Funkcioniranje bilo koje organizacije, bez obzira na njenu djelatnost i veličinu obavlja se kroz više poslovnih procesa. Objektivno promatrajući, u kontekstu procesnog pristupa prema ISO 9001, sve aktivnosti u organizaciji su dio nekog od poslovnih procesa. Upravljanje tim poslovnim procesima se obavlja kroz formalne ili neformalne sustave upravljanja. Razlika između formalnog sustava upravljanja i ne formalnog je u tome što se formalni sustav upravljanja je dokumentiran i provodi na način opće prihvaćenih pravila i normi, a trebali bi imati i formalno svjedočanstvo - certifikat. Najpoznatiji formalni sustavi upravljanja se temelje na ISO normama, kao npr. ISO 9001 (sustav za upravljanje kvalitetom - QMS), ISO 14001 (sustav za upravljanje zaštitom okoliša - EMS), OHSAS 18001 (sustav za upravljanje sigurnošću i zdravljem ljudi), ISO 22000 (sustav za upravljanje ispravnošću hrane i pića - FSMS), ISO/IEC 27001 (sustav za upravljanje sigurnošću informacija - ISMS), ISO 31000 (sustav za upravljanje rizicima - RMS), itd. Svim tim formalnim sustavima upravljanja, koji se temelje na ISO normama, zajedničko je da definiraju svaki sustav upravljanja kao jedan proces.
Norma ISO 9001, koja je temeljna za sve sustave upravljanja is porodice ISO normi, definira proces kao dokumentirani skup aktivnosti koji uz pomoć resursa i pravila ulazne zahtjeve pretvaraju na izlazu u zadovoljenje tih zahtjeva. Blok shema tako definiranog poslovnog procesa je prikazana na slici 1.
Slika 1. Blok shema poslovnog procesa
Analizom bilo koje gore navedene norme, može se pokazati da svaka od njih u okviru resursa posebni naglasak stavlja na ljudske potencijale, odnosno, svaka norma po definiciji smatra da su ljudski resursi jedan od ključnih za uspostavu, funkcioniranje i poboljšanje bilo kojeg poslovnog procesa (sustava upravljanja).
Ako se napravi detaljnija analiza poslovnog procesa sa slike 1., može se lako pokazati da su ulazi, izlazi poslovnog procesa također procesi, kao što je prikazano na slici 2.
Slika 2. Blok shema procesa u interakciji s ostalim procesima
Ako se pažnja usmjeri samo na proces upravljanja resursima, može se pokazati da se on sastoji od niza drugih podprocesa, kao npr.: proces upravljanja sredstvima, proces upravljanja zalihama, proces upravljanja rezervama, proces upravljanja energijom, proces upravljanja ljudskim resursima, itd. Time se dolazi do premise da za funkcioniranje bilo kojeg poslovnog procesa nezaobilazni, a najčešće presudni značaj ima (pod)proces upravljanja ljudskim resursima. Usporedbom svih poslovnih procesa u nekoj organizaciji, može se pokazati da je u svakom poslovnom procesu ljudski resurs obvezan element, što ne mora biti slučaj s ostalim vrstama resursa.
Kako svaka organizacija radi, odnosno njeni se procesi odvijaju u uvjetima manje ili veće entropije dovodi do posljedice da se ciljevi poslovnih procesa, a time i poslovne politike organizacije ostvaruju u nesigurnom okruženju. Ako su ciljevi poslovne politike zahtjevi koje treba osigurati, onda je upravljanje s sigurnošću okruženja u kojem se odvijaju svi poslovni procesi kao i pripadajući podprocesi jedan od ključnih zahtjeva opstanka i unapređenja poslovanja. Danas se smatra da je jedini način upravljanja sigurnošću, a time i smanjenje entropije poslovanja, upravljanje rizicima na svim razinama, od strateških, preko poslovnih i operativnih, čak do rizika procesnih aktivnosti.
Iz svega gore navedenog, može se pokazati da je upravljanje rizicima ljudskih resursa jedan od izuzetno značajnih sustava upravljanja, koji bitno doprinosi sveukupnoj stabilnosti poslovanja, te se kao takav treba formalizirati.
PROCES UPRAVLJANJA RIZICIMA
Proces za upravljanje rizicima je definiran normom ISO 31000 i spada u grupu smjernica, odnosno neobveznih normi za primjenu. To znači da se ni jedna organizacija u postupcima certificiranja bilo kojeg sustava upravljanja ne obvezuje na primjenu norme ISO 31000 ili nekog njenog derivata. Proces za upravljanje rizicima opisan u normi ISO 31000 je generički, odnosno nezavisan od područja primjene i veličine korisnika. Kada se radi o implementaciji jednog ili više sustava upravljanja baziranih na ISO normama, primjena norme ISO 31000 je apsolutno preporučljiva, praktički obvezna na svim mjestima gdje se želi upravljati rizicima.
Norma ISO 31000, kao što je rečeno, namijenjena je za organizacije svih tipova i veličina koje su suočene s nizom rizika koji mogu negativno utjecati na ostvarenje njihovih ciljeva definiranih u poslovnim politikama. Ti ciljevi se mogu odnositi na široki raspon aktivnosti organizacije, od strateških inicijativa do njenih radnih operacija, procesa i projekata, a ogledaju se kroz strateške, poslovne, financijske rezultate i utjecaje, dobru reputaciju, itd. Upravljanje rizikom pomaže kod donošenja odluka jer uzima u obzir neizvjesnost i utjecaj koji ima neizvjesnost na ostvarivanje ciljeva i ocjene potreba za poduzimanjem određenih akcija. Za pravilnu primjenu norme ISO 31000 nužno je koristiti i normu ISO Guide 73 koja je rječnik pojmova vezanih za pitanja upravljanja rizicima. U skladu s ISO Guide 73, rizik se definira kao efekt neizvjesnosti za ciljeve. Kao efekt se smatra odstupanje od očekivanog – pozitivno i/ili negativno. Rizik se često karakterizira vezom s potencijalnim događajima ili posljedicama, ili njihovom kombinacijom. Pojednostavljeni fizikalni princip pojave rizika prikazan je na slici 3, a značenje pojedinih veličina u tablici 1.
Slika 3. Blok shema pojednostavljenog fizikalnog principa pojave rizika
Tablica 1. Značenje pojedinih veličina na slici 3.
|
Prijetnja |
mogući uzrok neželjenog incidenta koji može uzrokovati štetu sistemu ili organizaciji. |
|
Ranjivost |
slabost imovine ili grupe imovina koju jedna ili više prijetnji mogu iskoristiti. |
|
Posljedica |
rezultat ili učinak nekog događaja NAPOMENA 1: Može biti više od jedne posljedice jednog događaja. NAPOMENA 2: Posljedice mogu biti u rasponu od pozitivne do negativne. NAPOMENA 3: Posljedice se mogu izraziti kvalitativno ili kvantitativno. NAPOMENA 4: Posljedice se razmatraju u odnosu na postizanje ciljeva. |
|
Sigurnosna mjera (Kontrola) |
sredstvo upravljanja rizikom, uključujući politike, procedure, smjernice, praksu ili organizacijske strukture, koje mogu biti administrativne, tehničke, upravne ili zakonodavne naravi. NAPOMENA: Kontrola se također koristi kao sinonim za zaštitu ili protumjeru. |
|
Sigurnosni događaj (Incident) |
sigurnosni događaj ili incident je prepoznatljiv slučaj stanja sustava koji upućuje na moguću povredu sigurnosne politike ili neuspjeh zaštite ili do tada nepoznate okolnosti koje mogu biti važne za sigurnost. |
Norma ISO 31000 u potpunosti identificira principe upravljanja rizikom, definira okvir za upravljanje rizikom, te u konačnici i proces upravljanja rizicima. Međusobni odnos tih elemenata prikazan je na slici 4.
Slika 4. Blok shema elemenata norme ISO 31000:2009
Od svih navedenih principa upravljanja rizikom prikazanih na slici 3, posebnu pažnju izaziva činjenica da upravljanje rizikom stvara vrijednost, odnosno, u konačnom godišnjem bilanciranju poslovanja upravljanje rizikom ima svoj doprinos u stvaranju viška vrijednosti. Okvir upravljanja rizikom pokazuje da nakon odluke vrhovne uprave da se pristupi sistematskom upravljanju rizicima, na temelju te odluke definiraju ovlaštenja i formalno da podrška projektu implementacije, a kasnije i odvijanju procesu upravljanja rizicima. Cjelokupno upravljanje procesom za upravljanje rizicima odvija se prema PDCA krugu (4.3, 4.4, 4.5, 4.6). Proces upravljanja rizicima prikazan na slici 3. je relativno složen, a najkritičniji dio cijelog procesa je faza upravljanja rizikom. Značenje pojedinih elemenata procesa upravljanja rizicima prikazano je u tablici 2.
Tablica 2. Značenje elemenata procesa upravljanja rizicima
|
Komunikacija i konzultacija |
Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno, na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline. |
|
Utvrđivanje konteksta |
Utvrđivanje eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize. |
|
Identifikacija rizika |
Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva. |
|
Analiza rizika |
Identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti. |
|
Vrednovanje rizika |
Usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima. |
|
Obrada rizika |
Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova. |
|
Praćenje i preispitivanje |
Neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete. |
Kritičnost faze procjene rizika ogleda se u odabranoj metodi kojom se provodi procjena. U praksi je za potrebe sustava upravljanja, pa tako i za procjenu rizika ljudskih resursa prihvatljiva praktički jedino kvalitativna metoda. Ta metoda procjene rizika u sebi sadrži nekoliko nedostataka, među kojima je najznačajniji subjektivnost procjene uvjetovana nedovoljnom egzaktnošću veličina kojima se procjenjuje rizik. U zavisnosti od odabira elemenata kojima se želi procjenjivati rizik može se definirati niz formula za vrednovanje rizika. Najčešće se u kvalitativnoj metodi procjene rizika koriste tri ili dva parametra. U tom slučaju se uobičajeno koriste formule za vrednovanje rizika:
Rizik = Prijetnja * Ranjivost * Posljedica (1)
ili
Rizik = Vjerojatnost * Posljedica (2)
Gdje vjerojatnost predstavlja mjeru pojave incidenta, a koja u sebi implicitno sadržava prijetnju i ranjivost.
Samo vrednovanje rizika prema izrazima (1) ili (2) ostvaruje se definiranjem skala kojima se opisno definiraju razine pojedinih parametara i to skala ocjene prijetnje, skala ocjene ranjivosti, skala ocjene posljedica, te za slučaj izraza (2) skala ocjene vjerojatnosti. Svakoj opisnoj vrijednosti se dodjeljuje neka numerička vrijednost koja se onda koristi u navedenim izrazima. Vrijednosti u pojedinim skalama se kreću u granicama 1-3, ili 1-5, ili 1-7, itd. Da li će pojedina skala početi s 1, 0 ili nekim drugim brojem, te završiti s 3, 5 ili nekim većim, kao i vrsta računske operacije, zavisi isključivo od opredjeljenja organizacije koja definira svoje pravilo procjene rizika.
Ovakav pristup procjeni rizika, odnosno upravljanja rizicima u nekoj organizaciji je dovoljno fleksibilan i prihvatljiv za gotovo sve vrste rizika, pa tako i za rizike ljudskih resursa.
Kada se govori o sigurnosti, kao općem pojmu, može se reći da je sigurnost komplement od rizika, odnosno, što je rizik ostvarenja nekog cilja veći, to je sigurnost ostvarenja manja. Veza sigurnosti i rizika se može iskazati izrazom:
Sigurnost = 1 – Rizik (3)
Napomena: tu se rizik mora iskazati u relativnom iznosu, u granicama 0 – 1.
Iz toga se može zaključiti da je pristup problemu upravljanja sigurnošću ljudskih resursa je ekvivalentan pristupu upravljanja rizicima ljudskih resursa, a da je odnos određen izrazom (3).
SIGURNOST (RIZICI) LJUDSKIH RESURSA
Kada se analiziraju ISO norme namijenjene uspostavi i certifikaciji sustava upravljanja, može se pokazati da se jedino u normi ISO/IEC 27001:2005 u normativnom aneksu A više govori o toj problematici. Sve ostale ISO norme naglašavaju važnost ljudskih resursa, ali se ne upuštaju u detaljniju razradu. Analizom zahtjeva vezanih za ljudske resurse unutar ISO/IEC 27001:2005, vidljivo je da sve što je tu iznesene apsolutno vrijedi za svaki sustav upravljanja, a ne samo za sustav upravljanja sigurnošću informacija. Zato je logično, značajke upravljanja sigurnošću ljudskih resursa kako je prikazano u ISO/IEC 27001 uzeti kao univerzalni pristup u organizaciji, bez obzira o kakvom se sustavu upravljanja radi. Za usporedbu, u normi OHSAS 18001 se govori o relativno uskom aspektu sigurnosti ljudskih resursa, vezano samo za eventualnu štetnost radnog mjesta i očuvanje života i zdravlja zaposlenika. Isto područje interesa imaju i nacionalni zakoni o zaštiti na radu. S praktične strane analize sigurnosti ljudskih resursa to je nedovoljno, jer se u spomenutim slučajevima ništa ne govori o sigurnosti ljudskih resursa vezanih za pravilno (planirano) odvijanje poslovnih procesa. To je razlog više da se primjeni holistički pristup upravljanju sigurnošću ljudskih resursa, uzimajući u obzir OHSAS 18001, nacionalne zakone o zaštiti na radu, ali i pristupe prikazane u normi ISO/IEC 27001:2005.
Treba napomenuti da se u navedenom aneksu A norme ISO/IEC 27001:2005 nalazi tekst koji je sadržajno usmjeren na problematiku sigurnosti informacija. No, malimpoopćavanjem teksta, dobiva se sadržaj koji je primjenljiv za sve sustave upravljanja. U nastavku će biti prikazani modificirani tekstovi aneksa A koji se mogu primijeniti za sva ostala područja primjene kada su u pitanju rizici ljudskih resursa.
Prema aneksu A norme ISO/IEC 27001:2005 postoje tri sigurnosna cilja koja se trebaju ostvariti. Ti sigurnosni ciljevi su definirani za period prije zaposlenja, tijekom zaposlenja i nakon prestanka zaposlenja. U tablici 3. su prikazani sigurnosni ciljevi i njihova modifikacija za univerzalnu primjenu.
Tablica 3. Sigurnosni ciljevi za sigurnost ljudskih resursa
|
Period primjene |
Sigurnosni ciljevi |
|
|
Prema ISO/IEC 27001:2005 (A.8) |
Univerzalna primjena |
|
|
Prije zaposlenja |
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe |
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe |
|
Tijekom zaposlenja |
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku sigurnosnojpolitici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške. |
Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji poslovnojsigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za podršku poslovnojpolitici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške. |
|
Prekid ili promjena zaposlenja |
Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja. |
Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja. |
Prema tablici 3 je vidljivo da su postavke u Aneksu A norme ISO/IEC 27001:2005 vezane za sigurnost ljudskih resursa u biti univerzalne i značajne za sve sustave upravljanja, a ne samo za ISMS. Zbog toga će se u nastavku prikazivati samo modificirani tekst praćenja sigurnosti ljudskih resursa za opću primjenu.
Prema aneksu A iz ISO/IEC 27001 za ostvarenje svakog od ova tri sigurnosna cilja predviđene su po tri sigurnosne mjere (kontrole), a što je prikazano u tablici 4.
Tablica 4. Sigurnosne mjere (kontrole) za sigurnosne ciljeve ljudskih resursa
|
|
Sigurnosni ciljevi |
||
|
Prije zaposlenja |
Tijekom zaposlenja |
Prekid ili promjena |
|
|
Sigurnosne mjere (kontrole) |
Funkcije i odgovornosti Potrebno je odrediti i dokumentirati poslovne funkcije i odgovornosti zaposlenih, ugovornih suradnika i treće strane u skladu sa poslovnim politikama organizacije. |
Odgovornosti uprave Uprava treba zahtijevati od zaposlenika, ugovornih suradnika i korisnika treće strane aktivnosti u skladu s postojećim politikama i procedurama organizacije. |
Odgovornosti za prekid Odgovornosti za prekid ili promjenu zaposlenja trebaju biti jasno određene i dodijeljene. |
|
Odabir kandidata Potrebno je provjeriti sve kandidate za posao, ugovorne suradnike i korisnike treće strane u skladu s važećim zakonima, propisima i etikom, u skladu sa zahtjevima posla, kojima će se pristupati i mogućim rizicima. |
Razina svijesti o poslovnoj politici, obrazovanje i obučavanje Svi zaposlenici u organizaciji i, ako postoje, ugovorni suradnici i korisnici treće strane trebaju sudjelovati u primjerenom obučavanju u svrhu podizanja razine svijesti i redovitom obavješćivanju o politikama i procedurama organizacije koje se odnose na njihovu poslovnu funkciju. |
Povrat imovine Nakon prekida njihovog zaposlenja, ugovora ili sporazuma, svi zaposlenici, ugovorni suradnici i korisnici treće strane trebaju vratiti svu imovinu organizacije koja im je dana na korištenje. |
|
|
Trajanje i uvjeti zaposlenja Kao dio ugovornih obveza, zaposlenici, ugovorni suradnici i korisnici treće strane trebaju dogovoriti i potpisati trajanje i uvjete ugovora o zaposlenju u kojem je potrebno navesti njihove odgovornosti i odgovornosti organizacije za obavljanje poslova. |
Disciplinski proces Treba postojati formalni disciplinski proces za zaposlenike koji su ugrozili poslovne aktivnosti predviđene politikama i procedurama. |
Ukidanje prava pristupa Prava pristupa svih zaposlenika, ugovornih suradnika i korisnika treće strane informacijama i opremi za poslovanje trebaju se ukinuti kod prekida zaposlenja, ugovora ili sporazuma ili prilagoditi nastalim promjenama. |
|
U slučaju da se nakon identifikacije nekog značajnog rizika ljudskih resursa (prema sigurnosnoj politici neprihvatljive razine) donese odluka o smanjivanju istog, potrebno je odabrati neki od ponuđenih ciljeva smanjivanja rizika. Nakon odabira cilja koji se želi postići smanjivanjem tog rizika, nužno je odabrati jednu ili više sigurnosnih mjera (kontrola) kojima se taj cilj postiže. Tu je naravno potrebno provesti i analizu troška i koristi (Cost Benefit Analysis) da se provjeri opravdanost provođenja mjere u odnosu na potencijalnu štetu od posljedica, ali i eventualnu zakonsku obvezu provedbe. U tablici 5 je za ilustraciju prikazan primjer nekih od aktivnosti vezanih za ljudske resurse i neki od potencijalnih rizika i prijetnji za tu aktivnost.
Tablica 5. Primjeri nekih aktivnosti ljudskih resursa vezanih za analizu rizika
|
Aktivnosti ljudi |
Potencijalni rizik |
Potencijalni razlozi (izvori prijetnji) |
|
Zapošljavanje |
· Diskriminatorna praksa · Unajmljivanje neprikladnog ili nesigurnog kandidata · "Nepravedno" zapošljavanje |
· Nekompletna provjera potencijalnih kandidata · Ne uzimanje u obzir lokalnih i nacionalnih zakona vezanih za ljudska prava · Ne postojanje probnog perioda · Davanje nerealnih obećanja kandidatu · Ne potpisivanje ugovora o radu i izjave o poštivanju poslovnih politika |
|
Zaštita rada i sigurnost na radu |
· Ekologija · Tjelesne povrede i smrt |
· Nesigurni radni uvjeti i neprovođenje redovitih sigurnosnih provjera? · Ne provodi se odgovarajuća obuka za osoblje · Ne korištenje odgovarajuće odjeće i sigurnosne opreme? · Ne postoje adekvatne politike i postupci |
|
Nadzor zaposlenika |
· Vrijeđanje i zlostavljanje (mobbing) · Ugled u zajednici · Odavanje osobnih podataka |
· Nejasno napisane ovlasti i opisi za sva radna mjesta · Ne prate se parametri poštivanja opisa radnog mjesta · Ne postoji priručnik za zaposlenike · Ne organiziranje stalne obuke o poslovnim politikama i postupcima · Ne osiguranje organizacijske imovine · Ne postojanje adekvatne politike i procedure protiv mobbing-a? |
|
Odlazak zaposlenika |
Imovina Ugled u zajednici Kompenzacija |
· Postojanje organizacijska imovine i opreme koju zaposlenik koristi kod kuće (krađa) · Nije osigurano deaktiviranje svih pristupnih kodova i lozinki |
U sklopu organizacije i provedbe upravljanja rizicima za potrebe ljudskih resursa, postavlja se pitanje kako to formalno provesti u nekoj organizaciji. Naravno, ne postoji nikakav propis, a niti norma ISO 31000 o tome nešto govori. To spada u internu domenu organizacije, u prvom redu zavisno od njene veličine i posvećenosti menadžmenta pitanjima upravljanja rizicima. Organizacija upravljanja rizicima ljudskih resursa je u svakom slučaju dio sveukupnog upravljanja rizicima u organizaciji i tako to treba i promatrati. U slučaju malih firmi tom problemu se u glavnom pristupa s manjom organizacijom i resursima sustava upravljanja rizicima. Međutim, za srednjim i većim (velikim) organizacijama pitanje upravljanja rizicima i u kontekstu toga pozicija upravljanja rizicima ljudskim resursima je strateško pitanje. Problematika upravljanja rizicima u organizaciji mora biti odgovarajuće tretirana i podržana svojom strukturom na svim razinama upravljanja i odlučivanja, ali i provođenja poslovnih aktivnosti. Na slici 5. je u cilju ilustracije prikazan jedna od mogućih oblika organizacije i provođenja sustava upravljanja rizicima. U konkretnom slučaju, organizacija se prilagođava potrebama i željama uprave, ali primjer je dovoljno ilustrativan da se može ukazati na svu složenost organizacije upravljanja rizicima u nekoj firmi.
Slika 5. Blok shema primjera organizacije upravljanja rizicima u poslovnoj strukturi (Izvor: A structured approach to enterprise Risk Management (ERM) and the requirements of ISO 31000)
Na čelu odbora za upravljanje rizicima je menadžer sigurnosti koji se obično označava kao CSO (Chief Security Officer). CSO je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika, odgovore na incidente, smanjenje izloženosti svim oblicima rizika, te uspostavu politike i procedura sigurnosti.
ZAKLJUČAK
Iz navedenog se može zaključiti da je upravljanje ljudskim resursima u organizaciji jedan od ključnih procesa koji direktno utječe na sve ostale poslovne procese. Kako se svaki poslovni proces odvija se u uvjetima neizvjesnosti, odnosno pojavljuje se niz rizika koji mogu ugroziti postizanje ciljeva procesa između ostalog i zbog neadekvatnog upravljanja ljudskim resursima. Da bi se umanjila razina rizika kojic su uvjetovani ljudskim resursima potrebno je s njima upravljati, odnosno držati ih na prihvatljivoj, dovoljno niskoj razini. Time se postiže proaktivno upravljanje ljudskim resursima, kao jednim od preduvjeta uspješnog poslovanja organizacije.
Trenutno ne postoji neka norma koja je direktno usmjerena na upravljanje rizicima ljudskih resursa, ali kao što je prikazano, na temelju nekih postojećih i široko primijenjenih normi (ISO 31000, ISO/IEC 27001) može se vrlo kvalitetno i cjelovito pristupiti upravljanju rizicima ljudskih resursa, a da pristup ne bude temeljen samo na kreativnosti organizacije.
Funkcionalno uvođenje upravljanja rizicima u organizaciju ima smisla kao dio ukupnog pristupa upravljanja svim vrstama rizika. To u pravilu, zavisno od veličine organizacije i svijesti menadžmenta zahtjeva i djelom reorganizaciju firme. Kod manjih firmi se to ogleda u dodjeljivanju dodatnih funkcija nekim zaposlenicima koji se dodatno educiraju za poslove upravljanja rizicima, a u velikim organizacijama se to rješava formalnim uvođenjem nove organizacione jedinice.