Svakodnevno funkcioniranje bilo kakvih sustava u hazardnom okruženju kao neizbježnoj realnosti dovodi do ozbiljnih zahtjeva upravljanja i predviđanja incidentnih te katastrofičnih situacija u kojima može doći čak do diskontinuiteta funkcioniranja. Ovisno o promatranom sustavu za koji se provodi analiza hazarda, u praksi se prepoznaje niz raznih pristupa i metoda koje su manje ili više optimizirane za specijalne slučajeve. Generički pristup u biti ne zavisi od područja primjene i koncepcijski pruža kvalitetnu osnovu za analizu, procjenu te obradu rizika. Pri tome se uzima u obzir opće prihvaćeni proces upravljanja rizicima u svijetu temeljen na normi ISO 31000. U okviru te norme procjena rizika se ne tretira u metodološkom smislu, pa ovakav generički pristup omogućava da se proces upravljanja rizicima bez teškoća može primjeniti u bilo kojem području, kao npr. upravljanje rizicima za poslovne procese, upravljanju projektima, upravljanju informacijskom sigurnošću, upravljanja okolišem, upravljanja sigurnošću i ispravnošću hrane i pića, finacijskim i kreditnim transakcijama, političkim i društvenim rizicima, itd.
Teoretski i praktično sve organizacije se nalaze i funkcioniraju u uvjetima nesigurnosti. U skladu definicijama se u tom slučaju govori da se aktivnosti svake organizacije odvijaju u više ili manje hazardnom okruženju. U kontekstu terminologije vezane za upravljanje rizicima pod hazardom se smatra stanje i okruženje u kojem postoji neizvjesnot za realizaciju željenih događaja. To hazardno stanje uvjetovano je s nekoliko faktora, od koji su posebno važni: imovina (objekt procjene rizika), prijetnje, ranjivosti i posljedice.
Fizikalni model rizika
Teoretski promatrajući napadi mogu biti pozitivnog i negativnog efekta. Pod pozitivnim efektima napada na imovinu se smatra povećanje vrijednosti imovine ili poboljšanje njene funkcionalnosti. S druge strane, negativni uticaji napada dovode do štetnih efekata, odnosno do smanjenja vrijednosti ili funkcionalnosti imovine. Za analizu funkcioniranja imovine uvijek je bitan negativan efekt napada. Zbog toga se iz razmatranja ovdje isključuju pozitivni efekti napada, pa se pažnja usmjerava samo na negativne efekte.
Pored vrijednosti imovine, kao jedne od osnovnih značajki uvijek postoji s aspekta rizika i tzv. ranjivost objekta (imovine) na napade. U koliko je imovina ranjiva na jednu ili više vrsta napada, može doći do štete na njoj u koliko je taj napad iskoristio ranjivost i izazvao posljedice. U tom slučaju govorimo o realizaciji rizika, odnosno pojavi sigurnosnog incidenta, a nastaje samo onda ako prijetnja iskoristi ranjivost sistema (imovine) i izazove štetne posljedice. Pojednostavljeno: ako nema prijetnje, i/ili nema ranjivosti i/ili nema posljedica nema ni sigurnosnog incidenta. Ilustracija pojave rizikaje prikazana na slici 1.
Slika 1. Fizikalni model rizika
Praktički gledajući ilustracija fizikalnog modela rizika prikazanog na slici 1 je pojednostavljena jer u pravilu postoji više izvora prijetnji od kojih svaki može imati niz svojih specifičnih, ali i istih i/ili sličnih prijetnji kao i ostali izvori. S druge strane, imovina ima veći broj ranjivosti, od koji jedna ranjivost može biti zajednička za više prijetnji, odnosno jedna prijetnja može imati efekt na više ranjivosti.
Za daljnje razmatranje fizikalnog modela rizika uvode se slijedeće pretpostavke koje imaju za cilj da područje modela procjene rizika drže u opsegu realnosti:
- Rizik se kreće u granicama 0 – MaxIznos. (MaxIznos rizika zavisi od unaprijed usvojenih granica vrijednosti, od strane vrhovne uprave kroz njihove politike i procedure. Uobičajeno je MaxIznos 1 ili 5 ili 9 ili 25 ili 45 itd., ali nema pravila.)
- Rizik koji je jednak 0 ne razmatra se jer on predstavlja nemoguć događaj (nema nesigurnosti)
- Rizik koji je jednak MaxIznos se ne razmatra se jer je on sigurni događaj (nema nesigurnosti)
- Svaki rizik nema isti značaj za vlasnika imovine (organizaciju). Mali nivoi rizika se mogu zanemariti, dok se za velike rizike (visoko vjerojatne događaje kombinacija prijetnja / ranjivost sa značajnim posljedicama) mora provodti posebna briga
- Realizacija jednog rizika može izazvati pojavu jednog ili više novih rizika
- Svaki realizirani rizik koji izaziva incidente može ima tendenciju da preraste u diskontinuitet poslovanja.
- Za sve rizike koji su od posebnog značaja, odnosno neprihvatljivi s obzirom na posljedice i vjerojatnost pojave, nužno je provesti obradu rizika.
Proces upravljanja rizicima
Već je rečeno da se elementi koji određuju veličinu rizika s vremenom mijenjaju, što znači da je ukupno ponašanje rizika u okviru organizacije dinamička pojava pa se nužno govori o potrebi stalnog praćenja stanja rizika i nastojanja da oni budu pod kontrolom, odnosno u prihvatljivim granicama. Taj proces kontrole stanja rizika i održavanja u prihvatljivim granicama naziva se proces upravljanja rizicima.
Kao što je slučaj sa svakim poslovnim procesom i ovaj se neprestano ponavlja s težnjom unapređenja, odnosno poboljšanja, što se u slučaju upravljanja rizicima ogleda kroz smanjivanje i stabilizaciju sveukupnih rizika organizacije. Tim procesom se također upravlja pomoću PDCA kruga.
Kako je process upravljanja rizicima univerzalan, potpuno je nezavisan od područja primjene, te veličine i tipa organizacije koja ga želi primjeniti, proizilazi zaključak da je nepotrebno da svatko sam razvija vlastiti process, već je optimalno koristiti univerzalni (generički) process koji je široko prihvaćen kao najbolja praksa. Taj problem ili bolje rečeno prednost procesa upravljanja rizicima uočen je dosta davno, pa se nakon višegodišnje primjene nacianalnih normi (naročito AS/NZ 4360:2004) objavila međunarodna norma ISO 31000:2009 koja definira process za upravljanje rizicima. Detaljna shema procesa za upravljanje rizicima definiranog normom ISO 31000:2009 prikazana je na slici 2.
Slika 2. Proces upravljanjaq rizicima prema normi ISO 31000:2009
Upravljanje rizicima u organizaciji
Provođenje upravljanja rizicima u organizaciji se ne navodi u normi ISO 31000, ali su u normi ISO 9001:2008 navodi kako slijedi:
Uvođenje sustava upravljanja kvalitetom treba biti strateška odluka organizacije. Na oblikovanje i primjenu sustava upravljanja kvalitetom organizacije utječu:
- okruženje organizacije, promjene u tom okruženju i rizici koji se odnose na to okruženje
- itd...
To drugim riječima znači da treba napraviti implementaciju upravljanja rizicima u organizaciji. Analizom vrsta i razina aktivnosti u organizaciji može se pokazati da postoje objektivno tri razine aktivnosti i sukladno time upravljanja po hijerarhiji: procesno upravljanje, kao najniža razina, operativno upravljanje, te najviša razina strateško upravljanje. U skladu s time i upravljanje rizicima ima tri razine: upravljaje procesnim (i projektnim) rizicima, upravljanje operativnim rizicima i konačno upravljanje strateškim rizicima. Na slici 3. su prikazane hijerarhijske razine upravljanja rizicima u organizaciji. (Napomena: upravljanje projektnim rizicima je na istoj razini kao i upravljanje procesnim rizicima).
Slika 3. Razine upravljanja rizicima u organizaciji
Pored toga, norma ISO 9001:2008 zahtjeva i nužni procesni pristup kojim se sve aktivnosti u organizaciji moraju prikazati u nekom od poslovnih procesa, odnosno postupaka. U kontekstu gore iznesenog može se doći do zaključka da se u sklopu svih poslovnih procesa koji su već identificirani u organizaci treba uvesti još jedan proces koji je namijenjen za upravljanje rizicima. Taj proces ima sve značajke opisane u normi ISO 31000:2009. Ono što je pri tome značajno je da taj proces treba integrirati s ostalim procesima. Po svojoj namijeni i značaju za organizaciju on spada u grupu tzv. „upravljačkih procesa“.
Kada se pogleda i analizira intencija norme ISO 9001:2008 vezana za upravljanje rizicima može se reći da ona predstavlja želju i nastojanje da se poslovanje organizacije planira za sadašnjost i budućnost u uvjetima nesigurnosti. To bitno utječe na odluku potencijalnih kupaca i partnera da odaberu baš tu organizaciju jer imaju dokaz o brizi vrhovne uprave za stabilnošću i dugoročnom poslovanju kroz kontinuiranu analizu prijetnji i stalnoj borbi protiv njihove realizacije s negativnim učincima.
Zaključak
Na temelju iznesenog može se zaključiti da je upravljanje rizicima od posebne važnosti za organizacije koje žele dugoročno raditi. Većina organizacija je i do sada na neki način manje više formalno ili neformalno dijelom radilo procjene rizika npr. za pokretanje novih aktivnosti, osvajanje novih proizvoda, otvaranje novih tržišta, traženje kredita, itd. Neke od organizacija (npr. Banke i druge financijske institucije) su zakonskom regulativom ili drugim uredbenim aktima bile prisiljene primjenjivati procjenu rizika (npr. BASEL II). Norma ISO 9001:2008 uvela je nužnost upravljanja rizicima u implementaciju sustava za upravljanje kvalitetom, a neke norme, npr. ISO 14001, OHSAS 18001, ISO 22000, ISO 27001 od samog početka inzistiraju (zahtjevaju) procjenu rizika. Po tim normama je nemoguće izvršiti certifikaciju ako prvi koraci implementacije, života i poboljšanja nije procjena rizika. Norma ISO 31000:2009 je tu došla kao spasenje jer se u njoj definira generički model procesa za upravljanje rizicima primjenljiv u svim sustavima upravljanja. Norma ISO 31000 je uvela mogućnost integracije sustava za upravljanje rizicima po svim razinama i područjima. Ostaje problem da se u certificiranim sustavima upravljanja napravi relativno malo usklađenje s najboljom praksom norme ISO 31000. To je npr. slučaj u ISO 14001 koja zahtjeva izradu i ocjenu aspekata uticaja na okoliš, a koji treba relativno jednostavno transformirati na višu razinu upravljanja rizicima u skladu s ISO 31000, a vezano za potencijalne štetne uticaje na okoliš.
ISO 31000 navodi da upravljanje rizicima treba sadržavati sljedeće principe: učešće u stvaranju viška vrijednosti, sastavni dio ostalih poslovnih procesa, učešće u donošenja odluka, izričito adresiranje nesigurnosti, sistematičnost, strukturiranost i pravovremenost, organiziranje i provođenje na temelju najbolje dostupne informacije, prilagođenje potrebama organizacije i djelatnosti gdje se koristi, uzimanje ljudskih i kulturnih elemenata u obzir, transparentnost i inkluzivnost, dinamičnost, iterativnost i odgovori na promjene, te omogućavanje stalnog unapređenja i poboljšanja organizacije.
