POSLOVNI INFORMACIONI SISTEM - Fizičko Tehničkog obezbeđenja -
--- PISFTO ---
PROGRAM STRUČNE OBUKE ZA PROCENU RIZIKA U ZAŠTITI LICA, IMOVINE I POSLOVANJA
--- O1, tema 1 --Pitanja i odgovori
REALIZACIJA K Aneta
Glavni projektant S Mirvko
– Beograd 2015. godina –
SADRŽAJ Tema, Pitanje ...
... Strana
... Strana
TEMA 1. --- POJAM UPRAVLJANJA RIZIKOM I PROCENA RIZIKA..................................................................3 1.
KOJE FAZE OBUHVATA PROCES PROCENE RIZIKA I KOJE SU ODGOVORNOSTI I RESURSI ZA PRIMENU OVOG PROCESA..........................................................................................................................3
2.
KAKO SE DELE TEHNIKE ZA PROCENU RIZIKA I NAVEDITE NEKE OD OSNOVNIH TEHNIKA...........................4
3.
Kakva je uloga i kompetencija savremenog menadžera rizika u upravljanju organizacijom i šta obuhvata komunikacija o riziku.....................................................................................................................................5
2
TEMA 1. --- POJAM UPRAVLJANJA RIZIKOM I PROCENA RIZIKA 1.
Koje faze obuhvata proces procene rizika i koje su odgovornosti i resursi za primenu ovog procesa
Procena rizika je sastavni deo procesa upravljanja rizikom i predstavlja sveobuhvatni proces identifikovanja potencijalnih opasnosti, analize i ocene rizika. Proces 1. 2. 3.
procene rizika opisan je kroz sledeće faze: Identifikacija rizika Analiza rizika Ocena rizika
1. Identifikacija rizika Identifikovanje potencijalnih opasnosti podrazumeva identifikaciju aktivnosti, događaja ili subjekata koji su relevantni za ostvarenje ciljeva. Organizacija treba da identifikuje: 1. izvore rizika 2. događaje ili niz okolnosti 3. njihove potencijalne posledice Cilj ovog koraka je sastavljanje sveobuhvatne liste potencijalnih opasnosti zasnovanih na onim događajima i okolnostima koje mogu pomoći, sprečiti, umanjiti ili usporiti ostvarivanje ciljeva. Sveobuhvatna identifikacija i registrovanje potencijalnih opasnosti koje mogu rezultirati negativnim posledicama je od suštinske važnosti, jer potencijalna opasnost koja u ovom stadijumu nije identifikovana ostaje neobuhvaćena daljom analizom. Identifikacija treba da uključi sve potencijalne opasnosti, bez obzira na to da li su pod kontrolom organizacije ili nisu i da li su u datom momentu aktuelne ili ne. Organizacija treba da primeni niz alata i tehnika za identifikovanje rizika koje odgovaraju njenim ciljevima i mogućnostima, kao i riziku sa kojim se organizacija suočava. U ovoj fazi procene rizika, prema standardu ISO/IEC 31010, preporučuje se korišćenje sledećih tehnika: 1. grmljavina ideja (Brainstorming) 2. struktuisani ili polustrukturisani intervju 3. delfi tehnika 4. analiza korišćenjem „liste provere” (Checklist Analzsis) 5. preliminarna analiza hazarda 6. analiza hazarda i operativnosti (HAZOP) 7. analiza hazarda i kritičnih kontrolnih tačaka (HACCP) 8. analiza „šta ako” (What-If Analysis) (SWIFT) 9. analiza scenarija Prilikom identifikovanja potencijalnih opasnosti veoma su bitne relevantne i ažurirane informacije. To se odnosi i na odgovarajuće prethodne informacije o riziku, ukoliko je moguće doći do informacija takve vrste. Eksperti koji imaju odgovarajuće znanje bi takođe trebalo da budu uključeni u identifikovanje potencijalnih opasnosti. Nakon identifikovanja onoga šta bi moglo da se desi, neophodno je uzeti u razmatranje i uzroke i scenarije koji pokazuju do kakvih posledica može doći. Svi uzroci treba da budu uzeti u razmatranje. Prilikom identifikovanja potencijalnih opasnosti, takođe je važno uzeti u razmatranje i potencijalne opasnosti koji su u vezi sa neiskorišćenim prilikama. Preliminarna matrica rizika tabelarno reprezentuje izloženost organizacije i njenih štićenih vrednosti, portfolija ili pojedinačnih segmenata, i potencijalne efekte na organizaciju u celini ili na pojedine štićene vrednosti. Svrha preliminarne analize jeste fokusiranje na najznačajnije rizike, bez zanemarivanja manjih rizika. Preliminarna analiza određuje jedan ili više sledećih pravaca delovanja: 1. tretiranje rizika bez daljeg ocenjivanja 2. izdvajanje zanemarljivih rizika koji ne bi opravdali tretman 3. nastaviti sa sveobuhvatnom, detaljnom procenom rizika 2. Analiza Analiza 1. 2. 3.
Analiza rizika rizika se odnosi na razumevanje potencijalnih rizika. rizika obuhvata: razmatranje uzroka i izvora potencijalnih opasnosti njihovih pozitivnih i negativnih posledica verovatnoću pojavljivanja potencijalnih opasnosti
Potencijalne opasnosti se analiziraju tako što se određuju posledice i verovatnoća njihovog nastanka, kao i ostale bitne osobine. Događaj ili niz okolnosti mogu imati višestruke posledice i mogu uticati na veći broj ciljeva. Takođe, u razmatranje treba uzeti postojeću kontrolu rizika i njenu efikasnost. Analiza rizika pruža ulaznu informaciju o oceni rizika i odlukama da li prema rizicima treba da se preduzimaju mere i koje su to odgovarajuće (najprihvatljivije) strategije u tretiranju rizika. Način na koji su verovatnoća nastanka potencijalnih opasnosti i njihovih posledica izraženi i način na koji se oni kombinuju radi ocenjivanja stepena rizika variraće u zavisnosti od vrste opasnosti i svrhe u koje će se izlazna informacija o proceni rizika koristiti. 3
Takođe je važno razmotriti međuzavisnost različitih opasnosti, rizika i njihovih izvora. Sigurnost ocene rizika i njihova osetljivost na preduslove i pretpostavke mora da budu razmotreni u analizi i da efektivno budu preneti donosiocima odluka i ostalim interesnim stranama, ukoliko se to zahteva. Faktori, poput razmimoilaženja u mišljenjima eksperata ili ograničenja modelima, treba da budu jasno predočeni, a možda čak i naglašeni. Analizi rizika se treba prići sa različitim stepenom detaljnosti koji zavisi od vrste opasnosti, svrhe analize i informacija, podataka i izvora koji su dostupni. Analiza 1. 2. 3.
može biti: kvalitativna polukvantitativna kvantitativna
U praksi se kvalitativna analiza često primenjuje prva radi dolaženja do opšte indikacije veličine opasnosti i otkrivanja najvećih opasnosti. Kada god je to moguće i odgovarajuće, treba da se izvrši i određenija, kvantitativna analiza rizika kao sledeći korak. Bez obzira na to koja se vrsta analize primeni, mora se izvršiti kvantifikacija stepena rizika. Posledice se mogu odrediti izradom modela ishoda nekog događaja ili niza događaja, ili ekstrapolacijom iz eksperimentalnih proučavanja ili iz dostupnih podataka. Posledice se mogu izraziti u vidu određenih i neodređenih uticaja. U nekim slučajevima je neophodno raspolagati sa više od jedne numeričke ili opisne vrednosti da bi se precizirale posledice za različita vremena, mesta, grupe ili situacije. 3. Ocena rizika Cilj ocene rizika je pomoć u donošenju odluka na osnovu rezultata analize rizika o tome kojim se rizicima treba baviti i o prioritetima tretmana rizika. Ocena rizika obuhvata: 1. poređenje stepena rizika koji su pronađeni u toku procesa analize i 2. kriterijuma za rizike koji su utvrđeni u toku razmatranja čitavog konteksta Ciljevi organizacije i opseg okolnosti do kojih može doći takođe treba da budu razmatrani. U situacijama u kojima treba da se napravi izbor između opcija, on će zavisiti od konteksta organizacije. Odluke treba da uzmu u obzir širi kontekst rizika i uključe razmatranje tolerancije rizika koje su pronašle druge organizacije, a od kojih organizacija ima koristi. Odluke takođe mora da uzmu u obzir zakonska ograničenja. Na osnovu ocene rizika donose se odluke o: 1. potrebi i načinu tretiranja rizika 2. određivanju prioritetnih rizika 3. preduzimanju konkretnih aktivnosti Ukoliko stepen rizika ne zadovolji kriterijum za rizike (prihvatljive rizike), onda se tim rizikom treba baviti (rizik bi trebalo da bude razmatran, tretiran). U nekim uslovima, ocena rizika može dovesti do odluke o nastavku dalje analize. Ocena rizika može takođe voditi i ka odluci o tome da se rizik dalje ne ublažava ni na koji drugi način osim realizacijom postojeće kontrole rizika. Ova odluka će zavisiti od uticaja sklonosti organizacije ka riziku i postavljenih kriterijuma za rizike. Odluka o tome da li i kako tretirati rizik zavisi od troškova i kristi preuzimanja rizika i troškova i koristi koje nastaju primenom pojačane kontrole rizika. Organizacija mora da definiše odgovornost i ovlašćenje za upravljanje rizicima, adekvatnost i efektivnost kontrole rizika, primenu i održivost procesa procene rizika. Ovo se može ostvariti: 1. primenom odgovarajućih mehanizama priznanja, nagrada, pohvala i sankcija 2. uspostavljanjem metrike rezultata i internog i /ili eksternog izveštavanja o napretku 3. specifikovanja nosioca rizika ili kategorija rizika radi primene mera tretmana rizika, održavanja kontrole rizika i internog izveštavanja o relevantnim informacijama o riziku 4. specifikovanjem odgovornosti za razvoj, primenu i održavanje koncepta procene rizika Organizacija mora da primenjuje praktične metode i sredstva za realizaciju procesa procene rizika, uključujući raspodelu odgovarajućih resursa za proces procene rizika. Procena rizika mora da obuhvati sledeće: 1. dokumentovane procese i procedure 2. informatičku podršku 3. ljudske resurse ostale resurse neophodne za svaku fazu procesa procene rizika
2.
Kako se dele tehnike za procenu rizika i navedite neke od osnovnih tehnika
Tehnike procene rizika su postupci kojima se vrši merenje, odnosno predviđaju konsekvencije rizika, kao i uticaj koji pojavljivanje rizika ima na određeni projekt, aktivnost ili događaj. Postoji više tehnika za procenu rizika, a izbor tehnike koja će se primeniti zavisi od: 1. zahteva zainteresovanih strana 2. prirode rizika koji se analizira 3. dostupnosti relevantnih podataka 4. raspoloživih resursa 4
5.
načina prikazivanja rezultata itd.
U zavisnosti od merljivosti rezultata, tehnike procene rizika mogu biti: 1. Kvalitativne, kada je rezultat nemoguće iskazati brojčano, već se koriste određene opisne ocene 2. Kvantitativne, kada je rezultat brojčano jasan 3. Polukvantitativne, kada se kombinovanjem prethodna dva modela na posredan način dođe do određenih smernica Prilikom odabira tehnika treba imati na umu: 1. primenljivost 2. tačnost 3. ograničenja 4. prihvatljivost metodologije 5. alternativne metodologije Nivo traženih detalja zavisi od određenih zahteva, dostupnosti pouzdanih podataka i kreiranja odluka prema potrebama organizacije. Neke metode i stepen analize detalja mogu biti zakonski definisani ili putem zahteva iskazanih u standardima. Kvalitativna procena definiše verovatnoću i posledice po unapred postavljenim nivoima (visoki, srednji, niski) Polukvantitativne metode koriste numeričke skale za određivanje verovatnoće i posledica, te određuju nivo rizika njihovim kombinovanjem i korišćenjem matematičkih formula. Kvantitativna analiza procenjuje praktične vrednosti posledica i verovatnoće njihovog nastanka, i u tom kontekstu procenjuje nivoe rizika u posebnim jedinicama. Za procenu rizika, odnosno za pojedine faze procene standardom ISO/IEC 31010 preporučene su tehnike i oruđa. Tehnike procene rizika sadržane u ovom standardu služe kao potpora međunarodnog standarda ISO 31000 i obezbeđuju uputstvo za odabir i primenu sistematičnih tehnika za procenu rizika. Tehnike za procenu rizika prema IEC 31010 su: 1. Razmena ideja (Brainstorming - Oluja mozgova) 2. Strukturisani ili polustrukturisani intervjui 3. Delfi tehnika 4. Analiza korišćenjem „Liste provere“ 5. Preliminarne analize hazarda 6. Studija hazarda i operabilnosti (HAZOP) 7. Analiza hazarda i kritičnih kontrolnih tačaka (HACCP) 8. Analiza ekoloških rizika 9. SWIFT sa strukturom „šta ako” 10. Analiza scenarija 11. Analiza uticaja na poslovanje 12. Analiza korenih uzroka (RCA) 13. Analiza modusa i efekata grešaka (FMEA/FMECA) 14. Analiza pomoću stabla grešaka (FTA) 15. Analiza pomoću stabla događaja 16. Analiza uzrok–posledica 17. Analiza uzroka i uticaja 18. Analiza nivoa zaštite (LOPA) 19. Analiza stabla odluka 20. Analiza ljudske pouzdanosti HRA) 21. Analiza „leptir miša” 22. Očuvanje pouzdanosti 23. Analiza šunjajućeg kola 24. Modeliranje po Markovu 25. Monte Karlo simulacija 26. Bejsove statistike i Bejsove mreže 27. FN krivulje 28. Indicije rizika 29. Matrica konsekvenci / verovatnoće 30. Analiza cena–korist 31. Analiza višekriterijumskog odlučivanja (MCDA)
3.
Kakva je uloga i kompetencija savremenog menadžera rizika u upravljanju organizacijom i šta obuhvata komunikacija o riziku
Procena rizika predstavlja veoma složen proces u kojem je neophodno primeniti multidisciplinarni pristup posmatranju potencijalnih opasnosti i delovanja na njih. Bezbednost kao poslovna funkcija ostvaruje se na svim nivoima organizacije, primenom bezbednosno-zaštitnih procedura od strane zaposlenih, bez obzira na mesto, vreme i karakter ugrožene vrednosti. S obzirom da menadžer rizika treba da obavlja složene i odgovorne poslove, dužan je da odgovori na određene zahteve u skladu sa zakonom i standardima, čijim bi se ispunjavanjem stvorile pretpostavke za pouzdano obavljanje poslova procene rizka u zaštiti lica, imovine i poslovanja. Uslovi koje treba da ispuni menadžer rizika: 1. obrazovanje – poseduje visoku školsku spremu iz naučnih oblasti srodnih poslovima u oblasti bezbednosti 2. radni staž – najmanje 3 godine 3. stručno iskustvo – najmanje 1 godina na poslovima zaštite lica, imovine i poslovanja 4. ostali uslovi – uverenje o nekažnjavanju (bezbedonosna provera), državljanjstvo RS, opšta zdravstvena sposobnost 5. specijalistička obuka – savladan program stručne obuke 6. položen stručni ispit – pred komisijom u telu za sertifikaciju, akreditovanom kod ATS-a 5
Menadzer rizika pored toga što mora biti stručnjak za bezbednost, mora imati osobine poslovno orjentisanih ljudi, koji poznaju veštine biznisa. Menadzer rizika mora biti osposobljen da obavlja sledeće poslove: 1. Poznaje i prati stanje procesa poslovanja u organizaciji, 2. Prati zakonsku regulativu, standarde i propise, 3. Učestvuje na seminarima i edukacijama, 4. Vrši implementaciju stadarda, 5. Učestvuje u predlaganju mera i izradi plana na osnovu procene rizika, 6. Vrši nadzor nad primenom mera i plana, 7. Izveštava nadređenog o stanju u organizaciji po pitanjima zaštite lica, imovine i poslovanja, 8. Učestvuje u izradi plana za obuku zaposlenih u organizaciji na prevenciji vanrednih događaja i postupanja u takvim situacijama, 9. Učestvuje u analizama programa obuke, 10. Prati rad na proceni ugroženosti i podnosi predloge zasnovane na proceni rizika. Menadžerrizika mora da obezbedisinhronizaciju svih poslova i aktivnosti neophodnih za uspešnu realizaciju procene rizika. Opšta strategija rada menadžera rizika podrazumeva: 1. Fizičku i pravnu indetifikaciju štićenih vrednosti 2. Identifikaciju odgovornosti za pojedine segmente procene rizika 3. Utvrđivanje svrhe procene 4. Utvrđivanje efektivnog datuma procene 5. Prikupljanje i analizu podataka koji su potrebni za primenu metoda procene 6. Primenu metoda procene 7. Donošenje zaključaka predlog mera 8. Izradu izveštaja U postupku procene rizika, osnovna pretpostavka je objektivnost, pre svih menadzera rizika i odsustvo sukoba interesa. Menadzer rizika svoje radno vreme provodi na različitim mestima i lokacijama, u zavisnosti od plana procne rizika. Menadzer rizika u organizaciji mora zauzimati takvo mesto koje mu omogućava direktnu komunikaciju sa najvišim menadzmentom u organizaciji. Osnovni problem menadzera rizika je da obezbedi kvalitetne informacije neophodne za procenu rizika. On mora imati podršku i stručnu pomoć ostalih menadzera kako bi izvršio kvalitetnu procenu rizika. Veoma važan deo procene rizika predstavlja organizacija prikupljanja podataka koja ima sledeće faze: 1. Definisanje konteksta (projektovanje) – osmisliti šta želimo da saznamo i gde možemo pronaći podatke za to, 2. Organizovanje – ima dve faze: a) planiranje prikupljanja podataka (precizne smernice), b) praktično organizovanje za prikupljanje podataka (planiranje lica, materijalnih resursa i sl.), 3. Realizacija – aktiviranje plana za prikupljanje podataka i sam rad na prikupljanju podataka, 4. Sastavljanje zapisa – uobličenje podataka za efikasnu procenu rizika. Svaki dobijeni podatak mora da ispunjava određene kvalitete, kao što su: 1. Valjanost – da li je podatak dobijen na pravi način, 2. Pouzdanost – proveren podatak, 3. Doslednost – potvrđen iz više izvora, 4. Objektivnost – potvrđen od više lica, 5. Potpunost – nema pokazatelja da je podatak netačan. Da bi upravljanje rizicima bilo efikasno, potrebno je da oragnizacija razvije i pripremi plan tako da se obezbedi komunikacija sa eksternim i internim zainteresovanim stranama. Ovo treba da obuhvati: 1. komunikaciju sa zainteresovanim stranama u slučaju krize ili štetnog događaja 2. angažovanje odgovarajućih eksternih intresnih strana i omogućavanje efektivne razmene informacija 3. intreno i eksterno izveštavanje na zakonit, pravno osnovan način i pod mandatom organa upravljanja 4. interno izveštavanje o uticaju koncepta procene rizika na odnos sa intrenim stranama, njegovoj efektivnosti i rezultatima 5. dostupnost informacija u skladu sa zakonom 6. obezbeđivanje povratne informacije o komunikacijama 7. korišćenje komunikacija radi osiguranja transparentnosti i izgradnje poverenja u organizaciju
6
