U svakom obliku organizacije, bez obzira na djelatnost, sve funkcije i poslovi (aktivnosti) se obavljaju kroz odvijanje niza poslovnih procesa. Upravljanje tim poslovnim procesima se obavlja kroz formalizirane ili ne formalizirane sisteme upravljanja. Treba odmah primjetiti da između niza sistema upravljanja jedno jedan od osobito važnih je i upravljanje rizicima za ljudske resurse. Razlika između formaliziranog i ne formaliziranog sistema upravljanja je u tome što se formalizirani provodi prema općim prihvaćenim pravilima i standardina. Takvo formalizirano upravljanje bi trebalo imati i javno svjedočanstvo u obliku certifikata za sistem upravljanja. Najpoznatiji formalni sistemi upravljanja se temelje na postojećoj legislativi, kao i na nizu ISO standarda.

Najpoznatiji ISO standard primjenjiv za upravljanje ljudskim resursima je ISO 9001, ali i ISO/IEC 27001. Postoji još niz drugih ISO standarda koji se u raznim područjima bave sistemima upravljanja s većom ili manjom povezanošću s ljudskim resursima. Uz ISO standarde za sigurnost i zdravlje ljudi posebno je značajan standard OHSAS 18001. Svim tim formalnim sistemima upravljanja zajedničko je da definiraju svaki sistem upravljanja kao proces. Međutim u ni jednom od njih, osim u ISO/IEC 27001 se ne spominje upravljanje rizicima ljudskih resursa.

Poslovni procesi

Standard ISO 9001 definira proces kao dokumentirani skup aktivnosti, koji uz pomoć resursa i pravila, ulazne zahtjeve pretvaraju na izlazu u zadovoljenje tih zahtjeva. Blok shema poslovnog procesa u tom kontekstu je prikazana na slici 1.

Ljudski Resursi

Slika 1. Blok shema poslovnog procesa prema ISO 9001

Svaki sistem za upravljanje je u biti proces koji u sebi po pravilu sadrži niz podprocesa. Tako npr. standard ISO 9001 definira skup zahtjeva koje se mora zadovoljiti da bi se ostvario formalni proces za upravljanje kvalitetom. ISO/IEC 27001 je standard koji definira skup zahtjeva koje se mora ispuniti da se ostvari formalni proces za upravljanje sigurnošću informacija, itd. Svi ti zahtjevi se ostvaruju i provode kroz procese i podprocese.

Analizom poslovnog procesa sa slike 1, može se pokazati da su ulazi i izlazi poslovnog procesa također procesi, kao što je prikazano na slici 2.

Ljudski Resursi

Slika 2. Blok shema procesa u interakciji s ostalim procesima

Ako se pažnja usmjeri samo na proces upravljanja resursima, može se uočiti da se on sastoji od niza podprocesa. To su npr. upravljanje sredstvima, upravljanje zalihama, upravljanje rezervama, upravljanje energijom, upravljanje ljudskim resursima, itd. Time se dolazi do činjenice, da za funkcioniranje bilo kojeg poslovnog procesa nezaobilazni, a najčešće presudni značaj ima podproces upravljanja ljudskim resursima. Usporedbom svih poslovnih procesa u nekoj organizaciji, može se pokazati da je u svakom poslovnom procesu ljudski resurs obvezan, što ne mora biti slučaj s ostalim vrstama resursa.

Sigurnost (rizici) ljudskih resursa

Kada se analiziraju ISO standardi namijenjene uspostavi i certifikaciji sistema upravljanja, može se pokazati da se jedino u standardu ISO 27001 u normativnom aneksu A više govori o problematici vezanoj za upravljanje rizicima ljudskih resursa. Svi ostali ISO standardi naglašavaju važnost ljudskih resursa, ali se ne upuštaju u detaljnu razradu, posebno s aspekta sigurnosti. Analizom zahtjeva vezanih za ljudske resurse unutar ISO 27001, vidljivo je da sve to apsolutno vrijedi za svaki sistem upravljanja, a ne samo za sistem upravljanja sigurnošću informacija. Zato je logično, značajke upravljanja sigurnošću ljudskih resursa kako je prikazano u ISO 27001 uzeti kao univerzalni pristup u organizaciji, bez obzira o kakvom se sistemu upravljanja radi.

Za usporedbu, u standardu OHSAS 18001 se govori o relativno uskom aspektu sigurnosti ljudskih resursa, vezano samo za eventualnu štetnost radnog mjesta i očuvanje života i zdravlja zaposlenika, ali se upravljanje rizicima ne spominje. Isto područje interesa imaju i nacionalni zakoni o zaštiti na radu. S praktične strane analize sigurnosti ljudskih resursa to je nedovoljno, jer se u spomenutim slučajevima ništa ne govori o sigurnosti ljudskih resursa vezanih za pravilno (planirano) odvijanje poslovnih procesa. To je razlog više da se primjeni holistički pristup upravljanju sigurnošću ljudskih resursa. Treba uzeti u obzir OHSAS 18001, nacionalne zakone o zaštiti na radu, ali i pristupe prikazane u standardu ISO 27001.

Primjeri kontrola

Treba napomenuti da se u navedenom aneksu A standarda ISO 27001:2013 nalazi tekst koji je usmjeren na sigurnosti informacija. No, malim poopćavanjem teksta, dobiva se sadržaj koji je primjenljiv za sve sisteme upravljanja. Kada se govori o sigurnosti ljudskih resursa, onda prema aneksu A postoje tri sigurnosna cilja koja se trebaju ostvariti. Ti sigurnosni ciljevi su definirani za period prije zaposlenja, tijekom zaposlenja i nakon prestanka zaposlenja ili promjene radnog mjesta. U tablici 1. su prikazani sigurnosni ciljevi i njihova modifikacija za univerzalnu primjenu.

Prema aneksu A za ostvarenje svakog od ova tri sigurnosna cilja predviđene su po tri sigurnosne mjere (kontrole). Te kontrole su prikazane u tablici 2. Prema definiciji kontrole su postupci kojima se smanjuje rizik, odnosno kontrolira odgovarajući rizik na prihvatljivom nivou. Smanjivanjem rizika i njegovom kontrolom podiže se nivo sigurnosti na koju se odnose te kontrole.

U slučaju da se nakon identifikacije nekog značajnog rizika ljudskih resursa (prema sigurnosnoj politici neprihvatljive razine) donese odluka o smanjivanju istog, potrebno je odabrati neki od ponuđenih ciljeva smanjivanja rizika. Nakon odabira cilja koji se želi postići smanjivanjem tog rizika, nužno je odabrati jednu ili više sigurnosnih mjera (kontrola). S tim kontrolama se treba potići željeni cilj. Potrebno  je provesti i analizu troškova i koristi (Cost Benefit Analysis). Time se provjerava opravdanost provođenja mjere u odnosu na potencijalnu štetu od posljedica, ali i eventualnu zakonsku obvezu provedbe. U tablici 3 je prikazan primjer nekih od aktivnosti vezanih za ljudske resurse i neki od potencijalnih rizika i prijetnji za tu aktivnost.

Zaključak

Može se zaključiti da je upravljanje ljudskim resursima, a u tom kontekstu i upravljanje rizicima za njih, u svakoj organizaciji jedan od ključnih procesa koji direktno utječe na sve ostale poslovne procese. Svaki poslovni proces odvija se u uvjetima neizvjesnosti. Pojavljuje se niz rizika koji mogu ugroziti postizanje ciljeva procesa između ostalog i zbog neadekvatnog upravljanja ljudskim resursima. Da bi se umanjila razina rizika koji su uvjetovani ljudskim resursima potrebno je s njima upravljati. Pod upravljanjem rizicima se smatra njihovo zadržavanje na prihvatljivoj, dovoljno niskoj razini. Time se postiže proaktivno upravljanje ljudskim resursima, kao jednim od preduvjeta uspješnog poslovanja organizacije.

Trenutno ne postoji neki ISO standard koja je direktno usmjerena na upravljanje rizicima ljudskih resursa. Međutim, na temelju nekih postojećih i široko primijenjenih standarda (ISO 31000, ISO 27001) može se cjelovito pristupiti upravljanju rizicima ljudskih resursa.

Literatura

  1. ISO 9001:2015, Quality management systems – Requirements
  2. ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements
  3. ISO 31000:2009, Risk management — Principles and guidelines
  4. ISO Guide 73:2009, Risk management — Vocabulary
  5. OHSAS 18001:2007, Occupational Health and Safety Management System
  6. John Stevens (Ed): Managing Risk: The Human Resources Contribution, LexisNexis UK, 2005, ISBN 0406971455
  7. Timothy P. Layton: Information Security Design, Implementation, Measurement, And Compliance, Auerbach Publications, 2007, ISBN 0-8493-7087-6
  8. Mathis, Robert L., Jackson, John H.: Human Resource Management, South-Western Educational Publishing, 1999, ISBN 0538890045
  9. Lacey, David: Managing The Human Factor In Information Security. How To Win Over Staff And Influence Business Managers, John Wiley & Sons, 2009, ISBN 9780470721995
  10. Beach, Lee Roy: The Human Element: Understanding And Managing Employee Behavior, M.E. Sharpe, 2007, ISBN 9780765620354
  11. Duffey Romney Beecher, Saull John Walton: Managing Risk: The Human Element, Wiley, 2008, ISBN 9780470699768
  12. Jane Gawron Valerie, Gawron Valerie J.: Human Performance, Workload, And Situational Awareness Measures Handbook, Second Edition (Handbook), CRC, ISBN 9781420064490
  13. A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000, AIRMIC, Alarm, IRM, 2010

 

Zdenko Adelsberger

Savjetnik, predavač i auditor za sustave upravljanja prema ISO i drugim normama (ERM, BCMS, ISMS, ITSMS, ITIL, QMS, EMS, OHSAS, BPM), programer, WordPress i DIVI fanatik, zaljubljenik u putovanja, muziku, fotografiju, slikarstvo, poeziju, i mnogo, mnogo još toga...

Povezani tekstovi


Pin It on Pinterest