Nedavno sam se našao s jednim kolegom na kavi i priča mi događaj:
On: Prijatelju, nisam prošao na tenderu, o kojem sam ti govorio, za uvođenje sistema upravljanja!
Ja: U čemu si bio slabiji od pobjednika?
On: Znam da je velika razlika u cijeni ponude. Pobjednik je imao najmanju cijenu.
Ja: Dobro, to je jedan od najvažnijih razloga. Kolika je bila razlika u cijeni?
On: Ja sam bio oko 800% skuplji od pobjednika, ali bilo je još skupljih ponuda.
Daljnji naš razgovor nije interesantan za ovo mjesto. Ovih par izmijenjenih riječi su bili inicijalna kapisla za ovaj moj komentar.
Kao prvo, u svim pravilnicima za nabavu robe i usluga stoje između ostalih i ove klauzule: zadovoljiti zahtjeve tendera i najmanja cijena. Kada je u pitanju neka roba ili proizvod stvar se u pravilu kreće u koliko toliko razumnim granicama najmanja – najveća cijena. Ponekad u crnoj kronici i to bude demantirano. Pored toga, kod proizvoda je relativno lagana usporedba da li se nudi ono što se traži u tenderu. Međutim, kada je u pitanju usluga, kao npr. savjetničke usluge za uvođenje nekog sistema upravljanja, stvar je znatno neodređenija, pa se praktički sve ipak svodi na najmanju cijenu.
Kako protumačiti da se za isti zahtjev (ponudu) uvođenja sistema upravljanja na natječaju dobivaju ponude s cijenama koje se međusobno razlikuju, u rasponu najmanja – najveća, 500%, 800%, pa i više? Kako je moguće da se za isti posao mogu toliko razlikovati cijene?
Koliko sam do sada imao prilike vidjeti ima nekoliko razloga za to. Redoslijed razloga nenormalnim razlikama u cijenama savjetničkih usluga, kako to ja vidim bi bio kako slijedi (Napomena: ako želite sami si promijenite redoslijed po svom nahođenju, ili dodajte neki drugi razlog):
Prethodni međusobni dogovor naručitelja posla i jednog favoriziranog ponuđača. To se uobičajeno naziva „namješteni“ tender. Tu je dogovor da se nenormalno smanji cijena ponude, a onda se naknadno fakturiraju neki poslovi, pa se u konačnici dobije neki sasvim drugi iznos usluge. Tu se zahtjevi za ponudama često puta mogu prepoznati da imaju neki detalj (zbog sigurnosti) koji može ispuniti samo jedan ponuđač. Zanimljivo je da u tom slučaju taj detalj u opće nije presudan, pa čak niti važan za obavljanje posla.
Neujednačene razine savjetničkih usluga koje obavljaju razni ponuđači. Tu ima onih koji se bore za „koricu kruha“ i „rade“ za bilo kakvu cijenu. Netko to može obaviti po principu „idi mi, dođi mi“, a netko svojski se trudeći da napravi sve po pravilima igre koje važe za profesionalce. Naravno da za ta dva slučaja polazni parametri za izračunavanje cijene nisu ni približno isti. Za uspjeh ovoga razloga, naročito je važan slijedeći razlog.
Naručitelj usluge u biti i ne zna što želi, odnosno bolje rečeno: nema pojma što bi trebao dobiti, ali zna da to hoće. Tu nema ničega relevantnoga osim cijene u ponudi. A ono što naručitelj dobije i tako je više od onoga što je očekivao. Tu se prepoznaju oni naručitelji koji gotovo isključivo trebaju neki certifikat zbog mogućnosti učešća na tenderima.
U takvom okruženju se postavlja pitanje: kako ponuditi neki posao savjetovanja i ne osjećati gorčinu neuspjeha zbog nerazumljivih rješenja prihvaćanja, odnosno nemogućnosti da se usporedi ono što se nudi od bilo kojeg ponuđača?
Ako je kriterij samo niska cijena, tada je za savjetničke firme važno da imaju „sređenu“ dokumentaciju o sistemu koji se uvodi za neku nepoznatu firmu, te banalnim prilagođavanjem dokumenata proglasiti to dokumentacijom uspostavljenog sistema za konkretnog naručitelja. Tu je važno imati određeni kontakt sa certifikacijskom kućom, pa se u konačnici dobiva rješenje koje odgovara svima osim korisnicima usluga i roba tog naručitelja. U takvom slučaju, cijena stvarno nije problematična i može biti praktički koliko želite malena.
Bilo bi mi drago da ovo moje viđenje ne odgovara istini i da je posljedica poznavanja nekoliko slučajeva, te da kao takvo ne opisuje stvarnu situaciju.
Na ovaj blog me je ponukao komentar da je ISO 9001 preslaba za moderno poslovanja, te u skladu s time generalno pitanje o relevantnosti ISO standarda u modernim organizacijama.
Meni je potpuno jasno da standardi ISO, pri tome se najviše misli na ISO 9001 i članove te serije standarda nisu zadovoljavajući za sve kompanije. Postoji niz kompanija koje su počele uvoditi ISO 9001, pa su prekinule i prešle na neko svoje rješenje. Ima niz kompanija koje nikada nisu ni pokušavale uvoditi ISO 9001, već su razvijale svoj sistem upravljanja kvalitetom. Da li je to u redu? Pa očito da je to u redu za takve kompanije. No, koje su to kompanije koje razvijaju vlastiti sistem upravljanja kvalitetom? Pa i površnim pregledom i analizom može se pokazati da su to u glavnom vrlo velike kompanije, gotovo redovno multinacionalne. Uz to, često puta te kompanije imaju niz organizacija s različitim djelatnostima, pa i razne proizvode. Npr. da li ste ikad čuli da se Mercedes hvali i reklamira da ima ISO 9001, ili recimo Samsung, ili neka druga firma takvog profila, odnosno značaja. Ne, one u pravilu imaju svoja rješenja za sisteme upravljanja kvalitetom i za njihove potrebe specijalno prilagođene. Tko njih auditora i priznaje zbog toga? Pa indirektno glavni auditor je u biti tržište koje ih kontrolira kroz kvalitetu proizvoda i usluge. Greške u kvaliteti proizvoda takvih kompanija se mjere u desetinama, pa i stotinama milijuna dolara. Sitna, mala greška na kočionom sistemu izaziva povrat na servis ponekad i desetina hiljada automobila i besplatno servisiranje. Ogromna ulaganja u propagandu i druge oblike vraćanja povjerenja kupaca. A zašto su se ponekad dešavaju propusti i takvim kompanijama. U pravilu to je zbog grešaka u njihovom sistemu upravljanja kvalitetom, bilo u postavci, bilo u provođenju. E, pa sada zamislite, da u takvoj kompaniji auditori budi neki poluobučeni, problematičnog morala auditori. U tim kompanijama koriste svoje vlastite auditore koji su visoko profesionalno kompetentni u svakom pogledu, pa se i pored toga ponekad dešavaju propusti.
S druge strane, takvim kompanijama nije potreban ISO certifikat, jer one nose tržišna imena koja su jača od bilo kakvog ISO certifikata serije 9001. Nikome ne pada na pamet da traži od proizvođača dokaz kvalitete sa ISO certifikatom za kvalitetu ako njegov proizvod na sebi ima okrugli znak s trokrakom zvijezdom. Ta zvijezda s tri kraka je na tržištu jača od bilo kakvog ISO certifikata.
No, kome onda treba ISO certifikat? U biti svima drugima koji nisu dovoljno veliki niti tržišni etaloni. Kako će neki kupac znati da je proizvod ili usluga u granicama prihvatljive kvalitete ako nema neko mjerilo koje je opće prepoznatljivo? U tu svrhu je i započeo razvoj sistema upravljanja kvalitetom temeljen na seriji raznih standarda.
Neću ni ja sada komentirati moralnu i poslovnu odgovornost auditora, certifikacijskih kuća, menadžmenta raznih firmi, ali ako se pretpostavi da su oni u redu (?) onda se ipak dolazi do zaključka da sistemi upravljanja kvalitetom temeljeni na ISO standardima imaju svoju veliku važnost, te kao takvi nemaju alternativu.
Kada se pogleda razvojni put ISO standarda za upravljanje kvalitetom od 1990 godine na ovamo evidentno je da je svaka revizija ISO 9001 donosila neki novi značajni detalj čija primjena znatno poboljšava sistem upravljanja. Tako npr. 2000 god. Uveden je procesni pristup, a 2008 se počelo govoriti i pisati o mjerenju zrelosti poslovnih procesa, uvođenju upravljanja rizicima, itd. U prosjeku populacija u firmama koja bi to primijenila nije na nivou znanja i iskustva, a menadžmenti iz istog razloga bježe od toga. Zbog tog razloga se i formalno u ISO 9001 nije uključio eksplicitni zahtjev upravljanja rizicima, a ISO 9004 se u zadnji trenutak prije objave bitno olabavio i sveo na listu želja i ideja vezanih za praćenje i mjerenje zrelosti upravljanja poslovnim procesima.
Velike multinacionalne kompanije jednostavno ne mogu upravljati s tako složenim sistemima bez tih, ali i niza drugih elemenata, simulacija, ozbiljnih istraživanja tržišta, itd. Siguran sam da ni jedan automobil zadnjih 50-tak godina nije izašao iz tvornice da se nisu radile vrlo ozbiljne procjene rizika, niti bi avioni letjeli bez procjene rizika, niti bi razvoji softvera mogli biti tako uspješni da nije bili davno razvijen i primjenjivan sistem kontrole zrelosti procesa. To se nije odnosilo samo na sam proizvod, već i na organizaciju i provođenje poslovnih procesa.
To "male" firme nisu mogle (a ni danas ne mogu) pratiti, a i trenutni zahtjevi ISO standarda su izuzetno teški ako se hoće savjesno ispuniti.
Zato mislim da uvođenje i certificiranje po ISO standardima danas nema alternativu ni za jednu firmu osim onih kojima to nije dovoljno jer su na daleko većem stupnju organizacijskog i funkcionalnog razvoja od „običnih“ firmi. No, ISO 9001 je samo okvir koji kaže što se mora ispuniti da se dobije certifikat, ali on nikako ne onemogućava da svatko stavi i dodatne svoje zahtjeve u organizaciju sistema upravljanja kvalitetom. Ako su ti dodatni zahtjevi toliko napredni, onda se stvarno čovjek pita da li to mogu auditirati „obični“ auditori (EOQ, IRCA, IAF, itd.).
Tokom realizacije nekog projekta ili bilo kakvog drugog zadatka koji je kao takav došao od strane neke više instance obavezno se treba provesti neki od oblika izvještavanja. U pravilu, to izvještavanja je u pismenom obliku, ali često puta i u usmenom, odnosno u obliku prezentacije.
Razlika između pismenog oblika prezentacije rezultata rada na projektu i/ili nekom poslu u pismenoj formi i formi usmene prezentacije je vrlo velika. Svaki od tih oblika prezentacije ima svoje zakonitosti koje u pravilu nisu u većini slučajeva transferabilne. To znači, da većina karakteristika za pismeno izvještavanje o rezultatima rada treba koncepcijski, strukturno i tehnološki riješiti na sasvim drugi način od slučaja usmene prezentacije. Potpuno isti zaključak vrijedi i u obrnutom smjeru. Prihvatljiva koncepcijska, strukturna i tehnološka rješenja za pismenu prezentaciju rezultata rada su u pravilu neprihvatljiva, čak i kontraproduktivna kod usmene prezentacije, ali i obratno.
Zašto je važno o tome voditi računa? Pogledajmo primjer postupka realizacije nekog zadatka (projekta, ili dijela projekta). Za ilustraciju može poslužiti primjer na slici 1. Od više instance se dobio neki zadatak, posao kojega treba obaviti u sklopu nekih ograničenja resursa (vremena, novca, ljudi, tehničkih sredstava, itd.). Naravno da viša instanca očekuje da se taj posao uspješno završi. Uspješnost završetka posla se deklarativno ocjenjuje kroz prezentaciju rezultata rada. Ako su postignuti rezultati rada zadovoljavajući i u očekivanim granicama parametara, viša instanca, a time i realizatori posla su zadovoljni. Međutim, ako prezentacija rezultata rada ne zadovoljava višu instancu, tada dolazi do konfliktne situacije. Kod toga se može uvijek postaviti pitanje: da li je problem u lošem radu zbog nekog razloga, pa sukladno tome i loših rezultata, ili je možda prezentacija rezultata rada bila loša i neadekvatna, pa viša instanca ne prihvaća rezultate rada jer ih nije ni shvatila.
Tematski, u okviru ovog rada neće se obrađivati problem uspješnosti provođenja i realizacije posla. Pretpostavlja se da su izvršioci kompetentni za te poslove. Međutim, iz osobnog iskustva znam, jer sam se uvjerio da veliki dio izvršitelja nekog posla vrlo loše prezentira svoje rezultate rada, naročito ako se radi o usmenoj prezentaciji.
Zbog toga će se u nastavku posvetiti pažnja nekim pravilima uspješne usmene prezentacije rezultata rada.
1. Rizici uspjeha prezentacije
Svaki posao koji treba napraviti, pa tako i prezentacija rezultata rada obavlja se u hazardnim uvjetima. Što to znači? Za svaki posao postoji veći ili manji rizik da će se uspješno obaviti jer okruženje je samo po sebi nesigurno i time nema garancije za uspjeh obavljanja nekog posla. Da bi se u hazardnim uvjetima smanjio rizik realizacije posla potrebno je izvršiti odgovarajuće pripreme i osiguranja da ne dođe do realizacije rizika, odnosno incidenta.
Ako se pogleda zadatak u kojem treba izvršiti usmenu prezentaciju rezultata rada, onda normalno svi žele da ta prezentacija bude uspješna, odnosno, da ispuni osnovni cilj: auditorij kojemu se vrši usmena prezentacija treba shvatiti i prihvati prezentaciju na temelju koje će zaključiti da je prezentirani posao kvalitetno urađen. Sve drugo se može smatrati neuspjelom prezentacijom, jer je pretpostavka da je posao dobro napravljen. Blok shema rizika prezentacije prikazana je na slici 2.
Ako samu prezentaciju promatramo kao objekt na kojemu ne želimo da dođe do realizacije rizika koji se naziva 'neuspjela prezentacija', onda treba pristupiti analizi uzroka koji mogu dovesti s većom ili manjom vjerojatnošću do realizacije rizika. Naravno da treba težiti što manjoj vjerojatnosti pojave rizika, odnosno manjem riziku.
Uz pretpostavku da prezentator nema ingerencije na prostor i tehničke uvjete za prezentaciju, onda prijetnje koje mogu dovesti do povećanja rizika za uspjeh prezentacije mogu biti: nezainteresiranost auditorija, nedovoljno stručno znanje auditorija, neadekvatan prostor za prezentaciju, loši tehnički uvjeti za prezentaciju, itd.
S druge strane, ranjivost prezentacije je u potpunosti u rukama prezentatora. On je u svakom slučaju odgovoran za ranjivost prezentacije. U ranjivosti prezentacije spadaju: preuska i visoko stručna tema, loše pripremljeni prezentacijski materijal, loše provođenje prezentacije, loše upravljanje vremenom prezentacije, itd.
Može se pokazati, da prezentator ima malo utjecaja na potencijalne prijetnje, ali ako ih unaprijed zna, može pripremiti odgovarajuće protumjere, odnosno smanjiti efekte prijetnji. Glavni smjer borbe protiv neuspjeha prezentacije je u svakom slučaju u području ranjivosti, odnosno, poduzimanje onih radnji i priprema koje će ranjivost prezentacije svesti na najmanju moguću mjeru.
U području posljedica svaki prezentator želi i očekuje minimalne posljedice, odnosno želi maksimalnu uspješnu prezentaciju. U protivnom je najbolje da se ne bavi tim poslom.
Kao zaključak se može reći da se optimalno smanjuje rizik neuspjeha prezentacije djelovanjem na ranjivost prezentacije. Kako je već rečeno, tu će se težište staviti na usmenu prezentaciju te će se stoga u nastavku samo taj aspekt prezentacije rezultata obraditi.
2. Smanjivanje ranjivosti usmene prezentacije
Na početku ove teme treba reći da se pod usmenom prezentacijom smatra istovremeni nastup prezentatora pred auditorijem i video sa ili bez audio komponente. Drugim riječima, pod prezentacijom se smatra nastup prezentatora s pratećim materijalom (u pravilu je to .ppt prezentacijski materijal).
Neka pravila koja će se navesti u nastavku vezana za pripremu i izvođenje prezentacije nisu ničim propisana, već predstavljaju iskustvo najbolje prakse u svijetu, sa značajnim elementima podrške psihologije. Naravno, nije moguće niti je optimalno se držati slijepo svih ovih pravila, ali rukovođenje njima u fazi priprema i provođenja prezentacije dramatično može smanjiti rizik neuspjeha same prezentacije.
Ključna pravila za smanjivanje ranjivosti takve prezentacije su:
Izrada prezentacijskog materijala koristeći psihologiju i najbolju praksu
Priprema prezentatora da koristeći elemente najbolje prakse postigne prihvatljivu vještinu prezentiranja.
Osnovna pravila usmene prezentacije:
Nitko nije došao da gleda medij za prezentaciju već da gleda i sluša prezentatora
Ako želite čitati sa slajda, tada samo pošaljite slajd i ne trebate ni dolaziti na prezentaciju
Prezentator mora fokusirati auditorij na ono što prezentira, a ne na način prezentacije
Prezentator mora govoriti,a ne čitati tekst koji ide uz prezentacijski materijal
Kod govora prezentator mora govoriti dovoljno glasno i razgovijetno, ne prebrzo, služiti se dinamičkim naglašavanjem i ukazivanjem na važne dijelove prezentacije
Medij za prezentaciju (.ppt) nije prezentacija, već DODATAK prezentaciji
Nikada ne koristiti medij koji će sakriti prezentatora.
Dodatna pravila prezentacije:
Ako prezentator nije u stanju u 10-15 minuta objasniti svoju prezentaciju, treba se baviti drugim poslom
Prezentacija koja ima više od 10 slajdova je besmislena i dosadna
Ispričavajte se auditoriju samo ako ste napravili grešku tokom prezentacije
Učinite prezentaciju zabavnom
Zapamtite, prezentator je jedini koji može spriječiti tzv. smrt zbog “PowerPoint-a“.
Pravilo 10-20-30 za prezentaciju (Guy Kawasaki)
Ne više od 10 slajdova
Trajanje ne duže od 20 minuta
Fontovi ne manji od 30 point-a.
Životno iskustvo uči da vrijedi pravilo koje je definirao Herbert Simon: Ljudska pažnja je oskudan resurs. To znači, da prezentator ima relativno malo vremena da zadrži odgovarajuću pažnju auditorija i to uz osobni napor u ulozi animatora.
Prezentator bi se trebao držati još jednog važnog pravila: na jednom slajdu samo jedna ideja. Jedna ideja se treba moći opisati sa najviše 15 riječi. To je posljedica memorijskog ograničenja auditorija, a koje se ogleda kroz kratkoročno pamćenje. Tako npr. od približno 7 jednostavnih stvari auditorij će prihvatiti 1 do 2, ali ne i njihove detalje.
Kada je u pitanju animacija i tranzicija slajdova, preporuča se slijedeće:
Minimizirajte upotrebu animacije
Ako koristite tranzicije slajdova neka, svi slajdovi imaju jednaku tranziciju.
Sa sličicama na slajdu ne treba pretjerivati. Ako se koristi sličica, tada ona treba odgovarati ideji na slajdu.
Kako je vrijeme prezentacije uvijek ograničeno, držite se planiranog vremena, čak ako treba prekinite prezentaciju.
Opći izgled slajda:
Izgled kontinuiteta iz kadra u kadar prenosi osjećaj kompletnosti
Naslovi, podnaslovi i logotipi trebaju se pojavljivati uvijek na istom mjestu na svakom okviru
Margine, fontovi, veličina fonta i boje trebaju biti u skladu s grafikama koje se nalaze u istom položaju svakog okvira
Linije, pravokutnici, granice, i prazan prostor također bi trebali biti dosljedni u cijeloj prezentaciji
Izbor fonta treba tako odabrati da bude svima dobro čitljiv. Preporuča se upotreba slijedećih fontova: Arial, Tahoma i Verdana. Nikada nemojte žrtvovati čitljivost zbog stila ili oblika fonta.
Kada je u pitanju veličina fonta važno je pravilo: veće je bolje. Zapamtite, vaš slajd mora biti čitljiv u zadnjem redu prostorije. U tom smislu preporuča se za naslov slajda Verdana 40 pointa, za podnaslove ili bulete Verdana 32 pointa, a za tekst Verdana 24 pointa.
Ne koristite sva slova velika, jer:
Tekst se teško čita
Prikrivaju se akronimi
Poriče se upotreba velikih slova za naglaskom
Italic:
Koriste se za ”navodnike”
Koriste se za isticanje misli i ideje
Koriste se za naslove knjiga, časopisa i magazina.
Kada su u pitanju boje, prezentator koji priprema prezentaciju mora biti naročito pažljiv. Tu također postoje neka pravila koja se savjetuju u praksi:
U velikim dvoranama:
Izbjegavajte bijelu pozadinu
Bijeli ekran blješti u tamnoj prostoriji
Tamni slajdovi sa svjetlo obojanim tekstom daju bolje efekte.
Ako nemate iskustva, koristite 'kotač boja' za slaganje boje pozadine i teksta.
3. Zaključak
Planiranje, priprema i provođenje prezentacije rezultata rada se treba smatrati sastavnim dijelom nekog posla, projekta, zadatka, itd. Zato tom pitanju treba pristupiti s odgovarajućom dozom ozbiljnosti korištenjem iskustva i najbolje prakse. U koliko je cilj realizacija uspješne prezentacije na temelju koje će auditorij steći pozitivan stav i mišljenje o vašem poslu i vama kao prezentatoru, tada se treba koristiti istraženim psihološkim efektima koji smanjuju rizik neuspjeha prezentacije. Najvažnije u cijeloj toj priči je da je rizik neuspjeha prezentacije u najvećem dijelu pod kontrolom prezentatora. Kako je uspješno provođenje prezentacije u prvom redu vještina, jer se u ovom slučaju pretpostavlja da prezentator ima adekvatna stručna znanja o temi koju prezentira, nužna je odgovarajuća priprema i trening, naročito za nedovoljno iskusne prezentatore.
Uvođenje kontrolinga u sisteme upravljanja u zadnjih nekoliko godina dolazi sve više do izražaja. Razlog za to leži ne u novootkrivenom znanju ili tehnici upravljanja, već u sve većoj potrebi sveobuhvatnog pristupa sistemima upravljanja. Naime, kroz prethodne pristupe sistemima upravljanja revizijama ISO standarda do 2008 godine pažnja je bila usmjerena na prve ključne pristupe, među kojima je bio procesni pristup. To se naročito pokazalo objavom standarda ISO 9001:2000, kada je procesni pristup postao jedan od ključnih zahtjeva. Kako se u ovom trenutku ta tema smatra apsolvirana i više ne predstavlja kamen spoticanja kod implementacije sistema upravljanja prema ISO standardima, počinju se uključivati „nove“ tehnike upravljanja kojima se treba postići još veći efekt. Jedna od tih tema je u svakom slučaju kontroling, koji kao pojam i pristup upravljanju u organizaciji nije toliko nov, posebno ako se govori o velikim i uspješnim kompanijama.
Sam pojam kontroling, nalazi izvor u latinskom jeziku i to od riječi „contra“ i „rotolus“ – a znači zapis o izdanoj robi ili novcu koji je bio potreban radi kontrole. Prema latinskom jeziku s nazivom „counterroller“ označavali su se ljudi koji su izdavali zapise, vodili registre i provjeravale točnost. Prema engleskom jeziku „controlling“ ili „controllership“ nastali su etimološki iz riječi „control“ što označava upravljati, regulirati, uticati, itd. No u praksi, s točke gledišta organizacije pod kontrolingom se smatra takav oblik koji u sebi sadržava niz određenih podfunkcija koje se mogu smatrati instrumentima upravljanja i nadziranja. Kontroling se bitno razlikuje od pojma „kontrole“ kao podfunkcije menadžmenta. Istina, kontrola predstavlja glavni dio, odnosno područje kontrolinga. U kontekstu upravljanja, odnosno menadžmenta organizacije, kontroling predstavlja stručnu podršku odlučivanju, koordinaciju i integraciju. Kontroling je stručna pomoć menadžmentu kojim se povećava efikasnost i efektivnost upravljanja a time i sposobnost prilagođavanja promjenama unutar i izvan kompanije. Upravljačka koncepcija kontrolinga objedinjuje planiranje, kontrolu, analizu, informiranje, organizaciju i upravljanje ljudskim potencijalima. Pojednostavljeno, kontroling se može poistovjetiti sa točkom gledanja na cjelokupno poslovanje organizacije kroz naočale koje vide samo financijske tokove i aspekte, odnosno, sve aktivnosti se vide u samo u financijskoj domeni.
Slika 1. Pozicija kontrolinga u kompaniji
Sa aspekta sistema upravljanja prema ISO standardima, kontroling je jedan od poslovnih procesa koji se dodaje na sve poznate poslovne procese u organizaciji.
Pri uspostavljanju procesa kontrolinga u organizaciju optimalno je da taj proces bude upravljan preko PDCA kruga. Mapirati poslovni proces kontrolinga u procesne korake, praktički nije moguće. Razlog za to leži u činjenici da se ne mogu propisati sukcesivni koraci procesa kontrolinga, jer pored nužnosti upotrebe niza alata i tehnika za provođenje kontrolinga nužna je određena kreativnost, kao i u svakom upravljačkom procesu. Ono što se u procesu kontrolinga može definirati to su ključne aktivnosti, pravila, resursi u pojedinim fazama PDCA kruga kojim će se upravljati proces.
Primjenom PDCA kruga za uspostavu, provođenje i poboljšanje procesa kontrolinga treba provesti kroz fazu P (Plan) slijedeće aktivnosti: definirati sva pravila i postupke izvođenja procesa kontrolinga, definirati opseg i ciljeve kontrolinga, predvidjeti očekivane rezultate i efekte kontrolinga, itd. U D (Do) fazi se proces obavlja u organizaciji. Tokom Do faze i nakon nje se u C (Check) fazi provodi provjera, odnosno mjerenje i uspoređenje dobiveni izmjerenih rezultata rada procesa s planiranim i očekivanim rezultatima u P fazi. U koliko se rezultati razlikuju tada se u A fazi (Act) provodi analiza zašto došlo do odstupanja, te se planiraju korektivne i/ili preventivne radnje da se u narednom ciklusu procesa kontrolinga smanje odstupanja. Pored potrebe planiranja i izvođenja korekcija uočenih (izmjerenih) nedostataka treba za slijedeći ciklus planirati i poboljšanja kojima bi se ubuduće postizali bolji rezultati rada procesa kontrolinga.
Planiranje i izvođenje procesa onako kako je planirano prema PDCA krugu u startu indirektno sadrži jednu pretpostavku: sve će se odvijati po planu, a odstupanja neće biti pretjerano velika, odnosno bit će u granicama prihvaćanja. Naravno da je odvijanje poslovanja uvjetovano nizom unutarnjih i vanjskih faktora koji se dijelom mogu predvidjeti, ali dijelom su nepredvidivi. U svakom slučaju, ne postoji nikakva garancija da će se planirani proces kontrolinga odvijati prema planu i da će dati baš sve očekivane rezultate. To je posljedica opće entropije u kojoj se odvija poslovanje. U tom slučaju se pred vlasnika procesa kontrolinga postavlja vrlo ozbiljan problem i pitanje: kako osigurati da se proces kontrolinga odvija po planu i da se od njega dobiju rezultati koji se i očekuju? Na to pitanje objektivan odgovor može dati samo upravljanje rizicima na procesu kontrolinga. Upravljanje rizicima nije sastavni dio PDCA kruga kontrolinga i kao takvo se posebno planira i provodi. U ovom radu će se posebna pažnja posvetiti upravljanju rizicima na procesu kontrolinga.
RIZICI PROCESA KONTROLINGA
Proces kontrolinga u organizaciji ima osnovne elemente kao i ostali poslovni procesi. Blok shema procesa kontrolinga je prikazana na slici 2.
Sa slike se vidi da se na ulazu nalaze jedan ili više zahtjeva. Ti zahtjevi su u pravilu od strane top menadžmenta organizacije i odnose se na željene rezultate procesa kontrolinga. Za obavljanje procesa nužni su nekakvi resursi, najčešće neke stručnjaci, ali i kvalitetan informacijski sistem.
Odvijanje procesa se provodi u skladu s nekim pravilima struke, zakona i uredbi, ali i propisanih i prihvaćenih metoda rada. Cjelokupno odvijanje procesa se mjeri praktički u svim dijelovima instrumentima i metodologijom koju si je organizacija propisala u P fazi PDCA kruga. Na izlazu procesa se nalazi zadovoljenje ulaznih zahtjeva. Npr. ako je na ulazu bio zahtjev da se iz procesa kontrolinga dobije pregled i analiza interakcija upravljanja financijskim resursima i ljudskim potencijalima, onda se to na izlazu procesa treba (mora) dobiti.
Slika 2. Blok shema procesa kontrolinga
Sve elemente procesa kontrolinga definira i određuje organizacija, odnosno vlasnik procesa u suglasnosti s top menadžmentom i njihovim očekivanjima. Ne postoji nigdje nikakav propis kako se taj proces odvija te koje elemente ima. Top menadžment ima cilj upotrebe rezultata kontrolinga za donošenje strateških ali i operativnih odluka, kako za organizaciju i izvođenje poslova u organizaciji, tako i u smislu nastupa na tržištu, odnosa prema konkurenciji, itd. Ti rezultati koji se dobivaju na izlazu procesa kontrolinga moraju biti pouzdani i maksimalno zaštićeni od slučajnih, ali i namjernih grešaka. Taj zahtjev prema procesu kontrolinga se objektivno jedino može kontrolirano provesti kroz upravljanje rizicima, odnosno procjenom što, kako, kada, na kojem mjestu može ugroziti proces kontrolinga zbog čega bi se dobivali nepouzdani podaci na izlazu.
Općenito gledajući, postoji pet grupa problema koji mogu ugroziti točnost procesa, odnosno njegovih rezultata na izlazu. Te grupe problema su: loši ulazni zahtjevi, ne odgovarajući resursi, pravila koja se ne primjenjuju ili su ne odgovarajuća, loše planirana mjerenja, te na kraju kvaliteta, stručnost i iskustvo obavljanja poslova unutar procesa. Sve to može u većoj ili manjoj mjeri ugroziti kvalitetu izlaza iz procesa. Ta analiza i procjena točnosti funkcioniranja procesa, odnosno ugrožavanja točnosti rezultata može se provesti procjenom rizika, bolje rečeno upravljanjem rizicima na procesu kontrolinga. Blok shema ugrožavanja rezultata procesa kontrolinga prikazana je na slici 3.
Slika 3. Blok shema ugrožavanja procesa kontrolinga
Može se pokazati na slici 3. da postoje dva ključna elementa koja mogu izazvati netočnost rezultata procesa kontrolinga. Jedno su prijetnje, kako vanjske, tako i unutarnje, te ranjivost procesa za kontrolinga.
Prijetnje su pojave koje mogu ugroziti pravilno funkcioniranje procesa kontrolinga, odnosno dobivanje ispravnih izlaznih rezultata. Izvori prijetnji mogu biti vanjski ili unutarnji s obzirom na mjesto nastajanja. U kategoriju vanjskih prijetnji mogu spadati npr. želja „neprijatelja“ da organizaciji pruži netočne podatke, da se izvana želi uticati na dobivanje krivih rezultata. Unutrašnje prijetnje u pravilu potiču od nelojalnih i nezadovoljnih zaposlenika kojima je između ostalog neki oblik „osvete“ pa nastoje svojim postupcima osujetiti pravilne rezultate procesa.
Ranjivost procesa kontrolinga se ogleda u slabostima procesa i njegovih elemenata da se odupru prijetnjama. Ranjivosti procesa su posljedica loše organizacije, loše planiranih ili provođenih mjera zaštite rada procesa itd. Krivac za ranjivost u pravilu je sama organizacija. Npr. ranjivost procesa kontrolinga je nekvalitetan informacijski sistem, nedovoljno educirani ili neiskusni ljudi koji rade u procesu kontrolinga, itd.
Ako prijetnja iskoristi ranjivost procesa kontrolinga kaže se da je došlo do sigurnosnog incidenta ako posljedica zbog incidenta izaziva štetu za organizaciju. Posljedica sigurnosnog incidenta kod procesa kontrolinga može biti netočan rezultat koji onda top menadžment koristi za donošenje (loših) odluka.
Kada se promatraju rizici nekog poslovnog procesa, tada se razlikuju dvije grupe: operativni rizici procesa i rizici aktivnosti u procesu. Operativni rizici poslovnog procesa su oni rizici koje određuje okruženje procesa i koje mu omogućava da se proces nesmetano odvija. Rizici aktivnosti procesa su rizici koji se odnose direktno na rizike pravilnog obavljanja bilo koje aktivnosti unutar procesa. Kod sveukupne analize rizika poslovnog procesa moraju se uzeti u obzir obadvije grupe, jer jednako mogu doprinijeti nesigurnosti funkcionalnih rezultata procesa.
PROCES ZA UPRAVLJANJE RIZICIMA
Problem rizika u organizaciji, u ostalom i u životu, je njegova promjenljivost s vremenom, i činjenica da nikada ne može biti 0, ali na sreću ni 100%, jer ako bi neki nepovoljan ishod bio siguran, tada nitko ne ulazi u njega svjesno. To znači da se odvijanje bilo kakvih procesnih aktivnosti odvija u uslovima veće ili manje entropije. U konačnici to znači da procijenjeni rizik u jednom trenutku u sljedećem više ne mora biti isti, ili da smanjeni neprihvatljivi rizik nakon toga zbog nekog razloga opet poprimi neprihvatljivi nivo. To ima za posljedicu da se kontinuirano mora provoditi kontrola rizika, a time i kontinuirano poduzimati aktivnosti da se rizici drže na prihvatljivom nivou. Prema prirodi problema, stalna kontrola i držanje rizika na prihvatljivom nivou je također poslovni proces.
Za razliku od niza drugih poslovnih procesa, proces za upravljanje rizicima može biti jedinstven za sve tipove organizacija, bez obzira na djelatnost i veličinu. Zbog toga za proces upravljanja rizicima postoji međunarodni standard ISO 31000:2009 (Risk management — Guidelines on principles and implementation of risk management). Standard ISO 31000 nije certifikacijski i predstavlja smjernice za uspostavu i poboljšanje procesa za upravljanje rizicima u organizaciji. On ne obavezuje organizacije da ga primjenjuju, ali kako je u njemu sadržana najbolja praksa i višegodišnja provjerenost od strane niza organizacija, može se postaviti pitanje: zašto izmišljati svoj proces upravljanja rizicima, kada postoji opće priznati, u praksi dokazan i prihvaćen proces? Blok shema procesa za upravljanje rizicima prema standardu ISO 31000:2009 prikazana je na slici 4.
Slika 4. Blok shema procesa za upravljanje rizicima prema ISO 31000:2009
Značenje i funkcija pojedinih elemenata procesa sa slike 4. je:
Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.
Utvrđivanje konteksta, eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.
Identifikacija rizika, gdje, kada, zašto i kako bi se događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.
Analiza rizika, identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.
Vrednovanje rizika, usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.
Obrada rizika, izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.
Praćenje i preispitivanje, neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
Procesom za upravljanje rizicima prema ISO 31000:2009 također se upravlja preko PDCA kruga. Aktivnosti po fazama PDCA kruga su prikazane u tabeli 1.
U kontekstu cjelokupne organizacije kompanije postavlja se između ostalih i pitanje gdje smjestiti proces za upravljanje rizicima i kako ga organizirati. Pored problema osiguranja sigurnosti odvijanja procesa kontrolinga u kompaniji kroz upravljanje rizicima na njemu, postoji još niz mjesta koja također trebaju (moraju) upravljati rizicima. To su npr. strateški i operativni rizici, rizici odvijanja svih ostalih poslovnih procesa, upravljanje aspektima životne sredine (ako kompanija ima ISO 14001), rizicima zdravlja i sigurnosti zaposlenika (OHSAS), informacijske sigurnosti (ISO 27001), itd. U svakom slučaju ovom problemu se treba pristupiti sistematski, jer je nedopustivo da postoji niz nepovezanih upravljanja rizicima u organizaciji, ali i razjedinjeno upravljanje sigurnošću u kompaniji. U tom smislu se treba prilagoditi organizaciona shema. Na slici 5. prikazan je primjer jednog od mogućih rješenja organizacije kompanije u kojoj se integralno pristupa problemu sigurnosti.
Tabela 1. Faze PDCA kruga za ISO 31000:2009
Faze procesa
Procesni koraci
Plan
Utvrđivanje konteksta
Procjena rizika
Plan obrade rizika
Prihvaćanje preostalog rizika
Do
Implementacija plana obrade rizika (kontrola - sigurnosnih mjera)
Check
Kontinuirani monitoring i pregledi
Act
Održavanje i poboljšavanje procesa upravljanja rizicima
Sa slike se može vidjeti da se u kompaniji u ovom slučaju treba organizirati odbor za sigurnost kojem predsjeda menadžer sigurnosti (CSO – Chief Security Officer). CSO je najviša izvršna korporacijska funkcija, odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti. Sa slike se može vidjeti i da se u kompaniji treba organizirati i tim za procjenu rizika, koji je odgovoran za formalno provođenje rizika po svim elementima koji su od interesa za kompaniju. Tim za procjenu rizika je direktno odgovoran odboru za sigurnost.
Slika 5. Blok shema organizacije sigurnosti u kompaniji
Ilustracija organizacije sistema sigurnosti u kompaniji od slučaja do slučaja se može manje ili više mijenjati, ali princip kako se to u većini slučajeva postavlja prikazan je na slici 4. To upućuje da tim za procjenu rizika koji se sastoji od iskusnih specijalista za procjenu rizika, te od eventualno vanjskih savjetnika uz pomoć zaposlenika vrše procjenu rizika na svim elementima sveukupne sigurnosti. Tu spadaju problemi procjene rizika od strateških, do procesnih i projektnih, do operativnih, aspekata okoliša, itd. Važna je činjenica da se procjena rizika i politika sigurnosti s ujednačenim kriterijima primjenjuje u svim slučajevima. Odbor za sigurnost je tijelo koje direktno upravlja s timom za procjenu rizika, odgovara vrhovnoj upravi kompanije, te ima osnovnu ulogu da u svakom trenutku zna za sve problematične točke sigurnosti u kompaniji, moguće posljedice, načine zaštite i poboljšanja sigurnosti, itd.
Zaključak
Uvođenje procesa kontrolinga u kontekstu modernog pristupa upravljanju organizacijom predstavlja nužnost. Ona je trenutno u glavnom prepoznata kod velikih kompanija, ali zbog svog značaja o nizu elemenata kontrolinga moraju se baviti i srednje, odnosno male kompanije. Uvođenje novog procesa kontrolinga u aktivnosti odlučivanja u organizaciji za sobom povlači i nužnost brige o pouzdanosti rezultata koji se dobivaju na izlazu iz procesa. Jedini objektivni i formalno dokumentirani način takve kontrole pouzdanosti izlaznih rezultata kontrolinga je upravljanje rizicima vezanim za planiranje i provođenje procesa.
Literatura
[1] ISO 310000:2009 Risk management - Guidelines on principles and implementation of risk management
[2] ISO 9001:2008 Quality management systems – Requirements
[3] Gleissner, Romeike, Riskmanagement, Haufe Mediengruppe, 2005, ISBN 3-448-06209-X, str. 407
[4] Monahan, Gregory, Enterprise Risk Management: A Methodology For Achieving Strategic Objectives (Wiley And Sas Business Series), Wiley, ISBN 9780470372333, 2008
[5] Kemp, Sid, Quality Management Demystified, McGraw-Hill, ISBN 9780071449083, 2006
Objavom revizije standarda ISO 9001:2008 govori se (naročito od strane certifikacijskih kuća) da ona ne donosi ništa značajno novo. To se može tako gledati ako se ne obraća pažnja na osnovne intencije u toj reviziji, te težnju certifikacijskih kuća da proces certificiranja svedu na svoj poslovni interes i minimalne napore, ne mareći za stvarne intencije certifikata. Glavni doprinos nove revizije svodi se na težnju povećanja sigurnosti okruženje u kojem treba funkcionirati sistem za upravljanje kvalitetom (SUK, odnosno Quality management systems– QMS, engl.). Tu se standard ISO 9001:2008 poziva na potrebu vođenja brige o rizicima vezanim za okruženje QMS-a. Dalje se u standardu o tome ne govori više eksplicitno, ali taj detalj objektivno upućuje tim za implementaciju QMS-a i/ili tim za održavanje i poboljšavanje certificiranog QMS-a da brine o sigurnosti okruženja, odnosno dovođenja u stanje upravljanja rizicima koje jedino mogu ukazati na potencijalne probleme dugotrajne stabilnosti i eventualnih prijetnji koje mogu dovesti do nestabilnosti QMS-a, odnosno poslovanja organizacije. Nedovoljna briga o rizicima okruženja u kojima funkcionira organizacija a time i QMS može dovesti do prekida kontinuiteta poslovanja i vrlo ozbiljnih posljedica. Jedan od aspekata sigurnosti organizacije kao i QMS-a u njoj je i pitanje informacija, odnosno bolje rečeno informacijskoj sigurnosti. O toj temi se ništa ne govori među konzultantima QMS-a, a još manje među auditorima. Zbog kojeg razloga je tako? Da li je u pitanju nepostojanje znanja o informacijskoj sigurnosti ili čak nepostojanja ni svijesti o tome vezano za QMS, neće se ovdje spekulirati. No, realno se takvo pitanje može i mora postaviti. Da li zbog modernih vremena ili zbog trendova u kojima se općenito sve kreće prema informatičkom društvu također se ovdje ne smatra ključnim pitanjem, pa čak ni bitnim razlogom. Potreba za informacijskom sigurnošću vezana za uspostavljanje i poboljšanje QMS-a je prirodna stvar, čak implicitno, ozbiljni zahtjev standarda ISO 9001:2008.
Odnos ISO 9001:2008 i informacija
Nova revizija standarda ISO 9001:2008 na niz mjesta direktno upućuje da su informacije potrebne za funkcioniranje organizacije, a time i QMS-a. Evo samo nekih primjera iz standarda ISO 9001:2008 koji se pozivaju na informacije te nužnost manipulacije s njima (generiranje, prijenos, obradu, čuvanje, dostavljanje, odnosno isporuku korisnicima):
4.1 Opći zahtjevi
5.6.2 Ulazni podaci preispitivanja
6. Upravljanje resursima
6.3 Infrastruktura
7.2.2 Preispitivanje zahtjeva koji se odnose na proizvod
7.2.3 Komuniciranje s kupcem
7.3.2 Ulazni podaci projektiranja i razvoja
7.3.3 Izlazni podaci projektiranja i razvoja
7.4.2 Informacije za nabavu
7.4.3 Verifikacija nabavljenoga proizvoda
7.5.1 Nadzor proizvodnje i pružanja usluga
8.2.1 Zadovoljstvo kupca
8.4 Analiza podataka
Naravno da to nije sve. Postoji još niz mjesta u ISO 9001:2008 koja se referenciraju na informacije.
Kada se na tim gore navedenim mjestima govori o informacijama onda se misli na informacije koje su bitne za funkcioniranje organizacije, ali i na one koje su bitne unutar QMS-a. U tom kontekstu informacije predstavljaju resurs kao i svaki drugi koji se nalazi u nekoj organizaciji. Najčešće se informacije svrstavaju u kategoriju tzv. nematerijalne imovine, za razliku od materijalne kao npr. oprema, strojevi, alati, zgrade, odnosno sitni inventar, osnovna sredstva, itd. Ako su pored materijalne imovine i ljudski resursi organizacije s kojima se treba postupati u skladu sa zakonskom regulativom, ali i prema procedurama i uputstvima iz QMS-a, postavlja se pitanje, kako to da se informacije ne tretiraju na isti način, kao i bilo koja druga imovina, odnosno resurs organizacije? Tko je kriv za to?
Evo banalnog primjera: dokumentacija QMS u organizaciji koja može biti u papirnatom, elektronskom ili kombiniranom obliku mora biti u određenim situacijama kontrolirana, nepromjenljiva, dostupna itd. Čime to garantira menadžer za kvalitetu ili neko drugi ovlašten za upravljanje dokumentacijom? Da li je vjerovanje dovoljno da nitko neće zloupotrebiti dokumentaciju u kojoj može biti i poslovnih tajni? Mnogo pitanja na koja ni nadprosječno sposoban i obrazovan menadžer QMS-a nema odgovor, ali ne samo on, nego na žalost i konzultanti i auditori QMS-a.
Pored toga, i standard ISO 9004:2009 se također vrlo mnogo referencira na tokove informacija u QMS-u i informacijski sistem, te i on eksplicitno pretpostavlja tretiranje informacija kao resurs QMS-a.
Odnos ISO 9001:2008 i intelektualnog vlasništva
U okviru filozofije QMS-a se ne govori o povećanju dobiti organizacije vezano za implementaciju i certifikaciju ISO 9001:2008. Osnovna postavka je u slijedećem: ako uspostavljeni QMS ne doprinosi povećanju viška vrijednosti u organizaciji, zašto ga neka organizacija u opće i implementira? Upravo je to i bit značaja QMS-a: doprinos povećanju viška vrijednosti.
Komponente viška vrijednosti čine materijalni kapital (MK), financijski kapital (FK) i intelektualni kapital (IK). U analizi QMS-a koji je implementiran u organizacijama može se pokazati kako se obrađuju resursi: MK u glavnom zadovoljavajuće, FK u glavnom nezadovoljavajuće, a IK nikako, odnosno IK je praktički isključen. Intelektualni kapital koji između ostalog stvara konkurentsku prednost, definira se kao znanje zaposlenih koje oni pretvaraju u vrijednosti na tržištu. U pojmu „intelektualni kapital“ izraz „intelektualni“ označava da je izvor tog kapitala intelekt, odnosno znanje u različitim oblicima. U praksi, u organizacijama se sreću dva oblika intelektualnog kapitala:
Eksplicitni:u obliku planova, nacrta, patenata, licenci, bazama podataka, priručnika, poslovnika, korporacijskih standarda, kompjutorskih programa, itd. (Explicit Knowledge, engl.).
Imlicitni: koji je u glavama zaposlenih (znanje, vizije, sposobnost djelovanja, rješavanja problema, leadership, kultura, iskustvo …), a u literaturi se naziva skriveno znanje (Tacit Knowledge, engl.).
Uska veza između intelektualnog kapitala i zakonske regulative je i neki od oblika Zakona o intelektualnosm vlasništvu kojeg svaka država bezuvjetno ima. Tim zakonom se u principu definiraju odnosi prema tuđem ali i vlastitom intelektualnom kapitalu. Prema ISO 9001 svaka nacionalna zakonska regulativa je osnov i obaveza koju se bezuvjetno mora pridržavati uspostavljeni QMS, što znači i prema zakonskoj regulativi vezanoj za intelektualno vlasništvo.
Pojednostavljeno, iz gore navedenog se može zaključiti da intelektualni kapital predstavlja skup informacija unutar organizacije, a samim time i unutar QMS-a. Na taj način se opet dolazi do pitanja: kako to da informacije nisu formalno tretirane u okviru uspostavljenog QMS-a kao i svaki drugi resurs, ali sa svojim specifičnostima?
Ako je sasvim normalno da se resursi kao što su npr. strojevi za proizvodnju, kompjuteri, pisaće mašine, stolovi, alati itd ne smiju uništavati i otuđivati, ako se nad ljudima kao resursu organizacije ne smije provoditi mobing i sl., što se smije i/ili ne smije raditi s informacijama? Takav odgovor se ne može naći u okviru ISO 9001 (što je u redu jer za to se koristi drugi standard), a niti uspostavljeni QMS-i se toga ne dotiču (što nije u redu jer u organizaciji nisu korišteni drugi standardi).
Pojam informacije i informacijskog sistema
Da bi se moglo detaljnije razraditi način i mogućnosti tretiranja informacije kao resurs u organizaciji, odnosno u QMS-u, treba objasniti neke osnovne pojmove.
Kao prvo, pod pojmom informacije se podrazumjeva svaki podatak koji u nekom kontekstu ima značenje i vrijednost za vlasnika i/ili korisnika. Tako npr. ako se kaže podatak 37 onda on nije informacija jer nije u nikakvom kontekstu. Međutim ako se kaže da je temperatura radnog okruženja 37oC, onda to predstavlja informaciju.
Pod informacijskim sistemom se smatra uređeni skup resursa i pravila koji imaju jednu ili više uloga u procesima generiranja, prijenosa, arhiviranja i obrade informacija.
Glavne značajke upotrebe informacija se opisuju kroz tri aspekta:
Tajnost (Confidentiality) informacije koja ima smisao u tome da informaciju mogu koristiti i obrađivati samo ovlaštena lica;
Cjelovitost (Integrity) informacije koji se opisuje svojstvom da se informacija ne može promijeniti bez znanja vlasnika informacije, ali i metode obrade informacija; i
Raspoloživost (Availability) informacija koja ima značajku da se informacija mora dostaviti korisniku na mjestu i u vremenu kada je to njemu potrebno.
Osiguranje postojanja ova tri aspekta čine temeljnu okosnicu sistema za upravljanje sigurnošću informacija koja je tema standarda ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements. Ovaj standard definira informacijsku sigurnost kao stalno osiguranje i poboljšanje tajnosti, cjelovitosti i raspoloživosti informacija u okviru informacijskog sistema. Često puta se ova tri aspekta informacijske sigurnosti označavaju popularno kao C-I-A što je akronim od engleskih naziva ovih aspekata informacijske sigurnosti.
Ako se pogleda ilustracija informacijskog sistema prikazanog na slici 1, a koji je sastavni dio svake organizacije, posjedovala ona formalno implementirani i certificirani QMS ili ne, može se zaključiti da su to isti resursi koji se koriste i u poslovnim procesima za ostvarivanje poslovnih ciljeva organizacije.
U svakom slučaju, niz informacija koje se nalaze unutar informacijskog sistema organizacije predstavljaju dijelom najstrože poslovne tajne, nervni sistem organizacije (npr. ako se onemogući kolanje informacija u organizaciji – koliko dugo će ta organizacija funkcionirati? Ili niste svjesni netočnosti podataka koje koristite a na temelju njih trebate donositi strateške i operativne odluke za poslovanje, ili do vaših poslovnih planova može doći bilo tko, pa čak i konkurencija, koliko takva organizacija ima budućnosti?).
Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacijskom sigurnošću ISMS (Information Security Management System) temeljen na standardu ISO/IEC 27001:2005 kao i ostalima iz te familije standarda.
Značaj i sadržaj ISO/IEC 27001:2005
Standard ISO/IEC 27001:2005 je skup zahtjeva koje se mora ispuniti ako se želi certificirati sistem za upravljanje informacijskom sigurnošću. Standard je u potpunosti harmoniziran sa ISO 9001:2008 tako da je njegova struktura vrlo slična ostalim certifikacijskim standardima. Glavna poglavlja su:
0. Uvod
1. Predmet
2. Normativne reference
3. Nazivi i definicije
4. Sustav upravljanja informacijskom sigurnošću
5. Odgovornost uprave
6. Interne prosudbe (auditi) ISMS-a
7. Provjera ISMS-a od strane uprave
8. Poboljšanje ISMS-a
Aneks A (normativni) Ciljevi kontrola i kontrole
Aneks B (informativni) OECD principi i ova međunarodna norma
Aneks C (informativni) Podudarnosti između ISO 9001:2000, ISO 14001:2004 i ove međunarode norme
Glavni smisao standarda je da se ispune zahtjevi kojima se osigurava ispunjenje tri glavna aspekta informacijske sigurnosti tajnosti, integriteta i raspoloživosti (C-I-A).
Metodološki implementacija ISMS-a se svodi na definiranje opsega informacijskog sistema, definiranje sigurnosne politike, provođenje GAP analize, procjene rizika što sve može ugroziti ili ugrožava nivo željene informacijske sigurnosti, odabir sigurnosnih mjera (kontrola) te implementacija istih.
Pri implementaciji treba voditi brigu o maksimalnoj integraciji s postojećim QMS-om u organizaciji (ako ga ima), jer ISMS ima ulogu da ojača i podigne sigurnost ostvarenja poslovnih ciljeva koji su sastavni dio poslovne politike organizacije, odnosno QMS-a.
Treba naglasiti da standard ISO/IEC 27002:2005 kaže za informaciju: „Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena“. Kao što se vidi i tu se eksplicitno govori da je informacija vrijedan resurs organizacije i da ga se mora štiti, odnosno uključiti u ravnopravan odnos s ostalim resursima unutar QMS-a.
Zaključak
Iz gore navedenog se može zaključiti da su informacije jedan od najvažnijih resursa u organizaciji, te samim time se moraju odgovarajuće tretirati u okviru QMS-a.
Direktno opterećivanje QMS-a sa osiguranjem sigurnosnih aspekata informacije (C-I-A) je neracionalno i nije preporučljivo. Optimalno je implementirati ISMS prema zahtjevima standarda ISO/IEC 27001:2005 i njega integrirati sa QMS-om. Kako je implementacija ISMS-a složen projekt najbolje ga je provesti nakom certificiranja QMS-a.
U tom slučaju se može govoriti o kvalitetno uspostavljenom QMS-u. U protivnom, QMS koji nije praćen sa ISMS-om ne može se objektivno tretirati kao dobro uspostavljen jer nema dokaza za upravljanje informacijama, odnosno aspekata informacijske sigurnosti C-I-A, kao jednog od najvažnijih resursa svake organizacije.
Za svaki QMS koji je uspostavljen bez implementacije ISMS može se reći da je nesiguran, nestabilan, da daje nepouzdane rezultate, odnosno, da je na „staklenim nogama“.
Na kraju jedno jednostavno pitanje: Zašto se većina korisnika kod implementacije QMS-a i njegovog poboljšanja, te audirori u procesu audita odnose prema informacijama i njihovoj sigurnosti kao prema nečemu potpuno nevažnom, kada su informacije prema ISO 9001 jedan od ključnih resursa?
