srps a.l2.003 konacan
TRANSCRIPT
SRPS A.L2.0032010.
Drutvena bezbednost Usluge privatnog obezbeenja Procena rizika u zatiti lica imovine i poslovanja
I izdanje
INSINSTITUT ZA STANDARDIZACIJU SRBIJE
Referentna oznaka SRPS A.L2.003:2010 (sr)
Autorska prava za srpske standarde i srodne dokumente pripadaju Institutu za standardizaciju Srbije. Umnoavanje, u celini ili delimino, kao i distribucija srpskih standarda i srodnih dokumenata, dozvoljeni su samo uz saglasnost Instituta za standardizaciju Srbije. ISS Izdaje Institut za standardizaciju Srbije INSTITUT ZA STANDARDIZACIJU SRBIJE 11030 Beograd, Stevana Brakusa 2, p.f. 2105 Telefoni: Telefaks: Prodaja: Informacioni centar: [email protected] [email protected] www.iss.org.rs (011) 35-41-260, 35-41-261 (011) 35-41-257 (011) 25-47-496 (011) 25-47-293
2
ISS
SADRAJPredgovor...............................................................................................................................................8
PREDGOVOR...........................................................................................................................8Uvod.......................................................................................................................................................9
UVOD.........................................................................................................................................9 PREDMET I PODRUJE PRIMENE.................................................................................10 PREDMET I PODRUJE PRIMENE.................................................................................101.1 Opte odredbe.................................................................................................................................10 1.2 Podruje primene ...........................................................................................................................10
NORMATIVNE REFERENCE.............................................................................................10 NORMATIVNE REFERENCE.............................................................................................10 TERMINI I DEFINICIJE......................................................................................................11 TERMINI I DEFINICIJE......................................................................................................111.3 Osnovni termini..............................................................................................................................11 1.4 Termini koji se odnose na ljude ili organizacije izloene riziku.....................................................11 1.5 Termini koji se odnose na procenu rizika.......................................................................................12 1.6 Termini koji se odnose na tretman i kontrolu rizika........................................................................12
DEO I PROCES PROCENE RIZIKA................................................................................14 DEO I PROCES PROCENE RIZIKA................................................................................141.7 Svrha i prednosti ............................................................................................................................14 1.8 Principi procene rizika....................................................................................................................14 1.9 Odgovornosti .................................................................................................................................16 1.10 Resursi .........................................................................................................................................16 1.11 tiene vrednosti .........................................................................................................................16 1.12 Razumevanje organizacije i njenog okruenja..............................................................................16 1.13 Uspostavljanje interne komunikacije i mehanizama izvetavanja ................................................16 1.14 Uspostavljanje eksterne komunikacije i mehanizama izvetavanja...............................................17 1.15 Odreivanje konteksta..................................................................................................................17 1.16 Procena rizika ..............................................................................................................................19 1.17 Tretman rizika .............................................................................................................................21 1.18 Kontrola i revizija.........................................................................................................................22 1.19 Registrovanje procesa procene rizika............................................................................................23 1.20 Informatika podrka procene rizika.............................................................................................23 1.21 Metode i alati za procenu rizika....................................................................................................23
DEO II USLUGE PRIVATNOG OBEZBEENJA - PROCENA RIZIKA - ZAHTEVI ...............................................................................................................................................24 DEO II USLUGE PRIVATNOG OBEZBEENJA - PROCENA RIZIKA - ZAHTEVI ...............................................................................................................................................241.22 Opte odredbe...............................................................................................................................24 1.23 Zahtevi koji se odnose na usluge procene rizika u zatiti lica, imovine i poslovanja....................24 1.23.1 Opti zahtevi za organizaciju.....................................................................................................24 1.23.2 Zahtevi za kvalifikovanost menadera rizika.............................................................................25 1.24 Zahtevi za procenu optih poslovnih rizika...................................................................................25 1.25 Zahtevi za procenu rizika po bezbednost i zdravlje na radu i u radnoj okolini..............................26 1.26 Zahtevi za procenu pravnih rizika.................................................................................................26 1.27 Zahtevi za procenu rizika od protivpravnog delovanja.................................................................26 1.28 Zahtevi za procenu rizika od poara.............................................................................................27 1.29 Zahtevi za procenu rizika od elementarnih nepogoda i drugih nesrea.........................................28 1.30 Zahtevi za procenu rizika od neusaglaenosti sa standardima ......................................................28 3
ISS DEO III USLUGE PRIVATNOG OBEZBEENJA UPUTSTVO ZA PROCENU RIZIKA ............................................................................................................................28 DEO III USLUGE PRIVATNOG OBEZBEENJA UPUTSTVO ZA PROCENU RIZIKA ............................................................................................................................281.31 Opte odredbe...............................................................................................................................28 1.32 Kriterijumi za procenu rizika .......................................................................................................28 1.33 Kriterijumi za identifikaciju potencijalnih opasnosti ...................................................................29 1.34 Kriterijumi za identifikaciju potencijalnih opasnosti koje nastaju u okviru optih poslovnih aktivnosti....................................................................................................................................29 1.35 Kriterijumi za identifikaciju potencijalnih opasnosti na radnom mestu i u radnoj okolini ...........29 1.36 Kriterijumi za identifikaciju potencijalnih pravnih opasnosti ......................................................30 1.37 Kriterijumi za identifikaciju potencijalnih opasnosti od protivpravnog delovanja .......................30 1.38 Kriterijumi za identifikaciju potencijalnih opasnosti od poara....................................................31 1.39 Kriterijumi za identifikaciju potencijalnih opasnosti od elementarnih nepogoda i drugih nesrea ...................................................................................................................................................31 1.40 Kriterijumi za identifikaciju potencijalnih opasnosti od neusaglaenosti sa standardima ............31 1.41 Analiza rizika ...............................................................................................................................32 1.42 Kriterijum za odreivanje verovatnoe ........................................................................................32 1.43 Kriterijum za odreivanje posledica ............................................................................................33 1.44 Kriterijum za odreivanje nivoa rizika ........................................................................................33 1.45 Ocena rizika .................................................................................................................................33 1.46 Kriterijum za odreivanje kategorije rizika .................................................................................33 1.47 Kriterijum za odreivanje prihvatljivosti rizika ...........................................................................33 1.48 Tretman rizika .............................................................................................................................34 1.49 Kriterijum za odreivanje opcija za ublaavanje .........................................................................34 1.50 Kriterijum za primenu opcija za izvodljivost ...............................................................................34 1.51 Kriterijum za primenu analize odnosa cena-korist........................................................................35 1.52 Kriterijum za odreivanje preostalog rizika .................................................................................35 1.53 Kombinacija rizika.......................................................................................................................35
DEO IV USLUGE PRIVATNOG OBEZBEENJA - UPUTSTVO ZA OCENJIVANJE USAGLAENOSTI SA ZAHTEVIMA.............................................................................35 DEO IV USLUGE PRIVATNOG OBEZBEENJA - UPUTSTVO ZA OCENJIVANJE USAGLAENOSTI SA ZAHTEVIMA.............................................................................351.54 Metode i postupci ocenjivanja organizacija i osoba......................................................................36 1.55 Ocenjivanje organizacija ..............................................................................................................36 1.56 Ocenjivanje osoba.........................................................................................................................37
DEO V PRILOZI...................................................................................................................38 DEO V PRILOZI...................................................................................................................38Prilog A ...............................................................................................................................................38
PRILOG A ..............................................................................................................................38Prikaz procesa procene rizika...............................................................................................................38
PRIKAZ PROCESA PROCENE RIZIKA...........................................................................38Prilog B ...............................................................................................................................................40
PRILOG B ..............................................................................................................................40tiene vrednosti..................................................................................................................................40
TIENE VREDNOSTI........................................................................................................40Prilog C ...............................................................................................................................................41
PRILOG C ..............................................................................................................................41Kriterijum za identifikaciju potencijalnih opasnosti koje nastaju u okviru optih poslovnih aktivnosti41 4
ISS KRITERIJUM ZA IDENTIFIKACIJU POTENCIJALNIH OPASNOSTI KOJE NASTAJU U OKVIRU OPTIH POSLOVNIH AKTIVNOSTI...................................41Prilog D................................................................................................................................................42
PRILOG D...............................................................................................................................42Kriterijum za identifikaciju potencijalnih opasnosti po bezbednost i zdravlje na radnom mestu i u radnoj okolini ......................................................................................................................................42
KRITERIJUM ZA IDENTIFIKACIJU POTENCIJALNIH OPASNOSTI PO BEZBEDNOST I ZDRAVLJE NA RADNOM MESTU I U RADNOJ OKOLINI .....42Prilog E.................................................................................................................................................44
PRILOG E...............................................................................................................................44Kriterijum za identifikaciju potencijalnih pravnih opasnosti ...............................................................44
KRITERIJUM ZA IDENTIFIKACIJU POTENCIJALNIH PRAVNIH OPASNOSTI 44Prilog F.................................................................................................................................................49
PRILOG F...............................................................................................................................49Kriterijum za identifikaciju potencijalnih opasnosti od protivpravnog delovanja ...............................49
KRITERIJUM ZA IDENTIFIKACIJU POTENCIJALNIH OPASNOSTI OD PROTIVPRAVNOG DELOVANJA ................................................................................49Prilog G................................................................................................................................................52
PRILOG G...............................................................................................................................52Kriterijum za identifikaciju potencijalnih opasnosti od poara.............................................................52
KRITERIJUM ZA IDENTIFIKACIJU POTENCIJALNIH OPASNOSTI OD POARA ...............................................................................................................................................52Prilog H................................................................................................................................................55
PRILOG H...............................................................................................................................55Kriterijum za identifikaciju potencijalnih opasnosti od elementarnih nepogoda i drugih nesrea........55
KRITERIJUM ZA IDENTIFIKACIJU POTENCIJALNIH OPASNOSTI OD ELEMENTARNIH NEPOGODA I DRUGIH NESREA.............................................55Prilog I..................................................................................................................................................57
PRILOG I................................................................................................................................57Kriterijum za identifikaciju potencijalnih opasnosti od neusaglaenosti sa standardima......................57
KRITERIJUM ZA IDENTIFIKACIJU POTENCIJALNIH OPASNOSTI OD NEUSAGLAENOSTI SA STANDARDIMA..................................................................57Prilog J.................................................................................................................................................58
PRILOG J................................................................................................................................58Identifikacija potencijalnih opasnosti...................................................................................................58
IDENTIFIKACIJA POTENCIJALNIH OPASNOSTI.......................................................58Prilog K................................................................................................................................................64
PRILOG K...............................................................................................................................64Procena rizika ......................................................................................................................................64
PROCENA RIZIKA ..............................................................................................................64Prilog L.................................................................................................................................................72
PRILOG L...............................................................................................................................725
ISSTretman rizika......................................................................................................................................72
TRETMAN RIZIKA...............................................................................................................72Prilog M...............................................................................................................................................76
PRILOG M..............................................................................................................................76Kriterijum za odreivanje verovatnoe, uestalosti i ranjivosti............................................................76
KRITERIJUM ZA ODREIVANJE VEROVATNOE, UESTALOSTI I RANJIVOSTI......................................................................................................................76Prilog N................................................................................................................................................78
PRILOG N...............................................................................................................................78Kriterijum za odreivanje posledica, tete i kritinosti.........................................................................78
KRITERIJUM ZA ODREIVANJE POSLEDICA, TETE I KRITINOSTI..............78Prilog O................................................................................................................................................82
PRILOG O...............................................................................................................................82Kriterijum za odreivanje nivoa rizika.................................................................................................82
KRITERIJUM ZA ODREIVANJE NIVOA RIZIKA......................................................82Prilog P.................................................................................................................................................83
PRILOG P...............................................................................................................................83Kriterijum za odreivanje kategorije i prihvatljivosti rizika.................................................................83
KRITERIJUM ZA ODREIVANJE KATEGORIJE I PRIHVATLJIVOSTI RIZIKA83Prilog R................................................................................................................................................84
PRILOG R...............................................................................................................................84Radni list procene rizika.......................................................................................................................84
RADNI LIST PROCENE RIZIKA.......................................................................................84Prilog S.................................................................................................................................................86
PRILOG S................................................................................................................................86Karakteristike potencijalne opasnosti...................................................................................................86
KARAKTERISTIKE POTENCIJALNE OPASNOSTI.....................................................86Prilog T.................................................................................................................................................88
PRILOG T...............................................................................................................................88Kriterijum za ocenjivanje ispunjenosti zahteva organizacija koje vre procenu rizika.........................88
KRITERIJUM ZA OCENJIVANJE ISPUNJENOSTI ZAHTEVA ORGANIZACIJA KOJE VRE PROCENU RIZIKA....................................................................................88Prilog U................................................................................................................................................89
PRILOG U...............................................................................................................................89Matrica za ocenjivanje ispunjenosti zahteva za organizacije koje vre procenu rizika.........................89
MATRICA ZA OCENJIVANJE ISPUNJENOSTI ZAHTEVA ZA ORGANIZACIJE KOJE VRE PROCENU RIZIKA....................................................................................89Prilog V................................................................................................................................................91
PRILOG V...............................................................................................................................91Matrica za ocenjivanje ispunjenosti zahteva za osobe koje vre procenu rizika...................................91
6
ISS MATRICA ZA OCENJIVANJE ISPUNJENOSTI ZAHTEVA ZA OSOBE KOJE VRE PROCENU RIZIKA................................................................................................91Bibliografija.........................................................................................................................................93
BIBLIOGRAFIJA...................................................................................................................93............................................................................................................................................................93
7
ISS
PredgovorOvaj standard izradila je Komisija za standarde iz oblasti drutvene bezbednosti, KS A223. Korienjem ovog standarda, organizacija koja prua ili koristi usluge privatnog obezbeenja, obezbeuje izvrenje sveobuhvatne procene rizika. Rezultati procene rizika slue organizacijama za izbor odgovarajue vrste usluga privatnog obezbeenja. Takoe, organizacija moe i samostalno da procenjuje rizike za sopstvene potrebe, a u skladu sa ovim standardom. U ovom standardu u taki 1 opisan je predmet, podruje primene i svrha procene rizika u zatiti lica imovine i poslovanja. U ovom standardu u taki 2 date su normativne reference koje su posluile kao osnova za izradu ovog standrda. U ovom standardu u taki 3 definisani su termini koji su vani za razumevanje procene rizika a nisu definisani u standardu SRPS A.L2.001 Drutvena bezbednost - Usluge privatnog obezbeenja Renik . U ovom standardu u taki 4 opisan je proces procene rizika kroz sledee faze: odreivanje konteksta problema, identifikacija potencijalnih opasnosti, analiza rizika, ocena rizika i tretman rizika. Posebna panja posveena je kontroli i reviziji donetih mera za tretman rizika kao i pripremi i izradi planova za primenu donetih mera. U cilju primene donetih mera u procesu donoenja odluka obraene su opcije za izvodljivost i analiza cena-korist. U ovom standardu u taki 5 definisani su zahtevi koje organizacija mora da uzme u obzir radi efektivne procene rizika. U ovom standardu u taki 6 razvijena je uputstvo za procenu rizika u zatiti lica, imovine i poslovanja, odnosno u privatnom obezbeenju, sa precizno definisanim kriterijumima i nainima izraunavanja nivoa rizika. Procena rizika omoguava organizaciji za privatno obezbeenje da izvri procenu u skladu sa zahtevima ovog standarda, za vlastite potrebe, za potrebe korisnika usluga privatnog obezbeenja i drugih interesnih strana, ukljuujui i osiguravae. Ovaj standard je logian, smisaoni i funkcionalan nastavak standarda SRPS A.L2.001 Drutvena bezbednost - Usluge privatnog obezbeenja - Renik i logiki, smisaono i funkcionalno prethodi standardima SRPS A.L2.002 Drutvena bezbednost - Usluge privatnog obezbeenja - Zahtevi i uputstvo za ocenjivanje usaglaenosti. Ovaj standard sadri Priloge A i I koji su informativni, i Priloge C, D, E, F, G, H, J K, L, M, N, O, P, R, S, T, U i V koji su normativni.
8
ISS
UvodNezavisno od vrste i veliine, organizacije se suoavaju sa rizicima koji mogu uticati na ostvarivanje njihovih, kako vizija i misija, tako i operativnih ciljeva.
Ovi ciljevi se mogu odnositi na razne organizacijske aktivnosti, od stratekih inicijativa, do operacija, procesa i projekata i mogu se ogledati u drutvenim, zatitnim, bezbednosnim i ishodima koji se odnose na okruenje, zatim u vidu komercijalnih, finansijskih i ekonomskih mera, drutvenim, kulturnim, politikim, kao i uticajima na reputaciju organizacije. Sve aktivnosti organizacije ukljuuju rizike kojima se mora upravljati. Da li organizacija vri i primenjuje procenu rizika i rezultate procene ugrauje u odluke o vrsti i nainu izvrenja privatnog obezbeenja govori o profesionalnosti pristupa problemu zatite lica, imovine i poslovanja. Proces procene rizika doprinosi efektivnosti odluivanja time to uzima u obzir neizvesnost i mogunost pojave buduih, nameravanih ili nenameravanih, dogaaja i okolnosti i njihovih uticaja na prihvaene viziju, misiju i ciljeve. Procena rizika ukljuuje primenu logikih i sistematinih metoda za: - komuniciranje i konsultacije tokom ovog procesa; - uspostavljanja organizacionog konteksta za identifikaciju, analizu, procenu, tretman i kontrolu rizika vezanih za bilo koju aktivnost, proizvod, funkciju ili proces i - adekvatno izvetavanje i arhiviranje u vezi sa rezultatima. Ovaj standard prepoznaje raznovrsnost i sloenost prirode i nivoa rizika vezanih za oblasti delovanja organizacija koje se bave privatnim obezbeenjem i prua konkretna uputstva i procedure za izraunavanje nivoa rizika. On posebno istie nain na koji bi organizacija trebala da shvata specifini kontekst u okviru kojeg primenjuje proces procene rizika. Svaka posebna aktivnost ili primena procene rizika nosi sa sobom posebne potrebe, interesne strane, zainteresovane strane, pristupe i kriterijume. Ovaj standard naroito stavlja akcenat na ukljuivanju odreivanja konteksta problema, kao kljune poetne aktivnosti procesa procene rizika. Ovim pristupom se obuhvata razliitost kriterijuma, kao i priroda i kompleksnost rizika i drugih inilaca koji moraju biti razmotreni i kojima se u svakom pojedinanom sluaju mora upravljati. Konano, svaka potencijalna opasnost koja nije u poetku prepoznata iz bilo kojeg razloga, nije obuhvaena procesom procene rizika i kao takva predstavlja konstantnu i skrivenu potencijalnu opasnost po tiene vrednosti. Takva potencijalna opasnost se ukljuuje u proces procene rizika odmah po identifikaciji. Sposobnost procene rizika je jedna od kljunih kompentencija svake organizacije i njenih zaposlenih. Organizacija ima bolju kontrolu svog rasta i razvoja kada se upravljanje rizicima primenjuje u celoj organizaciji. Sve organizacije trebale bi da se usmeravaju na najvii nivo performansi svog ustrojstva za procenu rizika, u nivou sa kritinou odluka koje treba doneti.
9
ISS PREDMET I PODRUJE PRIMENE 1.1 Opte odredbe Ovaj srpski standard utvruje zahteve i metodologiju procene rizika u uslugama privatnog obezbeenja koje su razvrstane, kategorisane i u smislu zahteva definisane u standardima SRPS A.L2.001 Drutvena bezbednost - Usluge privatnog obezbeenja - Renik i SRPS A.L2.002 Drutvena bezbednost - Usluge privatnog obezbeenja - Zahtevi i uputstvo za ocenjivanje usaglaenosti. Ovaj standard daje konkretna i precizna uputstva vezana za principe, proces i adekvatnu implementaciju rezultata procene rizika u funkciji donoenja odluka u oblasti zatite lica, imovine i poslovanja. Ovim se standardom, takoe, usklauju nain korienja i primena odredbi standarda SRPS A.L2.001 Drutvena bezbednost - Usluge privatnog obezbeenja Renik i SRPS A.L2.002 Drutvena bezbednost - Usluge privatnog obezbeenja - Zahtevi i uputstvo za ocenjivanje usaglaenosti, odnosno delova koji se odnose na menadment rizikom. 1.2 Podruje primene Podruja primene procesa procene rizika u procesu zatite lica, imovine i poslovanja mogu se odnositi na razliite nivoe delovanja od posebnih funkcija i nivoa, do celokupne organizacije. Ovaj srpski standard namenjen je sledeim korisnicima: - organizacijama koje pruaju usluge privatnog obezbeenja; - organizacijama koje koriste usluge privatnog obezbeenja; - organizacijama koje vrse procenu rizika za sopstvene potrebe - osiguravajuim drutvima; - onima koji interno ili eksterno u organizaciji vrednuju primenu zahteva standarda SRPS A.L2.002 Drutvena bezbednost - Usluge privatnog obezbeenja - Zahtevi i uputstvo za ocenjivanje usaglaenosti ili je proveravaju u pogledu usaglaenosti sa zahtevima standarda SRPS A.L2.002 Drutvena bezbednost - Usluge privatnog obezbeenja Zahtevi i uputstvo za ocenjivanje usaglaenosti; - onima kojima je potrebno da se meusobno razumeju upotrebljavajui terminologiju koja se koristi u oblasti privatnog obezbeenja; - onima koji interno ili eksterno pruaju savetodavnu ili edukativnu pomo organizaciji u vezi sa standardom SRPS A.L2.002 Drutvena bezbednost - Usluge privatnog obezbeenja - Zahtevi i uputstvo za ocenjivanje usaglaenosti koji odgovara toj organizaciji. NORMATIVNE REFERENCE Sledea normativna dokumenta, preporuke i standardi su korieni kao osnov za izradu ovog standard: 1. ISO/IEC Guide 73, Risk management - Vocabulary 2. ISO TC 223/SC: Upravljanje rizicima - Uputstvo o principima i implementaciji upravljanja rizicima 3. ISO 31000 - Risk management - Guidelines onprinciples and implementation of risk management, 4. International standard, IEC/FDIS 31010 Risk management - Risk assessment techniques 5. Srpski standard SRPS A.L2.001: Drutvena bezbednost - Usluge privatnog obezbeenja -Renik10
ISS6. Srpski standard SRPS A.L2.002: Drutvena bezbednost - Usluge privatnog obezbeenja -
Zahtevi i uputstvo za ocenjivanje usaglaenosti TERMINI I DEFINICIJE Za potrebe ovog srpskog standarda primenjuju se termini i definicije dati u standardu SRPS A.L2.001 Drutvena bezbednost - Usluge privatnog obezbeenja -Renik. Radi potpunog razumevanja procesa procene rizika, kao i jedinstvenog tumaenja i korienja termina i definicija neophodno je, pored datih termina i definicija u navedenom standardu, definisati i sledee: 1.3 Osnovni termini 3.1.1 uestalost ponavljane tetnog dogaaja u odreenoj vremenskoj jedinici ili izloenost tienih vrednosti (3.1.5) uticaju tetnog dogaaja u odreenoj vremenskoj jedinici 3.1.2 ranjivost osetljivost organizacije na uticaj potencijalnih opasnosti odnosno mera kvaliteta postojeeg stanja zatite (3.2.1) organizacije 3.1.3 kritinost mera vrednosti odnosno vanosti tiene vrednosti (3.1.5) za organizaciju odnosno osetljivosti organizacije na efekte delovanja tetnog dogaaja na tiene vrednosti (3.1.5) 3.1.4 teta mera oteenja tiene vrednosti (3.1.5)NAPOMENA: Za potrebe ovog standarda mera oteenja moe biti izraena u novanim jedinicama, broju povreda ljudi, broju izgubljenih ivota ili bilo kojoj drugoj veliini koja je pogodna za opisivanje konteksta problema posmatrane organizacije.
3.1.5 tiene vrednosti elementi organizacije od vitalnog znaaja za postojanje i funkcionisanje organizacije 3.1.6 negativan dogaaj potencijalna opasnost koja izaziva konkretne negativne posledice nad tienim vrednostima (3.1.5) 1.4 Termini koji se odnose na ljude ili organizacije izloene riziku 3.2.1 zatita skup konkretnih mera, radnji i aktivnosti koje preduzima organizacija radi efektivnog kontrolisanja mogunosti nastanka potencijalnih opasnosti 3.2.2 interesna strana, stejkholder bilo koji pojedinac grupa ili organizacija, koji potencijalno mogu da utiu na rizik ili mogu biti izloeni riziku, bilo prema vlastitom sudu ili sudu organizacije.NAPOMENA 1: Interesna strana moe biti donosilac odluke. NAPOMENA 2: Termin interesna strana (3.2.2) ima ire znaenje i obuhvata termin "zainteresovana strana" 11
ISSNAPOMENA 3: Interesne strane mogu biti spoljanje i unutranje
1.5 Termini koji se odnose na procenu rizika 3.3.1 odreivanje prioriteta razvrstavanje rizika prema nivou rizika (3.3.4) od najveeg prema najmanjem[SRPS A.L2.001]
3.3.2 kategorizacija rizika razvrstavanje rizika prema nivou rizika (3.3.4) u odreene kategorije u odnosu na odreeni kriterijum. NAPOMENA 1: Za potrebe ovog standarda koriste se kategroije 1. do 5. NAPOMENA 2: Naelno, u prvu kategoriju ulaze rizici sa najniim nivoom rizika a u petu sa najviim. 3.3.3 metodologija procene rizika skup uputstava, kriterijuma i naina za procenu rizika 3.3.4 nivo rizika brojna veliina odreena proizvodom stepena verovatnoe i stepena posledica 3.3.5 kombinacija rizika dejstvo dva ili vie rizika uzrokovanih istim ili razliitim potencijalnim opasnostima, na istu tienu vrednost (3.1.5), po mestu i vremenu 3.3.6 stepen verovatnoe brojna vrednost verovatnoe odreena prema metodologiji procene rizikaNAPOMENA: Odreivanje stepena verovatnoe u ovom standardu vri se prema metodologiji procene rizika koja je specifina za ovaj standard
3.3.7 stepen posledica brojna vrednost posledica odreena prema metodologiji procene rizikaNAPOMENA: Odreivanje stepena posledica u ovom standardu vri se prema metodologiji procene rizika koja je specifina za ovaj standard
3.3.8 menader rizika osoba sertifikovana od akreditovane organizacije za vrenje poslova procene rizika u zatiti lica, imovine i poslovanja 1.6 Termini koji se odnose na tretman i kontrolu rizika 3.4.1 revizija predstavlja ispitivanje realnosti procene rizika, odnosno istinitosti i objektivnosti zakljuaka dobijenih procenom rizikaNAPOMENA: Reviziju moe da vri struni organ menadmena organizacije ili struna eksterna organizacija ili organ, iskljuivo po nalogu top menadmenta, koji je odgovoran za primenu metodologije i realnost procene.
3.4.2 konsultacije12
ISS komunikacija o konkretnom riziku ili potencijalnoj opasnosti
13
ISS
DEO I PROCES PROCENE RIZIKA Proces procene rizika, radi primene u ovom standardu, obuhvata definisanje konteksta problema, analizu rizika, tretman rizika, kontrolu i reviziju i komunikacije i konsultacije. Da bi organizacija mogla da izvri efektivnu procenu rizika prethodno mora definisati kontekst problema a po zavrenoj proceni izvriti tretman rizika. Proces procene mora konstantno biti izloen kontroli i reviziji od strane menadmenta ali i od strane svih interesnih ili zainteresovanih strana, u procesu procene je neophodno odravati komunikacije i konsultacije sa spoljnim i unutranjim zainteresovanim stranama (Prilog A). Primenjivana i sprovoena u skladu sa ovim standardom, procena rizika treba da omogui organizaciji: - svest o potrebi procene rizika i tretmana rizika; - saglasnost sa relevantnim pravnim i regulatornim zahtevima i standardima; - pouzdanu i efektivnu osnovu za planiranje i donoenje odluka; - definicije kontrolnih mehanizama kojima se omoguava efektivno i efikasno donosenje odluka i planiranje; - efektivnu pripremu i korienje resursa za procenu rizika; - vei stepen primene mera zatite; - unapreeno korporativno upravljanje; - unapreeno finansijsko izvetavanje; - unapreena identifikacija ansi i potencijalnih opasnosti; - unapreena prevencija i suoavanje sa incidentima; - poboljana operativna efektivnost i efikasnost; - poveano poverenje kljunih zainteresovanih strana; - smanjenje gubitaka i - efikasno proaktivno upravljanje. 1.7 Svrha i prednosti Svrha izrade i donoenja ovog standarda je stvaranje uslova za donoenje efikasnih i efektivnih odluka u procesu zatite lica, imovine i poslovanja zasnovanog na sveobuhvatnoj proceni rizika. Procena rizika zahteva striktnu i odrivu primenu od strane menadmenta organizacije kao i strateko i precizno operativno planiranje. Menadment treba da: a) artikulie i odobri procenu rizika; b) obavesti sve interesne i zainteresovane strane o prednostima procene rizika; c) definie indikatore performansi (uspeha) procene rizika koji odgovaraju organizacionim performansama; d) osigura podudarnost mera ustanovljenih procenom rizika sa ciljevima i strategijom organizacije; e) obezbedi zakonitost i usaglaenost sa pravnim aktima i standardima i f) obezbedi raspodelu potrebnih resursa za potrebe procene rizika. 1.8 Principi procene rizika Da bi bila maksimalno efektivna i efikasna, procena rizika, koju primenjuju organizacije koje se bave zatitom lica, imovine i poslovanja, treba da se oslanja na sledee principe:14
ISSa) Kroz procenu rizika organizacija treba da stvara vrednosti Procena rizika treba da doprinese uoljivom postizanju ciljeva i unapreenju, na primer, efikasnosti operacija, zatite okoline, finansijskog uinka, korporativnog rukovoenja, bezbednosti i zdravlja na radu, kvalitetu proizvoda, saglasnosti sa pravnim i regulatornim zahtevima, drutvenog prihvatanja i reputacije. b) Procena rizika treba da bude integralni deo organizacionih procesa Procena rizika treba da bude deo rukovodeih dunosti i integralni deo uobiajenih organizacionih procesa, kao i projekata i procesa menjanja. Procena rizika ne bi trebalo da bude izdvojena aktivnost, odnosno ne bi smela da bide odvojena od glavnih organizacionih aktivnosti i procesa. c) Procena rizika treba da bude nezaobilazan deo procesa donoenja odluka Procenom rizika se mogu staviti u prioritetni plan aktivnosti i razlikovati alternativni pravci odvijanja aktivnosti. Procena rizika pomae ukljuenosti donosioca odluka u tok informacija. Konano, procena rizika je od koristi pri odluivanju o neprihvatljivosti rizika, kao i adekvatnosti i efektivnosti naina kontrole rizika. d) Procena rizika treba eksplicitno da se bavi neizvesnou Procena rizika se bavi onim aspektima odluivanja u organizaciji koje karakterie neizvesnost, bavi se prirodom te neizvesnosti i nainima na koje bi ona mogla biti tretirana. e) Procena rizika treba da bude sistematska i strukturirana Razliiti pristupi proceni rizika treba da osiguraju konzistentnost, uporedivost i pouzdanost rezultata, kao i njihovu proverljivost. f) Procena rizika treba da bude bazirana na najboljim dostupnim informacijama Ulazni podaci procesu procene rizika treba da budu bazirani na izvorima informacija kao to su iskustva, povratne informacije posmatranja, predvianja i miljenja eksperata. Donosioci odluka treba da budu upozoreni na ogranienja upotrebljenih podataka i njihovu verodostojnost, naina njihove obrade ili mogunost postojanja razliitih vienja eksperata, to mora de se uzme u obzir u procesu donoenja odluke. Organizacija treba da koristi podatke koji su javno publikovani i podatke koje poseduju javne slube. g) Procena rizika mora da bude prilagoena Procena rizika mora da odgovara spoljanjim i unutranjim organizacionim kontekstima. h) Procena rizika mora da uzme u obzir ljudski faktor Procenom rizika mora da budu uoene i prepoznate mogunosti, percepcije i namere ljudi izvan i unutar organizacije, koji bi mogli olakati ili oteati ostvarivanje ciljeva organizacije. i) Procena rizika treba da bude transparentna i otvorena za sugestije Odgovarajuim i pravovremenim ukljuivanjem bitnih zainteresovanih strana i, posebno, donosilaca odluka sa svih nivoa organizacije, trebala bi biti osigurana relevantnost i aurnost procesa procene rizika. Ukljuenost, takoe, omoguava interesnim stranama da budu na pravi nain zastupljeni i da njihova miljenja budu uzeta u obzir prilikom odreivanja kriterijuma rizika i prihvatljivog nivoa rizika. j) Procena rizika treba da bude dinamina, ciklina i spremna da odgovori na sve vrste promena Nastupanjem internih i eksternih dogaaja, kontekst i saznanja se menjaju, pristupa se kontroli i reviziji, neki rizici se pojaavaju i izbijaju na povrinu, dok se drugi umanjuju. Organizacija mora da obezbedi proces procene rizika, koji e biti u stanju da kontinuirano detektuje i odgovara na promene. k) Mora postojati stalna sposobnost unapreivanja i dorade procesa procene rizika Organizacije bi trebale razviti strategije unapreivanja zrelosti svojih procesa procene rizika, paralelno sa svim drugim aspektima organizacije.
15
ISS 1.9 Odgovornosti Organizacija mora da definie odgovornost i ovlaenje za upravljanje rizicima, adekvatnost i efektivnost kontrole rizika, primenu kao i odrivost procesa procene rizika. Ovo se moe ostvariti: a) primenom odgovarajuih mehanizama priznanja, nagrada, pohvala i sankcija; b) uspostavljanjem metrike rezultata i internog i /ili eksternog izvetavanja o napretku; c) specifikovanja nosioca rizika ili kategorija rizika u cilju primene mera tretmana rizika, odravanja kontole rizika i internog izvetavanja o relevantnim informacijama o riziku i d) specifikovanjem odgovornosti za razvoj, primenu i odravanje koncepta procene rizika. 1.10 Resursi Organizacija mora da primenjuje praktine metode i sredstva za realizaciju procesa procene rizika, ukljuujui raspodelu odgovarajuih resursa za proces procene rizika. Procena rizika mora da obuhvati sledee: a) dokumentovane procese i procedure; b) informatiku podrku; c) ljudske resurse i d) ostale resurse neophodne za svaku fazu procesa procene rizika. 1.11 tiene vrednosti tiene vrednosti organizacije su: a) nominalne (poslovanje, bezbednost) b) nenominalne (regulativno/pravne norme, ugled i interesne strane) Oblasti koje obuhvataju tiene vrednosti su prikazane u Prilogu B, tabela B.1. 1.12 Razumevanje organizacije i njenog okruenja Pre pristupanja izradi i primeni koncepta procene rizika, vano je razumeti i spoljanje i unutranje okruenje organizacije zbog njihovog znaajnog uticaja na izradu koncepta. Aspekti spoljanjeg okruenja organizacije koji mogu biti uzeti u razmatranje obuhvataju: - kulturno, politiko, pravno, finansijsko, ekonomsko i konkurentsko okruenje, meunarodno, nacionalno ili regionalno; - kljune inioce i trendove koji utiu na ciljeve organizacije i - percepciju i vrednosti interesnih i zainteresovanih strana. Takoe je bitno razumeti organizaciju u odnosu na: - vlastite mogunosti i snage, u smislu resursa i znanja (kapital, ljudi, kompetencije, procesi, sistemi i tehnologije); - protok informacija i procesa donoenja odluka; - unutranje zainteresovane strane; - ciljeve i strategije za njihovo ostvarivanje; - percepciju, vrednost i kulturu; - politiku i procese; - standardne referentne modele usvojene od strane organizacije i - strukture (upravljanje, uloge i odgovornosti) 1.13 Uspostavljanje interne komunikacije i mehanizama izvetavanja Potrebno je da organizacija uspostavi internu komunikaciju i mehanizme izvetavanja da bi obezbedila da relevantne informacije nastale primenom procesa procene rizika budu dostupne16
ISS odgovarajuim nivoima u organizaciji kao osnova za proces donoenja odluka i podrka u ostvarivanju organizacionih ciljeva. Ovi mehanizmi treba da obuhvate procese za prikupljanje informacija o riziku u koje e biti ukljueni razni izvori u organizaciji uzimajui u obzir njihovu osetljivost. U proces komunikacije moraju biti ukljueni svi nivoi menadmenta kao i zaposlenih. 1.14 Uspostavljanje eksterne komunikacije i mehanizama izvetavanja Potrebno je da organizacija razvije i primeni plan tako da se obezbedi komunikacija sa eksternim zainteresovanim stranama. Ovo treba da ukljui: a) komunikaciju sa zainteresovanim stranama u sluaju krize ili tetnog dogaaja; b) angaovanje odgovarajuih eksternih interesnih strana i omoguavanje efektivne razmene informacija; c) interno i eksterno izvetavanje na zakonit, pravno osnovan nain i pod mandatom organa upravljanja; d) interno izvetavanje o uticaju koncepta procene rizika na odnos sa interesnim stranama, njegovoj efektivnosti i rezultatima; e) dostupnost informacija u skladu sa zakonom; f) obezbeivanje povratne informacije u komunikacijama i g) korienje komunikacija radi osiguranja transparentnosti i izgradnje poverenja u organizaciji. 1.15 Odreivanje konteksta Odreivanje konteksta problema je poetna i kljuna faza u procesu procene rizika i organizacija mora da je uzme u obzir. U odreivanju konteksta problema organizacija treba da uzme u obzir take 4.5 do 4.8 ovog standarda. 4.9.1 Opte napomene Preporuuje se da proces procene rizika bude usklaen sa kulturom, procesima i strukturom organizacije. Ne preporuuje se primena ablona u definisanju i realizaciji procesa procene rizika. Odreivanjem konteksta utvruju se osnovne karakteristike organizacije za procenu rizika i postavlja obim i kriterijumi za ostatak procesa. Kontekst moe sadrati i unutranje i spoljanje parametre relevantne za organizaciju. 4.9.2 Odreivanje konteksta procesa procene rizika Organizacija treba da ustanovi ciljeve, strategije, obim i parametre aktivnosti organizacije ili onih njenih delova u kojima se primenjuje proces procene rizika. Procena rizika treba da se preduzme sa punim uvaavanjem potrebe da se opravdaju izvori upotrebljeni u sprovoenju procene rizika. Potrebni resursi, odgovornosti i ovlaenja treba da budu specifikovani do najsitnijh detalja koji omoguavaju sprovoenje detaljne i sveobuhvatne procene. Kontekst procesa procene rizika moe varirati u odnosu na potrebe organizacije koja vri usluge privatnog obezbeenja ili organizacije koja trai usluge privatnog obezbeenja. Moe ukljuivati, ali nije ogranien na: - odreivanje odgovornosti; - odreivanje dubine i irine aktivnosti procene rizika koje treba da se sprovedu; - odreivanje obima projekta, procesa, funkcija ili aktivnosti u pogledu vremena i lokacije; - definisanje projekta, procesa, funkcija, aktivnosti i njihovih ciljeva i predmeta;17
ISS - odreivanje odnosa izmeu odreenog projekta ili aktivnosti i drugih projekata ili aktivnosti organizacije; - odreivanje metodologije procene rizika; - utvrivanje naina na koji se procenjuje uinak procene rizika; - identifikovanje i specifikovanje odluka koje treba da se donesu i - identifikovanje neophodnih studija okvira i obima, njihovog opsega, ciljeva i resursa neophodnih za takvu studiju. Obraanje panje na ove i druge relevantne faktore treba da pomogne da se obezbedi da usvojen pristup procene rizika bude adekvatan i proporcionalan situaciji organizacije i rizicima koji utiu na postizanje ciljeva, a u skladu sa zahtevima iz take 5 ovog standarda. 4.9.3 Odreivanje spoljanjeg konteksta Spoljanji kontekst podrazumeva sve faktore izvan organizacije koji mogu ostavriti uticaj na ciljeve. Razumevanje spoljanjeg konteksta je vano kako bi se osiguralo da spoljanje interesne strane, njihovi ciljevi i interesi budu razmotreni pri razvijanju kriterijuma rizika. On se zasniva na kontekstu cele organizacije, ali sa specifinim detaljima zakonskih i regulatornih uslova, shvatanja interesnih strana i drugih aspekata rizika, specifinih za podruje primene procesa procene rizika. Spoljanji kontekst moe da ukljui, ali nije ogranien na: - kulturnu, politiku, pravnu, regulatornu, finansijsku, ekonomsku i konkurentsku sredinu, bilo internacionalnu, nacionalnu ili regionalnu; - kljune pokretae i trendove koji imaju uticaj na ciljeve organizacije; - percepcije i vrednosti spoljanjih zainteresovanih strana. Prilikom definisanja spoljanjeg konteksta organizacija treba da uoi i spoljne faktore koji predstavljaju aktivnost razliitih subjekata, dogaaja ili pojava, a fiziki se ne nalaze u krugu ili prostorijama organizacije. Spoljni faktori mogu biti: a) makrolokacija; b) mikrolokacija; c) konkurencija i d) istorija tetnih dogaaja. Spoljnje faktore koje je organizacija determinisala kao uticajne u definisanju konkretnog konteksta mora da posmatra u odnosu na zahteve definisane u taki 5. ovog standarda. Faktori koji nisu procenjeni kao aktuelni za korisnika usluga se izostavljaju. 4.9.4 Odreivanje unutranjeg konteksta Unutranji kontekst podrazumeva sve inioce unutar organizacije koji mogu ostvariti uticaj na nain na koji organizacija vri procenu rizika. Treba da bude utvren jer: - veliki rizik za neke organizacije znai neuspeh u postizanju stratekih, projektnih i poslovnih ciljeva i rizik utie na tekue organizaciono angaovanje, kredibilitet i vrednosti; - ciljevi i kriterijumi odreenog projekta ili aktivnosti treba da se razmotre u svetlu ciljeva organizacije kao celine; - procena rizika se realizuje u kontekstu ciljeva organizacije i
18
ISS postojanje velikih rizika stvara konfuziju u radu organizacije na svim poljima delovanja.-
Organizacija treba da shvati unutranji kontekst u pogledu: - sposobnosti, shvaene u smislu resursa znanja (npr. kapital. ljudi, strunost, procesi, sistemi i tehnologije) - protoka informacija i procesa donoenja odluka; - unutranjih zainteresovanih strana; - ciljeva i strategija za njihovo dostizanje; - politika i procesa; - standarda i referentnih modela usvojenih od strane organizacije i - strukture (npr. rukovoenje, uloge i odgovornosti). Prilikom definisanja unutranjeg konteksta organizacija treba da uoi i unutranje faktore koji predstavljaju aktivnost razliitih subjekata, dogaaja ili pojava, a fiziki se nalaze u krugu ili prostorijama organizacije. Unutranji faktori mogu biti: a) istorija tetnih dogaaja; b) veliina organizacije; c) nain organizovanja; d) nain i stepen zatite; e) delovanje zaposlenih i f) delovanje interesnih strana. Unutranje faktore koje je organizacija determinisala kao uticajne u definisanju konkretnog konteksta mora da posmatra u odnosu na zahteve definisane u taki 5. ovog standarda. Faktori koji nisu procenjeni kao aktuelni za korisnika usluga organizacija moe da izostavi. 1.16 Procena rizika 4.10.1 Opte napomene Procena rizika je, u uem smislu, sveobuhvatni proces identifikovanja potencijalnih opasnosti, analize i ocene rizika. 4.10.2 Identifikovanje potencijalnih opasnosti Identifikovanje potencijalnih opasnosti podrazumeva identifikaciju aktivnosti, dogaaja ili subjekata koji su relevantni za ciljeve navedene u taki 4 ovog standarda. Organizacija treba da identifikuje izvore rizika, dogaaje ili niz okolnosti, kao i njihove potencijalne posledice. Cilj ovog koraka je sastavljanje sveobuhvatne liste potencijalnih opasnosti zasnovanih na onim dogaajima i okolnostima koje mogu pomoi, spreiti, umanjiti ili usporiti ostvarivanje ciljeva. Sveobuhvatna identifikacija i registrovanje potencijalnih opasnosti koje mogu rezultirati negativnim posledicama je od sutinske vanosti, jer potencijalna opasnost koja u ovom stadijumu nije identifikovana ostaje neobuhvaena daljom analizom. Identifikacija treba da ukljui sve potencijalne opasnosti bez obzira da li su pod kontrolom organizacije ili nisu, bez obzira da li su u datom momentu aktuelne ili ne. Organizacija treba da primeni niz alata i tehnika za identifikovanje rizika koje odgovaraju njenim ciljevima i mogunostima, kao i riziku sa kojim se organizacija suoava. U identifikovanju potencijalnih opasnosti veoma su bitne relevantne i aurirane informacije. To se odnosi i na odgovarajue prethodne informacije o riziku, ukoliko je mogue doi do informacija takve vrste. Eksperti koji imaju odgovarajue znanje bi takoe trebalo da budu19
ISS ukljueni u identifikovanje potencijalnih opasnosti. Nakon identifikovanja onoga ta bi moglo da se desi, neophodno je uzeti u razmatranje i uzroke i scenarije koji pokazuju do kakvih posledica moe doi. Svi uzroci treba da budu uzeti u razmatranje. Pri identifikovanju potencijalnih opasnosti, takoe je vano uzeti u razmatranje i potencijalne opasnosti koji su u vezi sa neiskorienim prilikama. 4.10.3 Analiza rizika Analiza rizika se odnosi na razumevanje potencijalnih opasnosti. Analiza rizika obuhvata razmatranje uzroka i izvora potencijalnih opasnosti, njihovih pozitivnih i negativnih posledica, kao i verovatnou pojavljivanja potencijalnih opasnosti. Potencijalne opasnosti se analiziraju tako to se odreuju posledice i verovatnoa njihovog nastanka, kao i ostale bitne osobine (prilog S). Dogaaj ili niz okolnosti mogu imati viestruke posledice i mogu uticati na vei broj ciljeva. Takoe, u razmatranje treba uzeti postojeu kontrolu rizika i njenu efikasnost. Analiza rizika prua ulaznu informaciju o oceni rizika i odlukama da li prema rizicima treba da se preduzimaju mere i koje su to odgovarajue (najprihvatljivije) strategije u tretiranju rizika. Nain na koji su verovatnoa nastanka potencijalnih opasnosti i njihovih posledica izraeni i nain na koji se oni kombinuju u cilju ocenjivanja stepena rizika varirae u zavisnosti od vrste opasnosti i svrhe u koje e se izlazna informacija o proceni rizika koristiti. Svi elementi moraju biti analizirani u skladu sa kriterijumom za analizu rizika propisanim u ovom standardu. Takoe je vano razmotriti meuzavisnost razliitih opasnosti, rizika i njihovih izvora. Bezbednost u ocene rizika i njihova osetljivost na preduslove i pretpostavke mora da budu razmotreni u analizi i da efektivno budu preneti donosiocima odluka i ostalim interesnim stranama ukoliko se to zahteva. Faktori, poput razmimoilaenja u miljenjima eksperata ili ogranienja modelima treba da budu jasno predoeni, a moda ak i naglaeni. Analizi rizika se treba prii sa razliitim stepenom detaljnosti koji zavisi od vrste opasnosti, svrhe analize i informacija, podataka i izvora koji su dostupni. Analiza se moe podeliti na kvalitativnu, polu-kvantitativnu i kvantitativnu, ili njihovu kombinaciju u zavisnosti od okolnosti. U praksi, kvalitativna analiza se esto primenjuje prva u cilju dolaenja do opte indikacije veliine opasnsoti i otkrivanja najveih opasnosti. Gde god je to mogue i odgovarajue, treba da se izvri i odreenija, kvantitativna analiza rizika kao sledei korak. Bez obzira koja se vrsta analize primeni mora se izvriti kvantifikacija stepena rizika. Posledice se mogu odrediti izradom modela ishoda nekog dogaaja ili niza dogaaja, ili ekstrapolacijom iz eksperimentalnih prouavanja ili iz dostupnih podataka. Posledice se mogu izraziti u vidu odreenih i neodreenih uticaja. U nekim sluajevima, neophodno je raspolagati sa vie od jedne numerike ili opisne vrednosti da bi se precizirale posledice za razliita vremena, mesta, grupe ili situacije. 4.10.4 Ocena rizika Cilj ocene rizika je pomo u donoenju odluka na osnovu rezultata analize rizika o tome kojim se rizicima treba baviti i o prioritetima tretmana rizika. Ocena rizika obuhvata poreenje stepena rizika koji su pronaeni u toku procesa analize i kriterijuma za rizike koji su utvreni u toku razmatranja itavog konteksta. Ciljevi organizacije i opseg okolnosti do kojih moe doi takoe treba da budu razmatrani. U situacijama gde treba da se napravi izbor izmeu opcija, on e zavisiti od konteksta organizacije.
20
ISS Odluke treba da uzmu u obzir iri kontekst rizika i ukljue razmatranje tolerancije rizika koje su pronale druge organizacije, a od kojih organizacija ima koristi. Odluke takoe mora da uzmu u obzir zakonska ogranienja. Ukoliko stepen rizika ne zadovolji kriterijum za rizike (prihvatljive rizike), onda se tim rizikom treba baviti (rizik bi trebalo da bude razmatran-tretiran). U nekim uslovima, ocena rizika moe dovesti do odluke o nastavku dalje analize. Ocena rizika moe takoe voditi i ka odluci o tome da se rizik dalje ne ublaava ni na koji drugi nain osim realizacijom postojee kontrole rizika. Ova odluka e zavisiti od uticaja sklonosti organizacije ka riziku i postavljenih kriterijuma za rizike. 1.17 Tretman rizika 4.11.1 Opte napomeneTretman rizika podrazumeva izbor jedne ili vie opcija za postupanje sa rizikom i primenu tih opcija.
Tretman rizika moe ukljuiti i ciklian proces ocenjivanja tretmana rizika, zakljuivanja da preostale (rezidualne) rizike nije mogue tretirati, stvaranje nove opcije tretiranja rizika i procenjivanje njihovih efekata do postizanja odgovarajueg stepena preostalog rizika koji organizacija moe da umanji prema kriterijumu za rizike. 4.11.2 Izbor opcija za tretman rizika Izbor odgovarajue opcije za tretman rizika obuhvata balansiranje trokova i napora u primeni opcije i koristi koja se moe iz toga izvui. Veliki broj opcija za tretman rizika moe biti razmatran i primenjen pojedinano ili u kombinaciji. Organizacija moe imati koristi od usvajanja kombinacije opcija za tretman rizika. Odluke treba da uzmu u obzir retke rizike koji rezultiraju ozbiljnim posledicama, koji mogu opravdati akcije tretiranja rizika koje nisu opravdani finansijskim trokovima. Pravni i regulatorni zahtevi i drutvena odgovornost prevazilaze finansijske trokove analize korisnosti. Opcije tretiranja rizika treba da razmotre vrednosti i percepcije interesnih strana i koji su to odgovarajui naini komunikacije sa njima. Gde god opcije tretiranja rizika mogu imati uticaj na rizik u organizaciji, ove oblasti moraju biti ukljuene u odluku. Iako moda podjednako efektivne, neke opcije tretiranja rizika mogu biti prihvatljivije za interesne strane od drugih. Ukoliko su resursi za tretman rizika ogranieni, plan tretiranja rizika treba da jasno identifikuje redosled prioriteta po kome e pojedinane opcije tretiranja rizika biti primenjene. Puni trokovi nepreduzimanja akcije treba da se uporede sa budetskom utedom. Sam tretman rizika moe dovesti do rizika. Veliki rizik moe biti i neuspeh ili neefikasnost mera za tretman rizika. Nadgledanje primene mera bi trebalo da bude sastavni deo plana za tretman rizika kako bi se proverilo da li su mere efektivne. Proces tretiranja rizika moe takoe dovesti i do sekundarnih rizika koje treba proceniti, umanjiti, nadgledati i izvriti njihovu reviziju. Ovi sekundarni rizici treba da budu ugraeni u isti plan za tretiranja rizika kao i oni prvobitni rizici i ne treba se njima baviti kao novim rizicima. Takoe, treba da bude identifikovana povezanost izmeu dva rizika. Nakon tretiranja rizika, donosioci odluka i zainteresovane strane moraju biti obazrivi to se tie prirode i stepena preostalog rizika. Preostali rizik treba da bude dokumentovan i podloan kontroli i reviziji, a gde je to pogodno, i daljem tretmanu u skladu sa novim okolnostima. 4.11.2.1 Opcije za ublaavanje rizika
21
ISS Opcije tretiranja rizika ne iskljuuju obavezno jedna drugu, a takoe nisu primenljive u svim okolnostima. Opcije ukljuuju sledee: a) izbegavanje rizika tako to se nee poeti ili nastaviti sa aktivnou koja e dovesti do pojave rizika; b) traenje mogunosti tako to e se poeti ili nastaviti sa aktivnou koja moe dovesti do rizika ili ga odrati; c) ostvarivanje uticaja na verovatnou; d) ostvarivanje uticaja na posledice; e) podelu rizika sa jo jednom ili sa vie strana i f) zadravanje rizika, svesnim izborom ili nesvesno. 4.11.2.2 Opcije za izvodljivost Svaka opcija za tretman rizika treba da bude uzeta u obzir po etapama procene rizika. Analiza svake opcije mora uzeti u obzir i cenu kotanja izmene procedura ili proizvoda (usluga) u skladu sa merama za tretman rizika. Analizu izvodljivosti treba da izvedu struni finansijski organi, a rezultate analize da dostave donosicu odluka. 4.11.2.3 Analiza cena-korist Analiza cena / korist je poslednji korak u provoenju procene rizika obzirom na preduzete strategije za tretman rizika. Potrebno je utvrditi kolika je stvarna cena kotanja implementacije predloenih opcija za tretman rizika i odrediti veliinu finansijskih i drugih trokova koji nastaju primenom predloenih mera. Analizu treba da izvedu struni finansijski organi, a rezultate analize da dostave donosicu odluka. 1.18 Kontrola i revizija Svi elementi procesa procene rizika moraju da budu izloeni stalnoj kontroli i reviziji. Procena rizika rezultira odreivanjem mera za tretman rizika koje treba da pomognu donosiocu odluka da kanalie budue aktivnosti organizacije. Realizacija odluke pretpostavlja postojanje plana za tretiranje rizika i implementaciju mera na svim nivoima upravljanja. Cilj planova tretiranja rizika je registrovanje naina na koji e odabrane opcije tretiranja biti primenjene. Informacija koja ulazi u planove tretiranja rizika moe da ukljui: a) osobe koje su odgovorne za odobravanje plana i osobe koje su odgovorne za primenu plana; b) predloene akcije; c) mere delovanja i ogranienja; d) zahteve za nadgledanje i izvetavanje; e) zahteve izvora; f) oekivanu korist i g) vremensko usklaivanje. Planovi tretmana rizika treba da budu integrisani u upravljake procese organizacije i o njima bi trebalo razgovarati sa odgovarajuim interesnim stranama.Kontrola i revizija treba da omogue: a) da se adekvatno upotrebe rezultati analiza i pouke izvuene iz dogaaja, promena i
trendova; b) detektovanje promena u spoljnjem i unutranjem kontekstu, ukljuujui promene samog rizika koje mogu zahtevati preispitivanje opcija tretmana rizika i prioriteta tretmana rizika c) proveravanje da li su mere kontrole rizika i tretmana efektivne i u planovima i u realizaciji.22
ISS Stvarni napredak u primeni planova za tretman rizika pokazuje mera dostignua i moe biti ugraena u upravljanje radom organizacije, merenje i aktivnosti unutranjeg i spoljnjeg izvetavanja. Kontrola i revizija mogu ukljuivati redovne provere ili kontrole onoga to je ve prisutno, moe biti periodino ili iznenada u skladu sa procenom menadmenta. Oba aspekta treba da budu planirana. Nije dovoljno oslanjati se samo na povremene revizije i kontrole. Rezultati kontrole i revizije treba da budu registrovani i poslati interno i spolja u vidu izvetaja kada je to potrebno i mogu se takoe koristiti kao ulazne informacije za reviziju koncepta upravljanja rizicima u procesu upravljanja organizacijom. Odgovornosti za nadgledanje i reviziju treba da budu jasno definisane. 1.19 Registrovanje procesa procene rizika Organizacija mora da uspostavi mogunost beleenja aktivnosti procene rizika, u skladu sa pozitivnim propisima. U procesu procene rizika, arhiva predstavlja osnovu za usavravanje metoda, alata, kao i celokupnog procesa. Arhiviranje dokumenata vezanih za procenu rizika treba praktikovati u klasinom i elektronskom obliku. Neophodnost beleenja i postojanja arhive vezana je za potrebu izvetavanja, redovnog ili vanrednog i analiza. Organizacija, neprekidnosg beleenja procesa procene rizika mora da koristi obrazac propisan ovim standardom (Prilog R). Radni list procene rizika (Prilog R) organizacija je duna da pokae kontrolnom telu na njegov zahtev. Odluke o sastavljanju arhiva treba da uzmu u obzir: a) koristi od ponovnog korienja informacija za ciljeve upravljanja; b) trokove i napore uloene u sastavljanje i uvanje arhive; c) pravne, regulatorne i operativne potrebe arhive; d) metod pristupa, ponovnog pronalaenja i skladitenja medija; e) period uvanja i f) osetljivost informacija. 1.20 Informatika podrka procene rizika Organizacija koja vri pruanje usluga mora da poseduje informatiku opremu sa adekvatnim softverom pomou kojeg moe da vri primenu metodologije za procenu rizika, na obrascima i na nain koji su propisani ovim standardom. Nain uvanja obrazaca kao i nivo proverljivosti moraju biti takvi da nisu dvosmisleni i da se u svakom momentu mogu prikazati kontrolnom telu prema propisanoj proceduri. 1.21 Metode i alati za procenu rizika Za potrebe procene rizika, a u zavisnosti od sloenosti organizacije, organizaciji koja vri procenu rizika, preporuuje se da primeni jednu ili kombinaciju sledeih metoda:A. Faza identifikacije pretnji
1. Preliminarna matrica rizika opis ranjivih taaka i "uskih grla", reprezentovanje izloenosti organizacije rizicima i potencijalne efekte na resurse organizacije; 2. Analiza cena-korist; 3. Studije izvodljivosti; 4. Studija potencijalnih opasnosti i operativnosti; 5. Analiza frekvencije i jaine rizika omoguava skeniranje potencijalnih rizika; 6. "Brainstorming" ili "oluja mozgova" razmena miljenja ljudi razliitih profila o riziku i23
ISS7. Analiza postojee evidencije ili zapisa o dogaajima, kao izvor informacija koristiti
javne slube, zaposlene, interesne strane, polise osiguranja. B. Faza analize rizika 1. Analiza stabla greaka; 2. Analiza uzrok-posledica; 3. Stablo rizika od greaka upravljanja; 4. Tehnike upravljanja bezbednou organizacije; 5. Metoda "go to"; 6. Markovljev model; 7. Analiza ta-ako.C. Faza ocene rizika 1. Analiza stabla dogaaja; 2. Analiza stabla greaka;
3. Analiza 5 zato". D. 1. 2. 3. Faza tretmana rizika Analiza opcija za ublaavanje rizika; Analiza izvodljivosti i Analiza cena-korist.
DEO II USLUGE PRIVATNOG OBEZBEENJA - PROCENA RIZIKA - ZAHTEVI 1.22 Opte odredbe U ovom standardu zahtevi za pruanje usluga procene rizika u zatiti lica, imovine i poslovanja su kvantitativni i kvalitativni, u zavisnosti od toga na koji nain ih mogu ocenjivati kontrolna tela za ocenjivanje usaglaenosti organizacija, odnosno akreditovane organizacije za ocenjivanje usaglaenosti osoba. U sluaju da organizacija koja prua ili koristi usluge privatnog obezbeenja angauje drugu organizaciju za pruanje usluga procene rizika u zatiti lica, imovine i poslovanja, neophodno je da i angaovana organizacija ispunjava zahteve ovog standarda. Za naznaavanje zahteva kojih se korisnik ovog standarda mora strogo pridravati i od kojih nikakvo odstupanje nije dozvoljeno, koriste se izrazi "mora da" i "ne sme". Za naznaavanje zahteva ija je primena preporuljiva, ali se izriito ne zahteva, koristi se izraz: "preporuuje se da" . Za naznaavanje zahteva ija se primena doputa, koristi se izraz: "moe da". 1.23 Zahtevi koji se odnose na usluge procene rizika u zatiti lica, imovine i poslovanja Procena rizika je sveukupan proces identifikacije, analize i ocene rizika.NAPOMENA 1 Procena rizika ukljuuje proces identifikovanja unutranjih i spoljanjih pretnji i ranjivosti, identifikovanja verovatnoe dogaaja sa porastom takvih pretnji i ranjivosti, definisanja kljunih funkcija potrebnih za kontinuitet operacija organizacije, definisanja kontrole na mestu potrebnom za smanjenje izloenosti i evaluaciju trokova takve kontrole. NAPOMENA 2 Ovi zahtevi se odnose na organizaciju koja prua usluge procene rizika u zatiti lica, imovine i poslovanja i organizacije koje vre procenu rizika za sopstvene potrebe.
1.23.1 Opti zahtevi za organizaciju Organizacija koja prua usluge procene rizika u zatiti lica, imovine i poslovanja, ili vri procenu rizika za sopstvene potrebe, mora da:24
ISSa) b) c)
d) e) f)
ispunjava sve zakonske propise, primenljive na oblast delovanja organizacije se osigura od odgovornosti za tetu koja bi mogla nastati u njenom radu poseduje informatiku opremu i odgovarajui softver, koji obezbeuju nesmetanu, pravilnu i sistematinu upotrebu obrazaca i alata za procenu rizika propisanih u ovom standardu, i evidencije oprocesu procene rizika koristi dostupne evidencije, saznanja i baze podataka nadlenih organa o rizicima imenuje sertifikovanu osobu na poslovima menadera rizika u proceni rizika obuhvati sledee grupe rizika: opti poslovni rizici; rizici po bezbednost i zdravlje na radnom mestu i u radnoj okolini; pravni rizici; rizici od protivpravnog delovanja eksternihh subjekata; rizici od protivpravnog delovanja internih subjekata; rizici od poara rizici od elementarnih nepogoda i drugih nesrea.
Organizaciji se preporuuje da, u proceni rizika, obuhvati i sledeu grupu rizika: g) rizici od neusaglaenosti sa standardima. 1.23.2 Zahtevi za kvalifikovanost menadera rizika Osoba koja vri poslove menadera rizika mora da poseduje odgovarajue kvalifikacije, kao i dokaze za navedeno: a) najmanje tri godine radnog iskustva na poslovima obezbeenja i visoku strunu spremu iz naunih oblasti srodnih poslovima koji se obavljaju pri pruanju usluga obezbeenja b) savladan program strune obuke za procenu rizika u zatiti lica, imovine i poslovanja c) sertifikat o kompetentnosti (licencu) za procenu rizika u zatiti lica, imovine i poslovanja, koju izdaje akreditovana organizacija d) da ispunjava zakonom predviene uslove za bavljenje ovom delatnou e) ima dravljanstvo Republike Srbije f) zdravstvenu sposobnost u skladu sa zakonom. Preporuuje se da osoba koja vri poslove mendera rizika poseduje sledee kvalifikacije, kao i dokaze za navedeno: g) poznavanje najmanje jednog stranog jezika. h) poslediplomsko specijalistiko usavravanje iz oblasti bezbednosti, odnosno oblasti srodnih poslovima koji se obavljaju pri pruanju usluga obezbeenja lica, imovine i poslovanja i) ima poloen struni ispit za radnike koji rade na poslovima zatite od poara j) ima poloen struni ispit za obavljanje poslova bezbednosti i zdravlja na radu 1.24 Zahtevi za procenu optih poslovnih rizika Pri proceni optih poslovnih rizika organizacija mora da utvrdi da li kod korisnika postoji mogunost nastupanja negativnih posledica po osnovu: a) postojanja miljenja nadlene institucije o bonitetu (same organizacije, poslovnih partnera i drugih zainteresovanih strana) Nacionalna napomena: Metodologija Centra za bonitet Narodne banke Srbije25
ISS 1.25 Zahtevi za procenu rizika po bezbednost i zdravlje na radu i u radnoj okolini Pri proceni rizika po bezbednost i zdravlje na radnom mestu i u radnoj okolini organizacija mora da utvrdi da li kod korisnika postoji: a) Postojanje pravne, organizacijske i planske regulative iz oblasti bezbednosti i zdravlja na radnom mestu i u radnoj okolini; b)c)
Opremljenost odgovarajuom zatitnom opremom i osposobljenost ljudskih resursa za sprovoenje zakonske regulative iz oblasti bezbednosti i zdravlja na raduObavezno socijalno osiguranje zaposlenih od povrede na radu i profesionalnih oboljenja, dodatno osiguranje
Nacionalna napomena: Zakon o bezbednosti i zdravlju na radu 1.26 Zahtevi za procenu pravnih rizika Pri proceni pravnih rizika organizacija mora da utvrdi da li kod korisnika postoji mogunost nastupanja negativnih posledica po osnovu postojanja: a) unutranje normativne regulativa kojom se predvia procedura proglaavanja odreenih dokumenata za poslovnu tajnu i uvode adekvatne metode za zatitu tajnosti poslovnih podataka; b) pravilnika o sistematizaciji radnih mesta koji propisuje odgovarajua radna mesta u ijem delokrugu se nalaze poslovi vezani za uvanje poslovne tajne i zatitu korisnika od industrijske pijunae i drugih rizika poslovanja; c) unutranje regulative kojom se predvia disciplinska odgovornosti lica zbog nesavesnog poslovanja i/ili nepotovanja internih procedura u oblasti bezbednosti lica, imovine i poslovanja koje su prouzrokovale ili mogle da prouzrokuju negativne imovinske ili neimovinske posledice po korisnika; d) interne regulative kojom se predvia nadlenost u oblasti nadzora i kontrole zakonitosti poslovanja, potovanja internih procedura od strane zaposlenih i odgovornih lica i sprovoenja mera za prevenciju i tretiranje rizika; e) internih procedura za monitoring realizacije poslovnih ugovora i prevenciju nastanka imovinske tete usled zakljuenja nepovoljnih poslovnih aranmana; f) adekvatnog praenje sudskih, upravnih i drugih sporova i postupaka koje korisnik vodi; g) adekvatanog sistem unutranje zatite od rizika kriminalnog delovanja i rizika nelojalne poslovne konkurencije koji se ogleda u angaovanju strunih sektora sa zadatkom praenja i brzog pravnog reagovanja u sluaju pojavljivanja ovih rizika i h) regulative kojom se konstituie adekvatan sistem unutranje kontrole nad radom zaposlenih zaduenih za bezbednost lica, imovine i poslovanja i uvodi obaveza podnoenja redovnih izvetaja o svim incidentima i akcidentima koji su ugrozili poslovanje, lica ili imovinu organizacije 1.27 Zahtevi za procenu rizika od protivpravnog delovanja Pri proceni rizika od protivpravnog delovanja organizacija mora da utvrdi da li kod korisnika postoji mogunost nastanka negativnih posledica po osnovu kriminalnog delovanja eksternih i internih subjekata. Pri proceni rizika od protivpravnog delovanja eksternih subjekata organizacija mora da utvrdi da li postoji potencijalna opasnost da organizacija i/ili lica koja je sainjavaju postanu objekat izvrenja krivinih dela ija se posledica ogleda u povredi ili ugroavanju lica, imovine i poslovanja organizacije, i to: a) terorizma,26
ISS b) krae; c) razbojnitva; d) izazivanja opte opasnosti ili drugih krivinih dela protiv opte bezbednosti ljudi i imovine; e) pravljenja i unoenja raunarskih virusa; f) oteenja raunarskih podataka i programa; g) raunarske prevare i h) povrede pronalazakog prava ili drugih krivinih dela protiv intelektualne svojine. Pri proceni rizika od protivpravnog delovanja internih subjekata organizacija mora da utvrdi da li postoji potencijalna opasnost da organizacija i/ili lica koja je sainjavaju, usled nezakonitog delovanja zaposlenih ili rukovodilaca, postanu objekat izvrenja krivinih dela, prekraja ili privrednih prestupa koji mogu prouzrokovati povrede ili ugroavanja lica, imovine ili poslovanja organizacije i/ili mogu dovesti do krivine odgovornosti same organizacije kao pravnog lica, i to: a) sabotae b) prevare c) odavanja poslovne tajne d) odavanja slubene tajne e) pronevere f) raunarske sabotae g) nepreduzimanja mera zatite na radu h) povrede prava po osnovu rada i socijalnog osiguranja i) disciplinskih delikata u oblasti krenja radnih obaveza vezanih za zadatke obezbeenja lica, imovine i poslovanja j) prekraja protiv bezbednosti i zdravlja na radu- nepreduzimanja preventivnih mera za zatitu ivota i zdravlja zaposlenih 1.28 Zahtevi za procenu rizika od poaraPri proceni rizika od poara organizacija mora da utvrdi da li kod korisnika postoji: a) normativna akta u skladu sa Zakonom o zatiti od poara (Pravilnik o zatiti od poara,
b) c) d) e) f) g)
odnosno Pravila zatite od poara, Sanacioni plan, Plan zatite od poara objekta ili podruja) ; kategorizacija pravnog lica i organizovanje u skladu sa procenom ugroenosti u skladu sa Zakonom o zatiti od poara; kadrovska i tehnika popunjenost i kvalifikovanost ljudstva koji rade na poslovima zatite od poara u skladu sa Zakonom o zatiti od poara; odravanje ureaja, opreme, instalacija i sredstava za zatitu od poara prema zakonu o zatiti od poara, tehnikim propisima, uputstvu proizvodjaca opreme program osnovne obuke i evidencija obuke zaposlenih iz oblasti zatite od poara. saglasnost nadlenog organa ministarstva unutranjih poslova na investiciono-tehniku dokumentaciju, izvedeno stanje i upotrebu objekta ili dela objekta i nadzor protivpoarne inspekcije i postojanje naloenih mera zatite od poara.
Nacionalna napomena: Zakon o zatiti od poara Napomena: U sluaju kada se radi o objektima koji nisu u skladu sa Zakonom o zatiti od poara u nadlenosti ministarstva unutranjih poslova prilikom izgradnje i korienja objekata, zahtevi27
ISS iz take 5.7 pod a), f) i g), kriterijumi iz take 6.8 pod a), f) i g), i njima odgovarajui delovi u prilogu G, se izostavljaju. 1.29 Zahtevi za procenu rizika od elementarnih nepogoda i drugih nesrea Pri proceni rizika od elementarnih nepogoda i drugih nesrea organizacija mora da utvrdi da li kod korisnika postoji:a)
plan zatite i spasavanja u vanrednim situacijama usklaenog sa planom zatite i spaavanja u vanrednim situacijama nadlenih organa lokalne samouprave i overen od nadlenog organa; plan zatite od udesa usklaenog sa planom zatite i spaavanja u vanrednim situacijama nadlenih organa lokalne samouprave i overen od nadlenog organa i plan i evidencije osposobljenosti zaposlenih za postupanje u vanrednim situacijama;
b) c)
Nacionalna napomena: Zakon o vanrednim situacijama Napomena: U sluaju kada se radi o objektima koji nisu u skladu sa Zakonu o vanrednim situacijama u nadlenosti ministarstva unutranjih poslova prilikom izgradnje i korienja objekata, zahtevi iz take 5.8 pod a), kriterijumi iz take 6.9 pod a), i njima odgovarajui delovi u prilogu H, se izostavljaju. 1.30 Zahtevi za procenu rizika od neusaglaenosti sa standardima
Pri proceni rizika, preporuuje se da organizacija: a) poseduje sertifikat o usaglaenosti sa SRPS ISO 9001:2000, Sistem menadmenta kvalitetom. b) poseduje sertifikat o usaglaenosti sa SRPS A-L2-002:2008, Drutvena bezbednost, Usluge privatnog obezbeenja, Zahtevi i uputstvo za ocenjivanje usaglaenostiNAPOMENA Obzirom da organizacija standarde primenjuje na dobrovoljnoj bazi, primena ovog zahteva nije obavezna, odnosno ako organizacija ne posluje u skladu sa navedenim standardima ovaj zahtev utie na kvalitet i ocenu procesa. Ako organizacija posluje u skladu sa navedenim standardima zahtev se uzima u obzir u skladu sa metodologijom primenjenom u ovom standardu.
DEO III USLUGE PRIVATNOG OBEZBEENJA UPUTSTVO ZA PROCENU RIZIKA 1.31 Opte odredbe Da bi bila efikasna i odriva, procena rizika treba da bude integrisana u organizaciju i podrana od strane menadmenta. Metodologija za procenu rizika u zatiti lica, imovine i poslovanja je specifikovana za ovu oblast i organizacija koja vri procenu rizika mora da procesuira svaki pojedinani problem u skladu sa ovim uputstvom. Organizacije koje pruaju, ili za sopstvene potrebe koriste usluge procene rizika u zatiti lica, imovine i poslovanja, moraju ispunjavati opte zahteve iz t. 5.2.1 ovog standarda. Usluge procene rizika u zatiti lica, imovine i poslovanja mogu vriti samo osobe (menaderi rizika) koje poseduju sertifikat o kompetentnosti (licencu) za vrenje procene rizika u zatiti lica, imovine i poslovanja, koji izdaje akreditovana organizacija i koji ispunjavaju uslove iz take 5.2.2 ovog standarda. 1.3228
Kriterijumi za procenu rizika
ISS Kriterijum za procenu rizika u ovoj metodologiji procene rizika mora da obuhvati sledee: a) Kriterijum za identifikaciju potencijalnih opasnosti; b) Kriterijum za definisanje verovatnoe; c) Kriterijum za definisanje posledica; d) Kriterijum za utvrivanje nivoa rizika; e) Kriterijum za utvrivanje kategorije rizika; f) Kriterijum za utvrivanje prioriteta rizika; g) Kriterijum za primenu opcija za ublaavanje rizika; h) Kriterijum za primenu opcija za izvodljivost; i) Kriterijum za primenu analize cena - korist j) Kriterijum za odreivanje preostalog rizika k) Kriterijum za razmatranje kombinacije vie rizika. Za evidenciju potencijalnih opasnosti koriste se termini "postoji" i "ne postoji", na obrascima i na nain koji su propisani ovim standardom. 1.33 Kriterijumi za identifikaciju potencijalnih opasnosti Za evidentiranje identifikovanih,i preliminarnu analizu potencijalnih opasnosti organizacija mora da primeni obrazac propisan ovim standardom. (Prilog J, Tabela J.1). Rezultati preliminarne analize potencijalnih opasnosti su ulazni rezultati analize rizika. 1.34 Kriterijumi za identifikaciju potencijalnih opasnosti koje nastaju u okviru optih poslovnih aktivnosti Kriterijum za identifikaciju potencijalnih opasnosti koje nastaju u okviru optih poslovnih aktivnosti dat je u Prilogu C, Tabela C.1. Potencijalne opasnosti koje nastaju u okviru optih poslovnih aktivnosti, organizacija mora da identifikuje prema sledeem: a) miljenje nadlene institucije o bonitetu organizacije da li organizacija poseduje pozitivno miljenje nadlene institucije o bonitetu. Ako organizacija uopte ne poseduje i ne moe da dobije miljenje o bonitetu, treba smatrati da postoji potencijalna opasnost. 1.35 Kriterijumi za identifikaciju potencijalnih opasnosti na radnom mestu i u radnoj okolini Kriterijum za identifikaciju potencijalnih opasnosti po bezbednost i zdravlje na radnom mestu i u radnoj okolini dat je u Prilogu D, Tabela D.1. Potencijalne opasnostipo bezbednost i zdravlje na radnom mestu i u radnoj okolini, organizacija mora da identifikuje prema sledeem: a) Postojanje pravne, organizacijske i planske regulative iz oblasti bezbednosti i zdravlja na radnom mestu i u radnoj okolini; -da li organizacija poseduje na zakonu zasnovanu pravnu, organizacijsku i plansku regulativu i u kojoj meri je ista zastupljena u radu organizacije, b) Opremljenost odgovarajuom zatitnom opremom i osposobljenost ljudskih resursa za sprovoenje zakonske regulative iz oblasti bezbednosti i zdravlja na radu; -da li su zaposleni osposobljeni za bezbedan i zdrav rad i dali je i u kojoj meri organizacija obezbedila odgovarajuu zatitnu opremuc) Obavezno socijalno osiguranje zaposlenih od povrede na radu i profesionalnih oboljenja, dodatno osiguranje; 29
ISS -da li organizacija osigurava zaposlene od povreda i oteenja zdravlja na radnom mestu i u radnoj okolini u skladu sa zakonom. 1.36 Kriterijumi za identifikaciju potencijalnih pravnih opasnostiKriterijum za identifikaciju potencijalnih pravnih opasnosti dat je u prilogu E, tabela E.1
Potencijalne pravne opasnosti organizacija mora da identifikuje prema sledeem: a) mogunost odavanje tajnih poslovnih podataka i dokumenata nepozvanom licu b) mogunost upoznavanja nepozvanih lica iz konkurentskih organizacija sa sadrinom tajnih poslovnih podataka i dokumenata c) postojanje unutranje regulative kojom se predvia disciplinska odgovornosti lica zbog nesavesnog poslovanja i/ili nepotovanja internih procedura u oblasti bezbednosti lica, imovine i poslovanja koje su prouzrokovale ili mogle da prouzrokuju negativne imovinske ili neimovinske posledice po korisnika d) opasnost od krenja zakonskih normi o privrednom i finansijskom poslovanju preduzea od strane poslovodstva ili zaposlenih e) opasnost od zakljuivanja nepovoljnih ugovora, preuzimanje nesrazmernih obaveza, zakljuivanje poslovnih aranmana sa nepouzdanim ili nesolventnim partnerima f) opasnost od neadekvatnog praenje sudskih, upravnih i drugih sporova i postupaka koje korisnik vodi g) postojanje opasnosti od vrenja protivpravnih dela od strane eksternih subjekata prema imovini organizacije i licima koja uestvuju u radu organizacije h) mogunost nastupanja propusta u procesu obezbeenja lica, imovine i poslovanja organizacije 1.37 Kriterijumi za identifikaciju potencijalnih opasnosti od protivpravnog delovanjaKriterijum za identifikaciju potencijalnih opasnosti od protivpravnog delovanja eksternih subjekata dat je u Prilogu F, tabela F.1.
Potencijalne opasnosti od protivpravnog delovanja eksternih subjekata, organizacija mora da identifikuje prema sledeem: Postojanje krivinih dela ija se posledica ogleda u povredi ili ugroavanju lica, imovine ili poslovanja organizacije, i to: a) terorizma b) krae c) razbojnitva d) izazivanja opte opasnosti ili drugih krivinih dela protiv opte bezbednosti ljudi i imovine e) pravljenja i unoenja raunarskih virusa f) oteenja raunarskih podataka i programa g) raunarske prevare h) povrede pronalazakog prava ili drugih krivinih dela protiv intelektualne svojine Potencijalne opasnosti od protivpravnog delovanja internih subjekata, organizacija mora da identifikuje prema sledeem:Kriterijum za identifikaciju potencijalnih opasnosti od protivpravnog delovanja internih subjekata dat je u prilogu F, tabela F.2.
30
ISS Postojanje krivinih dela, prekaja ili privrednih prestupa, koji mogu prouzrokovati povrede ili ugroavanja lica, imovine ili poslovanja organizacije i/ili mogu dovesti do krivine odgovornosti same organizacije kao pravnog lica, i to: a) sabotae b) prevare c) odavanja poslovne tajne d) odavanja slubene tajne e) pronevere f) raunarske sabotae g) nepreduzimanja mera zatite na radu h) povrede prava po osnovu rada i socijalnog osiguranja i) disciplinskih delikata u oblasti krenja radnih obaveza vezanih za zadatke obezbeenja lica, imovine i poslovanja j) prekraja protiv bezbednosti i zdravlja na radu- nepreduzimanja preventivnih mera za zatitu ivota i zdravlja zaposlenih 1.38 Kriterijumi za identifikaciju potencijalnih opasnosti od poaraKriterijum za identifikaciju potencijalnih opasnosti od poara dat je u prilogu G, tabela G.1.
Potencijalne opasnosti od poara, organizacija mora da identifikuje prema sledeem:a) postojanje normativnih akata u skladu sa Zakonom o zatiti od poara (Pravilnik o
b) c) d)
e) f) g)
zatiti od poara odnosno Pravila zatite od poara, Sanacioni plan, Plan zatite od poara objekta ili podruja); kategorizacija pravnog lica i organizovanje u skladu sa procenom ugroenostiu skladu sa zakonom o zatiti od poara; kadrovska i tehnika popunjenost i kvalifikovanost ljudstva koji rade na poslovima zatite od poara u skladu sa Zakonom o zatiti od poara; postojanje i odravanje uredjaja, opreme, instalacija i sredstava za zatitu od poara prema zakonu o zatiti od poara, tehnikim propisima, uputstvu proizvodjaca opreme; program osnovne obuke i evidencija obuke zaposlenihiz oblasti zatite od poara; saglasnost MUP-a na investiciono-tehniku dokumentaciju, izvedeno stanje i upotrebu objekta ili dela objekta i nadzor protivpoarne inspekcije i postojanje naloenih mera zatite od poara.
1.39 Kriterijumi za identifikaciju potencijalnih opasnosti od elementarnih nepogoda i drugih nesreaKriterijum za identifikaciju potencijalnih opasnosti od elementarnih nepogoda i drugih nesrea dat je u prilogu H, tabela H.1.
Potencijalne opasnosti od elementarnih nepogoda i drugih nesrea, organizacija mora da identifikuje prema sledeem: a) postojanje plana zatite i spasavanja u vanrednim situacijama usklaenog sa planom zatite i spaavanja u vanrednim situacijama nadlenih organa lokalne samouprave i overen od nadlenog organa b) postojanje Plana zatite od udesa usklaenog sa planom zatite i spaavanja u vanrednim situacijama nadlenih organa lokalne samouprave i overen od nadlenog organa i c) postojanje plana i evidencije osposobljenosti zaposlenih za postupanje u vanrednim situacijama; 1.4031
Kriterijumi za identifikaciju potencijalnih opasnosti od neusaglaenosti sa standardima
ISSKriterijum za identifikaciju potencijalnih opasnosti od neusaglaenosti sa standardima dat je u prilogu I, tabela I.1.
Potencijalne opasnosti od neusaglaenosti sa standardima, organizacija mora da identifikuje prema sledeem: a) posedovanje sertifikata o usaglaenosti sa SRPS ISO 9001:2000, Sistem menadmenta kvalitetom. b) posedovanje sertifikata o usaglaenosti sa SRPS A.L2.002:2008, Drutvena bezbednost, Usluge privatnog obezbeenja, Zahtevi i uputstvo za ocenjivanje usaglaenosti 1.41 1.42 Analiza rizika Kriterijum za odreivanje verovatnoe Analiza rizika rezultuje determinisanjem nivoa rizika. Verovatnoa (V) predstavlja kombinaciju uestalosti odreenog tetnog dogaaja i ranjivosti organizacije po datoj potencijalnih opasnosti (Prilog M, tabela M.5). Stepenovanje verovatnoe organizacija mora da vri na sledei nain (Prilog M, tabela M.1): 1-nemogue, 2-neverovatno, 3- verovatno, 4- skoro izvesno i 5-sigurno. Verovatnoa se odreuje prema obrascu: V= U # R....................................................................................... (1) Uestalost (U) se odnosi na ponavljanje odreenog tetnog dogaaja u vremenskom periodu ili na izloenost tiene vrednosti odreenoj potencijalnih opasnosti u odreenoj vremenskoj jedinici. Uestalost se primenjuje u dva pojavna oblika, i to: U1 uestalost kada postoji evidencija tetnih dogaaja i U2 uestalost kada ne postoji evidencija tetnih dogaaja. Organizacija koja vri procenu rizika mora da odlui da li e primeniti uestalost U1 ili U2, na osnovu podataka o postojanju validnih evidencija o tetnim dogaajima, u fazi utvrivanja konteksta problema. Vremenski period organizacija treba da primeni najmanje za poslednje tri kalendarske godine. Organizacija moe da odstupi od ovog vremenskog odreenja, ako kod korisnika usluge: a) Ne postoji trogodinja evidencija, ve evidencija za krai vremenski period, ali ne krai od jedne godine, u sluaju kada je vreme postojanja organizacije krae od tri godine i b) Postoji evidencija za period dui od tri godine iz koje se mogu prikazati bitni pokazatelji uestalosti dogaaja. Preporuuje se da organizacija koristi podatke objavljene od strane javnih i drugih slubi. Stepenovanje uestalosti (U1) organizacija mora da vri na sledei nain (Prilog M, tabela M.2): 1-vrlo retko, 2-povremeno, 3-esto, 4-preteno i 5-veoma esto Ako je analizom statistike neeljenih dogaaja u proteklom periodu utvreno da nema podataka o tetnim dogaajima ili nisu zabeleeni, organizacija dolazi do zakljuka da nije mogue izraunati uestalost po osnovu evidencije dogaaja.
32
ISS U tom sluaju, organizacija pristupa analizi vremena izloenosti tienih vrednosti determinisanim potencijalna opasnostma i u odnosu na dobijenu vremensku izloenost potencijalna opasnostma odreuje stepen uestalos