Sadržaj

1. Mehanizam rizika

2. Vjerojatnost, prijetnje i ranjivosti

3. Tradicionalno i suvremeno upravljanje rizicima

Nikad ništa veliko nije postignuto bez opasnosti.

Niccolo Machiavelli

2
 MEHANIZAM RIZIKA

Mehanizam rizika

3
 Mehanizam rizika

• Razina sigurnosti je kompromis između prihvatljivog rizika i investicije u sigurnost.

Rizik

Mehanizam rizika

• Učinkovito upravljanje rizicima omogućava nam da razumijemo i optimiziramo koristi i vrijednosti

koje se generiraju iz upravljanja rizicima i izbjegnemo neželjene posljedice

Troškovi upravljanja
rizicima

Koristi od upravljanja
rizicima

4
 Mehanizam rizika

Mehanizam rizika

• Napomene:
• Svi rizici ne mogu biti identificirani
• Ne može se neutralizirati svaki rizik

10

5
 VJEROJATNOSTI, PRIJETNJE I
RANJIVOSTI

11

Vjerojatnosti, prijetnje i ranjivosti

• Elementi rizika

PRIJETNJA

VJEROJATNOST POSLJEDICA
POSLJEDICA RANJIVOST

RIZIK Rizik = vjerojatnost * posljedica RIZIK

Rizik = prijetnja * ranjivost * posljedica

12

6
Vjerojatnosti, prijetnje i ranjivosti

VJEROJATNOST POSLJEDICA

Vjerojatnost Posljedice po
nastanka troškove, trajanje, rad,
događaja ljude …
Rizik se može, ali i Ako dođe do realizacije rizika,
ne mora dogoditi pojavljuju se neželjene posljedice
ili gubici (duže trajanje,
kašnjenje, dodatni troškovi,
gubitak budućeg posla,
stradavanje osoba ...)

13

Vjerojatnosti, prijetnje i ranjivosti

• Prijetnje ili opasnosti

Uzrok

• Što aktivira prijetnju

Događaj

• Posljedice događaja
Utjecaj

14

7
 Vjerojatnosti, prijetnje i ranjivosti

Primjer : upravljanje sigurnošću poslovnih podataka

Neadekvatna zaštita Rizik je preformuliran

podataka
Ovo je utjecaj rizika, a ne
Krađa podataka rizik

Neredovita provedba Rizik koji se može kontrolirati

kontrola zbog čega nije
uočena nesukladnost
Nezadovoljni radnik ukrao je
poslovne podatke
(redovita provedba kontrole)
Rizik nije moguće kontrolirati
ali su mogući alternativni
planovi (provjere, praćenje
zadovoljstva ..)

15

Vjerojatnosti, prijetnje i ranjivosti

• Prijetnje su potencijalni uzroci incidenata koji mogu naštetiti subjektima i objektima (subjekti –
osobe; objekti - imovina, poslovni procesi).

• Subjekti i objekti relevantni za rizike stalno su podložni nekim vrstama prijetnji.

• Prijetnja može uzrokovati neželjeni događaj koji može imati štetne posljedice za organizaciju
(osobe, imovinu, poslovne procese…).

• Prijetnje mogu nastati iz slučajnih ili namjernih izvora / događaja.

16

8
 Vjerojatnosti, prijetnje i ranjivosti

• Izvori prijetnji:

• Vanjski: antropogeni, prirodne sile, tehničko-tehnološki, kemijsko-biološki

• Unutarnji: osobe, organizacija, pravila, tehnologija

•

17

Vjerojatnosti, prijetnje i ranjivosti

Primjeri prijetnji:
– Katastrofe – Povreda ugovornih obveza
– Kvar informacijskog – Curenje informacija
sustava – Gubitak zapisa
– Ugrožavanje sredstvima – Greška održavanja
– Teroristička djelovanja – Požar
– Kvar strojeva i uređaja – Ometanje
– Ugrožavanje sigurnosti – Prekid poslovnih procesa
– Uništavanje zapisa – Krivotvorenje zapisa i
– Štetno djelovanje trećih potpisa
osoba – Industrijska špijunaža
– Krađa informacija – …

18

9
 Vjerojatnosti, prijetnje i ranjivosti

• Ranjivosti su sigurnosne slabosti povezane sa subjektima i objektima organizacije.

• Ranjivost ne nanosi štetu. To je stanje ili niz stanja koje mogu prijetnji omogućiti uzrokovanje
štete, odnosno neželjenih posljedica po subjekte i objekte.

• Ranjivost je uvijek povezana sa prijetnjom, pa ih tako treba sagledavati.

• Prijetnja bez ranjivosti ili ranjivost bez prijetnje, nemaju nikakav utjecaj na rizik.

• Utvrđivanje ranjivosti treba otkriti slabosti koje se odnose na subjekte i objekte u:

• Materijalnom okruženju
• Upravnim, kadrovskim i administrativnim postupcima i kontrolama
• Poslovnim procesima i uslugama koje pruža
• Hardveru, softveru ili komunikacijskoj opremi i uređajima.

19

Vjerojatnosti, prijetnje i ranjivosti

• Primjeri ranjivosti:
Ranjivost Prijetnja koja može iskoristiti
ranjivost
Neodgovarajuće zaključavanje prostorija Krađa

Nedovoljno ili neadekvatno osposobljavanje Rad suprotan pravilima sigurnosti

Neuklanjane prava pristupa nakon prestanka Neovlašteni pristup

rada
Nedostatna svijest o sigurnosti Pogreška u radu

Nepostojanje procedura postupanja Pogrešno postupanje u slučaju

incidenta
Nenadziranje rada vanjskih izvođača radova Krađa

Neispravnost plinodetekcije Eksplozija

20

10
 Vjerojatnosti, prijetnje i ranjivosti

• Posljedice su rezultat interakcije prijetnje i ranjivosti koje obično nazivamo šteta.

• Šteta se mora izraziti u financijskom iznosu.
• Primjeri posljedica:
• smanjenje profita
• gubitak ugleda
• gubitak materijalne i nematerijalne imovine
• ozljeda ili smrtno stradavanje osobe
• negativan utjecaj na okoliš
• krađa podataka …

21

Vjerojatnosti, prijetnje i ranjivosti

Oprema Softver

Zaštitne
Organizacijske
mjere
80 %
Tehnička
naprave zaštita

Kontrola
Automatizacija
pristupa
SIGURNOSNO
RJEŠENJE

Politika Svijest

Procjena rizika Osposobljavanje

Tehničke
mjere

20 % Procedure Zakonski okvir

22

11
 TRADICIONALNO I SUVREMENO
UPRAVLJANJE RIZICIMA

23

Tradicionalno i suvremeno upravljanje rizicima

• Područja upravljanja rizicima u poslovanju:

• Upravljanje rizicima kvalitete
• Upravljanje rizicima proizvodnje
• Upravljanje rizicima transporta
• Upravljanje rizicima ljudskih resursa
• Upravljanje sigurnosnim rizicima
• Upravljanje operativnim rizicima
• Upravljanje strateškim rizicima
• ….

24

12
 Tradicionalno i suvremeno upravljanje rizicima

• Financijski • Strateški rizici

rizici (kamate, (konkurencija,
krediti, promjene ind. ,
promjene potražnja
tečaja) Integracije kupaca)
Istraživanje
Likvidnost Razvoj
Protok novca Intelektualno
vlasništvo

Računovodst
vene Javna imovina
kontrole Proizvodi i
Informacijski usluge
sustav Radnici
Lanac Imovina
• Operativni • Sigurnosni
nabave
rizici (kultura, rizici (okoliš,
propisi, sastav dobavljači,
uprave) podizvođači,
prirodne sile)

25

Tradicionalno i suvremeno upravljanje rizicima

• Tradicionalno shvaćanje upravljanja rizicima ima sljedeća obilježja:

• upravljanje rizicima je ad hoc aktivnost, odnosno menadžment reagira nakon što se

spoznaju rizici

• upravljanje rizicima usmjereno je na strojeve i uređaje, a primarni izvori rizika su osobe i

poslovni procesi s radnim operacijama

• u središtu upravljanja su gospodarski, ekonomski pokazatelji, odnosno upravljanje se

svodi na smanjivanje troškova zaštite

• upravljanje rizicima promatra se fragmentarno, odnosno svako se područje sigurnosti

analizira odvojeno s obzirom na rizike.

26

13
 Tradicionalno i suvremeno upravljanje rizicima

• Suvremeno upravljanja rizicima ima sljedeća obilježja:

• vrednovanje rizika je kontinuiran proces

• svi sudjeluju u upravljanju rizicima, osobe i neučinkoviti poslovni procesi i radne operacije
primarni su izvori rizika

• menadžment preuzima odgovornost za vrednovanje i upravljanje rizicima, a definira se i plan

upravljanja rizicima

• neprekidno se promatraju i vrednuju stvarni izvori rizika i to preventivno unaprijed.

27

Tradicionalno i suvremeno upravljanje rizicima

Proaktivni vs. reaktivni pristup upravljanju rizicima

REAKTIVNE STRATEGIJE PROAKTIVNA STRATEGIJE

• „Ne brini smisliti ćemo nešto”
• Ništa se ne poduzima dok
nešto ne krene u krivom
smjeru
• Tada se nastoji ukloniti
problem (gašenje požara)
• Upravljanje krizama je
odabrana menadžerska
tehnika.
• Elementi i koraci upravljanja
rizicima se primjenjuju
• Primarni cilj je izbjegavanje
rizika
• Izrada plana postupanja sa
rizicima na efikasan i
kontrolirani način.

28

14
 Tradicionalno i suvremeno upravljanje rizicima

• Koristi primjene upravljanja rizicima:

1. Povećanje vjerojatnost postizanja ciljeva
2. Poticanje proaktivnog upravljanja
3. Stvaranje svijest o potrebi identificiranja i postupanja s rizicima u cijeloj organizaciji
4. Poboljšanje identifikacije prilika i prijetnji (opasnosti)
5. Pridržavanje relevantnih zakonskih i regulatornih zahtjeva i međunarodnih normi
6. Poboljšanje financijskog izvješćivanja
7. Poboljšanje upravljanja
8. Poboljšanje pouzdanja i povjerenje dionika
9. Uspostava pouzdane osnove za donošenje odluka i planiranje

29

Tradicionalno i suvremeno upravljanje rizicima

10. Poboljšanje kontrole

11. Učinkovita raspodjela i korištenje resurse za tretiranje rizika
12. Poboljšanje operativne efikasnosti i učinkovitosti
13. Unaprjeđenje zdravstvene i sigurnosne učinkovitost, kao i organizacijske učinkovitosti
14. Unaprjeđenje sprečavanja gubitaka i upravljanje incidentima
15. Minimiziranje gubitaka
16. Unaprjeđenje organizacijskog učenja - edukacije
17. Poboljšanje organizacijske otpornosti
18. Prepoznavanje i nadzor opasnosti na radnim mjestima
19. Smanjenje broja sigurnosnih incidenata i troškova vezanih uz njih
20. Povećanje zadovoljstva zaposlenih.

30

15