Notice: Trying to get property of non-object in /var/www/html/saska.rgf.rs/plugins/MetsExport/helpers/MetsExporter.php on line 1202
Notice: Trying to get property of non-object in /var/www/html/saska.rgf.rs/plugins/MetsExport/helpers/MetsExporter.php on line 723
TYPE="" > Aleksandra Tomasevic Omeka MetsExport Plugin The software used to generate this document is called Omeka MetsExport, which operates as a plugin for Omeka. Documentation can be found at http://github/MetsExport/ Certified ISO 31000 Risk Manager - Radni materijal za polaznike Блуефиелд д.о.о. AT-42708-0130 Китановић Оливера Certified ISO 31000 Risk Manager application/pdf српски text Radni materijali za polaznika Bluefield d.o.o. PECB Certified ISO 31000 Risk Mana Dnevni plan rada 9:00 10:30 Blok 1 10:30 10:45 Pauza 10:45 12:15 Blok 2 12:15 13:00 Pauza za ručak 13:00 14:30 Blok 3 14:30 14:45 Pauza 14:45 16:00 Blok 4 egfed dokumenata u kompletu nastavnog materija PECB vootč za mmm mn HCB C*tiftor*m tSO 31000 Menadžer rizska ISO 31000 10 Menadžer rizika 116 Menadžer rizika 96 Menadžer rizika 86 When Recognition Matters m fm OVLADAVANJE PROCJENOM RIZIKA I OPTIMALNO UPRAVUANJE RIZICIMA PREMA ISO 31000 IIEC/ISO 31010 SAŽETAK U ovom trodnevnom intenzivnom seminaru polaznici postižu kompetencije za ovladavanje modelom za provedbu procesa upravljanja rizicima u svojim organizacijama prema referentnom okviru u normi ISO 31000:2009. Na temelju praktičnih vježbi, polaznici stječu potrebna znanja i vještine za obavljanje optimalne procjene rizika i upravljanje rizicima tijekom njihovog životnog ciklusa. Tijekom ove obuke, predstavit će se opća norma ISO 31000 za upravljanje rizicima, preporučeni model procesa, i objasniti način kako tvrtke mogu koristiti normu. Ovaj trening je u potpunosti kompatibilan s normom IEC/ISO 31010 koja podržava ISO 31000 pružajući smjernice za procjenu rizika. Dan 1 Dan 2 INARA Uvod, okvir za upravljanje rizicima prema ISO 31000 • Koncepti i definicije vezane uz upravljanje rizicima • Norme za upravljanja rizicima, okviri i metodologije • Provedba okvira za upravljanje rizicima • Razumijevanje organizacije i njegov kontekst Identifikacija i procjena rizika, vrednovanje i postupanje s rizikom, prihvaćanje, komunikacija i nadzor u skladu s ISO 31000 • Identifikacija rizika • Analiza i vrednovanje rizika • Postupanje s rizikom • Prihvaćanje rizika i upravljanje preostalim rizicima • Komunikacija rizika i savjetovanje • Praćenje i nadzor Dan 3 letodologija procjene rizika prema ISO/IEC 31010 i ispit Prezentacija metodologija za procjenu rizika ISPIT "Certified ISO 31000 Risk Manager" (2 sata) Menadžerima rizika, vlasnicima poslovnih procesa, menadžerima poslovnih financija, menadžerima poslovnih rizika, menadžerima za sukladnost s propisima, voditeljima projekata, odgovornim osobama za informacijsku sigurnost i sukladnost unutar organizacije, kao i svima drugima zainteresiranima za upravljanje rizicima temeljenom na ISO 31000. Za dodatke informacije kontaktirajte nas na info@bluefield.hr | www.bluefield.hr > Certifikat "PECB ISO 31000 Risk Manager" će biti izdan sudionicima koji su uspješno položili ispit i ispunjavaju sve druge zahtjeve koji se odnose na ovo uvjerenje: PECB Certified ISO 31000 Provisional Risk Manager PECB ISO 31000 Risk Manager Ne treba Ne treba Potpisani PECB etički kodeks PECB ISO 31000 Risk Manager PECB ISO 31000 Risk Manager Dvije godine Jedna godina iskustva vezanog za upravljanje rizicima Aktivnosti u upravljanju rizicima ukupno najmanje 200 sati Potpisani PECB etički kodeks > Pristojba za Certifikat je uključena u ispit > Sudionik dobiva priručnik koji sadrži više od 350 stranica informacija i praktičnih primjera (na hrvatskom jeziku) > Sudioniku se potvrđuje 21 CPD (Continuing Professional Development) > U slučaju neuspjeha na ispitu, sudionici ga mogu ga ponoviti besplatno u određenim uvjetima > ISO 31000 i ISO/IEC 31010 su smjernice za upravljanje rizicima prema kojima se organizacije ne mogu certificirati Za dodatke informacije kontaktirajte nas na info@bluefield.hr www.bluefield.hr Ik Jill JH lillBli. Kada je certifikacija važna wmwmmm M VODIČ ZA PRIPREMU ISPITA PECB Certificirani ISO 31000 Menadžer rizika PECB Certified ISO 31000 Risk Manager Cilj ispita "PECB Certified ISO 31000 Risk Manager" (PECB Certificirani ISO 31000 menadžer rizika) je osigurati da kandidat ima znanje i vještine za svladavanje načela i generičke smjernice 0 upravljanju rizicima pomoću norme ISO 31000: 2009 kao referentnog okvira. Ciljana populacija za ovaj ispit su: « Menadžeri rizika • Osobe odgovorne za upravljanje rizicima ili sukladnosti unutar organizacije • Član tima za upravljanje rizicima • Osoblje koje provode ISO 31000 ili su uključeni u program upravljanja rizicima Sadržaj ispita pokriva sljedeće domene: • Domena 1: Osnovni koncepti, pristupi, metode i tehnike upravljanja rizicima • Domena 2: Program upravljanja rizicima • Domena 3: Procjena rizika • Domena 4: Obrada rizika • Domena 5: Komunikacija rizika, praćenje i poboljšavanje Dodatne informacije o normi ISO 31000: (izvor: www.iso.org). ISO 31000:2009 može koristiti bilo koje javno, privatno poduzeće kao i grupe poduzeća, udruge, skupine ili pojedinci. Dakle, norma ISO 31000:2009 nije specifična za određenu industriju ili sektor. ISO 31000:2009 može se primijeniti tijekom života organizacije, i na širok spektar aktivnosti, uključujući strategije, odluke, operacije, procese, funkcije, projekte, proizvode, usluge i imovinu. ISO 31000:2009 može se primijeniti na bilo koju vrstu rizika, bez obzira na prirodu, bilo da ima pozitivne ili negativne posljedice. lako ISO 31000:2009 osigurava generičke smjernice, i nema namjeru promicati ujednačenost upravljanja rizicima među organizacijama. Dizajn i implementacija planova upravljanja rizicima 1 okvira mora uzeti u obzir različite potrebe određene organizacije, svoje posebne ciljeve, kontekst, strukturu, operacije, procese, funkcije, projekte, proizvodi, usluge ili imovinu i konkretne prakse zaposlenih. Namjera je da se ISO 31000:2009 koristi za usklađivanje procesa upravljanja rizicima u postojećim i budućim standardima. Ona omogućuje zajednički pristup u podršci standardima koji se bave određenim rizicima i / ili sektorima, a ne kao zamjena za te norme. ISO 31000:2009 nije namijenjena za potrebe certificiranja. «p g c lp > o rg Strana 3 od 10 inj.i riricim.i rcforoiitnih okvira n.i toniolju ISO 31000. Kompetencije 1. Sposobnost razumjeti, analizirati potrebe i dati smjernice za dodjelu uloga i odgovornosti u kontekstu provedbe i upravljanja u okviru upravljanja rizicima 2. Sposobnost za definiranje dokumenata i zapisa upravljanja procese potrebnih za potporu provedbe i poslovanja u okviru upravljanja rizicima 3. Sposobnost definiranja i dizajna kontrola i procesa te ih dokumentirati 4. Sposobnost definiranja i pisanja politika i procedura 5. Sposobnost provođenja potrebnih procesa u okviru upravljanja rizicima 6. Sposobnost definiranja i provođenja odgovarajućih planova obuke za upravljanje rizicima, svijesti i komunikacije. Izjave znanja 1. Poznavanje uloga i odgovornosti ključnih aktera u provedbi okvira za upravljanje rizicima i svoje operacije nakon završetka projekta implementacije 2. Poznavanje glavnih organizacijskih struktura primjenjivih na organizaciju za upravljanje rizikom 3. Poznavanje najboljih praksi za dokumentiranje i upravljanje zapisima upravljanja procesima i dokumenta životnog ciklusa upravljanja 4. Poznavanje karakteristika i razlike između različitih dokumenata vezanih uz politiku, procedure, smjernica, normi, osnovica, radnih lista, itd. 5. Poznavanje modela izgradnje kontrole i tehnike i najbolje prakse 6. Poznavanje kontrola i tehnika procesa implementacije i najbolje prakse 7. Poznavanje tehnika i najboljih praksi pisanja politika, procedura i drugih vrsta dokumenata 8. Poznavanje karakteristika i najboljih praksi za provedbu planova izobrazbe za upravljanje rizicima, svijesti i komunikacije 9. Poznavanje karakteristika i glavnih procesa upravljanja rizicima u procesu upravljanja incidentima na temelju najbolje prakse 10. Poznavanje tehnika upravljanja promjenama najbolje prakse Domena 3: Procjena rizika Glavni cilj: Osigurati da kandidat za ISO 31000 menadžera rizika može provesti procjenu rizika na temelju ISO 31000. 1. Sposobnost razumij evanja i tumačenja Izjs 1. Poznavanje smjernica i procesa iz procesa upravljanja rizicima prema ISO smjernica za upravljanje rizicima i okvir 31000 temeljen na ISO 31000 2. Sposobnost da poznaju i opišu nekoliko 2. Opće poznavanje glavnih metodologija priznatih metodolog 5ija procjene rizika procjene rizika 3. Sposobnost prepozr lavanja, pregleda i 3. Znanje o planiranju projekata procjene odabira pristupa pre jcjene rizika za rizika i aktivnosti koje osiguravaju određenu organizac iju sudjelovanje i potporu dionicima 4. Sposobnost planirar ija aktivnosti za tijekom procesa procjene rizika procjenu rizika i inte ?grirati procjenu 4. Poznavanje smjernica i najbolje prakse rizika u okvir za upravljanje rizicima kako bi integrirali procjenu rizika u okvir 5. Sposobnost voditi projekte procjene i za upravljanje upravljanje multidis ciplinarnim timom 5. Poznavanje najbolje prakse o tome kako obaviti vrednovanje plana projekta 6. Znanje o projektima procjene rizika od više globalne i složenije prirode i oslanjanje na multidisciplinarni tim sve znanja 1. Sposobnost razumijevanja i upravljanja 1. Poznavanje uloge i odgovornosti identifikacijom rizika, njegovom ključnih aktera u provedbi plana obrade analizom i ocjenjivanjem da li rizik treba rizika modificirati obradom rizika kako bi 2. Poznavanje najboljih praksi na zadovoljili kriterije rizika dokumentiranje i zapisivanje plana 2. Sposobnost komuniciranja i konzultacija obrade rizika s dionicima te praćenje i ocjena rizika i 3. Znanje o metodama procjene rizika i kontrola koje modificiraju rizik kako bi kriterijima rizika se osiguralo da nije potrebna daljnja 4. Znanje komunikacije i praćenja kontrola obrada rizika rizika kako bi se osiguralo da nije 3. Sposobnost da se učinkovito rasporedi i potrebna daljnja obrade rizika koristite sredstva za obradu rizika 5. Znanje o upravljanju resursima 4. Sposobnost da odaberete jednu ili više upravljanja rizikom opcija za promjenu rizika, i provedbu tih 6. Znanje o odabiru jedne ili više opcija za ...opcija............................................................................................................................................ promjenu rizika, i provedbu tih opcija rizika može anja sustava Kompetencije 1. Sposobnost razumijevanja, analiziranja potreba i davanja smjernica u dodjeljivanju uloga i odgovornosti u kontekstu provedbe komunikacije rizika, praćenja i pregleda za upravljanje rizicima 2. Sposobnost definiranje dokumenata i zapisa potrebnih za razvoj i provedbu komunikacije, nadzora i pregled upravljanja rizicima 3. Sposobnost za provedbu dokumentiranog sustava koji će otkrivanjem promjena u vanjskom i unutarnjem kontekstu, uključujući i promjene u kriterijima rizika i samog rizika mogu zahtijevati reviziju rizika, obradu i određivanje prioriteta te identificirati rizike u nastajanju 4. Sposobnost definiranja i provođenja odgovarajućih planova obuke za upravljanje rizicima, svijesti i komunikacije 5. Sposobnost definiranja i provođenja proces upravljanja incidentima na temelju najbolje prakse. 6. Sposobnost za prijenos projekta na poslovanje i upravljanje procesom upravljanja promjenama Izjave znanja 1. 2. 3. 4. 5. 6. 7. Poznavanje glavnih organizacijskih struktura koje se odnose na organizaciju za upravljanje rizikom Poznavanje najbolje prakse za upravljanje dokumentima i zapisima i dokumentima životnog ciklusa Poznavanje modela izgradnje kontrole i obrađuje tehnike i najbolje prakse za mjerenje njihove učinkovitosti i djelotvornosti Poznavanje kontrola i procesa tehnike implementacije i najbolje prakse za praćenje i otkrivanje promjena u vanjskom i unutarnjem kontekstu te identificirati rizike u nastajanju Poznavanje tehnike i najbolje prakse za pisanje politika, procedura i drugih vrsti dokumenata Poznavanje karakteristika i najboljih praksi za provedbu komunikacije rizika, praćenje i poboljšanje Poznavanje upravljanja promjenama tehnikama najbolje prakse Na temelju tih 5 domena i njihove relevantnosti, 5 pitanja je uključeno u ispit, kao što je sažeto prikazano u sljedećoj tablici: po primjenu i sintezu i po domeni pHf po domeni % bodova po koncepti u 5 X 1 20.00 5 10.00 upravljanja 5 X 1 20.00 5 10.00 Procjena rizika 20 X 1 20.00 20 40.00 Obrada rizika 10 X 1 20.00 10 20.00 "^poboljšanja^' 10 X 1 20.00 10 20.00 50 3 2 60.00 40.00 Postotak potreban za prolazak ispita je 70%. Nakon uspješno položenog ispita, kandidati će moći podnijeti zahtjev za certifikat PECB Certificirani ISO 31000 menadžer rizika, ovisno o njihovoj razini iskustva. POLAGANJE CERTIFIKACIJSKOG ISPITA Kandidati trebaju doći barem trideset (30) minuta prije početka certifikacijskog ispita. Kandidatima koji zakasne neće se dati dodatno vrijeme kako bi se nadoknadilo zakašnjenje, a također može biti odbijen ulazak na ispit (ako zakasne više od 5 minuta nakon početka ispita). Svi kandidati će morati predočiti valjanu osobnu iskaznicu s fotografijom, kao što je vozačka dozvola ili osobna iskaznica kao i pismo potvrde ispita. Trajanje ispita je dva (2) sata. Pitanja su tipa eseja. Ovaj format je odabran jer je namjera utvrditi da li ispitanik može napisati jasan i suvisli odgovor / argument i ocijeniti tehniku rješavanja problema. Zbog ovog partikularnosti, ispit je postavljen da bude "otvorena knjiga", i ne mjeri količinu prepisanih podataka ili informacija. Ispitom se također procjenjuje, umjesto toga, razumijevanje, primjenu, analizu, sintezu i vrednovanje, što znači da čak i ako je odgovor u skriptama, kandidat će morati opravdati i dati objašnjenja, pokazati da li stvarno razumije koncept. Na kraju ovog dokumenta, naći ćete primjere ispitnih pitanja i njihove moguće odgovore. Kako je ispit koncipiran kao "otvorena knjiga" kandidati smiju koristiti samo: • kopiju ISO 31000: 2009 norme « bilješke iz materijala za predavanje • vlastite bilješke za treninga • tiskani primjerak rječnika Uporaba elektroničkih uređaja, kao što su prijenosna računala, mobitela, itd. nije dopušteno. Svaki pokušaj kopiranja, grupnog rješavanja ili bilo koji drugi način varanja na ispitu automatski će dovesti ne prolaska na ispitu. PECB ispiti su dostupni na engleskom jeziku. Za dostupnost na bilo kojem drugom jeziku molimo Vas da kontaktirate examination@pecb.com. REZULTATI ISPITA Rezultati će se dostaviti putem e-pošte u razdoblju od 6 do 8 tjedana, nakon polaganja ispita Rezultati neće uključivati točnu ocjenu kandidata, samo spominjanje prolaz ili pad. Kandidati koji uspješno završe ispit će se moći prijaviti za certifikat. U slučaju pada, rezultati će biti popraćen s popisom domena u kojoj je kandidat imao niski ocjenu, kako bi se pružile smjernice za ponovnu pripremu ispita. Kandidati koji se ne slažu s rezultatima ispita mogu podnijeti žalbu. Za više informacija obratite se www.pecb.com. POi\IOWf\S© POLAGANJE ISPITA Nema ograničenja koliko puta kandidat može ponoviti isti ispit. Međutim, postoje nek; ograničenja u pogledu dopuštenog vremenskog okvira između ispita. Kad kandidat koji ne položi ispit, ispit može ponoviti samo jednom u 12 mjeseci nakon prvoj pokušaja. Ako i drugi put kandidat ne uspije položiti ispit, kandidatu će biti dopušteno ponovne polaganje ispita tek nakon 1 godine (12 mjeseci). Financijske naknade za ponovno polaganjf ispita se primjenjuju. Samo kandidati koji su završili cijeli PECB trening, ali nisu položili pismeni ispit, imaju prave ponovno polagati ispit za besplatno, ali pod jednim uvjetom: "Kandidat može ponovno polagati ispit samo jednom i to ponovno polaganje mora biti u rokt od 12 mjeseci od datuma početnog ispita." Kada kandidat ne položi ispit niti iz drugog pokušaja, njegov spis će automatski biti zatvorei na period od 1 godine. ZATVARANJE SPISA Zatvaranje spisa je ekvivalent za odbijanje zahtjeva kandidata. Kao rezultat toga, kad. kandidat zahtjeva da se njegov spis ponovno otvori, PECB više neće biti vezan za uvjete, norme pravila, priručnike ili vodiča za pripremu ispita koji su bili na snazi prije nego što je spis o< kandidata bio zatvoren. Kandidati koji žele zatražiti da im se spis ponovno otvori mora t< učiniti pismeno, i platiti potrebne pristojbe. rtarh rirr? iMufui hlflofiolH hr Strana 9 nri 1 SIGURNOST ISPITA Značajna komponenta uspješnog i uglednog profesionalnog certificiranja je održavanje sigurnosti i povjerljivosti ispita. PECB se oslanja na etičko ponašanje nositelja certifikata kao i podnositelja zahtjeva za održavanje sigurnosti i povjerljivosti PECB ispita. Kada netko tko ima PECB certifikat otkriva podatke o sadržaju PECB ispita, oni krše PECB-ov Etički kodeks. PECB će poduzeti mjere protiv pojedinaca koji krše pravila PECB-a i Etički kodeks. Radnje poduzete mogu uključivati trajnu zabranu certifikata pojedinaca i oduzimanja certifikata od onih koji primili iste. PECB će nastaviti pravnu akciju protiv pojedinaca ili organizacija koje krše autorska prava, svojih vlasničkih prava i intelektualnog vlasništva. PbLU When Recognition Matters ISO 3100' UPRAVLJANJE RIZICIMA - PRINCIPI I SMJERNICE Bluefield d.e.«. SADRŽAJ 3 Uvod 4 Pregled norme ISO 31000:2009 5 Struktura norme ISO 31000:2009 6 Ključne točke norme ISO 31000:2009 7 Veze između norme ISO 31000 i ostalih normi 7 Veza sa normom ISO 27005 7 Upravljanje rizicima - Poslovni dobici 7 Implementacija upravljanja rizicima sa PECB okvirom upravljanja rizikom 8 Trening i certifikacija profesionalaca GLAVNI AUTORI Eric LACHAPELLE, PECB Besnik HUNDOZI, PECB ISO 31000 je međunarodna norma izdana 2009. godine od strane ISO-a (International Organization for Standardization), a namjera je da služi kao vodič za projektiranje, implementaciju i održavanje upravljanja rizicima. Sve vrste i veličine organizacija suočavaju se sa unutarnjim i vanjskim čimbenicima i utjecajima koji čine neizvjesnost hoće li i kada će postići svoje ciljeve. Učinak koji ima ova neizvjesnost nad ciljevima jedne organizacije je rizik. Rizik je uključen u bilo kakve aktivnosti organizacije. ISO 31000:2009 opisuje sustavni i logički proces, tijekom kojeg organizacije upravljaju rizikom identifikacijom, analizom te onda ocjenjivanjem da li rizik treba modificirati obradom rizika kako bi zadovoljili kriterije rizika. Upravljanje rizicima može se primijeniti na cijelu organizaciju, na brojnim područjima i razinama, u bilo koje vrijeme, kao i na određene funkcije, projekte i aktivnosti. RISK - Efekt neizvjesnosti na ciljeve 1. Pozitivan pogled Potencijalna dobit 2. Neutralan pogled Vjerojatnost događaja 3. Negativan pogled Štetni događaj ISO 31000 // UPRAVLJANJE RIZICIMA - PRINCIPI I SMJERNICE PREGLED NORME ISO 31000:2009 ISO 31000 daje načela i generičke smjernice organizacijama u uspostavi, provedbi, radu, održavanju i stalnom poboljšavanju njihovog okvira za upravljanje rizicima. Nije specifična za određene industrije ili sektore, tako da je mogu koristiti bilo javna, privatna i zajednice poduzeća, udruge, skupine ili pojedinci. Ova norma može se primijeniti tijekom života organizacije, i na širok spektar aktivnosti, uključujući strategije i odluke, operacije, procese, funkcije, projekate, proizvode, usluge i imovinu. Ova norma nije namijenjena za promicanje ujednačenosti upravljanja rizicima među organizacijama. Dizajn i implementacija planova upravljanja rizicima i okvirima morati će uzeti u obzir različite potrebe određene organizacije, svoje posebne ciljeve, kontekst, strukturu, operacije, procese, funkcije, projekte, proizvode, usluge ili imovinu i konkretne prakse zaposlenih. ŠTO JE UPRAVLJANJE RIZICIMA? Upravljanje rizicima je definiran kao skup koordiniranih aktivnosti kako bi usmjerili i kontrolirali organizaciju s obzirom na rizik. STRUKTURA ISO 31000? Ova slika prikazuje odnose između načela upravljanja rizicima, okvira i procesa. ^Procjena rizika a) Stvara i čuva vrijednost b) Integrirani dio procesa organizacije c) Dio u donošenju odluka d) izričito ukazuje na nesigurnost e) Sistematski, strukturirano i vremenski f) Temeljena na najboljim dostupnim informacijama ! g) Krojeno j h) Uzima u obzir ljudske i kulturološke faktore i) Transparerttna i ukljuSiva j) Dinamička, iterativna i odgovara na promjene k) Olakšava stalno: poboljšanje i unapređenje organizacije : Principi (točka 3) Uspostava % Kontekst* (5.3) % % I Identifikacija rizi ka (5.4.2) ^ | ■lllllil Okvir {točka 4) Proces {točka 5) KLJUČNE TOČKE NORME ISO 31000:2009 Norma ISO 31000 je organizirana prema sljedećim grupama: Točka 3: Principi Točka 4: Okvir Točka 5: Proces Svaka od ovih ključnih aktivnosti je dole nabrojana TOČKA 3: PRINCIPI UPRAVLJANJA RIZICIMA Kako bi organizacija imala efektivan sustav upravljanja rizicima, organizacija mora biti sukladna sa ovih 11 principa. Upravljanje r Upravljanje r Upravljanje r Upravljanje r Upravljanje r Upravljanje r Upravljanje r 8. Upravljanje r 9. Upravljanje r 10. Upravljanje 11. Upravljanje zikom stvara i štiti vrijednosti; zicima je sastavni dio svih organizacijskih procesa; zicima je dio odlučivanja; zicima izričito se bavi nesigurnošću; zicima je sustavno, strukturirano i pravodobno; zicima temelji se na najboljim raspoloživim informacijama; zicima je skrojeno; zicima uzima ljudske i kulturne čimbenike u obzir; zicima je transparentno i uključujuće; rizicima je dinamično, iterativno i reagira na promjenu; rizicima omogućuje kontinuirano poboljšanje organizacije. ISO 31000// UPRAVLJANJE RIZICIMA - PRINCIPI I SMJERNICE TOČKA 4: OKVIR ISO 31000 navodi da će uspjeh upravljanja rizikom ovisiti o učinkovitom upravljačkom okvir koji pruža temelje i dogovore što će ga uvezati u cijelu organizaciju na svim razinama. Okvir: • pomaže u upravljanju rizicima učinkovitom primjenom procesa upravljanja rizicima; • osigurava da informacije o riziku proizlaze iz procesa upravljanja rizicima budu adekvatno izvješćivane; i • osigurava da se ovi podaci koriste kao temelj za donošenje odluka i odgovornost na svim relevantnim razinama organizacije. Ova klauzula opisuje neophodne komponente okvira za upravljanje rizikom i način na koji se međusobno povezuju na iterativan način. Mandat i predanost: Uprava organizacije mora pokazati snažnu i kontinuiranu predanost upravljanju rizicima definiranjem politike upravljanja rizicima, ciljevima, osiguravajući pravnu sukladnost, osiguranjem potrebnih resursa za upravljanje rizicima, komuniciranje prednosti upravljanja rizicima za sve dionike. Izrada okvira za upravljanje rizikom: Prije provedbe, organizacija mora osmisliti okvir za upravljanje rizikom. To uključuje: • Razumijevanje organizacije i njezinog konteksta • Uspostavljanje politike upravljanja rizicima • Osiguranje odgovornosti, ovlasti i odgovarajuće stručnosti za upravljanje rizikom • Integriranje upravljanja rizicima u organizacijskim procesima • Dodjeljivanje odgovarajućih resursa • Uspostavljanje unutarnje i vanjske komunikacije i mehanizme izvješćivanja Implementacija upravljanja rizikom: Organizacija mora provoditi okvir za upravljanje rizikom i upravljanja rizicima proces. Praćenje i revizija okvira: Kako bi se osigurala učinkovitost upravljanja rizicima, organizacija treba mjeriti učinkovitost upravljanja rizicima i napredak, preispitati da li su okvir za upravljanje rizicima, politika i plan još uvijek prikladni i preispitati učinkovitost okvira za upravljanje rizicima. Kontinuirano poboljšanje okvira: Na temelju rezultata praćenja i preispitivanja, treba donijeti odluke o tome kako se mogu poboljšati okvir za upravljanje rizicima, politika i plan. TOČKA 5: PROCES ISO 31000 navodi da uspjeh upravljanja rizikom ovisi o učinkovitosti upravljanja. • Proces upravljanja rizicima treba biti: - Sastavni dio upravljanja; - Ugrađen u kulturu i praksu; - Prilagođen poslovnim procesima organizacije. • Proces upravljanja rizicima obuhvaća sljedeće aktivnosti: Komunikacija i konzultacija: Komunikacija i konzultacija s vanjskim i unutarnjim dionicima treba se odvijati tijekom svih faza procesa upravljanja rizicima. Uspostava kontekst: Uspostavom konteksta, organizacija artikulira svoje ciljeve, definira vanjske i unutarnje parametre koje treba uzeti u obzir prilikom upravljanja rizikom, te postavlja opsega i kriterije rizika za preostali proces. VEZA IZMEĐU NORMA ISO 31000 I DRUGIH NORMI Norma ISO 31000 se može lako povezati s drugim normama za upravljanje rizicima, kao ISO Guide 73: 2009 - upravljanje rizicima vokabular i ISO / IEC 31010: 2009 - upravljanje rizicima - tehnike za procjenu rizika. ISO / IEC 31010 je norma podrške za ISO 31000 i daje smjernice o odabiru i primjeni sustavnih tehnika za procjenu rizika. VEZA SA NORMOM ISO 27005 Na temelju okvira ISO 31000, norma ISO 27005 detaljno objašnjava kako provesti procjenu rizika i obradu rizika, u kontekstu informacijske sigurnosti. UPRAVLJANJE RIZICIMA - POSLOVNI DOBICI Kao i sa svim većim pothvatima unutar organizacije, bitno je dobiti potporu i pokroviteljstvo izvršnog menadžmenta. Daleko najbolji način postizanja toga, a ne naglašavajući negativne aspekte nemanja upravljanja rizikom, je ilustracija pozitivnih dostignuća imanja djelotvornog okvira za upravljanje rizicima. Upravljanje rizicima omogućuje organizaciji da osigura znanje i razumijevanje rizika s kojima se suočava. Usvajanje učinkovitog procesa upravljanja rizicima unutar organizacije će imati koristi u brojnim područjima, čiji primjeri uključuju: • Povećana vjerojatnost postizanja ciljeva • Potaknuti proaktivno upravljanje • Svijest o potrebi identificiranja i obrade rizika u cijeloj organizaciji • Poboljšano prepoznavanje prilika i prijetnji • Usklađenost s relevantnim zakonskim i regulatornim zahtjevima i međunarodnim normama • Poboljšano obvezno i dobrovoljno izvješćivanje • Poboljšano upravljanje • Poboljšano povjerenje dionika • Uspostava pouzdane osnove za odlučivanje i planiranje • Poboljšana kontrola • Učinkovita dodjela i korištenje sredstava za obradu rizika IMPLEMENTACIJA UPRAVLJANJA RIZICIMA SA PECB OKVIROM UPRAVLJANJA RIZIKOM Donošenja odluke o provedbi okvira za upravljanje rizikom na temelju ISO 31000 je često vrlo jednostavno, jer su prednosti dobro dokumentirane. Prateći strukturiranu i učinkovitu metodologiju, organizacije mogu biti sigurne da pokrivaju sve minimalne potrebne za provedbu programa upravljanja Ne postoji niti jedan nacrt za provedbu ISO 31000 koji će raditi za sve organizacije, ali postoje neki zajednički koraci koji će vam omogućiti uspostavu ravnoteže između često konfliktnih zahtjeve i pripremiti za uspješnu certifikacijskog audita. PECB je razvio okvir za upravljanje rizikom. To se zove "PECB okvir za upravljanje rizicima", a temelji se na važećoj najboljoj praksi. rizicima. ISO 31000 // UPRAVLJANJE RIZICIMA - PRINCIPI I SMJERNICE " ■■ nj ■ 'c ■ m ■ "> E m o lm a 3 N i- k- "> o r4 ■ 1 Procjena rizika 3,1 IdentiNacija izvora i cika, aia I 1. Procjena posljedica tssu 4 2 Procjena vgeroiatnost: incidenta 4 3 Odreff.vatje iaztne riz ka : . ■ ■ ■ : rizika temeljeno na kritenjima evaiuacije i.1 Opcije tretmana rizika 6 2 Plan tretmana rizika 6.3 Evaiuacija preostalog nzika ....... TRENING I CERTIFIKACIJA PROFESIONALACA PECB je stvorio plan edukacije i brojne programe certificiranja osoblja za menadžera organizacija koje žele dokazati usklađenost s ISO 31000. lako ISO 31000 nije namijenjena da se koristi kao osnova za certifikaciju organizacija, neki od organizacija ju koriste jer tako dokazuju da su razvili standardizirani procesi temeljen na najboljoj praksi. Certificiranje pojedincima služi kao dokumentirano dokazivanje stručnih kompetencija i iskustva onih pojedinaca koji su prethodno prisustvovali srodnim tečajevima i ispitima. Služi da pokaže da certificirani profesionalci posjeduju definirane kompetencije na temelju najbolje prakse. Također omogućuje organizacijama da naprave izbor zaposlenika ili usluga koje se temelje na sposobnosti koje su predstavljene kroz certifikat. Konačno, pruža poticaje za stalno poboljšanje njegove/njezine vještine i znanja te služi kao alat za poslodavce kako bi se osiguralo da su obuka i svijest učinkoviti. PECB tečajevi se nude na globalnoj razini kroz mrežu ovlaštenih pružatelja izobrazbe i oni su dostupni na više jezika. Tablica u nastavku daje kratak opis na službenih tečajeva PECB za upravljanje rizikom na temelju ISO 31000. ISO 31000 Uveo jednodnevni trening Uvod u koncepte upravljanja rizicima Nema certifikata !5G 31000 Mtnadžei Rizikć Trajanje 3 dana Savladavanje implementacije i upravljanja okvirom za upiavljanje rizicima 2 sats ispit: Svatko tko želi razumjeti iSO 31000 : dobiti veće znanje o procesu upravljanja rizicima kako je opisbno u irteđijnaicdnoj muHmmmmmm Osoblje uključeno u bilo koju programa upravljanja ri:icima Menadžeri rizika Vlasnici poslovnih proces? rinanr.ijsk; menadžeri Menadžeri rizika MeriHcižei i zakonske sukladnosti "rojeki: .Tič-n^Jžer'; ODABIR PRAVOG CERTIFICIRANJA Certifikat „Certificirani ISO 31000 menadžer rizika" je profesionalni certifikat za profesionalce koji trebaju dokazati kompetenciju za provedbu, održavanje i upravljanje program upravljanja rizicima prema normi ISO 31000. f-'rivremen; C.eruficiiBPi ISC 31000 rvićiisož^;- fiziko -Vien^džer nzika iVičriEr.-iT! iiv.iic- Certincirani ISO ;<:-000 Vl'r h3i.!Ž£l liž.ik? l\!eme Dvije godine Je Jr.? j^cCiiV: u upisvlici'iji1 rizici:)!?. 'Mfz-.m '. pravja^js riiicinič u rio;oi'v;.i cd sali ISO 31000// UPRAVLJANJE RIZICIMA - PRINCIPI I SMJERNICE PECB Menadžer rizika Sekcija 1 Sekcija 2 Sekcija 3 Sekcija 4 Sekcija 5 Raspored za dan 1 Ciljevi i struktura treninga Koncept i definicija vezani za upravljanje rizikom Standardi za upravljanje rizikom, okviri i metodologije Implementacija okvira za upravljanje rizikom Razumijevanje organizacije i njezinog konteksta ©2008 PECB Version 4.5 Eric Lachapelle Document number: 31000RMV4.5 Documents provided to participants are strictly reserved for training purposes and are copyrighted by PECB. Unless otherwise specified, no part of this publication may be, without PECB's written permission, reproduced or used in any way or format or by any means whether it be electronic or mechanical including photocopy and microfilm. •Sekcija 1: Ciljevi i struktura treninga Str. 5 •Sekcija 2: Koncept i definicije povezane sa upravljanjem rizika Str. 20 •Sekcija 3: Norme, okviri i metodologije upravljanja rizikom Str. 39 •Sekcija 4: Implementacija okvira upravljanja rizikom Str. 74 •Sekcija 5: Razumijevanje organizacije i njenog konteksta Str. 94 Dan 2: Identifikacija I procjena rizika, evaluacija rizika, tretman, prihvaćanje, i komunikacija prema ISO 31000 •Sekcija 6: Identifikacija rizika Str.: 2 •Sekcija 7: Analiza i evaluacija rizika Str.: 24 •Sekcija 8: Tretman rizika Str.: 44 •Sekcija 9: Prihvaćanje rizika i upravljanje preostalim rizikom Str.: 61 j -Sekcija 10: Komunikacija i savjetovanje rizika Str.: 68 r3 »Sekcija 11: Nadzor i revizija rizika Str.: 85 Dan 3: Metodologije procjene rizika prema IEC/ISO 31010 i ISPIT •Sekcija 12: Metodologije upravljanja rizikom (dio 1) Str.: 2 •Sekcija 13: Metodologije upravljanja rizikom (dio 2) Str.: 33 •Sekcija 14: Prijava za certifikat i završetak treninga Str.: 71 Normativne reference korištene tijekon treninga 1 .Glavne norme •ISO Guide 73:2009, Upravljanje rizikom, Rječnik. •ISO 31000:2009, Upravljanje rizikom - Principi i smjernice. •ISO/IEC 31010:2009, Upravljanje rizikom - Tehnike procjene rizika. 2. Ostale normativne reference •ISO 9000:2005, Sustav upravljanja kvalitetom - Osnove i rječnik. •ISO 9001:2008, Sustav upravljanja kvalitetom - Zahtjevi. •ISO 14001:2004, Sustavi upravljanja okolišem - Zahtjevi sa smjernicama za korištenje. •ISO 17024:2003, Ocjena sukladnosti - Opći zahtjevi za tijela koja certificiraju osoblje. •OHSAS 18001:2007, Zdravlje i sustav upravljanja sigurnošću - Zahtjevi. •ISO/IEC 20000-1:2011, Informacijske tehnologije — Upravljanje servisima. Informacijske tehnologije — Dio 1: Zahtjevi sustava upravljanja servisima. •ISO/IEC 20000-2:2012, Informacijske tehnologije — Upravljanje servisima. Informacijske tehnologije — Dio 2: Smjernice za primjenu sustava upravljanja servisima. •ISO 22000:2005, Sustavi upravljanja zaštitom hrane — Zahtjevi za bilo koju organizaciju u lancu prehrane. •ISO 22301:2012, Društvena sigurnost — Sustavi upravljanje kontinuitetom upravljanja — Zahtjevi. •ISO/IEC 27000:2014, Informacijske tehnologije — Sigurnosne tehnike — Sustavi upravljanja informacijskom sigurnosti — Pregled i rječnik. •ISO/IEC 27001:2013, Sustavi upravljanja informacijskom sigurnosti-Zahtjevi. •ISO/IEC 27002:2013, Informacijske tehnologije — Sigurnosne tehnike — Kodeks prakse za upravljanje sigurnošću. •ISO/IEC 27005:2011, Informacijske tehnologije — Sigurnosne tehnike — Sustav upravljanje informacijskom sigurnosti. •ISO 28000:2007, Zahtjevi za sustave upravljanja sigurnošću u opskrbnom lancu. Lista akronima i kratica koje se koriste u ovom treningu ANSI: American National Standards Institute BS: British Standard CERT: Computer Emergency Response Team CMS: Content Management System CobiT: Control Objectives for Business and related Technology COSO: Committee of Sponsoring Organizations of the Treadway Commission CPD: Continuing Professional Development DMS: Document Management System EDM: Electronic Document Management System EMS: Environment management system FISMA: Federal Information Security Management Act GAAS: Generally Accepted Auditing Standards GLBA: Gramm-Leach-Bliley Act HIPAA: Health Insurance Portability and Accountability Act ISO: International Standards Organization ITIL: Information Technology Infrastructure Library LA: Lead Auditor LI: Lead Implementer NC: Non-conformity NIST: National Institute of Standards and Technology OHSAS: Occupational Health and Safety Assessment Series OECD: Organization for Economic Co-operation and Development PCI-DSS: Payment Card Industry Data Security Standard PDCA: Plan-Do-Check-Act QMS: Quality management system PECB: Professional Evaluation and Certification Board ROI: Return on Investment ROSI: Return on Security Investment SMS: Service management system SOX: Sarbanes-Oxley Act Ciljevi t stru b. Opće Informacije c. Ciljevi treninga d. Edukacijski pristup e. Ispit i certifikaclja f. PECB Aktivnost Za probijanje leda, sudionici neka se predstave s nekoliko riječi o sebi: • Ime i prezime; • Trenutna funkcija; • Znanje i iskustvo sa standardima za upravljanje rizikom kao što su ISO 31000; • Znanje i iskustvo sa upravljanjem rizika; • Očekivanja i ciljevi od obuke. Trajanje: 20 minuta Opće informacije I ■ m»m Emm mmmm * J Korištenje mobilnih telefona i uređaja za snimanje Korištenje računala i pristup internefu Područje za pušenje Poradi pojednostavljenja, samo muški rod se koristi kroz ovaj trening a smisao toga nije da uvrijedi ikoga. U slučaju hitnog slučaja, budite svjesni o mogućim izlazima iz prostorije. Napraviti dogovor oko rasporeda sa dvije pause (vodite računa o točnosti). Namjestite vibraciju na vašem telefonu a u slučaju da trebate obaviti razgovor, obavite ga van predavaonice. Uređaji za snimanje nisu dozvoljeni jer mogu ometati slobodnu diskusiju. Ciljevi treninga i ijanje znanje Razumijevanje osnovnih koncepata rizika vezanih za upravljanje rizikom Objasniti cilj, sadržaj i korelaciju između ISO 31000, ISO 3101 Ote ostalih, standarada i zakonskih okvira Objasniti funkcioniranje sustava za upravljanje rizikom sukladno ISO 31000 i njegovih ključnih procesa Glavni cilj ovog treninga je pribaviti i/ili unaprijediti kompetenciju radi sudjelovanja u implementaciji sustava za upravljanje rizikom sukladno ISO 31000. Iz perspektive edukacije, kompetencija se sastoji od slijedeća 3 elementa: 1. Znanje; 2. Vještine; 3. Ponašanja (stav). Na kraju ove obuke, sudionici će biti kompetentni kako implementirati i upravljati programom upravljanja rizikom a ne samo zašto i što napraviti Ciljevi treninga 1 ( upravljanje J Ijanje rizmorn Interpretirati zahtjeve ISO 31000 za upravljanje rizikom Pribaviti vještine potrebne za efektivno savjetovanje - organizacija o najboljoj praksi u upravljanju rizikom Osnažiti osobne kvalitete potrebne za djelovanje s 4 profesionalnom pažnjom kod implementacije programa: upravljanja rizikom P6CB Cilj ovog treninga je osigurati da kandidat može aktivno sudjelovati u planiranju i provedbi okvira za upravljanje rizicima prema ISO 31000 nakon završetka treninga. Ovaj trening se fokusira na realnost provedbe programa upravljanja rizicima. Studija slučaja i naučenih lekcija koriste se za simulaciju uvjeta što je bliže moguće realnosti na terenu. Alati i predlošci na ovom treningu temelje se na onima koje trenutno koristi nekoliko organizacija. Struktura obuke 0»!;eiUirano>t na pcJc^nka Ovaj tečaj se prvenstveno temelji na: • Sesije pod vodstvom trenera, gdje su dobrodošla pitanja. • Uključivanje studenata u različite načine: vježbe, studije slučaja, igrokazi, bilješke, komentari, diskusije (iskustva sudionika). Zapamtite, ovaj tečaj je vaš: vi ste glavni igrači za ostvarivanje njegovog uspjeha. Studenti se potiču na zapisivanju dodatnih bilješki. Vježbe su neophodne u stjecanju kompetencija potrebnih kako bi se omogućilo učinkovito upravljanje rizikom. Stoga je vrlo važno da ih obavljate savjesno. Osim toga, ove vježbe su priprema za završni ispit. Ispit Područja Kor>pcTc-ncije, Osnovni principi i koncepti u upravljanju rizikom ^ . . . /tO Upravljanje programom rizika 11 o" j Procjena rizika Opcije tretmana rizika Komunikacija, nadzor i poboljšanje rizika % p^iiiOEi Cilj certifikacijskog ispita je osigurati da su kandidati ovladali konceptima i tehnikama vezanim za upravljanje rizicima prema ISO 31000, tako da su u mogućnosti sudjeluju u zadacima. Ispitni odbor PECB-a mora osigurati da su ispitna pitanja razvijena i da su adekvatno održavana na temelju trenutne stručne prakse. Pitanja su razvijena i održavana od strane odbora za upravljanje rizicima koji su svi certificirani za ISO 31000 Menadžera rizika. Ispit sadrži samo esejska pitanja. Trajanje ispita je 2 sata. Najmanja ocjena prolaznosti je 70%. Tijekom ispita mogu se koristiti sve bilješke i referentni dokumenti isključujući korištenje računala. Ispit je dostupan na nekoliko jezika. Kad polaganja ispita, molimo pitajte trenera ili provjerite na web stranici PECB popis dostupnih jezika. Svih pet područja kompetencije su obuhvaćeni ispitivanjem. Da biste pročitali detaljan opis svake nadležnosti domeni, molimo posjetite web stranicu PECB. Certificirarii 31000 menadžer rizika Preduvjeti za certifikaciju Položiti ispit Pridržavanje PECB etičkog kodeksa 2 Godine profesionalnog Iskustva 1 godina iskustva upravljanja rizikom 200 sati aktivnosti upravljanja rizikom Proles.onaine reference Certificirani ISO 31000 Menadžer rizika Prolazak na ispitu nije jedini preduvjet za dobivanje certifikata za "Certificirani ISO 31000 Menadžer rizika". Taj certifikat će se dobiti samo nakon položenog ispita i priznavanje profesionalnog iskustva. Set kriterija i proces certifikacije su objašnjeni na zadnjem danu treninga. Kandidat s manjim iskustvom može podnijeti zahtjev za certifikat o "Certificirani ISO 31000 Privremeni menadžer rizika". VAŽNA NAPOMENA: Certifikacijske pristojbe su uključene u cijenu ispita. Kandidat stoga neće morati platiti nikakve dodatne troškove prilikom podnošenja zahtjeva za certifikaciju na njegovu odgovarajuću razinu iskustva i dobiti jedan od drugih profesionalnih certifikata. PSCS Certifikat Kandidati koji su ispunili sve preduvjete za certifikaciju dobiti će certifikat: Professional EvittaMit« sad Certification Soarđ Pero Peric <4? "Ti ISO M OS« Risk Manager " This etitllM* is «DM foi 31 Coftiiftsjitsg Ptefessuana5 0*<«*«ORWM --CPO. o*dtt P^lEfufEi Nakon položenog ispita, kandidat ima maksimalni rok od tri godine da se prijavi za jedan od profesionalnih certifikata u svezi s ISO 31000 certifikacijskom shemom. Kada je kandidat certificiran, dobiti će putem elektronske pošte, od PECB certifikat koji vrijedi tri godine. Za održavanje certifikata, podnositelj zahtjeva mora dokazati svake godine da je udovoljio zahtjevima za dodijeljeni certifikata i pridržavanje PECB-ovog Etičkog kodeksa. Da biste saznali više o održavanju certifikata i postupak obnove molimo posjetite web stranicu PECB. Na kraju treninga, više detalja će biti dano. Elektronska verzija (u .PDF) certifikata završetku tečaja vrijedi 21 CPD (nastavak profesionalnog razvoja) kredita te će biti izdana (poslane putem e-maila) za sudionike nakon treninga. ŠtojePEGB?' 'refessionai Evaluation and Certification Board Glavne usluge: 1. Certifikacija osoblja (Auditor I Implementator) 2. Certifikacija organizacija za treninge 3. Certifikacija trenera Osnovan je 2005. godine, PECB je certifikacijsko tijelo za osobe (CBP) za različite standarde, uključujući i ISO 9001 (kvaliteta), ISO 14001 (okoliš), OHSAS 18001 (Zdravlje i sigurnost), ISO 20000 (IT usluga), ISO 22000 (Food Sigurnost), ISO 22301 (Business continuity), ISO 26000 (Društvena odgovornost), ISO 27001 (Information Security), ISO 27005 (Information sigurnosni rizik) i ISO 28000 (Supply Chain Sigurnost). Naša misija je pružiti našim klijentima opsežna pojedinačna ispitivanja i certifikacijske usluge. PECB razvija, održava i stalno unapređuje visoko kvalitetne programe certificiranja. PECB je akreditiran od strane ANSI prema ISO / IEC 17024 (akreditacije ID: 1003). PECB je jedino ovlašteno tijelo za certificiranje osoblja prema ISO 9001 i ISO 27001. Svrha PECB, kao što je navedeno u njegovom Statutu, je razvijanje i promicanje profesionalnih normi za certifikaciju i upravljati vjerodostojnim programom certificiranja za pojedince koji djeluju unutar područja koja uključuju reviziju i provedbu usklađenih sustava upravljanja. To je glavna svrha uključuje: 1. Utvrđivanje minimalnih uvjeta potrebnih za certificiranje stručnjaka; 2. Pregled i provjera kvalifikacija podnositelja zahtjeva za polaganje ispita; 3. Razvoj i održavanje pouzdanih, valjanih i aktualnih certifikacijskih ispita; 4. Dodjela certifikata kvalificiranim kandidatima, održavanje evidencije certifikata i izdavanje imenika nositelje valjanih certifikata; 5. Utvrđivanje uvjeta za periodične obnove certifikata i utvrđivanja sukladnosti s tim zahtjevima; 6. Utvrđivanja da certificirane osobe djeluju u skladu sa PECB Etičkim kodeksom; 7. Predstavljajući svoje članove, gdje je to primjereno, u pitanjima od zajedničkog interesa; 8. Promicanje prednosti certificiranja poslodavcima, javnim službenicima, praktičarima u srodnim poljima, i javnosti. PECB Certifikacijska tijela za osobe ISO 17024 • ISO 17024 definira kriterije za organizaciju koja provodi certifikaciju osoblja prema određenim zahtjevima, uključujući razvoj i održavanje certifikacijske sheme osoblja • PECB je akreditiran od strane ANSI prema fSG/IEG 17024 • Većina organizacija koja vrši certifikaciju osoblja nije akreditirana od strane akreditadjskjh agencija Norma ISO 17024 daje sveobuhvatan okvir certifikacijskim tijelima za osobe kao što PECB da rade suvislo, usporedivo i pouzdano u svijetu. Primarna funkcija certifikacijskog tijela za osobe je neovisna procjena pokazanog iskustva, znanja i stavova kandidata koji se primjenjuju na području za koje se izdaje certifikat. Norma ISO 17024 pruža jedinstvene smjernice za organizacije koje upravljaju kvalifikacijama i certificiranjem osoba, uključujući postupke koji se odnose na pripremu i ažuriranje certifikacijskih shema. Norma je osmišljena kako bi pomogla organizacijama koje obavljaju certificiranje osoba za obavljanje dobro planirane i strukturirano ocjenjivanje pomoću objektivnih kriterija sposobnosti i ocjenjivanja kako bi se osigurala nepristranost poslovanja i smanjio rizik od sukoba interesa. ISO 17024 odnosi se na strukturu i upravljanje od certifikacijskog tijela, karakteristikama certifikacije programa, informacija koje moraju biti dostupni kandidatima i obnove certifikacije certifikacijskog tijela. ANSI je najveća i najpoznatija organizacija koja nudi akreditacijski program za ISO 17024. PECB je akreditiran od strane ANSI prema ISO / IEC 17024 (akreditacije ID: 1003). Važna napomena: PECB je jedino akreditirano tijelo za osobe, akreditirano od strane ANSI za ISO 17024 certifikacijski program. Većina organizacija koje izdaju certifikate stručnjaka nisu akreditirani od strane certifikacijskih tijela. Samo akreditirano certifikacijsko tijelo prema normi ISO 17024 osigurava međunarodno priznanje. To je važno kako bi potvrdili status certifikacijsko tijelo s pripadajućim akreditacije vlasti, kao što su ANSI i U KAS. » Zašto postati certifi.ci.rani menadžer? Kvalificiranosl za upravljanje rizikom Formalno i neovisno prepoznavanje osobnih kompetencija Certlficirani stručnjaci obično zarađuju više oc! ne-* certificiranih stručnjaka pm • Međunarodno priznati certifikat može vam pomoći povećati svoj karijerni potencijal i postići svoje profesionalne ciljeve. • Međunarodni certifikat je formalno priznanje osobnih kompetencija u poboljšanju performansi organizacije. • Prema anketama plaća objavljuju časopis Quality progress u posljednjih pet godina, certlficirani profesionalci imaju prosječnu plaću znatno veću nego njihovi kolege koji nisu certificirani. Služba za korisnike Kornertfcn pua^ja i prituzoe PECB Kako bi se osiguralo vlastito zadovoljstvo i stalno poboljšanje treninga, pregled i certifikaciju procesa, PECB Služba je uspostavila sustav za podršku "Internet ticket" sistem za rješavanje pritužbi i usluga za naše klijente. Kao prvi korak, pozivamo vas da se situaciju prvo raspravite s vašim trenerom. Ako je potrebno, ne ustručavajte se kontaktirati glavnu osobu organizacije za obuku u kojoj ste registrirani. U svim slučajevima, ostajemo na raspolaganju da arbitriramo o svim sporovima koji bi mogli nastati između vas i tih stranaka. Da biste poslali komentare, pitanja ili pritužbe, molimo otvorite "ticket" na PECB internetskoj stranici u rubrici Kontaktirajte nas. Ako imate prijedloge za poboljšanje PECB-ovih materijale za obuku, željeli bismo čuti od vas. Čitamo i procjenjujemo svaki prijedlog naših članova. Molimo otvorite "ticket" usmjeren na Odjel za obuku na PECB internetskoj stranici u rubrici Kontaktirajte nas. U slučaju nezadovoljstva s treningom (trener, učionica, oprema, itd.), pregleda ili procesa certifikacije, otvorite "ticket" pod "uložiti žalbu" kategorije na PECB internetskoj stranici u rubrici Kontaktirajte nas. Tjedni raspored Dan 1: Uvod u ISO 31000 i program upravljanja rizikom •Sekcija 1: Ciljevi i struktura treninga •Sekcija 2: Koncept i definicije povezane sa upravljanjem rizika •Sekcija 3: Norme, okviri i metodologije upravljanja rizikom •Sekcija 4: Implementacija okvira upravljanja rizikom •Sekcija 5: Razumijevanje organizacije i njenog konteksta Dan 2: Identifikacija I procjena rizika, evaluacija rizika, tretman, prihvaćanje, i komunikacija prema ISO 31000 •Sekcija 6: Identifikacija rizika •Sekcija 7: Analiza i evaluacija rizika •Sekcija 8: Tretman rizika •Sekcija 9: Prihvaćanje rizika i upravljanje preostalim rizikom •Sekcija 10: Komunikacija i savjetovanje rizika •Sekcija 11: Nadzor i revizija rizika Dan 3: Metodologije procjene rizika prema IEC/ISO 31010 i ISPIT •Sekcija 12: Metodologije upravljanja rizikom (dio 1) •Sekcija 13: Metodologije upravljanja rizikom (dio 2) •Sekcija 14: Prijava za certifikat i završetak treninga •Ispit za "Certificirani ISO 31000 menadžer rizika" (2 sata) PITANJA? 9 f 1 : f ? 9 II PECB Sažetak sekcije: 1. Glavni cilj ove obuke je stjecanje kompetencija za sudjelovanje u provedbi programa upravljanja rizicima prema normi ISO 31000. 2. Uspjeh treninga temelji se na uključenosti sudionika (iskustva, povratne informacije, diskusije, vježbe, itd.). 3. Završni ispit je otvorena knjiga-2-satni ispit i usmjeren je na razumijevanje koncepata upravljanja rizikom primijenjenih na konkretne slučajeve. Certificirani ISO 31000 menadžer za rizike Sekcija 2 Koncepti i definicija rizika a. Koncgptl rtitka b. Znanstvena definicija rizika c. Rteik i statistika d. Prillk« rizika e. Percepcija rizika f. 11 principa iipravijania riđtem g„ Prednosti upravljanja rizikom PECB Vježba 1 Mitovi i stvarnost - Upravljanje rizikom PECB Za svaku od sljedećih tvrdnji, odrediti ako smatrate da su istinite ili lažne i obrazložite svoj odgovor: 1. Danas su organizacije izloženije rizicima nego prije 25 godina 2. Rizik ne može postojati bez opasnosti 3. Možemo predvidjeti većinu rizika 4. Rizik je prvenstveno stvar percepcije 5. Moguće je u potpunosti eliminirati rizik 6. Dobar menadžer zna riskirati 7. Analiza rizika je uvijek subjektivna 8. Kvantitativna analiza rizika pruža relevantnije rezultate od kvalitativne analize 9. Kultura rizika priznaje pravo na pogreške 10. Rizik može biti pozitivan (mogućnost) ili negativan (opasnosti) za organizaciju. Trajanje vježbe: 20 min Komentari: 15 minuta Koncepti rizika Rizik je prisutan u svakoj ljudskoj aktivnosti — Prelazak ulice ^.„^ .... . — Investiranje u dionice ' ■ - j — Promjena poslodavca ^jggP' — Odlazak na godišnji f ^ — Sportske aktivnosti tttita.«. __^ Upravljanje rizikom provodimo stalno, svjesno ili nesvjesno, donošenjem odluka Upravljanje rizikom je ključni process u upravljanju poslovanjem kao stoje i za pojedinca Intuitivno, ljudi redovito donose važne odluke, čak i one važne, o njihovoj osobnoj sigurnosti i dobrobiti. Bilo u jednostavnim situacijama, primjerice prelazak prometne ulice, ili više složenih problema na njihovu financijsku sigurnost ili o zdravstvenoj skrbi, pojedinci procijene rizike i usvoje tijek akcije. Ovi izbori se naprave gotovo u trenu, gotovo nesvjesno, s najmanje formalne analize. Rizik ISO 31000, točka 2.1 Definicija: Efekt nesigurnosti na objekte 1. Pozitivan pogle Potencijalna dobit 2. Neutralan pogled Vjerojatnost događaja 3. Negativan pogled Štetan događaj PECB U popularnom govoru, pojam rizika povezane je s različitim razlozima (događaj je ocijenjen kao negativan, prijetnja, njegova vjerojatnost pojave i / ili utjecaja). No, događaji mogu imati pozitivan utjecaj, negativan utjecaj ili oboje. Oni mogu jednostavno imati "neutralan" stav kao znanstvenik i da događaj ne trenira bilo procjena vrijednosti. Na primjer, meteorolog najavljuje da postoji 80% šanse kiše u narednom tjednu. Dakle, rizik od kiše je neutralan sam po sebi. To je dana činjenica. Za pojedinca koji želi uzeti odmor, to je štetna događaja. Za poljoprivrednika koji čeka za navodnjavanje svojih polja, to će biti prilika. Važna napomena: • ISO 31000 definira učinak kao odstupanje od očekivanog - pozitivno i/ili negativno. • Nesigurnost je stanje, čak i djelomično, nedostatak informacija vezanih za razumijevanje, ili znanje o događaju, njezina posljedica, ili vjerojatnosti. • Ciljevi mogu imati različite aspekte (kao što su financijski, zdravlje i sigurnost, te ciljevi zaštite okoliša), a mogu se prijaviti na različitim razinama (kao što su strateški, na razini cijele organizacije, projekta, proizvoda i procesa). Uobičajena definicija riječi Rizik Vjerojatnost štetnog događaja i mogućnost postojanja pnjetnje koja je više ui manje precvidijiva može utjecali na ciljeve organizacije. Rizik dolazi od talijanske srednjovjekovne , sv v riječi"risim" što znači litica, stijena, koja > .; '> se koristila za opisati pogibelj na moru od strane vodećih osiguravajućih društava \ Postoje desetine različitih definicija pojma rizika. Pojam rizik uvelike varira od jedne discipline do druge, iz jednog doba u drugo. U svojoj knjizi, "Protiv Bogova: Nevjerojatna priča o riziku", Peter L. Bernstein je rekao: "Kockanje na burzi kroz rulet i poker, muškarci su oduvijek igrali, kladili se, uzimali rizik, ali stavovi prema riziku dramatično su se promijenili - od straha gubitka svake nade za pobjedu na natječaju do sudbine sofisticirane prognoze vjerojatne budućnosti . Uglavnom, iza svih teorija rizika i poduzimanja odlučivanja, otkrivene su duboke vrijednosti svakog društva." Rizici i prijetnje Primjeri Događaj koji ima negativan utjecaj je rizik koji bi mogao ometati stvaranje vrijednosti ili uništiti postojeću vrijednost organizacije. Dakle, negativni rizik je obično povezan (ili uvjetovan) s prijetnjom. Napomena o terminologiji: obično definiramo pojam "opasnost" kao kategoriju rizika, gdje je ugrožen fizički integritet osobe. Znanstvena definicija rizika Rhikje matematski! fuJik^ijn očekivanja vjn.'osatnu^i događaja, • Svaki događaj koji će se dogoditi sa vjerojatnosti manjom od 100%, postoji rizik • Efektivan sustav upravljanja rizikom može smanjiti nesigurnosti i predvidjeti budućnost (ne proreci) • Kako bi bili spremni za budućnost, trebamo pouzdane podatke kao: •^Povijesne podatke — Simulacije stohastičkih modela Do doba renesanse, budućnost u očima ljudi je bilo samo pitanje da li se radi o slučajnosti ili zbog sudbine pod kontrolom božanskih sila ili nekog kulta. Pri donošenju odluke o budućnosti, ne konzultiraju se statističari nego proroci. Hoću li pobijediti s kockicama? Trebam li ići u rat? Prije bilo donošenja odluka moralo se znati hoće li bogovi biti na našoj strani. Prvu znanstvenu definiciju rizika je dao je 1738 matematičar Daniel Bernoulli u "Specimen theoriae novae de mensura sortis" "Rizik je funkcija matematičkog očekivanja vjerojatnosti događaja." Jednostavnije rečeno, to je prosječna vrijednost od posljedica događaja ponderiranih po vjerojatnosti. Od tog vremena, statističari i znanstvenici općenito traže razmjere događaja kako bi mogli predvidjeti njihovu učestalost. izračun rizika me vieroiat-iosti Kod bacanja novčića može se predvidjeti da postoji 50% vjerojatnosti za pogrešku U suprotnosti, predviđati da kod bacanja novčića milijun puta, 500.000 puta će pasti sa licem dole sa tolerancijom od +/-1%, rizik greške je skoro jednak nuli ■ Predvidjeti trendove u budućnosti sa velikom sigurnosti ■ U suprotnosti, ne možemo predvidjeti (ili proreći) sljedeći Logično, pojedinci i organizacije traže načine kako bi bolje definirati i predvidjeti rizik. Po prirodi, većina ljudi imaju averziju prema riziku. Veliki broj ljudi voli doći do svoje zarade sigurno, prije nego doći do veće zarade s nekim rizikom. Na primjer, je li bolje dobiti 100 dolara na siguran način, umjesto imati 1/10 šansu za dobiti $ 1000, čak i ako je matematičko očekivanje isto u oba scenarija. U istom primjeru, neki ljudi će radije primiti 80 dolara na siguran način, umjesto izgleda od 1/10 za $ 1000, iako je matematičko očekivanje važnije u drugom scenariju ($ 100 protiv $ 80 dolara). Ova odluka je racionalno za osobu koja ima veliku averziju prema riziku. Suprotno tome, da li će promijeniti odluku, ako osigurani iznos padne na 70 dolara? 50 $? ... Ili čak 20 dolara? Ovo zadnje pitanje dovodi nas do koncepta premije rizika i pojma prilika. Rizik I. statistika Primjer Na. primjer, statističko istraživanje je pokazalo da 2% zaposlenika prilaže barem jedan falsificirani dokument pri zaposlenju: — Firma sa 10.000 zaposlenika može zaključiti da će biti suočena sa 200 Internih slučajeva 3K Ali ne može reći koje će oni biti ... Jedan od problema u upravljanju rizicima je nesigurnost stupnja izloženosti i stoga su nepovoljne posljedice su često nesigurne, i naše vlastito (ne) razumijevanje tog rizika utječe na vjerojatnost. Na primjer, prisutnost prometnog znaka koji ukazuje na opasan zavoj, ponekad je dovoljno da se značajno smanjiti ili čak eliminirati nesreća u zavoju. Osim toga, nakon što izbjegavati rizik, i iako smo sigurni da postoje vrlo stvarne uzroci rizika za organizaciju, nije jasno da je stvaran rizik retroaktivan, ako nema zabilježenog štetnog učinka. Dakle, u gornjem primjeru, odsustvo bilo kakve nezgode može dovesti do osporavanja svrhe prometnog znaka kao "tamo se nesreće ne događaju", ili čak i ukloniti ga. Dakle, čak i ako rizik ima statističke karakteristike, smanjenje rizika na određenu razinu može biti pogrešno. Takav pristup može zamagliti odrednice njegovog nastanka, a kontekst potreban za rizik može izazvati incident. Prilike rizika / Opportunities of Risk • Scenariji rizika mogu predstavljati prilike za organizaciju • Princip je baziran na najvećem riziku, povećanje ili dodatni benefit može biti očekivan pri sudjelovanju u riskantnijim aktivnostima • Na primjer, implementacija softvera u BETA verziji: Veći rizici (bug-ovi, nekompatibilnost sa ostalim aplikacijama, neiskusno osoblje, itd. ...) •k Očekivano povećanje produktivnosti nije ispunjeno. Treba biti više Kao što je ranije spomenuto, rizik se općenito definira kao neizvjesni događaj ili stanje čija realizacija može imati negativan utjecaj. Uvođenjem pojma "mogućnost", omogućuje organizacijama da identificiraju uvjete ili neizvjesne događaje koji, ako se ostvare, imaju pozitivne posljedice. Organizacije trebaju usko gledati na takve scenarije i rizike koji imaju pozitivnu tendenciju kako bi osigurali da u potpunosti iskoristite mogućnosti koje će biti predstavljene bez ugrožavanja njihove sposobnosti da ispuni svoju misiju. Uzimajući u obzir širok raspon mogućih događaja, uprava može proaktivno poboljšati sposobnost prepoznavanja i iskorištavanja mogućnosti. Upravljanje rizicima pruža priliku da se učinkovito odgovori na rizike i prilike povezane s nesigurnostima koje organizacija susreće, čime se povećava sposobnost stvaranja vrijednosti za organizaciju. Strategija upravljanja rizikom Pristup integriranjem različitih pristupa St!iltfljl|."t Up'i1Vi|ct.M|il ličkim Pun iju 11 Maksiffia'iati povrat iftV8Sticij$ vosfaćl račun« o rasama * Rfclwati Investiranjem u projalte sa visokim prinosom kontrolom rtđra izra&snati ¥jsiojaJr»stl razKih scenarija raka 1 Ns&or tehnologija, rtaskotl * Izbjeći, |»fenf©ti, sasanjsti II odi&v aiš identificirane rkiks » tebj#ga«# n«si§Mmih tehnologija. imjjismertlacp kontrola, osiguranje protiv Incidenata Sa slabim upravljanjem rizika, organizacija kreira rizike. Međutim, efektivno upravljanje rizikom dopušta predviđanje rizika I pretvaranje rizika u prilike. Percepcija rizika Također stvar pc.^jxre A k ► r Motocikl Bicikl 13.8 M M. Automobil Autobus .AviCV' :>;a'::h.; 0.7 0.035 PECS Percepcija i procjena rizika je nešto vrlo subjektivno, pa čak i iracionalno, te ovisi o tome kako pojedinac percipira situaciju. Dakle, percepcija rizika ne mora uvijek odgovarati činjenicama. Rizici povezani s različitim načinima prijevoza su izvrstan primjer razlika između stvarne opasnosti i percipiranog rizika. Unatoč činjenici da je putovanje avionom najsigurnije, mnogi ljudi i dalje imaju suprotnu percepciju, misleći da je prijevoz automobilima sigurnije. Psihološka istraživanja nastoje objasniti da što pojedinac manje osjeća da ima kontrolu nad situacijom, on će više percipirati stanje rizično. Dakle, vozač u automobilu može (ponekad) djelovati na moguću situaciju nesreće. U zrakoplovu, on će biti sudionik bez utjecaja u slučaju problema. U modulu o komunikaciji rizika vidjet ćemo da koncept percepcije rizika treba uzeti u obzir u provedbi našeg programa komunikacija. Definicija rizika ISO 31000, točka 2,1 • Definicija: Efekt nesigurnosti na ciljeve • Bilješka: rizik je čest: a* Izraženo u izrazima kombinacije posljedice događaja i vjerojatnosti pojave a* Pridruženo sa potencijalom da prijetnje iskoriste ranjivosti Imovine ili grupe imovine te kao takvi uzrokuju štetu organizaciji Kao što je rečeno u uvodu, učinak je odstupanje od očekivanog. To može biti pozitivno i/ili negativno. To je pitanje percepcije od strane ljudi na koje utječe. 11 principa upravljanja rizikom ISO 31000, točka 3 Upravljanje rizikom kreira I čuva vrijednost Upravljanje rizikom doprinosi ispunjenju ciljeva i pokopavanju performansi na ptimfsf zdrave IjmJ} t sigurnost sigurnost, sukladnost za atoiiroa, javno prihvaćanja ?ašwa okoliš kvarteta proimda, uaravijarsfe pioj«Js»n» efektivne«? u radu, reputacija Upravljenje rizikom Je Integralni dio svih procesa organizacije Upravljanje rizikom nije samostalna aktivnost fcsja je odvojena «l aUvnosu i procesa ofeawawate Upravljanja riztaa je dio odgovornosti uprave i intejjrwB* »h procesa wganaaote, sftijuf strate&o planiraste I sve projekte te procesa upravljanje prcwnjemsms. Upravljenje rizikom Je dio donošenja odluka Upravljanje mitom pomaže donosiocima odM» da donesu odluke baarww namfwmacoww. pfrortitetaju ar jt i razlikuju atemativrie akcije Upravljenje rizikom se isključivo cilja na nesigurnost Uprava* tlakom isključivo tama u otoar rwayumoss, porodu te nesigurnost, !e kako se može pristupiti istoj PECB 11 principa upravljanja rizicima Upravljanje rizikom je sistematici, strukturirano I vremenski Ri*»«naKfa vtemensKi i sttwcuiurt p.-!*u» uprav janju nakom ftumnost stasao«!« i konaawnfnim ' ?cuW«nsm fxxteurrw Upravljanje rizikom Je temeljeno na najbolje dostupnim Informacijama i. ai u cot«.« up>3V(an,a tacna se r.» ziooru srsfcrir-acp kao Sto su pcwsn swdacs isKustva povratne '55.<J| <I'"-iS SV^IOA- I -»Siti« i«? ,! f».U!l(t»* M^jutat1 SffliiKa Ml Ofe^Vi^StetM »rieSiSji! uia« rt: n -/yyjtrcV tailaMnja »Su ^<utfi;sc*»a Upravljanje rizika Je prilagođeno Upravf&nje rintam je usMađfer® sa vanptam" «w««ntni wtwaxsa aeanzacue *profilomtiaka Upravljenje rizikom uzima u obzir ljudske i kulturološke faktore UpMv|4ni» ij^cot R<ixw*>a{e pet<:>w/e r iwrr^ete unutamjm i y»niskih osoba koce mogt« oteMž?) rt •JCI Kiili or,Nii!i/<i'i|c cijevi - _ , m 11 principa upravljanja rizicima i SO 31000, ločki i Upravljanje rizikom Je transparetitno I uključivo Appropriate and timely involvement of siakehoWen and, in particular decision maters at «ll tevets of the organization, ensures that risk management remains relevant and up-to-aate Involvement also allows stakeholders to fee property rapteserted and so nave their wm taKesi into account in detgmwng tisk criteria Upravljapje rizicima je dinamično, Iterativno I na promjene Upravljani« rt atom tontmuirar® osseca t reag<ra na promjene Kada « dogodi vanjski ij unutarnji đagai&t. mijesifaj« se koraetef i znanje, poftebno p provesti nftdsx % few ap nafca, isto toko« kaste se dog«* rlzfc, neke promjene te kada rizici nestanu \ Upravljanje rizicima olakšava stalno poboljšanje organizacije Organizacije vebaju salvia i unpiemetirMi strategije za poboljšanje njihovog opravljanja rtzltiftta -asajeđrta sa svim aspektima organizaciji Prednosti upravljanja rizikom i! . 3d Potiče pro-aktivno upravljanje Podiže svjesnost potrebe za identificiranjem i tretmanom rizika kroz cijelu organizaciju Poboljšava identifikaciju prilika i prijetnji Usuglašava sa zakonskim zahtjevima i unutarnjim normama Poboljšava obavezno i dobrovoljno izvještavanje Poboljšava upravljanje Povećava povjerenje i vjerovanje dionika Uspostavlja osnovnu bazu za donošenje odluka i planiranje Poboljšava kontrole Efektivno alocira i koristi resurse za tretman rizika Upravljanje rizicima omogućuje organizaciji kako bi se osiguralo da poznaje i razumije rizike s kojima se suočava. Upravljanje rizicima vodi organizaciju uspostavi i provođenju načine kako spriječiti ili smanjiti pojavu incidenata te da identificiraju rizike i prilike. Treba napomenuti da nije potrebno uložiti znatnu količinu novca da uživate u blagodatima programa upravljanja rizicima. Dobro upravljanje rizicima nije nužno skupo ili naporno. Sažetak poglavlja: 1. Rizik je svojstven svakoj ljudskoj aktivnosti. Intuitivno, ljudi redovito donositi važne odluke, čak i one važne, o njihovoj osobnoj sigurnosti i dobrobiti. 2. Postoje desetine različitih definicija pojma rizika. Pojam rizika uvelike varira od jedne do druge discipline, iz jednog doba u drugo. 3. U znanstvenim disciplinama, rizik se definira kao matematička očekivanja funkcija vjerojatnosti događaja. 4. Scenariji rizika mogu predstavljati mogućnosti za organizacije. Princip se temelji na premiji rizika, dobiti dodatne ili očekivanu korist od sudjelovanja u više rizične aktivnosti. 5. Percepcija i procjena rizika je vrlo subjektivna, pa čak i iracionalno, vezano na to kako pojedinac mora percipirati situaciju. Dakle, percepcija rizika ne mora uvijek odgovarati činjenicama. 6. Rizik je povezan s potencijalom da će prijetnja iskoristiti ranjivosti imovine ili skupine imovine i na taj način nanijeti štetu organizaciji 7. U nekim slučajevima, glavni problem je da ne povećavaju mogućnosti za dobitke, ali ograničavaju mogućnosti gubitka. 8. Upravljanje rizicima omogućuje organizaciji kako bi bili sigurni da zna i razumije rizike s kojima se susreću. Upravljanje rizicima vodi organizaciju ka uspostavljanju i provođenju načina kako spriječiti ili smanjiti pojavu incidenata te da identificiraju rizike i mogućnosti. Vježba 2 Implementacija upravljanja rizikom Molimo odrediti koje su glavne prednosti za vašu organizaciju kod provedbe upravljanja rizicima najbolje prakse. Kako mislite da norma ISO 31000 može biti korisna? Trajanje vježbe: 15 min Komentari: 10 minuta Certificirarii ISO 31000 menadžer rizika Sekcija 3 Norma i zakonodavni okvir a. Korma i metodologija b. ISO 31000 i ISO 81019 c. Predstavljanje ISO 81000 d. Proces upravljanja rizikom ■i peca Norma i metodologija Razlike Norma » Referentni dokument pokriva široko područje industrije * Bazirano na dobrovoljnom procesu odobrenom od prepoznate organizacije « Pruža smjernice ili specifikacije za aktivnosti • Odgovara primamo na "Zašto" ili "Što" * Stroga i formalizirana struktura ♦ Efektivno koristi resurse za postizanje željenog rezultata < Ovisi o alatima kao što su upitnici ili specijalizirani softver « Primarno odgovara na pitanje "Kako napraviti" ISO organizacija definira normu kao dokument odobren od priznatog tijela, koji je razvijen od strane konsenzusa stručnjaka industrije, te daje preporuke o dizajnu, korištenju ili izvedbi proizvoda, procesa, usluga, sustava ili osoba. Norme mogu biti razvijene od strane nacionalnih, regionalnih i međunarodnih organizacija za standardizaciju, te tvrtki ili drugih organizacija za vlastitu internu uporabu. Oni također mogu biti razvijen od strane ekonomskih konzorcija po pitanju ispunjavanja ekonomskih potreba pojedinih tržišta ili vladine agencije za podršku propisa. Metodologija je više usmjeren prema pronalaženju rezultata. Metodologija je skup načela, pravila i koraka, koji su strukturirani na način da se postigne željeni rezultat. iSYewftriemi STANDARD 31000 koju vrstu rizika, bez obzira na njegovu narav, bilo da ima pozitivne ili negativne ISO 31000, klauzula 1: Opseg Ova međunarodna norma daje načela i generičke smjernice o upravljanju rizicima. Ova međunarodna norma se može koristiti od strane bilo javnog, privatnog ili zajednice poduzeća, udruge, skupine ili pojedinca. Dakle, ova međunarodna norma nije specifična za bilo koje industrije ili sektore. NAPOMENA: Radi lakšeg snalaženja, svi različiti korisnici ove međunarodne norme nazivaju se općim pojmom "organizacije". Ova međunarodna norma može se primijeniti tijekom života organizacije, te širok drugi spektar aktivnosti, uključujući strategije i odluke, operacije, procese, funkcije, projekate, proizvode, usluge i imovinu. Ova međunarodna norma može se primijeniti na bilo koju vrstu rizika, bez obzira na njegovu narav, bilo da ima pozitivne ili negativne posljedice. lako je ova međunarodna norma daje generičkih smjernice, ne namjerava promicati jedinstvo upravljanja rizicima među organizacijama. Dizajn i implementacija planova upravljanja rizicima i okvira morati uzeti u obzir različite potrebe određene organizacije, svoje posebne ciljeve, kontekst, strukturu, operacije, procesa, funkcije, projekti, proizvodi, usluge ili imovinu i konkretne prakse zaposlenih. Namjera je da se ova međunarodna norma može iskoristiti za usklađivanje procesa upravljanja rizicima u postojećim i budućim normama. To omogućuje zajednički pristup u prilog normi koje se bave određenim rizicima i / ili sektorima, a ne zamijeniti te norme. Ova međunarodna norma nije namijenjena za potrebe certificiranja. Struktura riorme ISO 31000 a) s-tvra i ftwa vn|»xin<>?t b) Wegrira^ dm pr-xesA oigariMor? t) D.o J donoSergu oJHsM ' 1> toifito na e} iSfelwiMKK. sSwKttfifano i wemensto fj TWP^WI i nd "MjtKi&m dKtupnm nfcwmacitama i gl Prilagođen© hi Uz>n$ u 0t>2ii i hUtufo«ik» 'aMore >} TMnnpar^r« «ukif.e<va ,! itMdt.vrw i M OtafcSava state pcsbot}§ante o'Sfanist.ijd Principi (todka; C V Procjena rizika Jj-- 7 1 4 * ill . I mm 4* __-JWI ItsBwarsetacMS Okvir (točka 4j f 1 'ir-.kaSJ ISO 31000, točka 2.3: okvir za upravljanje rizikom Set komponenti koje pružaju temelje i organizacijske pripreme za izradu, provedbu, praćenje, pregled i kontinuirano poboljšanje upravljanja rizicima u cijeloj organizaciji NAPOMENA 1 Temelji uključuju politiku, ciljeve, mandat i predanost za upravljanje rizicima (2.1). NAPOMENA 2 Organizacijsko uređenje uključuju planove, odnose, odgovornosti, resurse, procese i aktivnosti. NAPOMENA 3 Okvir za upravljanje rizicima je ugrađen u strateške i operativne politike i prakse organizacije. ISO 31000, točka 4.1: Okvir- Općenito Uspjeh upravljanja rizikom ovisit će o učinkovitosti okvira za upravljanje koji pruža temelje i aranžmane koji će ga ugraditi u cijelu organizaciju na svim razinama. Okvir pomaže u upravljanju rizicima učinkovitije primjenom procesa upravljanja rizicima (vidi klauzulu 5) na različitim razinama I u određenim kontekstima organizacije. Okvir osigurava da informacije o riziku proizlaze iz procesa upravljanja rizicima na izvještavaju na odgovarajući način i koriste se kao temelj za donošenje odluka i odgovornost na svim relevantnim ustrojstvenim razinama. Ovaj članak opisuje neophodne komponente okvira za upravljanje rizikom i način na koji oni međusobno povezuju u iterativni način, kao što je prikazano na slici 2. Ovaj okvir ne namjerava propisati sustav upravljanja, nego treba pomoći organizaciji za integraciju upravljanja rizicima u cjelokupni sustav upravljanja. Stoga, organizacije trebaju prilagoditi komponente okvira njihovim specifičnim potrebama. Ako postojeće prakse upravljanja organizacije i procesi komponenti upravljanja rizikom ili ako je organizacija već usvojila formalni proces upravljanja rizicima za pojedine vrste rizika ili situacije, onda to treba biti kritički preispitano i ocjenjeno prema ovoj međunarodnoj normi, uključujući i atributima sadržanih u Dodatku A, kako bi se utvrdila njihova prikladnost i učinkovitost. Oluja mozgova Strukturirani ili poiustrufciurirani razsowrt OA liste Primarna analiza hazarda Hazard and oporability studies (HAZGP) Anateta hazarda kritičnih kontrolnih toCaka (HACCP) Procesna rizika oko&s Struktura « Sto ako? * (SWIFT) Analiza scenarija Analiza poslovnog u^ecafa Korijenska analiza uzroka Analiza učinka neuspjeha Analiza stibta grešašca Anatea sta&fe događifa Analiza uzroka ipos|6<3iea Aneta uzrok-efetef layer protection analysts (tOPA) Štafeto odluka Analiza pouzdanosti osoba Analiza "Leptir mas&mca* Održavanje usmjereno na pouzdanost Sneak circuit analysis Markov analiza Monte Carta stmuiacija Bayasiw statistika and Bayes FN kwuije Indeksi fizika Matrica Pošalica . Vjerojatnost Analiza IroSakđotMt (Cosfc'benetđ) Anasza rnuttHtfiteniskit? odluka (MCDA) ISO 31010, točka 1: Opseg Ovaj međunarodna norma je nosiva norma za ISO 31000 i daje smjernice o odabiru i primjeni sustavnih tehnika za procjenu rizika. Procjena rizika provodi se u skladu s ovom normom doprinosi drugim aktivnostima upravljanja rizicima. Uvodi se primjena niza tehnika, s posebnim referencama na druge međunarodne norme, gdje su opisani koncept i primjena tehnika detaljnije. Ova norma nije namijenjena za certificiranje, regulatome ili ugovornu uporabu. Ova norma ne propisuje posebne kriterije za utvrđivanje potreba za analizu rizika, niti određuje vrstu metode analize rizika koja je potrebna za određenu primjenu. Ova norma se ne odnosi na sve tehnike, a izostavljanje neke tehnike iz ovog standarda ne znači da ne vrijedi. Činjenica da se metoda primjenjuje za određenu okolnost ne znači da se nužno treba primijeniti ta metoda. ISO 31010: Tehnike procjene rizika • Standard podrške za ISO 31000 • Daje smjernice za odabir l primjenu sistemskih tehnika za procjenu rizika • Nije namijenjena za svrhu certifikaclje INTERNATIONAL ISO 31000, Norma ili metodologija? ISO 31000 • DAJE SMJERNICE ZS UPRAVLJANJE RIZIKOM * NE DAJE ODREĐENU METODU ZA UPRAVLJANJE RIZIKOM NEKOLIKO POSTOJEĆIH METODOLOGIJA SE MOGU KORISTITI PECB ISO 31000 familija j'i < i)1SO 31000:2009; Principi i smjernice za implementaciju (;#^ISO/iEC 31010:2009; Upravljanje rizikom - Tehnike procjene rizika ...... • ISO Guide 73:2009; Upravljanje rizikom - Rječnik ' ' - -' V - eWbc.T .. ' . " . A " Povijest normi za upravljanje rizikom 1991 — 2011 ^liSliiliilis aHHHHk P t,S* fC'j-tRM 3002 30 2082 NS 5814:1391 PECB NS 5814:1991, Requirements to Risk Analyses (Norwegian Standard: Krav til risikoanalyser) NIST 800-30:2002, Risk Management Guide for Information Technology Systems IRM:2002, A Risk Management Standard (The Institute of Risk Management) AS/NZS 4360:2004, Risk Management Standard (Australian/New Zealand Standard) C0s0:2004, Enterprise Risk Management - Integrated Framework (The Committee of Sponsoring Organizations of the Treadway Commission) BS 31100:2008, Code Of Practice For Risk Management (British Standards) ISO 31000:2009, Risk Management - Principles and guidelines (International Organization for Standardization) ISO/I EC 31010:2009, Risk management - Risk assessment techniques ISO Guide 73:2009, Risk management — Vocabulary ISO/IEC 27005:2011, Information security risk management 5SO 3'000 2000 S«M)OĆuiiiCi iSO Guiae ?3 i tSOrtEC $1010) NIST 800-30:2002 national Institute of Science and Technology - Vodič upravljanja rizikom za IT sisteme - Razvijeno od NIST-a - Srpanj 2002 Ovaj dokument je razvijen od strane NIST u cilju svojih zakonskih obveza prema Zakonu o Computer Security 1987 i Zakona o Information Technology reforme upravljanja iz 1996. NIST 800-30 Cilj upravfjarja nziKO'ii ci^cg^ćav^^-c organizaciji da ispuni svoju misiju, sa: • Bolje osiguravanje II sistema • Omogućavanje upravi da donosi odluke bazirane na dobrim informacijama • Pomaže upravi u odobravanju IT sustava na temelju popratne dokumentacije koja proizlazi iz upravljanja rizikom PECB NIST 800-30 Struktura vodiča Pregled upravljanja rizikom - Kako se uklapa u životni ciklus razvoja sistema (SDLC) - Uloge pojedinaca koji podržavaju i koriste ovaj proces Metodologija upravljanja rizikom - devet primarnih koraka u provođenju procjene rizika Proces smanjenja rizika - opcije i strategija smanjenja rizika, - pristup za implementaciju kontrola, - kategorije kontrola, analiza cijena-dobit i preostali rizik. Tijekom evaluacije rizika - dobra praksa potrebna za vrednovanje i procjenu rizika - faktori koji će dovesti do uspješnog programa upravljanja rizicima mmMMB NIST 800-30 pruža temelj za razvoj učinkovitog programa za upravljanje rizicima, koji sadrži obje definicije i praktične smjernice potrebne za procjenu i ublažavanje rizika identificirati u IT sustavima. NIST 800-30 9 l-omka mecedoogtje promjere rzika Korak 1 Karakteristike sistema Korak 2 Identifikacija prijetnji Korak 3 Identifikacija ranjivosti Korak 4 Analiza kontrola Korak 5 Određivanje vjerojatnosti Korak 6 Analiza posljedica Korak 7 Određivanje rizika Korak 8 Preporuka kontrola Korak 9 Dokumentiranje rezultata PECB AS/NZS 4360:2004 Australia Standard/New Zealand Standard • pripremili Joint Standards Australia / Standards New Zealand Committee OB-007 • Zajednički tehnički odbor uključujući računala, osiguranje, profesionalno zdravlje, financije, vladu, ekonomiju I akademske predstavnike • revizija AS/NZS 4360:1999, Upravljanje rizikom • HB 438, Smjernice upravljanja rizikom - Prati AS/NZS 4360:2004 PECB AS / NZS 4360 pruža generičku vodič za upravljanje rizikom. Ova norma može se primijeniti na vrlo širok spektar aktivnosti, odluka i djelovanja bilo javnog, privatnog i zajednice poduzeća, grupe ili pojedinca. HB 436, Smjernice za upravljanje rizicima - Companion AS / NZS 4360: 2004 sadrži posebne upute o provedbi norma. Ta dva dokumenta su namijenjena za upotrebu zajedno. AS/NZS 4360 Opseg i primjena • Primjenjivo na širok raspon aktivnosti ♦ Generički i nezavisan za bilo koju industriju ili sektor * Definira elemente procesa upravljanja rizikom * Ne provodi uniformiranost sistema upravljanja rizikom AS/NZS 4360 Proces iipt8¥;j8t)j3 fizikom opseg ctiew unutatnp lvanpfci patarwfe kitted rata. ml Pf«>«-J a»sdi i a\đ-ija pi t » main n^huv *ii * I tjraavsrt: <rr*e * ma ^(fljife •<fa| f(\j a } W i i f« i me iw a * (fđl h r »ifrt « i «t «>te ■Mai Efektivna unutarnja i vanjska komunikacija II^BhI ♦ ftrt <M i rjh r« a * t <>■ m -t idt1 « ' > I Uu, k n j dt J postoje® fcMnk BBBBB «pr«cjws i v»»jat»sB Cw i»>n»* t> mrtf itt fm »<v«Mfr I AS/NZS 4360...................................................... Prednosti • Odluke i planiranje se donose temeljem većeg povjerenja i strogoće; • Bolja identifikacija prilika i prijetnji; • Stjecanje vrijednosti iz nesigurnosti i promjenjivosti; • Proaktivno upravljanje prije nego reaktivno upravljanje; • Efektivnije alociranje i korištenje resursa; • Poboljšano upravljanje incidentima i smanjenje gubitaka i cijena rizika, uključujući premije osiguranja; • Poboljšano samopouzdanje i povjerenje dionika; • Poboljšana sukladnost sa relevantnom legislativom; i • Bolje korporativno upravljanje PECB "j O Z_ COSO ERM:2004 Committee of Sponsoring Organizations > 1992, COSO - Unutarnja kontrola (l/C) -Integrirani okvir > 2004, COSO - Upravljanje rizikom organizacijama (ERM) - Integrirani okvir > 2012, COSO - ERM Upravljanje rizikom u praksi PECB Odbor sponzoriranje organizacija (COSO - Committee of Sponsoring Organizations) je dobrovoljna organizacija privatnog sektora koja pruža smjernice za izvršni menadžment i upravljanja subjekata prema uspostavi učinkovitije, učinkovite i etičkim poslovanje na globalnoj razini. U 2001. godini, COSO pokrenuo projekt, a bavi PricewaterhouseCoopers, za razviti okvir koji bi lako uporabila uprava za procjenu i poboljšanje upravljanja rizicima svojih organizacija. Poslovnih skandali visokih profila i neuspjesi doveli su do poziva za poboljšano korporativno upravljanje i upravljanja rizicima. Kao rezultat toga donesen je Sarbanes-Oxley Act. Ovaj zakon proširuje dugogodišnje zahtjeve za javna poduzeća za održavanje sustava interne kontrole, koji zahtijevaju potvrdu uprave kao i ocjenu neovisnog revizora koji svjedoče o učinkovitosti tih sustava. Unutarnja kontrola - integrirani okvir i dalje će služiti kao široko prihvaćena norma za zadovoljavanje tih obveza izvješćivanja; Međutim, u 2004. godini COSO je objavio Enterprise Risk Management - Integrirani okvir. COSO smatra da se ovaj okvir proširuje na unutarnju kontrolu, pružajući više robustan i opsežnog fokus na širu temu upravljanja rizicima u poduzeću. Ostali Radovi na ERM: - Enterprise Risk Management for Cloud Computing. (2012) - Enhancing Board Oversight by Avoiding and Challenging Traps and Biases in Professional Judgment (2012) - Enterprise Risk Management - Understanding and Communicating Risk Appetite (2012) - Embracing Enterprise Risk Management: Practical Approaches for Getting Started. (2011) - Developing Key Risk Indicators to Strengthen Enterprise Risk Management. (2011) - Board Risk Oversight - A Progress Report: Where Boards of Directors Currently Stand in Executing their Risk Oversight Responsibilities. (2010) - COSO's 2010 Report on ERM: Current State of Enterprise Risk Oversight and Market Perceptions of COSO's ERM Framework (2010) - Strengthening Enterprise Risk Management for Strategic Advantage. (2009) - Effective Enterprise Risk Oversight: The Role of the Board of Directors. (2009) COSO ERM Framework Upravljanje rizikom organizacije "...je proces, pod utjecajem odbora direktora organizacije, uprave i drugog osoblja, primjenjuje se u okruženju strategije i preko organizacijet osmišljen kako bi identificirao potencijalne događaje koji mogu utjecati na entitet, upravljanje rizicima u okviru svojih apetita za rizikom kako bi osigurao prihvatljivo jamstva na ostvarivanju ciljeva:" PECB Drugim riječima, korporativno upravljanje rizicima definira se kao: - Proces, koji je u tijeku i teče kroz entitet - Pod utjecajem ljudi na svim razinama organizacije - Primjenjuje se u okruženju strategija - Primijenjena preko poduzeća, na svakoj razini i jedinica, a uključuje pogled portfelja rizika na entitetskoj razini - Dizajniran kako bi identificirali potencijalne događaje koji, ako se pojave, neće utjecati na entitet i upravljanje rizikom u okviru svojih sklonosti riziku / tolerancije - Mogućnost pružanja razumnog osiguranja (ne apsolutnu sigurnost) za upravljanje subjekta i uprave - Usmjerena na postizanje ciljeva u jednoj ili više odvojenih, ali se preklapaju kategorije COSO ERM Okvir Komponente okvira upravljanja rizikom organizacije » 8 komponenti« međusobnom odnosu i 4 kategorije poslovnih ciljeva , sve razine Me,3,jrafodnA oM'na organizacije Merffihacljs ctaoađaja Pro-.(f-r<\ ru'Ka <Wt}a,*v ni H-f.te m» Kontrolne aktivi 'Hfil Wormaoja i komunikacija " — Na ste« rfSJ1 1 «I 5 |pi- 2 o i' I » : S : £t € i Ui: COSO ERM...................................................... Zasic COSO CRiVP COSO ERM okvir pomaže u ostvarivanju prednosti: - Usklađivanje apetita za rizike i strategije - Identifikacija I upravljanje višestrukim među-organizacijskim rizicima - Poboljšanje odluka za odaziv na rizike - Smanjenje operativnih iznenađenja i gubitaka - Iskorištavanje prilika - Poboljšanje raspoređivanja kapitala PECB Section 3 : Standard and regulatory framework VČŠ \ Usporedba......ISO "31000i......COSO......ERM' Procjena rizika ISO 31000 Kontekst Identifikacija Analiza Evaluacija Tretman Konzultacije i Komunikacija Nadzor i revizija COSO ERM Podešavanje ciljeva unutarnje okoline Identifikacija događaja Procjena rizika i kontrolnih aktivnosti Odgovor na rizik Nadzor PECi ------------- ISO 27005 • Prilagodba ISO 31000 okvira informacijskoj sigurnosti • Usklađenost sa zahtjevima ISO 27001 • Odgovara na "Zašto" i "Što" kod upravljanja sigurnosti informacijske sigurnosti • Svaka organizacija mora odabrati metodologiju procjene rizika, prikladno svom djelokrugu ("Kako") PiCi ................................................................................ n ........................... MiMBlllilhllfllindflitlliMllfii^ ISO 27005, točka 1: Opseg Ova međunarodna norma daje smjernice za upravljanje rizikom informacijskih sustava. Ovaj međunarodna norma podržava opće pojmove navedene u ISO / IEC 27001 i je osmišljena je kako bi se pomoglo pri zadovoljavajućoj provedbi informacijske sigurnosti koja se temelji na pristupu upravljanja rizicima. Poznavanje pojmova, modela, procesa i terminologija opisanih u ISO / IEC 27001 i ISO / IEC 27002 je važno za potpuno razumijevanje ove međunarodne norme. Ovaj međunarodna norma primjenjiva je za sve tipove organizacija (npr. komercijalnih poduzeća, vladine agencije, neprofitne organizacije) koje namjeravaju upravljati rizicima koji bi mogli ugroziti sigurnost informacija organizacije. IKTEB.NATIOH«.L I90IEC STANDARD 2?0GS .....r v Proces upravljanja rizikom prema ISO 31000 <4- Proejena riilka Identifikacija rizika Analiza rizika Vrednovanje rizika I I Kao što je prikazano, proces upravljanja rizicima može biti iterativan za procjenu rizika i/ili aktivnosti za tretman rizika. Ako procjena rizika pruža dovoljno dokaza da se odrede radnje potrebne kako bi se smanjio rizik na prihvatljivu razinu, to ide izravno na provedbu mogućnosti tretmana rizika. Ako nema dovoljno informacija za određivanje razine rizika ili je razina rizika projicirane nakon tretmana je neprihvatljiva, nova iteracija procjene rizika će biti provedena na nekim ili svim točkama prijave domene. Učinkovitost tretmana može dijelom ovisiti o točnoj procjeni rizika. Moguće je da se postupak ne može izravno dovesti do prihvatljive razine preostalog rizika. U tom slučaju, nova iteracija procjene rizika treba biti napravljena. Rizik komunikacije s dionicima organizacije i praćenja rizika kontinuirano se provodi. PECB Okvir upravljanja rizikom V>.>ti » | —-„„L—__________________________I 4 iSITu uw<S*3iy» fete FfCI""""""""""""""" Razumijevanje organizacija je bitno prije početka procjene rizika. Glavni cilj ove prve aktivnosti je identificirati cjelokupni sustav kako bi se ocijenio i smjestio u unutarnjem i vanjskom okruženju. Poteškoća ove aktivnosti je točno razumjeti kako je organizacija strukturirana. Identifikacija unutarnjeg ustrojstva organizacije pomoći će razumjeti ulogu i značaj svakog odjela u procesu postizanja ciljeva organizacije. Dakle, tim za upravljanje može biti u mogućnosti lako identificirati relevantne dionike da se uključe u program upravljanja rizicima. Ona također omogućuje da se okupe svi potrebni podaci za planiranje studije i uspostave ciljeva organizacije. Upravljanje rizikom ISO 31000 Termin zikom (2.2Y .a*:---•ico.< = ■' {2.21) iha {2.24| a {2.25} :r i (2 1 ) Definicija bi se ■ je li rizik i / te da se peca ISO 31000: Sistematski pristup PPCAprxvs PECS Planiraj Uspo&iavi! process 'jp-faHjaaa riska--« Djeluj " jf. \ I \ ; 'svsđB-ati v K \ process s.pra»'l;žpja Napravi 4 % [ » i \ impie-vyjmra'.t { Process / >, / ilZtkCim Provjeri Upravljan i tomuntciran rizik Cjelovit pristup upravljanju rizicima je potreban kako bi se osiguralo da se implementirane kontrole u organizaciji provode radi ispunjenja ciljeva organizacije i one njegovih dionika. Norma ISO 31000 se temelji na sustavnom pristupu. Ova norma donosi model procesa "Planiraj-Napravi-Provjeri-Popravi (PDCA) - ili Demingov kotač. • U fazi "Planiraj", kontekst je uspostavljen, procjena rizika je napravljena i plan tretmana rizika je razvijen uzimajući u obzir definirane razine prihvaćanje rizika; • U fazi "Napravi", akcije i sigurnosne kontrole potrebne za upravljanje rizicima na prihvatljivu razinu se provode prema planu tretmana rizika; • U fazi "Provjeri", situacija vezana za rizike je praćena i preispitana; • U fazi "Popravi", napravljeno je kontinuirano poboljšanje procesa upravljanja rizicima. Upravljanje rizikom: Kontinuirani proces Promjene u unutarnjem i vanjskom okruženju relevantne za rizik m llll^Hl Kad« je potrebna Konl.ni urani process upravljanja rizikom Povijest rizika • Od početka pisane povijesti, kockanje - sama bit riskiranje - popularna razonoda i ovisnost. • U drevnoj povijesti, pojmovi na sreću i slučajnost su isprepletene s onom sudbina, Mnogi drevni ljudi bacali su kockice da odrede sudbinu, a to je kasnije evoluirao u igre na sreću. U isto vrijeme, većina drevnih kultura koriste razne metode proricanja pokušavajući zaobići termine slučajnost i sudbina, • Ali ozbiljno proučavanje rizika započeo tijekom Renesanse, kada su se ljudi otrgli od ograničenja iz prošlosti i zamijenili stara vjerovanje za otvorene izazove. PECI "Revolucionarna ideja koja definira granicu između modernog vremena i prošlosti je majstorstvo rizika: Ideja je u tome da je budućnost više od ćudi bogova i da muškarci i žene nisu pasivni pred prirodom. Za ljudska bića otkriće je put preko te granice, budućnost je ogledalo prošlosti ili tamna domena obećanja i proročice koja drži monopol nad znanjem za predviđanje događaja. „ - Peter Bernstein, Against the Gods: The Remarkable Story of Risk Povijest rizika * Postavljeni problem rizika od strane Chevalier de Mere, vjerojatno 1654, dovelo je do razmjene pisama Između dva poznata Francuska matematičara, Blaise Pascal i Pierre de Fermat * Korespondencija koja je uslijedila između Fermat i Pascal, je temeljna u razvoju modernih koncepata vjerojatnosti, * Zbog privlačnosti igara na sreću, teorija vjerojatnosti je postala popularna, te se počela brzo razvijati tijekom 18 stoljeća. PiCB Jacob Bernoulli "It is necessary only to calculate exactly the number of possible cases, and then to determine how much more likely it is that one case will occur than another* De Moivre's work, De Mensura Sortis (On the Measurement of Lots) is probably the first work that explicitly defines risk as chance of loss: "The Risk of losing any sum is the reverse of Expectation; and the true measure of it is the product of the Sum adventured multiplied by the Probability of the Loss" Jacob Bernoulli: "Potrebno je samo izračunati točan broj mogućih slučajeva, a onda bi se utvrdilo koliko je vjerojatnije da se dogodi jedan slučaj od drugog" De Moivre rad 'De Mensura Sortis' (On the Measurement of Lots) vjerojatno je prvo djelo koje eksplicitno definira rizik kao šanse za gubitak: "Rizik od iznosa gubitka je naličje očekivanja; a pravo mjerilo toga je produkt zbroja avantura pomnožen sa vjerojatnosti gubitka." Povijest rizika • Proučavanje upravljanja rizikom je počelo poslije drugog svjetskog rata. Upravljanje rizikom dugo je bilo povezivano sa osiguravajućim kućama koje su štitile organizacije od raznih gubitaka povezanih sa akcidentima • Industrija osiguranja kao najraniji "menadžeri rizika" bili su angažirani od strane mega korporacija, imali su samo posao vođena portfelja polica osiguranja PECB Povijest rizika • Ostali oblici upravljanja rizicima, alternative na tržištu osiguranja, pojavili su se tijekom 1950-ih godina kada tržište osiguranja percipiraju kao vrlo skupo i nepotpuno za zaštitu od čistog rizika * Uporaba derivata kao instrumenta upravljanja rizicima nastaju tijekom 1970-ih, a vrlo brzo su se proširili tijekom 1980~ihs kada su tvrtke intenzivirale upravljanje financijskim rizicima. Povijest rizika • Međunarodna regulativa rizika započela u 1990-im, a financijske tvrtke razvile su interne modele upravljanja rizikom i izračuna formule zaštite kapitala od nepredviđenih rizika i smanjenja jamstvenog kapitala. • Istodobno, upravljanje rizicima postaje bitno, uvedeno je integrirano upravljanje rizikom te su stvoreni prvi "oficiri za rizike" u tvrtkama PECB Sazrijevanje Kao posiovri proces tnhtis i Ttadneortatno swra vijanje Mkom fTftM"} Upravljanje n/skorn postaje i-<e pnhvaceno [<JH(N odjeW> 73 n»k<s, fokusrane oa I'tWlN Upravljan^ nikom sazrijeva kako se tvrtke fokusi raju na "poslovne rizike" OiJiđva COSO CRM Inteqmanog okw» tt/f ZaK.-n o slJsaf !"->tli, Ol TFCfA'} kfcuviw »tsmu v^ntsn.«* •^ata^alis 0d»' ) ĆA teđiKii k« pr^v^r« Tr »dtvt s *.->nnfet /a (<nđt!vir«srt;« oejini/đcn«! COSJO' } (.feavio totema (noegriijni OKvtr Korporativna upravljanje rizikom je isprepleteno sa razvojem normi za interne kontrole te zakonodavnu okolinu* JtGJ Zikon 2002 >1 <t» »s ntit urani f -»km na nfei'is0 «. ip'ivljanK t \ < stem l&Uit HtfV— Corjin s jfi Coruftjl« cy F«m \ % kfc Intern Audit sstb« sl- aw* ĐSsttte & Tatsche UP PITANJA? 97? ?;. i Q ^ , f PECB Sažetak poglavlja: 1. ISO organizacija definira normu kao dokument odobren od priznatog tijela, koji je razvijen konsenzusom od strane stručnjaka industrije, te daje preporuke o dizajnu, korištenju ili izvedbi proizvoda, procesa, usluga, sustava ili osoba. 2. ISO 31000 je generički okvir za upravljanje rizicima koji se mogu primijeniti na bilo koju vrstu rizika, bez obzira na njegovu narav, bilo da ima pozitivne ili negativne posljedice. 3. Metodologija je skup načela, pravila, koraka, kao sredstvo da se postigne željeni rezultat. 4. ISO 31000 ne pruža nikakvu specifičnu metodologiju za upravljanje rizikom informacijske sigurnosti. Certlficirani ISO 31000 menadžer rizika m piemen taci ja okvira upravljanja rizikom a« Mandat i predanost uprave b. Odgovornost upravljanja rizikom c. Odgovornosti glavnih dionika d. Mjere odgovornosti s. Politika upravljanja rizikom f. Proces opravljanja rizikom g. Pristup i metodologija upravljanja rizikom h. Planiranja aktivnosti za upravljanja rizflcow i osiguravanja f i? S U TS & Napomena: Pojmovi upravljanje rizicima i procjena rizika ne bi trebali biti zbunjujući. Upravljanje rizicima je skup postupaka za upravljanje rizicima na trajnoj osnovi te ga treba pratiti i držati na razinu koja je prihvatljiva za organizaciju. Procjena rizika je definirana kao proces identificiranja, procjene i evaluacije rizika organizacije. Dok je upravljanje rizicima stalni program u organizaciji, procjena rizika je aktivnost u određenom trenutku u vremenu. PECB Risk Management Okvir 1.........Implementacija.....programa upravljanja rizikom Popis aktivnosti 1.4 Osiguravanje cJgcvc-os:- 1.1 predanosti uprav« 1.2 Postavljanja odgovorne osobe sa ruska 1,5 Uspostava politika upravljanja rankom 1.6 implementacija procesa upravljanja rizikom 1.3 Definira nje odgovornosti glavnih dionika „1.ZOđabir.pfjstUjm: analiza rizika 18 Odabir = ' -.a 1.9 Planiranje procjenu rizika 1.10 Osiguranja rss t i« N.V6 Y\Ca. V^bjOA. >1...... — |y \ . - . •.. (.'■■ ; . ... v- N-V". - '■■ v ■ • - ^ 1.1. Dobivanje mandata i predanosti uprave !SO 31000, točka 4,2 Uprava treba: 1, Definirati i podržati politiku upravljanja rizikom 2 Osigurati da su kultura organizacije I politika upravljanja rizikom usklađene 3 Odrediti indikatore upravljanja rizikom koji su u skladu sa indikatorima performansi organizacije 4 Uskladiti ciljeve upravljanja rizikom, sa ciljevima i strategijom organizacije 5. Osigurati pravnu i zakonodavnu sukladnost 6. Odrediti odgovornosti na prigodnim razinama organizacije 7. Osigurati potrebne resurse za upravljanje rizikom 8 Komunicirati prednosti upravljanja rizikom svim dionicima 9, Osigurati da okvir upravljanja rizikom ostane prikladan JzE?.......... ISO 31000, Prilog A.3.3: Primjena upravljanja rizicima kod svih donošenja odluka Sve odlučivanja unutar organizacije, bez obzira na stupanj važnosti i značenja, uključuje eksplicitno razmatranje nzika i primjenu upravljanja rizikom na nekoj odgovarajućoj mjeri. To može biti evidencija sastanaka i odluka koje pokazuju da su se eksplicitne diskusije o rizicima dogodile. Osim toga, trebalo bi biti moguće vidjeti da su sve komponente upravljanja nzicima zastupljene u ključnim procesima za donošenje odluka u organizaciji, npr. odluka o raspodjeli kapitala, o velikim projektima i restrukturiranju i organizacijskim promjena. Iz tih razloga, čvrste temelje za upravljanje rizicima se vide unutar organizacije i pružaju osnove za učinkovito upravljanje. 1Postavljanje odgovorne osobe za rizike ISO 31000, točka 4.3.3 • Treba postaviti menadžera koji će osigurati pravilnu koordinaciju upravljanja rizikom « Ključne odgovornosti: 1. Planiranje aktivnosti 2. Nadzor tima za upravljanje rizikom 3. Kreiranje izvještaja u procjenama rizika 4. Komunikacija i svjesnost o rizicima svih dionika 5. Osiguranje postupanja po preporukama Odgovorna osoba za upravljanje rizicima treba imati poprečni profil i ima interes u svim aspektima organizacije. U svojoj ulozi je mnogo više povezan s poslovnim menadžerima, nego uslugama podrške (informacijske tehnologije, financija, unutarnje revizije, pravne, kadrovske, zdravlje i sigurnost, okoliš i slično). 1.3. Definiranje odgovornosti glavnih dionika Odobrava rizik i njena odgovornost je kao posljednje' uporište | Sudjeluje u financijskim analizama , budžetiranju i kontrolu istih | Prepoznaje potrebe za edukacijom osoblja i sudionika u razvoju programa svjesnosti o rizicima Prepoznaje i predlaže prikladne kontrole za upravljanje rizikom | Implementira'teftniSka rješenja za mjerene i upravljanje dnevnim poslovanjem ) Prepoznaje zahtjeve: za sukladnosti (pravne, zakonodavne i ugovorne) te ih analizira | Vrednuje posljedice na reputaciju '©rgafifeacije i komunicira sa vanjskim dionicima ) Vrednuje sukladnost sigurnosnih kontrola : : | PECB_ Procjena rizika niske složenosti unutar ograničenog aplikacija domene može obavljati jedna osoba, ali većina procjena zahtijevaju timski napor za prikupljanje informacija i znanja potrebnih za učinkovitu procjenu. Općenito, projekti procjena globalne i složenije prirode moraju se osloniti na multidisciplinarni tim. Međutim, kada je procjena rizika napravljena timski, važno je da se dogovore, na početku, o imenovanju odgovorne osobe, kao i da se dogovore o komunikacijskim mehanizmima unutar tima i sa zainteresiranim stranama (ključnih igrača). Viša uprava Financije HR Informacijska sigurnost IT Pravna služba Odnosi s javnošću Interni' audit 1.3 Raspodjela odgovornosti > Poboljšano upravljanje rizicima uključuje sveobuhvatnu, potpuno definiranu i prihvaćenu odgovornost za rizike, kontrole i zadatke za tretman rizika > Određeni pojedinci koji u potpunosti prihvaćaju odgovornost, su odgovarajuće kvalificirani i imaju adekvatne resurse za provjeru kontrola, praćenje rizika, poboljšanje kontrola i učinkovito komuniciranje o rizicima i njihovom upravljanju s vanjskim i unutarnjim dionicima. Upravljanje rizicima: odgovornost svih osoba uključenih u organizaciju. Vrsta odgovornosti će varirati ovisno o hijerarhijskoj razini. Na globalnoj razini, uprava je na vrhu odgovornosti u vezi rizika, zadužen za strateške aspekte rizika. Ona se bavi praćenjem upravljanja rizicima set-up i potvrđuje strategiju i politiku organizacije. To su "igrači" koji su najizravnije pogođeni rizikom za nematerijalnu imovinu, kao što su ugled, zaštitni znak, itd. Čelnici poslovnih jedinica imaju važnu ulogu u procjeni rizika, jer oni imaju temeljito znanje o osnovnim sredstvima (poslovnih procesa i informacijskih sredstava). Oni će snositi odgovornost za poslovanje organizacije kako bi se osiguralo nesmetano funkcioniranje dnevnih aktivnosti. IT odjel je obično odgovoran za praćenje tehnoloških sredstava. PECI 1.3 Raspodjela odgovornosti !80 .11000, A,3 2 > Svi članovi organizacije moraju biti u potpunosti svjesni rizika, kontrola i zadataka za koje su odgovorni. Normalno, to će se zabilježiti u opisu posla / položaja, baze podataka ili informacijskim sustavima > Organizacija osigurava da su oni koji su odgovorni imaju ovlasti, vrijeme, znanje, resurse i sposobnosti dovoljne da prihvate njihove odgovornosti. PiCi 1.4 Osiguranje odgovornosti »O 31000, točka 4.3.3 > Organizacija mora osigurati da postoji odgovornost, autoritet i odgovarajuća osposobljenost za upravljanje rizikom ' To se može osigurati sa: — Prepoznavanje vlasnika rizika koji imaju odgovornost i ovlaštenja za upravljanje rizicima l«s» Prepoznavanje tko je odgovoran za razvoj, implementaciju i održavanje okvira za upravljanje rizikom — Prepoznavanje drugih odgovornosti osoba na svim razinama u organizaciji za proces upravljanja rizicima «** Uspostavljanje mjerenje performansi, te vanjsko i / ili unutarnje izvješćivanje i eskalaciju procesa — Osiguravanje odgovarajuće razine priznanja ISO 31000, točka 2.7: Vlasnik rizika Osoba ili pravna osoba s odgovornosti i ovlasti za upravljanje rizikom. [ISO Guide 73: 2009, definicija 3.5.1.5] ISO 31000, točka A.3.2: Puna odgovornost za rizike Poboljšano upravljanje rizicima uključuje sveobuhvatnu, potpuno definiranu i prihvaćenu odgovornost za rizike, kontrole i zadatke za tretman rizika. Odredeni pojedinci koji u potpunosti prihvaćaju odgovornost, su odgovarajuće kvalificirani i imaju dovoljno sredstava za provjeru kontrole, praćenje rizika, poboljšanje kontrole i učinkovito komuniciraju o rizicima i njihovom upravljanju s vanjskim i unutarnjim dionicima. To može biti označeno od strane svih članova organizacije u potpunosti svjesni rizika, kontrola i zadataka za koje su odgovorni. Normalno, to će se zabilježiti u opisu posla / položaja, baze podataka ili informacijskim sustavima. Definicija upravljanja rizicima uloge, odgovornosti i odgovornosti trebali bi biti dio programa organizacije. Organizacija osigurava da su odgovorni su osposobljeni ispuniti tu ulogu pružajući im ovlasti, vrijeme, trening, resurse i sposobnosti dovoljne da preuzmu njihove odgovornosti. 1.5. Uspostava politike upravljanja rizikom ISO 31000, točka 4,3.2 Politika upravljanja rizicima treba jasno navesti ciljeve organizacije i predanost, upravljanje rizicima obično se odnositi na sljedeće: s* Opravdanje organizacije za upravljanje rizikom .-»» Veze između ciljeva organizacije, politike i politike upravljanja rizicima — Odgovornosti za upravljanje rizikom — Način na koji se bavi sukobljenim interesima Obavezivanje da su potrebni resursi na raspolaganju kako bi se pomoglo onima odgovornim za upravljanje ri2ikom # Način na koji će se mjeriti i prijaviti performanse upravljanja rizikom Predanost za pregled i poboljšanje politike upravljanja rizicima i okvira kao I odgovor na događaj ili promjenu u okolnostima ISO 31000, točka 2.4: politika upravljanja rizicima Izjava o ukupnom namjerama i smjer organizacije koji se odnose na upravljanje rizikom. [ISO Guide 73: 2009, definicija 2.1.2] '1:8,........Razvoj.....i implementacija......upravljanja rizikom' ugrađenim u stablo procesa organizacije • Upravljanje rizicima treba biti ugrađeno u postupke I procese organizacije na način da je relevantno, efektivno i efikasno • Proces upravljanja rizicima treba postati sastavni dio procesa organizacije, a ne odvojeni process • Konkretno, upravljanje rizicima treba biti ugrađeno u razvoj politike, poslovno i strateško planiranje i reviziju, te procesa upravljanja promjenama • Treba biti definiran put odluke u slučaju eskalacije Proces upravljanja rizicima treba biti: - sastavni dio upravljanja, - ugrađen u kulturi i praksi, te - prilagođen kako poslovnim procesima organizacije. Procjena rizika nije samostalan aktivnost i treba biti u potpunosti integrirana u druge komponente u procesu upravljanja rizicima. Temeljni elementi procesa upravljanja rizicima koji su definirani u ISO 31000 su: • uspostavljanje konteksta; • procjena rizika (koja obuhvaća identifikaciju rizika, analiza rizika i evaluaciju rizika); • tretman rizika; • praćenje i reviziju; • komunikaciju i konzultacije; 1.7. Odabir pristupa analizi rizika ISO 31000 5.4.3 I ISO 31010, 5.3.1 . Analiza rizika može se provesti s različitim stupnjevima detalja, ovisno o riziku, svrhe analize i informacija, podataka i resursa na raspolaganju. Analiza može biti kvalitativna, polu-kvantitativna i kvantitativna, ili kombinacija navedenih, ovisno o okolnostima. PECB —___ 1,7. Odabir pristupa analizi rizika ISO 31010 Odabir između kvalitativnog i kvantitativnog pristupa (ili mix) Mw«aiBlllllMjji '■^SsmmmmmM mmiKiii'i.....miimiim......................»"...............»i V« -I »lm i il'iiiin ' « " ibsiim Analiza rizika može se provesti na različitim razinama detalja, ovisno o kritičnosti imovine iz opsega i složenosti scenarija rizika koje treba analizirati. Metodologija za procjenu može biti kvalitativna, kvantitativna ili kombinacija obje, ovisno o okolnostima. U kvalitativnom pristupu, možemo razviti scenarije rizika dodjeljivanjem razine važnosti na prijetnje, ranjivosti i mogući utjecaj kako bi se postigla razina rizika. Na kraju, možemo izračunati rizik i preporučiti prikladne kontrolne mjere. Treba napomenuti da su rezultati kvalitativnog pristupa relevantni kada možemo usporediti scenarije rizika jedno sa drugim. To govori da rizik opisan kao "srednji" ili "3" sam za sebe nema značenja. Razina rizika ima smisla kada uspoređena sa drugim rizikom ima vrijednost "nisko, srednje ili visoko" ili "1,2,3", itd. Kvantitativna analiza rizika koristi matematičke i financijske analize dodjeljivanjem novčane vrijednosti svakoj komponenti procjene rizika i potencijalnim gubitcima. Kvantitativna protiv kvalitativne Prednosti i nedostaci Korištenje matematike Korištenje scenarija rizika Objektivni podaci(brojevi) Subjektivni podaci Izraženo u novčanim jedinicama Izraženo u gradacijskoj skali Temeljeno na sposobnosti stručnjaka da predvide rizik u financijskim terminima Temeljeno na percepciji rizika dionika PFrtS Kvalitativna procjena: 1. Jedna od prednosti kvalitativnog pristupa analize rizika je jednostavnost razumijevanja od strane svih zaposlenika, jer procjena rizika ovisi o izboru vrlo subjektivnih mjerila. 2.Kvalitativni pristup je prilagodljiv svim vrstama scenarija. 3.Kvalitativna procjena može se koristiti kao prva iteracija identificiranja rizika koji zahtijevaju pažljivu analizu. 4.Kad ne postoje kvantitativni podaci (vrijednost imovine, mogućnost pojave, utjecaj vrijednosti, itd.) ili su neadekvatni, to je jedini mogući pristup. 5.Kvalitativna analiza mora koristiti činjenične informacije i dostupne podatke. Rigorozna primjena metode treba jednako važna kao za kvantitativnu procjenu. Kvantitativna procjena: 1.Korištenjem kvantitativnog pristupa obično se olakšava donošenje odluka od strane višeg menadžmenta, jer se lako može usporediti povrat ulaganja potencijal različitih scenarija za tretman rizika. 2.Kvaliteta izvješću procjene rizika s kvantitativnog pristupa ovisi o točnosti i potpunosti numeričkih vrijednosti te valjanost pretpostavki. 3.Kad činjenice ili podaci nisu dostupni ili ne postoje, mi ćemo dodijeliti vrijednosti temeljeno na pretpostavci. Na primjer, za procijeniti vrijednost interno razvijene aplikacije, vrijednost možemo procijeniti na temelju objavljenih podataka u različitim industrijama ( X $ po liniji koda multiplicirano sa brojem linija koda). 4.Kvantitativni pristup uglavnom se temelji na pretpostavkama, a ne na stvarnim vrijednostima, može dati lažni osjećaj točnosti. 5.Kvantitativni pristup u većini slučajeva koristi povijesne podatke o incidentima i potraživanja (iz organizacije i industrijskog sektora), nudeći prednost jer je izravno povezan s ciljevima organizacije. 1,8, Odabir metodologije procjene rizika Kriteriji za razmatranje ISO 31000 Jezik metode — Krucijalno je savladati rječnik koji se koristi koji Jednostavnost korištenja i Cijena Postoianie sredstava za usooređbu (metrika studlie stučaia i si 5 1.9, Planiranje aktivnost za procjenu rizika Srednje i dugoročno * s "C ® p o- Ct> to Sveobuhvatna procj«na rl2ik« > Napwtfe jedno ponavljanje svake 3 godsrte Godfinje ažuriranje > S@«2p programa i faktora raste jMmm gotMntt K«tjiwtta*» ažuriranje > PtomSsa mka » sve nove »fete ^ G«fiš<fs ažuriraij« fxs£«iraft pmtjem Inciaira procjena rizta r sjetom toftemmcfr m> 31900 0 Godine PECB Planiranje aktivnosti za procjenu rizika Faktori uspjeha za kratkoročno planiranje • Planiranje je bitno za uspjeh projekata procjena rizika • Prednost može biti usklađivanje plana razvoja tretmana rizika (iz procjene rizika) s budžetom organizacije • Aktivno sudjelovanje dionika {najmanje od onih u kući) je bitno za uspješnu provedbu procjene rizika I odabira opcija tretmana rizika (uključenje povezano sa resursima) PECB Faza planiranja je možda najvažniji dio kako bi se osiguralo sudjelovanje i potporu dionicima tijekom procesa procjene rizika. Validacija plana projekta od strane unutarnjih dionika (pravna služba, financije, ljudski resursi, itd.) je bitno jer će pravilno funkcioniranje projekta zahtijevat njihovo aktivno sudjelovanje. Njihova podrška za cijeli proces je važno kao što i rezultati procjene rizika mogu utjecati na njihov proračun (za implementaciju i održavanje odabranih kontrola za tretman rizika). Najbolje je započeti projekt procjene rizika nekoliko mjeseci prije procesa izrade proračuna organizacije. Dakle, izbor tretmana rizika može biti uključen u pregovore oko proračuna unutar organizacije. 1.10. Osiguranje resursa ISO 31000, točka 4.3.5 Organizacija treba osigurati prikladne resurse za upravljanje rizikom. U razmatranje treba uzeti slijedeće: - ljudi, sposobnosti, iskustvo i kompetencija; - resursi potrebni za svaki korak procesa upravljanja rizikom; - procese organizacije, metode i alate za upravljanje rizikom; - dokumentiranost procesa i procedura; - informacije i poznavanje sustava upravljanja; i - programi edukacije. P6CB u' ^ o 'ft ^ Sažetak ovom poglavlju: 1. Sve odluke unutar organizacije, bez obzira na stupanj važnosti i značenja, uključuju eksplicitno razmatranje rizika i primjenu upravljanja rizikom na nekoj odgovarajućoj mjeri. 2. Voditelj treba biti imenovan kako bi se osigurala pravilna koordinacija upravljanja rizicima. Odgovorna osoba za upravljanje rizicima treba imati poprečni profil i imati interes u svim aspektima organizacije. 3. Procjena rizika niske složenosti unutar ograničene primjene domene može obavljati jedna osoba, ali većina procjena zahtijevaju timski napor za prikupljanje informacija i znanja potrebnih za učinkovitu procjenu. Općenito, projekti procjena na globalnoj razini i oni složenije prirode moraju se osloniti na multidisciplinarni tim. 4. Poboljšano upravljanja rizicima uključuje sveobuhvatnu, potpuno definiranu i prihvaćenu odgovornost za rizike, kontrole i zadatke za tretman rizika. 5. Politika upravljanja rizicima treba jasno navesti ciljeve organizacije i predanost za upravljanje rizicima. 6. Upravljanje rizicima treba biti ugrađeno u sve postupke i procese organizacije na način da je to važno, i učinkovito. 7. Odgovornost organizacije je da odabere svoj pristup I metodologiju procjene rizika na temelju ciljeva i cilja procjene rizika. 8. Organizacija treba izdvojiti odgovarajuće resurse za upravljanje rizikom. Vježba 3 Okvir i odgovornosti Na temelju svoje organizacije / odjela, molimo utvrdite: • Koje odgovornosti bi trebali imati a odnose se na upravljanje rizicima? • Koje odgovornosti bi trebao imati vaš nadređeni a odnose se na upravljanje rizicima? • Koje odgovornosti bi trebali imati vaši podređeni a odnose se na upravljanje rizicima? • Koje odgovornosti bi trebali imati ostali članovi veše organizacije (imenovati najmanje tri) vezane za upravljanje rizicima i koje bi to odgovornosti bile? Trajanje vježbe: 20 min Komentari: 15 minuta Certificirani ISO 31000 Menadžer rizika Sekcija 5 Us§xstdv urie konteksta a. Misija, ciljevi vrijednosti« strategije b. Uspostavljanje vanjskog konteksta c. Uspostavljanja unutarnjeg tonteksta cl. identifikacija i anallxa đfortitai t, Identifikacija i analiza zahtjeva f. Određivanje ciljeva g. Određivanje osnovnih kriterija h. Definiranje opsega I granica PECB okvir upravljanja rizikom M O C; i':2 5 8.1 Opens Ireiwrw r^tte /-■•'i*. Sm m We ta'iMct.a <?w-f s događaja > pjs^e-Jjca 2 ^tC'Cji wfsdsMisa 4 3 0«rs»vas»5 62 Pan Ketmgna tKika o i fcyatsacp prosit FICS* ISO 31000, točka 5.3: Uspostava konteksta 5.3.1 Općenito Uspostavom konteksta, organizacija artikulira svoje ciljeve, definira vanjske i unutarnje parametre koje treba uzeti u obzir pri upravljanju rizikom, te utvrđuje kriterije opsega i rizika za preostale procese, lako su mnogi od tih parametara slični onima koji su sadržani u dizajnu okvira za upravljanje rizicima (vidi 4.3.1), kada se uspostavlja kontekst procesa upravljanja rizicima, ovdje je potrebno detaljnije razmatranje, a posebno kakav je odnos na opseg procesa upravljanja rizicima. ISO 31000, točka 5.3.4: Uspostava konteksta procesa upravljanja rizicima Ciljevi, strategije, opseg i parametri aktivnosti organizacije, odnosno oni dijelovi organizacije, gdje se traži proces upravljanja rizicima, treba uspostaviti. Upravljanje rizikom treba provoditi uz puno uvažavanje potrebe da opravdaju sredstva korištena u obavljanju upravljanja rizicima. Treba navesti potrebne resurse, odgovornosti i ovlasti, kao i bilješke koje se čuvaju. Kontekst procesa upravljanja rizikom će varirati u skladu s potrebama organizacije. On može uključivati, ali nije ograničen na: - definiranje ciljeva i ciljeva aktivnosti upravljanja rizicima; -definiranje odgovornosti za i unutar procesa upravljanja rizikom; - definiranje opsega, kao i dubinu i širinu aktivnosti upravljanja rizicima koje treba provesti, navodeći i posebna uključenja i isključenja; - definiranje aktivnosti, procese, funkcije, projekte, proizvode, usluge ili imovinu u smislu vremena i lokacije; - definiranje odnosa između pojedinog projekta, procesa ili aktivnosti i ostalih projekata, procesa ili aktivnosti organizacije; - definiranje metodologije za procjenu rizika; - definiranje načina vrednovanja performansi i učinkovitosti upravljanja rizikom; - identificiranje i određivanje odluke koje se moraju donijeti; i - identificiranje potrebe i okvira studije, opsega i ciljeva, te sredstva potrebna za takve studije. 2. Uspostava konteksta Popis aktivnosti -2,1 Ml$|a,cl|evi< ..... tiiSii^^felllE::!:^ 2.2 Uspostava ISOfl t^JCStll . •. • unutarnjeg 2.4 Idertifltecfa i r disWtt^P11 2.5 Identifikacija i analiza zahtjeva 2.6 Određivanje 2.7 Određivanja baznih kriterija 2.8 Definiranja opsegai granica ) PiCi 2,1, Misija, ciljevi, vrijednosti, strategija organizacije iSO 31000. tnćKa 4 2 Misija ""X i i Str8WflSal \ X ■ / n ^ ^ * \ Ciljevi / Ciljevi i upravljanja rizikom I mm Potrebno je dobiti uvid u organizaciju kako bi razumjeli izazove organizacije i rizika u tom tržišnom segmentu. Potrebno je prikupiti općenite podatke o organizaciji kako bi bolje cijeniti svoju misiju, strategiju, glavna svrhu, vrijednosti, itd. Time se osigurava konzistentnost i usklađenost između strateških ciljeva za upravljanje rizicima i misije organizacije. > . J J J t!v N'prV JVXV 2.2. Uspostava vanjskog konteksta ISO 31000. točka 2,10 i 5,3,2 _ ......,,........ —■ * ISO 31000 ne pruža praktični pristup analfei konteksta organizacije * Postoji nekoliko metodologija za razumijeti kako organizacija funkcionira * Valno je prepoznati karakteristike unutarnjih i vanjskih faktora okoline koji utječu na upravljanje rizikom: misija, glavne aktivnosti, interna organizacija, dionici itd. Postoji nekoliko modela koji su razvijeni za analizu i razumijevanje strateškog konteksta organizacije. Imajte na umu da ovaj korak ne postane projekt u sebi. U većini organizacija, studija je provedena od strane savjetodavnih tvrtki na njihovom strateškom pozicioniranju. Trebalo bi biti dovoljno samo prikupiti ove studije, analizirati ih i razgovarati s nekim ključnim dionicima kako bi se osiguralo odgovarajuće razumijevanje organizacije. Ovdje su neki od često korištenih modela: / SWOT analiza (snage, slabosti, prilike, prijetnje): ovaj model postavlja dijagnozu organizacije analizirajući svoje snage, slabosti, prilike i prijetnje u svrhu dobivanja politike i određivanja gdje organizacija treba ulagati svoje resurse (Iskoristite mogućnosti? Smanjiti slabosti? Suočavanje s prijetnjama?). STEP analiza (socijalni, tehnološki, ekonomski, politički). Analiza STEP omogućuje organizaciji analizirati tržišne snage i mogućnosti kategorizirane u četiri područja: društveno, tehnološko, ekonomsko i političko. Neki autori su dodali i druge dvije kategorije: pravno i okoliš. Five Forces Analysis: Ovaj pristup se sastoji u modeliranju konkurentnog okruženja poslovanja u obliku pet faktora koji utječu na djelovanje unutar industrije. Ovih pet snage sastoje se od intenziteta suparništva među konkurentima, pregovaračke moći kupaca, prijetnje potencijalnih sudionika na tržištu, pregovaračku moć dobavljača, prijetnji alternativnih proizvoda. Vanjski kontekst - Ključni aspekti ISO 31000, točka 2.10 i 5,3,2 Evaluacija vanjskog konteksta organizacije može uključivati, ali nije ograničena na: Društveni i kulturni, politički, pravni, regulatorni, financijski, tehnološki, ekonomski, prirodno i konkurentskom okruženju, bilo međunarodni, nacionalni, regionalni ili lokalni « Ključni pokretači i trendovi koji imaju utjecaj na ciljeve organizacije s*- Odnosi, percepcije i vrijednosti vanjskih dionika ISO 31000, točka 2.10 Vanjskog okruženja u kojem organizacija nastoji ostvariti svoje ciljeve. NAPOMENA vanjski kontekst može uključivati: • kulturni, društveni, politički, pravni, regulatomi, financijski, tehnološki, ekonomski, prirodno i konkurentsko okruženje, bilo međunarodno, nacionalno, regionalno ili lokalno; ' Ključni pokretači i trendovi koji imaju utjecaj na ciljeve organizacije; a ' Odnosi s te percepcije i vrijednosti vanjskih dionika. 2.3. Uspostava unutarnjeg konteksta |.v,o i^e-'.e 2,1; i 5.3,3 Razumijevanje strukture i glavnih sudionika organizacije povezane sa opsegom na razinama: □Strategija (tko postavlja strateški smjer?) □Upravljanje (tko koordinira i upravlja operacijama?) □Operativa (tko je uključen u proizvodnju i aktivnosti podrške?) Is mMmwaKMW' U analizi interne okoline, potrebno je utvrditi strukture koje sadrže razne tijela i odnose među njima (hijerarhijski i funkcionalni). To uključuje razdvajanje dužnosti, odgovornosti, ovlasti i komunikacija unutar organizacije koja se proučava. Funkcije koje su ustupljene kooperantima također treba identificirati. Struktura organizacije mogu biti različitog tipa: 1.Diviziju: svaka podjela je u nadležnosti ravnatelja odgovornog za strateške, upravine i operativne odluke u ovoj jedinici podjele. 2.Funkcionalna struktura: funkcionalna vlast vrši nad postupak, narav djela, a ponekad i odluka ili mjera (npr. proizvodnje, informacijske tehnologije, ljudski resursi, marketing, itd.). Napomene: •Divizija unutar organizacije sa divizijskom podjelom može biti transformirana u funkcijsku i obratno. •Kažemo da organizacija ima matricu strukture u kojoj cijela se organizacija temelji se na dvije vrste struktura. •Bez obzira na strukturu, razlikuju se sljedeće razine: 1. Razina odluka (odgovorni za politiku i strategije) 2. Razina upravljača (odgovorna za koordinaciju i upravljanje aktivnostima) 3. Operativna razina (odgovorna za proizvodnju i prateće djelatnosti) Organizacijska shema je odličan alat za razumijevanje unutarnje okoline. To pokazuje, koristeći shemu, strukturu organizacije. Ovaj prikaz pokazuje linkove podređenosti i prenošenje ovlasti, ali i ovisnosti. Čak i ako grafikon pokazuje da ne postoji formalni autoritet, na temelju veza, a protok informacija može se zaključiti. Unutarnji kontekst - Ključni aspekti ISO 31000. Locke 2.11 i 5.3 3 Procjena unutarnjeg konteksta organizacije može ; uključivati, aii nije ograničeno na: ■ " — Upravljanje, organizacijska struktura, uloge i odgovornosti — Politike, ciljevi, i uspostavljene strategije za njihovo postizanje Sposobnosti, shvaćeno u smislu resursa i znanja (npr. kapital, vrijeme, ljudi, procesi, sistemi I tehnologije) — Informacijski sistemi, protok informacija i procesi odlučivanja (formalin i neformalni) Odnos sa i percepcija vrijednosti internih dionika 3* Kultura organizacije Norme, smjernice i prihvaćeni moduli organizacije S* Oblik I opseg ugovornih odnosa PECB ISO 31000, točka 2.11: unutarnji kontekst Unutarnje okruženje u kojem organizacija nastoji ostvariti svoje ciljeve NAPOMENA Unutarnji kontekst može uključivati: • upravljanje, organizacijsku strukturu, uloge i odgovornosti; • politike, ciljeve i strategije koje su na snazi za njihovo ostvarivanje; • sposobnosti, u smislu resursa i znanja (npr. kapitala, vremena, ljudi, procesa, sustava i tehnologije); • informacijskih sustava, protok informacija i procesa donošenja odluka (formalna i neformalna); • Odnosi s te percepcije i vrijednosti, unutarnjih dionika; • Kultura organizacije; • standardi, smjernice i modeli koje je donijela organizacija; • oblik i veličinu ugovornih odnosa. 2.4, Identifikacija i analiza dionika ISO 31000, i'OčK* iK?t.2> 0 3.3 Financijske institucije Kupci Interesne Zakonodavac Mediji Javnost PECB ISO 31000 često podiže temu dionika, što je u ovom kontekstu označava unutarnje i vanjske zainteresirane strane organizacije s interesima u procesu upravljanja rizicima. U prvom koraku, tim za upravljanje rizicima mora identificirati sve sudionike i njihove brige u upravljanju rizicima. U drugom koraku, tim za upravljanje rizicima treba definirati što se od njih očekuje u projektu: uloge i odgovornosti te potrebne razine sudjelovanja. Tu bi trebao biti konsenzus s dionicima tijekom faze planiranja njihovog angažmana. Neophodno je identificirati dionike kako bi mogli biti uključeni u proces upravljanja rizicima. Tim za upravljanje rizicima će posvetiti dio svog vremena za senzibilizirati sudionike u razumijevanje procesa i objasniti kako se taj proces može u konačnici pomoći u zaštiti resursa i smanjenju troškova. Također, neki ljudi koji su uključeni u projekt trebaju biti obučeni za metodu procjene rizika. Osim toga, trebalo odvojiti vrijeme u projektu za podršku dionicima za poslove koji će im biti dodijeljeni (odgovaranje na pitanja, izgraditi odnose, predstaviti napredak projekata, itd.). 2.5 Identifikacija i analiza zahtjeva povezanih sa upravljanjem rizika i SO 31000, točka 4.3 Pravni i regulatorni S..zao-- -s^'al.-i ^o.;. 3-53- :oc a -OM Tržište ft Sve ugovorne obvaza koj® j« organizacija potpisala sa dionicima M Međunarodne norms i •-.•jss-.s ens-* st 3cs:&.a«>,«r»a implementirani su PnutamlfHltllill organi/actj« interns pciitita. «tičNi kodeks. Sigurnosni zahtjevi za sve organizacije, male ili velike, izvedeni su uglavnom iz četiri izvora: 1 .Zakoni i propisi: Novi zakoni koji se odnose na pitanja privatnosti, financijskih obveza i korporativnog upravljanja zahtijevaju od organizacija da pažljivije i učinkovitije nadziru svoju infrastrukturu. U nedostatku proaktivnih postupaka, poslovni rukovoditelji mogu biti izloženi progonu (na kaznenoj ili građanskoj razini) za kršenje fiducijarna i pravne odgovornosti. 2.Norme: Organizacije moraju biti u skladu s nizom međunarodnih normi i kodeksa prakse u vezi s njihovim industrijskom sektorom koje su provedene dobrovoljno. 3.Tržište: Zahtjevi tržišta su sve ugovorne obveze koje je organizacija potpisala sa svojim dionicima. Kršenje ugovornih obveza može rezultirati kaznama (kada je navedeno u ugovorima) ili građanskim parnicama za naknadu štete. Također, zahtjevi tržišta su sve implicitna pravila koja organizacija treba ispuniti za poslovanje. Na primjer, iako organizacija nema ugovornu obvezu isporuke svojih proizvoda u skladu s planiranjem, to ide bez potrebe za govorenje da je to komercijalna osnova politike kako bi se ispunilo zakazano vrijeme isporuke. 4.Unutarnje politike: Unutarnje politike uključuju sve zahtjeve definirane unutar organizacije: unutarnje politike (ljudskih resursa, informacijske sigurnosti, opskrbnog lanca, itd.) etičke kodekse, pravila rada, itd. slučaju kvara, možemo uzeti u obzir da su to kršenja unutarnjeg Politika bez nužno uključivanje bilo zakonskih razloga. 2.6. Definiranje ciljeva (SO 31000, točka 5.3.4 Podrška Sistema upravljanja sigurnošću informacija Osigurati sukladnost organizacije sa pravnim, regulatornim i ugovornim zahtjevima Pokazati „dubinsko snimanje" Promjeritl sukladnost sa svim ograničenjima zakona, ugovora ili regulatornim ograničenjima Priprema plana za odgovor na incidente Priprema plana kontinuiteta poslovanja Uspostavljanje preduvjeta za projekt, isporučujići uslugu ili proizvor, itd. Ciljevi programa za upravljanje rizicima ili projekta su izraz namjere da se bori protiv utvrđenih rizika i / ili u skladu s organizacijskim pravilima. Ovisno o svojoj definiciji, cilj može biti cilj sustava, njegov razvoj okoliša, njihov operativni okoliš. Ti ciljevi mogu se zatim transformirati na različite funkcije koje treba provesti. U početku, potrebno je utvrditi ciljeve programa upravljanja rizicima s različitim dionicima. Oni su potrebni kako bi se utvrdilo opseg programa upravljanja rizicima i mora biti potvrđen na najvišoj razini organizacije. Nakon toga, za svaki projekt predviđeno, posebni ciljevi trebaju biti identificirani, koji će formalizirati sve elemente potrebne za prihvat od strane uprave. Implementacija sustava upravljanja rizicima će biti prepoznato u logici kontinuiranog poboljšanja. 2.7, Definiranje osnovnih kriterija ISO 31000, točka 5.3.5 & ISO 31010, točka 4.3.3.d Pri definiranju kriterija rizika, razmatrani faktori moraju uključivati sljedeće: » prirodu i tipove uzroka i posljedica koji se mogu dogoditi i kako će biti mjereni; - Kako će biti definirana vjerojatnost; * vremenski period vjerojatnosti i posljedica; * kako odrediti razine rizika; * poglede dionika; * razinu na kojoj rizik postaje prihvatljiv ili podnošljiv; * da li u obzir treba uzeti kombinaciju više rizika i, ako je tako, kako i koje kombinacije treba uzeti u obzir. Ovisno o odabranom pristupu i načinu upravljanja rizicima, neke osnovne kriterije treba identificirati i definirati prije nego što nastavite s projektom procjene rizika. Kriterij definiranja rizika ISO 31000, točka 5.3.5 Kriteriji za definiranje rizika trebaju u obzir uzeti: * prirodu i tipove uzroka i posljedica koji se mogu dogoditi i kako će biti mjereni; * Kako će biti definirana vjerojatnost; * vremenski period vjerojatnosti i posljedica; * kako odrediti razine rizika; * poglede dionika; * razinu na kojoj rizik postaje prihvatljiv ili podnošljiv; * da li u obzir treba uzeti kombinaciju više rizika i, ako je tako, kako i koje kombinacije treba uzeti u obzir. PECB Kriterij prihvaćanja rizika ISO 27005, točka 7.2.4 i (SO 31000. točka 5.3 5 Kriterij prihvaćanja rizika treba razviti u skladu s politikom organizacije, ciljevima i interesima dionika i potrebno je razmotriti slijedeće: 1 Poslovne kriterije 2. Pravne i regulatorne aspekte 3. Operativu organizacije 4. Tehnologiju 5. Financijske aspekte 6. Socijalne i humanitarne faktore I^IHCIEI Napomena: Kriteriji prihvatljivosti rizika odgovaraju na "prihvatljivu razinu rizika" kako je navedeno u ISO/IEC 27001: 2005, točka 4.2.1 c. Kriterij prihvaćanja rizika Definiranje s-^ia prihvaćanja ruka • Skala može biti; 3* Kvalitativna (vrijednosti skale: 1, 2, 3,4) L-H" Kvantitativna (financijski pragovi) • Skala sadrži višestruke pragove, na primjer: S* Prvi prag prihvaćanja rizika koji odgovara željama od strane organizacije si* Drugi prag prihvaćanja rizika je da rizik mora biti popraćen planom tretmana rizika da bi bio prihvaćen PEC8 Organizacija mora definirati vlastite skale razine prihvaćanja rizika, uzimajući u obzir sljedeće: • Kriteriji prihvaćanja rizika može uključivati više pragova, sa željenom razinom rizika i dogovorom za rukovoditelje koji će prihvatiti rizik iznad ove razine u određenim okolnostima. • Kriteriji za prihvaćanje rizika mogu se izraziti kao odnos između očekivane zarade (ili druge pogodnosti) na procjenu rizika. • Različiti kriteriji prihvatljivosti rizika mogu se primijeniti na različite klase rizika. Na primjer, rizici koji bi mogli dovesti do neusklađenosti s propisima ili zakonima ne mogu biti prihvaćeni, a prihvaćanje visokog rizika može se odobriti ako je navedeno u ugovoru. • Kriteriji prihvaćanja rizika može uključivati tretman dodatnih budućih zahtjeva. Na primjer, rizik može biti prihvaćen ako je odobren plan s korektivnim akcijama kako bi se ublažilo na prihvatljivu razinu u određenom vremenskom razdoblju. Pragovi prihvatljivosti rizika Vjerojatnost pojave - Prijetnja Niska Srednja Razina ranjivosti - s" li". 0 1 2 I 1 1 1 2 i-l^llll! 2 - 3 ISltltll 3 4 5 I SS 4 f litrS; i 5 0-2 Rizik nije značajan 3-5: Prihvatljivi rizik I RIZIK = Prijetnja + Ranjivost + Vrijednost Imovine Prijetnja = 0,1,2 Ranjivost = 0,1,2 Vrijednost Imovine = 0,1,2,3,4 2.8. Definiranje opsega I granica ISO 3 moo, točka 5.3.4 O ■ Glavni proces Odjel Cijela organizacija Organizacija i njezini dionici Organizacija mora definirati opseg i granice vezane za proces upravljanja rizicima. Proces upravljanja rizicima može se primijeniti na cijelu organizaciju ili podskup definirane u smislu: 1 .Ustrojstvene jedinice: Odjel, ured, projekt, ogranak, itd. 2.Poslovni proces: Prodajni menadžment, nabava, zapošljavanje, itd. 3.Mjesto: Sjedište, server soba, ili bilo koje mjesto geografski definirano u određenom opsegu 4.Imovina: podaci o kupcima, baze podataka, obračun plaća, zaštitni znak, namještaj, itd. 5.Tehnologije: poslužitelji, aplikacija, mreža, bežični internet, itd. U organizaciji s malo ili relativno malo iskustva, uvođenje procesa može potrajati nekoliko mjeseci, na primjer, kada je uveden u entitetu želi procjenu rizika i gdje se jako brine o pitanjima rizika. Nakon što je provedeno nekoliko projekata s ograničenim opsegom, tim za upravljanje rizicima onda može postupno proširiti opseg drugim osobama, a onda donijeti ga u cijeloj organizaciji. Opseg upravljanja rizikom treba biti definiran tako da je sva važna imovina vezana za projekte koje definira upravljanje uzeta u obzir prilikom procjene rizika. Ograničenja koja utječu na opsei ISO 27005. Annex A.4 PECB Identifikacija ograničenja omogućuje analizu onih koji mogu imati utjecaj na opseg. Prilog A.4 ISO 27005 daje djelomičan popis sedam vrsta ograničenja koja mogu utjecati na područje primjene. 1 .Ograničenja koja proizlaze iz već postojećih procesa: Svi projekti ne mogu se postići istovremeno. Neki su ovisni o ranijim postignućima. Sustav se može rastaviti na podsustave i sustav nije nužno uvjetovan od strane svih podsustava (te time i na funkcije sustava) na drugom sustavu. 2.Tehničkih ograničenja: Općenito, tehničkih ograničenja proizlaze iz hardvera i softvera instaliranog za podršku procesa ili sustava. 3.Financijska ograničenja: Implementacija sigurnosnih kontrola često je ograničeno proračunom koji organizacija može provesti. Treba uzeti u obzir financijska ograničenja na kraju (po pregovara proračun) kako se ne bi ograničila analizu mogućih tretmana. 4.0graničenja u okolišu: Ograničenja u okolišu dolaze iz zemljopisnog ili ekonomskog okruženja u kojem je opseg definiran: zemlje, klime, prirodnih nepogoda, geografski položaj, ekonomska situacija ... 5.Vremenskih ograničenja: Vrijeme potrebno za provedbu sigurnosne kontrole mora biti uzeto u obzir. Vrijeme je ključno u odabiru rješenja i prioriteta. 6.0graničenja vezana za metodu: Bit će izrečena odgovarajuća znanja, vještine i navike u organizaciji, neke metode (u smislu projektiranja, specifikacije i razvoj...) 7.0rganizacijski ograničenja: različita ograničenja mogu doći iz unutarnje politike organizacije ili administrativne uprave. Vježba 4 Uspostava konteksta PECB j Za vašu organizaciju / odjel, molimo: • Predložiti ciljeve za upravljanje rizicima; • Predložiti kriterije procjene rizika; • Identificirati izvore usklađenosti zahtjeva za ovu organizaciju. Trajanje vježbe: 20 min Komentari: 15 minuta PITANJA? o * • Sažetak poglavlja: 1. Prije početka procjenu rizika, važno je utvrditi karakteristike unutarnje i vanjske okoline organizacije koja će utjecati na upravljanje rizicima: Misija, glavne aktivnosti, unutarnja organizacija, interesne skupina, itd. 2. U upravljanju rizikom, organizacija mora uzeti u obzir zahtjeve koji se odnose na poslovanje i pravnim i regulatornim zahtjevima i ugovorne obveze osiguranja koji su potpisani s raznim dionicima. 3. U početku, potrebno je utvrditi ciljeve programa upravljanja rizicima s različitim dionicima. Nakon toga, za svaku predloženu ocjenu specifični ciljevi trebaju biti identificirani. 4. ISO 31000 naglašava potrebu definiranja najmanje sljedećih kriterija: kriteriji procjene rizika, kriterije utjecaja i kriteriji prihvaćanja rizika. 5. Organizacija utvrđuje opseg i granice upravljanja rizicima. Certificirani ISO 31000 Menadžer rizika pecs Dan 2 - Raspored Sekcija 6: Identifikacija rizika Sekcija 7: Analiza i evaluacija rizika Sekcija 8: Tretiranje rizika Sekcija 9: Prihvaćanje rizika i upravljanje preostalim rizicima Sekcija 10: Komunikacija i konzultacije rizika Sekcija 11: Nadzor i revizija rizika ©2008 PECB Verzija 4.5 Eric Lachapelle Broj dokumenta: 31000RMV4.5 Dokumenti dani sudionicima služe strogo za potrebe osposobljavanja i autorska su prava PECB. Ako nije drugačije navedeno, nijedan dio ovog izdanja ne smije se bez pismenog odobrenja PECB-a, reproducirati ili na bilo koji način ili oblik koristiti, ili na bilo koji način bilo da je elektronski ili mehanički, uključujući fotokopiju i mikrofilm. Certificirani ISO 31000 Menadžer rizika đeritifikacija rizika a, Tfeftrtfk© za prikupljanje rizika b. Identifikacija izvora rizika c** prijetnji d. Identifikacija ranjivosti e. Identifikacija posljedica ISO 31000, točka 5.4.2: Identifikacija rizika Organizacija treba identificirati izvore opasnosti, područja utjecaja, događanja (uključujući promjene u okolnostima) i njihovih uzroka i njihovih mogućih posljedica. Cilj ovog koraka je generirati sveobuhvatan popis rizika na temelju tih događaja koji bi mogli stvoriti, poboljšati, spriječiti, smanjiti, ubrzati ili odgoditi postizanje ciljeva. Sveobuhvatna identifikacija je kritična, jer je rizik koji se ne prepozna u ovoj fazi neće biti uključen u daljnju analizu. Identifikacija treba uključiti rizike bez obzira da lije njihov izvor pod kontrolom organizacije, iako izvor ili uzrok rizika ne mora biti vidljiv. Identifikacija rizika treba uključivati pregled u "knock-on" učincima pojedinih posljedica, uključujući i kaskade i kumulativne učinke. Također treba uzeti u obzir široki spektar posljedica, čak i ako izvor ili uzrok rizika ne mora biti vidljiv. Kao i identificiranje što se može dogoditi, potrebno je razmotriti moguće uzroke i scenarije posljedica koje se mogu pojaviti. Svi značajni uzroci i posljedice treba uzeti u obzir. Organizacija treba primijeniti alate za identifikaciju rizika i tehnike koje odgovaraju ciljevima i mogućnostima, te na rizike s kojima se suočavaju. Relevantna i "up-to-date" informacija je važno u identificiranju rizika. To bi trebalo uključivati odgovarajuće pozadinske informacije gdje je to moguće. Osobe s odgovarajućim znanjem trebaju biti uključene u identificiranju rizika. U fazi identifikacije rizika, svi potencijalni rizici trebaju biti navedeni u scenarijima. Ti rezultati formiraju "Katalog rizika" uobičajeno zvatji Lista opasnosti. Identifikacija rizika ISO 31010, točka 5.2 • identifikacija rizika je proces pronalaženja, prepoznavanja i snimanja rizika • Svrha identiflkacye rizika je prepoznati što se može dogoditi ili koje situacije mogu postojati a mogu utjecati na ispunjanje ciljeva organizacije Pi€S Identifikacija rizika ISO 31010. točka 5.2 • Kada je rizik identificiran, organizacija treba identificirati i postojeće kontrole kao što su odlike dizajna, ljudi, procesi i sustavi • Proces identifikacije rizika uključuje prepoznavanje uzroka i izvora rizika (opasnost u kontekstu fizičke štete), događaja, situacija i okolnosti koje mogu imati materijalne posljedice na ciljeve te prirodu tih posljedica ISO 31010., točka 6,2 Metode identifikacije rizika mogu uključivati: • Metode temeljene na dokazima, primjeri ček lista i revizije povijesnih podataka; • Sustavno timski pristup, gdje tim stručnjaka slijedi sustavni proces za identifikaciju rizika pomoću strukturiranog skupa uputa ili pitanja • Tehnike induktivnog zaključivanja kao što su HAZOP (vidi ISO 31010) Bez obzira na stvarno primijenjene tehnike, važno je da odati priznanje ljudskim i organizacijskim čimbenicima pri identifikaciji rizika. Dakle, odstupanja ljudskih i organizacijskih čimbenika od očekivanih bi trebali biti uključeni u proces identifikacije rizika, kao i "hardver" ili "softver" događaja. Tehnike prikupljanja informacija Slanje upitnika uzorku ljudi koji predstavljaju dionike1 Revizija dokumentacije Alati zd skeniranje Razgovori sa kljuCllSffii;!^,;^N;-i^ipi-: hijerarhijskim razinama ttttUlSr^t^^ppcI^^„ ]':;■ ^r:;::::;:-:.-!-1 Čitanje i analiza refevaMne®^ potiske, ^pf pravna mišljenja, ugovori itd. Korištenje tehničkih alata za otkrivanje tehničkih ranjivosti, uspostava popisa imovine prisutne na mreži, revizija koda, itd. Tim za upravljanje rizikom treba skupiti detaljno poznavanje rizika od informacija dobivenih od više dionika. Procjenu rizika koju provode samo stručnjaci biti će pristrana kao i da su oni bili su isključeni. Pojedinačni i grupni razgovori Individualni razgovori obično daju točnije informacije i omogućuju korektniju procjenu rizika tf-aVšsčses Grupni razgovori su za uspostavu osnovnih te za postizanje konsenzusa oko procjene rizika, raspravlja se o tretiranju rizika itd. Neki ljudi mogu dovesti u pitanje vrijednost detaljnih pitanja osobama bez radnog iskustva na poslovima povezanih sa zaštitom informacija. Iskustvo pokazuje, međutim, da je neophodno utvrditi stavove dionika, stručnjaka ili ne, na sredstvima kojima upravljaju. Oni koji su odgovorni za poslovne procese će uključivati mnogo više "posao orijentiran" pogled na rizike, npr. časnik za odnose s javnošću će pokazati svoju zabrinutost zbog opasnosti od oštećenja reputacije i ugleda, itd. Pojedinačni razgovori Pojedinačni razgovori su poželjni, jer se mogu usredotočiti na procjenu rizika jedne osobe. U principu, moguće je dobiti detaljnije informacije (suprotno grupnom razgovoru u kojem svaki član daje svoje mišljenje) i individualni razgovori sprečavaju da dominantan član iz grupe utječe na odgovor drugih ("ovce" efekt). Pojedinačni razgovor omogućuje da lakše: • Pročitajte govor tijela pojedinca intervjuiranih • Prepoznajte osjetljive elemente rasprave • Osigurate povjerljivost razgovora • Podesite naknadna pitanja • Dobiti detaljne informacije • Izbjeći utjecaj dominantnih članova na druge Grupni razgovori Grupni razgovori su učinkovitiji u utvrđivanju osnovnih kriterija kako bi postigli konsenzus o procjeni rizika, razgovarati o mogućnostima tretiranja i si. između različitih članova grupe. Iskustvo pokazuje da što se više pripremi intervju, produktivniji će biti sastanak. Jedna strategija je izgraditi bazu znanja o rizicima koji mogu postojati u organizaciji kako bi se iskoristila iskustva procjene rizika provedenih u prošlosti. Tijekom održavanja rizika informacijske imovine, može biti korisno prevesti uvjete koji se odnose na sigurnost, kao "prijetnje" i "ranjivosti" u jeziku smisleniji za nekvalificirane dionike. One mogu, na primjer, koristite sljedeći tekst: "Što to pokušavaš izbjeći ili" Čega te strah da se može dogoditi imovini" 3.1 Identifikacija izvora rizika ISO 31000, točka 5,4,2 • Organizacija treba identificirati izvore rizika, područja posljedica, događaje (uključujući promjene u okolnostima ) I njihove uzroke i potencijalne posljedice • Cilj ovog koraka je generirati sveobuhvatnu listu rizika temeljenu na onim događajima koji mogu kreirati, unaprijediti, spriječiti, degradirati, ubrzati ili odgoditi postizanje ciljeva • Sveobuhvatna identifikacija je kritična, iz razloga što rizik koji nije identificiran u ovoj fazi neće biti uključen u buduće analize 3.1 Identifikacija izvora rizika SO 3 i»)>Xf t-jAf 5 4 2 • Identifikacija treba uključivati rizike bez obzira da li je njihov izvor pod kontrolom organizacije, iako izvor rizika ili uzrok nisu evidentni - Identifikacija rizika treba uključivati pregled Knock-on* učinaka pojedinih posljedica, uključujući kaskadne I kumulativne efekte • Uz identificiranje što se može dogoditi, potrebno je razmotriti moguće uzroke i scenarije koji pokazuju koje se posljedice mogu dogoditi • Svi značajni uzroci i posljedice trebaju biti razmotrene * Knock-on je situacija kada jedan događaj indirektno izaziva drugi. 3.1 Identifikacija izvora rizika ISO 31000, točka 2.18 ISO 27000. točka 2,83 Definicija izvora rizika ■ Definicija prijetnje Element kojisam ili u kombinaciji ima Potencijalni uzrok neželjenog incidenta intrinzični potencijal koji bi mogao koji može dovesti do Štete na sustavu dovesti do rizika ili organizaciji • ISO 31000 ru-; dajo pr.ptiere Ka-.c d-snvirat- rizik iz analize izvoia rizika • Konskt i.:emo ISO 2700H K.:iko bi iluslii'ali jeda'i na^in rlenvnania n/ika iz izvora riz:ha tu 130 ;.'70'./j - pri;et'i:ei • lako se ISO 2/005 uglavnom fokusira na uprav janje- nz;cnna informacijske sigurne su. n<Mi se elementi ove norme mogu kombinirati sa ISO 31000 « ISO 31010 i.i:^:.!l3/>j diuje me lode za analizu r.ziKa cuer'is rcUtS Procjena rizika sa ISO 31000 iedoshjed upravljanja rizikom prema iSO 31000 je- kako s»ijedi: ——■ ■■li illll identifikacija prijetnji Identifikacija ranjivosti Procjena posljedica Procjena vjerojatnosti Procjena rizik« .1 (f2 V J RVX.1 i/J 1/ h A \\ x i, }\ W - jJC^ Vrste prijetnji Vrsta prijetnje 1 Fizičko oštećenje 2 Prirodne nesreće 3 Gubitak bitnih servisa 4 Prekid uzrokovan radijacijom 5 Kompromitacija informacija 6 Tehnički kvar 7 Neovlaštena akcija Primjer Vatra Oštećenje vodom Potres Poplava Kvar kima uređaja Nestanak struje Elektromagnetska radijacija Termalna radijacija Prisluškivanje Ksađa dokumenata Kvar opreme Preopterećenje mreže Neovlašten prist; ip Korištenje piratskog softvera Aneks C ISO 27005 daje tipologiju za klasifikaciju prijetnji koje možemo izvući. Popis prijetnji treba koristiti s oprezom. Ovaj popis nije potpun, i ne mogu tvrditi da ja iscrpan, jer nove prijetnje redovito nastaju zbog, između ostalog, tehnologije i sposobnosti razvoja prijetnji. Moramo koristiti Aneks C kao vodič ili popis koji će vam pomoći organizirati i strukturirati prikupljanje i uspoređivanje relevantnih podataka o prijetnjama, a ne kao popis koji će se slijepo slijediti. v\ev A -i Izvori prijetnji Primjeri Priroda Namjerno Slučajno D 0 D Zlouporaba privilegija — [] jjj Krađa opreme — D Potres |Tj - — PEtB Prijetnje mogu biti prirodnog ili ljudskog podrijetla; one mogu biti slučajne ili namjerne. Prijetnja može nastati unutar ili izvan organizacije. ' Izvori prijetnji treba identificirati, osobito one namjerne. Identifikacija izvora omogućuje detaljniju analizu karakteristike prijetnji i odabir odgovarajućeg tretiranja kako bi se zaštitili protiv njega. Primjeri Motivacija . percepc-ja krivnja Potencijalna Financijski guouaiv šteta po reputacju Ptmmm, ucjena Bivši zaposlenici Vj Identifikacija razine zrelosti Može se napraviti evaiuacija postojećih kontrola temeljem razina zrelosti: 0. Nepostojeće: Nepostojanje prepoznatljivih procesa. Tvrtka nije svjesna da je to problem koji treba proučavati. 1. Početno: Očito je da je tvrtka svjesna postojanja problema i potrebu da ga proučavaju. Međutim, ne postoji standardizirani proces, ali pristupi u tom pravcu nastoje se primijeniti pojedinačno ili od slučaja do slučaja. Nema globalni pristup u organizaciji upravljanja. 2. Ponovljivo: Procesi su razvijeni do faze u kojoj različite osobe obavljaju isti zadatak te koristite iste postupke. Nema formalne obuke ili standardnih procedura komunikacija i odgovornost je prepuštena pojedincu. Ona se oslanja na osobnom znanju, gdje postoji vjerojatnost greške. 3. Definirano: Postupci su standardizirani, dokumentirani i priopćeni kroz treninge. Međutim, njihova uporaba je prepuštena vlastitoj inicijativi, a vjerojatno je da će neuspjeh biti otkriven. Što se tiče procedure, nisu sofisticirane, ali formaliziraju postojeću praksu. 4. Kvantitativno upravljano: Moguće je pratiti i mjeriti poštivanje procedure i poduzeti akciju u procesima koji ne funkcioniraju ispravno. Procesi se stalno poboljšavaju i odgovaraju dobroj praksi. Automatizacija i uporaba alata još je uvijek ograničena ili djelomična. 5. Optimizirano: Procesi su dosegli razinu najbolje prakse, slijedeći stalna poboljšanja u usporedbi s drugim organizacijama (model zrelosti). Računalo se koristi da se automatizira integrirani tijek rada, pružajući alate koji poboljšavaju kvalitetu i učinkovitost, a tvrtka brzo prilagođuje. Posljedica - Definicija ISO 31 • Ishod događaja koji utječu na ciljeve Bilješke: — Događaj može dovesti do niza posljedica w Posljedice mogu biti izražen© kvalitativno kvantitativno 3* Inicijalne posljedice mogu eskalirati krajf: knock-on efekte mm Kad neki događaj ili situacija ima knock-on efekt, to znači da se neizravno uzrokuje drugi događaj situacija. Primjer: Ako jedan ili više vlakova kasne, onda se pojavljuje knock-on efekt na cijeloj željeznici. id a ^lAHoba , Kriterija za identifikaciju posljedica . SO 27C05, točka 5 2 G Organizacije trebaju identificirati posljedice scenarija incidenata u svjetlu (ali ne Imitirano na): 1, Istraga i vrijeme popravka 2, Izgubljeno vrijeme (radno vrijeme) 3, Izgubljene prilike 4. Zdravlje i sigurnost na poslu 5. Cijena treninga, naknade, kupnja opreme itd. 6. Narušavanje reputacije PECi Posljedice realizacije incidenta mogu se ocijeniti različito, ovisno o dionicima uključenih u procjenu rizika. Značajne utjecaje na organizaciju treba dokumentirati. Prijetnja i posljedica Primi eri vezna Krađa opreme Pogreška liječnika Socijalni nemir Neetično ponašanje zaposlenika Haker Loše vrijeme Posljed Financijski gubitak Smrt, sudska tužba Nesigurnost tržišta, financijski gubici Sudska tužba, šteta po reputaciju Krađa informacija Loši usjevi Događaj - definicija sSO 31000. tooks 2,17 • Pojava ili promjena skupa okolnosti • Bilješke: Događaj može biti jedno ili više pojavljivanja, i može imati nekoliko uzroka Događaj se može sastojati od ne pojave događaja Događaj ponekad može biti naslovljen kao "incident" ili $iakcidenf Događaj u kontekstu upravljanja rizicima se može nazvati i: Incident scenarijo ili scenarij rizika. Incident - jedan ili niz neželjenih ili neočekivanih sigurnosnih događaja koji imaju značajnu vjerojatnost ugrožavanja poslovanja i prijeti sigurnosti Akcident - nenamjerni, iznenadni događaj koji uzrokuje štetu za ljude, imovinu ili okoliš PITANJA? r Sažetak sekcije: 1. Tim za upravljanje rizikom treba skupiti detaljno poznavanje rizika od informacija dobivenih od više dionika. 2. Prijetnja je potencijalni uzrok neželjenog incidenta koji može dovesti do štete za organizaciju 3. Posljedice prijetnji treba procijeniti Vježba 5 Identifikacija izvora rizika q ^ i tyjm ^ ^umfmiii i) I PECS \jtSf 7mr IKM^ Za vašu organizaciju, navedite najmanje tri izvora rizika koji bi mogli utjecati na svaki od sljedećeg: 1. Kritične ugovorne obveze 2. Ugled 3. Zdravlje i sigurnost zaposlenika 4. Pravna usklađenost Trajanje vježbe: 20 minuta Komentari: 20 minuta 4, Jt. ^MK^I < 1 CcWC«NVt\ u* ^ cVWVA LCvUtH' Certificirani ISO 31000 Menadžer rizika 06KCIJ3 i Analiza i evaluacija rizika a. Procjena posljedica b. Procjeni vjerojatnosti Incidenta c. Razina procjene rizika đ, Vrednovanje rizika e. Primjer procjene rizika PECB okvir upravljanja rizikom /SO 31000, klauzula 5.4.3: Analiza rizika Analiza rizika uključuje razvijanje razumijevanje rizika. Analiza rizika omogućuje ulaz na procjenu rizika i na odluke o tome treba li tretirati rizik, te o najprimjerenijim strategijama i metodama tretiranja rizika. Analiza rizika može pružiti doprinos u donošenju odluka u kojoj izbori moraju biti izrađeni i opcije koje uključuju različite vrste i razine rizika. Analiza rizika uključuje razmatranje uzroka i izvora rizika, njihove pozitivne i negativne posljedice, i vjerojatnost da se te posljedice mogu pojaviti. Čimbenici koji utječu na posljedice i vjerojatnost trebaju biti identificirati. Rizik se analizira određivanjem posljedice i njihove vjerojatnosti i drugih atributa rizika. Događaj može imati višestruke posljedice i može utjecati na više ciljeva. Postojeće kontrole i njihovu djelotvornost i učinkovitost također treba uzeti u obzir. Način na koji su izražene posljedice i vjerojatnost, i način na koji su u kombinaciji za određivanje razine rizika treba odražavati vrste rizika, dostupne informacije i svrhu zbog koje je izlaz procjena rizika treba koristiti. To bi trebalo biti u skladu s kriterijima rizika. Također je važno uzeti u obzir međuovisnost različitih rizika i njihovih izvora. Povjerenje u određivanju razine rizika i osjetljivosti na preduvjete i pretpostavke treba uzeti u obzir u analizi, te učinkovito prenošenje donositeljima odluka /, prema potrebi, drugih zainteresiranih strana. Čimbenici kao što su razilaženja u mišljenju među stručnjacima, nesigurnost, dostupnost, kvaliteta, količina i trajna relevantnost informacija ili ograničenja na modeliranje treba navesti i može se istaknuti. ISO 31000, točka 5.4.3: Analiza rizika (Nastavak) Analiza rizika može se provesti s različitim stupnjevima detalja, ovisno o riziku, u svrhu analize i informacije, podataka i dostupnih resursa. Analiza može biti kvalitativna, semikvantitativna ili kvantitativna, ili kombinacija navedenih, ovisno o okolnostima. Posljedice i njihova vjerojatnost mogu se odrediti modeliranjem ishoda događaja ili skupa događaja, ili ekstrapolacijom iz eksperimentalnih studija ili iz dostupnih podataka. Posljedice mogu biti izražene u smislu materijalne i nematerijalne posljedice. U nekim slučajevima, više od jedne brojčane vrijednosti ili deskriptor su potrebni za navesti posljedice i njihovu vjerojatnost za različita vremena, mjesta, grupe ili situacije. Analiza rizika ioG i hJ ILL D. 1 I • Analiza rizika se brine o razvoju I razumijevanju rizika • Analiza rizika se sastoji od određivanja posljedica i njihovih vjerojatnosti za prepoznate rizične događaje, uzimajući u obzir prisutnost (ili ne prisutnost) i efektivnost bilo koje kontrole • Posljedice i njihove vjerojatnosti su tada kombinirane kako bi odredile razinu rizika P6CS -------- Analiza rizika uključuje razmatranje uzroka i izvora rizika, njihovih posljedica i vjerojatnost da se mogu pojaviti te posljedice. Čimbenike koji utječu na posljedice i vjerojatnost treba identificirati. Događaj može imati višestruke posljedice i može utjecati na više ciljeva. Postojeće kontrola rizika i njihovu učinkovitost treba uzeti u obzir. Različiti postupci za ove analize opisani su u ISO 31010 Aneksu B. Više od jedne tehnike mogu biti potrebne za složene aplikacije. Analiza rizika obično uključuje procjenu raspona mogućih posljedica koje bi mogle nastati iz događaja, situacije ili okolnosti, i njima povezane vjerojatnosti u cilju mjerenja razine rizika. Međutim, u nekim slučajevima, gdje su posljedice beznačajne, ili se vjerojatnost očekuje da će biti izuzetno niska, jedan procjena parametra može biti dovoljna za odluku. 4.1, Procjena posljedica ISO 31000, točka 5.3.3 • Analiza posljedica određuje prirodu I tip posljedica koje se mogu dogoditi pretpostavljajući da se određeni događaj ili situacija dogodila • Analiza posljedica može varirati od jednostavnog opisa rezultata sve do detaljnog kvantitativnog modela ili analize ranjivosti Posljedice mogu biti niske, ali vjerojatnost može biti visoka ili visoku posljedicu a malu vjerojatnost, ili neki srednji ishod. U nekim slučajevima, potrebno je usredotočiti se na rizike s potencijalno vrlo velikim rezultatima, jer su to često najveća briga menadžerima. U drugim slučajevima, može biti važno analizirati obje visoke i niske posljedica rizika zasebno. Na primjer, česta ali mala posljedica može imati velike kumulativni ili dugoročne učinke. Osim toga, akcije za tretiranje koje se bave tim dvjema različitim vrstama rizika često su prilično različite, tako da ih je korisno analizirati odvojeno. Analiza posljedica može uključivati: • uzimanje u obzir postojeće kontrole za tretiranje posljedica, zajedno sa svim relevantnim doprinosnim čimbenika koji imaju utjecaj na posljedice; • odnos posljedice rizika na izvornim ciljevima; • uzimanje u obzir obje neposredne posljedice i one koje mogu nastati nakon nekog vremena, ako je to u skladu s opsegom procjene; • uzimanje u obzir sekundarne posljedice, poput onih koje utječu na povezane sustave, aktivnosti, opremu ili organizaciju. 4.1 Procjena posljedica ISO 27005, točka 8.3,2 • Predviđene posljedice mogu biti izražene kvalitativno ili kvantitativno • Vrijednost posljedica obično ovisi o vrijednosti i kritičnosti imovine koja je obuhvaćena scenarijem incidenta • Ova procjena može biti dobivena iz poslovne analize posljedica Procjena utjecaja redovito se provodi u sklopu pripreme poslovnih planova kontinuiteta ili planova za oporavak od katastrofe, ali se može koristiti i na višoj razini u kontekstu procjene posljedica razvijenih scenarija incidenata. Procjena posljedica - Faktori koje treba razmotriti ........................... ISO 27006, Aneks B.3 Procjena posljedica Izravne posljedice * Financijski trošak zamjene izgubljene (dijela) imovine * Cijena nabave, podešavanja i instalacije nove imovine ili arhive « Cijena ne funkcioniranja do ponove uspostave funkcije servisa * Posljedice kod propusta informacijske sigurnosti »Cijena izgubljenih prilika 8 Gubitak prihoda uzrokovano korištenjem pogrešnih informacija dobivenih kroz sigurnosni propust * Kršenje zakonskih i ugovornih obveza «Kršenje etičkog kodeksa Vrijednost određena posljedicom na poslovanje, općenito je znatno veća od jednostavnog troška zamjene imovine. Da bi se dobila procjena koja odgovara stvarnosti, moramo uzeti u obzir izravne i neizravne posljedice. 4.2. Procjena vjerojatnosti incidenta ISO 31010, točka 5.3.4 Postoje tri pristupa za procjenu vjerojatnosti; mogu se koristiti zasebno ili zajednički: • Korištenje relevantnih povijesnih podataka za identifikaciju događaja i situacija koje su nastale u prošlosti te stoga mogu ekstrapoiirati vjerojatnost pojavljivanja u budućnosti • Vjerojatnost se predviđa korištenjem prediktivnih tehnika kao što su: stablo grešaka i stablo događaja • Mišljenje eksperta se može koristiti u sistematskom I strukturiranom procesu kako bi se predvidjela vjerojatnost Likelihood (vjerojatnost) - Definicija ISO 31000, točka 2,19 Vjerojatnost ■ Šansa nekog događaja »Kvalitativno i kvantitativno i opisno koristeći opće ili matematičke termine (Kao što su vjerojatnost ili frekvencija u vremenu) i*,. Engleski pojam "likelihood" nema izravan ekvivalent u nekim jezicima; Umjesto toga, ekvivalent pojma "vjerojatnost" se često koristi. Međutim, na engleskom jeziku, "probability" često se usko tumačiti kao matematički pojam. Stoga, u upravljanju rizicima terminologiji, "likelihood" se koristi s namjerom da ima istu široku interpretaciju kao pojam "probability" u mnogim drugim jezicima. Procjena vjerojatnosti incidenta Primjer Kvalitatvre sKa'r- Vrlo rijetka..,: Manje od jednom u 100 godina .Rijetko . :, U prosjekM jfcli}gro :u:10 godtaa: i Vjerojatncj, , j U,:prosjeku.jednom: u. 3;.godine,. .. i.Vr^,vjerojatno. U prosjeku jednom godišnje: . 4 i .Pp svoj prtiW . .. : .Ne koli ka,pijta g^^if nje ■:::, 5 Gotovo t Nekofiko,pii.ta mjeseCpo: : :;. ...fsteicGlicG^........ 7...... Vrlo uobičajeno Nekoliko puta dnevno PEQ Razina rizika - Definicija fiSC^ 31000, foC-ks 2*23 Magnituda rizika, izražena u terminima kombiniranja posljedica i njihove vjerojatnosti Posljedica Primjer matrice rizika ISO 27005. Aneks E.2.'> , ' ; ■ .-.:■ j \ •=> a J posfjedrca . 1 .■. . . • ' ci 2 Is 4 iišišim ......... 5 4 ImisŠišmi plJII | Sgssi liill Hf Hi 7 8 pecs PECB Okvir upravljanja rizikom peci" ISO 31000, točka 5.4.4: Procjena rizika Svrha procjene rizika je pomoći u donošenju odluka, na temelju rezultata analize rizika, o tome kojim rizici je potrebno tretiranje i prioritet za provedbu tretiranja. Procjena rizika uključuje uspoređivanje razina rizika pronađenih tijekom analize rizika s kriterijima utvrđenim kada se utvrdio kontekst. Na temelju ove usporedbe, može se razmatrati potreba za tretiranjem rizika. Odluke trebaju uzeti u obzir širi kontekst rizika i uključiti razmatranje tolerancije rizika organizacije koja ima koristi od rizika stranaka. Odluke trebaju biti u skladu sa zakonskim, regulatornim i drugim zahtjevima. U nekim slučajevima, procjena rizika može dovesti do odluke da se poduzmu daljnje analize. Procjena rizika može dovesti do odluke da se ne obrađuje rizik u bilo kojem drugom obliku nego održavati postojeće kontrole. Ova odluka će biti pod utjecajem stave organizacije prema rizicima i kriterijima za rizike. 5.1. Evaluacija rizika 'SO <1000, točka 5 4.4 1 ISO il0l0; Uxhr, 5.4 • Svrha evaluacije rizika Je da pomogne u donošenju odluka, temeljenih na rezultatima analize rizika, o rizicima koji trebaju tretiranje i prioritetima za implementaciju tretiranja • Evaluacija rizika uključuje uspoređivanje razina rizika pronađenih tijekom procesa analize sa uspostavljenim kriterijem rizika kod donošenja konteksta • Temeljeno na ovoj usporedbi, može se razmatrati potreba za tretiranjem rizika peca Odluke trebaju uzeti u obzir širi kontekst rizika i uključiti razmatranje toleranciju rizika koju osim organizacije koja ima koristi rizike imaju i dionici. Odluke trebaju biti u skladu sa zakonskim, regulatornim i drugim zahtjevima. U nekim slučajevima, procjena rizika može dovesti do odluke da se poduzmu daljnje analize. Procjena rizika može dovesti do odluke da ne obrađuje rizik u bilo kojem drugom obliku nego samo da se održavaju postojeće kontrole. Ova odluka će biti pod utjecajem stave prema rizicima organizacije i kriterijima rizika koje su uspostavljene. Smjernice za evaluaciju rizika • Priroda odluka kqfe se odnose na procjenu rizika i kriterija evaluacije rizika koji će se koristiti za donošenje tih odluka bi trebala biti donesena pri uspostavi konteksta • Te odluke i kontekst trebaju biti detaljno revidirani u ovoj fazi kada se zna više o identificiranom riziku • Za evaluaciju rizika, organizacije trebaju usporediti razine rizika za kriterijem evaluacije definiranim tijekom uspostave konteksta Kriteriji ocjenjivanja rizika koristi se kako bi se donijela odluka u skladu s definiranim kontekstom vanjske i unutarnje upravljanja rizicima i uzeti u obzir ciljeve organizacije i dionika pogleda, itd. Odluke kako poduzeti aktivnosti procjene rizika uglavnom se temelji na prihvatljivoj razini rizika. Međutim, posljedice, vjerojatnost, i stupanj povjerenja u identifikaciji i analizi rizika treba uzeti u obzir kao dobro. Agregacija višestrukih niskih ili srednjih rizika može dovesti do puno većih ukupnih rizika i treba se rješavati u skladu s tim. Primjer evaluacije rizika ISO 27006, Aneks E, Tablica E.2 Prijetnji Scenarij A Scenarij B Scenarij C Scenarij D ScenarijE Scenarij F Posljeciic a :iniQv.nai v/rijoorosi Vjerojćii-'io^t po;fiv"i prijerje Mjorci nzika na.,.",«:i rv.ikd: m a, 15 J, 8 Rang pno-iteta iC'lkd Prioratizacija rizika ISO 31000, točka 5.4.4 • Organizacija treba prioritizirati implementaciju tretiranja rizika Posljedica rizika Visoka Prioritet 2 Pioritet 1 Prioritet 4 P'ioritet 3 Niska —„—.........Vjer®jssta®st Visoka poja« rizika Prioritizacija rizika Pfcz»::r• toOj>3 ;;tata [prvivfir. Posljedice Vrte visoki Visoka Srednja-* Niska m EH ^Vjerojatnost PECS I VrJo vjerojatno Vjerojatno Srednje Ratioa riiika (vjerojatnost c posljedica) 3 Važno 2 Srednje PITANJA? ? o ? * If » , 7 i 9 9 f r m Sažetak sekcije: 1. Procjena posljedica može biti izražena u kvalitativnom ili kvantitativnom smislu. Vrijednost utjecaja obično ovisi o vrijednosti i kritičnosti imovine pogođenih u scenariju incidenta. 2. Procjena rizika je usporedba procijenjenih razina rizika s kriterijima za ocjenjivanje i kriterijima prihvatljivosti rizika, te su im prioritet. Vježba 8 Identifikacija posljedica i vjerojatnosti Trajanje vježbe: 20 minuta Komentari: 20 minuta Certificiran! ISO 31000 Menadžer rizika Sekcija 8 Tretiranje rizika a. Proces tretiranja rizika b. Opcije tretiranja rizika e„ Plan tretiranja rta'fca PECB okvir upravljanja rizikom ISO 31000, točka 5.5: Tretiranje rizika 5.5.1 Općenito Tretiranje rizika uključuje odabir jedne ili više opcija za promjenu rizika, i provedbu tih opcija. Nakon provedbe, tretiranje nudi ili mijenja kontrole. Tretiranje rizika uključuje ciklički proces: - procjena tretiranja rizika; - odluka da lije preostali rizik prihvatljiv; - Ako nije prihvatljiv, novo tretiranje rizika; i - procjenu učinkovitosti tog tretiranja. Mogućnosti tretiranja rizika nisu nužno međusobno isključive ili prikladne u svim okolnostima. Opcije mogu uključivati sljedeće: a) Izbjegavanje rizika odlukom o ne započinjanju ili nastavku aktivnosti koje za sobom povlače rizik; b) povećanje rizik kako bi se ugrabila prilika c) uklanjanja izvora rizika; d) mijenjanje vjerojatnosti; e) mijenjanje posljedice; f) dijeljenje rizika s drugom stranom ili stranama (uključujući ugovore i financiranja rizika); i g) zadržavanje rizik po odluci. Tretiranje rizika ISO 31010, točka 4.3.5 s Nakon provedene procjene rizika, tretiranje rizika uključuje odabir i prihvaćanje jedne ili više relevantnih opcija za promjenu vjerojatnosti pojavljivanja, efekt rizika ili oboje, te implementacija tih opcija, ^ Ovo je praćeno procesom ponovne procjene nove razine rizika, sa pogledom kako odrediti njegovu tolerantnost pas Izbjegavanje rizika ISO 27005, toč Kada se uvidi da su scenariji identificiranih rizika prerizicni, može se donijeti odluka za kompletno izbjegavanje rizika: Odustajanjem od provođenja aktivnosti — lii modifikacijom uvjeta pod kojim se odvija poslovanje Kad se identificirani scenariji rizika smatraju previsoki ili troškovi provedbe tretiranja rizika mogu biti veći od koristi, odluku može biti donesena bi se izbjegao rizik u potpunosti, od otkazivanja aktivnosti ili skupa aktivnosti ili mijenjanja uvjeta pod kojim se posao radi. Na primjer, za rizike uzrokovane prirodom, to bi moglo biti više isplativo da se fizički premjestiti obradu informacija objekt u mjestu gdje rizik ne postoji ili je pod kontrolom. Jedini način da se otkloni ili izbjegne rizik u potpunosti je eliminirati ga po njegovom izvoru: ako aktivnost predstavlja rizik, aktivnost neće biti nastavljena. S gledišta donositelja odluka, ova strategija je jednostavna, manje rizična i jeftinija, ali to može biti prepreka za razvoj organizacije. Ne poduzimati bilo kakve aktivnosti da se izbjegne opasnost od gubitka, ako to znači odustajanje sposobnost da profit. Strateški, u situaciji zbog nepoznatih ili nekontroliranih rizika, mudro je privremeno izbjegavati rizik, uzeti vremena za analizu situacije i provesti plan za odgovarajuće upravljanje rizicima. Izbjegavanje rizika mora uvijek biti u ravnoteži s poslovnim potrebama i potrebama upravljanja rizicima organizacije. Povećanje rizika .r-vanja rizika? • Smanjenje razine kontrole ili veća izloženost riziku • Dvije logične situacije: 1 Povećati izloženost riziku ukoliko organizacija može iskoristiti više prilika 2, Smanjiti cijenu koštanja kontrola ukoliko je cijena veća od moguće zarade (benefita) i PEGS Povećanje rizika je opcija "Modifikacija rizika". Uklanjanje rizika Ova opcija se sastoji od uklanjanja izvora rizika. Ova opcija je izvediva samo ukoliko organizacija ima mogućnost uklanjanja izvora rizika, Primjer: Lobiranje za povlačenje zakona, PECB Modifikacija rizika i SO 27005, toc^a Razina rizika može biti upravljiva uvođenjem, uklanjanjem ili modifikacijom kontrola tako da preostali rizik može biti prihvatljiv. Dvije opcije: • Promjena vjerojatnosti • Promjena posljedice Odgovarajuće i opravdane kontrole treba odabrati kako bi ispunile zahtjeve utvrđene u procjeni rizika i tretiranja rizika. Ovaj izbor bi trebao uzeti u obzir kriterije prihvatljivosti rizika, kao i zakonske, regulatorne i ugovorne uvjete. Ovaj izbor također treba uzeti u obzir troškove i vremenski okvir za provedbu kontrole ili tehničke, ekološke i kulturne aspekte. Često je moguće smanjiti ukupne troškove vlasništva sustava s dobro odabranim kontrolama. U principu, kontrole mogu pružati jednu ili više od sljedećih vrsta zaštite: ispravak, eliminaciju, sprječavanje, smanjivanje utjecaja, odvraćanje, otkrivanje, oporavak, praćenje i svijest. Tijekom odabira kontrola važno je vagati troškove stjecanja, implementacije, administracije, rada, nadzora i održavanja kontrole protiv nasuprot vrijednosti zaštićene imovine. Nadalje, povrat investicije u smislu smanjenja rizika i potencijala za iskorištavanje novih poslovnih mogućnosti koje pružaju određene kontrole treba uzeti u obzir. Osim toga, treba razmotriti specijalizirane vještine koje mogu biti potrebne za definiranje i provedbu novih kontrola ili mijenjanje postojećih. Dijeljenje rizika • Rizik može biti podijeljen sa drugom stranom koja može rizikom učinkovitije upravljati • Ovo je najbolja opcija kada: 9* Je teško da organizacija smanji rizik na prihvatljivu razinu — Organizaciji nedostaje stručnosti za upravljanje Je ekonomičnije prenijeti rizik na treću stranu Dijeleći rizik, organizacija ga prenosi u dijelu ili u cjelini na treću osobu. Dijeljenje rizika uključuje odluku o prijenosu rizika na vanjske strane. Dijeljenje rizika može stvoriti nove scenarije rizika ili mijenjati postojeće. Dakle, nova iteracija procjene rizika i tretiranja rizika može biti potrebna. Treba napomenuti da čak i ako je moguće podijeliti upravljanje rizikom, nije moguće dijeliti odgovornost o riziku. Sudionici u organizaciji općenito će dodijeliti odgovornost za incident ili katastrofu samoj organizaciji. Važna napomena: morate imati na umu da uvijek postoji preostali rizik vezan uz podjelu rizika. U slučaju osiguranja, često postoje klauzule isključenja za koje nije osigurano. Ugovor i pregovori postali su kamen temeljci za određivanje razine dijeljenja rizika, budući daje vrijednost preostalog rizika izravna posljedica toga. U slučaju outsourcinga, ugovori mogu sadržavati isključenja i još važnije, neke rizike nije moguće dijeliti, primjerice, ugled organizacije. Dijeljenje rizika Moguće metode Postoje dvije glavne metode dijeljenja rizika: 1. Osiguranje: Bilo koji drugi oblik pokrivanja rizika ugovorom u zamjenu za plaćanje premije osiguranja 2, Outsourcing: Prijenos dijela i svih poslovnih aktivnosti na vanjskog partnera Postoje dvije glavne metode dijeljenja rizika: 1. Osiguranje: Bilo koji drugi oblik koji pokriva rizike ili financijsko jamstvo ugovorene strane organizacije u zamjenu za plaćanje premije. Ako se materijaliza rizik, organizacija će se nadoknaditi osiguranjem na temelju uvjeta dogovorenim između stranaka. 2. Outsourcing: Bilo koji oblik prijenosa svih ili dijela poslovanja na vanjske partnere. Sa stajališta upravljanja rizicima, princip se temelji na povjerenju da će vanjski partner biti u mogućnosti bolje upravljati rizikom, a ne upravljati u samoj organizaciji. Na primjer, organizacija "outsourcesa" praćenje svoje mreže na vanjskog dobavljača koji može osigurati 24x7 usluge, nešto što se ne može provesti vlastito osoblje. Mehanizme prijenosa rizika treba formalizirati kroz ugovoru u oba slučaja osiguranja ili outsourcinga. Zadržavanje rizika ISO 27005, točka 9.3 • Ukoliko razina rizika zadovoljava kriterij za prihvaćanje, nije potrebno implementirati dodatne kontrole i rizik može biti prihvaćen • Zadržavanje trenutnog rizika, mora biti dokumentirano Zadržavanje rizika može biti održiva opcija za organizaciju sa niskim ili beznačajnim scenarijem rizika. Također, moramo prihvatiti scenarije rizika za koje ne možemo provoditi kontrole, a koji se ne mogu osigurati. Rat je primjer takvog rizika, rizici rata najčešće nisu osigurani. Kad je rizik prihvaćen, dionici moraju biti obaviješten i rizik prihvaćen. Negiranje rizika / The Denial of Risk Nikkei psje Gjx-ij'i *J t'C't/anjb rlZKa "Ne mogu zamisliti uvjet koji može potopiti ovaj brod. Ne želim zamisliti nesreću koja može ugroziti živote na ovom brodu." Kapetan Titan ic-a, 1912 Izvor: Institute for Governance of Information Systems I SAGA, 2004 Organizacija mora uspostaviti pro aktivne aktivnosti koje omogućuju preventivni pristup rizicima. Poricati da je organizacija u opasnosti je redovno viđen stav, osobito ako organizacija nije doživjela veće incidente u posljednjih nekoliko godina. S druge strane, menadžer rizika koji promatra rizike posvuda i tko pretjeruje s mogućim posljedicama, riskira da izgubi svu vjerodostojnost u svojoj organizaciji. Maksimiziranje cijena/rizik odnosa Visoko Visoko Nisko Nisko Nema »f' «« Cs "t >-r>fk»i -t'io jnisesdufe, g t * Upravljanje rizicima je kompromis između rizika i troškova. Organizacija mora nastojati maksimizirati korištenje kontrola. To maksimalizacija se postiže kada je cijena kontrole stavljena na mjesto u ravnoteži sa rizikom. Prekomjerna razina kontrole će nadmašiti rizik i stoga će biti ekonomski nevažna. Osoblje organizacije može zaobići kontrole u slučaju prekomjernog tereta. Učinkovitost organizacije ne smije biti ometen birokratskim procedurama kao što je to ponekad slučaj. Vrlo niska razina kontrole rizika će dovesti do većih rizika za troškove provedbe kontrola; ova situacija je i ekonomski nevažna. Ravnotežna točka je krajnji cilj, ali glavni problem za organizacije je da ne spadaju u jednu od dvije krajnosti koje su jednako loše kao jedan od drugoga. Upravljanje rizicima mora biti usklađeno s potrebama poslovanja. Nepotrebno je imati kontrole koje su najsofisticiranije i napredne (i stoga često skuplje), ako je rizik zanemariv. Kontrole moraju biti povezane s rizikom koji proizlazi iz vrijednosti štićene informacijske imovine; ovo je važnost analize rizika. 8,2. Definiranje plana tretiranja rizika ISO 31uOC\ if{ h, 5.5.3 Svrha plana tretiranja rizika je dokumentiranje kako će se opcije tretiranja rizika implementirati. Informacije u planu tretiranja rizika trebaju uključivati: - Razloge za odabir opcije tretiranja kao i očekivane benefite; - Odgovorne osobe za odobravanje plana, kao i odgovorne osobe za implementaciju plana; - Predložene akcije; - Zahtjeve za resurse uključujući i nepredviđene resurse; - Mjere uspješnosti i ograničenja; - Zahtjeve za izvještavanjem i nadzorom; i - Vrijeme i raspored. Planovi tretiranja rizika trebaju biti integrirani s procesima upravljanja organizacije i diskutirani s odgovarajućim zainteresiranim stranama. Plan tretiranja rizika • Kada su donesene odluke za opcije tretiranja rizika, aktivnosti za implementaciju ovih odluka moraju biti identificirane i planirane • Aktivnosti trebaju bili' rangirane prema • Potrebni resursi trebaju biti alocirani u planu tretiranja Prioritetne akcije obično određuje kako bi se osiguralo da se aktivnosti usmjerene na najveći rizik, iako procesi mogu utjecati na političke prioritete, kao što je potreba da se pokažu rezultati vrhovnoj upravi ili zaradu. drugi brzu PITANJA? 9 ?o ? ? f ? i ^ f^fHCIJS Sažetak sekcije: 1. Postoji šest opcija za tretiranje rizika: izbjegavanje rizika, povećanje rizika, uklanjanje rizika, mijenjanje rizika, dijeljenje rizika i zadržavanje rizika. 2. Uskraćivanje rizika nikada nije opcija za upravljanje rizicima. 3. Nakon što su donesene odluke za tretiranje rizika, aktivnosti za provedbu tih odluka moraju biti identificirane, planirane i dokumentirane u planu tretiranja rizika. V1* v a jezba 7 Opcije tretiranja rizika Iz prethodne vježbe odaberite 6 izvora rizika koje ste identificirali, te identificirajte koje tretiranje rizika bi odabrali i obrazložite svoj odgovor. Trajanje vježbe: 20 minuta Komentari: 15 minuta Certificirarii ISO 31000 Menadžer rizika Prihvaćanje preostalih rizika ISO 31000, točka 5,5.3 Donosioci odluka i drugi dionici trebaju biti svjesni prirode i opsega preostalih rizika nakon tretiranja rizika. Preostali rizik treba biti dokumentiran i podložan nadzoru, reviziji i gdje je moguće daljnjem tretiranju. PSB Prihvaćanje preostalog rizika ISO 31000, cecka 2.27 Prihvaćanje preostalog rizika I Inherentni rizik Svirači bez Kontrola 1. Preostali rizik Preostali rizik nakon tretiranja rizika lipr-.iv;! moid biti svjetim t>ieost<>io;j rmk;i i mora {.ii{>y;i;in odiiovorncis! njif) 2, Tretirani rizik Srtrslrml rizik uporabom kontrola MttliHMWriN Preostali rizik je rizik koji ostaje nakon tretiranja rizika. Pojam preostalog rizika može se definirati kao rizik koji ostaje nakon provedbe kontrole s ciljem da se smanji inherentni rizik, a može se sažeti kako slijedi: Preostali rizik = inherentni rizik - tretirani rizik nakon kontrole Nakon provedbe plana tretiranja rizika, uvijek postoje preostali rizici. Vrijednost smanjenja rizika nakon tretiranja rizika treba vrednovati, izračunati I dokumentirani. Preostali rizik može biti teško procijeniti, ali procjena najmanje treba osigurati da vrijednost preostalog rizika poštuje kriterije prihvaćanja rizika organizacije. Također, organizacija mora svakako postaviti nadzorne mehanizme za preostale rizike. Ako preostali rizik ostaje neprihvatljiv nakon provedbe kontrole, odluka mora biti donesena na koji način da se tretira (postupa) sa rizikom. Jedna od mogućnosti je da se identificiraju i druge mogućnosti tretiranja rizika poput dijeljenja rizika (osiguranje ili outsourcing) kako bi se smanjio rizik na prihvatljivu razinu. Druga mogućnost je da se prihvate rizici svjesno i objektivno. Čak i ako je dobra praksa da se tolerirati rizik za koje je razina iznad kriterija rizika definiran od strane organizacije, nije uvijek moguće smanjiti sve rizike na prihvatljivu razinu. U svim okolnostima, preostale rizike treba shvatiti, prihvatiti i odobren od strane menadžmenta. Prihvaćanje preostalog rizika ISO 31000. točka 5.5.1 Prihvaćanje preostalog rizika od strane uprave Oprava mora biti svjesna preostalog rizika i mora prihvatiti odgovornost za njih Kriterij prihvaćanja rizika it |: ■ 1 HMmH V pica Prihvaćanje preostalog rizika ISO 31000, točka 5,5.3 • Donosioci odluka i dionici moraju biti svjesni prirode i opsega preostalog rizika nakon tretiranja rizika * Preostali rizik mora biti dokumentiran i podložan nadzoru, reviziji i kada je prikladno, daljnjem tretiranju »ECS Prihvaćanje rizika koji nije u skladu s kriterijem prihvaćanja rizika? Smjernice U nekim slučajevima razina preostalog rizika ne može zadovoljiti kriterije prihvatljivosti rizika, jer kriteriji koji se primjenjuju ne uzimaju u obzir prevladavajuće okolnosti Na primjer, može se reći da je potrebno prihvatiti rizik, jer su prednosti koje prate rizike vrlo atraktivni, ili zato što je cijena modifikacije rizika previsoka ( UamcSA , f^i^U^.tWf»|P v f Takve okolnosti ukazuju da su kriteriji prihvatljivosti rizika nedovoljni i potrebno ih je revidirati, ako je moguće Nije uvijek moguće pravodobno revidirati kriterije prihvaćanja rizika. U takvim slučajevima, odluka možda morati prihvatiti rizike koji ne zadovoljavaju normalne kriterije prihvaćanja. Ako je to potrebno, donositelj odluke treba izrijekom komentirati rizike i uključiti opravdanje za odluke za nadvladavanje normalnog kriterija prihvaćanja rizika. Certlficirani ISO 31000 Menadžer rizika Sekcija 10 Komunikacija i savjetovanje o riziku a. Ciljevi komunikacije rblha b. Komunikacija 1 percepcija rizika c. Plan komunikacije d. Zapisi odluka I komunikacija pecs ea—Mj PECB okvir upravljanja rizikom ISO 31000, točka 5.2: Komunikacija i savjetovanje Komunikacija i savjetovanje s vanjskim i unutarnjim dionicima treba se odvijati tijekom svih faza procesa upravljanja rizicima. Dakle, planove za komunikaciju i savjetovanje treba razviti u ranoj fazi. Trebali bi se baviti pitanjima koja se odnose na same rizike, njihove uzroke, posljedice (ako su poznate) rizika, te poduzimaju mjera kako ih tretirati. Učinkovito vanjsko i unutarnje komuniciranje I savjetovanje trebao održati kako bi se osiguralo da oni odgovorni za provedbu procesa upravljanja rizicima i dionici razumiju osnove na kojima se donose odluke, a razlozi zbog kojih su pojedini postupci potrebni. Savjetodavni tim pristupom može: • pomoći uspostaviti kontekst ne odgovarajući način; • osigurati da su interesi dionika shvaćeni i uzeti u obzir; • osiguralo da su rizici adekvatno identificirati; • donijeti različita područja stručnosti zajedno za analizu rizika; • osigurati različite poglede na odgovarajući način te ih uzeti u obzir pri definiranju kriterija i vrednovanja rizika; - sigurno potvrditi i biti podrška za plan tretiranja; • unaprijediti odgovarajuće upravljanje promjenama tijekom procesa upravljanja rizicima; i • razviti odgovarajuću vanjsku i unutarnju komunikaciju i plan savjetovanja. Komunikacija i savjetovanje s dionicima je važno jer oni čine sudove o riziku na temelju njihove percepcije rizika. Te se percepcije mogu razlikovati zbog razlika u vrijednosti, potreba, pretpostavki, koncepata i zabrinutosti dionika. Kako njihovi stavovi mogu imati značajan utjecaj na odluke, percepcije dionika treba identificirati, zabilježiti i uzeti u obzir u procesu donošenja odluka. Komunikacija i savjetovanje trebaju olakšati istinite, relevantne, točne i razumljive razmjene informacija, uzimajući u obzir povjerljive i osobne aspekte integriteta. 8> Komunikacija I savjetovanje o rizicima Lista aktivnosti 8,2 Uspostava komunikacija o 8.3 Vanjska komunikacija i mehanizmi ovjeravanja komunikacija i 8. 3:1..:? Komunikacija rizika je aktivnost usmjerena na postizanje dogovora 0 tome kako upravljati rizikom razmjene i / ili razmjenu informacija rizika između donositelja odluka i drugih zainteresiranih strana. Ova informacija uključuje, bez ograničenja, postojanje, prirodu, vrstu, vjerojatnost, ozbiljnost, tretiranje i prihvatljivost scenarija rizika. Principi efektivne komunikacijske slrategp Transparentnost Napra«n procese procedum, postupke, fitvwe podataka i pseSposSavks korištene u kermeikaei m raspolaganju svim &wtssesira«m stranama, vodeći računa o povjet|vos8 podataka pf«»» jx»ew kof»rtkadjs Primjerenost Ptoviecfte da su Irtformacijs u te»w»kaaji s fetevamnm zainteresiranim siranama, pomoću formate, jezika i medija koji za<tow>§avaju njihove mterese i potrebe, omogućujući im da u potpunost s«|alp Vjerodostojnost Provesti komunikaciju na iskren t pošten naiift, i prulifi irftfmacis koja su isBrtle, toči« i maferitat®. Rsaši informacije i po<Sait® pomoću priznatih i pocwwfvNt metoda I pokaatefja Reagiranje Odgovoriti rv, upite i ^aMjeve xsinteresi kako su njihovi upit! i problem otwadfeni zainteresiranih sirana u poipunosti i pravodobno. Os»jestite jairteesirane Jasnost U^ente se da su komunikacijski pristupi < |aSk remmfM zainteresiranim siranama kata W se smanjila dvosmislenost PECB 8.1. Definiranje ciljeva komunikacije rizika Komunikacija rizika treba za cilj imati: a* Potvrditi rezultate upravljanja rizicima organizacije a* Prikupiti podatke o rizicima Podijelite rezultate dobivene procjenom rizika i predstaviti plan tretiranja rizika i* Koordinirati s drugim stranama i planirati akcije za smanjenje posljedica incidenata koje se mogu pojaviti a* Dati osjećaj odgovornosti donosiocima odluka i dionicima o rizicima «s» Poboljšati svjesnost o pitanjima upravljanja rizicima PECB Komunikacija i percepcija rizika Smjernice • Percepcije rizika mogu varirati zbog razlika u pretpostavkama, konceptima i potrebama, brigama dionika vezanim za rizik • Dionici će vjerojatno donositi odluke o prihvatljivosti rizika na temelju njihove percepcije rizika • To je posebno važno kako bi se osiguralo da se percepcije rizika dionika, kao i percepcije prednosti, mogu identificirati i dokumentirati te se temeljni razlozi mogu jasno razumjeti i riješiti PECB 8.2. Uspostava plana komunikacija rizika Smjernice • Organizacija treba razviti planove komunikacije rizika za normalno poslovanje, kao i za hitne situacije, Dakle, aktivnost komunikacije rizika treba provoditi kontinuirano • Koordinacija između glavnih donositelja odluka i dionika može se postići formiranjem odbora za upravljanje rizicima • Važno je da surađuje s odgovarajućim jedinicom odnosa s javnošću i komunikacijske jedinice unutar organizacije kako bi koordinirali sve poslove koji se odnose na komunikaciju rizika ISO 31000, točka A.3.4: Kontinuirana komunikacija Poboljšano upravljanje rizicima uključuje kontinuiranu komunikaciju s vanjskim i unutarnjim dionicima, uključujući sveobuhvatno i često izvještavanja uspješnosti upravljanja rizikom, kao dio dobrog upravljanja. To može biti označeno komunikacijom s dionicima kao sastavni dio i bitna komponenta upravljanja rizicima. Komunikacija se s pravom doživljava kao dvosmjeran proces, tako da ispravne odluke mogu biti donesene o razini rizika i potrebe za tretiranjem rizika u skladu s pravilno utvrđenim i sveobuhvatnih kriterijem rizika. Sveobuhvatno i često vanjsko i unutarnje izvještavanje o značajnim rizicima i performansama upravljanja rizicima značajno doprinosi učinkovitom upravljanju u organizaciji. 8.3 Uspostava interne komunikacije I mehanizama za izvješčivarije................. ISO 31000, točka 4,3.6 Organizacija mora uspostaviti unutarnju komunikaciju i mehanizme za izvješćivanje u cilju podupiranja i poticanja odgovornosti i vlasništva rizika. Ti mehanizmi trebali bi osigurati da: -i* Ključne komponente za upravljanje rizicima, i sve naknadne izmjene, se komunicira na odgovarajući način Postoji odgovarajuće unutarnje izvješćivanje o okviru, njegovoj učinkovitosti i ishodima & Su relevantni podaci dobiveni od primjene upravljanja rizicima dostupni na odgovarajućim razinama i u odgovarajuće vrijeme Postoje procesi za konzultacije s unutarnjim dionicima _.........- Ti mehanizmi trebaju, gdje je to prikladno, uključiti procese kako bi objedinili podatke rizika od različitih izvora, i moraju uzeti u obzir osjetljivost informacija. Efektivna komunikacija sa dionicima JSO 31010, točka 432 Uključivanje dionika u proces upravljanja rizicima će pomoći u: • razvijanju komunikacijskog plana, • definiranju konteksta na odgovarajući način, • osiguravanju da su interesi dionika shvaćeni i uzeti u obzir, • okupljanju različitih područja stručnosti za prepoznavanje i analizu rizika, • osiguravanje da su različiti pogledi na odgovarajući način uzeti u obzir u procjenjivanju rizika, • osiguravanje da se rizici na odgovarajući način identificiraju • osiguravanje podrške i podršku za plan tretiranja PECB ________________________wmmmmmmMMmmmmsm Dionici trebaju pridonijeti među sklopom procesa procjene rizika s drugim disciplinama upravljanja, uključujući upravljanje promjenama, programiranja i upravljanja projektima, a također i financijsko upravljanje. 8.4. Uspostava vanjske komunikacije I mehanizama izvješćivanja 'SO 000 tor Ka 4.3.7 Organizacija mora izraditi i provesti plan kako će komunicirati s vanjskim dionicima. To bi trebalo uključivati: »i* Angažiranje odgovarajućih vanjskih dionika i osiguranje učinkovite razmjene informacija Vanjsko izvješćivanje u skladu s pravnim, regulatornim i zahtjevima upravljanja Pružati povratne informacije i izvješćivanje o komunikaciji i savjetovanju Korištenjem komunikacije izgraditi povjerenje u organizaciji 'š* Komuniciranje s dionicima u slučaju krize ili nepredviđenih događaja Ti mehanizmi trebaju, gdje je to prikladno, uključiti procese kako bi objedinili podatke rizika od različitih izvora, i moraju uzeti u obzir osjetljivost informacija. 8.5 Izvođenje aktivnosti komunikacije Web sirantee Novinski članci Istraživanja Izvještaji Priopćenja za tisak Vođene ture po organizaciji Brošure i novosti Reklame Radionice i konferencije Posteri Javni skupovi Intervjui u medijima Emailovi Pokusne grupe Prezentacije grupama pecB Pristup organizacije komunikaciji rizika će biti pod utjecajem bilo organizacija da želi konzultirati, razumjeti, informirati, uvjeriti i / ili uključuju ciljne skupine. Važno je napomenuti da je komunikacija rizika dinamičan proces i da je u tijeku promjena među ciljnim skupinama i unutar organizacije. U izboru pristupa komunikaciji, važno je uzeti u obzir potrebe i stupanj interesa uključenih ciljnih grupa. Osim toga, jednako je važno uzeti u obzir koliko aktivna organizacija želi biti u komunikaciji. Postoje različiti pristupi komunikacije ovisno o tome da li su organizacija i ciljne skupine aktivne ili pasivne, a ovisno o komunikacijskim rizicima ciljeva organizacije, ciljne skupine i organizacijskih resursa dostupnih za komunikaciju. Organizacija treba prilagoditi informacije koje iznosi, u skladu s početnim planiranjem, za ciljne skupine. Informacije trebaju: a) razmotriti aspekte ponašanja, društvene, kulturne, obrazovne, ekonomske i političke interese ciljnih skupina, b) koristite odgovarajući jezik, c) Vizualno koristiti slike ili elektronske medije gdje je prikladno, i d) biti u skladu s odabranim pristupu i, gdje je to bitno, s drugim informacijama o pitanjima upravljanja rizikom prethodno dostavljene od strane organizacije. Organizacija može željeti testirati svoje sredstvo pružanja informacija prije donošenja bilo kakve javne komunikacije. Istraživanje mišljenja koje se fokusira na testiranje pružanja informacija može pomoći identificirati područja koja iziskuju više objašnjenja ili pojašnjenja, ključna pitanja, pitanja koja treba riješiti, itd. 1. Web stranica: Elektronički komunikacijski medij, dostupan online svim vanjskim i unutarnjim zainteresiranim stranama. • Može uključivati izvješća, edukativni materijal ili linkove na web stranice gdje korisnici mogu pružiti povratne informacije za organizaciju. • Nudi veliki potencijal kako doprijeti do mnogih ljudi po mnogim pitanjima (i ponuditi po mjeri podatke). • Lako ažurirati, s potencijalom da se postigne dva načina komunikacije. 2. Izvješća: Iscrpan prikaz predanosti i rezultata na brojnim ključnim pitanjima. Ekstrakti ili sažetci tih izvješća mogu biti uključeni u druge komunikacije organizacije, npr financijska izvješća. • Prilika za rješavanje problema više u dubinu. Osnovni pristup za izgradnju povjerenja i vjerodostojnosti. • Stvaranje interne transparentnosti o svim bitnim pitanjima organizacije. • Težak posao za proizvodnju i može biti teško za često ažuriranje. 3. Tiskani materijal (brošure i bilteni): Kratak sažetak objekta ili određenog projekta od interesa, ključnih pitanja i kako ljudi mogu sudjelovati. • Informira i održava veze sa zainteresiranim stranama. • Može pokriti jedan problem, ako je potrebno. • Jeftin i brz za izradu. • Informira veliki broj ljudi. 4. Posteri / Displeji: Opis projekta, naglašavajući probleme i postavljanje na javnom mjestu. • Osiguravanje informacija sa relativno niskim troškovima. • Davanje informacija, umjesto primanja. • Držite se glavne točke. Koristite fotografije i karte. Može se redovito ažurirati. 5. E-mail: Elektronički način slanja informacija i poruka. • Nudi priliku za slanje elektroničke kopije papirnih publikacija. • Jeftin i jednostavan način za ljude da šalju i primaju poruke i informacije. • Brza razmjena, širenje je trenutno. • Prilika da se dosegne brzo veliki broj ljudi. • Budite svjesni da poruke mogu biti izbrisane prije nego što se pročitaju, ako ljudi misle da je nevažno. • Prilikom slanja privitaka, osigurati da primatelj ima pristup kompatibilnom softveru. 6. Mediji / novinski članci: Objasnite značajke objekta ili projekta. • Može doći do velike publike. • Pogodan za javnost. • Dobro vozilo za obrazovanje. • Vjerojatno će biti uređeno od strane novina, pa će se ispričati samo dio priče. • Lokalni i nacionalni mediji i mediji mogu zahtijevati različite pristupe, stil i razinu detalja. 7. Mediji / Novinske izjave: Podaci se pripremaju i distribuiraju medijima za njegovu uporabu. • Učinkovit i jeftin način dobivanja publiciteta i interesa. • Mediji neće pokriti priču , osim ako smatraju da je vrijedna objavljivanja. 8. Mediji I Oglašavanje: Plaćeni za promotivni materijal, npr. oglas u novinama, ili sponzoriranje dijela (kao što je "posebno izvješće" regionalnih novina). • Doseže veliku publiku. • Može biti skupo. Može imati ograničen vijek trajanja. • Ograničena prilika za opisivanje složenih pitanja. 9. Javni skupovi: način prezentiranja informacija i razmjene mišljenja. Sastoji se od prezentacije, sesija pitanja i odgovora ili formalnog, vremenskog svjedočenja. • Obrađuje određeni program ili aspekt projekta. • Promatra se kao legitimna konzultacija. • Pruže informacije relativno velikom broju ljudi. Troškovi su niski. • Interakcije mogu biti ograničene. Ne bi se osiguralo svi pogledi su čuli. • Može postati emocionalno vikanje utakmicu. • Vokalna manjine može dominirati. 10. Fokus grupe: Susret s malom skupinom zainteresiranih strana sa sličnom pozadinom (npr. vladini dužnosnici ili rezidenti) kako bi razgovarali o određenoj temi. • Omogućuje slobodnu razmjenu ideja, jer se sudionici osjećaju ugodno sa svojim vršnjacima. • Često se može postići konsenzus o najvažnijim pitanjima. • Trošak vremena fokus grupe sa svim važnim zainteresiranim stranama. • Često najbolje koristiti nakon nekoliko početnih razgovora sa zainteresiranim stranama kako bi se identificirati glavni problemi koje se pojavljuju. 11. Ankete: Upitnici koji se koriste sa zainteresiranim stranama (mogu provoditi neovisne organizacije ako je to potrebno) za skupljanje demografskih podataka od ispitanika navode svoje probleme i brige. • Korisno kada se tvrtka planira etablirati u zajednici ili ako se planira velika promjena u poslovanju. • Također je dobro redovito ažurirati (npr. svake 2 godine). • Ankete mogu biti intenzivnog rada, ovisno o složenosti upitnika, način na koji su postavljena pitanja (osobno ili putem interneta, na primjer), broj osoba u uzorku i broja i veličine zemljopisnih lokacija. • Ankete mogu biti provedene od vrata do vrata ili preko telefona. One također mogu biti pisane ili se obavljati preko interneta. 12. Vođene ture po organizaciji: Posjete nude ciljanim skupinama u područjima ili postrojenjima od interesa za organizaciju. • Osigurati mogućnost licem u lice kontakta između osoblja organizacije i gostujućih stranaka. • Omogućuje na licu mjesta priliku pokazati aktivnosti organizacije. • Može se tumačiti kao vježba za odnose s javnošću, ako su prikazani samo dobri aspekti. • Ograničena u smislu broja ljudi. • Može biti skupo, zahtijeva mnogo sati osoblja. Oslanja se na znanje i vještine zaposlenika. 13. Radionice i konferencije: Dijalog događanja • Mogućnosti za niz zainteresiranih strana kako bi razgovarali o idejama, brigama i problemima. • Mogu biti vrlo produktivni i korisni u postizanju konsenzusa o pitanjima s visokim prioritetom. • Mogu biti vremenski intenzivne da se organizira kako bi se osiguralo da je dobra mješavina zainteresiranih strana prisutna. • Obično je najučinkovitije prirediti takav događaj nakon razgovora ili fokus grupe za pružanje informacija o vrsti pitanja koja mogu biti potaknuta. 14. Mediji / Radio intervjui: Kratki programi obično usmjerena na raspravu ili reagiranje kako bi suzili ili usmjerili pitanja. • Moguće doprijeti do više ljudi. • Nije moguće kontrolirati pitanja koja će biti postavljena. • Osim ako radij ska postaja omogućuje slušateljima nazvati, to je teško imati bilo koju vrstu razmjene informacija. • Držite poruke oštre, jasne i jednostavne. • Održite ove razgovore, ako se za neke od glavnih odluka smatra da će biti od interesa za široj zajednici. 15. Prezentacija grupama: Razgovori sa zainteresiranim skupinama, obično kratka prezentacija nakon koje slijede pitanje i odgovori. • Može se koristiti za unutarnje i vanjske grupe. • Grupe mogu biti ciljane, informacije mogu po mjeri zadovoljiti potrebe grupe, a informacije mogu se prenijeti drugima. • Osigurati pisane materijale koje treba razmotriti prije sastanka. • Ostavite pisani materijal koji se može ponijeti sa sobom. 8.8. Zapisivanje odluka i komunikacija ISO 31000, točke 5.7 i A.3.3 • Aktivnosti upravljanja rizicima i odluka trebaju biti sljedivi • Sva odlučivanja unutar organizac|e u vezi upravljanja rizicima treba biti zapisani • U procesu upravljanja rizicima, zapisi pružaju temelj za poboljšanje metoda i alata, kao i u cjelokupnom procesu ISO 31000, točka A.3.3: Primjena upravljanja rizicima u donošenju odluka Sva odlučivanja unutar organizacije, bez obzira na razinu važnosti i značaja, uključuju eksplicitno razmatranje rizika i primjenu upravljanja rizikom u nekoj odgovarajućoj mjeri. To može biti označeno evidencijom sastanaka i odluka koje će pokazati da su se eksplicitne rasprave o rizicima dogodile. Osim toga, trebalo bi biti moguće vidjeti da su sve komponente upravljanja rizicima zastupljene u ključnim procesima za donošenje odluka u organizaciji, npr. odluka o raspodjeli kapitala, o velikim projektima i ponovno strukturiranje i organizacijskih promjena. Iz tih razloga, čvrsti temelji upravljanja nzicima se vide unutar organizacije i pružaju temelj za učinkovito upravljanje. 8.8. Dokumentiranje odluka i komunikacija ;e»0 31010(iockLi5 5 Dokumentacija može uključivati: • ciljeve i opseg; • opise relevantnih dijelova sistema; • vanjski i unutarnji kontekst organizacije; • primijenjeni kriterij rizika i njegovo opravdanje; • limiti, pretpostavke i opravdanje hipoteza; • metodologiju procjene; • rezultate identifikacije rizika; • podatke, pretpostavke i njihove izvore i validaciju; • rezultate analize rizika i njihova evaluacija; • analize osjetljivosti i nesigurnosti; • kritične pretpostavke i ostale faktore koje treba nadziraati; Ako procjena rizika podržava kontinuirani proces upravljanja rizicima, to bi trebalo biti izvedeno i dokumentirano na način da se može održavati tijekom cijelog životnog ciklusa sustava, organizacije, opreme ili aktivnosti. Procjena treba biti obnovljena kad dođe do značajne promjene informacija I promjene konteksta, u skladu s potrebama procesa upravljanja. PITANJA? ■f i? 9 Sažetak cjeline: 1. Važno je da će odgovorni upravitelji pregledati i odobriti predložene planove tretiranja rizika i nastalih preostalih rizika i zabilježiti sve uvjete povezane s takvim odobrenjima. 2. Preostali rizik je rizik koji ostaje nakon tretiranja rizika. 3. Komunikacija rizika je aktivnost usmjerena na postizanje dogovora o tome kako upravljati rizikom razmjene i / ili razmjenu informacija rizika između donositelja odluka i drugih zainteresiranih strana. Vježba 8 Komunikacija rizika PECS Iz prethodne vježbe naznačite s kojim unutarnjim i vanjskim dionicima biste komunicirali o rizicima koje ste identificirali. Molim Vas da isto naznačite kako bi ostvarili tu komunikaciju. I Vrijeme za vježbu: 20 minuta !f Komentari: 15 minuta Af\1 % Certificirani ISO 31000 menadžer rizika Sekcija 11 Nadzor i revizija rizika a. Nadzor I revizija faktora rizika b. Nadzor I fotelja upravljanja rizikom c. Kontinuirano poboljšanje upravljanja rizikom ci, Mjtrerij© razine zrelosti upravljanja rizikom e. Zapisi rizika lii|iiilll§|fi fllBI peca PECB okvir upravljanja rizikom nadzorom, revizijom i n rizika ISO 31010, točka 4.3.6 Kao dio procesa upravljanja rizicima, rizike i kontrole treba pratiti i revidirati na reaovnoj osnovi ksko di provjerili aa. • pretpostavke o rizicima i dalje vrijede; • pretpostavke na kojima se temelji procjena rizika, uključujući vanjske i unutarnje kontekstu, ostaju na • su postignuti očekivani rezultati; • su rezultati procjene rizika u skladu sa stvarnim iskustvom; • se tehnike procjene rizika pravilno primjenjuju; • su tretiranja rizika učinkoviti Upravljanje nadzorom, revizijom i poboljšanjem rizika i SO 31000, tcK.ka 5.8 • Nadzor i audit trebaju biti planirani kao dio procesa upravljanja rizikom i trebaju uključivati redovne provjere ili nadzor, * Proces procjene će naznačiti kontekst i ostale faktore koji mogu varirati tijekom vremena i koji mogu promijeniti ili poništiti procjenu rizika. Ovi faktori trebaju biti posebno identificirani za trenutne nadzore i audite, kako bi procjena rizika mogla biti osvježena prema potrebi. Organizacija mora osigurati da proces za upravljanje rizicima i srodne djelatnosti ostanu prikladne u sadašnjim okolnostima i da ih se slijedili. Poboljšanja procesa ili radnje potrebne za poboljšanje usklađenosti s procesom treba prijaviti odgovarajućim menadžerima da su uvjereni da nema rizika ili opasnosti i da su potrebne radnje poduzete i donesene odluke pružaju realno razumijevanje rizika i sposobnost da odgovori. Nadzor, revidiranje i poboljšanje upravljanja rizikom Elementi za razmatranje Zakonski l kontekst okoliša _ .j Konkurentski kontekst . | Pristup procjeni rizika I Vrijednosti imovine i kategorije _ i Kriteriji posljedica jyi Kriterij evaluacije rizika I Kriterij prihvatljivosti rizika m-jš Ukupna cijena održavanja *<j* Potrebni resursi ISO 31000, točka 4.5: praćenje i Ispitivanje okvira Kako bi se osiguralo da je upravljanje rizicima učinkovito i da i dalje podržava organizacijsku učinkovitost, organizacija treba: - mjeriti performanse upravljanja rizicima prema pokazateljima, koji povremeno pregledava zbog prikladnosti; - periodično mjeriti napredak usklađenosti i odstupanja od plana upravljanja rizicima; -povremeno preispitati da je li okvir za upravljanje rizicima, politika i plana još uvijek prikladna, s obzirom na vanjski i unutarnji kontekst organizacije; - izvješće o riziku, napredak s planom upravljanja rizicima i koliko se dobro politika upravljanja rizicima slijedi; i -preispitati učinkovitost okvira za upravljanje rizicima. Nepostojeći strategija (ili proces): Neodređeno, tvrtka je svjesna potencijalnih rizika povezanih s upravljanjem rizicima. Dakle, nema provedene komunikacije na ovu temu. Početno: Jasno je da su neki članovi društva shvatili da je upravljanje rizicima važno. Međutim, provedeno upravljanje rizicima je ad hoc. Nema definiranog procesa ili strategije i proces nije u potpunosti ponovljiv. Općenito, nacrt upravljanje rizicima izgleda kaotičan i nesređen. Osim toga, rezultati se ne vrednuju ili revidiraju. Ponovljiv: Koncept upravljanja rizicima nije nepoznat unutar tvrtke. Proces upravljanja rizicima je ponovljiv, ali neiskusan. Proces nije potpuno definiran, međutim, aktivnosti se provode redovito i tvrtka radi na uspostavi procesa sveobuhvatnog upravljanja rizicima uključujući više rukovoditelje. Nema treninga ili službenog priopćenja o upravljanju rizicima za zaposlenike. Proces se definira: Tvrtka je odlučila ostaviti sve na odjelu upravljanja rizicima da definiraju ciljeve svog programa. Postupak se temelji na jasno definiranim ciljevima i uključujući formalne operacije je razvijen kako bi se postigla određena razina učinkovitosti i da ga ocijeniti. Osim toga, rudimentarni trening upravljanja rizicima je ponuđen svim zaposlenicima. Konačno, tvrtka postavlja formalni procesa aktivno upravljanje rizikom. Upravljani: Koncept upravljanja rizicima nije nepoznat unutar tvrtke. Postoje postupci za upravljanje rizikom, proces je jasno definiran, osoblje je dobro upoznato, rigorozan trening je proveden i procijenjene primarne metode za mjerenje učinkovitosti procesa. Program upravljanja rizicima ima dovoljno sredstava, većina tvrtke ima benefit od tima za upravljanje rizicima koji poboljšava stalno svoje procese i alate. Tehnološki alati se koriste za pomoć u upravljanju rizikom, ali mnogi postupci poput postupcima procjene rizika, identifikacija kontrola i cost-benefit analize su još uvijek obavlja ručno. Optimizirano: Tvrtka je izdvojila znatna sredstva za upravljanje rizicima i osoblje pokušavaju predvidjeti probleme i rješenja koja se mogu pojaviti u mjesecima i godinama koje dolaze. Proces upravljanja rizicima dobro apsorbira i široko je automatizirani kroz korištenje alata (razvijenih interno ili kupljenih od neovisnih proizvođača softvera). Glavni uzroci svih problema su identificirani i poduzimaju se odgovarajuće mjere da se ograniči rizik od ponavljanja. Trening prema razinama stručnosti je ponuđen svom osoblju i program kontinuirano svijest o pitanjima rizika je staviti na mjesto. Kontinuirano poboljšanje upravljanja rizikom Kontinuirano poboljšanja je proces povećanja efektivnosti i efikasnosti organizacije kako bi ispunila svoju politiku i ciljeve. Ako tvrtka radi za sada nema sustav upravljanja rizicima, može biti poželjno da se ne provede cijeli postupak u jednom komadu za cijelu organizaciju kao proces jer mogu biti suočeni s nizom velikih promjena. Najbolje je za početak provedba s ograničenim opsegom i povećati ga tijekom godina. Isto tako, uz nadzor i ocjenu funkcioniranja programa upravljanja rizicima, organizacija će povećati djelotvornost i učinkovitost u upravljanju rizicima. Efektivnost: daje rezultat (bez obzira na metodu) Učinkovitost: daje rezultat na najmanje troškove (omjer dobivenih rezultata i koristi sredstva) ISO 31000, klauzula A.3.1: Kontinuirano poboljšanje Naglasak je stavljen na kontinuirano poboljšanje u upravljanju rizicima kroz postavljanje organizacijskih ciljeva izvedbe, mjerenja, pregleda i naknadne modifikacije procesa, sustava, resursima, sposobnosti i vještina. To može biti naznačeno postojanjem eksplicitnih ciljeva provedbe prema kojima se mjeri organizacija i pojedini upravitelji. Učinak organizacije može se objaviti i priopćiti. Normalno, tu će biti najmanje jednom godišnje pregled izvedbe, a zatim revizija procesa i postavljanje revidiranih ciljeva izvedbe za sljedeće razdoblje. Ova procjena performansi upravljanja rizicima je sastavni dio procjene učinka i mjernog sustava za ukupnu organizaciju, odjele i pojedince. Zapisivanje rizika ISO 34000 tocks 5.7 Odluke koje se odnose na kreiranje zapisa trebaju uzeti u obzir: potrebe organizacije za kontinuiranim učenjem; prednosti ponovnog korištenje informacija 2a upravljanje; cijena i napori uključeni u kreiranje i održavanje zapisa; pravne, zakonske i operativne potrebe za zapisima; •a* metode pristupa, lakoća dohvaćanja i pohrane medija; — period zadržavanja; —■ osjetljivost informacija. PECB Zapisivanje rizika ISO 31000, točka 5.7 Aktivnosti upravljanja rizikom trebaju biti sljedive, U procesu upravljanja rizikom, zapisi pružaju osnovu za poboljšanjem u metodama i alatima, kao i u cjelokupnom procesu. PITANJA? 9 9 i • O ? » ? 9 IS • 1 W f " ?: } n'l PICS Sažetak sekcije: 1. Rizici i njihovi čimbenici trebaju se pratiti i revidirati (tj. vrijednost imovine, utjecaji, prijetnje, ranjivosti i vjerojatnost) za ranu identifikaciju bilo kakve promjene u kontekstu organizacije i održavati kompletno mapiranje rizika. 2. Organizacija mora osigurati da su proces upravljanja rizicima i srodne djelatnosti i prikladne te da se slijede; 3. Kontinuirano poboljšanje je proces povećanja djelotvornosti i učinkovitosti organizacije da ispuni svoju politiku i ciljeve Menadžer rizika €CB Dan 3 - Raspored Sekcija 12: Metodologije upravljanja rizikom (dio 1) Sekcija 13: Metodologije upravljanja rizikom (dio 2) Sekcija 14: Prijava za certificiranje i završetak treninga ©2015 PECB Verzija 4.5 Eric Lachapelle Broj dokumenta: 31000RMV4.5 Dokumenti dani sudionicima služe strogo za potrebe osposobljavanja i autorska su prava PECB. Ako nije drugačije navedeno, nijedan dio ovog izdanja ne smije se bez pismenog odobrenja PECB-a, reproducirati ili na bilo koji način ili oblik koristiti, ili na bilo koji način bilo da je elektronski ili mehanički, uključujući fotokopiju i mikrofilm. Alati korišteni za procjenu rizika - ISO 31010 /..... Oluju jfnozpovj* SlnAMrani tt polu strukturirani intecvfui Delphi Cek fete Primarna za hazarda Hastard and opsrabiitty studies (HA20P) Hazard ArwSysl* and Critical Control ptitats (HACCP) Procjena rizika oWSa Struktura « Što atari* » {SWIFT) Anaftza scenarija Analiza posiow® posfađšca Artelfca Norij«ffl» uzroka Artafoa uCinSca iwuspjsha Arsaltea sJabfcj otkaza (failure) Asatiža stafate događaja Aii»iiza uzroka Ana uzrok-poslj Layer protection »rtaiys® ClOFA) pouzdan« LepBf Održavanje usmjereno te pouzctososiS ArialHa kruga doušnica Markov anafta stouiacija i FN hrivufe: lisdsKs* (šaka Matrica posljedica i MuM-enteiia i evasion (MCDA) Standardi ISO 31010 nudi niz metodologija procjene rizika koje organizacije mogu koristiti za upravljanje rizicima. Metodologije koja će biti pokrivena u ovom poglavlju su oluja mozgova, Delphi tehnika, HAZOP i HACCP. A. Oluja mozgova (Brainstorming) IEC/ISO 31010, Aneks B, B.I Qbftp ibsmss šmmfiimn Ki®^ ® " : oaf«®'; mgffi tMmjhni: ; . miig- " V&đB mj&rem f- ■itlriff1 IEC / ISO 31010, Aneks B, B.1: Oluja mozgova Pregled Oluja mozgova uključuje poticanje i ohrabrivanje razgovora među skupinom poznavatelja kako bi identificirali potencijalne načine oštećenja i povezane opasnosti, rizike, kriteriji za odluke i/ili mogućnosti za obradu. Pojam „oluja mozgova" često se koristi vrlo labavo i može značiti bilo koju vrstu grupne rasprave. No prava „oluja mozgova" uključuje posebne tehnike koje pokušavaju osigurati da ljudima mašta pokreće misli i izjave o drugima u skupini. Učinkovito olakšavanje je vrlo važno u ovoj tehnici i uključuje stimulaciju rasprave na početku (kick-off), periodično poticaje skupine u drugim relevantnim područjima i zarobljavanja od pitanja koja proizlaze iz rasprave (koja je obično vrlo živa). Koristi Oluja mozgova se može koristiti u kombinaciji s drugim metodama procjene rizika opisanih u nastavku, ili se može koristiti sama za sebe kao tehnika za poticanje maštovitog razmišljanja u bilo kojoj fazi procesa upravljanja rizicima i bilo kojoj fazi životnog ciklusa sustava. To se može koristiti za razgovore na visokoj razini, gdje su identificirani problemi, za detaljnije preglede ili na detaljnoj razini za pojedine probleme. Oluja mozgova stavlja težak naglasak na maštu. Stoga je osobito korisna kada se radi identificiranje rizika novih tehnologija, gdje nema podataka, ili u kojima su potrebna nova rješenja problema. Oluja mozgova Pozadina i povijest oluje mozgova 1939, Alex Osborn je razvio oluju mozgova kao metodu za kreativno rješavanje problema Osbornova pravila za sesije oluje mozgova: - Nije dozvoljeno osuđivanje ideja (ovo dolazi kasnije) - Poticanje nevjerojatnih ideja (kasnije se mogu umanjiti) - Preferira se velika količina ideja (kvantiteta prije kvalitete) - Članovi trebaju graditi na tuđim idejama (članovi trebaju predlagati poboljšanje ideja) Oluja mozgova danas: - Oluja mozgova se u engleskim tekstovima i dalje promovira kao tehnika u "prewriting" te se grupira sa klasteriranjem, fupiranjem i prewritingom, (Ramage, 2000) Godine 1939., Alex Osborn je razvio oluju mozgova kao metodu za kreativno rješavanje problema. Bio je osnivač i glavni izvršni direktor marketinške tvrtke BBDO. Osborn bio frustriran nesposobnošću svojih zaposlenika da razviju kreativne ideje za oglasne kampanje i proizvode koje rade sami. • Empirijska istraživanja Polemika oko Osbornove tehnike usmjerena je na njegove tvrdnje da je grupna oluja mozgova proizvodi veću količinu i kvalitetu ideja nego što to pojedinci rade sami. Prema istraživačima, upravo suprotno je istinito. (Jablin, 1978) Oluja mozgova ISO 31010, Aneks B$ B.1.3, B.1,4 & 8.1.5 Ulazi rtm luđi sa ananfsm.[ orcpreaaafe. sustava. procesa A PROCES voditelj priprema razmižijanja, upućufe i reagira portprene fcmlekslu prije sesije: Cilj« sesije su definirani te su objašnjefta pravila, Moderator npofinjs sa misi i svatko istražuje ideju posfaviiajuži So je moguće više ptianga U ovom trenutnu nema dištaisife o teme treba i' i ne.treba nešto bili rta popisu ti Sto st »tisi (MXJ tfma, jer je ttarefsra da ovo Wde siobfldni lije!« misli,. prtjedtoa su prftwaesnM niti jedan rije taftiarw a or^a-Mio napreduje cfa ittep potato: I»CK>: now icteju kada od® pretSaieko za kasniju aialau pravac iscrpan ili »skusip ode predaleko ideja j& izlazi iiWIIWiB Oluja mozgova treba biti strukturirani proces kako bi bio najproduktivniji. Fiksirani, neformalni razgovor može proizvesti neke zanimljive ideje, ali obično sustavni proces je najučinkovitiji način rušenja setova uma i proizvodi nove uvide. Proces uključuje divergentnu fazu razmišljanja za generiranje i prikupljanje novih ideja i spoznaja, zatim konvergentnim faze u kojoj su ideje grupirane i organizirane oko ključnih pojmova. Oluja mozgova Opća pravila koja ! U do bi se te kako bi se od grupe, iz Oluja mozgova ISO 3"010, Aneks B, B/.6 Prednosti * Potiče mašta koja pomaže « otkrivanju novih rizika i novih rjeienja; * Uključuje ključne diorsike, a time pomaže ukupnoj komunikaciji; * Relativno brzo i jednostavno za postavljanje, Nedostaci * Sudionicima mole »Postajati yj0$b'rta i manja kako bi biti učinkoviti sudionici; » Budući da je relativno »strukturir«, teško je dokazati daje proces bfe sveobuhvatan, npr. da su svi potencijalni rizici su identificirani; * Može postojati posebna grupna dinamika, gdje neki tjuđi s vrijednim idejama ostaju skriveni dok dragi dominiraju raspravom. To se može prevladati računalnom olujom mozgova, korištenjem chat foruma ili nominalnu tehniku grupe Računalna oluja mozgova može se postaviti tako da bude anonimna, čime se izbjegava osobna i politička pitanja koja bi mogli otežati slobodan protok ideja. U nominalnoj grupi tehnika ideje podnose anonimno moderatoru, a zatim se raspravlja grupno. Provodeći oluju mozgova, menadžer rizika može iskoristiti vađenje podataka iz iskustva i kreativnosti članova tima. Kada jedan član zaglavi s idejom, kreativnost drugog člana te iskustvo može uzeti prenijeti na sljedeću fazu. Tada se ideje mogu dalje razvijati te raspravljani u veće dubine. Još jedna prednost grupne oluje mozgova je da ljudi koji su uključeni u oluju mozgova osjećaju da mogu pozitivno doprinijeti te je i odličan alat za team building. B. Delphi metoda i ED'i SO 31010. Anek jgiiliil*' i* Delphi metodsje procedura pribave pouzdanog konsenzusa millprsp od strane grup« stručnjaka. IECI ISO 31010, Aneks B, B.3: Delphi tehnika Pregled Delphi tehnika je postupak za dobivanje pouzdanog konsenzusa mišljenje od skupine stručnjaka, lako je pojam često široko korišten kao bilo koji oblik oluje mozgova, bitna značajka Delphi tehnike, kako je prvotno formulirana, bila je da stručnjaci izraze svoje mišljenje individualno i anonimno, a imaju pristup gledišta drugog stručnjaka te motri kako napreduje proces. Koristi Delphi tehnika može se primijeniti u bilo kojoj fazi procesa upravljanja rizicima, ili u bilo kojoj fazi životnog ciklusa sustava, gdje god je potrebna konsenzus pregleda stručnjaka. Delphi metoda jov:jei»t Delphi Tehnike Delphi metoda je razvijena u 1944, na početku hladnog rata. Ovu metodu je zatražio general Henryja H. Amolda kao izvješće za Zračne snage SAD-a kako bi predvidjeti tehnološke inovacije koje bi mogle biti korištene u vojne svrhe. Različiti pristupi su probani, ali budući da nije bilo znanstvenih zakona u tom razdoblju, nedostaci kao što su teorijski pristupa kvantitativni modeli ili trend ekstrapolacije brzo su postali evidentni. Za borbu protiv ovih nedostataka, Delphi metoda je razvijena 50-ih godina od strane Dal key i Helmera na Rand Corporation. Metoda je izmijenjena i preformulirana tijekom vremena, ali se još uvijek koristi i danas. PECB I .........Yi^iflW^ffi™88885™68 1 Delphi metoda se temelji na strukturnim istraživanjima i koristi znanja svih sudionika koji su stručnjaci. Ova metoda temelji se na pretpostavci da pojedinačni akti nisu jednaki odlukama skupine. Izvorna namjera Delphi-a kao tehnike je predviđanje, dizajniranjem predvidjeti vjerojatnost budućih događaja. Dailey (1988) ju je opisao kao istraživački Delphi. Delphi tehnika je stručna anketa koja se provodi u krugovima gdje se u provom krugu ispituje pojedinac, dok drugi služi kao povratne informacije za prvi krug. Tijekom Hladnog rata, stručnjaci su bili dužni dati svoje mišljenje o mogućim neprijateljskim napadima, to se to ponavljalo dok se nije postigao konsenzus Ova metoda je vrlo dobro strukturiran proces komunikacije skupine gdje se stručno znanje nosi s određenim pitanjima. Prema Dalkey (1972) Delphi je postupak koji je brz i učinkovit način da se provede "cream the tops of the heads". Delphi Proces ISO 3101 0, All€ >ks B, B.3.3, B.3,4 & 8.3.5 PROCES Ulazi i» Formiranje ttma koji prowsfc i pratiti Delphi proces; » izbor skupine stručnjaka jmole biti jedan ili viie penela stručnjaka): ♦ Razvoj upitnika 1 kruga: • "est-an,* ka Izlazi ii i -< -. ♦ sianje upitnika paneiistfme pojddinefcno; * Podaci iz prvog kruga odg«^ banaliziraju f korntektojM-ts ponovno cMtuliraju panafistltrts; • ua»i'i.st. -jd-acva-asi- oi^es.3?po-«v-!:a don se rte p9s%nskons»mm. Postoje različiti načini kako se može organizirati na Delphi tehnika. Ona se temelji na ISO 31010, no druge metode mogu generirati iste rezultate. Prije početka procesa Delphi, treba odgovoriti na sljedeća pitanja: • Koji su ciljevi? • Ima li dovoljno raspoloživih resursa? • Je li ova metoda pravi izbor? • Kako se mogu formulirati ove izjave? • Koja su pitanja? Delphi tehnika Drugi primjer Delphi tehnike Pripremni radovi PECB PrvjupstrsIK Usporedba odgovora Drugi uprtntk Usporedba odgovora -IIP" Treći upitnik Usporedba odgovora JR& Razlučivanje i izvješćivanje Preliminarni radovi Preliminarni rad treba biti napravljen od strane odbora za planiranje ili sponzora. Njihova dužnost je da odlučuju o pitanjima koja treba rješavati i odabrati menadžer za komunikaciju koji upravlja cjelokupnim Delphi procesom. Odgovornosti menadžera komunikacija obično će uključivati slanje poruka, prikupljanje odgovora, te pružanje sažetka procesa. Prvi krug Prvi upitnik: U ovom dijelu procesa, svaki stručnjak je dužan pružiti što više rješenja, ideja, pristupa određenim temama. Primjer pitanje bi moglo biti "koje radnje može poduzeti Odbor za smanjenje rizika povezanih s nezadovoljnih kupaca? Napišite što više odgovora koristeći što manje riječi ili izraza.". Sudionici odgovaraju anonimno. Odgovori: Ponuđene odgovori treba prikupiti menadžer komunikacija te kreirati drugi upitnik. Drugi upitnik treba imati dovoljno prostora za sudionike odgovoriti temeljito svaku ideju. Krug dva Drugi upitnik: U ovom dijelu procesa, upitnik sadrži sve dostupne stručne odgovore koje se u prvom upitniku dali stručnjaci. Svaki stručnjak treba vrednovati ideje i pojasniti ili dodati već napisanim idejama. Sudionici odgovaraju anonimno. Odgovori: Odgovori su prikupljeni od strane menadžera komunikacija, a zatim se koriste za razvoj trećeg upitnika. Krug tri Treći upitnik: U ovom koraku postupak se ponavlja. Menadžer komunikacija je pripremio treći upitnik na temelju odgovora iz drugog upitnika. Treći upitnik obično traži da se odgovori rangiraju prema važnosti. Odgovori: To je obično posljednji krug za sastavljanje odgovora, međutim, na temelju odluke odbora za planiranje više rundi može biti dodano u proces. Rezolucija i izvješće U ovom trenutku, ideje su stvorene i stavljene u redoslijed prema mišljenju stručnjaka. Konačno, menadžer komunikacija priprema izvješće s mogućim opcijama obrade, pojedinostima o tome kako ih provesti, a poredani su prema prioritetu. Delphi tehnika ISO 31010, Aneks 6.. B.3 kao p&gfeđsu anonimni, već«Je vjerojatnost da će nepopularna mišljenja: biti izražena; svi pogledi imaj« jednaku teSnu, čime m izbjegava problem dominacije osobnosti; postiže se vlasništvo nad rezultatima; ljudi ne moraj« biti zajedno na jednom mjestu u jednom trenutku. intenzivan rad i utelak vremena; Sudionici moraj« biti u mogućnosti jasno se izraziti u pisanom obliku. PiCi C. HAZOP - Hazard & Operability Analysis HAZOP je akronim za Hazard i OPerability studiju, a to je j© strukturiran i sustavan pregled planiranog ili postojećeg proizvoda, procesa, postupka ili sustava. To je tehnika za identifikaciju rizika za ljude, opremu, okoliš i/ili organizacijskih ciljeva. IEC / ISO 31010, Aneks B, B.6: HAZOP Pregled HAZOP je akronim za studiju HAZard i OPerativnost, te je strukturiran i sustavan pregled planiranog ili postojećeg proizvoda, procesa, postupka ili sustava. To je tehnika za identifikaciju rizika za ljude, opremu, okoliš i/ili organizacijskih ciljeva. Od tima za provođenje studije očekuje se, gdje je to moguće, da se predloži opcije za obradu rizika. Proces HAZOP je kvalitativna tehnika koja se temelji na uporabi riječi vodilja koje dovode u pitanje namjeru dizajna ili uvjeta rada te da se oni ne mogu postići na svakom koraku u dizajnu, procesu, postupku ili sustavu. Općenito je provodi multidisciplinami tim tijekom skupa sastanaka. HAZOP je sličan FMEA u tome da identificira načine neuspjeh postupka, sustava ili postupak njihovih uzroka i posljedica. Ona se razlikuje po tome što ekipa smatra neželjene ishode i odstupanja od namjeravanih ishoda i uvjetima i radi natrag mogućih uzroka i načina neuspjeh, dok FMEA počinje utvrđivanjem načina neuspjeha. ICS ■■L HAZOP Pozadina i povijest HAZOP-a: • Tehnika formalizirana od strane ICI (UK), u kasnim 60-ih. Tehnika je nastala u "Odjelu teških organskih kemikalija" u ICI, glavnoj britanskoj kemijske tvrtki. • HAZOP tehnika prvobitno je razvijena za analizu kemijskih procesa. • Metoda HAZOP se naširoko koristila u procesnim industrijama, osobito u 1980-ih i 90-ih godinama. PECB IEC / ISO 31010, Aneks B, B.6: HAZOP Koristi HAZOP tehnika prvobitno je razvijena za analizu kemijskih procesa, ali je proširena i na druge vrste sustava i složenih operacija. To uključuje mehaničke i elektronske sustave, postupke i softverske sustave, pa čak i organizacijske promjene i pravni dizajn ugovora i pregled. Proces HAZOP može se baviti svim oblicima odstupanja od namjere dizajna, zbog nedostataka u dizajnu, komponenata, planiranih postupaka i ljudskih akcija. Naširoko se koristi za reviziju projektiranja softvera. Kada se primjenjuje na kontrolu kritičnih instrumenata i računalnih sustava poznata je i pod imenom CHAZOP (Control HAzards and Operability Analysis or computer hazard and operability analysis). HAZOP studija se obično provodi u fazi projektiranja detalja, kada je dostupan puni dijagram predviđenog postupka, ali dok su još moguće promjene dizajna. Međutim, može biti provedena i u fazama pristupa s različitim riječima vodiljama za svaku fazu kada se dizajniraju detalji. HAZOP studija se također može provoditi tijekom rada, ali potrebne promjene mogu biti skupe u toj fazi. HAZOP ISO 31010, Aneks B, 8,8,3, 8,6,4 PROCES Ulazi Uto tTKi<!(,ii,!fk|u(iva6 trait speufikaoisKft plate piarae pofcsns torirolu p<o-«a1 Joofe dijagrami izgleda crt«£a. ttAova'ijfr i SKjtfdNunte uiiiiiiisiiiiii jhme rtwfcmsi® iiiliHaiiiiiiiiiiiaiii^..... wkjovome« i osfefc «s da so we siwfoje- tote p«te ffe&sta'ije nsp^ega S'jtJ^e. ■ def** ante HAZOP Sara. t*mj<xrt\p otxfrw fttu*W>sci$*xir<» ► sresw deem i surasivrtt osobi/e sa n<i<30ViK«u<:sri telwetam ^rwnjem in jj« ocjenu viimkd; (»stupanja F«po«u<^vo je <!a su u Btwj osofce taps resu Krawo uWjote* u tteajn * prateća* pa^ufta teje se worn*«, To bt trebalo ukjjjč w jti mcfluituiiote sadrže zane&svaije uoienifi probiems i osobo IKMm ISO 31010, Aneks B, B.6.4 HAZOP uzima "dizajn" i specifikaciju procesa, postupka ili sustava koji se proučava i reviziju svakog dijela kako bi otkrila odstupanja od predviđenog, što su potencijalni uzroci i koje su vjerojatne posljedica odstupanja. To se postiže sustavnim ispitivanjem svakog dijela sustava, procesa ili postupaka koji će odgovoriti na promjene u ključnim parametrima pomoću odgovarajućih riječi vodilja. Riječi vodilje mogu se prilagoditi za određeni sustav, proces ili postupak ili se mogu koristiti generičke da obuhvati sve vrste odstupanja. Gornji postupak je normalan HAZOP proces, dok se u radionicama sa timom trebaju slijediti sljedeći koraci: • cijepanje sustava, procesa ili postupka u manje elemenata ili podsustava ili potprocese ili pod-elemente kako bi se pregled činio opipljivim; • usuglasiti namjeru dizajna za svaki podsustav, pod-proces ili pod-element, a zatim za svaku stavku u tom podsustavu i elementa primjenom riječi vodilja jedna za drugom kako bi se otkrila moguća odstupanja, koja će imati neželjene ishode; • gdje je nepoželjan ishod je identificiran, postiže se suglasnost oko uzroka i posljedice u svakom slučaju i sugerira kako bi mogli biti obrađeni kako bi spriječili njihovo pojavljivanje ili ublažili posljedice; • dokumentiranje rasprava i usuglašavanje određenih radnji za obradu utvrđenih rizika. HAZOP Primjer mogućih HAZOP rijeci vodilja PiCi Gornja tablica daje primjere najčešće korištenih riječi vodilja za tehničke sustave. Slične riječi vodilje poput "prerano", "prekasno", "previše", "premalo", "predugo", "prekratka", "pogrešan smjer", na "pogrešnom objekt", "pogrešno djelovanje" mogu se koristiti za identifikaciju ljudskih grešaka. HAZOP . Drugi primjer procjene rizika HAZOP -"■MU Dokumentacija i faza praćenja Faza definiranja Proces HAZOP analize počinje u fazi definicije, tijekom kojih se identificira tim za procjenu rizika. Ovaj dio procesa je vrlo važan, jer ova tehnika isključivo ovisi o stručnosti članova tima. Članovi tima moraju biti iz različitih područja i trebaju posjedovati znanje i iskustvo kako bi donosili najbolje moguće odluke. Nakon što je tim identificiran važno je definirati njihove uloge i odgovornosti. Kad svaki član zna svoju ulogu u procesu trebaju prikupiti i definirati opseg i ciljeve HAZOP-a. To uključuje definiranje opsega i ključne pretpostavke pod kojima će se izvršiti procjena. Pripremna faza Faza pripreme obično započinje planiranjem studije, točnije tim planira kako će se pristupiti cijelom procesu. Ova faza obično uključuje slijedeće: • Identifikacija podataka i informacija • Identifikacija studija izlaznih korisnika • Priprema upravljanja projektima (raspored, proračun, vrijeme) • Ugovor člana tima o stilu snimanja (predložak, format) • Sporazum o riječima vodiljama koje će se koristiti prilikom ocjenjivanja HAZOP (manje / više) Istražna faza Analiza HAZOP zatim nastavlja istražuj fazu koja počinje s identifikacijom svih elemenata koje je potrebno ispitati. To je učinjeno pomoću riječi vodilja kako bi se utvrdile sve moguće devijacije. Važno je znati da sve riječi vodilje stvaraju vjerodostojna odstupanja, ali je važno prepoznati one koje nisu vjerodostojne i odlučiti da li ih treba ocjenjivati dalje. Fazu pregled treba izvesti u slijedu koji se odnosi na predmet analize. Sljedeća faza procesa je ispitivanje koje tim može slijediti: • Podjela sustava na dijelove i odabir dijela • Definiranje namjere dizajna na temelju odabranog dijela • Korištenje riječi vodilja za identificiranje odstupanja • Identificiranje uzroka i posljedica • Identificiranje značajnih problema • Identificiranje mehanizama zaštite i otkrivanja • Konsenzus o radnjama koje treba poduzeti Nakon što se slijedio proces HAZOP tim treba ponoviti isti postupak za svaki element, a zatim svaki dio. Dokumentacija i praćenje faza Završna faza analize HAZOP je dokumentiranje i praćenje faza. Dokumentacija generira predloške ili format snimanja primijenjeni u ranijim fazama. Predložak može se mijenjati na temelju slijedećeg: • Statutarni i regulatorni zahtjevi • Potreba za više eksplicitnom ocjenom rizika • Dokumentacija politike • Sljedivost ili revizijske potrebe Dokumentacija mora biti dovršena i onda se tim premješta na follow-up fazu. Ovaj dio HAZOP uključuje pisanje izvještaja istraživanja, ponovnog proučavanja određenih dijelova kad god je to potrebno, i na kraju izradu krajnjeg izlaznog izvješća. HAZOP Metodologija - Tim HAZOP se normalno provodi od strane lima ljudi, sa ulogama kako slijedi: Naziv Pozicija Uloga Vođa tima Predsjedavajući netko iskosa« u HAZOP, ali da nije izravno uključen u projektiranje, kako bi se osiguralo da je metoda je pažljivo praćena Zapisničar Tajnica ili pisar teto b se osiguralo da $« problemi dokumentirani i preporuse prenesene Dizajner (ili predstavnik tima koji je dizajnirao procesi Objasniti sve detalje dizajna i pruSi dodatne informacije Korisnik (it predstavnik koji će biti korisnik) Da razmotri uporabu i provjeri njegov« operativnost, i udinak odstupanja Specijalist Ođržavatelj (š spsdjaiišts (ukoliko je p trnje «no) Netko sa relevantnim tehničkim zmnjern Netko zabr nut sa održavanjem procesa HAZOP tim obično se sastoji od pet do osam članova različitih disciplina, kako bi se osiguralo da su svi dijelovi njegovog rada pokriveni, članovi tima moraju imati vođu koji je ponekad poznat kao predsjedatelj ili facilitator. Ovaj voditelj bi trebao biti izabran kao sposoban da učinkovito voditi analizu HAZOP, provodi mišljenja i daje preporuke upravi ili drugim tijelima. U idealnom slučaju, voditelj tima treba biti netko neovisan od projekta. Ključni članovi tima su svi navedeni u gornjoj tablici s objašnjenjima njihovih uloga i odgovornosti. Tim ne treba suziti na navedene članove, jer u nekim slučajevima postoji potreba da je član tima s posebnim vještina (npr. istraživački kemičar). HAZOP - Tablica procjene rizika Zanemarivo Umjereno Rij«tko Slogan V|«to)«tm: Skoro «gumo P€CB «np <.w>ls*»:|f Nwi^fajli n/ik > <i tite^ućki tretman ozljecfc > tjfjtflncija! m mante ozljede J/* da uzrokuje ograničenost Potential u t»!.|<seft€> t dt nimalo utjecaja na | Mit fitan ij^N cr i nt ik ofa'is i Ma;, t ili lokalizirani ufjecai Zna ajAri wjecaj na dm 4 Znatno Katastrofalno l"jt. b|ww /iipme f'z'ieJa P itenaiat za v^ke omde •jt' not >M 4joa jiptja twWi'et rnožo 4 do «n*ti oko is> Ozbiljan ul|eeaj na otojliž Umjeren; f,»wnc pki qutxtak (S 0« $*> iKX> j Visoki financijski g> Nwk siO'Wi ?naim financij»t gubitak <$10000 £50000) Ra^p'osttanjen utjecaj -w VekM financijski QJbitah ! {<50.000) L e e i f^ s MS at J <j i U * k ■> ti # ! 5i ' !« » Nizak rizik Sisskp nak Što je potrebno za provođenje HAZOP studije? KLJUČNO: • Završen P & ID • Opis HAZOP procesa POŽELJNO: • Rasporedi • Sheme • Listovi podataka • Postupci u slučaju opasnosti za pokretanje ili gašenje • Standardi, i tako dalje. 31010, Aneks B, 8,6,6 HAZOP Prednosti Nedostaci ) » i 1 t 1 5 i, 1 * < 1 s - Š (, > I il> < i 33 u i- 1 ! 1 , ti 3 1 I I « 3 i if J i ^ i »Ss ( ' I i U Studija opasnost i operativnost (HAZOP) je sustavno i kritički pregled procesa za procjenu opasnosti zlih operacija od strane tima stručnjaka. Stručnjaci se mogu se bez pozivanja na druge, ali oni također mogu biti okupljeni na dugim sastancima kako bi razgovarali o temi. HAZOP se provodi zbog sljedećeg: • Identifikacija opasnosti • Ukidanje ili kontrolu identificiranih opasnosti S obzirom na to, hazardi su događaji koji: • Dovode do ozljeda osoba • Zagađuju okoliš • Oštećuju biljke • Rezultira gubitkom u količini proizvodnje, kvalitete i rasporeda. Za svoju organizaciju, molimo napravite tablicu za procjenu rizika pomoću HAZOP kako bi procijenili rizike vezane za zdravlje i sigurnost zaposlenika, kao i pravne obveze koje se odnose na zdravlje i sigurnost zaposlenika. Molimo definirati primjere posljedica, vjerojatnosti i rangove rizika. Trajanje vježbe: 20 minuta Komentari: 20 minuta E. HACCP - Hazard Analysis Critical Control Point............ ISO 31010, Aneks B,B.7 Hazard Analysis and Critica Control Points je sustav sigurnosti hrane koji se koristi za prepoznavanje i kontrolu opasnosti za sigurnost hrane. HACCP je preventivni sustav koji znanstveno analizira svaki korak u procesu proizvodnje te identificira identificirati mikrobiološke, fizičke i kemijske opasnosti. PECB IEC / ISO 31010, Aneks B, B.7: HACCP Pregled Analiza opasnosti i kritične kontrolne točke (HACCP) osigurava strukturu za identifikaciju opasnosti i stavljanje kontrole na mjesto na svim relevantnim dijelovima procesa za zaštitu od opasnosti i zadržavanje kvalitete pouzdanosti i sigurnost proizvoda. HACCP-u je cilj osigurati da se rizici minimiziraju kontrolama tijekom procesa, a ne kroz inspekciju krajnjeg proizvoda. Primjena HACCP je razvijen kako bi se osigurala kvaliteta hrane za svemirski program NASA-e. Sada se koristi od strane organizacija koje djeluju u prehrambenom lancu za kontrolu rizika od fizičkih, kemijskih ili bioloških kontaminanata u hrani. Također je produžen za uporabu u proizvodnji lijekova i medicinskih proizvoda. Načelo utvrđivanja stvari koje mogu utjecati na kvalitetu proizvoda, te definiranje točke u procesu gdje se kritični parametri mogu se pratiti i opasnosti kontrolom, može se generalizirati na druge tehničke sustave. HACCP Pozadina i povijest HACCP * Hazard Analysis and Critical Control Point (HACCP) je razvijen 1960 od strane Pillsbury Corporation, NASA-e i američke vojske Laboratories. Cilj analize bio je utvrditi kvalitetu hrane prije nego što su identificirani testovi ili reklamacija iz bolesti prenošene hranom. * Prije ovog sustava, tvrtke su imale puno politika kako bi uklonili opasnosti hrane, dok se sa HACCP-om opasnost hrane može smanjiti ili eliminirati u različitim fazama proizvodnje, prije nego što se proizvod prodaje. * Od 2006. godine, mnoge europske zemlje uspostavile su propise koje se odnose na HACCP. Od tada je ovaj sustav je primijenjen i na druge osim prehrambene industrije, poput kozmetike i farmaceutike. Analiza opasnosti i kritičnih kontrolnih točaka (HACCP) je međunarodno priznati sustav koji se koristi kako bi se smanjio rizik od opasnosti za sigurnost hrane, te osigurala sigurnost hrane za svoju tvrtku. HACCP je sustavni preventivni pristup opasnostima za sigurnost hrane u proizvodnim procesima koji mogu dovesti do nesigurnih gotovih proizvoda i dizajna mjerenja za smanjenje tih opasnosti na prihvatljivu razinu. Ova metoda je dokazano uspješna u sprečavanju, smanjivanju ili uklanjanju opasnosti hrane prije nego što su dovršeni. Ono što ga razlikuje od drugih inicijativa je da su opasnosti identificirane tijekom cijelog proizvodnog procesa, a ne samo na kraju procesa. To je dovelo da mnoge organizacije primjenjuju ovu metodu, zbog čega se danas koristi ne samo za hranu, nego i u drugim industrijama, poput kozmetike i lijekova. 10 31010, Aneks B, B7.3, 8.7,4 a B.7.5 HAWpoaj on csnjvnog -1M tyr.iffw ufts ix dfj^g ,vtm pfucfeđ i infotmar |e o u{>ast\siima kofe mogu u««,';«!' m kv3««;j »Itmov. u posadatcsj l<t»/v..<dd Is ptueesa W.'nrwo^ o ^twwosiiffla • n|i»wim <nma naranw na kon s® moga kontfoferati su Jaa t. HACUP prepsMaje opaseosH i pnsver&vne mjere u sveS e opasnostima; iJv,<Me točke j piece-u s» 0f3--r\»sH •nogu kontrirati # otklon« (Nflflćr* NnjroSf*. loflv? rt CCPi uspo^avfla Mhtnp gradce pwrenre m feOrtiOiU opasa ass < Jnusno svaki OCrtfeCa dUNc«« m <vj(eđe«m Nsramemma kako U oti.qnaio <1a v kontroi«.* qj»»«n si ptnti htibfty* nunc*} u s> aku CCPu mm vremensk>m *<«fl?u:ima ist oswv+i koreWivr« rife <aky twees p levari uMfenh yraoir a usposta^ pwtjpke provjere o»ow«li diAuns'ntaciie pusice ia svaki korak Dokumenta« »piši mm® mm fcsa opasnosti i plan HACCP-a, HACCP HACCP i ISO 22000 Ključni elementi kako bi se osigurala sigurnost hrane temelji se na ISO 22000 1. Zahtjevi za preduvjetni programi (Hi GMP, GHP, GAP, itd) 2 Zahtjevi za HACCP prema načelima Codex Alimentarius 3. Zahtjevi za sustav upravljanja 4. Interaktivna komunikacija između dobavljačima, kupcima, i reguiatomim tijelima __ ISO 22000 i HACCP su standardi sigurnosti hrane koje može provoditi bilo koja tvrtka u prehrambenoj industriji. Stvaranjem ISO 22000, tvrtke su zabrinute da li su trebali zamijeniti HACCP sa sustavom upravljanja sigurnošću hrane, u pitanjima vezanim uz sigurnost hrane, lako su mnoge tvrtke provode ISO 22000, ima još mnogo koji dovode u pitanje njihovu prednost. Postoji bojazan daje standard previše birokratski, a ne fokusira se samo na ono što je važno, sigurnosti hrane. Gornja tvrdnja nije istina, jer jedini fokus standarda je sigurnost hrane. Međutim, standard ne zamjenjuje HACCP. Codex Alimentarius komisije Ujedinjenih naroda postavlja sporazum koji zahtijeva organizacije da slijede HACCP zahtjeve kako bi za njih da bi mogli izvoziti svoje proizvode u inozemstvo. Osim toga, kao što je prikazano na slici gore HACCP je dio ISO 22000. Standard se negdje koristi za mjerenje uspjeha organizacije u provedbi HACCP, kao pretpostavki za HACCP i sustava kvalitete. HACCP 7 principa HACCP- 7. Uspostaviti dokumentaciju koja se odnosi na sve postupke i zapise prikladne navedenim naCet'roa i njihovoj primjeni 6. Uspostava 0 Cti-JJ'OZ-j verifikaciju koi& će Dolvrditi ci si HACCP -i.*:2,--a: 1. Identifli opasnosti "WIlMII B, Uspv :\i a korektivnih mjera koje treba poduzeti kada praćenje pokazuje da određeni CCP nije pod kontrolom 2. Određivanje kfltififišt! kontrolnih točks (CCPs) 3 "Jji.osta.ja-B 4, Us sustava nadzora CPP-ova 1. Prepoznajte opasnosti Prvi princip HACCP-a je provođenje analiza opasnosti te identificiranje opasnosti. Svrha analize opasnosti je stvaranje popisa opasnosti koje imaju potencijal da uzrokuje ozljedu ili bolest, ako ne i učinkovito kontrolira. Važno je gledati na svakom koraku (npr. nabave, distribucije, skladištenja, pripreme, korištenje od strane kupca, itd.) u vašem rada i utvrditi što može poći po zlu. Postoje tri kategorije u kojima su utvrđene opasnosti, a oni uključuju biološke, kemijske i fizikalne opasnosti. 2. Odrediti kritične kontrolne točke (KKT) Kritična kontrolna točka je postupak koji se može primijeniti u procesu proizvodnje kako bi dodali određene kontrole koje trebaju spriječiti, otkloniti ili smanjiti opasnosti. Neće postojati kritična točka za svaku identificiranu opasnost. Proces odlučivanja je stavljen na mjesto kako bi se utvrdilo je li proces kritična kontrolna točka. Odluka se donosi na temelju sljedećeg: • Kritična kontrolna točka je ključna za određeni korak kako bi se osigurala sigurnost • Kritična kontrolna točka smanjuje ili eliminira opasnost na prihvatljivu razinu • Posljedice od identificirane opasnosti nadmašuju prihvaćenu razinu • Koraci poduzeti eliminiraju opasnosti ili dovode ih na prihvatljivu razinu. 3. Uspostaviti kritične granice Kritične kontrolne točke trebaju kritične granice kako bi se utvrdilo što je prihvatljivo ili neprihvatljivo. Ova ograničenja uključuju stavljanje maksimalne i minimalne prihvatljive razine opasnosti. Ovi parametri su dizajnirani kako bi se osiguralo da su određeni postupci ili proizvod, u skladu s važećim ciljevima ili standardom. (parti) 4. Uspostaviti sustav za praćenje i kontrolu KKT Kritične kontrolne točke moraju biti praćene kako bi se procijenilo je li kritična točka je pod kontrolom, a snimanje će se koristiti u fazi provjere. Monitoring je sastavni dio analize HACCP, jer je tim dobiva kontrolu kritične kontrolne točke i poduzima radnje prije nego je prihvatljiva granica opasnosti prekoračena. Praćenje obično uključuje mjerenje različitih parametara poput temperature i vremena. Međutim, ovi parametri se mijenjaju ovisno o veličini i vrsti poslovanja. Razlog zašto su izmjerena je utvrditi da li parametri funkcioniraju unutar utvrđenih kritičnih granica. 5. Uspostaviti korektivne mjere koje treba poduzeti kada praćenje pokazuje da određena KKT nije pod kontrolom Ako je tim tijekom praćenja kritičnih kontrolnih točaka identificirao da neke od točaka nisu pod kontrolom, korektivne mjere se poduzimaju kako bi ih se stavilo pod kontrolu. Uglavnom, korektivne akcije su akcije koje su poduzete kako bi se riješili kontrolne točke koje su premašile dopuštene granice opasnosti. Ovo načelo HACCP-a je ključno za cijeli proces, jer postoji druga prilika da se identificiraju opasnosti prije nego što oni utječu na konačni proizvod. Ako tim napominje da su neke kritične točke premašile svoje granice, korektivne mjere treba poduzeti da ih dovedu do željenih granica. Važno je da su obučeni zaposlenici u timu, jer će oni biti u mogućnosti identificirati potrebu za korektivnim aktivnostima tijekom nadzora, te odrediti odgovarajuće korektivne mjere. 6. Uspostaviti postupke za potvrđivanje da HACCP sustav radi učinkovitije Provjera je evaluacija procesa kako bi se utvrdilo je li tim je slijedio HACCP plan. Različite metode, ispitivanja i postupci primjenjuju kako bi se utvrdilo da li se slijedio HACCP plan. Provjera će osigurati da se opasnosti za sigurnost hrane kontroliraju kontinuirano. Važno je daje HACCP sustav je provjereno povremeno smanjiti šanse da opasne proizvode. Provjera se najčešće provodi nakon nadzora, zbog čega se procjena procesa može obaviti kalibriranje opreme koja se koristi za praćenje. 7. Uspostaviti dokumentaciju koja se odnosi na sve postupke i zapise prikladne navedenim načelima i njihovoj primjeni Pri izradi HACCP plana važno je postaviti sustav čuvanja zapisa. Pravilan sustav je vrlo važan u osiguravanju usklađenosti s HACCP planom, praćenje proizvoda kada se bave pitanjima, te identificiranje trendova i povlačenje proizvoda. Analiza opasnosti i kritične kontrolne točke evidencije, kritične granice, korektivne akcije, provjere i HACCP plana evidencije svi trebali biti uključeni u sustav evidencija. HACCP ISO 31010, Aneks B, BJ.6 Struftaftani proces koji pruža dokumentirani dokazi za korrtrot« , Kao i ia^nuTicranje i smanjenje nzma, » Usmjerenost na praktičnosti kako se i gdje, u .procesu, opasnosti mogu spnjeciti t ranci □ rzati poa Kontrolom, • bolje kontrola rizika tijekom cijelog procesa, a na oslanjajući se na tehnički pregled proizvoda; » sposobnost da identificiraju opasnosti uv&d§r® kroz ljudske akcije i kako on® .(noga biti kontrolirani na mj«3tu unošenja ili rizici I njihav lfiačaj shvaćen lao uiaz y proces, OđgovLajuče ' kontrole treba definirati. One su potrebr»kate bi se ociredi kriižne"kontrolne toike i parametri kontrole tijekom HACCPi moz© ojp poirSDnoKvRjwnwaMS OfugwTJ giaiirn« 08 ss lo poduzima akcije kada parametri kontrole prelazi definirane granica mogu kontrole taje su PITANJA? — ^ PECS Okije mozgova Strukturiran« ili polu strukturirani mten^ui Delphi Ček li ste Primarna analiza hazarda Hazard and operabWty studies (HAZOP) Hazard Analysis a«J Critical Control Points (HACCP) Procjena rizika okoliša Struktura « što ako? * (SWfFT) Analiza scenarija A 17 posto«« h oos|edwa Analiza korijsnskih uzroka Analiza učinka neuspjeha Analiza stabla otkaza (failure) stabla događaja uzroka if Analiza uzrok-potfcdica laver protection analysis ILOPA) Stebto odluka Analiza |udsk» pouzdanosti leptir mašna anatea Održavanje usmjereno ka pouzdanosti Analiza kruga <tou8nifsa Maitov analiza Manta Carto smute BtisWca i Bayes FN irrivufe IfK^tsi riaka Matrica posljedica /vjerojatnost Cost/benefit analiza Multi-c rttef ® ^đecisiosi Standard ISO 31010 nudi niz metodologija procjene rizika koje organizacije mogu koristiti za upravljanje rizicima. Metodologije koje su pokrivene u zadnjem dijelu su oluja mozgova, Delphi tehnika, HAZOP i HACCP. U ovom dijelu metodologije procjene rizika da će biti pokriveni uključuju analize scenarija, FMEA, Fault Tree Analysis, i uzročno-posljedična analiza. Osim toga, tu su i 23 drugih metodologije koje se mogu koristiti od strane organizacije, te detaljno objašnjenje za njih može se naći u normi ISO 31010. A. Analiza scenarija ISO 31010, Aneks B,B.10 Cjokef n scenanj ■MB Mogući budući scenariji su id kroz maštu ill ekstra polacije iz sadašnjih i različitim ria'chra smatra pretpostavku svaki od ovih scenarija moglo dogoditi. To se može učiniti formalno ili nsformalno kvalitativno i kvantitativno ijiiigi, Najgori scenarij ISO 31010, Aneks B, B.10.1 Pregled Analiza scenarija je naziv za razvoj opisnih modela kako budućnost može ispasti. To se može koristiti za identifikaciju rizika s obzirom na moguća buduća kretanja i istraživanje njihovih implikacije. Setovi scenarija odražava se u (na primjer) 'najboljem slučaju', 'najgorem slučaju' i 'očekivane slučaju "može se koristiti za analizu mogućih posljedica i njihove vjerojatnosti za svaki scenarij kao oblik analize osjetljivosti pri analizi rizika. Snaga analize scenarija je ilustrirana s obzirom velike na pomake u proteklih 50 godina u tehnologiji, sklonosti potrošača, društvenih stavova, itd. Analiza scenarija ne može predvidjeti vjerojatnosti takvih promjena, ali može uzeti u obzir posljedice i pomoći organizacijama razviti snagu i otpornost potrebnu za prilagođavanje predvidivim promjenama. Analiza scenarija Pozadina i povijest analize scenarija: « Analiza scenarija datira iz 18. stoljeća, kada je Luis de Molina uveo pojam "uvjetni budući kontingenti". » Tijekom Drugog svjetskog rata, scenariji su prvi put korišteni kao dio vojnog strateškog planiranja za zamišljanje moguće strategije za borbu. • Herman Kahn tijekom njegova mandata u RAND Corporation u 1950, pod uvjetom da svoje spoznaje o prednostima korištenja analize scenarija. Neki izvori tvrde daje Kahn bio glavni suradnik na ovoj metodologiji, kako nakon što ga koristiti za "da je nezamislivo", mnogi ga koristiti nakon njega. • Od tada je analiza scenarija je korištena u različitim područjima područja, uključujući poslovne, politiku, ekonomiju, procjene rizika ___ okoliša, i tako dalje. PiCi ISO 31010, Aneks B, B.10.2 Koristi Analiza scenarija može se koristiti kako bi se pomoglo u donošenju političkih odluka i planiranju budućih strategija, kao i razmatranje postojećih djelatnosti. To može igrati ulogu u svim trima komponentama procjene rizika. Za identifikaciju i analizu, kompleti scenarija odražavaju (na primjer) najboljem slučaju, najgorem slučaju i 'očekivane' slučaju može se koristiti za identifikaciju onoga što bi se moglo dogoditi u određenim okolnostima i analizirati potencijalne posljedice i njihove vjerojatnosti za svaki scenarij. Analiza scenarija može se koristiti kako bi se predvidjelo kako bi se prijetnje i prilike mogle razvijati i može se koristiti za sve vrste rizika, koji imaju kratkoročne i dugoročne vremenske okvire. S kratkim vremenskim okvirima i dobrim podacima, vjerojatni scenariji se mogu ekstrapolirati iz sadašnjosti. Za dulje vremenske okvire ili sa slabim podacima, analiza scenarija postaje maštovita i može nazivati buduća analizu. Analiza scenarija može biti korisna, gdje postoje jake distribucijske razlike između pozitivnih ishoda i negativnih ishoda u prostoru, vremenu i skupina u zajednici ili organizaciji. ISO 31010, Aneks B, B.10.2: Postupak Strukture za analizu scenarija mogu biti neformalne ili formalne. Nakon što je uspostavljen tim i relevantni komunikacijski kanali te je definiran kontekst problema i pitanja koje treba razmotriti, sljedeći korak je utvrditi prirodu promjena koje bi mogle nastati. To će zahtijevati istraživanja glavnih trendova i vjerojatno vrijeme za promjene u trendovima, kao i maštovito razmišljanje o budućnosti. Promjene koje treba razmotriti mogu uključivati: • Vanjske promjene (kao što su tehnološke promjene); • odluke koje je potrebno da se u bliskoj budućnosti, ali koja može imati različite ishode; • potrebe dionika i kako oni mogu promijeniti; • promjene u makro okruženju (regulatorna, demografija, itd.). Neke će biti neizbježne, a neke će biti neizvjesne. Ponekad, promjena može biti zbog posljedica drugog rizika. Na primjer, rizik od klimatskih promjena rezultira promjenama u potrošačkoj potražnji odnosa na hranu. To će utjecati koje će namirnice biti profitabilno izvesti kao što hrana može se uzgajati na lokalnoj razini. Lokalni i makro faktori i trendovi sada mogu biti navedeni i rangiraju za (1) važnost (2) nesigurnost. Posebna je pozornost na čimbenike koji su najvažniji i neizvjesni. Ključni čimbenici ili trendovi preslikavaju jedni protiv drugih pokazati područja na kojima se može razviti scenariji. Analiza scenarija Elementi i vrste scenarija 3. Geografska pokrivenost 3. Kvalitativna / 4. Opis dogaoaja između Kvantitativna baza i vremenskog horizonta 5. Pokretača snaga PECS Vrste scenarija Dedukcijski / Induktivni Scenariji Scenariji su deduktivni kada je prvo uspostavljen okvir i scenariji se zaključuju iz njega. Okvir obično sadrži organizirane buduće neizvjesnosti u logičkom obliku. Osim toga, kada uvidi o budućnosti proizlaze iz proučavanja podataka i ideja, scenariji su induktivni. Istražni / Anticipacijski Scenariji Istražni scenariji obično počinju od sadašnjosti i rastu u budućnosti kroz opisne korake koji vode do njega. Dok, anticipacijski scenariji uzimaju u obzir moguće buduće situacije i rade unatrag da vide kako u budućnosti proizlazi. Kvalitativni / Kvantitativni Scenariji Kvalitativni scenariji obično proizlaze iz vizualnih simbola i riječi. Ovi scenariji su razumljivi, ali teško je uvijek prepoznati ili testirati temeljne pretpostavke. S druge strane, kvantitativni scenariji daju numeričke podatke iz kojih je lako prepoznati ili testirati temeljne pretpostavke. Analiza scenarija ISO 31010, Aneksa Prednosti Nedostaci • Visoka neizvjesnosti nekih od scenarija mogu biti nerealna, • Teškoće povezane s dostupnošću podataka, te sposobnost analitičara i donositelja odluka za razvoj realnih scenarija. Vježba 10 Analiza scenarija Si® MWmmmik llllllll ill peca Za svoju organizaciju, molimo identificirajte i analizirajte scenarije vezane za bazu podataka klijenata napadnutu od strane hakera. Molimo uzmite u obzir reputacijske, ugovorne i pravne aspekte ovog incidenta. Trajanje vježbe: 20 minuta Komentari: 20 minuta BET H JI E A * CRfll^rf®1^ A * ■ IVIiSwWk I I™ IVI fc»» Definicije FMEAfFailure Modeand Effects Analysis) Vt».*fT)li(i KOtf *f KiSMi.fi /a OĆ -id-swnji? lie opst^W i"* se dcuNKJ-),.. u pro A'OO i ti 4 prawosr? prorzvooa tk FMECA (Failure Mode. Effectsand Critical Analysis) ova teh^skd kor.«, t-- pu&fcd.ta to''sva Fo»» vKs mw »♦"»cirarv* PMtA jp? wa UKviiei likjuiu0 4>Hli.ii k< tuMnsa Razlika između ove dvije tehnike je da FMEA daje kvalitativne informacije, dok FMECA daje kvantitativne informacije. FMEA treba provesti prije FMECA jer je FMECA proširenje FMEA. Stoga, ako se odnosi FMEA analiza kritičnost mogu biti uključeni i kao takav dobiti rezultate FMECA. FMEA id FMECA ISO 31010, Aneks B, B.13.1 Heuspjeh A) Ozbiljnost : B) Vjerojatnost C) Vjerojatnost : RlsftPreferimc« Raspon 1-10 10- ' "rate događaja R8SpO8l-10 10 s Najveća ottefcrarsp Number (RPN) Rasp«11 10 Ax BxC 10 = Naimania 1) Odabir pograine boj« pojasa 60 2) Vijak pojas« ni|e potpuno zategnut g 144 3) Poklopac nije poravnat 24 POT ISO 31010, Aneks B, B.13.1 Pregled FMEA analiza je tehnika koja se koristi za identifikaciju načina na koje komponente, sustavi ili procesi mogu uspjeti ispuniti svoje dizajnirane namjere. FMEA identificira: • svi potencijalni načini neuspjeha različitih dijelova sustava (način neuspjeha je ono što je uočeno na propast ili pogrešno izvođenje); • učinke koje ovi neuspjesi mogu imati na sustav; • mehanizme neuspjeha; • Kako izbjeći kvarove i/ili ublažavanje posljedica neuspjeha na sustavu. FMECA se proteže na FMEA, tako da se prepoznaje svaki mod greške te se rangiraju prema svojoj važnosti i kritičnosti. Ova analiza kritičnost je obično kvalitativna ili semikvantitativna ali može se kvantificirati pomoću stvarne stope neuspjeha. ISO 31010, Dodatak B, B.13.2 Primjena Postoji nekoliko primjena FMEA: dizajn (ili proizvod) FMEA koja se koristi za komponente i proizvode, sustav FMEA koji se koristi za sustave procesa, FMEA koja se koristi za proces proizvodnje i montaže, usluga i softvera FMEA. FMEA / FMECA može se primijeniti pri projektiranju, proizvodnji i radu fizikalnog sustava. Da biste poboljšali pouzdanost, međutim, promjene su obično lakše provoditi u fazi projektiranja. FMEA i FMECA mogu se primijeniti i na procese i postupke. Na primjer, to se koristi za prepoznavanje potencijala za medicinske pogreške u zdravstvenim sustavima i propusta u postupku održavanja. FMEA / FMECA se može koristiti za: • pomoći u odabiru alternative dizajna s visokom pouzdanosti, • osigurati da su svi načini neuspjeha sustava i procesa, te njihovim učincima na operativni uspjeh su uzeti u obzir, • utvrditi načine i učinke ljudske pogreške, • pružiti osnovu za planiranje testiranja i održavanje fizičkih sustava, • poboljšati dizajn procedura i procesa, • osigurati kvalitativne i kvantitativne podatke za tehnike analize poput analize stabla kvara. FMEA i FMECA mogu osigurati ulaz na druge tehnike analiza poput analize stabla kvara na bilo kvalitativnog ili kvantitativnog razini. FMEA i FMECA Pozadina i povijest FMEA/FMECA; • FMEA je razvijena u 1949, a bio je poznat kao "postupak za analizu kvarova, učinaka i kritičnosti" kao izdanak vojnog postupka. Ova tehnika se koristi od strane vojske za proučavanje problema koji su donijeli probleme vojnim sustavima. • FMEA je korištena za određivanje učinka sustava i kvarova. Naime, neuspjesi su određeni u skladu s učinkom od uspjeha misije ili sigurnosti radnika i opreme. « NASA je koristila ovu tehniku tijekom 60-ih godina kako bi se provjerila pouzdanost hardvera svemirskog programa. • Ova tehnika se naširoko koristi u automobilskoj industriji u 70-ima, i zbog njihovog uspjeha njegova uporaba je proširena na druge industrije. PECI Razlike između FMEA i FMECA I FMEA|eD(Vi Koraku- ■ v; ' 2. Koređrss ka traapradarsje procesa 3 Naglašava prworiciw probtema 4 Moguć« analu« viSosiojkift razma 5 Lfixfshi 8«io®aci so ra*roatre»u ovisno o račinu rada 6. Manjak ieitaSte anaSte® ? Poi>o|&anie oouafcnosti skvaaete ptoi^voaa'pfocesa 8 Povscanje 2asfc»|$tva kupca 10 Brifla a dtaapw proizvoda i procesa II Vremenski uCmkcwto 12 Ne konitoflj« mamce krtiCno&ti 1. FMECA je CeSće kortStena i pogođhip je za tontroJu hazarda ž. Kofjali se zaunapraitw* Sistema 3 Mjeri svaki mnispn-h kako bi uprava dobila informacije 4 FMECA fMrnatra s«afa netisptefi po|«lifia4fto. t km tate« rio razmatra interakcijo višeslaitag zalajanja 5 Ht razmatre |vđ$ki JakJor 6 Wentftecp potencijalnih kvarova kroz farsgtraiij« ozjMjnosš svprajatoesti i Održavat** sfentisrp anatea 8 Po»ca<i|o zastowfsh« internog»vanjskog kupca 10 IdffltMiota streiav i žabnnutusl operaieia it> sigurnost 11 lSum» puno vremena 12 Matrica knličnosti osigutava wscKivo m tdanifiKaciju i usporedbu sakoa neuspjeha PiCi FMEAi FMECA ISO 31010, Aneks B, B.13.3, B.13.4 Ulazi MM FMEA FMECA PEEB.......—_ ISO 31010, Aneks B Ulazi B.13.3 FMEA i FMECA trebaju informacije o elementima sustava sa dovoljno pojedinosti za smislenu analizu na koji svaki element može neuspjeti. Za detaljan dizajn FMEA element može biti na detaljnoj razini pojedinačnih komponenti, dok je za višu razinu sustava FMEA, elementi mogu se definirati na višoj razini. Informacije mogu uključivati: • crteže ili dijagram toka sustava koji analiziraju i njegove sastavne dijelove ili su koraci procesa; • razumijevanje funkcija svakog koraka procesa ili dijela sustava; • podatke o okolišu i drugih parametara koji mogu utjecati na rad; • razumijevanje rezultata pojedinih kvarova; • povijesni podaci o neuspjesima, uključujući podatke stopa neuspjeha gdje je to moguće. B.13.4 proces Proces FMEA je kako slijedi: a) odrediti djelokrug i ciljeve istraživanja; b) sastaviti tim; c) shvatiti sustava / procesa koji se podvrgava FMECA; d) kvar na sustavu u njegovim komponentama ili koraka; e) definiranje funkcija na svakom koraku ili komponentu; f) za svaku komponentu ili navedeni korak identificirati: • kako svaki dio može neuspjeti? • što mehanizmi mogu proizvoditi te načine neuspjeha? • Što bi mogle biti posljedice ako se kvarovi pojave? • Da li je neuspjeh bezopasan ili štetan? • Kako je otkriven neuspjeh? g) utvrditi inherentne odredbe u dizajnu na naknadu za neuspjeh. Za FMECA, tim klasificira svaki od identificiranih načina oštećenja prema kritičnosti. Postoji nekoliko načina to može biti učinjeno. Uobičajene metode uključuju: • indeks načina kritičnost, »razina rizika, • broj prioriteta rizika. Model kritičnosti je mjera vjerojatnosti da način rada se smatra će rezultirati neuspjehom sustava kao cjeline; je definirana kao: Vjerojatnost učinka neuspjeha * Stopa neuspjeha * Vrijeme rada sustava To se najčešće primjenjuje na kvarove opreme, gdje se svaki od ovih uvjeta može definirati kvantitativno te svi načini neuspjeha imaju istu posljedicu. Razina rizika se dobiva kombiniranjem posljedice kvara koji je nastao s vjerojatnošću neuspjeha. To se koristi kada posljedice na različite načine oštećuju i mogu se primijeniti na opremu sustava ili procesa. Razina rizika se može izraziti kvalitativno, polu-kvantitativno ili kvantitativno. Risk Priority Number (RPN) je polu-kvantitativna mjera kritičnosti dobivena množenjem brojeva iz rejting skale (obično između 1 i 10) za posljedicu neuspjeha, vjerojatnosti kvara i sposobnosti za otkrivanje problema. (Neuspjeh daje veći prioritet, ako ga je teže otkriti.) Ova metoda se koristi najčešće u kvalitetnim programima osiguranja. Nakon što su identificirani načini neuspjeha i mehanizmi, korektivne akcije mogu se definirati i provoditi za više značajnih načina oštećenja. FMEA je dokumentirana u izvješću koje sadrži: • pojedinosti o sustavu koji je analiziran; • način na koji se vježba provodi; • pretpostavke u analizi; • izvori podataka; • rezultati, uključujući završene radne listove; • Definirane kritičnosti i metodologija; • sve preporuke za daljnje analize, promjene dizajna ili značajke koje treba ugraditi u ispitne planove, itd. Sustav se može ponovno procijeniti u drugom ciklusu FMEA nakon što su akcije završene. B.13.5 Izlazi Primarni izlaz FMEA je popis načina neuspjeha, neuspjeh mehanizama i učinaka za svaku komponentu ili korak sustava ili procesa (koji mogu uključivati informacije o vjerojatnosti neuspjeha). Informacija je također dana o uzrocima neuspjeha i posljedicama na sustav u cjelini. Izlaz iz FMECA uključuje ocjenu važnosti na temelju vjerojatnosti da sustav neće uspjeti, razinu rizika koji proizlazi iz načina neuspjeha ili kombinacije razine rizika i 'detekcije' od kvara. FMECA može dati kvantitativne izlaze kad se koriste prikladni podaci stopa neuspjeha i kvantitativne posljedice. FMEA i F1VIECA Broj prioriteta rizika • Kritičnost je također poznata i kao broj prioriteta rizika (Risk Priority Number). Veći broj također ukazuje na veći rizik. To je matematički umnožak numeričkih vrijednosti Ozbiljnosti, Vjerojatnosti i Otkrivanja C = RPN = (Severity) x (Occurrence) x (Detection) C = BRP = (Ozbiljnost) x (Vjerojatnost) x (Otkrivanje) * BRP se koristi za postavu prioriteta objekata koji zahtijevaju dodatno kvalitetno planiranje, što veći broj to je razina rizika ne prihvatljivija. PiS^lEi FMEA igra korisnu ulogu u osiguranju kvalitete i ima ključnu ulogu u osiguravanju pouzdanosti. Obje metode mogu se primijeniti na širokom području mogućih problema u tehničkim sustavima. Mogu biti proširene ili ponovno podešene u različitim stupnjevima prema cilju. Analiza može biti raspoređena tijekom faze planiranja i definiranja projekta, te se naširoko koristi u rasponu od projektiranja i implementacije sustava procesa. Plan procjena rizika treba biti prilagođen novim načinima poslovanja. Dakle, budući da će biti promjena u procesima rizike treba procijeniti za nove procese. FMEA je induktivna metoda za obavljanje kvalitativne analize od niske do visoke razine sigurnosti sustava ili pouzdanosti. FMEA ima tri glavna područja primjene: Razine sustava, proizvoda i procesa. U sva tri slučaja, metoda FMEA može pomoći predvidjeti rizik i odrediti najkritičnije točke prema pokazatelju koji se zove kritičnost. Dakle, prije postavljanja prioriteta procesa koje je potrebno poboljšati, druga FMEA analiza treba biti provedena kako bi se procijenili rizici na temelju prikupljenih podataka. FMEA i FMEGA ISO 31010, Aneks B, B.13.6 Nedostaci širote se oriBiiefsiuiu na liudstsss oorswu i •kt litWin lt«*f4lM# susisvo neuspjena. naraver, procedure; > I njihove posljedice tia su stavtt, i podstaviti ih u iako fiiijivooi foisrnatuj • bibječi potrebu m skupu tonjenu opreme u službi pr0po2n3VBnj©rii problerna rsno u proces« đkajna; » identificirati pojedine načine točka neuspjeha i zahtjeve za otpremnina j|i sigurnosnih sustava; naglašavajući kljulne snaSajte koje trsi« pratiti " " " s naitaa neaspfehaj a ne' Ukoliko se adekvatno ne kontroliraju i drže ysrs<Joioeefl8, stydijemog« biti dugotrajna š ort« m ogu biti teške i zamorne m steže« pies Hcfsi. ^ 21 .'.onti'iviciiij uzi'»o i?"« E'1* 'li?« nn.N p.y: - pud'* i ;d A IWhO-tf *<„ iXvs d'/Hlf1 pto'xv^u j fl( in poloi^o.'j.^ pusica Vt ^'0L*'0-Ja vruće votie mo Simbol OR Simbol SmanjenjetJaka h-zM ftscft to« Plugged r«guU*ot3 "1 ote <$tx«£t®4 v?s«te tsssnp RVUftt RV Line P-ijq ISO 31010, Aneks B, B.14.1 Pregled FTAje tehnika za identifikaciju i analizu čimbenika koji mogu doprinijeti određenom neželjenom događaju (zvan "top događaj"). Uzročni čimbenici deduktivno su identificirani, logički organizirani i slikovno prikazani u stablo dijagramu koji prikazuje uzročne čimbenike i njihov logički odnos prema gornjem slučaju. Čimbenici identificirani u stablu mogu biti događaji koji su povezani s komponentama hardverskih kvarova, ljudskih pogrešaka ili drugih relevantnih događaja koji dovode do neželjenog događaja. Analiza stabla otkaza (FTA) Pozadina i povijest FTA & ETA: 9 Razvijena 1982 od strane Bell Laboratories, * Analiza je korištena za procjenu Minuteman i Launch Control System, a 1863-64 za procjenu Minuteman li sustava, * Od 1965. do 1970. ova metoda Široko se koristi u zrakoplovnoj industriji, te je dobila veliku pokrivenost na simpoziju pod pokroviteljstvom Boeinga i Sveučilišta u Washington«. * Korištenje stabala otkaza, je stekao široku primjenu iz različitih industrija i često se koristi kao alat za analizu neuspjeha. ISO 31010, Aneks B, B.14.2 Koristi Stablo greška može koristiti kvalitativno identificirane potencijalne uzroke i putove do neuspjeha (u gornjem slučaju) ili kvantitativno izračunate vjerojatnosti u gornjem slučaju, s obzirom na poznavanje vjerojatnosti uzročnih događaja. Može koristiti u fazi projektiranja sustava za identifikaciju potencijalnih uzroka neuspjeha i omogućiti odabir između različitih mogućnosti dizajna. Može se koristiti u operativnoj fazi kako bi se identificiralo kako se veliki neuspjeh može pojaviti i relativnu važnost različitih puteva u glavni događaj. Stablo greška se također može koristiti za analizu kvara koji se dogodio kako bi ga prikazali shematski kako se različiti događaji skupe da uzrokuju neuspjeh. Analiza stabla otkaza (FIA) >0 31010, Aneks B, B.14.3, B.14.4 & B.14.5 Ulazi ?j> T/aitafavrw artsfuu pctrebno p razumijevanje sustava t uz/ofea w-uspjehi:. kao i tehniji® r^uufwjewije kako sustav može i&pjeh DetaJjrw <tpg<am s>u kcwisra za i pomoć anafee. 2a kvantitativne analize, potrebni s« podao o uSWatesfe Naf«w A \*»«»amo« da su u prooam stariu m sve osnovne događanja u ssaWu tewwa PROCES * Vi Irs događaj kop se anatera jo definiran To mele netspjen ih molda šin shod teg neuspjeha Gdje se anateim isrwt statici može sadržavati <to kc?i se ounost na ublažavale steamog fsvara. > PoCevli sa vrša-m siuCajem iđbrtharare su mogući nepasređm uzrocs ili nači« neuspjeh. » Svaki 04 »h uroka ; rnodciva »asa se analima kako bi se utvrdi maa neuspjeha. » Postupna ioert)'ikacr(a fwpoieijrwg rada sustava slijedi sukcesivno mfirn razinama sustava dokdalf^a analiza postaje neproduktivna U haremskom s«taw m mm bib rveuspjeh komponente Događaji i u»oć« fakton anakaiam ria <tej«žoi iazi« sustava pozna® su kao b*i& Gdj/e se vjerojafwosf »»i« dodijeliti baznom događaj« vjerojatnost vršnog dogadaia se može izračunati 2a vaganu kvantiffacqu. wma sebitiu mogućnosti dokazan <Sa m svaka vrata su potrebi* m ula« > <» protivedu silazni đogadai Akoso«sssb4aj statsto •Otkaza m vrijedi ja analucu v)e»oiamosu. st može Mi konstan alat za prfkaswsnje txrofnh odnos® mm * - » N T • > . , - - i. «H „. V". ■ 'f. Prema standardu FTA ponekad je potrebno pojednostaviti pomoću Booleove algebre kako bi se uračunali dupli načini oštećenja. Osim što pruža procjenu vjerojatnosti glavnog događaja, minimalne rezane garniture, koje tvore pojedine zasebne putove na glavnom događaju, mogu se identificirati i njihov se utjecaj na gornjem slučaju može izračunati. Osim jednostavnih stabla kvarova, softverski paket je potreban za pravilne izračune kada su prisutni ponavljani događaji na nekoliko mjesta u stablu kvara i izračunati minimalni rez seta. Programski alati osiguravaju dosljednost, točnost i provjerljivost. Analiza stabla otkaza (FTA)- Metodologija Osnovni događaji u analizi stabla otkaza Vršni ilisrednji Nerazvijeni Osnovni događaj događaj događaj ppm Analiza stabla otkaza (FTA)- Metodologija OR I ILI VRATA gornji izlazili događaj će se ostvariti ako se bilo koji od događaja na ulazu dogodi AND /1 VKATA gornji izlazni događaj će se ostvarili ako se SVI događaji na ulazu dogode PRIJENOSNA VRATA prijenos na/od drugog dijela stabla otkaza (part 2) Vrata stabla otkaza PiCi Analiza stabla otkaza (FTA) -Metodologija )snovna struktura stabla Vršni nepoželjni događaj Srednji događaji Osnovni događaj! Analiza stabla otkaza (FTA) Primjer strukture stabla otkaza, Analiza stabla otkaza npr, trokut požara a i jllk I A PECB Analitička stabla su grafički prikazi ili slike projekta ili događaja. Oni koriste deduktivno razmišljanje u koji su započinju sa općim glavnim događajem ili izlaznim događajem i razvijaju kroz grane na određenim ulaznim događajima koji se moraju pojaviti kako bi izlaz biti generiran. Analitička stabla se nazivaju stablima, jer njihova struktura podsjeća na stablo, uzak na vrhu s jednim simbolom događaja te razgranati kako se stablo razvija. Analiza stabla otkaza (FTA) ISO 31010. Aneks 8, B.14.6 Piednosti < Pruža Asaptwmn sus?ami pn-wp u istovr-jpme je <Jo*5|ro fMiS!bi«i kAoh omoguc»c anato wAtnts tenomeos • Pwneia "top^wv pi suca impiititno h tersa us'aJciocii« pozornost na cm« Jćtrk« kvara kof se uujvra od'vjw tu y^mjefn sru£jju FTA}f> »xotKtakfxiS'M M &n»<a\t <■yjtraM smnripm SMCsiima i iffismteojafna • SUto** 8*>teK dcvodi slatakSeg sa'Wjevania iionjvinfd MJ^ava i uk^tHMh tmtwka si- bid sj ft»s>r'i vi.ouiadrf s'isb« tika.'i mu'e računalni <u.5tav i"Xa ?na(a}la omoguoic uklbdwrps su «£>•!,j< '-sgicK't-i odMjjKi <npf NAN 5> Nuf<> ći ukojcf p'cwu ->)K.i;o fes«?«« - li^Maosts stal^ato otfwa s is cut <-a<m kof^ia je u tttenffta a-tju jfvwfamh O'd^m WuiP^-a JV«i.< s-Hi/t-nom Mj^Utvy j t<*j<»mii m* rrv is<i ptcv lijtf« <x1<«t< uf ko*ntHfM"jfe iJooidi)^ koji Oovoae do gornjeg s!ućfl» mmmmmiiimmmmmmMmii » Nesigurnost «tQeroptnasn opwrafi ctogađaja uključen u ia*ćune vjer^atnosif gotn-eg ttogaćač To može dovesti do visoke <wif» nepvtesrosti gdje iqeioiawoas neuspjeha »atnog đogađaia »su sočno patriate meetem, vsofe ssopaoj co«|efenp je mogu: u debrosBMCMtsi su^Bwr« * U netom s«u<tci>ama airožni događaj ratu povezani i« stoga može bi!< teifco uMtlit, da li su «v> valni putovi na porniem siučafti Na^*)^ tA|u£ujuCi a« izvofj patnja uarsata poža»a ksovtšra događaj U ovoj s>tu30|i analiza vtetcjaMtssst ruje moguća * Sttolo oika/a ja staftSa rnoiSel Vrijeme pKrfjfaviswsli nje oouđeoo - Siit-ta oikaiia se mogu 'jfriia santo sa tnrww StanjflW UVOfMSh ■ plđlMSlfl) * DoK rrwgu Ni uh$u?ene -j kvahiai.v^o stiWrt <y*«M opremo neuspjeh ja ti Mvalt:«?!? Noj« Cesto kmStebć •<( MA« pvjfHkć m m-.)>jj bitt uktiće«; » Stablo otkaza m omogoto« <tort«o efekte i »jeine neuspjehe te^ćsbsttjednossaro tikljuEa« PiCi D. Analiza uzrok-posljedica Ishk^wn više <*aztp5t po-em,^ rub u^ok" (.npytn k-^ne uCtr're - .Jaz") problema pitanja koa w ••»10qu poja^Jll a tOKU pC'r Uzrok r.UvijSli f,Vscit Posljedic ISO 31010, Aneks B, B.17.1 Pregled Uzročno-posljedična analiza je strukturirana na način identificiranja mogućih uzroka neželjenog događaja ili problema. Organizira moguće pridonoseće čimbenike u široke kategorije tako da se sve moguće hipoteze mogu razmatrati. To međutim, samo po sebi ne ukazuje na stvarne uzroke, jer se oni mogu odrediti samo kroz stvarne dokaze i empirijsko testiranje hipoteza. Podaci se formiraju u Fishbone (naziva Ishikawa) ili ponekad dijagrama stabla (vidi B.17.4). Analiza uzrok-posljedica Pozadina i povijest uzrok-posljedica dijagrama * Predstavio ju je 1968 profesor Kaoru Ishikawa sa Tokyo Univerziteta * Poznat je kao "Ishikawa dijagram0 prema izumitelju, Kaoru Ishikawa, ili "riblja kost" prema izgledu * Riblju kost je usvojio Deming, te se I dan danas koristi u različitim industrijama za istraživanje potencijalnih uzroka posljedica ISO 31010, Dodatak B, B.17.2 Pregled Uzročno-posljedična analiza nudi strukturirani slikovni prikaz popisa uzroka određenog učinka. Učinak može biti pozitivan (objektivni) ili negativan (problem), ovisno o kontekstu. Koristi se kako bi se omogućilo razmatranje svih mogućih scenarija i uzroka kreiranih od strane tima stručnjaka i omogućuje konsenzus da se utvrdi najvjerojatniji uzrok koji se onda može testirati empirijski ili vrednovanjem raspoloživih podataka. Najvrjedniji je na početku analize proširiti razmišljanje o mogućim uzrocima, a zatim utvrditi potencijalne hipoteze koje se mogu smatrati više formalne. Izgradnja dijagrama uzroka i učinka može se poduzeti kad postoji potreba da se: • identificiraju mogući uzroci, osnovne razloge za određeni učinak, problema ili stanja; • Razdvojiti i povezati neke interakcije među čimbenicima koji utječu na određeni proces; « analizirati postojeće probleme, tako da se mogu poduzeti korektivne mjere. Uzročno-posljedična analiza može se koristiti kao metoda u obavljanju analizu uzroka problema (vidi točku B.12). Analiza uzrok-posljedica Prednosti korištenja: « usredotočuje pažnju članova tima za analizu na određeni problem; • utvrđuje temeljne uzroke problema pomoću strukturiranog pristupa; * potiče sudjelovanje grupe i koristi grupno znanje za proizvod ili proces; * koristi uredan, jednostavan za čitanje format dijagrama za uzročno-posljedičnu povezanost; ♦ ukazuje na moguće uzroke varijacija u procesu; *identificira područja u kojima treba prikupiti podatke za daljnje istraživanje. PiCi Analiza uzrok-posljedica Ulazi U na yjraino prs^'noi a'Vika znanH i isfcyslva "Wdiemka ik p»tt»£jS»0 Kob jp korišten u (XOiiO-Sli ISO 31010, Aneks B, B.17.3, B.17.4 & 8.17.5 PROCES ■■■ { ^^^RHnl^HIHIMIM^H^H^^HilllHl Mail War a xsmim posfcecMne a;Mls?» j« tib|a tost ri stftfcto hop pi>kan^e mcgjrf; i ^rcjatnc* uzrote. To onda pti/e pipponjke. 61 Rezultati su obično prikazani bilo kao Fishbone ili Ishikawa dijagram ili dijagram stabla. Riblja kost dijagram je strukturiran odvajanjem uzroka u glavne kategorije (predstavljenih linijama naslonjenih na okosnicu ribe) sa granama i pod-granama koje opisuju više specifičnih uzroka u tim kategorijama. Molimo pogledajte sljedeći primjer da bi bolje razumjeli korake koje provodi analiza uzroka i učinka. Analiza uzrok-posljedica Korak 1 - identifikacija problema Identificirati i definirati efekt • Identificirati tko je uključen • Odrediti problematiku • Odrediti kada i gdje se događa • Odlučiti koji učinak treba pregledati • Učinak označiti kao > Pozitivan (cilj) ili > Negativan (problem) PfcCB Analiza uzrok-posljedica Korak 2 - Popuniti kutiju učinka i nacrtali liniju iz „kralježnice/ Popuniti „glavu" i nacrtati „kralježnicu" ribe M Analiza uzrok-posljedica Korak 3 - IdentificitaU glavne kategorije Označiti svaku kost ribe \ ¥ / / reci Glavne kategorije koje se obično koriste pri izgradnji dijagram uzroka i učinka su: 6 M-ova koji se obično koriste u proizvodnji: Strojevi Metode Materijali Mjerenje Ljudi Majka priroda (okoliš) 8 P-ova koji se obično koriste u marketinškoj industriji: Cijena Promocija Narod Procesi Mjesto Politike Postupci Proizvod 4 S-a koji se obično koriste u uslužnim djelatnostima: Okolica Dobavljači Sustavi Vještine Analiza uzrok-posljedica Korak 4 - Identificiranje mogućih uzrok Identificirati uzroke koji imaju utjecaj na učinak Analiza uzrok-posljedtca hef^'* 'i-Ai i dijagrama Analiza riblje Kosti te dodavanje potrebnih detalja PECS Analiza uzrok-posljedica Nedostaci Vježba 11 Anali za uzrok-postjedica Napravite dijagram uzroka i posljedica koji će analizirati uzroke sljedećem događaju a koji se odnose na vašu organizaciju: Došlo je znatnog porasta broja ozlijeđenih zaposlenika na radnom mjestu. Trajanje vježbe: 20 minuta Komentari: 20 minuta PITANJA? ? t f Certificirani ISO 31000 menadžer rizika Sekcija 14 Prijava 2a certifikat i završetak treninga a. PECB cerfifikaeljstat shema b. Prijava za certifikat c. Održavanje certifikata d. Ocjena treninga milim PECi PECB ISO 31000 certifikacijska shema bazetak zahtieva ■»■hi Csrtificif®! ISO 31000 lid-- Certificirar' ISO 31000 Menadžer itoKa ispit Profesionalno iskustvo 2 godine (1 u upravijar^u II: rizicima) Iskustvo procjene I i/lkfi Aktivnosti u upravljanju ukypno 200 sa Ceftiiieirani ! Certifteirara - ISO 31000 ISO 31000 Prtwtmsrt ' Manađžer rteika .tenadžsr rizika ispi i Postoje dvije vrste certifikata menadžera: 1. „Certificirani ISO 31000 menadžer rizika" prepoznaje daje osoba majstora znanja o upravljanju rizicima i pokazuje sposobnosti za upravljanje timom za procjene rizika. 2. „Certificirani ISO 31000 Privremeni menadžer rizika" prepoznaje da osoba razumije osnovne pojmove, pristup, metode i tehnike za učinkovito upravljanje rizicima, te da on može biti član tima za procjenu rizika. PECB proces certifikacije 1:, PEOB .., j_,...,.....,;;_^ Rezultati., . . 5, Ocjena ;___k . :_^ : 7., Održavanja! .i/pritaMn;;:;j ■ ;: i,, certifikata PECB Polaganje ispita nije jedini preduvjet za dobivanje profesionalnog certifikata „Certificirani ISO 31000 Menadžer rizika". Ovaj profesionalni certifikat će podržati oboje polaganje ispita i priznavanje profesionalnog iskustva. VAŽNA NAPOMENA: Pristojbe za izdavanje certifikata su uključene u cijenu ispita. Kandidat stoga neće morati platiti nikakve dodatne troškove prilikom podnošenja zahtjeva za ovjeru odgovarajuće razine iskustva i dobiti će jedan od profesionalnih certifikata: Certificirani ISO 31000 Menadžer rizika ili Certificirani ISO 31000 Privremeni Menadžer rizika. 1, PECB lspit Priprema • Cilj ispita je da polaznici poznaju i ovladaju: 1, Temeljna načela i koncepti u upravljanju rizicima 2- Program upravljanja rizicima 3. Procjena rizika 4. Tretman rizika 5. Komunikacija rizika, praćenje i poboljšavanje ♦ Sudionici imaju pravo koristiti svu svoju dokumentaciju « Ispit traje 2 sata Cilj ispita je osigurati da su kandidati za auditora savladali koncepte i tehnike vezane uz upravljanje rizicima, tako da su u mogućnosti da sudjelovati u zadacima. Ispitni odbor PECB-a osigurati će razvoj i adekvatnost ispitnih pitanja na temelju trenutne stručne prakse. Pitanja su razvijena i održavana od strane odbora za upravljanje rizicima koji je sačinjen od stručnjaka koji su svi certificirani ISO 31000 menadžeri rizika. Ispit sadrži samo esej pitanja. Trajanje ispita je 2 sata. Minimalna prolazna ocjena je 70%. Sve bilješke i referentni dokumenti mogu se koristiti na ispitu osim korištenje računala. Ispit je dostupan na nekoliko jezika. Prilikom polaganja ispita, molimo pitajte trenera ili provjerite na web stranici PECB popis dostupnih jezika. Svih pet područja kompetencije su obuhvaćene ispitivanjem. Da biste pročitali detaljan opis svakog područja kompetentnosti molimo posjetite web stranicu PECB. pn 2. Certifikat o završenom predavanju CPD •Ccnt.virKS Prefect 3evdo»: ^-pi} Orliću Professional Evaluation and Certification Board Tim <kss«t(»»« «*oifies ttai Pero Perk Has nmi&sivSf competed the «»i»issg earns* ISO 31000 Risk Manager " ^ This csitiKeate is vafitf t\ Contlnu&g Professional Development credits Bfc a^mh. <>mb* Cjits^Jytk-s Bate; I Na kraju ovog treninga dobit ćete dokument koji potvrđuje prisustvo na tečaju i 21 bod kontinuiranog profesionalnog razvoja. Ovaj dokument potvrđuje samo da je sudionik sudjelovao na treningu i nije njegov uspjeh na certifikacijskom ispitu. 3. Objava rezultata ispita Mogući rezultati su: O m CL Primit ćete broj ispila putem e-malia Broj ispita je bitan kod prijava za PECB certifikat Možete pristupiti ponovljenom ispitu unutar 12 mjeseci od inicijalnog ispita Molimo vas da kontaktirate ispitivače kako bi dogovorili novi datum za spit Važna obavijest: Kandidatima neće biti dostavljeni brojčane vrijednosti bodova Ocjenjivanje svakog ispita provodi se anonimno od strane kvalificirane osobe. Kako bi se osigurala neovisnost, nepristranost i odsustvo sukoba interesa, treneri i nadzornici ne sudjeluju u postupku ocjenjivanja ispita, ili u procesu certificiranja kandidata. Kandidati će biti obaviješteni putem e-maila u roku od 4 do 8 tjedana nakon ispita o njihovom rezultatu. Mogući ishodi su ili: PROLAZ ili PAD. Kandidat neće dobiti numeričku ocjenu ispita kao niti ispravak odgovora. Važna napomena: Po uspješnom završetku ispita dobit ćete ispitni broj putem e-maila, zajedno s uputama o tome kako se prijaviti za PECB certificiranog ISO 31000 menadžera rizika. Certifikat se izdaje samo na kraju procesa certificiranja. U situaciji da kandidat ne položi ispit, dobiti će pojašnjenje z kojim područjima nije uspio dokazati potrebnu kompetentnost. Kandidat ima dvanaest (12) mjeseci za ponovno polaganje ispita. Da biste to učinili, kandidat mora kontaktirati šefa organizacije za obuku za planiranje ispita. Ponovnu ispit je besplatan. Međutim, troškovi nadzora ispitivanja mogu se primjenjivati. 4. Prijava za certifikat Opći postupak • Nakon uspješno položenog ispita, možete se prijaviti putem internet za izdavanje vašeg certifikata na stranici www.pecb.org ♦ Kod prijave morate navesti sljedeće informacije: Vaše kontakt detalje Vaše profesionalno iskustvo i iskustvo.u upravljanju rizicima Najmanje tri reference Nakon uspješno položenog ispita, kandidat ima maksimalni rok od tri godine da podnese zahtjev za dobivanje certifikata sukladno ISO 31000 certifikacijskoj shemi. Na Vaš zahtjev, morate dati sljedeće podatke: 1. Vaše kontakt podatke • Pobrinite se za pravilno pisanje (u ASCII formatu) Vašeg imena kako želite da se napiše na certifikatu. 2. Vaš profesionalno iskustvo i iskustvo procjene rizika • Morate dati životopis u kojem ste predstavili vlastito iskustvo. Radno iskustvo može biti svaka aktivnost koja pokazuje da imate vještine i znanje o funkcioniranju organizacije. • Za iskustvo u procjeni rizika, svakako navedite broj sati. • Za radno iskustvo nema ekvivalenta. Obrazovanje ne može zamijeniti iskustvo. 3. Najmanje tri reference • Reference moraju biti osobe koje poznajete osobno. Oni mogu biti kolege, partneri, supervizori, vaši zaposlenici itd. Bitno je da vas te osobe dovoljno poznaju kako bi potvrdili vaše iskustvo. • Budući da je Vaša prijava neće biti razmatrana ako nemate barem dvije reference, poželjno je dati maksimum 5 referenci. 4, Prijava za certifikat Profesionalno iskustvo Priznatu iskustvo u ii|>i'ivi|ftn|u ri/icimd Unutarnja primjena »/ili upravljanje programom upravljanja rizicima Vanjski / konzaltmg provedbu i/ili upravljanje programa upravljanja rizicima DJeiowlSrsa implementacija ffi upravljanje programa upravljanja rizicima kao identifikacija rizika, analiza rizika, procjene rizika, obrada rizika, prihvaćanje rizika, upravljanje rizicima, komuniciranje o rizicima, revizije rizika Aktivnosti procjene rizikd * Razumijevanje organizacije i njezinog konteksta * Definiranje pristupa upravljanja rizicima * Odabir metodologija analize rizika * Definiranje kriterija procjene rizika » Identifikacija imovine, prijetnje, pos kontrola, ranjivosti i posljedica (utjecaji) » Procjena posljedica i vjerojatnosti incidenta * Određivanje razine rizika * Ocjenjivanje scenarija rizika * Ocjenjivanje mogućnosti Sjedenja rizika » Odabir i provedba kontrola * Izvođenje pregleda upravljanja rizicima Na primjer, konzultant koji je u prvoj fazi provodio GAP analizu za klijenta te je pratio njegovu usklađenost okvira smatrat će se da ima relevantno iskustvo. U svrhu certificiranja, sljedeće vrste aktivnosti smatraju valjane u upravljanju rizicima: • Unutarnja primjena i/ili upravljanje programa upravljanja rizicima; • Vanjski / konzalting provedba i/ili upravljanje programa upravljanja rizicima; • Djelomična implementacija i/ili upravljanje programa upravljanja rizicima kao identifikaciju rizika, analiza rizika, procjene rizika, liječenje rizika, prihvaćanje rizika, upravljanje rizicima, komunikacije, praćenja i revizija rizika. Da biste se smatrala važećom, procjene rizika treba slijediti najbolju praksu i uključivati značajan broj od sljedećih aktivnosti: • Razumijevanje organizacije i njegov kontekst; • Definiranje pristupa upravljanja rizicima; • Odabir metodologije analize rizika; • Definiranje kriterija ocjenjivanja rizika; • Identifikacija imovine, prijetnji, postojećih kontrola, ranjivosti i posljedice (utjecaja); • Procjena posljedica i vjerojatnosti incidenta; • Određivanje razine rizika; • Ocjenjivanje scenarija rizika; • Ocjenjivanje mogućnosti obrade rizika; • Odabir i provedbu kontrola; • Izvođenje pregled upravljanja rizicima. 5, Evaiuadja prijave Nakon što je Vaša prijava je potpuna, PECB će obaviti procjenu; • Vaša reference će biti kontaktirane za provjeru • Vašeg radnog iskustva i iskustvo procjena rizika • Vaš osobni stav Vaša prijava se neće vrednovati sve dok najmanje dvoje od vaših reference nisu odgovorili. Možete provjeriti jesu li vaše reference odgovorile na računu člana PECB. Reference će biti kontaktirane da ispune kratki upitnik kako bi posvjedočiti o vašem iskustvu i procijeniti vaše osobne kvalitete (prema 13 profesionalnih vještina ponašanja utvrđenim u ISO 19011). Slučajni uzorak referenci će biti kontaktirani putem telefona. Možete provjeriti jesu da li su vaše reference na vašem računu PECB. Ako Vaše reference kasne, trebali biste ih kontaktirati sa njima kako bi se osiguralo da su dobili poziv. U situaciji koja PECB nije u mogućnosti kontaktirati jednu od referencu ili upitnici nisu bili odgovorio, bit ćete upitani za daljnje reference. Evafuirane vještine ponašanja 9. Samopouzdan Bihevioralne vještine • etički, pravedan, istinit, iskren, iskren i diskretan; • otvoreni, odnosno spremni razmotriti alternativne ideje ili točke gledišta; • diplomatski, tj. taktičan u ophođenju s ljudima; • pažljiv, odnosno aktivno promatranje fizičkog okruženja i aktivnosti; • perceptivno, odnosno svjesni i sposobni razumjeti situacije: • svestran, odnosno mogućnosti da lako prilagoditi različitim situacijama; • uporan, odnosno uporni, usmjerena na postizanje ciljeva; • Odlučujući, odnosno mogućnosti doći do pravovremene zaključke na temelju logičkog rasuđivanja i analize; • samostalno, odnosno mogućnosti djelovati i djeluju samostalno, dok učinkovito interakciji s drugima; • hrabar, odnosno mogućnosti djelovati odgovorno i etično, iako ove radnje ne mora uvijek biti popularan, a ponekad može dovesti do neslaganja ili sukoba; • otvoren za poboljšanje, odnosno spremni učiti iz situacija, težnja za bolje rezultate; • kulturno osjetljivi, odnosno pažljiv i poštovanja prema kulturi drugih; • Otvoren za suradnju, odnosno učinkovitije interakcije s drugima, uključujući i članovima tima i osoblja klijenta. 8. Certifikacija • Ako je Vaša prijava odobrena, PECB će poslati svoju potvrdu putem e-pošte u PDF formatu • Ova potvrda sadrži broj potvrde koji možete provjeriti na web stranici PECB www.pecb.org slijedeći karticu • Samo osobe koje su uredno provjerene mogu koristiti naslov "Certificiranl ISO 31000 Menadžer rizika (PECB)" « Također je moguće koristiti sljedeće titule: Certifikat ISO 31000 RM (PECB) ISO 31000 Risk Manager (PECB) - ISO 31000 RM (PECB) ni i.........i ............................................._________________________. . .........................._ Kad je kandidat certificiran, prima elektronskim prijenos, PECB certifikat koji vrijedi tri godine. Nakon tog razdoblja certifikat će biti obnovljen ako podnositelj zahtjeva ispunjava uvjete za održavanje svoje profesionalne oznake. 7, Održavanje certifikata C^rSi^'V" : ko;«u ;jož;oijs&nj».; Komj •civ.-rcij^- Kontinuirani profesionalni razvoj ^Najmanje 30 sati kontinuiranog osposobljavanja u razdoblju od 3 godine) Održavanje sposobnosti procjene rizika (Najmanje 30 sati aktivnosti procjene rizika u razdoblju od 3 godine) PECB Za održavanje certifikata, kandidat mora dokazati u periodu od tri godine da održava svoje profesionalne sposobnosti kroz kontinuirane aktivnosti obuke i ostvarivanju misije procjene rizika. 1. Kontinuirano osposobljavanje Profesionalno se može razvijati na različite načine: formalne obuke, individualna studija, podučavanje, sudjelovanje na konferencijama ili seminarima ili drugim relevantnim profesionalnim aktivnostima. PECB zahtijeva minimalno 30 sati nastavka obrazovanja svake 3 godine kako bi se održao certifikat za menadžera rizika. 2. Profesionalno iskustvo i održavanje sposobnosti za upravljanje rizicima Profesionalac također treba održavati i pokazati svoju sposobnost redovitog sudjelovanja u aktivnostima upravljanja rizicima kako bi njihovih namjena kao menadžer rizika. PECB zahtijeva minimalno 30 sati aktivnosti upravljanja rizicima u 3 godine kako bi se održao certifikat za menadžera rizika. Važna napomena: Aktivnosti nisu potrebne za održavanje certifikata privremenog menadžera rizika. 7. Održavanje certifikata Održava-i.o - kori ^UTaro uoboi^anjc kompetencija Provisional Risk Manager Iskustvo Edukacija Iskustvo Edukacija 0 Nema 0 Nema Nema Nerca RisK Manager sait sađnog 10 sati obuke, privatni shtivnffl&ma Evaluacija treninga Nastojimo stalno poboljšavati kvalitetu i praktičnu našeg treninga. Prema tome, vaše mišljenje o obuci koje ste upravo slijedi je od velike vrijednosti za nas. Bili bismo zahvalni ako biste nam mogli svojom evaluacijom ocijeniti karakteristike treninga i trenera. Također, ako imate prijedloge za poboljšanje PECB trening materijala, željeli bismo to čuti od vas. Čitamo i procjenjujemo mišljenja koja smo dobili od naših članova. Molimo, otvorite „ticket" usmjeren na Odjelu za obuku na PECB internetskim stranicama u odjeljku Kontaktirajte nas. U slučaju nezadovoljstva treningom (trener, učionica, oprema, itd.), pregleda ili procesa certifikacije, otvorite ticket pod „primjedba" u kategoriji na PECB internetskim stranicama u odjeljku Kontaktirajte nas. Nakon sudjelovanja u ovom treningu, polaznici će dobiti certifikat od 21 CPD (kontinuiranog profesionalnog razvoja) kredita putem e-maila. Certified ISO 31000 Risk Manager Trening VJEŽBE Bluefteld cl «xt\ Vježba 1: Mitovi i stvarnost - Upravljanje rizicima Za svaku od sljedećih tvrdnji, odredite da li smatrate da su istinite ili lažne i objasniste svoj odgovor: 1. Organizacija je danas izložena više rizicima nego prije 25 godina kll^VM.....L.Mkći.................&............................. 2. Rizik ne može egzistirati bez prijetnje 3. Može se predvidjeti većina rizika , ■ \ ■ 1 ' \Jt> ..... .........1U3M......!...... >y -rTy 4. Rizik je stvar prvenstveno percepcije ; .................IaM......^......'..........................\......f^. 5. Rizik se može u potpunosti eliminirati , . .........................:....................i.,...:.......,..................... ..................................X _.. AiSii^...... ......'......................z^^ ......§Lo...............eUyM§........M^MHa.....^4?......k U. 6. Dobar menadžer zna riskirati 7. Analiza rizika je uvijek subjektivna \ ...............uin^itoMK..... Kvantitativna analiza rizika osigurava višu relevantnost rezultata nego kvalitativna analiza ................:...........v.:.........^............L.y„ ............ 9. Kultura rizika priznaje pravo na greške ....................::......21 ......D.IK........li ...............MMvi1:!.... 10. Za organizaciju rizik može biti pozitivan (mogućnost) ili negativan (opasnosti). .................J.........................;..........................................................;...........;;................. Vježba 2: Implementacija upravljanja rizikom Molimo odrediti što su glavne prednosti za vašu organizaciju za provedbu najbolje prakse upravljanja rizicima? Što mislite kako ISO 31000 može biti korisna? Prednost 1) ............... . ......ivi )\Lh.... ... .....V^h............... i... ,7J. .JM^l'^i...............ogolim.,..............!............................................. Prednost 2)..................fi1^1 .....tM,.....M-^.^.................. ........L ............:.............................................. Prednost 3)........fe^čS^J M^.............i...^.^1- .^jv.......................uts........'k .............&.......^...........\..... ........................mm-...... .............................................................................. Vježba 3: Okvir i odgovornosti Na temelju vaše organizacije/odjela, molimo vas odredite: Koje odgovornosti bi trebali imati vezano za upravljanje rizicima? ..............lila........................'.................... ilfVV'.H 'Y\W ' - /ft- s Kakve odgovornosti bi trebao imati vaš nadređeni vezano za upravljanje rizicima? Kakve odgovornosti bi trebao imati vaš podređeni (ako postoji) vezano za upravljanje rizicima? .............k^Mf i J ...... ; ifL^nil •'";'! "/i'Ai'y (J......lv Koji drugi članovi vaše organizacije (imenujte barem tri) bi trebali imati odgovornosti vezane za upravljanje rizicima i koje bi to bile odgovornosti? (A Za vašu organizaciju/odjel molimo popunite: 1) Predložite ciljeve za upravljanje rizicima .............................,...:...........A....... .....................;.....'...........>................ ..........................:....................:i4vl:. ..... 2) Predložite kriterije za vrednovanje rizika .........................a)., vi iM^Mf ■......a........ J ^ ...............................liJ^vf;:..........t^iJL.MK«^-' ...............................^......ViVUi............5 ^ ...........|.\l M-.....x...................................................................... 3) Identificirajte izvore zahtjeva za sukladnost organizacije Izvor zahtjeva 1; ..................................................'...................... Pitanja: .......-...............'.....................................................................kf!..... ................:................................................................................'.tvk\...... ......;......,'.:...:...:..........................fel Ni » Izvor zahtjeva 2: Pitanja: ................................ .ik. ivfCk ■T^'V- Izvor zahtjeva 3: Pitanja: ............ Molimo da za vašu organizaciju identificirate najmanje tri izvora rizika koji bi mogli imati utjecaj na slijedeće: 1) Kritične ugovorne obveze \ AO- 2) Ugled (V.O Oi Vtv sUfcV) , NUM-J-iriCn^t VY>YoO i ......... .......V^XlV^Mk ..ue^pv...... 3) Zdravlje i sigurnost zaposlenika ............................................MMCf:: ...............................................^.Mt)..................................... 4) Pravna usklađenost .................................y V\~ki{......^ ... P...........totaV*:............. .......................................................CSjC..........................M.....Ifte*^ ....................................................IMJ^.......Mc^.........^.ud. kk. KM?...... Vježba 6: Identifikacija posljedica i vjerojatnosti Izvori rizika Posljedica Vjerojatnost Kritične ugovorne obveze vouwi Ugled Ko Vtt as U Izvori rizika Posljedica Vjerojatnost Zdravlje i sigurnost zaposlenika Avwa^u'oe "i- ^ -y, Pravna usklađenost Ci UK^0^10^ i «=. , ^ i Iz prethodne vježbe, odaberite šest identificiranih izvora rizika, te za svaki od njih utvrdite koja bi bila poželjna opcija tretmana rizika i objasnite svoj odgovor. Izvor rizika 1: ....... .^muM^i. .......... Sz'vof9 rizika 2> Izvor rizika 3: i .i!. Izvor rizika 4: Izvor rizika 5: Izvor rizika 6: Iz prethodne vježbe, navedite koji i što će komunicirati unutarnji i vanjski dionici vezano za navedene rizike. Molimo također ukažite kako bi obavljali tu komunikaciju. (O) Unutarnji dionici ..............©JW&..... ....................^ .■■TA (2j Vanjski dionici ............fe.Cbrf........\.......... Vježba 9: HAZOP Za svoju organizaciju, molimo popunite tablicu za procjenu rizika pomoću HAZOP metode za procjenu rizika, a koji se odnose na zdravlje i sigurnost zaposlenika, kao i zakonske obveze vezane uz zdravlje i sigurnost zaposlenika. Molimo definirajte primjere posljedica, vjerojatnosti i rizika u redovima. ; ;kv:;. :■:": RlZlcf.. - Posljedice .-.i^. ■ Vjerojatnost . ;'.":V Rang:■./,;.■ . rizika ' : Zdravlje i sigurnost zaposlenika Pravne obveze Vježba 10: Analiza scenarija Za svoju organizaciju, molimo identificirajte i analizirajte scenarije vezane za hakiranje baze podataka o klijentima od strane hakera. Molimo uzmite u obzir ugled, ugovorne i zakonske aspekte ovog incidenta. Aspekti ugleda Ugovorni aspekti Zakonski aspekti Vježba 11: Dijagram uzroka i posljedica Molimo napravite dijagram uzroka i posljedica za analizu uzroka sljedećih događaja koji se odnose na vašu organizaciju: Evidentiran je znatan porast broja zaposlenih koji su ozlijeđeni na radnom mjestu. Item changed by user 2 at 2017-04-06 23:18:17.Created: Provenance, Mediator, Title, Alternative Title, Publisher, Format, Language, Type, IdentifierItem changed by user 2 at 2017-04-06 23:18:17.Imported from Background script