Objavom nove revizije standarda ISO 9001:2015 konačno je i u posljednju specifikaciju zahtjeva uveden i zahtjev za formalno uzimanje u obzir rizika. Taj zahtjev je i ranije implicitno bio u ranijim revizijama ISO 9001 iskazan kroz obaveznu provedbu zahtjeva preventivnih akcija. Mada se formalno u tom zahtjevu nije govorilo o procjeni rizika, sve tehnike i alati koji su se koristili za ocjenu realnosti neke prevencije su iz skupa opće poznatih tehnika i alata za procjenu rizika. Uvođenjem zahtjeva o obaveznom uzimanju u obzir rizika na više mjesta u standardu ISO 9001:2015 pojam preventivnih akcija gubi smisao, pa su te akcije formalno isključene iz specifikacije zahtjeva.

Kada se govori o „uzimanju rizika u obzir“, kako formalno stoji u standardu, odnos prema tome može biti dvojben, barem za one koji se ne razumiju dovoljno u problematiku rizika. Naime, u literaturi, nizu radova se taj pojam svakako interpretira. Netko govori o potrebi analize rizika, netko o procjeni rizika, a oni dobro upućeni govore o upravljanju rizicima. Kako je ISO 9001 jedan od standarda iz serije ISO specifikacija zahtjeva, kao npr. ISO 14001, ISO/IEC 27001,  ISO 22301, itd., ali i povezan sa nizom smjernica, kao npr. ISO 31000, ISO 19011, itd. Logično je da se pri implementaciji nekog sistema upravljanja maksimalno koriste sve relevantne smjernice koje se odnose na neku vrstu zahtjeva.

Kada se govori o rizicima, temeljni standard u ISO familiji je ISO 31000. To znači da se svi standardi koji imaju zahtjev vezan za rizike trebaju referencirati na ISO 31000. Nije obaveza, jer netko može zbog tradicije upravljanja rizicima u svojoj organizaciji koristiti neki drugi okvir, a ne onaj opisan u ISO 31000, kao što je npr. COSO. No, kada se svi ti okviri za upravljanje rizicima usporede, može se pokazati da se mogu lako svesti na ISO 31000. U okviru rada će se upravljanje rizicima isključivo referencirati na ISO 31000 i druge povezane ISO smjernice.

Blok shema upravljanja rizicima prema ISO 31000:2009

U smjernici ISO 31000 struktura procesa upravljanja rizicima se može prikazati kao što se vidi na slici.

mjerenje1

Svi elementi prikazani u blok shemi predstavljaju cijeli okvir upravljanja rizicima i ukoliko se želi držati rizike pod kontrolom, onda je neophodno smatrati da pojam „uzeti u obzir rizike“ u stvari predstavlja sinonim za „upravljanje rizicima“.

Pojednostavljeni opis blok sheme upravljanja rizicima prikazane na slici 1. može se dati kako slijedi: nakon što se utvrdi i odabere optimalna metodologija upravljanja rizicima, pristupa se identifikaciji objekata ili imovine nad kojima će se vršiti upravljanje rizicima. To mogu biti ciljevi u politici kvalitete, odabrane strategije, operativni rizici nad procesima, itd. Za tu imovinu se utvrđuju prijetnje i ranjivosti, često analizom raznih scenarija. Vrednovanjem rizika se dobiva rang svih utvrđenih rizika, od kojih su neki prihvatljivi, a neki nisu.

Za sve neprihvatljive rizike u skladu s usvojenom metodologijom procjene rizika trebaju se planirati i odrediti tretmani, odnosno postupanja s njima. Tim tretmanima se rizici nastoje smanjiti na prihvatljivi nivo i zadržati na njemu. Ti postupci uz eventualnu primjenu tehnologije, organizacije i drugih resursa nazivaju se kontrole. Ako su kontrole dobro planirane i provedene u praksi, nivo rizika bi se morao smanjiti što povlači za sobom funkcioniranje sistema upravljanja s manjim greškama, manjim troškovima i gubicima. Te kontrole i ne moraju uvijek davati dovoljno dobre rezultate u smislu smanjivanja nivoa rizika, pa je njihovo poboljšanje na temelju mjerenja stalna aktivnost i obaveza organizacije.

Iz gore iznesenog može se vidjeti da je ključna točka za potvrdu uspješnog upravljanja rizicima, u smislu njihovog držanja na željenom nivou, u kvalitetno planiranim i izvedenim kontrolama. To je točno samo ako je procjena rizika dobro i sveobuhvatno urađena. Tu će se smatrati da je procjena rizika zadovoljavajuće napravljena i da je uključila sve relevantne rizike koji mogu ugroziti bilo kakve ciljeve. U tom slučaju ostaje problem na odabiru kontrola, te njihovoj pravilnoj implementaciji. Jedini dokaz da su kontrole kvalitetne i da održavaju rizike na željenom nivou je mjerenje nad tim kontrolama. Rezultati tih mjerenja daju temelj za eventualna njihova poboljšanja ili čak odabir potpuno novih kontrola, a sve u cilju održavanja rizika na željenom niskom nivou.

Mjerenje kontrola rizika

Potpuno jasno da mjerenje kontrola rizika je presudno za ocjenu njihove kvalitete. Postavlja se pitanje što to treba mjeriti na kontrolama rizika da se može ocijeniti njihova kvaliteta. Drugim riječima, njihova sposobnost planiranog ispunjenja cilja: održavanje rizika na željenom nivou. Postoje dva parametra koja se mogu mjeriti kada su u pitanju kontrole rizika, uostalom kao i za ostale poslovne procese. Ti parametri su učinkovitost i djelotvornost. Prema ISO 9000 definicije za učinkovitost i djelotvornost su:

Učinkovitost (Effectiveness) je mjera (stupanj) u kojoj se ostvaruju planirane radnje i postižu planirani rezultati.

Djelotvornost (Efficiency) odnos između postignutih rezultata i upotrijebljenih resursa.

Pojednostavljeno, te dvije veličine i njihovo stvarno značenje u okviru nekog procesa ili skupa aktivnosti mogu se prikazati kao na slici.

mjerenje2

Jednostavan zahtjev kod planiranja i provedbe kontrole rizika može se svesti na slijedeće: uradi pravu stvar na pravi način. Prava stvar znači odaberi i napravi ono što će postići cilj – smanjiti rizike. Uradi na pravi način znači kod realizacije koristiti minimalne resurse za provedbu kontrole. Ukoliko je postignuta optimalna učinkovitost i djelotvornost kontrole rizika može se reći da je kontrola rizika kvalitetna. Jedino se objektivnim dokazom može reći da su kontrole rizika kvalitetne. Ti objektivni dokazi mogu se dobiti promatranjem, mjerenjem, ispitivanjem ili na druge načine. Ovdje će se težište staviti na mjerenje kao izvor objektivnog dokaza. Ono kao takvo u pravilu nije podložno subjektivizmu i za njega postoje materijalni dokazi u arhivama.

Mjerenje učinkovitosti i djelotvornosti kontrola rizika

U okviru ISO standarda postoji jedan standard koji kvalitetno i detaljno obrađuje problematiku mjerenja učinkovitosti i djelotvornosti. To je  ISO/IEC 27004 [5] koji se odnosi na područje informacijske sigurnosti. Ukoliko se u tekstu standarda pojam „informacijska sigurnost“ zamijeni sa bilo kojim drugim sistemom upravljanja npr. upravljanje kvalitetom, upravljanje okolišem, upravljanje rizicima pokazat će se da je kao „stvoren“ za to područje primjene. To znači, da standard ISO/IEC 27004 može poslužiti kao savršeni generički standard za planiranje i implementaciju mjerenja učinkovitosti i djelotvornost bilo kojeg sistema upravljanja ili njegovog segmenta.

Povezanost mjerenja učinkovitosti kontrola rizika i PDCA kruga upravljanja rizicima u bilo kojem sistemu upravljanja prikazana je na slici.

mjerenje3

Iz slike se može vidjeti da je upravljanje rizicima u bilo kojem sistemu upravljanja, pa tako i u sistemu upravljanja kvalitetom (SUK) prožeto je kroz sve njegove elemente. Upravljanje rizicima je jedini poznati put kojim se osigurava proaktivno upravljanje. U okviru tog, rezultati mjerenja učinkovitosti kontrola rizika se trebaju protezati sve u upravinu ocjenu kao jedan od ključnih faktora upravi za procjenu uspješnosti poslovanja u neposrednoj ili daljoj budućnosti.

Model mjerenja učinkovitosti kontrola rizika prema ISO/IEC 27004 prikazan je na slici. Blok shema je adaptirana da vrijedi za sve vrste kontrola u svim sistemima upravljanja.

mjerenje4

Elementi modela mjerenja učinkovitosti kontrola

  • Analitički model – Algoritam ili kalkulacija koja kombinira jedno i/ili više baznih i/ili izvedenih mjera sa pridruženi kriterijima za odluku
  • Atribut – Svojstvo ili karakteristika objekta koje može biti prepoznato kvantitativno ili kvalitativno  od strane čovjeka ili automata
  • Osnovno mjerenje – Mjera definirana u pogledu atributa i metode za kvantificiranje. NAPOMENA: osnovna mjera je funkcionalno nezavisna od ostalih mjera
  • Podatak – Skup vrijednosti dodijeljenih osnovnoj mjeri, izvedenim mjerama i/ili indikatorima
  • Kriterij za odluku – Pragovi, ciljevi, ili uzorci korišteni za određivanje potrebe za akcijom u daljnjoj istrazi, ili za opis nivoa pouzdanosti u danom rezultatu
  • Izvedena mjera – Mjera koja je definirana kao funkcija dvije ili više vrijednosti ili osnovnih mjera
  • Indikator (pokazatelj) – Mjera koja pruža procjenu određenog atributa izvedenog iz analitičkog modela u skladu sa definiranim informacijskim potrebama
  • Zahtijevana informacija – Uvid potreban za upravljanje ciljevima, rizicima i problemima
  • Mjera – Varijabla u koji se vrijednost kao rezultat mjerenja sprema. NAPOMENA: Izraz „mjera” se koristi za referenciranje na osnovne mjere, izvedene mjere i indikatore. PRIMJER: usporedba izmjerenih kvarova u odnosu na planirane kvarove, uz procjenu da li razlika ukazuje (ili ne ukazuje) na problem.
  • Mjerenje – Proces dobivanja informacija o učinkovitosti upravljanja i kontrola  korištenjem metoda mjerenja, funkcija mjerenja, analitičkog modela i kriterija za odluku
  • Funkcija mjerenja – Algoritam ili kalkulacija izvedena kombiniranjem dviju ili više osnovnih mjera
  • Metoda mjerenja – Logički slijed informacija, općenito opisan, korišten u kvantificiranju atributa u skladu sa određenom skalom. NAPOMENA: vrsta metode mjerenja ovisi o prirodi operacija korištenih za kvantificiranje atributa. Raspoznaju se dvije vrste: subjektivna – kvantifikacija koja uključuje ljudsku procjenu, te objektivna – kvantifikacija bazirana na numeričkim pravilima
  • Rezultat mjerenja – Jedan ili više indikatora i njima pridružene interpretacije koje se odnose na željenu informaciju
  • Objekt – Stvar karakterizirana kroz mjerenje njegovih atributa
  • Skala – Set vrijednosti, kontinuirani ili diskretni, ili set kategorija naspram kojih se atributi mapiraju. NAPOMENA: Vrsta skale ovisi o prirodi veza između vrijednosti na skali. Najčešće se definiraju četiri tipa skala: Nominalna: vrijednosti mjerenja su kategorijske, Obična: vrijednosti mjerenja su rangovi, Intervalna: vrijednosti mjerenja imaju jednake udaljenosti koje korespondiraju jednakim količinama atributa, Odnosna: vrijednosti mjerenja imaju jednake udaljenosti koje korespondiraju jednakim količinama atributa, gdje vrijednost nula korespondira niti jednim atributom. (Ovo su samo primjeri vrsta skala).
  • Jedinica mjere – Referentna količina, definirana i usvojena konvencijom, s kojom se ostale količine iste vrste uspoređuju u svrhu izražavanja njihovih magnituda u odnosu  na tu količinu
  • Validacija – Potvrda, kroz davanje objektivnog dokaza, da su zahtjevi za specifičnu upotrebu ili primjenu ispunjeni
  • Verifikacija – Potvrda, kroz davanje objektivnog dokaza, da je ispunjen specifični zahtjev. NAPOMENA: Ovo se može isto nazvati testiranje sukladnosti

U skladu s principom mjerenja učinkovitosti kontrola rizika nužno je za svako mjerenje definirati radnu uputu s preciznim opisom. Uputa treba dati odgovore na slijedeće upitne riječi: što, kako, s čime, kada, tko, gdje, koliko često, zašto. Uz to nužno je i definirati kako se rezultati, u kojem obliku isporučuju pojedinim zainteresiranim stranama.

Primjer strukture radne upute za mjerenje učinkovitosti kontrola

  • Identifikacija mjerenja: Naziv mjerenja, ID mjerenja, svrha mjerenja, primjena na koje procese
  • Objekt mjerenja i atributi: Objekt mjerenja, Atributi
  • Osnovne specifikacije za mjere (za svaku baznu mjeru  [1…n]): Bazno mjerenje, metoda mjerenja, vrste metode mjerenja, mjerna skala, tip skale, mjerna jedinica
  • Specifikacija izvedene mjere: Izvedena mjera, funkcija mjerenja
  • Specifikacija pokazatelja (indikatora): Pokazatelj, analitički model
  • Specifikacija kriterija za odluku: Kriteriji za odluku
  • Rezultati mjerenja: Interpretacija pokazatelja, forme izvještavanja
  • Zainteresirane strane: Korisnici mjerenja, recenzent mjerenja, vlasnik informacije, skupljač informacija, komunikator informacija
  • Frekvencija/Period: Frekvencija prikupljanja podataka, frekvencija analiziranja podataka, frekvencija izvještavanja rezultata mjerenja, revizija mjerenja, period mjerenja

Zaključak

Prema iznesenom kao i ozbiljnim pristupom upravljanju organizacijom, za sistem upravljanja kvalitetom neosporno je da upravljanje rizicima predstavlja temeljni pristup modernom proaktivnom upravljanju. Pojednostavljeno, bez upravljanja rizicima nitko u organizaciji nije u stanju reći da li će i kako ona funkcionirati u slučaju incidentnih situacija, pa tako ni SUK. Kada je riječ o formaliziranom upravljanju rizicima u cilju povećanja sigurnosti ostvarivanja poslovnih ciljeva onda je neminovno uvoditi niz kontrola ili sigurnosnih mjera kojima bi se u najvećoj mogućoj mjeri rizici smanjili na prihvatljivi nivo.

Kontrole rizika, ovisno o njihovom tipu, mogu djelovati na prijetnje, ranjivosti i/ili posljedice. Njihov doprinos sigurnosti ostvarivanja poslovnih ciljeva je presudan i svaka uprava želi znati kakva je učinkovitost tih kontrola. Odgovor na to pitanje može dati jedino mjerenje njihove učinkovitosti, što dovodi do činjenice da njihovom mjerenju se treba pristupiti vrlo ozbiljno i stručno, u ostalom kao i mjerenjima ostalih procesa  koji utječu na ostvarivanje ciljeva organizacije.  Mjerenja djelotvornosti se u pravilu provodi kroz evidenciju utroška dodatnih resursa potrebnih za funkcioniranje kontrole i usporedbom s planiranim utroškom u fazi odabira i planiranja realizacije iste.

LITERATURA
  1. W. Krag Brotby, INFORMATION SECURITY MANAGEMENT METRICS, CRC Press, 2009, ISBN 9781420052855
  2. Gerard Blokdijk, Ivanka Menken, IT GOVERNANCE METRICS MEASUREMENT AND BENCHMARKING BEST PRACTICE WORKBOOK: ROADMAP, IMPLEMENTATION AND MANAGEMENT – READY TO USE SUPPORTING DOCUMENTS BRINGING THEORY INTO PRACTICE, Emereo Pty Ltd, 2008, ISBN 9781921523403
  3. Martin Klubeck, METRICS, Apress, 2011, ISBN 9781430237266
  4. Malcolm Harkins, MANAGING RISK AND INFORMATION SECURITY, ApressOpen, 2013, ISBN 9781430251149
  5. ISO/IEC 27004:2009 Information technology — Security techniques — Information security management — Measurement

 

Zdenko Adelsberger

Savjetnik, predavač i auditor za sustave upravljanja prema ISO i drugim normama (ERM, BCMS, ISMS, ITSMS, ITIL, QMS, EMS, OHSAS, BPM), programer, WordPress i DIVI fanatik, zaljubljenik u putovanja, muziku, fotografiju, slikarstvo, poeziju, i mnogo, mnogo još toga...

Povezani tekstovi


Pin It on Pinterest