Nedavna motnja pri oskrbi z zdravili v Ljubljani je dokazala, da tveganja in škodni dogodki niso le teorija, ali nekaj, kar se dogaja samo drugim. Kakor tudi nastala več milijonska finančna škoda in »neizmerljiva škoda pri ugledu družbe in zaupanju kupcev«.

Vendar poleg dotične poznamo številne druge dejavnosti, kjer imajo lahko škodni dogodki še dosti večje in težje popravljive posledice, vključno s človeškimi žrtvami.

Kaj je kritična infrastruktura?

Gre za »tiste zmogljivosti, ki so ključnega pomena za državo in bi prekinitev njihovega delovanja ali njihovo uničenje pomembno vplivalo in imelo resne posledice za nacionalno varnost, gospodarstvo, in druge ključne družbene funkcije ter zdravje, varnost, zaščito in blaginjo ljudi«, in jih imenujemo kritična infrastruktura.

Na podlagi Zakona o kritični infrastrukturi (= ZKI; Ur.l. RS, št. 75/17) je Vlada dne 26.7.2018 sprejela sklep, s katerim je določila kriterije za ugotavljanje kritične infrastrukture Republike Slovenije in njihovih mejnih vrednosti ter prioritete delovanja posameznih sektorjev.

Po omenjenem sklepu so sektorji kritične infrastrukture:

energetika (oskrba z električno energijo, naftnimi derivati in zemeljskim plinom),
promet (železniški, pristaniški, zračni),
prehrana (oskrba z osnovnimi prehranskimi proizvodi),
oskrba s pitno vodo,
zdravstvo (osnovne zdravstvene storitve in zdravstvena oskrba),
finance (preskrba z gotovino, delovanje proračuna, plačilni promet),
varovanje okolja (onesnaženje, radioaktivna kontaminacija),
elektronska informacijska in komunikacijska omrežja in sistemi.

Vsak sektor ima svojega nosilca, ki so ministrstva in Banka Slovenije.

Lastniki in upravljavci kritične infrastrukture so gospodarske družbe, državni organi, zavodi in Banka Slovenije, ki so tudi odgovorni za njeno delovanje in zaščito.

Na podlagi Zakona imajo upravljavci tri ključne odgovornosti.

Izdelati morajo dokumente načrtovanja zaščite kritične infrastrukture. To so ocena tveganja in ukrepi za zaščito kritične infrastrukture, za katere morajo pridobiti soglasje nosilca sektorja kritične infrastrukture.

Izvajati morajo ukrepe za zaščito kritične infrastrukture, ki so stalni in dodatni. Stalni ukrepi se izvajajo v vseh razmerah. Dodatni pa ob povečani ogroženosti, izrednem dogodku, krizi, ali če stalni ukrepi ne zadoščajo.

Tretja pomembna odgovornost upravljavcev pa je obveščanje in poročanje. Obveščanje je namenjeno predvsem seznanitvi nosilca sektorja s prekinitvijo delovanja kritične infrastrukture in izvedenimi ukrepi za zaščito. Poročanje pa je letno poročilo, ki ga upravljavci posredujejo nosilcu sektorja do konca februarja za preteklo leto.

Ocenjevanje tveganj kritične infrastrukture

Na podlagi Zakona je Ministrstvo za obrambo dne 29.1.2019 sprejelo Navodilo za ocenjevanje tveganj za delovanje kritične infrastrukture Republike Slovenije.

Ocena tveganj mora vsebovati: 

– strokovne usmeritve pristojnega nosilca sektorja kritične infrastrukture, torej ministrstev in Banke Slovenije,
– opis stanja kritične infrastrukture v razmerah rednega delovanja,
– seznam identificiranih virov tveganj za delovanje kritične infrastrukture,
– opisno analizo in ovrednotenje virov tveganj za delovanje kritične infrastrukture.

Ključni del ocene tveganj je identifikacija virov tveganj in njihova analiza, v kateri upravljavec opredeli:

– verjetnost uresničitve vira tveganj,
– resnost potencialne škode, nastale zaradi uresničitve vira tveganj,
– potencialne vplive uresničitve vira tveganj na poslovne procese,
– druge dejavnike.

Navodilo prav tako določa, da »lahko upravljavci pri izdelavi ocene tveganj uporabijo veljavne standarde na področju obvladovanja tveganj in metode za ocenjevanje tveganj ter upoštevajo obstoječe ocene ogroženosti in tveganj za opravljanje dejavnosti kritične infrastrukture«.

Zaščita kritične infrastrukture iz predpisov v prakso

Preden nadaljujemo naj povem, da sem se z varnostjo oseb in premoženja ukvarjal več kot petindvajset let. In pri tem sodeloval z večino upravljavcev kritične infrastrukture ter nekaterimi nosilci sektorjev.

Zadnje leto pa se s sodelavci iz podjetja SBR ukvarjam tudi s področjem upravljanja tveganj.

Zato si upam trditi, da o tem nekaj vem.

Izkušnje kažejo, da pri nas upravljanja tveganj ne jemljemo dovolj resno in mu posvečamo (pre)malo pozornosti. Kar je razumljivo, saj na tem področju (še) nimamo razvite poslovne kulture in primernega strokovnega znanja.

Običajno je omejeno na varovanje, ki se izvaja z organizacijskimi in tehničnimi ukrepi in varnostnimi službami ter v zadnjem obdobju na informacijsko varnost.

S tveganji se večinoma ukvarjajo zgolj posamezniki, kot so vodje varnosti ali vodje upravljanja tveganj (ang. Risk Manager), ki pa nimajo dovolj vpliva pri vodilih za resnejše ukrepe. Pogosto je del področja kakovosti ali kontrolinga, kjer je zgolj ena od administrativnih dejavnosti.

Vendar to ni dovolj, saj je upravljanje tveganj dosti širši pojem od varovanja ali spremljanja podatkov. Kakor tudi za zaščito kritične infrastruktur ne zadošča, da se s tem ukvarjajo samo posamezniki.

Pri upravljanju tveganj velja pravilo, da se načrtovanje začne od zgoraj navzdol, izvajanje načrtovanih ukrepov pa od spodaj navzgor.

Zato resnično zmanjšanje tveganj dosežemo, ko postane del varnostne kulture vseh zaposlenih, ki jo upoštevamo vedno in povsod.

Na podlagi Zakona in drugih predpisov bodo v podjetjih in organizacijah, ki so upravljavci kritične infrastrukture, sicer izpolnili svoje formalne obveznosti, vse drugo pa bo najbrž večinoma ostalo po starem.

Ker, kot rečeno, za celovito upravljanje tveganj niti nimamo ustreznega znanja in izkušenj.

Če torej želite o celovitih pristopih k ocenjevanju in upravljanju tveganj ter prehodu iz načrtovanja v prakso, izvedeti več informacij, nam po želji sporočite in se lahko pogovorimo.

PS: Če imate glede upravljanja tveganj vprašanje, potrebujete pomoč, ali želite sporočiti svoje mnenje, mi lahko pišete na naslov [email protected].

***

Stopite v kontakt z našo ekipo, če želite ustrezno upravljati vaša tveganja.

Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v LinkedIn skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.

Podkupovanje – kot najpogostejša oblika korupcije – je nekoč veljalo za dokaj običajno in družbeno sprejemljivo prakso na poslovnem in zasebnem področju. Vendar pa so se v zadnjih dvajsetih letih predvsem poslovna pravila po vsem svetu precej spremenila, zaradi česar se je močno zaostrila protikorupcijska zakonodaja.

V Evropski skupnosti se je to zgodilo po uveljavitvi dopolnjene Konvencije o boju proti korupciji OECD leta 2009. V Sloveniji tako od leta 2011 velja Zakon o integriteti in preprečevanju korupcije (ZIntPK), ki med drugim določa tudi delovanje Komisije za preprečevanje korupcije (KPK).

Skupni imenovalec novih zakonov so visoke kazni za podjetja in posameznike ter t.i. eksteritorialni doseg pri preganjanju prestopnikov. To pomeni, da se za podkupovanje, ki ga zagrešijo zaposleni v tujini, lahko izrečejo zaporne kazni direktorjem matičnih podjetij.

Škodljiva praksa dajanja in sprejemanja podkupnin torej predstavlja veliko poslovno tveganje, ki ogroža finančni in pravni položaj ter ugled podjetij in posameznikov.

Po pravni plati so podjetja in posamezniki odgovorni za aktivno in pasivno podkupovanje doma in v tujini.

Finančne posledice korupcije so neracionalno trošenje denarja ter visoke kazni in stroški pravnih postopkov, ki trajajo več let.

Podjetja, ki so spoznana za krive korupcije, izgubijo ugled. To pomeni naklonjenost medijev, kupcev, dobaviteljev in drugih poslovnih partnerjev, kar lahko ogrozi celo njihov obstoj.

Zaradi preiskav koruptivnih dejanj pa se pojavijo tudi operativne zamude in ovire, ki upočasnijo delovanje podjetij ter izpolnjevanje obveznosti do kupcev in poslovnih partnerjev nasploh.

Podkupovanje v številkah

 

Zaradi razširjenosti podkupovanja in njegovega uničevalnega učinka so podjetja in druge organizacije začela z uvajanjem t.i. protikorupcijskih sistemov (Anti-Bribery Management Systems = ABMS).

Oktobra 2016 pa je bil sprejet prvi ISO standard »Sistemi vodenja za preprečevanje podkupovanja« z oznako ISO 37001:2016.

Trenutno je namenjen preprečevanju podkupovanja na strani zaposlenih ali predstavnikov, ki delujejo v imenu organizacij ali za njihov račun ter ravnajo koruptivno v korist organizacije ali lastno korist.

Podjetjem in organizacijam pomaga pri vzpostavitvi etične kulture in ravnanj z ničelno toleranco do korupcije. Poslovnim partnerjem pa olajša prepoznavo podjetij, ki se aktivno spopadajo s podkupovanjem. Kar lahko v prihodnosti postane pogoj in konkurenčna prednost pred primerljivimi ponudniki v postopkih (javnega) naročanja.

Sistem vodenja ISO 37001 določa obseg protikorupcijske skladnosti organizacije in deluje po načelu Demingovega kroga PDCA:

NAČRTUJ
Pomeni oceno tveganj za korupcijo glede na značilnosti organizacije. To omogoča identifikacijo področij tveganj in stanje trenutnih nadzornih ukrepov.

IZVEDI
Pomeni oblikovanje politike, določitev odgovornosti in sredstev za zagotavljanje skladnosti s protikorupcijskimi zahtevami ter delegiranje sprejemanja odločitev. Prav tako uvajanje podpornih postopkov, operativnega nadzora in ciljev ukrepanja pri prepoznanih tveganjih za podkupovanje.

PREVERI
Pomeni pregled sistema vodenja. Začne se z notranjo presojo, ki jo pregledata odbor za protikorupcijsko skladnost in najvišje vodstvo. V primeru certifikacije se nato izvede sekundarna presoja z zunanjimi presojevalci.

UKREPAJ
Pomeni izboljšave in posodobitve protikorupcijskih preprečevalnih in nadzornih mehanizmov, glede na ugotovljene pomanjkljivosti in neskladnosti med vsakdanjih delovanjem, pregledi ali presojami.

 

Zagotavljanje zaščite za žvižgače

Večina organizacij ugotovi podkupovanje v svojem poslovanju na enega od treh načinov:  31 odstotkov pri notranjih presojah, 29 odstotkov pri skrbnih pregledih poslovanja v procesih združevanja ali prevzemov in 17 odstotkov na podlagi prijav t.i. žvižgačev.

ISO 37001 med drugim zahteva tudi vpeljavo postopkov, ki zaposlenim omogočajo prijavljanje sumov korupcije po anonimnih prijavnih kanalih. Zagotoviti je potrebno zaupnost vsebine prijav in preprečiti vse oblike maščevanja informatorjem. Na podlagi pravil in usposabljanja morajo zaposleni vedeti, na koga se lahko obrnejo, če pri svojem delu naletijo na vprašanja, povezana s korupcijo.

 

In kakšne so ključne koristi sistema vodenja za preprečevanje korupcije?

 
Etična kultura organizacije. Eno od najmočnejših varoval proti podkupovanju je etična kultura organizacije. Ta se začne od vrha navzdol, s komunikacijo vodstva z zaposlenimi, zavezanostjo in osebnim zgledom ter uvajanjem sistemskih ukrepov, kot je ABMS.

Zaposleni in vodje razumejo svoje vloge. Izpostavljenim posameznikom jasno določa odgovornosti in zagotavlja, da razumejo svojo vlogo pri preprečevanju podkupovanja.

Sporočilo poslovnim partnerjem. Sistem za preprečevanje korupcije je sporočilo poslovnim partnerjem, da se organizacija aktivno spopada s podkupovanjem. Na takšen način deluje preprečevalno, da ponudniki s korupcijo niti ne poskušajo.

Preprosta integracija z drugimi sistemi vodenja. Sistem ISO 37001 lahko deluje samostojno ali v povezavi z drugimi sistemi vodenja ISO. To zagotavlja njegova osnovna struktura, ki omogoča usklajenost presoj in poročanja z drugimi standardi.

Zmanjšanje poslovnih tveganj. S krepitvijo etične kulture organizacije, sistemom za preprečevanja podkupovanja, jasno določenimi odgovornostmi izpostavljenih oseb, prijavnimi kanali in odkritim sporočilom poslovnim partnerjem, se zmanjša tudi izpostavljenost tveganjem koruptivnih dejavnosti in njihovim posledicam.

Kot vemo, popolne varnosti ni. Enako velja pri korupciji, ki je zaradi človeškega dejavnika podkupljivih posameznikov ne moremo v celoti odpraviti.

Vendar lahko z uvedbo sistema, kakršen je ISO 37001 ter doslednim izvajanjem organizacijskih in nadzornih ukrepov uvedemo dodatno stopnjo zaščite in tveganje podkupovanje vsaj občutno omejimo.

***

Stopite v kontakt z našo ekipo, če želite ustrezno upravljati vaša tveganja.

Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v LinkedIn skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.

VIRI
– Komisija za preprečevanje korupcije: Ocena stanja korupcije v RS v letu 2016; 2017
– Bureau Veritas: Sistemi vodenja za preprečevanje podkupovanja/Vgrajevanje kulturnih sprememb z ISO 37001; 2019

Morda se naše vsebine o upravljanju tveganj komu zdijo suhoparna teorija, ki nima veliko zveze z realnostjo. Zato tokrat opisujem praktičen primer, kako smo določili poglavitna tveganja in kakšne ukrepe smo izvedli, da bi preprečili njihovo uresničitev, ki bi lahko ogrozila celo obstoj našega podjetja.

Dogajalo se je pred leti, ko sem bil zaposlen v družbi, ki se ukvarja z informacijsko tehnologijo. V okviru priprav na pridobitev certifikata ISO 27001 smo ocenjevali tudi tveganja. Česar pa se nismo lotili samo formalno, da bi zadostili zahtevam standarda, temveč povsem življenjsko.

Srce naše dejavnosti je bil strežniški prostor s pripadajočo opremo. Če bi nam karkoli uničilo strežnike, ne bi mogli opravljati večine svojih storitev. Zato smo se najprej posvetili temu vprašanju.

Za omenjeni prostor smo ugotovili dve glavni tveganji, nedovoljen dostop in nevarnost požara.

Za zaščito pred nepooblaščenim dostopom ali vlomom smo namestili protivlomna vrata in s sistemom pristopne kontrole bistveno omejili vstop. Za zaščito pred požarom pa smo, poleg merjenja temperature v prostoru, namestili sistem za avtomatsko javljanje požara, ki smo ga razširili na vse prostore. Prav tako smo uvedli shranjevanje varnostnih kopij izven podjetja ter z varnostno službo uskladili sistem obveščanja in hitrega posredovanja v primeru sprožitve alarma.

Med obravnavanimi ukrepi sta bila recimo tudi namestitev stabilnega sistema za samodejno gašenje in možnost delovanja strežnikov na rezervni lokaciji, za katera se takrat nismo odločili.

Drug pomemben dejavnik za naše poslovanje pa je bil internet, saj smo večino storitev izvajali na daljavo. In ko so na primer med gradbenimi deli neprevidno prekinili glavno optično povezavo, smo bili skoraj ves dan brez dostopa do spleta.

Poleg tega, da nismo mogli nuditi podpore uporabnikom naših informacijskih rešitev, je imelo to tudi finančne posledice. Vsaka ura, ko nismo opravljali svojih storitev, je namreč pomenila izpad prihodkov v višini od 500 do 1000 evrov.

Zato smo za povečanje zanesljivosti dostop do interneta uredili preko dveh operaterjev s fizično ločenimi omrežnimi povezavami.

To je samo nekaj ukrepov, ki smo jih izvedli na podlagi ocene tveganj.

Na podoben način smo analizirali vse procese v podjetju, od ravnanja z zaposlenimi, do prodaje, nabave, razvoja in izvedbe naročil ter jih določili za vsako področje posebej.

P.S.: Če ste jih morda spregledali, si po želji preberite tudi naslednje vsebine:

Kaj je tveganje?

Kako obvladati informacijska tveganja?

Kako se upravljanja tveganj lotimo sistematično?

***

Stopite v kontakt z našo ekipo, če želite ustrezno identificirati vaša tveganja.

Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v Linkedin skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.