Procena rizika u zaštiti lica imovine i poslovanja je prvi i osnovni korak u izgradnji sistema bezbednosti u organizacijama. Iako je svaki projekat procene rizika sam po sebi jedinstven i ima svoj kontekst u odnosu na kompaniju, ipak postoje rizici koji su zajednički za većinu organizacija bez obzira na delatnost, pa se neki problemi pojavljuju iznova i iznova iz procene u procenu.
PODSETNIK!
Procena se vrši prema zahtevima i na način propisan važećim srpskim standardom SRPS A.L2.003 (Bezbednost i otpornost društva – Procena rizika) koji obrađuje sledeće kategorije rizika:
- rizici opštih poslovnih aktivnosti;
- rizici po bezbednost i zdravlje na radu;
- pravni rizici;
- rizici od protivpravnog delovanja;
- rizici od požara;
- rizici od elementarnih nepogoda i drugih nesreća;
- rizici od eksplozija;
- rizici od neusaglašenosti sa standardima;
- rizici po životnu sredinu;
- rizici u upravljanju ljudskim resursima;
- rizici u oblasti informaciono – komunikaciono – telekomunikacionih (IKT) sistema
Akt o proceni rizika u zaštiti lica, imovine i poslovanja je strateški dokument koji predstavlja sveobuhvatnu analizu korporativne infrastrukture na osnovu koje se gradi bezbednosna strategija i sprovodi plan obezbeđenja što uključuje mobilisanje svih neophodnih organizacijskih i eksternih resursa.
Zakonom je definisana obaveza privrednih društava da realizuju procenu rizika, kako bi se nakon Procene mogao koncipirati i implementirati Plan obezbeđenja sa planom tehničke zaštite, projektovanje, izvođenje, nadzor, servisiranje i održavanja opreme za tehničku zaštitu.
U vezi sa tim, sledi lista najčešćih problema sa kojima Organizacije doslovno muče muku, a da toga nisu ni svesne. Evo koji su to najčešći rizici prisutni u vašem poslovanju:
LISTA NAJČEŠĆE IDENTIFIKOVANIH RIZIKA
- Ne postoji stvarna Security podrška kompanije koju treba da organizuje Rukovodstvo pokretanjem Procene rizika kojom se otvara čitava problematika i identifikuju svi rizici. Povezano sa tim, ne postoji usklađeni bezbednosni program, niti postava Security tima na nivou organizacije koji bi reagovao u skladu sa stvarnom problematikom, već se neke mere, ako se i sprovode, primenjuju automatski ne vodeći računa o specifičnostima koje su u svakoj organizaciji drugačije. Takođe i sam Top menadžment ne zna i ne poštuje bezbednosne procedure, dajući loš primer ostalim zaposlenima u kompaniji.
- Video nadzor je instaliran na „svoju ruku“, bez procene, plana i ugovora sa eksternim izvođačima
- Zaposleni ne prolaze odgovarajuću obuku o bezbednosnim rizicima i nisu upoznati sa bezbednosnim politikama i procedurama firme jer ih kompanije najčešće i nemaju. Zaposleni nisu adekvatno obučeni kako da se nose sa raznim neprijatnim događajima na radnom mestu.
- Obuke u domenu zaštite od požara i pružanja prve pomoći postoje samo na papiru, bez obavljenih simulacionih treninga, a zaposleni prilikom nastupanja požara u praksi NE ZNA da upotrebi aparat i ugasi požar. Nepoznavanje procedura u slučaju incidenata dovodi do opšte panike, oštećenja i uništenja korporativne imovine i ugrožavanja života zaposlenih i trećih lica.
5. Kompanijske “bezbednosne procedure“ ukoliko su i definisane i uveliko se primenjuju, vrlo često delegiraju zaposlenima zadatke koji su u opisu poslova i delokruga rada fizičkog obezbeđenja, navikavajući ih na pogrešnu strategiju zaštite, ometajući njihove osnovne dužnosti, a vrlo često dovode i do zakonskih prekršaja u srodnim oblastima
6. Kancelarije sa poverljivim korporativnim resursima često ostaju otključane, a imovina ostaje nezaštićena
7. U vezi sa tim jedna od glavnih opasnosti je curenje informacija, što za posledicu ima pad rejtinga na tržištu, lošiji poslovni rezultati u odnosu na konkurenciju
8. Postoje loše procedure kontrole zaposlenih i posetilaca/klijenata :
posetioci/ klijenti nisu u obavezi da pokazuju svoje isprave radi verifikacije identiteta, već samo nadležnom SFO ili pripadniku MUP-a na zahtev ukoliko postoji definisan razlog – rutinska kontrola, prekršaj ili krivično delo – zaposleni nemaju pravo na uvid u ID dokumenta trećih lica sem ukoliko to ne zahteva priroda delatnosti kompanije
9. korišćenje sporednih/ požarnih ulaza umesto glavnih;
10. nepravilno sprovođenje kontrole objekata i lica koja se nalaze u istom
11. Mnogi zaposleni ne nose svoje identifikacione oznake ili ih nose na pogrešnom mestu i nisu vidljivi
12. Postoje praznine prilikom sprovođenja istorije bezbednosnih incidenata
13. Postoji loše upravljanje ključevima koji se daju zaposlenima na korišćenje. Ne vode se evidencije ko je i kada primio ključeve, ne postoje procedure za postupanje sa izgubljenim ili nestalim ključevima, nema garancije da će ključevi biti uručeni kada zaposleni napusti kompaniju.
14. Ne postoji evidencija o krađi, oštećenju ili uništenju imovine ili nekih drugih relevantnih kompanijskih resursa, niti podaci o drugim bezbednosnim incidentima. Mnogi slučajevi nisu prijavljeni i nema kontrole. Ne postoje tromesečni ili godišnji izveštaji.
15. Uglavnom ne postoje ili postoje jako loše procedure upravljanja poverljivim informacijama: osetljivi dokumenti nisu kvalifikovani kao osetljivi – a poslovne tajne nisu uređene u skladu sa Zakonom o poslovnoj tajni; podaci su najčešće u nesigurnim oblastima, ormarići poverljivih datoteka imaju neadekvatne brave. Stari poverljivi dokumenti se stavljaju u obične kante za smeće umesto da se seckaju.
16. Ne postoji ili je neadekvatna zaštita od industrijske špijunaže
17. Curenje poverljivih informacija
18. Vrata na ulazima u objekte nisu adekvatno obezbeđena, ne zatvaraju se pravilno ili ostaju otključana, ili nemaju apsolutno nikakav vid zaštite – alarm, cctv, kontrolu pristupa
19. Ako postoji kontrola pristupa (šifre, kartice) a ne postoje adekvatne procedure i edukacija zaposlenih pri korišćenju, rizik je prilično visok, kao kada zaštite i nema.
20. Kontrola perimetra je najčešće nedovoljna; ogleda se u neadekvatnoj ogradi koja je najčešće niska, probijena i oštećena, osvetljenju koje postoji samo na nekim delovima, angažovanju čuvara koji nema odgovarajuću obuku i licencu za rad na poslovima fizičko-tehničkog obezbeđenja. Nedovoljna rasveta na parkingu preduzeća i duž spoljnih saobraćajnica ka objektu.
21. Ne postoji dovoljna kontrola područja za utovar i istovar robe, na primer. Vrata ostaju otvorena bez nadzora, a vredna roba ostaje nezaštićena na doku ili magacinu, a vozačima vozila je dozvoljeno da lutaju bilo gde u objektu, bez nadzora i kontrole.
22. Zaposleni koji upravljaju i nadgledaju elektronske bezbednosne sisteme kompanije zapravo ne znaju kako da ih koriste. Iskorišćen je samo mali deo mogućnosti ovih sistema. Potrebna su stručna lica!
23. Elektronski sigurnosni sistemi se ne kontrolišu u skladu sa zakonom, već se jednom postave i tako u nedogled dok ne izbije neki incident, nakon čega se vrši i opravka sistema i uređaja i saniranje posledica štete.
24. Ne postoji izgrađena niti adekvatno obezbeđena IKT infrastruktura koja predstavlja srž poslovanja jer u najgorem slučaju ne znaju šta je to.
Procenu rizika ne možete vršiti sami, budući da su propisani zahtevi shodno Zakonu o privatnom obezbeđenju, prema kome procenu vrše stručna, kvalifikovana lica sa odgovarajućom licencom.
Takođe, Zakon je predvideo novčanu kaznu za pravna lica u rasponu od 500.000 do 2.000 000 dinara za vršenje delatnosti privatnog obezbeđenja bez licence.
