Upravljanje rizicima u funkciji integracije sustava upravljanja

13. HRVATSKA KONFERENCIJA O KVALITETI

4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU

UPRAVLJANJE RIZICIMA U FUNKCIJI INTEGRACIJE SUSTAVA UPRAVLJANJA

Brijuni, 9.-11. svibanj 2013.

dr.sc. Zdenko Adelsberger Bluefield d.o.o.

[email protected]

dr.sc. Zdenko Adelsberger UPRAVLJANJE RIZICIMA U FUNKCIJI INTEGRACIJE SUSTAVA UPRAVLJANJA

Teme

2

Značaj i potreba sigurnosti u organizaciji

Organizacija kao integrirani sustav

ISO norme i integracija sustava upravljanja

ISO pristup integraciji sustava upravljanja

Značaj upravljanja rizicima za integrirane sustave

Implementacija upravljanja rizicima u organizaciju

dr.sc. Zdenko Adelsberger UPRAVLJANJE RIZICIMA U FUNKCIJI INTEGRACIJE SUSTAVA UPRAVLJANJA 3

Ljestvica ljudskih potreba prema Maslowu

1. Fiziološke potrebe (primarne biološke potrebe: potreba za hranom, vodom,

kisikom, spavanjem, opstankom vrste, zaštita od ekstremnih temperatura,

te potreba za izlučivanjem);

2. Potreba za sigurnošću (primarna psihološka potreba, a ogleda se u

potrebama za stalnošću, redom, poretkom, strukturom i potrebi za

predvidljivošću događaja u bližoj ili daljnjoj budućnosti);

3. Potreba za pripadanjem i ljubavlju;

4. Potreba za samoostvarenjem;

5. Potreba za samonadilaženjem, te

6. Princip homeostaze (je princip po kome je najvažnija ravnoteža između

potreba).

1. Potreba za resursima, okruženjem, okolišem;

2. Potreba za sigurnošću;

3. Potreba za lojalnošću i pripadanjem;

4. Potreba za potvrđivanjem na tržištu;

5. Potreba za poboljšanjem, te

6. Princip homeostaze (ravnoteža potreba).

Modifikacija ljestvice Maslowa na kompanije

Abraham Harold Maslow (1.4.1908 - 8.6.1970) bio je američki psiholog koji je najbolje poznat po stvaranju „Maslowljevih hijerarhijskih potreba”, teorije

psihološkog zdravlja utemeljen na ispunjavanju urođenih ljudskih potreba po prioritetu.


INTEGRIRANI SUSTAV NEŠTO NOVO ILI STARA STVAR?

4

Svaka kompanija oduvijek je bila integrirani sustav jer drugačije ne može postojati niti funkcionirati.

Kompanijom kao integriranim sustavom jedino upravlja top menadžment koji je ujedno odgovoran za ostvarenje njene misije.


Što je integrirani sustav upravljanja?

5

Integrirani sustav upravljanja je sustav upravljanja koji integrira sve organizacijske podsustave i procese u jedno

kompletno okruženje, omogućavajući organizaciji da funkcionira kao jedinstvena cjelina s jedinstvenim ciljevima.

Glavni menadžer za kompaniju kao integrirani sustav upravljanja je GENERALNI DIREKTOR na čelu

uprave.


Zašto se pojavila potreba intenziviranja „integracije sustava upravljanja”?

6

ISO 9001

ISO 14001

ISO 20000

ISO 22000

ISO 27001 ISO

22301

ISO 31000

Ups! Ups! Ups!


Poslovni problemi zbog postojanja više sustava upravljanja

7

Konflikti između sustava

Zbog pojednostavljenja poslovanja treba imati

jedan sustav upravljanja u organizaciji. Gubitak

vremena i resursa

Loša komunik

acija

Da bi se izbjeglo stvaranje „internih

carstava“, treba osigurati jasno definirane ciljeve i

jedan dobitni sustav cijele organizacije.

Jasna komunikacija za sve zainteresirane strane.

Poslovne potrebe


Procesni pristup – zahtjev svih ISO sustava upravljanja

8

Proces 1

Proces 5

ISO sustav upravljanja 2

Proces 2

Proces 3 Proces

4

Proces ...

Proces y

U svim ISO sustavima upravljanja kompanije postoji niz istih ili gotovo istih procesa koji se mogu jedinstveno implementirati za sve njih.

Proces 1 Proces

2 Proces

3

ISO sustav upravljanja N

Proces 4

Proces 5

Proces ...

Proces z

Proces 1

ISO sustav upravljanja 1

Proces 2

Proces 3 Proces

4 Proces 5

Proces 5

Proces ...

Proces x


Usporedni pregled istih zahtjeva glavnih ISO sustava upravljanja

9

Sustav upravljanja

Standard Za koje

organizacije?

Proc. pristup

Uprav. dokum.

Int. audit

Odgov. uprave

Mjerenje i izvještavanje

UPRAVLJANJE RIZICIMA

1 2 3 4 5 6 7 8 9

QMS ISO 9001 SVE DA DA DA DA DA ? BCMS ISO 22301 SVE DA DA DA DA DA DA ISMS ISO 27001 SVE DA DA DA DA DA DA OHSAS OHSAS 18001 SVE DA DA DA DA DA DA EMS ISO 14001 DA/NE DA DA DA DA DA DA FSMS ISO 22000 NE DA DA DA DA DA DA SMS ISO 20000 NE DA DA DA DA DA DA

... ... ... ... ... ... ... ... ...


Trenutni pristupi integraciji sustava upravljanja (SU)

10

Pojedinačni SU

BSI PAS 99

Integrirani sustav

upravljanja

Pojedinačni SU

ISO / IEC Annex SL

Integrirani sustav

upravljanja


Koncepcija integracije prema PAS-99:2012

11

Zajednički zahtjevi




PAS 99 Zajednički zahtjevi

Specifični zahtjevi za




Q E I O Q E I O

Q E I O

QMS EMS ISMS Ostali

Osnovni koncept integracije sustava upravljanja prema PAS-99:2012 se temelji na upravljanju rizicima.

PAS = Publicly Available Specification (BSI)


Nova sadašnjost i budućnost sustava upravljanja prema ISO normama u kontekstu integracije

12

ISO/IEC Directives

Supplement (2012)

Annex SL (normative)

Procedures for the maintenance of the

IEC standards

Temeljeno na upravljanju

rizicima

1. Scope 2. Normative references 3. Terms and definitions: 4. Context of the organization -Scope and

expectations for the management system 5. Leadership - Management commitment,

policy, roles, responsibilities, and authority 6. Planning - Risks and opportunities, and

objectives and plans. 7. Support - Resources, competence, awareness,

communication, and documented information. 8. Operation - Operational planning and control. 9. Performance Evaluation - Monitoring,

measurement, analysis, evaluation, internal audits, and management review.

10.Improvement - Nonconformities, corrective action, and continual improvement.

Struktura budućih ISO normi prema Aneksu SL

ISO direktive kako pisati norme i prateće dokumente


Upravljanje rizicima i buduće ISO norme

13

• Sve norme će sustava upravljanja će imati istu strukturu, tekst, te jedinstvene definicije pojmova

• Benefit: Osiguranje konzistentnosti među normama; olakšana integracija

• ISO 31000 će biti referentna norma za buduće sustave upravljanja


Intencije Aneksa SL za elemente sustava upravljanja (politike, procedure, ...)

14

................

...............................

Svrha ............... ........ ....................... ....................

Cilj(evi) ............................ ................. ............................

Procjena rizika

Mjerenje učinkovitosti

Procjena rizika


Proaktivno upravljanje

Poboljšanje

Proaktivno upravljanje

Poboljšanje

ISO 9004


ISO norme za upravljanje rizicima i mjerenje učinkovitosti

15

Procjena rizika


ISO 31000:2009

ISO ...

ISO/IEC 27005:2011

ISO/IEC 27004:2009

Generička norma

Namjenska norma


Odnos novih ISO normi prema integraciji SU

16

ISO/IEC Directives Supplement (2012) - Annex SL

ISO 31000

ISO 9001

ISO 14001 ISO 27001 ISO 20000 ISO 22000

ISO ......


Trenutno stanje usklađenosti ISO normi s Aneksom SL

17

Norma Stanje prema Aneksu SL

ISO 30301:2011, Information and documentation – Management systems for records – Requirements

Harmoniziran

ISO 22301:2012, Societal security – Business continuity management systems – Requirements

Harmoniziran

ISO 20121:2012, Event sustainability management systems – Requirements with guidance for use

Harmoniziran

ISO 39001, Road-traffic safety (RTS) management systems – Requirements with guidance for use

FDIS Harmoniziran

ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements

DIS Harmoniziran

ISO 55001, Asset management – Requirements CD Harmoniziran

ISO 16125, Fraud countermeasures and controls – Security management system – Requirements

CD Harmoniziran

Travanj, 2013


Odnos sigurnosti i rizika prema ISO GUIDE 73:2009

18

Rizik je efekt nesigurnosti za ciljeve. NAPOMENA 1: pod efektom se smatra odstupanje od očekivanog — pozitivno i/ili negativno. NAPOMENA 2: ciljevi mogu imati različite aspekte (npr. financijske, na zdravlje i sigurnost, ciljevi zaštite okoliša, informacijska sigurnost, itd.) i mogu imati različite razine (npr. strateški, organizacijski, projektni, produkata, procesni). NAPOMENA 3: rizik je često karakteriziran u odnosu na kombinaciju potencijalnih događaja i posljedica koje se mogu dogoditi. NAPOMENA: rizik je često izražen u iznosima kombinacije posljedice događaja (uključujući promjene uvjeta) i pridruženog ponavljanja (frekvencije) događaja.

NAPOMENA 5: nesigurnost je stanje, čak i djelomičnog, nedostatka informacija o događajima, posljedicama i frekvenciji.


Odnos elemenata sustava upravljanja i rizika

19

Postižu se pomoću

Omogućuju

Prijete

Odgovorni za

Umanjuju

Poslovni rizici

Poslovni ciljevi

Strategije

Procesi


Vrste upravljanja rizicima u kompaniji

20

Upravljanje PROJEKTNIM rizicima

Upravljanje OPERATIVNIM

rizicima

Upravljanje

STRATEŠKIM

rizicima

Ozb

iljn

ost

po

slje

dic

a

Ob

imn

ost

akt

ivn

ost

i

Opredjeljenje vrhovne uprave

Glavni zadatak upravljanja rizicima je stvaranje sigurnosnog okruženja.


Distribucija frekvencije pojave rizika i veličine gubitaka

21

Veličina gubitaka

Frek

ven

cija

gu

bit

aka

Neočekivani gubici

Gubici za koje se planiraju (rezerviraju) sredstva oporavka

Katastrofalni gubici za koja nema

sredstava oporavka

Očekivani gubici


Integracija procesa sigurnosti u kompaniju

22

CSO - Chief Security Officer – je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.

Vrhovna

uprava CSO

Odbor za sigurnost

Po definiciji članovi su: • Menadžeri ISMS, EMS, OHSAS, QMS, ... • Predstavnici nekih od zainteresiranih strana • Vanjski suradnici - konzultanti

Vanjski suradnici – specijalisti sa iskustvom

Tim za

procjenu rizika

Sektor 1 Sektor 2 Sektor n

dr.sc. Zdenko Adelsberger UPRAVLJANJE RIZICIMA U FUNKCIJI INTEGRACIJE SUSTAVA UPRAVLJANJA 23

Documents

Upravljanje rizicima u funkciji integracije sustava upravljanja