih ili nadzornih
odredaba;
povreda ugovornih obveza;
ugrožavanje sredstava;
šteta nastala uslijed tredih strana;
uništenje planova kontinuiteta
poslovanja;
katastrofe (prirodne ili od ljudi);
otkrivanje informacija;
otkrivanje lozinki;
prekid poslovnih procesa;
zemljotres;
prisluškivanje;
zagađenje okoliša (i ostali oblici
prirodnih katastrofa ili nesreda koje
uzrokuju ljudi);
kvar opreme;
greške;
krivotvorenje zapisa;
požar;
poplava;
prijevara;
• kvar sistema;
• zloporaba sistema (slučajna ili
namjerna);
• krađa
• neovlašteni pristup;
• neovlaštena ili nenamjerna promjena;
• neovlašten fizički pristup;
• neovlaštena upotreba materijala u
intelektualnom vlasništvu
(Intellectual Property Rights - IPR);
• neovlaštena upotreba softvera;
• neuspješne promjene;
• vandalizam;
• namjerna šteta;
• ilegalna upotreba softvera;
• ometanje;
• prekid poslovnih aktivnosti i procesa;
• munja;
• gubitak zapisa;
• gubitak usluga;
• greška održavanja;
• zloporaba resursa ili sredstava;
15. Ranjivost
Ranjivost su sigurnosne slabosti povezane sa imovinom organizacije.
Sama po sebi, ranjivost ne nanosi štetu, to je samo stanje ili niz stanja koje mogu prijetnji
dozvoliti uzrokovanje štete na imovini ili poslovima koje ta imovina obavlja.
PRIMJERI NEKIH
RANJIVOSTI
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Nedovoljno sigurnosno obučavanje
Nedostatak svjesnosti o sigurnosti
Nedostatak mehanizma pradenja
Nedostatak politika za ispravnu upotrebu …
Nemotivirano ili nezadovoljno osoblje
Nenadzirani rad vanjskog osoblja
Neodgovarajuda ili nebrižna upotreba kontrole fizičkog pristupa
zgradama, prostorijama i uredima
Nedostatak fizičke zaštite zgrada, vrata i prozora
Lokacija u području podložnom poplavi
Nedovoljno održavanje/neispravna ugradnja
Osjetljivost opreme na vlagu, prašinu, prljavštine
Nestabilna električka mreža
Nedostatak zaštite od prijenosnih kompjutera
Itd.
16. Posljedica
Rezultat interakcije prijetnje i ranjivosti, odnosno stanje kada je prijetnja
iskoristila ranjivost i time dovela do pojave štete za organizaciju.
Šteta se uvijek mora izraziti u financijskim iznosima.
Primjeri posljedica:
•
•
•
•
Gubitak profita
Gubitak ugleda (image)
Negativni utjecaj na okoliš
Itd.
17. Primjer prijetnji i ranjivosti ljudskih resursa
PRIJETNJA KOJA MOŽE ISKORISTITI
RANJIVOST
RANJIVOST
Greška osoblja pratedih funkcija
Nedovoljno sigurnosno obučavanje
Korisnička greška
Nedostatak svjesnosti o sigurnosti
Uporaba softvera na neovlašteni način
Nedostatak mehanizma pradenja
Uporaba mrežne opreme na neovlašteni
način
Nedostatak politika za ispravnu uporabu
telekomunikacijskih medija i slanje poruka
Neovlašteni pristup
Ne uklanjanje prava pristupa nakon
prestanka rada
Krađa
Nikakav postupak koji osigurava povratak
sredstava nakon prestanka rada
Krađa
Nenadzirani rad vanjskog osoblja ili osoblja
koje radi prekovremeno
Zloporaba opreme za obradu informacija
Nemotivirano ili nezadovoljno osoblje
19. Primjer procjene rizika (kvalitativna metoda)
Vjerojatnost i posljedice se mjere u skali 1-10.
1 = malo
10 = veliko
Rizik
Vjerojatnost
Posljedica
2-3
8
Vlasnik (80) de umrijeti
8
8
Vlasnik (35) de umrijeti
1
8
Otkaz novog zaposlenika
3
3
Zaposlenik se ozlijedio na poljoprivrednoj opremi
5
5
Vlasnik je imao saobradajku, odsutan 6 tjedana
20. Usporedba kvalitativne i kvantitativne metode procjene rizika
Kvantitativna metoda
Nivo rizika
je Х
Sada ZNAMO
da je nivo
rizika Х
Sada
VJERUJEMO
da je nivo
rizika Х
MISLIM da
je nivo
rizika Х
Kvalitativna metoda
21. Kontrola rizika
Rizik
Ukupni rizik prije
implementacije
zaštite
(Ukupni nivo početne
nesigurnosti IS)
Poznati rizik prije
implementacije
zaštite
(Početni nivo
poznate
nesigurnosti)
Poznati rizik
nakon
implementacije
zaštite
(Željeni nivo
nesigurnosti)
Smanjenje
obradom rizika
Opcije za kontrolu rizika:
1. Izbjegavanje rizika
2. Transfer rizika
3. Smanjenje rizika
4. Prihvadanje rizika
Preostali rizik
Ukupni rizik koji
izaziva gubitke
kroz incidente
Nepoznati rizik
Vrijeme
Period implementacije kontrola
22. Velika
Matrica rizika i strategija upravljanja rizicima
Posljedica
TRANSFERIRAJ
IZBJEGAVAJ
SMANJI
PRIHVATI
Mala
PRIHVATI
Velika
Mala
Vjerojatnost incidenta
24. Definicija operativnog rizika prema sporazumu BASEL II
Operativni rizik je definiran kao rizik od gubitka
koji proističe iz neadekvatnih ili neuspješnih
internih procesa, ljudi i sistema ili iz vanjskih
događaja.
Ova definicija uključuje zakonski rizik ali isključuje strateški i reputacijski rizik.
Zakonski rizik uključuje, ali nije ograničen na, izloženost globama, kaznama,
kaznenim odštetama proisteklim iz aktivnosti supervizije kao i iz privatnih
izvršenja.
Pojam ―operativni rizik‖ – prvi puta je korišten 1995. godine (bankrot Baringsa)
25. Operativni rizik po vrstama uzroka
Uzrok
Ljudski faktor
Procesi
Sistemi
Eksterni faktor
Kategorija događaja
Neovlaštene aktivnosti, krađe i prevare zaposlenih, unutrašnji
sistem sigurnosti, odnosi prema zaposlenima, različitost i
diskriminacija, ne odgovarajuća poslovna ili tržišna praksa
Sigurnost radnog okruženja, prikladnost, transparentnost i
povjerljivost, greške u proizvodima i uslugama, selekcija,
sponzorstvo i izloženost prema klijentu, savjetodavne aktivnosti,
nezgode i opća sigurnost, upravljanje procesima, obuhvaćanje i
izvršenje transakcija, nadzor i izvještavanje, prijem klijenata i
adekvatnost dokumentacije
Neadekvatnost, neefikasnost, loše funkcioniranje ili pad IT sistema
Krađe i prijevare (od strane trećih lica), vanjski sistem sigurnosti,
druge namjerne aktivnosti, prirodne nepogode, katastrofe
prouzrokovane ljudskim faktorom, politički i zakonski rizik
(javne usluge/informacije) neraspoloživost dobavljača, poslovni
partneri, prodavači i dobavljači
26. Tipovi poslovnih rizika
Izvor: Sacht, J. (2010). Business Risks Identified in South Africa. Personal discussion. Johannesburg
Nivoi vrsta rizika
Spremnost za zaštitu
27. Rizici ljudskih resursa (kako vidi menadžment)
Loše zapošljavanje / izbor
Nedostatak uspješnog planiranja Loše
upravljanje informacijama
Veliki izostanci
Sabotaža
Loša etika
Problemi naknada
Nepotizam
Štrajkovi / sporovi
Provjera kvalifikacija
Nedostatak poštivanja zakona / pravila
Loš leadership / upravljanje
Nedostatak vještina
Zadržavanje zaposlenika
28. Podprocesi procesa upravljanja ljudskim resursima
Proces upravljanja ljudskim resursima
Podproces 1
Prije zaposlenja
Podproces 2
Tokom zaposlenja
Podproces 3
Prekid ili promjena
U slučaju promjene
radnog mjesta
Obvezna
procjena
rizika
Obvezna
procjena
rizika
Obvezna
procjena
rizika
29. Sigurnosni ciljevi za sigurnost ljudskih resursa
Prilagodba ISO 27001:2005 (A.8) za univerzalnu primjenu
Period
primjene
Sigurnosni ciljevi
Prema ISO 27001:2005 (A.8)
Univerzalna primjena
Prije
zaposlenja
Osigurati zaposlenicima, ugovornim
suradnicima i trećoj strani
razumijevanje njihovih odgovornosti,
provjeriti njihovu podobnost za posao
koji im je namijenjen i smanjiti rizik od
krađe, prijevare ili zloporabe.
Osigurati zaposlenicima, ugovornim
suradnicima i trećoj strani razumijevanje
njihovih odgovornosti, provjeriti njihovu
podobnost za posao koji im je namijenjen i
smanjiti rizik od krađe, prijevare ili zloporabe,
...
Tijekom
zaposlenja
Osigurati zaposlenicima, ugovornim
suradnicima i tredoj strani razumijevanje
prijetnji informacijskoj sigurnosti, njihovih
odgovornosti i obveza kao i opremiti ih za
podršku sigurnosnoj politici organizacije
tijekom njihovog normalnog rada i smanjiti
rizik ljudske greške.
Osigurati zaposlenicima, ugovornim suradnicima i
tredoj strani razumijevanje prijetnji poslovnoj
sigurnosti, njihovih odgovornosti i obveza kao i
opremiti ih za podršku poslovnoj politici
organizacije tijekom njihovog normalnog rada i
smanjiti rizik ljudske greške.
Prekid ili
promjena
zaposlenja
Osigurati zaposlenicima, ugovornim
suradnicima i korisnicima trede strane
uredno napuštanje organizacije ili
promjenu zaposlenja.
Osigurati zaposlenicima, ugovornim suradnicima i
korisnicima trede strane uredno napuštanje
organizacije ili promjenu zaposlenja.
30. Sigurnosne mjere za sigurnosne ciljeve ljudskih resursa
Sigurnosni ciljevi
Prije zaposlenja
Tijekom zaposlenja
Prekid ili promjena zaposlenja
Funkcije i odgovornosti
Odgovornosti uprave
Odgovornosti za prekid
Potrebno je odrediti i dokumentirati
poslovne funkcije i odgovornosti
zaposlenih, ugovornih suradnika i trede
strane u skladu sa poslovnim politikama
organizacije.
Uprava treba zahtijevati od zaposlenika,
ugovornih suradnika i korisnika trede strane
aktivnosti u skladu s postojedim politikama i
procedurama organizacije.
Odgovornosti za prekid ili promjenu
zaposlenja trebaju biti jasno
određene i dodijeljene.
Odabir kandidata
Razina svijesti o poslovnoj
Povrat imovine
Potrebno je provjeriti sve kandidate za
posao, ugovorne suradnike i korisnike trede
strane u skladu s važedim zakonima,
propisima i etikom, u skladu sa zahtjevima
posla, kojima de se pristupati i mogudim
rizicima.
politici, obrazovanje i obučavanje Svi
zaposlenici u organizaciji i, ako postoje,
ugovorni suradnici i korisnici trede strane
trebaju sudjelovati u primjerenom obučavanju
u svrhu podizanja razine svijesti i redovitom
obavješdivanju o politikama i procedurama
organizacije koje se odnose na njihovu
poslovnu funkciju.
Nakon prekida njihovog zaposlenja,
ugovora ili sporazuma, svi zaposlenici,
ugovorni suradnici i korisnici trede
strane trebaju vratiti svu imovinu
organizacije koja im je dana na
korištenje.
Trajanje i uvjeti zaposlenja
Disciplinski proces
Ukidanje prava pristupa
Kao dio ugovornih
obveza, zaposlenici, ugovorni suradnici i
korisnici trede strane trebaju dogovoriti i
potpisati trajanje i uvjete ugovora o
zaposlenju u kojem je potrebno navesti
njihove odgovornosti i odgovornosti
organizacije za obavljanje poslova.
Treba postojati formalni disciplinski proces
za zaposlenike koji su ugrozili poslovne
aktivnosti predviđene politikama i
procedurama.
Prava pristupa svih zaposlenika,
ugovornih suradnika i korisnika trede
strane informacijama i opremi za
poslovanje trebaju se ukinuti kod
prekida zaposlenja, ugovora ili
sporazuma ili prilagoditi nastalim
promjenama.
31. Primjer dijela analize rizika za ljudske resurse
Aktivnosti
Potencijalni rizik
Potencijalni izvori prijetnji
Zapošljavanje
• Diskriminatorna praksa
• Unajmljivanje neprikladnog ili
nesigurnog kandidata
• "Nepravedno" zapošljavanje
• Nekompletna provjera potencijalnih kandidata
• Ne uzimanje u obzir lokalnih i nacionalnih zakona vezanih za
ljudska prava
• Ne postojanje probnog perioda
• Davanje nerealnih obedanja kandidatu
• Ne potpisivanje ugovora o radu i izjave o poštivanju poslovnih
politika
Zaštita rada i
sigurnost na radu
• Ekologija
• Tjelesne povrede i smrt
• Nesigurni radni uvjeti i neprovođenje redovitih sigurnosnih
provjera?
• Ne provodi se odgovarajuća obuka za osoblje
• Ne korištenje odgovarajuće odjeće i sigurnosne opreme?
• Ne postoje adekvatne politike i postupci
Nadzor
zaposlenika
• Vrijeđanje i zlostavljanje (mobbing)
• Ugled u zajednici
• Odavanje osobnih podataka
• Nejasno napisane ovlasti i opisi za sva radna mjesta
• Ne prate se parametri poštivanja opisa radnog mjesta
• Ne postoji priručnik za zaposlenike
• Ne organiziranje stalne obuke o poslovnim politikama i
postupcima
• Ne osiguranje organizacijske imovine
• Ne postojanje adekvatne politike i procedure protiv mobbing-a?
Odlazak
zaposlenika
Imovina
Ugled u zajednici
Kompenzacija
• Postojanje organizacijska imovine i opreme koju zaposlenik
koristi kod kuće (krađa)
• Nije osigurano deaktiviranje svih pristupnih kodova i lozinki
34. Značenje elemenata procesa upravljanja rizicima
Komunikacija i
konzultacija
Utvrđivanje konteksta
Identifikacija rizika
Analiza rizika
Vrednovanje rizika
Obrada rizika
Pradenje i preispitivanje
Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim
stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i
razmatranje procesa kao cjeline.
Utvrđivanje eksternog, internog i konteksta upravljanja rizikom u kojem de se
odvijati ostatak procesa. Treba utvrditi kriterije prema kojima de se procjenjivati rizik
i definirati struktura analize.
Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti, umanjiti, odložiti ili
povedati postizanje ciljeva.
Identifikacija i procjena postojedih kontrola. Određivanje posljedica i vjerojatnosti i
zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i
kako bi se one mogle pojaviti.
Usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i
razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To
omoguduje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.
Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za
povedanje potencijalnih koristi i smanjenje potencijalnih troškova.
Neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je
važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera
obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
35. Integracija sigurnosti u organizaciju
CSO (Chief Security Officer) je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost.
CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz
postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu
politike i procedura sigurnosti.
36. Premise poslovanja
1)
2)
3)
4)
Mora se uvažavati nacionalna legislativa
Moraju se uvažavati strukovni i ugovorni zahtjevi
Trebaju (moraju se) uvažavati značajke: etno, lokalne, vjerske, itd.
U globalnom poslovnom svijetu i tržištu je neprihvatljivo ne uvažavanje
sistema upravljanja (kao npr. ISO9001, ISO27001, ISO31000, ISO22301,
ISO14001, OHSAS18001, ISO20000, HACCP, ISO22000, itd.)
NAPOMENA: Certifikacijski sistemi upravljanja ima zahtjeve vezane za
upravljanje ljudskim resursima.
Zaključak
Planirati upravljanje ljudskim resursima, ne uzimajući u obzir
iskustvo, pristupe i zahtjeve međunarodnih/nacionalnih standarda
(ISO/...) je neprihvatljivo i neprovedivo u bilo kojoj organizaciji ili
dovodi do besmislenih i neracionalnih rješenja.
37. • Upravljanje ljudskim resursima u organizaciji jedan od
ključnih procesa koji direktno utječe na sve ostale poslovne
procese.
• Da bi se umanjila razina rizika koji su uvjetovani ljudskim
resursima potrebno je s njima upravljati, odnosno držati ih
na prihvatljivoj, dovoljno niskoj razini.
• Trenutno ne postoji neki standard koji je direktno usmjeren
na upravljanje rizicima ljudskih resursa, ali je primjena ISO
31000 i dijelova ISO/IEC 27002 u tu svrhu opravdana
• Funkcionalno uvođenje upravljanja rizicima u organizaciju
ima smisla kao dio ukupnog pristupa upravljanja svim
vrstama rizika.
• Kod manjih firmi se upravljanje rizicima provodi kroz
dodjeljivanje dodatnih funkcija nekim zaposlenicima koji se
dodatno educiraju za poslove upravljanja rizicima, a u
velikim organizacijama se to rješava formalnim uvođenjem
nove organizacione jedinice (sektora).