subota, 20. studenoga 2010.

Upravljanje rizicima na procesima kontrolinga

Uvođenje kontrolinga u sisteme upravljanja u zadnjih nekoliko godina dolazi sve više do izražaja. Razlog za to leži ne u novootkrivenom znanju ili tehnici upravljanja, već u sve većoj potrebi sveobuhvatnog pristupa sistemima upravljanja. Naime, kroz prethodne pristupe sistemima upravljanja revizijama ISO standarda do 2008 godine pažnja je bila usmjerena na prve ključne pristupe, među kojima je bio procesni pristup. To se naročito pokazalo objavom standarda ISO 9001:2000, kada je procesni pristup postao jedan od ključnih zahtjeva. Kako se u ovom trenutku ta tema smatra apsolvirana i više ne predstavlja kamen spoticanja kod implementacije sistema upravljanja prema ISO standardima, počinju se uključivati „nove“ tehnike upravljanja kojima se treba postići još veći efekt. Jedna od tih tema je u svakom slučaju kontroling, koji kao pojam i pristup  upravljanju u organizaciji nije toliko nov, posebno ako se govori o velikim i uspješnim kompanijama.

Sam pojam kontroling, nalazi izvor u latinskom jeziku i to od riječi „contra“ i „rotolus“  – a znači zapis o izdanoj robi ili novcu koji je bio potreban radi kontrole. Prema latinskom jeziku s nazivom  „counterroller“ označavali su se ljudi koji su izdavali zapise, vodili registre i provjeravale točnost. Prema engleskom jeziku „controlling“ ili „controllership“ nastali su etimološki iz riječi „control“ što označava upravljati, regulirati, uticati, itd. No u praksi, s točke gledišta organizacije pod kontrolingom se smatra takav oblik koji u sebi sadržava niz određenih podfunkcija koje se mogu smatrati instrumentima upravljanja i nadziranja. Kontroling se bitno razlikuje od pojma „kontrole“ kao podfunkcije menadžmenta. Istina, kontrola predstavlja glavni dio, odnosno područje kontrolinga.  U kontekstu upravljanja, odnosno menadžmenta organizacije, kontroling predstavlja stručnu podršku odlučivanju, koordinaciju i integraciju. Kontroling je stručna pomoć menadžmentu kojim se povećava efikasnost i efektivnost upravljanja a time i sposobnost prilagođavanja promjenama unutar i izvan kompanije. Upravljačka koncepcija kontrolinga objedinjuje planiranje, kontrolu,  analizu, informiranje, organizaciju i upravljanje ljudskim potencijalima. Pojednostavljeno, kontroling se može poistovjetiti sa točkom gledanja na cjelokupno poslovanje organizacije kroz naočale koje vide samo financijske tokove i aspekte, odnosno, sve aktivnosti se vide u samo u financijskoj domeni.

 Slika 1. Pozicija kontrolinga u kompaniji

Sa aspekta sistema upravljanja prema ISO standardima, kontroling je jedan od poslovnih procesa koji se dodaje na sve poznate poslovne procese u organizaciji.

Pri uspostavljanju procesa kontrolinga u organizaciju optimalno je da taj proces bude upravljan preko PDCA kruga. Mapirati poslovni proces kontrolinga u procesne korake, praktički nije moguće. Razlog za to leži u činjenici da se ne mogu propisati sukcesivni koraci procesa kontrolinga, jer pored nužnosti upotrebe niza alata i tehnika za provođenje kontrolinga nužna je određena kreativnost, kao i u svakom upravljačkom procesu. Ono što se u procesu kontrolinga može definirati to su ključne aktivnosti, pravila, resursi u pojedinim fazama PDCA kruga kojim će se upravljati proces.

Primjenom PDCA kruga za uspostavu, provođenje i poboljšanje procesa kontrolinga treba provesti kroz fazu P (Plan) slijedeće aktivnosti: definirati sva pravila i postupke izvođenja procesa kontrolinga, definirati  opseg i ciljeve kontrolinga, predvidjeti očekivane rezultate i efekte kontrolinga, itd. U D (Do) fazi se proces obavlja u organizaciji. Tokom Do faze i nakon nje se u C (Check) fazi provodi provjera, odnosno mjerenje i uspoređenje  dobiveni izmjerenih rezultata rada procesa s planiranim i očekivanim rezultatima u P fazi. U koliko se rezultati razlikuju tada se u A fazi (Act) provodi analiza zašto došlo do odstupanja, te se planiraju korektivne i/ili preventivne radnje da se u narednom ciklusu procesa kontrolinga smanje odstupanja. Pored potrebe planiranja i izvođenja korekcija uočenih (izmjerenih) nedostataka treba za slijedeći ciklus planirati i poboljšanja kojima bi se ubuduće postizali bolji rezultati rada procesa kontrolinga.

Planiranje i izvođenje procesa onako kako je planirano prema PDCA krugu u startu indirektno sadrži jednu pretpostavku: sve će se odvijati po planu, a odstupanja neće biti pretjerano velika, odnosno bit će u granicama prihvaćanja. Naravno da je odvijanje poslovanja uvjetovano nizom unutarnjih i vanjskih faktora koji se dijelom mogu predvidjeti, ali dijelom su nepredvidivi. U svakom slučaju, ne postoji nikakva garancija da će se planirani proces kontrolinga odvijati prema planu i da će dati baš sve očekivane rezultate. To je posljedica opće entropije u kojoj se odvija poslovanje. U tom slučaju se pred vlasnika procesa kontrolinga postavlja vrlo ozbiljan problem i pitanje: kako osigurati da se proces kontrolinga odvija po planu i da se od njega dobiju rezultati koji se i očekuju? Na to pitanje objektivan odgovor može dati samo upravljanje rizicima na procesu kontrolinga. Upravljanje rizicima nije sastavni dio PDCA kruga kontrolinga i kao takvo se posebno planira i provodi. U ovom radu će se posebna pažnja posvetiti upravljanju rizicima na procesu kontrolinga.

RIZICI PROCESA KONTROLINGA

Proces kontrolinga u organizaciji ima osnovne elemente kao i ostali poslovni procesi. Blok shema procesa kontrolinga je prikazana na slici 2.

Sa slike se vidi da se na ulazu nalaze jedan ili više zahtjeva. Ti zahtjevi su u pravilu od strane top menadžmenta organizacije i odnose se na željene rezultate procesa kontrolinga. Za obavljanje procesa nužni su nekakvi resursi, najčešće neke stručnjaci, ali i kvalitetan informacijski sistem.

Odvijanje procesa se provodi u skladu s nekim pravilima struke, zakona i uredbi, ali i propisanih i prihvaćenih metoda rada. Cjelokupno odvijanje procesa se mjeri praktički u svim dijelovima instrumentima i metodologijom koju si je organizacija propisala u P fazi PDCA kruga. Na izlazu procesa se nalazi zadovoljenje ulaznih zahtjeva. Npr. ako je na ulazu bio zahtjev da se iz procesa kontrolinga dobije pregled i analiza interakcija upravljanja financijskim resursima i ljudskim potencijalima, onda se to na izlazu procesa treba (mora) dobiti.

 Slika 2. Blok shema procesa kontrolinga

Sve elemente procesa kontrolinga definira i određuje organizacija, odnosno vlasnik procesa u suglasnosti s top menadžmentom i njihovim očekivanjima. Ne postoji nigdje nikakav propis kako se taj proces  odvija te koje elemente ima. Top menadžment ima cilj upotrebe rezultata kontrolinga za donošenje strateških ali i operativnih odluka, kako za organizaciju i izvođenje poslova u organizaciji, tako i u smislu nastupa na tržištu, odnosa prema konkurenciji, itd. Ti rezultati koji se dobivaju na izlazu procesa kontrolinga moraju biti pouzdani i maksimalno zaštićeni od slučajnih, ali i namjernih grešaka. Taj zahtjev prema procesu kontrolinga se objektivno jedino može kontrolirano provesti kroz upravljanje rizicima, odnosno procjenom što, kako, kada, na kojem mjestu može ugroziti proces kontrolinga zbog čega bi se dobivali nepouzdani podaci na izlazu.

Općenito gledajući, postoji pet grupa problema koji mogu ugroziti točnost procesa, odnosno njegovih rezultata na izlazu. Te grupe problema su: loši ulazni zahtjevi, ne odgovarajući resursi, pravila koja se ne primjenjuju ili su ne odgovarajuća, loše planirana mjerenja, te na kraju kvaliteta, stručnost i iskustvo obavljanja poslova unutar procesa. Sve to može u većoj ili manjoj mjeri ugroziti kvalitetu izlaza iz procesa. Ta analiza i procjena točnosti funkcioniranja procesa, odnosno ugrožavanja točnosti rezultata može se provesti procjenom rizika, bolje rečeno upravljanjem rizicima na procesu kontrolinga. Blok shema ugrožavanja rezultata procesa kontrolinga prikazana je na slici 3.
 Slika 3. Blok shema ugrožavanja procesa kontrolinga

Može se pokazati na slici 3. da postoje dva ključna elementa koja mogu izazvati netočnost rezultata procesa kontrolinga. Jedno su prijetnje, kako vanjske, tako i unutarnje, te ranjivost procesa za kontrolinga.

Prijetnje su pojave koje mogu ugroziti pravilno funkcioniranje procesa kontrolinga, odnosno dobivanje ispravnih izlaznih rezultata. Izvori prijetnji mogu biti vanjski ili unutarnji s obzirom na mjesto nastajanja. U kategoriju vanjskih prijetnji mogu spadati npr. želja „neprijatelja“ da organizaciji pruži netočne podatke, da se izvana želi uticati na dobivanje krivih rezultata. Unutrašnje prijetnje u pravilu potiču od nelojalnih i nezadovoljnih zaposlenika kojima je između ostalog neki oblik „osvete“ pa nastoje svojim postupcima osujetiti pravilne rezultate procesa.

Ranjivost procesa kontrolinga se ogleda u slabostima procesa i njegovih elemenata da se odupru prijetnjama. Ranjivosti procesa su posljedica loše organizacije, loše planiranih ili provođenih mjera zaštite rada procesa itd. Krivac za ranjivost u pravilu je sama organizacija.  Npr. ranjivost procesa kontrolinga je nekvalitetan informacijski sistem, nedovoljno educirani ili neiskusni ljudi koji rade u procesu kontrolinga, itd.

Ako prijetnja iskoristi ranjivost procesa kontrolinga kaže se da je došlo do sigurnosnog incidenta ako posljedica zbog incidenta izaziva štetu za organizaciju. Posljedica sigurnosnog incidenta kod procesa kontrolinga može biti netočan rezultat koji onda top menadžment koristi za donošenje (loših) odluka.

Kada se promatraju rizici nekog poslovnog procesa, tada se razlikuju dvije grupe: operativni rizici procesa i rizici aktivnosti u procesu. Operativni rizici poslovnog procesa su oni rizici koje određuje okruženje procesa i koje mu omogućava da se proces nesmetano odvija. Rizici aktivnosti procesa su rizici koji se odnose direktno na rizike pravilnog obavljanja bilo koje aktivnosti unutar procesa. Kod sveukupne analize rizika poslovnog procesa moraju se uzeti u obzir obadvije grupe, jer jednako mogu doprinijeti nesigurnosti funkcionalnih rezultata procesa.

PROCES ZA UPRAVLJANJE RIZICIMA

Problem rizika u organizaciji, u ostalom i u životu, je njegova promjenljivost s vremenom, i činjenica da nikada ne može biti 0, ali na sreću ni 100%, jer ako bi neki nepovoljan ishod bio siguran, tada nitko ne ulazi u njega svjesno. To znači da se odvijanje bilo kakvih procesnih aktivnosti odvija u uslovima veće ili manje entropije.  U konačnici to znači da procijenjeni rizik u jednom trenutku u sljedećem više ne mora biti isti, ili da smanjeni neprihvatljivi rizik nakon toga zbog nekog razloga opet poprimi neprihvatljivi nivo. To ima za posljedicu da se kontinuirano mora provoditi kontrola rizika, a time i kontinuirano poduzimati aktivnosti da se rizici drže na prihvatljivom nivou. Prema prirodi problema, stalna kontrola i držanje rizika na prihvatljivom nivou je također poslovni proces.

Za razliku od niza drugih poslovnih procesa, proces za upravljanje rizicima može biti jedinstven za sve tipove organizacija, bez obzira na djelatnost i veličinu. Zbog toga za proces upravljanja rizicima postoji međunarodni standard ISO 31000:2009 (Risk management — Guidelines on principles and implementation of risk management). Standard ISO 31000 nije certifikacijski i predstavlja smjernice za uspostavu i poboljšanje procesa za upravljanje rizicima u organizaciji. On ne obavezuje organizacije da ga primjenjuju, ali kako je u njemu sadržana najbolja praksa i višegodišnja provjerenost od strane niza organizacija, može se postaviti pitanje: zašto izmišljati svoj proces upravljanja rizicima, kada postoji opće priznati, u praksi dokazan i prihvaćen proces? Blok shema procesa za upravljanje rizicima prema standardu ISO 31000:2009 prikazana je na slici 4.
 Slika 4. Blok shema procesa za upravljanje rizicima prema ISO 31000:2009

Značenje i funkcija pojedinih elemenata procesa sa slike 4. je:
Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.
Utvrđivanje konteksta, eksternog, internog i konteksta upravljanja rizikom u kojem će  se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.
Identifikacija rizika, gdje, kada, zašto i kako bi se događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.
Analiza rizika, identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.
Vrednovanje rizika, usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.
Obrada rizika, izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.
Praćenje i preispitivanje, neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
Procesom za upravljanje rizicima prema ISO 31000:2009 također se upravlja preko PDCA kruga. Aktivnosti po fazama PDCA kruga su prikazane u tabeli 1.

U kontekstu cjelokupne organizacije kompanije postavlja se između ostalih i pitanje gdje smjestiti proces za upravljanje rizicima i kako ga organizirati. Pored problema osiguranja sigurnosti odvijanja procesa kontrolinga u kompaniji kroz upravljanje rizicima na njemu,  postoji još niz mjesta koja također trebaju (moraju) upravljati rizicima. To su npr. strateški i operativni rizici, rizici odvijanja svih ostalih poslovnih procesa, upravljanje aspektima životne sredine (ako kompanija ima ISO 14001), rizicima zdravlja i sigurnosti zaposlenika (OHSAS), informacijske sigurnosti (ISO 27001), itd. U svakom slučaju ovom problemu se treba pristupiti sistematski, jer je nedopustivo da postoji niz nepovezanih upravljanja rizicima u organizaciji, ali i razjedinjeno upravljanje sigurnošću u kompaniji. U tom smislu se treba prilagoditi organizaciona shema. Na slici 5. prikazan je primjer jednog od mogućih rješenja organizacije kompanije u kojoj se integralno pristupa problemu sigurnosti.
Tabela 1. Faze PDCA kruga za ISO 31000:2009
Faze procesa Procesni koraci
Plan Utvrđivanje konteksta
Procjena rizika
Plan obrade rizika
Prihvaćanje preostalog rizika
Do Implementacija plana obrade rizika (kontrola - sigurnosnih mjera)
Check Kontinuirani monitoring i pregledi
Act Održavanje i poboljšavanje  procesa upravljanja  rizicima

Sa slike se može vidjeti da se u kompaniji u ovom slučaju treba organizirati odbor za sigurnost kojem predsjeda menadžer sigurnosti (CSO – Chief Security Officer). CSO je najviša izvršna korporacijska funkcija, odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti. Sa slike se može vidjeti i da se u kompaniji treba organizirati i tim za procjenu rizika, koji je odgovoran za formalno provođenje rizika po svim elementima koji su od interesa za kompaniju. Tim za procjenu rizika je direktno odgovoran odboru za sigurnost.
  Slika 5. Blok shema organizacije sigurnosti u kompaniji

Ilustracija organizacije sistema sigurnosti u kompaniji od slučaja do slučaja se može manje ili više mijenjati, ali princip kako se to u većini slučajeva postavlja prikazan je na slici 4. To upućuje da tim za procjenu rizika koji se sastoji od iskusnih specijalista za procjenu rizika, te od eventualno vanjskih savjetnika uz pomoć zaposlenika vrše procjenu rizika na svim elementima sveukupne sigurnosti. Tu spadaju problemi procjene rizika od strateških, do procesnih i projektnih, do operativnih, aspekata okoliša, itd. Važna je činjenica da se procjena rizika i politika sigurnosti s ujednačenim kriterijima primjenjuje u svim slučajevima. Odbor za sigurnost je tijelo koje direktno upravlja s timom za procjenu rizika, odgovara vrhovnoj upravi kompanije, te ima osnovnu ulogu da u svakom trenutku zna za sve problematične točke sigurnosti u kompaniji, moguće posljedice, načine zaštite i poboljšanja sigurnosti, itd.

Zaključak

Uvođenje procesa kontrolinga u kontekstu modernog pristupa upravljanju organizacijom predstavlja nužnost. Ona je trenutno u glavnom prepoznata kod velikih kompanija, ali zbog svog značaja o nizu elemenata kontrolinga moraju se baviti i srednje, odnosno male kompanije. Uvođenje novog procesa kontrolinga u aktivnosti odlučivanja u organizaciji za sobom povlači i nužnost brige o pouzdanosti rezultata koji se dobivaju na izlazu iz procesa. Jedini objektivni i formalno dokumentirani način takve kontrole pouzdanosti izlaznih rezultata kontrolinga je upravljanje rizicima vezanim za planiranje i provođenje procesa.

Literatura

[1]    ISO 310000:2009 Risk management - Guidelines on principles and implementation of risk management
[2]    ISO 9001:2008 Quality management systems – Requirements
[3]    Gleissner, Romeike, Riskmanagement, Haufe Mediengruppe, 2005, ISBN 3-448-06209-X, str. 407
[4]    Monahan, Gregory, Enterprise Risk Management: A Methodology For Achieving Strategic Objectives (Wiley And Sas Business Series), Wiley, ISBN 9780470372333, 2008
[5]    Kemp, Sid, Quality Management Demystified, McGraw-Hill, ISBN 9780071449083, 2006
Objavio/la u Nema komentara:
Oznake:

ponedjeljak, 27. rujna 2010.

Kako može ISO 9001 funkcionirati bez ISO 27001?

Objavom revizije standarda ISO 9001:2008 govori se (naročito od strane certifikacijskih kuća) da ona ne donosi ništa značajno novo. To se može tako gledati ako se ne obraća pažnja na osnovne intencije u toj reviziji, te težnju certifikacijskih kuća da proces certificiranja svedu na svoj poslovni interes i minimalne napore, ne mareći za stvarne intencije certifikata. Glavni doprinos nove revizije svodi se na težnju povećanja sigurnosti okruženje u kojem treba funkcionirati sistem za upravljanje kvalitetom (SUK, odnosno Quality management systems– QMS, engl.). Tu se standard ISO 9001:2008 poziva na potrebu vođenja brige o rizicima vezanim za okruženje QMS-a. Dalje se u standardu o tome ne govori više  eksplicitno, ali taj detalj objektivno upućuje tim za implementaciju QMS-a i/ili tim za održavanje i poboljšavanje certificiranog QMS-a da brine o sigurnosti okruženja, odnosno dovođenja u stanje upravljanja rizicima koje jedino mogu ukazati na potencijalne probleme dugotrajne stabilnosti i eventualnih prijetnji koje mogu dovesti do nestabilnosti QMS-a, odnosno poslovanja organizacije. Nedovoljna briga o rizicima okruženja u kojima funkcionira organizacija a time i QMS može dovesti do prekida kontinuiteta poslovanja i vrlo ozbiljnih posljedica. Jedan od aspekata sigurnosti organizacije kao i QMS-a u njoj je i pitanje informacija, odnosno bolje rečeno informacijskoj sigurnosti. O toj temi se ništa ne govori među konzultantima QMS-a, a još manje među auditorima. Zbog kojeg razloga je tako? Da li je u pitanju nepostojanje znanja o informacijskoj sigurnosti ili čak nepostojanja ni svijesti o tome vezano za QMS, neće se ovdje spekulirati. No, realno se takvo pitanje može i mora postaviti. Da li zbog modernih vremena ili zbog trendova u kojima se općenito sve kreće prema informatičkom društvu također se ovdje ne smatra ključnim pitanjem, pa čak ni bitnim razlogom. Potreba za informacijskom sigurnošću vezana za uspostavljanje i poboljšanje QMS-a je prirodna stvar, čak implicitno, ozbiljni zahtjev standarda ISO 9001:2008.
Odnos ISO 9001:2008 i informacija

Nova revizija standarda ISO 9001:2008 na niz mjesta direktno upućuje da su informacije potrebne za funkcioniranje organizacije, a time i QMS-a. Evo samo nekih primjera iz standarda ISO 9001:2008 koji se pozivaju na informacije te nužnost manipulacije s njima (generiranje, prijenos, obradu, čuvanje, dostavljanje, odnosno isporuku korisnicima):
  • 4.1 Opći zahtjevi
  • 5.6.2 Ulazni podaci preispitivanja
  • 6. Upravljanje resursima
  • 6.3 Infrastruktura
  • 7.2.2 Preispitivanje zahtjeva koji se odnose na proizvod
  • 7.2.3 Komuniciranje s kupcem
  • 7.3.2 Ulazni podaci projektiranja i razvoja
  • 7.3.3 Izlazni podaci projektiranja i razvoja
  • 7.4.2 Informacije za nabavu
  • 7.4.3 Verifikacija nabavljenoga proizvoda
  • 7.5.1 Nadzor proizvodnje i pružanja usluga
  • 8.2.1 Zadovoljstvo kupca
  • 8.4 Analiza podataka
Naravno da to nije sve. Postoji još niz mjesta u ISO 9001:2008 koja se referenciraju na informacije.
Kada se na tim gore navedenim mjestima govori o informacijama onda se misli na informacije koje su bitne za funkcioniranje organizacije, ali i na one koje su bitne unutar QMS-a. U tom kontekstu informacije predstavljaju resurs kao i svaki drugi koji se nalazi u nekoj organizaciji. Najčešće se informacije svrstavaju u kategoriju tzv. nematerijalne imovine, za razliku od materijalne kao npr. oprema, strojevi, alati, zgrade, odnosno sitni inventar, osnovna sredstva, itd. Ako su pored materijalne imovine i ljudski resursi organizacije s kojima se treba postupati u skladu sa zakonskom regulativom, ali i prema procedurama i uputstvima iz QMS-a, postavlja se pitanje, kako to da se informacije ne tretiraju na isti način, kao i bilo koja druga imovina, odnosno resurs organizacije? Tko je kriv za to?

Evo banalnog primjera: dokumentacija QMS u organizaciji koja može biti u papirnatom, elektronskom ili kombiniranom obliku mora biti u određenim situacijama kontrolirana, nepromjenljiva, dostupna itd. Čime to garantira menadžer za kvalitetu ili neko drugi ovlašten za upravljanje dokumentacijom? Da li je vjerovanje dovoljno da nitko neće zloupotrebiti dokumentaciju u kojoj može biti i poslovnih tajni? Mnogo pitanja na koja ni nadprosječno sposoban i obrazovan menadžer QMS-a nema odgovor, ali ne samo on, nego na žalost i konzultanti i auditori QMS-a.

Pored toga, i standard ISO 9004:2009 se također vrlo mnogo referencira na tokove informacija u QMS-u i informacijski sistem, te i on eksplicitno  pretpostavlja tretiranje informacija kao resurs QMS-a.
Odnos ISO 9001:2008 i intelektualnog vlasništva

U okviru filozofije QMS-a se ne govori o povećanju dobiti organizacije vezano za implementaciju i certifikaciju ISO 9001:2008. Osnovna postavka je u slijedećem: ako uspostavljeni QMS ne doprinosi povećanju viška vrijednosti u organizaciji, zašto ga neka organizacija u opće i implementira? Upravo je to i bit značaja QMS-a: doprinos povećanju viška vrijednosti.

Komponente viška vrijednosti čine materijalni kapital (MK), financijski kapital (FK) i intelektualni kapital (IK). U analizi QMS-a koji je implementiran u organizacijama može se pokazati kako se obrađuju resursi: MK u glavnom zadovoljavajuće, FK u glavnom nezadovoljavajuće, a IK nikako, odnosno IK je praktički isključen. Intelektualni kapital koji između ostalog stvara konkurentsku prednost, definira se kao znanje zaposlenih koje oni pretvaraju u vrijednosti na tržištu. U pojmu „intelektualni kapital“ izraz „intelektualni“ označava da je izvor tog kapitala intelekt, odnosno znanje u različitim oblicima. U praksi, u organizacijama se sreću dva oblika intelektualnog kapitala:
  • Eksplicitni:u obliku planova, nacrta, patenata, licenci, bazama podataka, priručnika, poslovnika, korporacijskih standarda, kompjutorskih programa, itd. (Explicit Knowledge, engl.).
  • Imlicitni: koji je u glavama zaposlenih (znanje, vizije, sposobnost djelovanja, rješavanja problema, leadership, kultura, iskustvo …), a u literaturi se naziva skriveno znanje (Tacit Knowledge, engl.).
 Uska veza između intelektualnog kapitala i zakonske regulative je i neki od oblika Zakona o intelektualnosm vlasništvu kojeg svaka država bezuvjetno ima. Tim zakonom se u principu definiraju odnosi prema tuđem ali i vlastitom intelektualnom kapitalu. Prema ISO 9001 svaka nacionalna zakonska regulativa je osnov i obaveza koju se bezuvjetno mora pridržavati uspostavljeni QMS, što znači i prema zakonskoj regulativi vezanoj za intelektualno vlasništvo.

Pojednostavljeno, iz gore navedenog se može zaključiti da intelektualni kapital predstavlja skup informacija unutar organizacije, a samim time i unutar QMS-a. Na taj način se opet dolazi do pitanja: kako to da informacije nisu formalno tretirane u okviru uspostavljenog QMS-a kao i svaki drugi resurs, ali sa svojim specifičnostima?

Ako je sasvim normalno da se resursi kao što su npr. strojevi za proizvodnju, kompjuteri, pisaće mašine, stolovi, alati itd ne smiju uništavati i otuđivati, ako se nad ljudima kao resursu organizacije ne smije provoditi mobing i sl., što se smije i/ili ne smije raditi s informacijama? Takav odgovor se ne može naći u okviru ISO 9001 (što je u redu jer za to se koristi drugi standard), a niti uspostavljeni QMS-i se toga ne dotiču (što nije u redu jer u organizaciji nisu korišteni drugi standardi).
Pojam informacije i informacijskog sistema

Da bi se moglo detaljnije razraditi način i mogućnosti tretiranja informacije kao resurs u organizaciji, odnosno u QMS-u, treba objasniti neke osnovne pojmove.

Kao prvo, pod pojmom informacije se podrazumjeva svaki podatak koji u nekom kontekstu ima značenje i vrijednost za vlasnika i/ili korisnika. Tako npr. ako se kaže  podatak 37 onda on nije informacija jer nije u nikakvom kontekstu. Međutim ako se kaže da je temperatura radnog okruženja 37oC, onda to predstavlja informaciju.

Pod informacijskim sistemom se smatra uređeni skup resursa i pravila koji imaju jednu ili više uloga u procesima generiranja, prijenosa, arhiviranja i obrade informacija.

Glavne značajke upotrebe informacija se opisuju kroz tri aspekta:
  1. Tajnost (Confidentiality) informacije koja ima smisao u tome da informaciju mogu koristiti i obrađivati samo  ovlaštena lica;
  2. Cjelovitost (Integrity) informacije koji se opisuje svojstvom da se informacija ne može promijeniti bez znanja vlasnika informacije, ali i metode obrade informacija; i
  3. Raspoloživost (Availability) informacija koja ima značajku da se informacija mora dostaviti korisniku na mjestu i u vremenu kada je to njemu potrebno.

Osiguranje postojanja ova tri aspekta čine temeljnu okosnicu sistema za upravljanje sigurnošću informacija koja je tema standarda ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements. Ovaj standard definira informacijsku sigurnost kao stalno osiguranje i poboljšanje tajnosti, cjelovitosti i raspoloživosti informacija u okviru informacijskog sistema. Često puta se ova tri aspekta informacijske sigurnosti označavaju popularno kao C-I-A što je akronim od engleskih naziva ovih aspekata informacijske sigurnosti.

Ako se pogleda ilustracija informacijskog sistema prikazanog na slici 1, a koji je sastavni dio svake organizacije, posjedovala ona formalno implementirani i certificirani QMS ili ne, može se zaključiti da su to isti resursi koji se koriste i u poslovnim procesima za ostvarivanje poslovnih ciljeva organizacije.

U svakom slučaju, niz informacija koje se nalaze unutar informacijskog sistema organizacije predstavljaju dijelom najstrože poslovne tajne, nervni sistem organizacije (npr. ako se onemogući kolanje informacija u organizaciji – koliko dugo će ta organizacija funkcionirati? Ili niste svjesni netočnosti podataka koje koristite a na temelju njih trebate donositi strateške i operativne odluke za poslovanje, ili do vaših poslovnih planova može doći bilo tko, pa čak i konkurencija, koliko takva organizacija ima budućnosti?).

Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacijskom sigurnošću ISMS (Information Security Management System) temeljen na standardu ISO/IEC 27001:2005 kao i ostalima iz te familije standarda.

Značaj i sadržaj ISO/IEC 27001:2005

Standard ISO/IEC 27001:2005 je skup zahtjeva koje se mora ispuniti ako se želi certificirati sistem za upravljanje informacijskom sigurnošću. Standard je u potpunosti harmoniziran sa ISO 9001:2008 tako da je njegova struktura vrlo slična ostalim certifikacijskim standardima. Glavna poglavlja su:
0.    Uvod
1.    Predmet
2.    Normativne reference
3.    Nazivi i definicije
4.    Sustav upravljanja informacijskom sigurnošću
5.    Odgovornost uprave
6.    Interne prosudbe (auditi) ISMS-a
7.    Provjera ISMS-a od strane uprave
8.    Poboljšanje ISMS-a
Aneks A (normativni) Ciljevi kontrola i kontrole
Aneks B (informativni) OECD principi i ova međunarodna norma
Aneks C (informativni) Podudarnosti između ISO 9001:2000, ISO 14001:2004 i ove međunarode norme

Glavni smisao standarda je da se ispune zahtjevi kojima se osigurava ispunjenje tri glavna aspekta informacijske sigurnosti tajnosti, integriteta i raspoloživosti (C-I-A).

Metodološki implementacija ISMS-a se svodi na definiranje opsega informacijskog sistema, definiranje sigurnosne politike, provođenje GAP analize, procjene rizika što sve može ugroziti ili ugrožava nivo željene informacijske sigurnosti, odabir sigurnosnih mjera (kontrola) te implementacija istih.

Pri implementaciji treba voditi brigu o maksimalnoj integraciji s postojećim QMS-om u organizaciji (ako ga ima), jer ISMS ima ulogu da ojača i podigne sigurnost ostvarenja poslovnih ciljeva koji su sastavni dio poslovne politike organizacije, odnosno QMS-a.

Treba naglasiti da standard ISO/IEC 27002:2005 kaže za informaciju: „Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena“. Kao što se vidi i tu se eksplicitno govori da je informacija vrijedan resurs organizacije i da ga se mora štiti, odnosno uključiti u ravnopravan odnos s ostalim resursima unutar QMS-a.

Zaključak

Iz gore navedenog se može zaključiti da su informacije jedan od najvažnijih resursa u organizaciji, te samim time se moraju odgovarajuće tretirati u okviru QMS-a.

Direktno opterećivanje QMS-a sa osiguranjem sigurnosnih aspekata informacije (C-I-A) je neracionalno i nije preporučljivo. Optimalno je implementirati ISMS prema zahtjevima standarda ISO/IEC 27001:2005 i njega integrirati sa QMS-om. Kako je implementacija ISMS-a složen projekt najbolje ga je provesti nakom certificiranja QMS-a.

U tom slučaju se može govoriti o kvalitetno uspostavljenom QMS-u. U protivnom, QMS koji nije praćen sa ISMS-om ne može se objektivno tretirati kao dobro uspostavljen jer nema dokaza za upravljanje informacijama, odnosno aspekata informacijske sigurnosti C-I-A, kao jednog od najvažnijih resursa svake organizacije.

Za svaki QMS koji je uspostavljen bez implementacije ISMS može se reći da je nesiguran, nestabilan, da daje nepouzdane rezultate, odnosno, da je na „staklenim nogama“.

Na kraju jedno jednostavno pitanje: Zašto se većina korisnika kod implementacije QMS-a i njegovog poboljšanja, te audirori u procesu audita odnose prema informacijama i njihovoj sigurnosti kao prema nečemu potpuno nevažnom, kada su informacije prema ISO 9001 jedan od ključnih resursa?


Objavio/la u Nema komentara:
Oznake: , , , ,

utorak, 31. kolovoza 2010.

VECTOR – metoda za procjenu rizika

U današnjem svijetu u raznim područjima ljudske djelatnosti sve se više pristupa ozbiljnom metodološkom načinu upravljanja rizicima. Razlog za to leži u činjenici da sve više dolaze do izražaja razni izvori prijetnji, odnosno rizika za sve vrste organizacija, bilo da su proizvodne, uslužne, političke, društveno-korisne, sportske itd. Ti rizici su najvećim dijelom u sferi industrijske špijunaže, geopolitičke nestabilnosti, radikalnim ideologijama, nezadovoljstvu i nesigurnosti pojedinaca, nesigurnim tehnologijama, manje – više nepredvidivim prirodnim katastrofama, itd. Istina je da se i ranije u pojedinim djelatnostima koristilo upravljanje rizicima, u nekima izuzetno ozbiljno, ali današnji trend je da se tom problemu pristupi na svim razinama, u svim organizacijama, kao jednom od najefikasnijih načina borbe za stabilnost i održivost istih. O tome je konačno i zadnja revizija ISO 9001:2008 stidljivo progovorila, što je samo znak da su problem rizika prepoznali autori najraširenijeg standarda za sustave upravljanja u svijetu.
Za ozbiljne primjene upravljanja rizicima vrlo važnu ulogu je odigrala objava i standarda ISO 31000:2009 (Risk management - Principles and guidelines). Ovaj standard predlaže, po principu najbolje prakse, proces za upravljanje rizicima poštujući sve zakonitosti PDCA kruga. Standard definira generički proces za upravljanje rizicima, što znači da je proces potpuno nezavisan od područja primjene. Međutim, jedna od najkritičniji faza procesa je procjena rizika. O tome standard ne govori ništa posebno, niti daje metodologiju kako provesti procjenu rizika. Razlog za to je u činjenici što metodologija procjene rizika može jako zavisiti od područja primjene. Da li će se koristiti kvantitativna ili kvalitativna metoda, sa nizom podvrsta i varijacija, zavisi od praktične primjenljivosti. Zbog toga je izbor metode za procjenu rizika ostavljen da svatko odabere prema svojim potrebama i specifičnostima.
U ovom tekstu se prikazuje jedna od niza metoda procjene rizika koja ima neke svoje prednosti, naravno i mane. Metoda je poznata pod nazivom VECTOR©.
VECTOR metoda je besplatna, jednostavna metodologija za korištenje  za samo-procjenu i razvijena je da pomogne organizacijama definirati prioritete kritičnih rizika. Metoda dopušta da korisnik jednostavno kvantificira i vizualno predstavi sve aspekte rizika organizacije, uključujući prirodne katastrofe. VECTOR je akronim nastao od engleskih riječi: Vulnerability, Ease-of Execution, Consequence, Threat, Operational-Importance, te  Resiliency, što bi u prevodu bilo: ranjivost, jednostavnost izvedbe, posljedice, prijetnje, operativna važnost, te elastičnost. U tom kontekstu ova metoda za procjenu rizika se temelji na formuli:

RISK =   V +E +C+T +O+R
Gdje su:
V = Vulnerability - ranjivost
E = Ease-of Execution – jednostavnost izvedbe
C = Consequence - posljedica
T = Threat - prijetnja
O = Operational-Importance – operativna važnost
R= Resiliency - elastičnost
Komponente VECTOR-a  su definirane kao:
  • Ranjivost: karakteristika imovine, odnosno objekta za procjenu rizika, a ima smisao da se s njom opisuje koliko je ta imovina ranjiva (osjetljiva) na neku vrstu napada. Pri tome, kada se govori o ranjivosti uvijek se mora govoriti i o prijetnji za koju ta ranjivost ima smisla. Tako npr. velika ranjivost neke imovine na krađu nema nikakve veze s prijetnjom od npr. poplava. Drugim riječima, ranjivost je karaktristika imovine kao npr. zgrade, poslvoni procesi, poslovne funkcije, itd. Ranjivost neke imovine je u pravilu posljedica činjenja ili nečinjenja pravih aktivnosti (implementacija sigurnosnih mjera) od strane organizacije da smanji ranjivost imovine na prijetnje. To znači, za ranjivost imovine prvenstveno je odgovorna organizacija, odnosno vlasnik te imovine. Neke od sigurnosnih mjera kojima se smanjuje ranjivost su brave, alarmi, vatrozid, antivirus softver, gradnja objekata otpornih na potres, edukacija zaposlenika, itd.
  • Jednostavnost izvedbe: ovaj parametar se koristi za opis koliko je napadaču potrebno specijalnog alata, vještine, znanja, razne opreme, itd. da bi uspješno izveo napad. Nizak nivo jednostavnosti izvedbe označava da napadač ili prirodna sila mora uložiti znatno veću snagu i stručnost da bi se uspješno realizirao napad. Visoki nivo jednostavnosti izvedbe označava da je napadač relativno jednostavno, uz minimalnu stručnost i iskustvo, može izazvati uspješan napad.
  • Posljedica:  predstavlja gubitak ekonomske, simboličke ili psihološke vrijednosti (npr. tajnost informacija, ugled organizacije, ugroženost okoliša, tjelesne ozljede, gubitak života, itd, a posljedica su napada ili prirodne katastrofe.
  • Prijetnja: Prijetnja predstavlja vjerojatnost nekog događaja ili da će protivnik (napadač) s potencijalom uzrokvati štetu. U protivnike (napadače) – izvore prijetnji spadaju npr. prirodne katastrofe, kriminalci, teroristi, zlonamjernost konkurencije ili agresivnog prosvjednika, itd. Prijetnje za koje ne postoji ranjivost nisu od interesa, kao ni prijetnje za koje postoji ranjivost, ali su posljedice nikakve ili zanemarive.
  • Operativna važnost: Pod operativnom-važnosti se smatra stupanj do kojeg imovina podupire ukupnu misiju organizacije. Kritična imovina ili ključni poslovni procesi, su oni koji svojom neispravnošću i nefunkcioniranjem mogu dovesti do zaustavljanja tih aktivnosti, a manje važna imovina ako bude napadnuta ima manje važan značaj za misiju. Redundantni sustavi i rezervni dijelovi za obavljanje popravaka pravovremeno služe za smanjenje parametra operativne-važnosti. Tijekom svoje prve organizacijske procjene, važno je analizirati sveobuhvatan popis imovine i poslovnih procesa kako bi osigurali da su obuhvaćeni svi aspekti rizika organizacije. Na primjer, imovina koja može biti smatrana niske važnosti na početnoj inspekciji, može se kasnije pokazati da je u biti kritična komponenta ili ključni proces unutar šireg konteksta poslovanja. Tijekom vremena, važno je osigurati da organizacije imaju ažuran popis imovine, što znači da se on mora dopunjavti kod npr. rasta, restrukturiranja, kadrovskih promjena, i / ili kupnji i uklanjanja imovine (tj., zemljišta, tvornice, zgrade) ili sustava. 
  • Elastičnost: Brzina kojom se organizacija može uspješno oporaviti, preustrojiti i sama osposobiti za nastavak poslovanja nakon značajnog proboja sigurnosti ili prirodnih katastrofa. Bodovanje rizika za ovaj kriterij se temelji na inverznom odnosu. Kad se za imovinu kaže da ima visoki stupanj elestičnosti (tj. brzi oporavak s minimalnim ili nemjerljivo malim vremenom ispada), znači da ima niski nivo bodova za rizik, za razliku od slučaja kada imovina ima niski stupanj elastičnosti (tj., sustav bez redudancije, nema rezervnih kopija podataka, nema alternative za rezervne lokacije, itd) , tada se govori o visokim bodovima ocjene rizika.
Primjer metodologije VECTOR procjene rizika prikazan je u slijedećoj tabeli.

IMOVINA 
 V E C T O R SUMA 
Kompjuteri
 8 6 7 7 8 5 41
Web Server 6 7 7 8 8 5 40
Fire Wall
 8 6 9 8 8 8 47
Baza podataka
 9 7 9 8 9 8 50
Zgrada
 7 7 8 7 7 6 42
Lab/Tvornica
 8 9 10 7 10 8 52
Intelektualno vlasništvo
 8 7 9 8 10 9 51
Materiali
 6 5 5 5 6 3 30
V E C T O R


Skala za procjenu rizika svake imovine je: 1 - 4 niska, 5 - 7 umjerena, ili 8 - 10 visoka i to za svaki V-E-C-T-O-R

U gornjem primjeru su dati podaci za hipotetičku firmu. Prvi stupac se koristi za opisivanje važne imovine ili poslovne funkcije koje podržavaju poslovanje. Za svaku imovina se analizirajui VECTOR kriteriji. Ispod tabele su kriteriji za ocjene rizika u okviru te organizacije.
Pri donošenju odluka za smanjenje rizika, kod upravljanja sigurnošću trebala provesti analizu troškova i koriti (cost-benefit)  i analizu kompromisa (trade-off) kako bi se utvrdilo gdje će primjena određene strategije borbe protiv rizika imati najveći utjecaj, odnosno najveće smanjenje rizika organizacije uz optimalna ulaganja. Nakon određivanja prioriteta unutar VECTOR matrice, za upravljanje sigurnošću može se izabrati bilo koja ili kombinacija sljedećih strategija borbe protiv rizika.  
  1. Smanjivanje rizika pomoću sigurnosnih protumjera (kontrole). Nekoliko primjera: instalacija za otkrivanje upada, zatvoreni video nadzor, sustavi za identifikaciju, uspostava ograničenog područja ili isključenje zone; dodavanje novih administrativnih / HR / sigurnosnih politika i procedura; edukacija, podizanje svijesti o sigurnosti, trajno provođenje sigurnosne provjere, itd
  2. Prihvaćanje rizika, takav kakav je. Naime, ako se ne isplati zbog velikih troškova smanjivanje rizika, ili je vjerojatnost pojave prijetnje iznimno mala, ili iz nekog drugog razloga uprava organizacije eksplicitno može prihvatiti procjenjeni rizik, mada nije u skladu s kriterijima prihvatljivosti rizika koji je propisala sama organizacija..
  3. Transfer rizika na treću osobu, kao što su osiguravajuća društva, odnosno za veće organizacije s višestrukim lokacijama, neprihvatljivi nivo rizika se može prenijeti na njih. Time se smanjuje nivo rizika, mada se nikada ne može svesti na 0.
  4. Izbjegavanje rizika, postupak kada se onemogućava situacija u kojoj može doći do realizacije nekog rizika.
Zaključak
Gore prikazana metoda procjene rizika VECTOR je samo jedna u nizu. Očito da spada u grupu tzv. kvalitativnih metoda koja u sebi po prirodi stvari sadrži značajni uticaj subjektivnosti. No, zbog svoje jednostavnosti i nekih elemenata koji se koriste u procjeni rizika, a što se obično ne susreće u drugim metodama, može biti interesantna nizu korisnika, praktički u svim područjima, gdje se i inače koriste kvalitativne metode.
Objavio/la u Nema komentara:
Oznake:

četvrtak, 27. svibnja 2010.

ISO 31000 i generički pristup upravljanju rizicima

Svakodnevno funkcioniranje bilo kakvih sustava u hazardnom okruženju kao neizbježnoj realnosti dovodi do ozbiljnih zahtjeva upravljanja i predviđanja incidentnih te katastrofičnih situacija u kojima može doći čak do diskontinuiteta funkcioniranja. Ovisno o promatranom sustavu za koji se provodi analiza hazarda, u praksi se prepoznaje niz raznih pristupa i metoda koje su manje ili više optimizirane za specijalne slučajeve. Generički pristup u biti ne zavisi od područja primjene i koncepcijski pruža kvalitetnu osnovu za analizu, procjenu te obradu rizika. Pri tome se uzima u obzir opće prihvaćeni proces upravljanja rizicima u svijetu temeljen na normi ISO 31000. U okviru te norme procjena rizika se ne tretira u metodološkom smislu, pa ovakav generički pristup omogućava da se proces upravljanja rizicima bez teškoća može primjeniti  u bilo kojem području, kao npr. upravljanje rizicima za poslovne procese, upravljanju projektima, upravljanju informacijskom sigurnošću, upravljanja okolišem, upravljanja sigurnošću i ispravnošću hrane i pića, finacijskim i kreditnim transakcijama, političkim i društvenim rizicima, itd.
Teoretski i praktično sve organizacije se nalaze i funkcioniraju u uvjetima nesigurnosti. U skladu definicijama se u tom slučaju govori da se aktivnosti svake organizacije odvijaju u više ili manje hazardnom okruženju. U kontekstu terminologije vezane za upravljanje rizicima pod hazardom se smatra stanje i okruženje u kojem postoji neizvjesnot za realizaciju željenih događaja. To hazardno stanje uvjetovano je s nekoliko faktora, od koji su posebno važni: imovina (objekt procjene rizika), prijetnje, ranjivosti i posljedice.

Fizikalni model rizika
Teoretski promatrajući napadi mogu biti pozitivnog i negativnog efekta. Pod pozitivnim efektima napada na imovinu se smatra povećanje vrijednosti imovine ili poboljšanje njene funkcionalnosti. S druge strane, negativni uticaji napada dovode do štetnih efekata, odnosno do smanjenja vrijednosti ili funkcionalnosti imovine. Za analizu funkcioniranja imovine uvijek je bitan negativan efekt napada. Zbog toga se iz razmatranja ovdje isključuju pozitivni efekti napada, pa se pažnja usmjerava samo na negativne efekte.
Pored vrijednosti imovine, kao jedne od osnovnih značajki uvijek postoji s aspekta rizika i tzv. ranjivost objekta (imovine) na napade. U koliko je imovina ranjiva na jednu ili više vrsta napada, može doći do štete na njoj u koliko je taj napad iskoristio ranjivost i izazvao posljedice. U tom slučaju govorimo o realizaciji rizika, odnosno pojavi sigurnosnog incidenta, a nastaje samo onda ako prijetnja iskoristi ranjivost sistema (imovine) i izazove štetne posljedice. Pojednostavljeno: ako nema prijetnje, i/ili nema ranjivosti i/ili nema posljedica nema ni sigurnosnog incidenta. Ilustracija pojave rizikaje prikazana na slici 1.


 Slika 1. Fizikalni model rizika

 Praktički gledajući ilustracija fizikalnog modela rizika prikazanog na slici 1 je pojednostavljena jer u pravilu postoji više izvora prijetnji od kojih svaki može imati niz svojih specifičnih, ali i istih i/ili sličnih prijetnji kao i ostali izvori. S druge strane, imovina ima veći broj ranjivosti, od koji jedna ranjivost može biti zajednička za više prijetnji, odnosno jedna prijetnja može imati efekt na više ranjivosti.
Za daljnje razmatranje fizikalnog modela rizika uvode se slijedeće pretpostavke koje imaju za cilj da područje modela procjene rizika drže u opsegu realnosti:
  1. Rizik se kreće u granicama 0 – MaxIznos. (MaxIznos rizika zavisi od unaprijed usvojenih granica vrijednosti, od strane vrhovne uprave kroz njihove politike i procedure. Uobičajeno je MaxIznos 1 ili 5 ili 9 ili 25 ili 45 itd., ali nema pravila.)
  2. Rizik koji je jednak 0 ne razmatra se jer on predstavlja nemoguć događaj (nema nesigurnosti)
  3. Rizik koji je jednak MaxIznos se ne razmatra se jer je on sigurni događaj (nema nesigurnosti)
  4. Svaki rizik nema isti značaj za  vlasnika imovine (organizaciju). Mali nivoi rizika se mogu zanemariti, dok se za velike rizike (visoko vjerojatne događaje kombinacija prijetnja / ranjivost sa značajnim posljedicama) mora provodti posebna briga
  5. Realizacija jednog rizika može izazvati pojavu jednog ili više novih rizika
  6. Svaki realizirani rizik koji izaziva incidente može ima tendenciju da preraste u diskontinuitet poslovanja.
  7. Za sve rizike koji su od posebnog značaja, odnosno neprihvatljivi s obzirom na posljedice i vjerojatnost pojave, nužno je provesti obradu rizika.
Proces upravljanja rizicima

Već je rečeno da se elementi koji određuju veličinu rizika s vremenom mijenjaju, što znači da je ukupno ponašanje rizika u okviru organizacije dinamička pojava pa se nužno govori o potrebi stalnog praćenja stanja rizika i nastojanja da oni budu pod kontrolom, odnosno u prihvatljivim granicama. Taj proces kontrole stanja rizika i održavanja u prihvatljivim granicama naziva se proces upravljanja rizicima.
Kao što je slučaj sa svakim poslovnim procesom i ovaj se neprestano ponavlja s težnjom unapređenja, odnosno poboljšanja, što se u slučaju upravljanja rizicima ogleda kroz smanjivanje i stabilizaciju sveukupnih rizika organizacije. Tim procesom se također upravlja pomoću PDCA kruga.
Kako je process upravljanja rizicima univerzalan, potpuno je nezavisan od područja primjene, te veličine i tipa organizacije koja ga želi primjeniti, proizilazi zaključak da je nepotrebno da svatko sam  razvija vlastiti process, već je optimalno koristiti univerzalni (generički) process koji je široko prihvaćen kao najbolja praksa. Taj problem ili bolje rečeno prednost procesa upravljanja rizicima uočen je dosta davno, pa se nakon višegodišnje primjene nacianalnih normi (naročito AS/NZ 4360:2004) objavila međunarodna norma ISO 31000:2009 koja definira process za upravljanje rizicima. Detaljna shema procesa za upravljanje rizicima definiranog normom ISO 31000:2009 prikazana je na slici 2.


 Slika 2. Proces upravljanjaq rizicima prema normi ISO 31000:2009

Upravljanje rizicima u organizaciji
Provođenje upravljanja rizicima u organizaciji se ne navodi u normi ISO 31000, ali su u normi ISO 9001:2008 navodi kako slijedi:
Uvođenje sustava upravljanja kvalitetom treba biti strateška odluka organizacije. Na oblikovanje i primjenu sustava upravljanja kvalitetom organizacije utječu:
  1. okruženje organizacije, promjene u tom okruženju i rizici koji se odnose na to okruženje
  2. itd...
To drugim riječima znači da treba napraviti implementaciju upravljanja rizicima u organizaciji. Analizom vrsta i razina aktivnosti u organizaciji može se pokazati da postoje objektivno tri razine aktivnosti i sukladno time upravljanja po hijerarhiji: procesno upravljanje, kao najniža razina, operativno upravljanje, te najviša razina strateško upravljanje. U skladu s time i upravljanje rizicima ima tri razine: upravljaje procesnim (i projektnim) rizicima, upravljanje operativnim rizicima i konačno upravljanje strateškim rizicima. Na slici 3. su prikazane hijerarhijske razine upravljanja rizicima u organizaciji. (Napomena: upravljanje projektnim rizicima je na istoj razini kao i upravljanje procesnim rizicima).

Slika 3. Razine upravljanja rizicima u organizaciji

Pored toga, norma ISO 9001:2008 zahtjeva i nužni procesni pristup kojim se sve aktivnosti u organizaciji moraju prikazati u nekom od poslovnih procesa, odnosno postupaka. U kontekstu gore iznesenog može se doći do zaključka da se u sklopu svih poslovnih procesa koji su već identificirani u organizaci treba uvesti još jedan proces koji je namijenjen za upravljanje rizicima. Taj proces ima sve značajke opisane u normi ISO 31000:2009. Ono što je pri tome značajno je da taj proces treba integrirati s ostalim procesima. Po svojoj namijeni i značaju za organizaciju on spada u grupu tzv. „upravljačkih procesa“.
Kada se pogleda i analizira intencija norme ISO 9001:2008 vezana za upravljanje rizicima može se reći da ona predstavlja želju i nastojanje da se poslovanje organizacije planira za sadašnjost i budućnost u uvjetima nesigurnosti. To bitno utječe na odluku potencijalnih kupaca i partnera da odaberu baš tu organizaciju jer imaju dokaz o brizi vrhovne uprave za stabilnošću i dugoročnom poslovanju kroz kontinuiranu analizu prijetnji i stalnoj borbi protiv njihove realizacije s negativnim učincima.

Zaključak
Na temelju iznesenog može se zaključiti da je upravljanje rizicima od posebne važnosti za organizacije koje žele dugoročno raditi. Većina organizacija je i do sada na neki način manje više formalno ili neformalno dijelom radilo procjene rizika npr. za pokretanje novih aktivnosti, osvajanje novih proizvoda, otvaranje novih tržišta, traženje kredita, itd. Neke od organizacija (npr. Banke i druge financijske institucije) su zakonskom regulativom ili drugim uredbenim aktima bile prisiljene primjenjivati procjenu rizika (npr. BASEL II). Norma ISO 9001:2008 uvela je nužnost upravljanja rizicima u implementaciju sustava za upravljanje kvalitetom, a neke norme, npr. ISO 14001, OHSAS 18001, ISO 22000, ISO 27001 od samog početka inzistiraju (zahtjevaju) procjenu rizika. Po tim normama je nemoguće izvršiti certifikaciju ako prvi koraci implementacije, života i poboljšanja nije procjena rizika. Norma ISO 31000:2009 je tu došla kao spasenje jer se u njoj definira generički model procesa za upravljanje rizicima primjenljiv u svim sustavima upravljanja. Norma ISO 31000 je uvela mogućnost integracije sustava za upravljanje rizicima po svim razinama i područjima. Ostaje problem da se u certificiranim sustavima upravljanja napravi relativno malo usklađenje s najboljom praksom norme ISO 31000. To je npr. slučaj u ISO 14001 koja zahtjeva izradu i ocjenu aspekata uticaja na okoliš, a koji treba relativno jednostavno transformirati na višu razinu upravljanja rizicima u skladu s ISO 31000, a vezano za potencijalne štetne uticaje na okoliš.
ISO 31000 navodi da upravljanje rizicima treba sadržavati sljedeće principe: učešće u stvaranju viška vrijednosti, sastavni dio ostalih poslovnih procesa, učešće u donošenja odluka, izričito adresiranje nesigurnosti, sistematičnost, strukturiranost i pravovremenost, organiziranje i provođenje na temelju najbolje dostupne informacije, prilagođenje potrebama organizacije i djelatnosti gdje se koristi, uzimanje ljudskih i kulturnih elemenata u obzir, transparentnost i inkluzivnost, dinamičnost, iterativnost i odgovori na promjene, te omogućavanje stalnog unapređenja i poboljšanja organizacije.

Objavio/la u Nema komentara:
Oznake:

ponedjeljak, 12. travnja 2010.

Informacijska sigurnost prema ISO 27001 i afera „Registar branitelja“

U zadnjih nekoliko dana se intenzivno u medijima provlači tema vezana za objavu „Registra branitelja“. U svakom slučaju, u kontekstu Zakona kojim se brani objavljivanje pomenutog registra ovaj događaj je nezakonit. Ja ne želim raspravljati o tome da li Zakon treba ili ne mijenjati, ili o tome tkoje kriv za curenje informacije u javnost, ili o nekim političkim reperkusijama. Ja bi dao svoj pogled na neke aspekte sustava informacijske sigurnosti (ISMS) kroz taj posljednji sigurnosni incident. Pri tome bi se očitovao  samo na međunarodnu normu koja je i u RH prihvaćena kao nacionalna, a to je ISO/IEC 27001:2005.

U emisiji Otvoreno (HTV1 07.04.2010.) čuo sam komentar od jednog sugovornika da se nemože govoriti o nepostojanju informacijske sigurnosti kada je riječ o tako važnim državnim institucijama kada su u tu problematiku investirana sredstva, a i da je primjenjena najvažnija norma za informacijsku sigurnost ISO 27001. Ja nemam informacija o tome u kojim ministarstvima je uveden sustav i koliko je novaca uloženo u zaštititu informacija, u ostalom kao i niti jedan drugi prosječni građanin, ali kao specijalista za sustave upravljanja informacijskom sigurnošću iz nekoliko činjenica objavljenih ili neobjavljenih u medijima mogu zaključiti da ne postoji uspostavljen sustav informacijske sigurnosti koji je u skladu s normom ISO/IEC 27001:2005, barem  u dijelu državne uprave koji je vezan za pomenuti registar. Možda je i uspostavljen, ali onda ne funkcionira onako kako bi trebalo. Iz čega se to može zaključiti? Pa evo jednog primjera: u kontekstu pomenute norme ISO/IEC 27001:2005 prvi i glavni odgovorni je VLASNIK IMOVINE (Asset owner), a svi drugi mogu biti suodgovorni. Taj vlasnik informacijske imovine mora imati svoje ime i prezime i on odgovara organizaciji (u ovom slučaju Vladi ili nekoj drugoj instituciji RH kojoj je podređen). Njegova odgovornost je za sve rizike i realizaciju rizika koji su vezani za neki sigurnosni incident oko informacijske imovine koja je učesnik u incidentu. Meni nije poznato da se spomenulo niti jedno ime koje bi bilo vlasnik informacijeske imovine koja se zove „Registar branitelja“, te da je s njim u suradnji pokrenut postupak utvrđivanja odgovornosti za sigurnosni incident. On nije vlasnik u imovinskom smislu, nego u smislu upravljanja rizicima i odgovoran je za propisani način baratanja s imovinom u odnosu na stupanj klasifikacije (tajnosti) prema definiciji norme ISO/IEC 27001:2005. Kod problema upravljanja rizicima za informacijsku imovinu u kontekstu ISO/IEC 27001:2005 vlasnik informacijske imovine mora imati procjenu s prepoznatim ranjivostima i prijetnjama. U koliko je rizik narušavanja informacijske sigurnosti značajan, tada vlasnik imovine mora organizirati češći, a ponekad i trajni monitorig stanja informacijske sigurnosti. Kada je to tako, informacijski forenzičari i policija u pravilu imaju relativno jednostavan i lagan zadatak za utvrđivanje odgovornosti za sigurnosni incident. Pored toga, norma ISO/IEC 27001:2005 ne poznaje kolektivnog vlasnika informacijske imovine niti poznaje moralnost odgovornih već samo dokazano ponašanje u skladu s propisanom procedurom za upravljanje informacijskom imovinom. Tu norma ISO/IEC 27001:2005 unosi jednan detalj po kojemu se odgovornost za incident može tražiti samo ako postoji eksplicitno definirana procedura za baratanje s takvim informacijama i/ili informacijskom imovinom. Pri tome se mora naglasiti da norma ISO/IEC 27001:2005 inzistira eksplicitno na poštivanju pozitivne nacionalne legislative. To drugim riječima znači da je aplsolutno neprihvatljiva bilo kakva procedura koja nije u skladu sa Zakonima RH koji se odnose na nju ili međunarodne ugovore koje je prihvatila RH. Ni jedan (savjesni) auditor koji vrši auditiranje prema toj normi za uspostavu ISMS nemože dati pozitivnu ocjenu audita ako nema eksplicitnu listu vlasnika cjelokupne informacijske imovine (između ostalog) za uspostavljeni ISMS. To automatski znači da se nemože govori o sustavu informacijske sigurnosti koji je u skladu s ISO/IEC 27001:2005. Ja sam siguran da postoje određeni oblici i sustavi zaštite informacija, pogotovo zato što je RH članica NATO saveza, ali oni sigurno nisu potpuno u skladu s ISO/IEC 27001:2005. Ti sigurnosni sustavi mogu biti i bolji, mogu biti efikasniji, specijalistički, ali to nije ISMS prema pominjanoj normi.

Druga činjenica vezana za stanje informacijske sigurnosti koja se provlači kroz medije je potpuna tišina o obrazovanju ljudi, podizanju svijesti svih zaposlenika ali i drugih koji na neki način dolaze u kontakt s informacijskim sustavom. Taj problem je od posebne važnosti. Toliko je bitan da se u normi ISO 27001:2005 posebno naglašava i zahtjeva provođenje sistematske obuke osoblja koje neposredno rukuje s takvim informacijama, a svima ostalima je obvezno podizanje svijesti. Taj zahtjev u normi ISO 27001:2005 je toliko važan da je nemoguće provesti do kraja implementaciju i certificiranje ako organizacija nema dokaz da je provela obrazovanje i podizanje svijesti svih koji su u doticaju s informacijskim sustavom. Praksa u svijetu (a zašto onda ne i kod nas) pokazuje da je oko 80% svih sigurnosnih problema u informacijskim sustavima vezano za ljude, organizaciju, loše procedure rada, ne pridržavanje procedura, itd, a svega cca 20% u sferi tehnologije. Tu ne pomažu sigurnosne mjere koje bi trebale odgovoriti napadače na informacijsku sigurnost (u ovom slučaju su zakoni i represivne mjere, direktive, zaposvijesti itd).  Zato norma i inzistira da se svima podiže svijest o informacijskoj sigurnosti, a neki da se posebno obrazuju u tom smislu. Da li se to provodilo ili nije, ja neznam, ali sklon sam sumnjati u to jer nitko se ne očituje na taj problem. Pored toga, vjerojatno je i recesija dala svoj doprinos odnosu prema obrazovanju za informacijsku sigurnost, ali to nemože biti opravdanje za sigurnosni incident. U Hrvatskoj postoji samo jedna školska ustanova koja ima dozvolu „Ministarstva znanosti, obrazovanja i športa“ za školovanje specijalista informacijske sigurnosti u skladu s normom ISO 27001, a ujedno je i program školovanja harmoniziranom sa shemom  Europske organizacije za kvalitetu (EOQ). Koliko je meni poznato tu nema polaznika iz državne uprave. Zar onda treba očekivati nešto više od informacijske sigurnosti u bilo kojoj organizaciji, pa bile one i tijela državne uprave.

Treba ipak imati na umu i jednu činjenicu koja je u svijetu realnost: s nekim sustavima upravljanja (kao npr. Za kvalitetu, upravljanje okolišem, itd) organizacije koje su nosioci certifikata se hvale jer su marketinški u prednosti (između ostalih razloga). Međutim, kada je u pitanju informacijska sigurnost mnoge organizacije javno ne objavljuju da imaju proveden ISMS niti se hvale s tim certifikatima. Što je ozbiljnost organizacije veća, to je manja vjerojatnost da ćete naći informacije o njihovom uspostavljenom ISMS. Čak se ni savjetnicima ne dozvoljava da navode takve organizacije u svoje referentne liste, a proizvođaći specijalnog softvera za te svrhe ne navode u svojim referencama njih kao korisnike, itd. Ali ako jedan predstavnik vlasti izjavi da je proveden ISO 27001, onda naravno da svi oni koji znaju o čemu se radi očekuju i ponašanja u skladu s tom normom ili mogu sumnjati u točnost izjave.

U slučaju objave „Registra branitelja“ postoje tri kuta gledanja: jedan je politički s političkim reperkusijama o kojem trebaju govoriti političari, drugi je pravni o kojem trebaju govoriti odvjetnici i tužiteljstvo itd., te treći, stručni kut gledanja na informacijsku sigurnost o kojem bi trebali govoriti stručnjaci kao što su specijalisti za sustave informacisjke sigurnosti, forenzičari za informacijske incidente, itd. U tom smislu bi bilo dobro da se svatko drži svog područja struke za koji je kompetentan.

Problem informacijske sigurnosti sigurno je jedan od najvećih i najinteresantnijih trenutno u odnosu na sve sustave upravljanja, i kako je rekao voditelj u pomenutoj emisiji, u ovom slučaju je „pušten je duh iz boce“. Treba misliti na potencijalne nove „duhove iz boce“ u budućnosti, jer za ovog „duha“ sada posao trebaju odrađivati policija, informacijski forenzičari, odvjetnici i sl. Da problem curenja informacija nije mali ima primjera svakodnevno u svijetu koji govore samo jedno: loše ili nikako uspostavljen sustav informacijske sigurnosti. Za to krivnju snosi organizacija koja to treba kod sebe provesti. Nedavno je objavljen interesantan članak u kojem jedan „osviješteni“  ruski hacker pokazuje kako se bez problema probija u informacijski sustav jedne vlade. To ne radi zbog svoje neke nadnaravne genijalnosti, nego isključivo zbog neprihvatljivo lošeg sustava informacijske sigurnosti koji je trebala provesti dotična vlada. Želim da vjerujem da je u RH situacija suprotna i da ne postoje takve mogućnosti, te da nas neće iznenaditi neki novi „duhovi iz boce“ bez obzira što pojedinci mislili o značenju i važnosti tih informacijama.

Na kraju zašto je „manji“ problem s loše uspostavljenim sustavima upravljanja kvalitetom, ili okolišem, kao i drugim menadžement sustavima? Vrhovna uprava je nejčešće u stanju ne prikazivati loše ili nedovoljno dobre efekte tih sustava upravljanja, jer sve ostaje u glavnom u okvirima organizacije i njihovih papira. Međutim, propusti u informacijskoj sigurnosti su bolniji jer u pravilu završavaju u javnosti zato što su i napadi na njih u glavnom izvana, a najčešće podržani od nekih (zbog nekog razloga nezadovoljnih) članova organizacije.

Ne treba zaboraviti osnovnu premisu norme ISO/IEC 27001:2005 : informacija je imovina koja kao i svaka druga imovina ima svoju vrijednost. Ta vrijednost možđe biti iskazana u financijskim iznosima ali i vrijednosti ciljeva koje se žele postići. Zbog toga neprijatelji nastoje nanijeti štetu narušavanjem informacijske sigurnosti koja se ogleda obično kroz krađu informacija, ili neovlaštenu izmjenu i manipulaciju. Tako kaže norma, a praksa, na žalost, to svakodnevno potvrđuje.

Objavio/la u Nema komentara:
Oznake: ,
Pretplati se na: Postovi (Atom)