Treceți la conținutul principal

Evaluarea riscului vs. auditul securității 4. Model pentru structura cadru de management a riscurilor -1.


Deși standardul ISO 31.000 este centrat pe structura cadru de management a riscurilor – care devine principala piesă de sprijin pentru acest proces la nivelul  unității economice- standardul nu face referire exactă la ce ar trebui să conțină o astfel de structură cadru.Totuși, atât din conținutul standardului cât și din alte documente și lucrări conexe poate fi schițată o astfel de structură, utilă pentru orice fel de expert în domeniu ca un prim pas pentru definirea unei structuri particularizate.
O astfel de structură poate fi văzută în prima etapă ca un fel de cutie neagră, având o zonă de intrări, o zonă de prelucrări și o zonă de ieșiri, așa după cum se poate observa din figura următoare.
Figura 1 Structura cadru pentru managementul riscurilor

Se poate observa că această cutie neagră are 2 tipuri de intrări:
-intrări generate de activitatea normală (intrări de rutină), evenimente neprevăzute și feedback;
-intrări generate de conformitatea cu documentele normativ- legislative precum și cu opiniile stakeholderilor externi (în principali comunitari- respectiv comunitățile de lângă unitatea economică care pot fi afectate) și societali (societatea în ansamblul ei- vezi cazul Roșia Montană) și cu deciziile și hotărârile manageriale;
-intrări generate de personal- rezultate ale experienței care nu trebuie pierdută- și poate fi manifestată sub formă de proceduri de bună practică;
Ieșirile structurii privesc baza procesului de management al riscurilor, asistența și optimizarea acestui proces. 


Tabelul următor analizează aceste principii din punct de vedere al unei astfel de structuri cadru.

Tabel 1- Interpretarea principiilor în structura cadru
Nr.crt.
Principiu
Interpretare din punct de vedre al structurii cadru
1
Managementul riscului (realizat intr-un mod corespunzator) aduce valoare organizatiei
Lăsând deoparte contextul desfășurării unei activități cu riscuri acceptabile- situație care nu poate fi decât particulară- valoarea va fi adusă de către managementul riscurilor prin reducerea pierderilor provocate de riscuri. Implementarea structurii cadru trebuie să conducă la reducerea pierderilor provocate de riscuri și la posibilitatea realizării unei ferestre de oportunitate pentru realizarea obiectivelor organizației prin acceptarea unor riscuri moderate.
2
Managementul riscului este o componenta  obligatorie a proceselor organizatiei
Structura cadru trebuie să fie integrabilă cu alte instrumente de management deja implementate. Acest aspect conduce la 2 scenarii:
a. Organizația achiziționează un instrument de management total- care include și managementul riscurilor realizat pe baza unei astfel de structuri cadru- cazul ideal dar mai puțin fezabil atât din cauza faptului că sunt destul de puține astfel de instrumente cât și pentru faptul că în marea majoritate a cazurilor costul unui astfel de instrument este prohibitiv pentru o companie de tip IMM.
b. Structura cadru este dezvoltată astfel încât să ofere ieșirile necesare într-un format acceptabil pentru celelalte instrumente de management existente deja. Acest aspect conduce în mod direct la necesitatea cuantificării aspectelor esențiale referitoare la managementul riscurilor, respectiv la exprimarea procesului de management al riscului prin indicatori cheie de performanță cum ar fi pierderile economice lunare/ trimestriale/ semestriale/ anuale provocate de riscuri sau economiile cuantificabile realizate printr-un bun proces de management al riscurilor- de exemplu reducerea timpului (de producție) pierdut cu întreruperi datorate evenimentelor neprevăzute declanșate de riscuri.
3
Managementul riscului trebuie sa fie o componenta a procesului decizional
Cea mai simplă formă a unei decizii se prezintă ca o regulă de producție Dacă (If) <Clauză> Atunci (Then) <Consecință>.Pentru ca managementul riscurilor să fie o parte componentă eficientă a procesului decizional el trebuie să ofere procesului decizional scenarii de tip ”What If” care să fie cât mai aproape de realitate, adaptate specificului organizației unde este implementată structura cadru și care să poată fi  înțelese ușor de manageri.Astfel de scenarii trebuie incluse în structura cadru.  Un astfel de scenariu poate arăta ca în exemplul următor ”Utilajul X poate funcționa  fără mentenanță  pentru o perioadă de t+10 unde t  reprezintă perioada standard prevăzută în documentație după care trebuie întreprinsă mentenanța. Pe de altă parte trebuie precizat că pentru utilaje similare la momentul t+11 utilajul X poate conduce la pierderi concretizate prin produse care nu respectă parametrii de calitate necesari iar la momentul t+12 se pot produce incidente soldate cu lezarea personalului deservent și a personalului aflat în apropierea utilajului”
4
Managementul riscului este legat in mod direct de incertitudine
Structura cadru trebuie să pornească fie de la un grad de incertitudine bazat pe experiența anterioară a organizației – de exemplu 2.5% din datele furnizate managementului sunt incomplete în timp ce 1% din aceste date sunt incorecte fie să includă un mecanism de interpretare continuă a incertitudinii, pe categorii de componente sistemice: factor uman, utilaje , mediu de muncă. Prin analogie cu sistemele fuzzy poate fi definit un coeficient de incertitudine care să pondereze evaluarea de risc, coeficient care poate fi static (în majoritatea cazurilor)- ales de la început și actualizat în funcție de experiența unității economice, fie dinamic, pentru fiecare din componentele sistemului om- mașină.
5
Managementul riscurilor este sistematic, structurat și orientat în timp
Așa cum se poate vedea și din figura corespunzătoare a standardului, structura procesului de management al riscurilor este stabilire context (presupune analiza activității)->identificare riscuri->analiză riscuri ->evaluare riscuri->tratament riscuri. Această structura trebuie implementată în structura cadru, alături de instrumentele necesare . De asemenea, trebuie ținut cont de perspectiva temporală făcându-se distincție între :
-managementul imediat-desfășurat în fiecare schimb  la locul de muncă și care urmărește în mod special prevenirea/mitigarea efectelor riscurilor;
-managementul pe termen mediu și lung care include toți pașii descriși mai sus. Managementul imediat se bazează în mod categoric pe rezultatele obținute în procesul de management pe termen mediu și lung- de exemplu, pentru un proces de producție recent introdus în organizație, managementul riscurilor pe termen mediu definește proceduri de bună practică care sunt apoi implementate și folosite de managementul imediat la locul de muncă.
6
Se bazează pe cele mai bune informații disponibile
Structura cadru dezvoltată presupune fie un sistem informațional independent- care să colecteze,analizeze,sorteze, stocheze, regăsească și să ofere decidenților aceste informații fie pe integrarea în sistemul informațional existent. Este evident de preferat prima variantă, ținând seama și de prevederile legale referitoare la înregistrarea incidentelor, accidentelor și bolilor profesionale.
7
Managementul riscurilor este adaptat specificului organizației.
Structura cadru trebuie să se refere la principalele activități cuprinse în domeniul de activitate al organizației. Această referință se face atât la evaluarea de riscuri cât și la tratamentul acestora- de exemplu prin implementarea unor proceduri de bună practică specifice.
8
Managementul riscurilor ia în considerare factorii umani și culturali
Implementarea și actualizarea structurii cadru trebuie să se bazeze pe campioni.Aceștia trebuie să aibă competențele necesare atât pentru managementul propriu-zis al riscurilor dar mai ales pentru a disemina rezultatele acestui management atât printre stakeholderii semnificativi (de exemplu managementul sau investitorii care pot asigura resursele financiare necesare) dar și în cadrul personalului instituției. Structura cadru are o eficiență mult redusă dacă nu este înțeleasă și utilizată de tot personalul instituției.
9
Managementul riscurilor este transparent și inclusiv.
Transparența în structura cadru se manifestă prin definirea clară a politicilor, strategiilor și obiectivelor referitoare la managementul riscurilor - care sunt incluse în această structură precum și prin diseminarea pe scară largă și foarte largă atât a lecțiilor învățate în cadrul procesului de management cât și a rezultatelor concrete ale acestui proces.
10
Managementul riscurilor este dinamic, iterativ și responsiv la schimbare.
Structura cadru este prin definiție o construcție statică – actualizată în mod continuu dar implementată unitar, inițial.
Caracterul dinamic al structurii cadru trebuie să fie dat de folosirea ei de către toate categoriile de personal pentru un management eficient al riscurilor.Caracterul iterativ trebuie să țină seama de pașii personalizați ai procesului de management. Managementul riscurilor, respectiv structura cadru  este indisolubil legat(ă) de procesul de management al schimbării (MOC).
11
Managementul riscurilor facilitează îmbunătățirea continuă și dezvoltarea organizațională.
Structura cadru trebuie să aibă posibilitatea de a fi actualizată în mod frecvent.





Figura 2 prezintă modelul unei astfel de structuri cadru ținând seama de aspectele identificate anterior precum și de necesitatea ca o astfel de structură să fie suficient de adaptivă pentru orice organizație economică.
Se poate vedea din figură că există 2 puncte de intrare în structura cadru:
-o intrare managerială- prin blocul ”Politici oficiale, Asumări și Împuterniciri” .Această intrare managerială este în legătură cu managementul schimbării în cadrul organizației economice care implementează structura cadru și presupune definirea de politici oficiale referitoare la managementul riscurilor (care se schimbă /actualizează la înlocuirea unui proces de producție vechi cu unul nou, la adăugarea unei noi activități economice, etc.), asumarea acestor politici de către management și personalul unității precum și împuternicirea temporară a personalului managerial și/sau a experților în ceea ce privește procesul de management al riscurilor;
-o intrare faptică- determinată în mod evident atât de acțiunea specifică a riscurilor la nivelul unității economice concretizată prin evenimente neprevăzute dar și de impactul structurii cadru și implicit a procesului de management a riscurilor asupra personalului și de feedback-ul corespunzător acestui impact;
Structura cadru este în esența sa un sistem informațional pentru că colectează, prelucrează, stochează și diseminează informație. Într-un caz ideal acest sistem este și un sistem informatizat, folosind instrumentele IT pentru a eficientiza funcționarea structurii cadru.
De asemenea, în afară de rezultatele interne utilizate tot în cadrul structurii cadru pentru procesele de asistență a deciziei, aceasta mai are o dublă ieșire externă către:
-stakeholderii externi importanți la nivel societal- cărora li se transmit indicii cheie de performanță atât cât prevede legislația în vigoare și cât consideră unitatea economică că este cazul; experiența arată că unitățile economice performante transmit acestor stakeholderi mai mult decât prevede legea tocmai pentru a-i ține aproape; unitățile economice cu performanțe modeste sau fără performanță nu transmit acestor stakeholderi decât minimul necesar iar această transmisie nu se face în timp real- în acest sens este relevant accidentul de la Fukushima precedat de cel de la Cernobâl- în ambele cazuri transmiterea datelro făcându-se în mod incomplet și prea târziu;
-sistemul de management global al organizației; 
Figura 2.Modelul structurii cadru



Comentarii

Postări populare de pe acest blog

IDENTIFICAREA ȘI ANALIZA CAUZELOR RĂDĂCINĂ -1

Analiza cauzelor rădăcină este o metodă extrem de folosită de către managementul de performanță  din firmele dezvoltate. Metoda este considerată ca o metodă primară- care trebuie utilizată în primele faze ale analizei specifice procesului managerial. Ne propunem să prezentăm o metodă de analiză a cauzelor rădăcină care să poată fi aplicată atât pentru managementul calității cât și pentru managementul securității – ținând seama de faptul că în cea mai mare parte, cauzele rădăcină ale problemelor de calitate și problemelor de securitate și sănătate sunt comune. Figura 1 prezintă modul  global de analiză pentru cauzele rădăcină Din figură se poate observa că avem 2 procese distincte: ·         -un proces de identificare- care va fi realizat pe baza metodei cunoscute și ca 5 W ( 5 Why); ·         -un proces de analiză; procesul de analiză urmărește: o   stabilirea cauzelor specifice managementului calității și managementului de SSM; o   ierarhizarea cauzelor identificate;

Figura 1  Structurare…

DEVELOPING SAFETY ASSESSMENT SYSTEMS USING EXPERT SYSTEM SHELLS-1

Acknowledgements: The author wants to thank XpertRule Software LTD and mr. Tim Sell for being able to try Decision Author- the main software in which this prototype shall be built.
GENERAL ASPECTS Safety domain of research is by excellence a domain based on expertise. Textbooks and theoretical knowledge are good but the safety expert which inspects three times a day a certain part of an enterprise is the ultimate safety dealer here. A lot of expertise is transformed into lessons learned- that are used for training and improvement of existing safety attitudes. On the other part, this expertise could be also valued in order to build optimal and effective safety assessment systems. An expert system is software that emulates the decision-making ability of a human expert. In our case- the expert part should interrogate the specific employees regarding safety aspects of an enterprise. The next figure illustrates how a safety expert, with the necessary knowledge into the problem could impr…

VULNERABILITY METRICS AND KPI

KPI definitionA key performance indicator(KPI) is a measure of performance, commonly used to help an organization defineand evaluate how successful it is, typically in terms of making progress towards its long-term organizational goals.
–KPIs provide business-level context to security-generated data –KPIs answer the “so what?” question –Each additional KPI indicates a step forward in program maturity –None of these KPIs draw strictly from security data
COBITControl Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT was first released in 1996; the current version, COBIT 5, was published in 2012. Its mission is “to research, develop, publish and promote an authoritative, up-to-date, international set of generally accepted information technology control obj…