Norma ISO 31000:2009 predstavlja smjernicu za dizajniranje i provedbu procesa upravljanja rizicima. Publiciranja 2009 godine i vrlo brzo je postala najprodavanija i najtraženija u ISO familiji normi. Razlog je vrlo jednostavan. Norma je izuzetno dobro prihvaćena u cijelom svijetu jer je opisani proces upravljanja rizicima izuzetno primjenjiv i univerzalan. Jedan od važnih koraka tog procesa je tretiranje rizika.

Prema toj normi, nakon što se izvrši procjena rizika i validacijom utvrdi koji su rizici po svom nivou neprihvatljivi nužno je provesti njihovo tretiranje. Naziv tog postupka na engleskom je  Risk Treatment, a prevodi se na razne načine. Npr. tretiranje rizika, postupanje s rizikom, obrada rizika, liječenje rizika, itd. Osobno preferiram pojam tretiranje rizika, pa će se u nastavku tako i označavati. U osnovi, tretiranje rizika je način kako, s čime, gdje i tko provodi neke aktivnosti da se rizik dovede na određeni nivo.

O tretiranju rizika

Tretiranje rizika uključuje odabir i implementaciju jedne ili više mogućnosti za promjenu rizika. Jednom kada je implementirano, tretiranje rizika osiguravaju kontrole. Pojam „kontrola“ ima smisao kombinacije organizacije, aktivnosti, opreme i sposobnosti kojima se provodi kontrola nivoa rizika.

Tretiranje rizika uključuje ciklični proces kojeg čine: ocjena tretiranja rizika, te odlučivanja jesu li razine preostalog rizika podnošljive. Ako nisu podnošljive, treba razmatrati stvaranje novog tretiranja rizika i procjenu učinkovitosti tog tretiranja.

Opcije za tretiranje rizika

Opcije ili mogućnosti tretiranja rizika nisu nužno uzajamno isključive ili odgovarajuće u svim okolnostima. Opcije mogu uključivati sljedeće:

  1. izbjegavanje rizika donošenjem odluke da se ne počne ili ne nastavi s aktivnostima koje stvaraju rizik;
  2. stvaranje novog rizika ili povećavanje postojećeg rizika da bi se iskoristile prilike;
  3. uklanjanje izvora rizika;
  4. smanjenje vjerojatnosti pojave rizika;
  5. smanjenje posljedica realiziranog rizika nakon incidenta;
  6. dijeljenje rizika s drugom stranom ili stranama (uključujući ugovore i financiranje rizika); i
  7. zadržavanje rizika, odnosno prihvaćanje nepovoljnog nivoa rizika takav kakav je, jer objektivno ne postoje mogućnosti za njegovu promjenu

Ovako, ne strukturirano i nesistematično nabrajanje opcija za tretiranje rizika stvara poteškoću pri odabiru koje opcije primijeniti. Zbog toga je u nastavku dodatno objašnjenje i pristup kako odabrati opciju ili opcije s točke gledišta učinkovitosti, ali i djelotvornosti.

Odabir opcija za tretiranje rizika

Pravilan odabir opcije uključuje njenu učinkovitost i djelotvornost. Drugim riječima, odabir opcije koja je primjerena za tretiranje rizika uključuje ravnotežu troškova i nastojanja implementacije prema ostvarenoj koristi, obzirom na zakonske, regulatorne i druge zahtjeve, kao što je društvena odgovornost i zaštite prirodnog okoliša. Odluke isto tako trebaju uzeti u obzir rizike koje mogu opravdati tretiranje rizika koje nije ekonomski opravdano, npr. ozbiljne rizike (s vrlo negativnim posljedicama) ali rijetke (s malom vjerojatnošću).

Mnoge opcije tretiranja rizika mogu se razmatrati i primijeniti ili pojedinačno, ili u kombinaciji. Organizacija može imati koristi od prihvaćanja kombinacije opcija tretiranja. Blok shema postupka odabira opcije tretiranja rizika prikazan je na slici 1.

Risk Treatment

Slika 1. Redoslijed odabira opcija za tretiranje rizika

Prilikom odabira opcija za tretiranje rizika, organizacija treba uzet u obzir vrijednosti i percepcije zainteresiranih strana i najprikladnije načine za komuniciranje s njima. Ako opcije za tretiranje rizika mogu imati utjecaj na rizik igdje drugdje u organizaciji ili sa zainteresiranim stranama, to treba biti uključeno u odluku odabira.

Prioriteti tretiranja rizika

Plan tretiranja trebao bi jasno identificirati redoslijed prioriteta kojim bi se trebalo pristupiti u implementaciji tretiranja pojedinačnog rizika. Uobičajeni postupak, temeljen na matrici 2×2, odabira redoslijeda tretiranja rizika istog ranga prikazan je na slici 2.

Priorities risk treatment

Slika 2. Određivanje prioriteta tretiranja rizika

Tretiranje rizika može predstavljati pojavu novih, sekundarnih rizika. Njih se treba procijeniti, tretirati, pratiti i preispitivati. Sekundarni rizici bi trebali biti ugrađeni u isti plan tretiranja kao i prvobitni rizik, a ne da ga se tretira kao novi rizik. Vezu između ta dva rizika bi trebalo identificirati i održavati.

Izrada i implementacija planova za tretiranje rizika

Namjena planova za tretiranje rizika je dokument kojim se definira kako će se implementirati odabrane opcije. Informacije u planovima tretiranja trebaju uključivati (nije ograničeno samo na):

  • Objašnjenje razloga za odabir opcija tretiranja, uključujući očekivanu korist koja će se ostvariti;
  • Identifikaciju onih koji odobravaju plan i onih koji su odgovorni za implementaciju plana;
  • Predložene aktivnosti;
  • Zahtjeve za resurse uključujući nepredviđene izdatke;
  • Mjerenje učinkovitosti implementiranih kontrola i ograničenja;
  • Izvještavanje i praćenje; i
  • Vremenski okvir i raspored.

Planovi tretiranja trebaju biti integrirani u proces upravljanja rizicima, time i u proces upravljanja organizacijom. O njima treba raspravljati s odgovarajućim zainteresiranim stranama.

Donositelji odluka i drugi dionici trebaju biti svjesni prirode i veličine rizika preostalog nakon tretiranja rizika. Preostali rizik treba biti dokumentiran i podvrgnut praćenju i preispitivanju (provjeri) i ako je prikladno, daljnjem tretiranju.

Zaključak

Primjena tretiranja rizika je zadnji korak procesa upravljanja rizicima. Nakon procjene rizika, tretiranje istih treba provesti za sve neprihvatljive rizike u konteksti sigurnosne politike organizacije. Neprihvatljivi rizici prepoznati u postupku validacije trebaju se provesti kroz analizu tretiranja i za svaki od njih odabrati optimalnu jednu ili više opcija tretiranja. Kod tog odabira opcija tretiranja rizika morala bi se ostvariti dva cilja: učinkovitost odabranih opcija i njihova djelotvornost, a time povećana sigurnost ostvarenja ciljeva organizacije ili onoga što je predmet procjene rizika.

Literatura:

  1. ISO 31000:2009 Risk management — Principles and guidelines
  2. ISO/TR 31004:2013 Risk management — Guidance for the implementation of ISO 31000

 

Zdenko Adelsberger

Savjetnik, predavač i auditor za sustave upravljanja prema ISO i drugim normama (ERM, BCMS, ISMS, ITSMS, ITIL, QMS, EMS, OHSAS, BPM), programer, WordPress i DIVI fanatik, zaljubljenik u putovanja, muziku, fotografiju, slikarstvo, poeziju, i mnogo, mnogo još toga...

Povezani tekstovi


Pin It on Pinterest