Mr.sc.

Zdenko Adelsberger
ISMS LA, CIS ISM, EOQ ISMSM, EOQ QSA,
EOQ QSM, EOQ OHSSM, EOQ EMSM
Bluefield d.o.o.
Trnsko 7B, 10020 Zagreb, Hrvatska
zadelsbe@zg.t-com.hr

UPRAVLJANJE RIZICIMA I INTEGRIRANI SISTEMI

UPRAVLJANJA
Abstrakt:

Integracija sistema upravljanja s praktične strane predstavlja nužnost za sve slučajeve kada se u
jednoj firmi uvede više sistema upravljanja (QMS, EMS, OHSAS, HACCP, ISMS, FSMS, IFS, itd).
Problem integracije je sam po sebi složen, posebno kada se zna da su neki zahtjevi pojedinih sistema
upravljanja sukladni, a neki nisu. Jedno od zajedničkih pitanja koje se provlači kroz većinu sistema
upravljanja kao obavezni zahtjev je procjena rizika. Kroz neke sisteme upravljanja procjena rizika
formalno nije obavezujući zahtjev, ali objektivno je teško objasniti zašto se ne primjenjuje i u tim
sistemima upravljanja, kao npr u QMS-u. U radu se analizira značaj procjene rizika za pojedine
sisteme upravljanja i projekcija procjene rizika na integrirani sistem. Daje se prijedlog kako riješiti
problem procjene, odnosno upravljanja rizicima u okviru integriranog sistema upravljanja.

Uvod
Svaka organizacija koja je i malo složena, posebno u odnosu na svoju djelatnost,
nekada treba, a ponekad mora primjeniti jedan ili više sistema upravljanja temeljenim
na međunarodnim standardima. Idealno je kada je vrhovna uprava svjesna značaja i
važnosti sistema upravljanja u smislu dugotrajnog opstanka na tržištu, konkurentske
prednosti, te zadovoljavanja zahtjeva svih zainteresiranih strana, a onda zbog toga
uvodi jedan ili više sistema upravljanja. Na žalost, u praksi se često pojavljuje glavni,
a ponekad i jedini razlog implementacije zakonska obaveza ili zadovoljavanje
zahtjeva na tenderima. Takve ekstremne slučajeve malokorisnih implementacija
sistema upravljanja ovdje se neće tretirati, već situacija potpune svijesti vrhovne
uprave o potrebi jednog ili više sistema upravljanja temeljenih na međunarodnim
standardima, prvenstveno ISO.

Tu se postavlja odmah pitanje, da li je dovoljan jedan sistem upravljanja? Npr. samo

sistem upravljanja kvalitetom QMS (Quality Management System – ISO 9001), ili neki
drugi kao npr. EMS (Environmental Management Systems – ISO 14001), ili ISMS
(Information Security Management Systems – ISO 27001) itd, objektivno nije
dovoljno. Razlog je u tome što bi svakoj organizaciji nužno trebao QMS, a može se
lako pokazati i ISMS s njim u paru, a tu je i zakonska obaveza zaštite na radu (veći
dio OHSAS-a). Specijalne organizacije, odnosno organizacije sa specifičnim
djelatnostima nužno trebaju još neke sisteme upravljanja. Tako npr. većina
organizacija imaju objektivnu potrebu implementacije EMS, ali one koje se bave

1
proizvodnjom hrane trebaju i FSMS (Food Safety Management Systems), one koje
se bave uslugama, posebno IT trebaju ITSM (IT Service Management – ISO 20000),
itd.

Zajedničko za sve te sisteme upravljanja je međusobna harmoniziranost, odnosno

usklađenost u nizu zahtjeva. Temeljni standard je ISO 9001, odnosno QMS. Svi se
ostali u manjoj ili većoj mjeri referenciraju po pitanju niza zahtjeva na njega. Zbog
toga se odmah nameće pitanje integracije različitih sistema upravljanja u jedinstveni
tzv. integrirani IMS (Integrated Mangement System). Tu se naravno misli
prvenstveno na zajedničke zahtjeve svih tih standarda da se unificiraju i podvedu pod
jedinstvene procese, odnosno procedure. Time se postiže u prvom redu povećana
efikasnost upravljanja, ali i racionalizacija.

Integracija sistema upravljanja

Metodologija integracije sistema upravljanja se može temeljiti na principima
standarda ISO 9001:2008. Međutim, ako se želi integrirati više sistema upravljanja
optimalno je koristiti standard BS PAS 99 [17] koji daje princip i metodologiju
integracije. Standard PAS 99 je nacionalni standard i nije opće međunarodno priznat.
Koristi se za certifikaciju IMS u zemljama Commonwealth-a (Britanskoj zajednica
naroda, odnosno Krunske zemlje Commonwealth-a), ali je u potpunosti harmoniziran
sa ISO standardima i kao takav apsolutno primjenljiv za integraciju svih ISO sistema
upravljanja. Možda će jednog dana biti preveden iz nacionalnog u međunarodni ISO
standard za IMS.

Integracijom tih sistema upravljanja prema PAS99 potižu se slijedeći efekti:

 poboljšane poslovnog fokusa;
 više holistički1 pristup upravljanju poslovnim rizicima;
 manje sukoba između sistema;
 smanjenje dupliciranja i birokracije;
 efikasniji audit, kako interni tako i eksterni.

Razmotrimo na jednom malom primjeru osnovni princip integracije prema standardu

PAS 99. Neka je potrebno u nekoj organizaciji integrirati četiri sistema upravljanja:
QMS, ISMS, OHSAS i EMS, na slici 1 je prikazana blok shema principa integracije.

1
Holistički ( ὅλος holos, grčka riječ koja znači sve, cjelokupno, totalno) Ideja je da sva svojstva danog sistema (fizička,
biološka, kemijska, društvena, ekonomska, mentalna, jezična, itd.) ne mogu biti određena ili objašnjena kao zasebni sastavni
dijelovi. Umjesto toga, sistem kao cjelina određen je načinom kako se ponašaju dijelovi.

2
 Slika 1. Ilustracija kako zajednički zahtjevi više sistema mogu biti integrirani u jedan
zajednički sistem

Problem je na nivou principa relativno jednostavan. Treba pronaći zajedničke

zahtjeve u svim pojedinim sistemima upravljanja, iznaći zajedničke poslovne procese
u organizaciji i sve to „spakovati― u IMS kao jedinstveno rješenje za organizaciju. Sve
što ostane, specifični zahtjevi pojedinih sistema upravljanja su onda problematika
koja se obrađuje u tim pojedinim sistemima.

Kako bi se moglo pristupiti integraciji raznih sistema upravljanja, nužno je napraviti

malu analizu pojedinih sistema upravljanja kroz standarde koji propisuju zahtjeve za
certifikaciju. Rezultati za neke glavne standarde, odnosno sisteme upravljanja su
prikazani u tabeli 1. U tabeli je dodan i sistem upravljanja kontinuitetom poslovanja
BCMS (Business Continuity Management System) koji je često puta obavezan prema
nacionalnim zakonima u svim zemljama (naročito za neke vrste organizacija, kao npr:
banke i druge financijske institucije, javne službe, službe od posebnog značaja, itd).

Tabela 1. Usporedna tabela zajedničkih zahtjeva sistema upravljanja

Za koje Proc. Uprav. Int. Odgov. Mjerenje i UPRAVLJANJE
Sistem Standard
org. pristup dokum. audit uprave izvještavanje RIZICIMA
1 2 3 4 5 6 7 8 9
QMS ISO 9001 SVE DA DA DA DA DA ?
ISMS ISO 27001 SVE DA DA DA DA DA DA
OHSAS OHSAS 18001 SVE DA DA DA DA DA DA
EMS ISO 14001 NE DA DA DA DA DA DA
FSMS ISO 22000 NE DA DA DA DA DA DA
ITSM ISO 20000 NE DA DA DA DA DA DA
BCMS BS 25999 SVE DA DA DA DA DA DA

Iz tabele 1 se može vidjeti da dio sistema upravljanja trebaju sve organizacije, a dio
samo neke zavisno od njihove djelatnosti.

U kolonama 4-9 navedeni su najznačajniji zahtjevi koji se mogu integrirati u IMS.

Skreće se pažnja na kolonu 9 koja se odnosi na upravljanje rizicima. Za sve sisteme
upravljanja je upravljanje rizicima obavezno, odnosno preduvjet za implementaciju i
poboljšanje, osim za QMS. Tu je stavljen znak pitanja, jer standard ISO 9001:2008
govori da kod implementacije i poboljšanja sistema upravljanja kvalitetom treba

3
uzimati u obzir okruženje i pripadne rizike. Taj stav iz standarda ISO 9001:2008
certifikacijske kuće, a i većina konzulatanata ignoriraju i tvrde da to nije zahtjev. Takvi
stavovi nisu tema ovog teksta, pa se neće ni obrađivati. Neka to ostane njima da i
dalje tako razmišljaju, ali poslovanje u rizičnom okruženju (a takvo jedino postoji)
može dovesti do ozbiljnih posljedica za organizaciju, čak i prekida rada. Tu ISO 9001
bez upravljanja rizicima nema načina da riješi problem. Zato se u ozbiljnim
implementacijama QMS-a prema ISO 9001:2008 obavezno primjenjuje upravljanje
rizicima bez obzira na trenutni stav certifikacijskih kuća i većeg broja konzultanata.

U nastavku će se smatrati da se radi o implementaciji QMS u organizaciju koja

ozbiljno pristupa upravljanju i polaže pažnju na rizike koji mogu ugroziti njeno
poslovanje. U tom slučaju je i u koloni 9 tabele 1 odgovor DA.

Upravljanje rizicima u integriranom sistemu

Na pitanje kako pristupiti upravljanju rizicima unutar IMS može se dati odgovor na
prethodnu analizu pojedinih načina procjene rizika u raznim sistemima upravljanja.
Na temelju toga bi trebalo donijeti jedinstvenu metodologiju za upravljanje rizicima
koja je jednaka za sve podsisteme. U tabeli 2 je prikazana skraćena analiza procjene
rizika za pojedine sisteme upravljanja iz tabele 1.

Tabela 2. Metodologije za procjenu rizika u standardima sistema upravljanja

Metodologija za procjenu
Sistem Standard Cilj (vrsta) procjene rizika
rizika
1 2 3 4
QMS ISO 9001 Operativni rizici + rizici poslovnih procesa i projekata Nema
ISMS ISO 27001 Rizici informacijske sigurnosti Prema ISO 27005
OHSAS OHSAS 18001 Rizici zdravlja ljudi Vlastita metodologija
EMS ISO 14001 Aspekti okoliša Vlastita metodologija
FSMS ISO 22000 Rizici čuvanja, proizvodnje, prerade i transporta hrane i pida Vlastita metodologija
ITSM ISO 20000 Rizici ugrožavanja isporuke usluge korisnicima Vlastita metodologija
BCMS BS 25999 Rizici koji mogu dovesti do prekida kontinuiteta poslovanja Vlastita metodologija

Kao što se vidi iz tabele 2, samo ISMS ima standard koji govori o metodologiji
upravljanja rizicima za informacijsku sigurnost (ISO 27005). Svi ostali imaju neku
vlastitu metodologiji koja čak nije ni jedinstvena od organizacije do organizacije. Za
QMS se čak i ne spominje nikakva metodologija. Tu se postavlja pitanje, da li je
moguće integrirati upravljanje rizicima kada se metodologije razlikuju od sistema do
sitema? Odgovor je DA, može se izvršiti integracija procjene rizika, odnosno imati
jedinstveno upravljanje rizicima za cijelu organizaciju koja ima više sistema
upravljanja.

Mogućnost svođenja raznih metodologija procjene rizika u jedinstvenu metodologiju

za gore navedene sisteme upravljanja leži u činjenici da sve prikazane metodologije
u pojedinim sistemima nisu propisane – zahtjevane standardom nego se nalaze u
kategoriji iskustvenog prijedloga za lakše snalaženje korisnika. Pored toga, te

4
metodologije su međusobno slične, ponekad terminološki specifične ali u svakom
slučaju ih je moguće manje ili više na jednostavan način unificirati. Kada se unificiraju
metodologije za gore navedene sisteme upravljanja dobiva se nova slika za
upravljanje rizicima, te se može pokazati da je besmisleno imati za pojedine sisteme
upravljanja vlastitu metodologiju.

Kod implementacije procjene rizika za pojedine gore navedene sisteme upravljanja u

pravilu se traži jednom godišnje ponovna procjena rizika. U odnosu na teoriju rizika,
ali što je mnogo važnije, u odnosu na praktične potrebe sigurnosti u sistemima
upravljanja taj zahtjev je apsolutno neprihvatljiv. Naime, okruženje i elementi koji
određuju rizike u pojedinim sistemima upravljanja su toliko često izmjenljivi da
jednogodišnja obveza ponovne procjene rizika ne dolazi u obzir za potrebe
menadžmenta. To upućuje na potrebu kontinuiranog upravljanja rizicima za svaki
pojedini sistem upravljanja. Takvo kontinuirano upravljanje omogućava proces za
upravljanje rizicima, a koji je definiran standardom ISO 31000:2009 [14]. To znači da
je za sve sisteme upravljanja, koji su gore navedeni, optimalno primjeniti standard
ISO 31000 za proces upravljanja rizicima. Jedino je za ISMS definiran posebni
standard ISO 27005 za proces upravljanja rizicima. Međutim, on je toliko sličan
standardu ISO 31000 da je to praktički isti standard sa nekim detaljima koji su
specifični za sisteme informacijske sigurnosti. ISO 27005 apsolutno je sukladan sa
ISO 31000 i ne donosi za integraciju ništa novo niti specifično.

Proces upravljanja rizicima prema ISO 31000:2009 prikazan je na slici 2.

Slika 2. Blok shema procesa za upravljanje rizicima prema ISO 31000:2009

5
Funkcionalno značenje pojedinih blokova na blok shemi sa slike 2 je kako slijedi:

Komunikacija i konzultacija: Komunikacija i konzultacija s internim i eksternim

ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju
procesa upravljanja rizikom i razmatranje procesa kao cjeline.

Utvrđivanje konteksta: Utvrđivanje eksternog, internog i konteksta upravljanja

rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima
će se procjenjivati rizik i definirati struktura analize.

Identifikacija rizika: Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti,
umanjiti, odložiti ili povećati postizanje ciljeva.

Analiza rizika: Identifikacija i procjena postojećih kontrola. Određivanje posljedica i

vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih
posljedica i kako bi se one mogle pojaviti.

Vrednovanje rizika: Usporedba procijenjenih razina rizika s prethodno utvrđenim

kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata.
To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.

Obrada rizika: Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih

planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.

Praćenje i preispitivanje: Neophodno je pratiti učinkovitost svih koraka procesa

upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti
rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja
prioritete.

Proces za upravljanje rizicima prema standardu ISO 31000:2009 je u potpunosti

harmoniziran sa zahtjevima u ISO 9001:2008 u smislu procesnog pristupa i PDCA
kruga, kao i dokumentiranosti. Tako se PDCA krug za proces upravljanja rizicima
prema standardu ISO 31000:2009 definira kao što je prikazano u tabeli 3.

Tabela 3: PDCA faze procesa za upravljanje rizicima

Faze procesa Procesni koraci

Utvrđivanje konteksta
Procjena rizika
Plan
Plan obrade rizika
Prihvadanje preostalog rizika

Do Implementacija plana obrade rizika (kontrola - sigurnosnih mjera)

Check Kontinuirani monitoring i pregledi

Act Održavanje i poboljšavanje procesa upravljanja rizicima

6
Standard ISO 31000:2009 nije certifikacijski, odnosno prema njemu nema
certifikacije jer nije skup zahtjeva koje se mora ispuniti. On je prijedlog najbolje
prakse i kao takav je široko prihvaćen u svijetu još dok je bio u obliku nacionalnog
standarda AS/NZ 4360:2004 koji je kasnije preveden uz minimalne izmjene u
međunarodni ISO standard.

Organizaciono mjesto procjene rizika

Kada se govori o integriranom sistemu upravljanja, ili možda samo o integriranom
sistemu upravljanja rizicima u organizaciji važna je i strukturna pozicija odjela za
upravljanje rizicima. U pravilu taj odjel mora biti nezavisan od bilo kakve strukture u
organizaciji. To znači da treba biti na nivou vrha piramide organizacione strukture, te
kao takav bi trebao biti jedino pod uticajem vrhovne uprave u smislu zahtjeva koliko
strogo provoditi procjenu i prihvaćanje rizika poslovanja i funkcioniranja poslovnih
procesa. Na slici 3. je prikazan primjer kako bi u funkcionalnom smislu trebalo
pozicionirati odjel za upravljanje rizicima u nekoj organizaciji.

Slika 3. Primjer organizacione pozicije odjela za integralno upravljanje rizicima

Na takav način pozicioniranje odjela za upravljanje rizicima donosi niz prednosti i

jedino logično rješenje. Naime, složenost procjene rizika traži znanje i iskustvo tima
koji vrši procjene uz konzultacije sa korisnicima i nosiocima poslovnih procesa,
aktivnosti i vlasnicima imovine za koje treba napraviti procjenu rizika. Vrlo je teško
osigurati veći broj takvih specijalista u organizaciji u pojedinim sistemi upravljanja,
tako da je racionalno njih izdvojiti u jedan odjel (stvarni ili virtualni) a komunikacijama
riješiti potrebno specijalističko iskustvo.

7
Zaključak
Iz gore navedenog može se zaključiti da je potreba upravljanja rizicima osnov za sve
sisteme upravljanja koji su navedeni u tekstu, ali praktički i za sve ostale. Upravljanje
rizicima treba u jednoj organizaciji provesti centarlno – integralno, sa jedinstvenom
metodologijom i pravilnicima koji su sastavni dio procesa za upravljanje rizicima
prema ISO 31000:2009.

Rezultati procjene rizika trebaju koristiti kako vrhovna uprava za donošenje

strateških, ali i operativnih odluka, tako i odgovorne osobe za imovinu na kojoj se
vršila procjena rizika, pa u koliko nivo rizika nije prihvatljiv da osiguraju smanjenje
rizika, prvenstveno u svrhu dugoročnog ostvarena poslovnih ciljeva organizacije.

Literatura:
[1] Z. Adelsberger, K. Buntak, Zajednički kriteriji kao zahtjevi za integraciju sistema
upravljanja, Simpozij Nedelja kvaliteta, Beograd, 2009
[2] BS 8800:2004, Occupational health and safety management systems — Guide
[3] ISO 22000:2005, Food safety management systems — Requirements for any
organization in the food chain
[4] ISO/IEC 20000:2005, Information technology — Service management — Part 1:
Specification
[5] ISO/IEC 27001:2005, Information technology — Security techniques —
Information security management systems — Requirements
[6] ISO/IEC 27002:2005, Information technology — Security techniques — Code of
practice for information security management
[7] OHSAS 18001:2007, Occupational health and safety management systems —
Requirements
[8] ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
[9] ISO 9001:2008, Quality management systems — Requirements
[10] ISO 9004:2009, Quality management systems — Guidelines for performance
improvements
[11] ISO 14001:2004, Environmental management systems — Requirements with
guidance for use
[12] ISO 14004:2004, Environmental management systems — General guidelines
on principles, systems and support techniques
[13] ISO 14031:1999, Environmental management — Environmental performance
evaluation — Guidelines
[14] ISO 31000:2009 Risk management -- Principles and guidelines
[15] IEC/ISO 31010:2009 Risk management – Risk assessment techniques
[16] ISO Guide 73:2009 Risk management -- Vocabulary
[17] PAS 99:2006, Specification of common management system requirements as a
framework for integration
[18] BS 25999 Business continuity